Snabbguide till att skapa certifikat

Open SSL-kommando: openssl genrsa -out privatekey.key 2048

• Byt texten ”privatekey.key” till önskat värde.
• Värdet som du har valt bestämmer det filnamn där du ska skriva den privata nyckeln.
• Certifikattjänsten stödjer tills vidare bara nycklar med 2048 bitar.
• Kommandot skapar en ny privat nyckel i formatet base64 i en fil med namnet ”private.key” i önskad mapp på din arbetsstation.
  • Den privata nyckeln ska hemlighållas och det rekommenderas inte att skapa den på arbetsstationen. Till exempel vid användningen av molnbaserade datortjänster lönar det sig att skapa den privata nyckeln direkt till en säker plats.

Open SSL-kommando: Openssl req -new -key newprivate.key -out certificaterequest.csr

• Byt filnamnet ”privatekey.key” till samma namn som du använde tidigare när du skapade den privata nyckeln.
• Byt texten ”examplecsr.csr” till önskat värde. Värdet som du har valt bestämmer det filnamn som CSR skrivs till.
• CSR bildas genom att använda den privata nyckel som du har skapat.
• Kommandot skapar en ny CSR i formatet base64 med namnet ”private.key” i önskad mapp på din arbetsstation.
• Använd den CSR i formatet base64 som finns i filen när du hämtar certifikatet med gränssnittet för certifikattjänsten eller via det tekniska PKI-gränssnittet.
  • Ett certifikat som har hämtats med gränssnittet för certifikattjänsten har filformatet .pem. Certifikatfilen kan också sparas med filformatet .crt. Du kan använda någotdera filformat när du skapar pfx-filen med ett Open SSL-kommando.
  • Om du använder PKI web service är det returnerade och signerade certifikatet i svarsmeddelandet i början av meddelandet i blocket <certificate>.
  • Observera att signaturcertifikatet är i slutet av meddelandet inne i blocket <signature> i blocket <x509certificate>. Detta ska inte blandas med det utifrån CSR signerade certifikatet som finns i blocket <certificate>.

Open SSL-kommando: openssl pkcs12 -export -out certificatepfx.pfx -inkey privateKey.key -in certificate.crt

• PKCS#12- eller pfx-filen är ett framställningssätt i binärformat som används för att i en krypterad fil spara kryptografiska objekt, såsom privata nycklar, certifikat och certifikatkedjor.
• Byt texten ”certificatepfx.pfx ” till önskat värde. Det värde som du har valt fastställer namnet på pfx-certifikatfilen.
• Byt filnamnet ”privatekey.key” till samma namn med vilket du skapade den privata nyckeln tidigare.
• Byt filnamnet ”certificate.crt” till samma namn som den fil har där du har sparat det certifikat som du har hämtat från certifikattjänsten.
• Kommandot i fråga skapar en sådan pfx/PKCS12-fil av den hämtade certifikatfilen och den privata nyckeln som ställs i programmet för gränssnittsanrop.
• OpenSSL föreslår också att du lägger till ett ytterligare lösenord för filen. Det kan du göra om du vill.
• Den skapade pfx/PKCS12-filen innehåller den privata nyckeln och därför ska också denna fil hemlighållas.

• Förnyandet av ett certifikat innebär i praktiken att du beställer ett nytt certifikat tekniskt via gränssnittet PKI web service. Certifikat kan förnyas tidigast 60 dagar innan det nuvarande certifikatet går ut. Efter att certifikatet har gått ut går det inte att förnya det utan då ska du beställa ett nytt certifikat från certifikattjänsten.
• Innan certifikatet förnyas skapas en ny privat nyckel med vilken en ny CSR bildas. Den ursprungliga privata nyckeln som användes för det gällande certifikatet kan inte längre användas när den nya CSR bildas.
• Meddelandet om förnyandet som skickas till gränssnittet PKI web service signeras med den ursprungliga privata nyckeln för det gällande certifikatet. Signaturer fungerar som stark autentisering av den som lämnar begäran när certifikatet förnyas. Om giltighetstiden för certifikatet har gått ut ska du beställa ett nytt certifikat från certifikattjänsten.

Mer information i den tekniska anvisningen: Tekniska anvisningar – vero.fi