We zouden voor enkele webdiensten een certificaat willen aankopen (bijv. voor secure.olen.be). Hoe begin je hieraan en waar kan je hiervoor terecht?
Tips?
Ik heb al vernomen dat een certificaat voor een volledig domein nogal duur is, maar dat dit voor een subdomein meevalt (ong. 170 euro/jaar?).
| Auteur | Bericht |
|---|---|
|
|
|
|
Aankopen van Cerficaten in België oa. via:
https://www.certipost.be/webshop/ Certificaten gebruiken/installeren is naargelang de webserver of toepassing een specifieke procedure (Squid, Apache, IIS, ...). |
|
|
|
|
|
Ondertussen ook even bij Fedict geluisterd, zij geven (gratis) certificaten aan overheden.
|
|
|
|
|
|
Via Fedict zijn ze inderdaad gratis en binnen een dag of 2 heb je ze al.
|
|
|
|
|
|
Het CSR (Certificate Signing Request) moet op het toestel worden aangemaakt waarvoor het certificaat gaat dienen, toch? Of kan je dit op eender welke server aanmaken?
De aanvraag bij Fedict moet ook door een federale ambtenaar worden ondertekend. Wie of wat wordt daar mee bedoeld? Gemeente-ambtenaar is niet voldoende of zo? |
|
|
|
|
|
Als lokaal ambtenaar geen problemen gehad met het aanvragen van een certificaat, ook al staat er op dat een federaal ambtenaar moet tekenen.
Als je briefpapier gebruikt van de gemeente met een officiële zegel, dan zien ze ook duidelijk dat je bent, wie dat je beweert te zijn. |
|
|
|
|
|
ok, bedankt. Volgens Vasco is het ook niet nodig om het CSR op de uiteindelijke server te genereren, dus dat is ook al een probleem minder. :)
|
|
|
|
|
|
Allé zeg, had ik dat geweten, enkele dagen terug nog een certificaat gekocht voor ons intranet en enkele weken geleden voor onze webmail. Worden die Fedict certificaten geaccepteerd door de gangbare browsers of moet de gebruiker allerhande beveiligingswaarschuwingen negeren?
Waar ergens kan je die aanvragen? (link, mailades, ...) |
|
|
|
|
Je kan je vraag richten aan servicedesk@fedict.be, zij helpen je verder aan de juiste formulieren enz.
Heb ondertussen het certificaat aangekregen, en kunnen installeren op onze axsguard. Ik krijg echter nog steeds waarschuwingen en beveiligingsfouten, omdat de bovenliggende instantie niet kan geverifieerd worden. Van Fedict heb ik de bovenliggende certificaten ook mee doorgekregen en als ik die installeer, krijg ik de meldingen niet. Nu ben ik geen expert in certificaten, maar moet de browser deze niet via internet kunnen verifiëren? |
|
|
|
|
|
Dat maakt die Fedict certificaten al heel wat minder interessant.
De technische uitleg: Uw browser bevat standaard een aantal certificaten van certificatenuitgevers waardoor de browser certificaten uitgegeven door deze instanties vertrouwt. Wanneer de browser een certificaat dat niet door één van deze instanties ondertekend is tegenkomt (bvb. self signed certificaten), krijg je die fameuze beveiligingswaarschuwing. Nu ben ik van mening dat je uw gebruikers verkeerd gedrag aanleert wanneer je ze leert die beveiligingswaarschuwingen te negeren, vroeg of laat surft een gebruiker naar een phising site en klikt de waarschuwing weg, met alle gevolgen vandien. Er zijn twee mogelijkheden: Voor intern gebruik kan je zelf een Certificate Authority server (CA) opzetten (zit standaard in Windows Server) en via deze server zelf certificaten uitgeven. De certificaten uitgegeven door een CA die deel uitmaakt van uw domein worden door de pc's in uw domein standaard vertrouwd omdat ze deze certificaten via Active Directory doorkrijgen (enkel via Internet Explorer, bij Firefox ea. dien je het CA certificaat manueel toe te voegen). Voor extern gebruik met pc's van buiten uw organisatie (zoals wij doen voor Outlook Web Access en binnenkort ons intranet dat ook van buitenaf toegankelijk wordt) werkt dit niet omdat deze deze pc's niet in uw domein zitten. Daar moet je dus een certificaat aankopen bij een instantie die de browsers standaard vertrouwen. Aangezien de certificaten van FedICT niet vertrouwd worden zijn lijken deze mij dus nutteloos. |
|
|
|
|
In Harelbeke werken we ook met CA-Cert certificaten en wij hebben in de webmail documentatie uitleg voorzien hoe de mensen het root certificaat van CA-Cert kunnen installeren.
Dat is meestal een éénmalige actie omdat de mensen hun webmail meestal van op de zelfde computer raadplegen. Na installatie van het root certificaat krijgt de gebruiker geen foutmeldingen, tenzij het certificaat vervallen of niet meer geldig zou zijn. Steven |
|
|
|
|
Wij gebruiken al een hele tijd een Fedict-certificaat voor onze OWA en krijgen geen enkele beveiligingswaarschuwing. Wel moet je de volledige keten van certificaten bekend maken aan de server.
Het Fedict-certificaat is ondertekend door Government CA. Dit is op zijn beurt ondertekend door Belgium Root CA2, wat op zijn beurt ondertekend is door het GlobalSign Root CA. Het is pas deze laatste die door elke browser wordt vertrouwd. Om ook het Fedict-certificaat te laten vertrouwen door alle browsers moet je de tussenliggende certificaten, die Fedict meelevert, ook op de server installeren, maar dan als een Intermediate Certification Authority. Dan herkent de server het certificaat als betrouwbaar (want origineel ondertekend door GlobalSign), en zal het dit ook zo doorgeven aan de browser. Als ik me het goed herinner moest dit zowel op onze Exchange-server als op onze firewall gebeuren om zonder waarschuwingen te kunnen werken. |
|
|