Inledning till certifikatutfärdning
Att utfärda ett certifikat innebär att en betrodd part, en certifikatutfärdare, digitalt signerar en begäran om att bekräfta identiteten hos en enhet eller individ. Certifikat används inom allt från webbplatsautentisering via TLS till att signera dokument och programvara. Processen kan verka tekniskt komplex, men med rätt verktyg och kunskap kan du utfärda certifikat både enkelt och korrekt. Denna artikel går igenom grunderna i certifikatutfärdning och beskriver flera vanliga metoder, inklusive molnbaserade tjänster och lokala lösningar. Oavsett om du är systemadministratör, utvecklare eller ansvarig för utbildningsverksamhet, finns det en metod som passar dina behov. Artikeln innehåller en stegvis lista, en jämförande tabell och praktiska exempel från verkliga plattformar.
Certifikat bygger på asymmetrisk kryptering och en infrastruktur som kallas PKI. I en PKI finns en rotcertifikatutfärdare som signerar underordnade certifikat eller certifikat för slutanvändare. När du utfärdar ett certifikat måste du först skapa en nyckel och en certifikatbegäran. Begäran skickas till certifikatutfärdaren som kontrollerar uppgifterna och signerar certifikatet. Det signerade certifikatet kan sedan installeras på servern, enheten eller distribueras till användare. Många organisationer använder olika certifikatutfärdare för olika ändamål, allt från interna testcertifikat till publika certifikat för webbplatser.
Valet av metod för certifikatutfärdning beror på flera faktorer: volym, säkerhetskrav, budget och teknisk miljö. För mindre organisationer kan en molnbaserad certifikatutfärdare vara mest kostnadseffektiv, medan större företag ofta har egna certifikatutfärdare på Windows Server. Utbildningsplattformar och HR-system använder ofta enklare gränssnitt för att utfärda kursintyg och certifikat deltagare. I den här artikeln fokuserar vi på fyra vanliga scenarier: AWS Private CA, Microsoft Windows CA Server, Google Cloud CA Service samt utbildningsplattformar som Classera och Certifier.

Grunderna i certifikatutfärdning
Innan du dyker in i specifika plattformar är det viktigt att förstå den allmänna processen för certifikatutfärdning. Processen består av flera steg som måste utföras i rätt ordning för att certifikatet ska vara giltigt och användbart. Grundstenarna i PKI är asymmetriska nyckelpar, certifikatbegäran och digital signatur. Här följer en lista över de grundläggande stegen i certifikatutfärdning:
- Generera ett asymmetriskt nyckelpar: en privat nyckel som förvaras hemligt och en publik nyckel som bifogas certifikatet.
- Skapa en certifikatbegäran, ofta i formatet CSR. Begäran innehåller den publika nyckeln samt information om sökanden, till exempel organisationsnamn och domän.
- Skicka begäran till en certifikatutfärdare. Certifikatutfärdaren verifierar uppgifterna och signerar certifikatet med sin egen privata nyckel.
- Hämta det signerade certifikatet, antingen i PEM-format eller PFX/P12-format om det inkluderar den privata nyckeln.
- Installera certifikatet på rätt plats, till exempel på en webbserver eller i ett certifikatarkiv på klientenheter.
- Kontrollera att certifikatet är giltigt genom att verifiera kedjan upp till en rotcertifikatutfärdare.
Det kan finnas variationer i processen beroende på certifikatutfärdaren. Vissa certifikatutfärdare godkänner begäran automatiskt, medan andra kräver manuell granskning. I organisationer med hög säkerhet kan en administratör behöva godkänna varje certifikatbegäran separat. Certifikatets giltighetsperiod varierar också. Kortare giltighetstid innebär högre säkerhet men också mer frekvent förnyelse. Därför är det viktigt att välja en giltighetstid som balanserar säkerhet och administration.
En viktig aspekt är certifikatkedjan. När du utfärdar ett certifikat från en underordnad certifikatutfärdare måste rotcertifikatet och eventuella mellancertifikat vara tillgängliga för att certifikatet ska kunna litas på av klienter. Många certifikatutfärdare tillhandahåller därför en paketering som inkluderar hela kedjan. Du kan sedan exportera certifikatet i till exempel PEM-format med kedjan bifogad.

