MKG logo
Inloggen

Hoe importeer je een SSL-certificaat in MKG?

De manier waarop je een SSL-certificaat importeert in MKG hangt af van de situatie (standaard of wildcard certificaat) en de methode die je kiest (via de MKG client of open source GUI tool). Dit artikel bevat de hoofdlijnen per scenario en methode.

 

 

 

De voorbereiding: het CSR-bestand en de SSL-certificaataanvraag

 

Voor het aanvragen of verlengen van een SSL-certificaat heb je een CSR-bestand nodig. Voor de verlenging bij de SSL-leverancier zal iedere keer hetzelfde (oorspronkelijke) CSR-bestand gebruikt moeten worden. Je vindt de CSR in \\apps\mkg_pas12XX\conf\mkgapi.<domein>.csr op de MKG-server. Mocht deze niet meer aanwezig zijn, volg dan onderstaande stappen om de CSR opnieuw te genereren:

 

1

Start MKG en log in met een account met beheerdersrechten.
2

Open Systeemanalyse en klik op Genereer initieel CSR bestand opnieuw.
3

Vul de organisatiegegevens in onder 'Certificaatgegevens'.
4

Vul onder 'Keystoregegevens' het Keystore wachtwoord in. Je kunt deze terugvinden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG-server (zie regel psc.as.https.keypass).
5

Voer vervolgens de Alias in. Je kunt deze terugvinden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG-server (zie regel psc.as.https.keyalias).
6

De CSR verschijnt in een pop-up en wordt opgeslagen in de genoemde map.
7

Vraag nu het SSL-certificaat aan bij je SSL-leverancier met behulp van de CSR. Bij sommige SSL-leveranciers is het niet nodig om de CSR opnieuw aan te bieden. Je ontvangt dan een 'certificaatbundel' bestaande uit onder andere een end-user certificate (het domein), een intermediate certificate en een root certificate.

 

 

Een standaard SSL-certificaat importeren via de MKG-client

 

 Let op!
Deze methode is alleen mogelijk indien de verlenging is uitgevoerd op basis van de huidige CSR. Benodigd zijn een MKG-client, een MKG-account met beheerdersrechten en een nieuwe certificaatbundel.

 

1

Start MKG en log in met een account met beheerdersrechten.
2

Open Systeemanalyse en klik op Importeer standaard SSL certificaat.
3

Selecteer de root, intermediate en end-user certificaten (*.crt / *.cer). Het root certificate en het intermediate certificate bevinden zich vaak in de submap Root certificates binnen de certficaatbundel. Het root certificate is in de meeste gevallen te herkennen aan de naam "root". Het end-user (klant) certificate bevindt zich op het bovenste niveau van de certificaatbundel en zal qua naamgeving onder andere de domeinnaam bevatten.
4

Voer de Algemene naam (CN) in, bijvoorbeeld mkgapi.metaalbedrijf-jansen.nl
5

Voer het Keystore wachtwoord in. Je kunt deze terugvinden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG-server (zie regel psc.as.https.keypass).
6

Voer vervolgens de Alias in (standaard is dat "mkgapi"). Je kunt deze terugvinden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG-server (zie regel psc.as.https.keyalias).
7

Klik op OK. Als er een foutmelding verschijnt, check dan het hoofdstuk Troubleshooting.
8

Herstart de MKG Application 12XX server-service om het certificaat te activeren.

 

 Let op!
Gebruikers ervaren een korte onderbreking in MKG. Vooraf uitloggen is niet nodig.
Alternatief: laat een geplande herstart van MKG Server uitvoeren buiten werktijd.

 

 

Een standaard SSL-certificaat importeren via KeyStore Explorer

 

 Let op!
Benodigd zijn: KeyStore Explorer (een open source GUI-tool van derden), een nieuwe certificaatbundel (pfx- of p12-bestand met decryption pwd), toegang tot de MKG-server. Downloadlink: https://keystore-explorer.org/downloads.html (inclusief JRE).

