Inleiding

Dit document beschrijft de procedure voor het aanvragen van TLS certificaten. Certificaten worden geleverd door DigiCert. Hierdoor wordt de betrouwbaarheid gewaarborgd. Certificaten van DigiCert worden door alle gangbare browsers en andere clients ondersteunt.

Deze procedure is geschreven voor de systeem- en applicatiebeheerder die een TLS certificaat wil aanvragen. Een beheerder wordt geacht voldoende kennis te hebben voor het aanmaken van een CSR en het installeren van de benodigde certificaten. De beheerder dient tevens geautoriseerd te zijn om dat te doen.

De Universiteit maakt gebruik van zogenaamde CAA records. Hiermee wordt aangegeven welke leveranciers van certificaten we accepteren voor onze domeinen. Dit wordt gedaan om te voorkomen dat malafide leveranciers certificaten voor onze domeinen verstrekken voor illegaal (crimineel) gebruik. Wij staan momenteel certificaten toe van de volgende leveranciers:

 • DigiCert (door LISA geleverd)
 • Let's Encrypt
Recht op aanvraag TLS certificaat

Alle certificaten, die de Universiteit Twente verstrekt volgens de in dit document beschreven procedure, zijn gratis.

Iedere medewerker, die officieel in dienst is bij de Universiteit Twente, en iedere student, die studeert aan de Universiteit Twente, heeft recht op een persoonlijk certificaat. Een persoonlijk certificaat kan gebruikt worden voor het ondertekenen en versleutelen van e-mail en voor identificatie richting websites e.d.

Certificaten kunnen alleen worden aangevraagd voor domeinen die volgens een onafhankelijke derde partij (b.v. SIDN) in eigendom zijn van de universiteit. Servers binnen die domeinen kunnen van deze certificaten worden voorzien. Voor persoonlijke websites, sites van verenigingen etc. onder een eigen domein kunnen geen certificaten worden aangevraagd. Indien een vereniging een certificaat wenst, dienen ze het houderschap van het domein over te dragen aan de Universiteit Twente.

Deelnemers aan de eScience Grid Computing community hebben ook recht op een eScience server certificaat voor de servers en clients die verbinding maken met een eScience grid.

Aanvraag server certificaat

Aanvragen voor server certificaten kunnen gedaan worden via de ICT servicedesk, via e-mail of de self-service pagina. Als je vaak certificaten aanvraagt, bestaat de mogelijkheid om de aanvraag rechtstreeks bij DigiCert te doen. Als je hiervoor in aanmerking denkt te komen, dien dan een verzoek in bij de ICT Servicedesk.

Vergeet niet aan te geven voor welke omgeving het certificaat bestemd is. Je krijgt dan namelijk het certificaat en eventueel benodigde chaining certificaten in het voor jouw systeem optimale formaat aangeleverd.

Een CSR dient in PEM-formaat beschikbaar te zijn. Een CSR wordt aangemaakt met een sleutel.

Deze sleutel moet minimaal een sterkte hebben van RSA 2048 bits. De hash moet voldoen aan SHA-256.

In de CSR moeten de volgende gegevens worden ingevuld:

 • C (Country) - NL
 • ST (State) - OV
 • L (Locality) - Enschede
 • O (Organization) - University of Twente
 • OU (Organizational Unit) - de officiele (Engelse) benaming of afkorting van de eenheid binnen de universiteit
 • CN (common Name) - De hostname waarvoor het certificaat gebruikt moet worden

De eerste vier (C, ST, L, O) staan vast en worden eventueel tijdens de aanvraag aangepast naar de correcte waarde. CN is een verplicht veld en bevat de primaire hostnaam. OU is optioneel.

Indien je een aanvraag indient voor een eScience server certificaat, dien je dit expliciet te melden. Verder geldt dat een dergelijk certificaat maar 13 maanden geldig zal zijn en dat alle velden ASCII dienen te zijn. Dit is zo afgesproken binnen de "grid community". Dit type certificaat is dus alleen bestemd voor deelnemers aan eScience Grid Computing.

