Wat is een certificaat en waarom zou u er een uitgeven?
Een digitaal certificaat is een elektronisch document dat de identiteit van een persoon, organisatie of apparaat bevestigt. Het wordt gebruikt in cryptografische systemen om veilige verbindingen tot stand te brengen, bijvoorbeeld tussen een webbrowser en een server. Certificaten worden veel gebruikt in Public Key Infrastructure, beter bekend als PKI. Het uitgeven van een certificaat is het proces waarbij een Certificate Authority, of CA, een digitaal certificaat maakt en ondertekent voor een aanvrager. Dit kan gaan om een SSL-certificaat voor een website, een clientcertificaat voor medewerkers of een certificaat voor een interne applicatie. In dit artikel leggen we uit hoe u een certificaat kunt uitgeven in verschillende omgevingen, van een Windows CA-server tot clouddiensten zoals AWS en Google Cloud. We geven u stap-voor-stap uitleg en praktische voorbeelden, zodat u direct aan de slag kunt.
De basisbeginselen van certificaatuitgifte
Voordat we ingaan op specifieke platformen, is het belangrijk om de algemene stappen te begrijpen die betrokken zijn bij het uitgeven van een certificaat. Het proces begint altijd met het genereren van een sleutelpaar: een publieke sleutel en een private sleutel. De private sleutel blijft geheim bij de eigenaar. De publieke sleutel wordt opgenomen in een Certificate Signing Request, ook wel CSR genoemd. Dit CSR bevat ook informatie over de aanvrager, zoals de organisatienaam en het domein. De aanvrager stuurt het CSR naar een CA. De CA controleert de gegevens en ondertekent het certificaat met zijn eigen private sleutel. Het resultaat is een digitaal certificaat dat de authenticiteit van de publieke sleutel garandeert. Zodra het certificaat is uitgegeven, kan de aanvrager het downloaden en installeren op de juiste server of het juiste apparaat.

Een certificaat uitgeven met Windows CA Server
Een van de meest gebruikte manieren om certificaten uit te geven in een bedrijfsomgeving is via een Windows CA-server. Dit systeem is onderdeel van de Windows Server-rol Active Directory Certificate Services. Nadat de CA is geïnstalleerd en geconfigureerd, kunnen gebruikers of apparaten een certificaat aanvragen via een sjabloon. U kunt het uitgifteproces handmatig beheren of automatiseren. Volg deze stappen om een certificaat handmatig uit te geven met de Certification Authority MMC-snap-in.
Open de managementconsole van de certificeringsinstantie. U kunt dit doen door mmc.exe uit te voeren en de juiste snap-in toe te voegen. Navigeer naar de map Pending Requests. Hier ziet u alle aanvragen die nog moeten worden goedgekeurd. Selecteer de gewenste aanvraag. Klik met de rechtermuisknop op de aanvraag en kies All Tasks en vervolgens Issue. De CA zal het certificaat nu ondertekenen. U kunt het uitgegeven certificaat terugvinden in de map Issued Certificates. Vanaf daar kunt u het certificaat exporteren naar een bestand. Het is ook mogelijk om certificaten automatisch uit te geven door sjablonen zo te configureren dat goedkeuring niet nodig is. Dit is handig voor grote aantallen certificaten.