Tabell: Jämförelse av certifikatutfärdningsmetoder
För att underlätta valet av metod sammanfattar tabellen nedan fyra vanliga sätt att utfärda certifikat. Tabellen visar plattform, typisk målgrupp, kommentarer och källa.
| Plattform | Målgrupp | Kommentarer |
|---|---|---|
| AWS Private CA | Systemadministratörer, DevOps | Molntjänst som integreras med AWS-tjänster. Kräver CSR och val av giltighetsperiod. |
| Microsoft Windows CA Server | IT-avdelningar på företag | Lokal certifikatutfärdare med MMC-gränssnitt och möjlighet att hantera köade begäranden manuellt. |
| Google Cloud CA Service | Organisationer på GCP | Hanteras via Console eller API, med template-stöd för återanvändbara certifikatprofiler. |
| Utbildningsplattformar (Classera, Certifier) | Utbildningsansvariga, HR | Enkla gränssnitt för att massutfärda certifikat baserat på CSV eller mallar. |
Som tabellen visar skiljer sig metoderna åt i komplexitet och användningsområde. För tekniska team som redan använder AWS eller Google Cloud är det naturligt att välja respektive certifikatutfärdartjänst. För organisationer som vill ha full kontroll över sin PKI är Microsoft Windows CA Server ett etablerat val. Utbildningsverksamheter å sin sida behöver sällan djup PKI-kunskap och kan istället använda specialiserade plattformar.
Utfärda certifikat via AWS Private CA
AWS Private CA är en fullständigt hanterad certifikatutfärdartjänst som gör det möjligt att utfärda privata certifikat för interna ändamål. Tjänsten integreras med andra AWS-tjänster som Elastic Load Balancing och API Gateway. För att utfärda ett certifikat via AWS Private CA kan du använda AWS Management Console eller AWS CLI. Processen börjar med att du skapar en certifikatbegäran i form av en CSR. Om du använder CLI körs kommandot aws acm-pca issue-certificate. Kommandot kräver att du anger certifikatutfärdarens ARN, CSR i PEM-format samt en giltighetsperiod. Du kan även specificera signeringsalgoritm och mall för certifikatet.

I AWS Console navigerar du till Private CA, väljer din certifikatutfärdare och klickar på Issue certificate. Du laddar upp CSR-filen och anger önskad giltighetstid. Certifikatet utfärdas sedan och blir tillgängligt för export i PEM-format. Ett viktigt steg är att hämta certifikatkedjan från certifikatutfärdarens detaljer. Utan kedjan kan klienter inte validera certifikatets äkthet. Du kan använda kommandot aws acm-pca get-certificate för att hämta certifikatet och kedjan separat. AWS dokumentation för utfärdande av certifikat ger detaljerade exempel på hur du strukturerar CSR och hanterar giltighetsperioder.
När certifikatet har utfärdats och hämtats kan du installera det på en server eller använda det tillsammans med andra AWS-tjänster. Eftersom certifikatet är privat litar allmänna webbläsare inte på det, men inom organisationen kan du distribuera rotcertifikatet via Group Policy eller MDM. AWS Private CA stöder även automatisk förnyelse om du använder ACM för certifikathantering. Det gör att livscykelhanteringen blir smidig och minskar risken för utgångna certifikat.
Utfärda certifikat via Microsoft Windows CA Server
Microsoft Windows Server innehåller rollen Active Directory Certificate Services som gör att du kan en egen certifikatutfärdare. Detta är en vanlig lösning i företagsmiljöer där man vill ha full kontroll över certifikatutfärdning och policy. För att utfärda ett certifikat manuellt använder du MMC-snapin-modulen Certification Authority. Processen börjar när en användare eller enhet skickar en certifikatbegäran som hamnar i kön Pending Requests i MMC-gränssnittet. Som administratör öppnar du kön, högerklickar på den önskade begäran och väljer All Tasks och sedan Issue. Certifikatet utfärdas då och blir tillgängligt för sökanden att hämta via certifikatwebbtjänsten eller via automatisk registrering.

