Aanvraag SSL-certificaat eigen klantdomein

Beschrijving

Algemeen

Een SSL-certificaat wordt o.a. gebruikt om de verbinding tussen de gebruiker en de server te beveiligen door de communicatie te versleutelen. De meest herkenbare vorm van gebruik van SSL is de HTTPS aanduiding voor een website. De 'S' geeft in dit geval aan dat de verbinding secure is.

Een certificaat kun je niet zomaar installeren. Daartoe dient de klant de eigenaar van de domeinnaam te zijn. En als eigenaar (of gedelegeerde) kun je dan een SSL-certificaat aanvragen bij een Certificate Authority (bijv. Comodo).

Het generieke proces is als volgt:

  1. Je maakt op een (web)server een certificate request aan. Dit geschiedt op basis van een private key van de machine waarop je het request aanmaakt. 
  2. Vervolgens maak je met het certificate request een verzoek aan bij de Certificate Authority.
  3. Als het request (vaak na controle) wordt toegekend, geeft de CA een certicate af.
  4. Met dit certificate kun je het certificate request afronden (bijv. op je webserver) en kun je dus je site beschikbaar maken met HTTPS. 

Soorten certificaten

Er zijn 3 soorten SSL-certificaten die worden uitgegeven door een CA:

  1. Extended validation (EV SSL)
    De CA controleert of men de eigenaar is van een domein, maar screent ook nog eens vrij intensief de aanvragende organisatie.
    Dit type certificaat was herkenbaar aan de groene balk in de browser.
  2. Organization validation (OV SSL)
    De CA controleert of men de eigenaar is van een domein, maar screent ook nog eens enkele zaken van de aanvragende organisatie.
  3. Domain validaton (DV SSL)
    De CA controleert of men de eigenaar is van een domein, maar zal geen onderzoek doen naar de organisatie.

De versleutelingsniveaus van de certificaten zijn hetzelfde. Het verschil zit hem dus in de mate waarin de CA controleert of jij de rechtmatige eigenaar van het domein bent.

Het is aan de klant zelf om te bepalen welk niveau van screening zij wensen voor hun certificaat. The Courseware Company zelf maakt gebruik van OV SSL voor haar domeinen.

Wij staan geen self signed certificates toe, omdat die nl. niet door een CA zijn uitgegeven en eigenlijk alleen voor testdoeleinden zijn bedoeld. De gebruikers van de site kunnen bij een self-signed certificate ook hinder ondervinden omdat niet alle browsers dit standaard zullen ondersteunen.

Aanvragen voor klantdomein SSL-certificaten

Twee mogelijkheden

Dit is dus NIET van toepassing voor een klantdomeinnaam die door TCC wordt beheerd (dus bijv. iets met ekphost.com, ekphost.nl, tthost.nl of lmshost.nl)

Bij het aanvragen van een klantdomein (bijv. leren.klantxyz.nl)  kunnen zich twee situaties voordoen:

  1. De klant verzorgt zelfstandig de gehele aanvraag en het aanleveren van het SSL-certificaat. 
    1. In dat geval leveren zij ons enkel de benodigde bestanden aan.
    2. Wij geven deze bestanden dan vervolgens door aan Proserve om te installeren voor de betreffende leeromgeving(en).
  2. Wij spelen een rol in dit proces, door het certificate request aan te maken voor de klant. 

Hieronder staan beide situaties nader toegelicht.

Klant regelt alles zelf

In dit geval rond de klant het hele aanvraag- of vernieuwingsproces helemaal zelfstandig af. Uiteindelijk heeft de klant een certificaat in handen en zal dit aan ons beschikbaar moeten stellen om te installeren voor hun door ons gehoste leeromgeving.

Om het certificaat te kunnen installeren hebben wij dan wel een volledige set aan bestanden nodig. Dat houdt in:

  • Het certificaat
  • De private key en
  • De bijbehorende CA-bundel.
Met name de private key wordt heel vaak in eerste instantie niet meegeleverd. Deze is echter cruciaal om het certificaat te kunnen installeren.

Vanwege de gevoeligheid zou de private key dan wel versleuteld verzonden moeten worden. Het wachtwoord stuurt men dan het beste separaat van de key naar ons toe.

TCC maakt het certificate request

In dit geval genereren wij het certificate request. Voordeel van deze methode is dat wij de private key al hebben en zodra de klant het certificaat heeft ontvangen, enkel dit naar ons hoeft te sturen. Het betekent wel meer werk voor ons. 

Om het certificate request te kunnen maken, hebben we de volgende informatie aangaande de klant nodig:

  1. Common name (bijv. leren.klantxyz.nl)
  2. Organization (bijv. KlantXYZ BV)
  3. Organization unit (bijv. HR)
  4. City/locality (bijv. Utrecht)
  5. State/province (bijv. Utrecht)
  6. Country/region (bijv. NL)

Dit verzoek sturen wij dan naar de klant, die met het verzoek het certificaat kan aanvragen. 

Het door de CA uitgegeven certificaat kunnen zij dan weer aan ons geven, waarna wij het proces afronden en met medewerking van Proserve het nieuwe certificaat achter de website van de klant beschikbaar stellen.

Opmerkingen

Mogelijk gemaakt door Zendesk