Een certificaat uitgeven via AWS Private CA
Wilt u een certificaat uitgeven in de cloud, dan is AWS Private CA een krachtige optie. Deze service maakt deel uit van AWS Certificate Manager. U kunt een privé-certificeringsinstantie aanmaken en van daaruit certificaten uitgeven voor interne toepassingen. De meest directe manier is via de AWS Management Console, maar u kunt ook de AWS CLI gebruiken. In de CLI gebruikt u het commando aws acm-pca issue-certificate. Hiervoor heeft u de ARN van uw CA nodig, het CSR in PEM-formaat, de gewenste geldigheidsduur en een sjabloon voor de certificaatinhoud. De CLI retourneert de ARN van het nieuwe certificaat. Vervolgens kunt u het certificaat ophalen met aws acm-pca get-certificate. Dit geeft u het certificaat in PEM-formaat. AWS Private CA ondersteunt ook het importeren van bestaande CA's. Het systeem controleert automatisch of het CSR voldoet aan de regels van de CA. De belangrijkste voordelen van AWS Private CA zijn schaalbaarheid en integratie met andere AWS-diensten. U kunt certificaten uitgeven voor Elastic Load Balancers, API Gateway en andere services.
Een certificaat uitgeven met Google Cloud Certificate Authority Service
Een andere cloudgebaseerde oplossing is de Google Cloud Certificate Authority Service. Deze service werkt met zogenaamde CA pools en certificaatsjablonen. U begint in de Google Cloud Console. Ga naar het menu Security en kies Certificate Authority Service. Maak eerst een CA pool aan. Selecteer een regio en configureer de poolinstellingen. Daarna kunt u een certificaatsjabloon maken of een bestaande sjabloon gebruiken. Sjablonen bepalen de extensies en het gebruik van het certificaat. Om een certificaat uit te geven, klikt u op Create Certificate. U voert de gewenste onderwerpgegevens in, zoals common name en organisatie. U kunt ook een eigen CSR importeren. Na het invullen klikt u op Generate certificate. Het systeem maakt nu het certificaat aan. U kunt het direct downloaden in PEM- of PFX-formaat. Google Cloud biedt ook een API voor automatisering. Een groot voordeel is dat u certificaten kunt uitgeven die naadloos samenwerken met andere Google Cloud-diensten. Het is belangrijk om de certificaatsjablonen zorgvuldig te definiëren, zodat u de veiligheid en flexibiliteit behoudt.

Het certificaat ophalen en exporteren
Ongeacht welke methode u gebruikt, moet u het certificaat uiteindelijk ophalen en exporteren naar een formaat dat geschikt is voor uw toepassing. De meest voorkomende formaten zijn PEM en PFX. PEM-bestanden bevatten vaak alleen het certificaat, maar kunnen ook de private sleutel bevatten. PFX-bestanden zijn containerformaten die zowel het certificaat als de private sleutel kunnen bevatten, beveiligd met een wachtwoord. Voor webservers zoals Apache of Nginx gebruikt u meestal PEM-bestanden. Voor Windows-systemen of apparaten zoals routers gebruikt u vaak PFX. Het exporteren van het certificaat na uitgifte is een cruciale stap. Wacht niet te lang met exporteren, want sommige systemen verwijderen het certificaat na een bepaalde tijd. Bewaar de private sleutel altijd op een veilige locatie. Gebruik sterke wachtwoorden voor PFX-bestanden. De volgende tabel toont de meest gangbare formaten en hun toepassingen.
| Formaat | Extensie | Gebruik |
|---|---|---|
| PEM | .pem, .crt, .cer | Webservers, Linux-systemen, API's |
| PFX | .pfx, .p12 | Windows-systemen, IIS, code-ondertekening |
| DER | .der, .cer | Java-omgevingen, sommige apparaten |
Veelgemaakte fouten bij certificaatuitgifte
Het uitgeven van certificaten lijkt eenvoudig, maar er zijn veel valkuilen. Een van de meest voorkomende fouten is het gebruik van een onjuist CSR. Zorg ervoor dat de common name exact overeenkomt met de domeinnaam of de identiteit die u wilt beveiligen. Een andere fout is het niet juist instellen van de geldigheidsduur. Te lange geldigheidsduur is een veiligheidsrisico, te korte duur geeft extra beheerlast. Ook het niet goed beheren van de private sleutel is een groot probleem. De private sleutel mag nooit worden verzonden via e-mail of worden opgeslagen op een gedeelde schijf. Vergeet niet om de certificaatsjablonen correct te configureren. Een sjabloon dat verkeerde extensies gebruikt, kan leiden tot certificaten die niet werken. Controleer ook altijd of de datum en tijd op uw systemen correct zijn. Certificaten zijn afhankelijk van de systeemklok voor validatie. Een kleine afwijking kan ervoor zorgen dat een certificaat als ongeldig wordt beschouwd.

