Ga naar inhoud
  • 1

Handleiding Certificaat aanmaken


Bachje

Vraag

Is er ergens een Nederlandstalige handleiding hoe ik in FM 19 het beveiligingscertificaat kan maken? Ik heb begrepen dat het de afgelopen versies hier en daar veranderd is. Met FM server 18 kwam ik er ook al niet uit en heb het maar gelaten maar nu wil ik het eens een keer oplossen.

Is er een helder stappenplan of kan iemand dat puntsgewijs voor me aanduiden? Ik heb al een plek gevonden waar in voor 20 euro een comodo cetrificaat kan maken.... Maar hoe en dan?

alvast bedankt

Franc

Link naar reactie

8 antwoorden op deze vraag

Aanbevolen berichten

  • 0

De informatie van Claris is i.m.o. een beetje verwarrend en de tools in FMServer zijn erg beperkt. Ik gebruik daarom zelf OpenSSL (zit tegenwoordig standaard aan boord van Windows, CentOS én MacOS). 

Genereren private-key en CSR
Gebruik de terminal (MacOS en Linux) of powershell (Windows) voor het commando:

openssl genrsa -aes256 -out temp_fmskey.pem 2048

Geef een wachtwoord op en bewaar dat samen met dit bestand

Vervolgens haal je het wachtwoord uit het key-bestand met:

openssl rsa -in temp_fmskey.pem -out fmskey.pem

Nu kan de csr worden gegenereerd met:

openssl req -new -key fmskey.pem -out fms.csr

Bij de "Common name" vul je de fqdn (fully qualified domain name) in.
Laat het antwoord op de laatste vraag voor de csr: "A challenge password" leeg. 

Certificaat aanvragen
Upload de csr naar certificaat-leverancier.

Certificaat installeren
Het antwoord is een zip, daaruit heb je nodig het crt-bestand + het intermediate certificate. Voor Sectigo zit dat in de map rootcertificates en heet "Sectigo_RSA_Domain_Validation_Secure_Server_CA.crt"

Deze twee bestanden plus het key-bestand moet je uploaden naar de fms (wachtwoord voor de key-bestand is als het goed is niet nodig). Daarna de FMS even opnieuw starten en je bent klaar.

 

Voorbeeld op commandline
Een voorbeeld van de uitdraai op de commandline. Eerst het aanmaken van de sleutel:

Macbook:$ openssl genrsa -aes256 -out fmskey.pem 2048

Generating RSA private key, 2048 bit long modulus
...+++
..........+++
e is 65537 (0x10001)
Enter pass phrase for fmskey.pem:
Verifying - Enter pass phrase for fmskey.pem:

Daarna het genereren van de CSR (Certificate Signing Request):
Macbook:$ openssl req -new -key fmskey.pem -out fms.csr

Enter pass phrase for fmskey.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:NL
State or Province Name (full name) []:Utrecht
Locality Name (eg, city) []:Utrecht
Organization Name (eg, company) []:MyCompany
Organizational Unit Name (eg, section) []:
Common Name (eg, fully qualified host name) []:fmserver.mycompany.nl
Email Address []:info@mycompany.nl

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:

De laatste vraag blijft leeg en het resulaat is dan de csr, die je kan uploaden naar bijvoorbeeld xolphin voor de aanvraag

Link naar reactie
  • 0

Dank Menno.

Dat maakt het wel helderder

Drie vragen

  • over het domein/hostname. Moet dat een bestaand subdomein zijn? Moet ik iets plaatsen op dat domein? Mijn FM server is namelijk niet gelinkt aan een subdomein. De databases worden benaderd via een fmclient en één database via webdirect (verborgen pagina waar alleen medewerkers bij kunnen).
  • Je schrijft dat ik een opdrachtpromt moet doen en een wachtwoord moet opgeven en opslaan. Geen probleem die begrijp ik. Maar dan schrijf je:  Vervolgens haal je het wachtwoord uit het key-bestand met: openssl rsa -in temp_fmskey.pem -out fmskey.pem. Waarom moet ik het wachtwoord daaruit halen als ik dat al heb opgeslagen?
  • Ik heb bij xolphin op de website gekeken en wordt voor een ssl naar https://www.sslcertificaten.nl/ verwezen. ik neem aan dat ik daar voor domein validatie moet kiezen (niet publiekelijk) en dan standaard?
aangepast door Bachje
Link naar reactie
  • 0
Op 25/11/2020 om 13:17 zei Bachje:

Dank Menno.

Dat maakt het wel helderder

Drie vragen

  • over het domein/hostname. Moet dat een bestaand subdomein zijn? Moet ik iets plaatsen op dat domein? Mijn FM server is namelijk niet gelinkt aan een subdomein. De databases worden benaderd via een fmclient en één database via webdirect (verborgen pagina waar alleen medewerkers bij kunnen).
  • Je schrijft dat ik een opdrachtpromt moet doen en een wachtwoord moet opgeven en opslaan. Geen probleem die begrijp ik. Maar dan schrijf je:  Vervolgens haal je het wachtwoord uit het key-bestand met: openssl rsa -in temp_fmskey.pem -out fmskey.pem. Waarom moet ik het wachtwoord daaruit halen als ik dat al heb opgeslagen?
  • Ik heb bij xolphin op de website gekeken en wordt voor een ssl naar https://www.sslcertificaten.nl/ verwezen. ik neem aan dat ik daar voor domein validatie moet kiezen (niet publiekelijk) en dan standaard?
  • Ik veronderstel dat je het eenvoudigste type certificaat gaat gebruiken en dan is het voldoende dat je kan aantonen het hoofddomein te beheren
  • Mijn ervaring is dat het wachtwoord voor een keybestand "zoek" raakt en dus vind ik het handiger om het wachtwoord er uit te slopen. Je moet namelijk iedere keer dat je het keybestand bij een certificaat upload het wachtwoord opgeven. Het hoeft er niet te worden uitgesloopt.
  • Ja de goedkoopste variant is voor jouw toepassing perfect. De systeembeheerder van één van mijn klanten heeft voor de fmserver een EV-certificaat aangevraagd ..... totaal overbodig, want een duurder certificaat geeft helemaal géén betere versleuteling! Een duurder certificaat geeft alleen maar een grondigere zekerheid over de validatie van het domein en eventueel de eigenaar, verder niks. Dus gewoon het goedkoopste certificaat aanschaffen, dat is voor fmserver prima.
Link naar reactie
  • 0

Dan open je waarschijnlijk van de  lokale hosts, die door apple-bonjour worden gepubliceerd. Apple-bonjour plakt een punt achter de servernaam ipv alleen de servernaam/fqdn te publiceren.

Voeg een favoriete host toe met de fqdn en open dan daarmee een bestand op je server. Waarschijnlijk heb je dan nog een oranje slot omdat fmp die koppeling onderhuids nog heeft. Sluit daarom fmp even af en open deze weer en als het goed is dan je favoriete host meteen geslecteerd. Zodra je nu iets opent, zal het slotje groen zijn.

Link naar reactie

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Beantwoord deze vraag...

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...