I större organisationer används ofta automatisk registrering via Group Policy, vilket minskar manuellt arbete. Men det finns situationer där manuell utfärdning är nödvändig, till exempel när begäran kräver extra granskning eller när certifikatet ska användas för särskilda ändamål som dokument- eller e-postsignering. Microsofts dokumentation beskriver hur du manuellt kan skapa ett klientcertifikat på en certifikatutfärdarservern. Processen innefattar att skapa en begäran i formatet CSR, importera den till certifikatutfärdaren och sedan utfärda certifikatet. Microsoft Learn visar hur du manuellt skapar klientcertifikat på certifikatutfärdarservern med detaljerade steg.
När certifikatet har utfärdats kan användaren exportera det som en PFX-fil om den privata nyckeln ska inkluderas. För webbplatser och tjänster exporteras certifikatet vanligtvis som PEM eller PFX beroende på plattform. Eftersom Windows CA Server bygger på en hierarkisk PKI måste rotcertifikatet vara installerat på alla klienter. I Active Directory-miljöer distribueras rotcertifikatet automatiskt via Group Policy. För enheter som inte är domänanslutna kan rotcertifikatet installeras manuellt eller via MDM.
Utfärda certifikat via Google Cloud CA Service
Google Cloud Certificate Authority Service är en annan hanterad certifikatutfärdartjänst, särskilt anpassad för organisationer som använder Google Cloud Platform. Tjänsten stöder både privata och publika certifikat och erbjuder färdiga mallar för vanliga användningsområden som TLS-servercertifikat och klientcertifikat. För att utfärda ett certifikat via Google Cloud CA Service börjar du i Google Cloud Console. Gå till Certificate Authority Service och välj fliken Template Manager. Där kan du skapa eller välja en certifikatmall som definierar parametrar som giltighetstid, nyckelalgoritm och utökningar. Klicka sedan på Create certificate. Du anger ett namn, väljer certifikatutfärdarpool och region samt anger sökandens information, till exempel domännamn eller e-postadress.

När du har fyllt i uppgifterna klickar du på Generate certificate. Tjänsten genererar då certifikatet och du kan ladda ner det i PEM-format tillsammans med certifikatkedjan. Google Cloud CA Service stöder även API-anrop via gcloud CLI eller REST API, vilket gör det möjligt att automatisera certifikatutfärdning i CI/CD pipelines. En viktig fördel med Google Cloud CA Service är att certifikatmallarna förenklar återkommande utfärdning och minskar risken för felaktiga konfigurationer. Du kan till exempel skapa en mall för webbservercertifikat med en standardiserad giltighetstid på 365 dagar och specifika SAN-fält.
Google Cloud CA Service hanterar även certifikatkedjan och rotcertifikatet automatiskt. När du hämtar certifikatet inkluderas mellancertifikaten i samma fil. Det gör att installationen blir enklare eftersom du inte behöver samla ihop olika certifikat manuellt. Tjänsten integreras också med Google Cloud Load Balancing och andra nätverkstjänster. För organisationer som redan har infrastruktur i GCP är Google Cloud CA Service ett naturligt val för att hantera interna certifikat.
Utfärda certifikat via utbildningsplattformar
För utbildningsverksamheter och HR-avdelningar som behöver utfärda certifikat till kursdeltagare eller anställda finns specialiserade plattformar som Classera och Certifier. Dessa plattformar kräver ingen förståelse för PKI eller CSR-format. Istället arbetar de med användarvänliga gränssnitt där du väljer en certifikatmall, anger deltagarnas namn, kursinformation och datum. Du kan ladda upp en CSV-fil med alla deltagare och sedan klicka på Issue eller Publish. Plattformen genererar då digitala certifikat i PDF- eller PNG-format och distribuerar dem via e-post eller nedladdningslänkar.
Classera är en utbildningsplattform som används av många skolor och utbildningsorganisationer. I Classera kan du gå till certifikatmodulen, välja en mall som du har skapat eller använt tidigare, och sedan fylla i dynamisk information som deltagarnamn och kurs. Du kan utfärda certifikat till enskilda deltagare eller till en hel klass samtidigt. Certifier är en annan plattform som fokuserar på att skapa certifikat online. Där väljer du en av de fördefinierade mallarna eller laddar upp din egen design. Du lägger till mottagare, antingen manuellt eller via CSV, och justerar textfält som namn, datum och kursbeskrivning. När du är klar klickar du på Issue och certifikaten genereras och skickas ut.
För organisationer som behöver utfärda stora volymer certifikat med regelbundna mellanrum är plattformar som Classera och Certifier en effektiv lösning. Du slipper hantera tekniska detaljer som nyckelgenerering och signering. Det räcker med att du