Certificaten in HR- en onderwijssystemen
Het uitgeven van certificaten is niet alleen voor technische doeleinden. Veel organisaties geven certificaten uit als bewijs van deelname aan cursussen of trainingen. Platformen zoals Classera en Certifier maken dit eenvoudig. U selecteert een sjabloon met het gewenste ontwerp. U uploadt een lijst met deelnemers, bijvoorbeeld via een CSV-bestand. Vervolgens vult u dynamische velden in zoals naam, cursus en datum. Het systeem genereert voor elke deelnemer een uniek certificaat. U kunt deze certificaten dan downloaden of direct naar de deelnemers sturen. Deze werkwijze bespaart veel tijd. U kunt ook achteraf nog certificaten uitgeven. Het is belangrijk dat deze certificaten een unieke code of QR-code bevatten, zodat de echtheid later kan worden gecontroleerd. Dit is vergelijkbaar met het uitgeven van digitale certificaten in een PKI-omgeving, maar dan met een andere focus.
Automatisering van certificaatuitgifte
In grotere omgevingen is handmatige uitgifte niet werkbaar. Daarom is automatisering essentieel. U kunt scripts schrijven die automatisch een CSR genereren, deze naar een CA sturen en het certificaat ophalen. Voor AWS Private CA kunt u AWS CLI-commando's combineren in een Shell-script. Voor Windows CA-server kunt u PowerShell gebruiken. De PowerShell-module PKI bevat cmdlets voor het aanvragen en uitgeven van certificaten. Automatisering verkleint de kans op fouten en versnelt het proces aanzienlijk. Het is wel belangrijk om logbestanden bij te houden. Zo kunt u altijd zien welke certificaten zijn uitgegeven en door wie. Overweeg om een monitoringtool te gebruiken die u waarschuwt bij fouten of bijna verlopen certificaten. Dit voorkomt onverwachte uitval van diensten.

Een checklist voor het uitgeven van een certificaat
Om ervoor te zorgen dat u niets vergeet, geven we een eenvoudige checklist. Doorloop deze punten elke keer dat u een certificaat uitgeeft.
- Controleer of de Certificate Authority actief en correct is geconfigureerd.
- Genereer een stevig sleutelpaar met een veilige lengte, minstens 2048 bits.
- Maak een Certificate Signing Request met de juiste gegevens.
- Voer de juiste geldigheidsduur in, afgestemd op het gebruik.
- Sluit het certificaat op in een veilig archief na uitgifte.
- Exporteer het certificaat naar het juiste formaat voor de toepassing.
- Test het certificaat met een tool zoals OpenSSL of een browser.
Beveiligingsoverwegingen bij certificaatuitgifte
Veiligheid staat centraal bij het uitgeven van certificaten. De private sleutel van de CA is het kostbaarste bezit. Bewaar deze op een hardware security module of een veilige server. Beperk de toegang tot de CA tot enkele beheerders. Gebruik tweefactorauthenticatie voor het uitgeven van certificaten. Stel altijd een maximale geldigheidsduur in. Certificaten die langer dan een jaar geldig zijn, worden steeds meer afgeraden. Overweeg om certificaten met een korte levensduur te gebruiken, zoals 30 dagen. Dit beperkt de schade als een certificaat wordt gelekt. Zorg ook voor een goede procedure voor het intrekken van certificaten. Een Certificate Revocation List of CRL moet regelmatig worden bijgewerkt. De AWS-documentatie over het uitgeven van certificaten benadrukt het belang van deze beveiligingsmaatregelen. Ook Google Cloud benadrukt in hun documentatie dat zorgvuldige configuratie van sjablonen cruciaal is.
Conclusie en overzicht
Het uitgeven van een certificaat is een gestructureerd proces dat afhankelijk is van de omgeving. Of u nu werkt met een on-premises Windows CA-server, AWS Private CA of Google Cloud CA, de basis blijft hetzelfde. U genereert een sleutelpaar, maakt een CSR, dient deze in bij een CA en haalt het certificaat op. De keuze voor een platform hangt af van uw infrastructuur en behoeften. Automatisering en veiligheid zijn cruciaal. Door de stappen in dit artikel te volgen, kunt u zelfstandig certificaten uitgeven. Vergeet niet om altijd de documentatie van het specifieke platform te raadplegen voor de meest actuele informatie. Certificaatbeheer is een doorlopende taak. Blijf uw processen evalueren en verbeteren. Zo zorgt u voor een veilige en betrouwbare omgeving.
Bronnen
Voor dit artikel is gebruikgemaakt van de volgende bronnen. AWS Documentation – Issue private end-entity certificates. AWS CLI Reference – issue-certificate. Microsoft Learn – How to manually create client certificate on CA server. Google Cloud Docs – Request a certificate using a certificate template. ScienceDirect – Issuing Certificate - an overview. Medium – Introduction to Certificate Issuance in PKI. Classera User Manual – Issue Certificates. Certifier Blog – How to Create a Digital Certificate.





