Jump to content
  • 0
Bachje

Handleiding Certificaat aanmaken

Question

Is er ergens een Nederlandstalige handleiding hoe ik in FM 19 het beveiligingscertificaat kan maken? Ik heb begrepen dat het de afgelopen versies hier en daar veranderd is. Met FM server 18 kwam ik er ook al niet uit en heb het maar gelaten maar nu wil ik het eens een keer oplossen.

Is er een helder stappenplan of kan iemand dat puntsgewijs voor me aanduiden? Ik heb al een plek gevonden waar in voor 20 euro een comodo cetrificaat kan maken.... Maar hoe en dan?

alvast bedankt

Franc

Share this post


Link to post

5 answers to this question

Recommended Posts

  • 0

De informatie van Claris is i.m.o. een beetje verwarrend en de tools in FMServer zijn erg beperkt. Ik gebruik daarom zelf OpenSSL (zit tegenwoordig standaard aan boord van Windows, CentOS én MacOS). 

Genereren private-key en CSR
Gebruik de terminal (MacOS en Linux) of powershell (Windows) voor het commando:

openssl genrsa -aes256 -out temp_fmskey.pem 2048

Geef een wachtwoord op en bewaar dat samen met dit bestand

Vervolgens haal je het wachtwoord uit het key-bestand met:

openssl rsa -in temp_fmskey.pem -out fmskey.pem

Nu kan de csr worden gegenereerd met:

openssl req -new -key fmskey.pem -out fms.csr

Bij de "Common name" vul je de fqdn (fully qualified domain name) in.
Laat het antwoord op de laatste vraag voor de csr: "A challenge password" leeg. 

Certificaat aanvragen
Upload de csr naar certificaat-leverancier.

Certificaat installeren
Het antwoord is een zip, daaruit heb je nodig het crt-bestand + het intermediate certificate. Voor Sectigo zit dat in de map rootcertificates en heet "Sectigo_RSA_Domain_Validation_Secure_Server_CA.crt"

Deze twee bestanden plus het key-bestand moet je uploaden naar de fms (wachtwoord voor de key-bestand is als het goed is niet nodig). Daarna de FMS even opnieuw starten en je bent klaar.

 

Voorbeeld op commandline
Een voorbeeld van de uitdraai op de commandline. Eerst het aanmaken van de sleutel:

Macbook:$ openssl genrsa -aes256 -out fmskey.pem 2048

Generating RSA private key, 2048 bit long modulus
...+++
..........+++
e is 65537 (0x10001)
Enter pass phrase for fmskey.pem:
Verifying - Enter pass phrase for fmskey.pem:

Daarna het genereren van de CSR (Certificate Signing Request):
Macbook:$ openssl req -new -key fmskey.pem -out fms.csr

Enter pass phrase for fmskey.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:NL
State or Province Name (full name) []:Utrecht
Locality Name (eg, city) []:Utrecht
Organization Name (eg, company) []:MyCompany
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:fmserver.mycompany.nl
Email Address []:info@mycompany.nl

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:

De laatste vraag blijft leeg en het resulaat is dan de csr, die je kan uploaden naar bijvoorbeeld xolphin voor de aanvraag

Share this post


Link to post
  • 0

Dank Menno.

Dat maakt het wel helderder

Drie vragen

  • over het domein/hostname. Moet dat een bestaand subdomein zijn? Moet ik iets plaatsen op dat domein? Mijn FM server is namelijk niet gelinkt aan een subdomein. De databases worden benaderd via een fmclient en één database via webdirect (verborgen pagina waar alleen medewerkers bij kunnen).
  • Je schrijft dat ik een opdrachtpromt moet doen en een wachtwoord moet opgeven en opslaan. Geen probleem die begrijp ik. Maar dan schrijf je:  Vervolgens haal je het wachtwoord uit het key-bestand met: openssl rsa -in temp_fmskey.pem -out fmskey.pem. Waarom moet ik het wachtwoord daaruit halen als ik dat al heb opgeslagen?
  • Ik heb bij xolphin op de website gekeken en wordt voor een ssl naar https://www.sslcertificaten.nl/ verwezen. ik neem aan dat ik daar voor domein validatie moet kiezen (niet publiekelijk) en dan standaard?
Edited by Bachje

Share this post


Link to post
  • 0
Op 25/11/2020 om 13:17 zei Bachje:

Dank Menno.

Dat maakt het wel helderder

Drie vragen

  • over het domein/hostname. Moet dat een bestaand subdomein zijn? Moet ik iets plaatsen op dat domein? Mijn FM server is namelijk niet gelinkt aan een subdomein. De databases worden benaderd via een fmclient en één database via webdirect (verborgen pagina waar alleen medewerkers bij kunnen).
  • Je schrijft dat ik een opdrachtpromt moet doen en een wachtwoord moet opgeven en opslaan. Geen probleem die begrijp ik. Maar dan schrijf je:  Vervolgens haal je het wachtwoord uit het key-bestand met: openssl rsa -in temp_fmskey.pem -out fmskey.pem. Waarom moet ik het wachtwoord daaruit halen als ik dat al heb opgeslagen?
  • Ik heb bij xolphin op de website gekeken en wordt voor een ssl naar https://www.sslcertificaten.nl/ verwezen. ik neem aan dat ik daar voor domein validatie moet kiezen (niet publiekelijk) en dan standaard?
  • Ik veronderstel dat je het eenvoudigste type certificaat gaat gebruiken en dan is het voldoende dat je kan aantonen het hoofddomein te beheren
  • Mijn ervaring is dat het wachtwoord voor een keybestand "zoek" raakt en dus vind ik het handiger om het wachtwoord er uit te slopen. Je moet namelijk iedere keer dat je het keybestand bij een certificaat upload het wachtwoord opgeven. Het hoeft er niet te worden uitgesloopt.
  • Ja de goedkoopste variant is voor jouw toepassing perfect. De systeembeheerder van één van mijn klanten heeft voor de fmserver een EV-certificaat aangevraagd ..... totaal overbodig, want een duurder certificaat geeft helemaal géén betere versleuteling! Een duurder certificaat geeft alleen maar een grondigere zekerheid over de validatie van het domein en eventueel de eigenaar, verder niks. Dus gewoon het goedkoopste certificaat aanschaffen, dat is voor fmserver prima.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...