Home
Support
FAQ
Certificaat volgorde

Certificaat volgorde

Om als geldig te worden herkend door alle browsers, moet de webserver naast het eigen certificaat de hele certificaatketen in de juiste volgorde doorgeven. Ondanks dat er maar één geldige volgorde is van de keten, wijkt deze vaak af van de volgorde waarin de certificaten geïnstalleerd worden op de webserver. Zowel op onze download pagina's als in de levering email staat de juiste volgorde van de intermediate en root certificaten. Het root certificaat van de CA hoeft in de meeste gevallen niet meegenomen te worden in de configuratie, deze staat tegenwoordig meestal standaard als vertrouwde root op de cliënt die verbinding zoekt.

Apache tot 2.4.8

 SSLCertificateFile /pad/naar/het/eigen-certificaat.crt
 SSLCertificateChainFile /pad/naar/het/intermediate-bundel.crt

De intermediate-bundel kun je aanmaken met een tekst-editor zoals Kladblok. Deze bevat dan de 1 of 2 geleverde intermediate certificaten in onderstaande volgorde:

 -----BEGIN CERTIFICATE-----
 code Intermediate certificaat
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 code 2e Intermediate certificaat (indien van toepassing)
 -----END CERTIFICATE-----

Apache vanaf 2.4.8 en Nginx

Nginx en Apache 2.4.8 en hoger gebruiken voor het SSLCertificateFile of ssl_certificate directive de onderstaande notatie;

Dit bestand is te maken met het cat commando:

 cat www_sslcertificaten_nl.crt 2e_intermediate.crt 1e_intermediate.crt > certificaat_bundle.crt

Andere webservers

Voor andere webservers die bijvoorbeeld actief zijn in routers of VPN applicaties is het vaak noodzakelijk om vanaf het root certificaat een voor een de certificaat bestanden te importeren. Dit doe je totdat je uiteindelijk het eigen certificaat importeert. Hierdoor kan de keten tot het root worden gecontroleerd bij het importeren.

Windows

Een Windows server zorgt zelf voor de juiste volgorde wanneer de bijbehorende intermediate certificaten zijn geïnstalleerd. Dit gebeurt automatisch wanneer de lopende aanvraag is voltooid met het geleverde .p7b bestand. Anders kunnen deze vanuit de Root certificaten map van de geleverde ZIP file alsnog worden gedaan. Deze handleiding gaat hier verder op in.