Foutmelding - CSR ongeldig - private key geen 2048 bits

Probleem

Bij het verlengen van een certificaat vanuit IIS verschijnt tijdens het invoeren van de CSR op de website de volgende melding:

CSR Ongeldig: De private key moet een keysize hebben van minimaal 2048 bits.

Dit komt doordat de gebruikte CSR geen lengte heeft van minimaal 2048 bits, omdat de private key waarmee het is aangemaakt ook geen 2048 bits is.

Alle certificaatleveranciers accepteren inmiddels alleen CSR's met een lengte van 2048 bits of hoger. Dit is gedaan om de veiligheid te waarborgen, omdat er wordt verwacht dat 1024 bit keys met enkele jaren te kraken zullen zijn. Bij het vernieuwen van een certificaat in IIS wordt echter geen optie gegeven om dit te wijzigen.

Oplossing

Om dit te verhelpen is het het handigst om eerst onder IIS een tijdelijke website aan te maken, en vandaaruit een CSR aan te maken; hierdoor wordt een nieuwe keypair aangemaakt en verschijnt de mogelijkheid om 2048 bits op te geven als keylengte. Daarna wordt de CSR aangemaakt en kan de aanvraag worden doorgezet.

Zodra het certificaat is ontvangen moet het certificaat ook onder deze website worden geïnstalleerd in de extra website. Nadat het is geïnstalleerd kan het in gebruik worden genomen door de oorspronkelijke website, en kan de extra website weer worden verwijderd.