Zelf een sleutelpaar en CSR genereren op Linux of BSD

Het is mogelijk om NederHost het beheer van uw geheime sleutel uit te laten voeren, bijvoorbeeld als u het certificaat op uw website bij NederHost gaat gebruiken. Als u een certificaat aanvraagt voor uw eigen server dan adviseert NederHost u echter zelf het sleutelpaar te genereren zodat uw geheime sleutel uw server niet hoeft te verlaten.

Uw publieke sleutel en een aantal andere gegevens voegt u samen in een CSR of Certificate Signing Request. Dit CSR wordt ondertekend met uw geheime sleutel zodat de juistheid van de gegevens gewaarborgd is. Dit betekent ook dat NederHost een door u ingediende CSR niet kan aanpassen. Sleutelpaar en CSR kunt u op BSD of Linux eenvoudig genereren met OpenSSL, bijvoorbeeld als volgt:

openssl req -new -nodes -newkey rsa:2048 \
  -keyout private_key.pem -out csr.pem

Na het ingeven van dit commando wordt u een aantal vragen gesteld. Hierbij vult u het volgende in:

  • Common Name (CN): de naam van de website of server waarvoor het certificaat moet worden verstrekt, begin met *. (asterisk gevolgd door een punt) voor een wildcard-certificaat.
  • Organisation (O) en Organisational Unit (O): hier vult u de organisatienaam en eventueel uw afdeling in. Vul altijd een Organisation in, zelfs als u van plan bent een certificaat met domeinvalidatie aan te vragen. Als het certificaat voor persoonlijk gebruik aanvraagt dan kunt u bij Organisation uw naam invullen.
  • Locality (L): vul hier uw woonplaats in; ook dit veld vult u altijd in.
  • State/Provice (S, ST of SP): vul hier uw staat in of, indien niet van toepassing, uw provincie.
  • Country (C): vul de tweeletterige landcode in (bijvoorbeeld NL voor Nederland of BE voor België).

Overige velden kunt u in principe leeg laten of naar eigen goeddunken invullen. Na de sleutelgeneratie heeft u twee bestanden:

  • Het bestand private_key.pem bevat uw geheime sleutel; deze dient u zorgvuldig te bewaren en geheim te houden. Let op: als u niet meer beschikt over uw geheime sleutel dan moet u een nieuw certificaat aanvragen en opnieuw betalen. Maak daarom tenminste één backup en bewaar die op een veilige plaats.
  • Het bestand csr.pem bevat uw CSR en kunt u naar NederHost uploaden tijdens het bestelproces.

Gerelateerde artikelen

Uw sleutel laten beheren door NederHost
De eenvoudigste manier om een certificaat aan te vragen is door NederHost uw sleutelbeheer uit te voeren. Uw certificaat kan dan automatisch worden geïnstalleerd op uw website bij NederHost.
Zelf een sleutelpaar en CSR genereren op Windows met IIS
Volg deze stappen als u een SSL-certificaat wilt aanvragen voor gebruik op uw eigen IIS-installatie.