Een wildcard in de CN is alleen mogelijk als je geen SAN gebruikt. Een wildcard kan ook alleen gebruikt worden in het host-part van de CN. We staan echter geen wildcards toe als de scope te groot wordt. Een aanvraag voor *.eenheid.utwente.nl wordt niet toegekend. Een aanvraag voor *.vereniging.utwente.nl wel. In dat geval krijg je automatisch een SAN van vereniging.utwente.nl. Als je dus een TLS certificaat wenst voor de websites van de vereniging is dit een goede keuze. Je kunt alsnog een apart certificaat aanvragen voor bijvoorbeeld de mailserver.

Als je wilt dat een enkel certificaat geschikt is voor meer hosts, dan moet je Subject Alternative Names (SAN's) gebruiken. Hierbij is het gebruik van wildcards niet mogelijk. Je moet dus alle mogelijke namen opnoemen. Bij een wijziging dien je een nieuw certificaat aan te vragen.

De verdere verwerking om tot een ondertekend certificaat te komen wordt door LISA binnen enkele dagen uitgevoerd.

Certificaten worden standaard aangevraagd voor 2 jaar.

Indien de aanvraag is afgehandeld, ontvang je een e-mail met het getekende certificaat.

Vergeet niet om, voor een correcte werking van clients, ook het Chaining Certificate te installeren op de server. Als je hebt aangegeven voor welke omgeving het certificaat bestemd is, krijg je het in het optimale formaat aangeleverd.

Aanvraag persoonlijk certificaat

Een persoonlijk certificaat kan rechtstreeks aangevraagd worden via de website van DigiCert: www.digicert.com/sso. Doe dat niet op een publieke computer. Je certificaat wordt namelijk opgeslagen in de browser.

Vul als Identity Provider “Universiteit Twente” in. Je kunt ook gewoon beginnen met “Twente” te tikken en als “Universiteit Twente” verschijnt, die selecteren. Daarna moet je inloggen op de login-pagina van de Universiteit Twente. De eerste keer zal gevraagd worden of de getoonde informatie aan DigiCert mag worden doorgegeven. Controleer de gegevens en geef, indien alles in orde is, je goedkeuring.

Op de volgende pagina kun je zien welke certificaten je hebt. Je kunt ze intrekken (revoke) of een nieuwe aanvragen. Voor dat laatste kies je als product “Premium”. Klik vervolgens op “Request Certificate”.

Het certificaat wordt vervolgens gegenereerd en in de browser opgeslagen. Maak hier een backup van. Dat kan meestal via de “Advanced - Certificates” opties of instellingen van de browser. Zorg voor een goed wachtwoord.

Nu kan het certificaat ingelezen worden in je mailclient en/of andere browsers die je gebruikt op dezelfde of andere computers. Let er op dat je het certificaat niet op publieke computers installeert.

Eisen aan systemen

Om de beveiliging te waarborgen van een systeem en de communicatie worden er een aantal eisen gesteld, voordat een systeem in aanmerking komt voor een certificaat. We controleren (web)servers standaard met de tool SSL Labs van Qualys. In die test dient een score van minimaal A gehaald te worden.

Verder heeft het Forum Standaardisatie een aantal eisen opgesteld waaraan servers van de universiteit dienen te voldoen.De belangrijkste worden hieronder genoemd.

 • HTTPS; alle servers dienen gebruik te maken van HTTPS t.b.v. de communicatie.
 • TLS 1.2; het te gebruiken protocol voor versleuteling dient minimaal TLS 1.2 te zijn in het geval het een EV certificaat betreft. Voor niet EV-certificaten is geldt een overgangsperiode 1 januari 2020 waarin TLS 1.0 is toegestaan. Het gebruik van SSL is verboden.
 • HSTS; om te voorkomen dat aanvallers toch verkeer, zoals cookies e.d., achterhalen en/of wijzigen, dient gebruik gemaakt te worden van HSTS.

Bij het aanvragen van een certificaat, wordt op deze zaken gecontroleerd.