Veilig bewaren van de private key van je certificaat

Het veilig bewaren van je private key van je certificaat is het belangrijkste aspect bij asymmetrische cryptografie. Als iemand anders in het bezit komt van jouw private key, kan deze gebruikt worden om de rechtmatige eigenaar te imiteren. Daarom is het erg belangrijk dat de private key alleen in het bezit is van geautoriseerde gebruikers, en moeten private keys worden beschermd tegen ongeoorloofd gebruik.

Ieder besturingssysteem gaat anders om met het bewaren van de private key, dit bespreken we in de volgende alinea's. Naast besturingssysteem specifieke methodes zijn er ook nog algemene methodes:

  • Zorg ervoor dat de fysieke- en netwerkbeveiliging voor computers en apparaten waarop persoonlijke sleutels worden gegenereerd en opgeslagen, van voldoende niveau is.
  • Zorg ervoor dat private keys nooit gedeeld worden via een openbaar medium. Xolphin vraagt nooit om private keys, deze hebben we dus ook niet in ons bezit.

Windows

Bij het genereren van een CSR op een Windows systeem wordt de sleutel bewaard in het certificaatarchief op het apparaat zelf. Alleen door het certificaat en de private key in PFX-formaat te exporteren, is de private key buiten het systeem beschikbaar, je kunt de PFX beschermen door middel van een wachtwoord. Het bewaren van zowel het PFX-bestand als het wachtwoord op een veilige plek is voldoende tegen ongeoorloofd gebruik.

macOS

Certificaten en private keys worden opgeslagen in het hulpprogramma Keychain. Deze wordt beschermd door het inlogwachtwoord, dus het is verstandig om altijd een wachtwoord in te stellen voor de gebruikersaccount. Om extra veiligheid aan de sleutelhanger toe te voegen, is het mogelijk om een ??ander wachtwoord voor Keychain in te stellen. Wanneer het apparaat een tijd niet gebruikt wordt, vergrendelt Keychain zichzelf automatisch.

Linux

Op Linux systemen wordt de sleutel meestal gegenereerd met OpenSSL en opgeslagen als een PEM-geformatteerd bestand. Zorg ervoor dat deze in een niet toegankelijke directory wordt bewaard, behalve de root, met beveiligde privileges. Dit kan met de volgende commando's:

 chown root *.key *.csr
 chmod 600 *.key *.csr

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.