 

1

Start KeyStore Explorer en klik op Create a new KeyStore. Kies voor het type 'JKS'.
2

Klik op 'Tools' » 'Import Key Pair (CTRL+K)'.
3

Kies voor key pair-type 'PKCS#12'.
4

Browse naar de pfx, voer het decryption password in en klik op Import.
5

Er wordt om de alias gevraagd. Standaard is dat "mkgapi". Je kunt deze terugvinden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG-server (zie regel psc.as.https.keyalias).
6

Er wordt gevraagd om een keystore wachtwoord in te geven (in tweevoud). Gebruik het bestaande keystore wachtwoord. Je kunt deze terugvinden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG-server (zie regel psc.as.https.keypass).
7

Controleer of de keten compleet is via 'mkgapi entry' » rechtermuisknop » View Details » Certificate Chain Details:

  • De certificate hierarchy moet 3 entries bevatten (root, intermeditate en domein certificaat).
  • Controleer de verloopdatum van het domeincertificaat.
8

Sla het bestand op als een .jks-bestand. Er wordt opnieuw om een wachtwoord gevraagd. Gebruik hiervoor het bestaande keystore wachtwoord. Je kunt deze terugvinden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG-server (zie regel psc.as.https.keypass).
9

Maak een kopie van de huidige Java Keystore (.jks-bestand). Mocht er iets misgaan, dan kun je deze kopie altijd terugzetten. De keystore kun je terugvinden in de \\apps\mkg_pas12XX\conf\-map op de MKG-server.
10

Vervang de huidige keystore door de nieuwe keystore met dezelfde naam.
11

Herstart de MKG Application 12XX server-service om het certificaat te activeren.

 

 Let op!
Gebruikers ervaren een korte onderbreking in MKG. Vooraf uitloggen is niet nodig.
Alternatief: laat een geplande herstart van MKG Server uitvoeren buiten werktijd.

 

 

Een wildcard SSL-certificaat importeren

 

Het importeren van een wildcard SSL-certificaat verloopt volgens hetzelfde principe als de standaard SSL-certificaat, met een iets afwijkende werkwijze als de methode, zoals beschreven bij het importeren via de MKG-client:

  • Kies Systeemanalyse » Importeer wildcard SSL certificaat.
  • Je hebt de private key nodig naast de certificaatbundel.
  • Let op een correcte alias en keystore wachtwoord.

 

 

 

Validatie

 

De verloopdatum van het SSL-certificaat controleer je als volgt:

  • In de MKG-client: klik rechtsboven in MKG op de Help-button en kies voor 'MKG API' » 'Beheer' » SSL verloopdatum.
  • In de browser kun je de certificaatgegevens opvragen via https://<domein>:<poort>/mkgbridge.

 

 

Foutmeldingen

 

Private key mismatch of Certificate reply does not contain public key for 'mkgapi' → Een verkeerde CSR gebruikt voor de verlenging. Gebruik de juiste CSR. Deze vind je in \\apps\mkg_pas12XX\conf\mkgapi.<domein>.csr op de MKG-server.

Keystore was tampered with, or password was incorrect → Een verkeerd wachtwoord opgegeven. Gebruik het keystore wachtwoord uit het catalina.properties-bestand.

Incomplete certificate chain in reply → De opgegeven volgorde van certificaatbestanden is niet correct. Of er wordt een foutief certificaat opgegeven. Controleer dit en/of probeer een andere volgorde. In het geval van Sectigo: Root certificaat = R46-bestand, intermediate certificaat = R36-bestand.

 

 

Aanvullende netwerk-/systeeminstellingen

 

Voor het ontsluiten van MKG-functionaliteiten, zoals de API, is het nodig dat de volgende instellingen worden toegepast:

  • Firewall MKG server: Poort 443 (standaard) TCP openzetten op de MKG server. Er kan sprake zijn van een afwijkende SSL-poort. Deze kan teruggevonden worden in het \\apps\mkg_pas12XX\conf\catalina.properties-bestand op de MKG server (zie regel psc.as.https.port).
  • Firewall-regel: forwarding (TCP) instellen van WAN → LAN (poort SSL).
  • DNS-record aanmaken, zoals mkgapi.uwbedrijf.nl → WAN-IP.

 

 Let op!
Houd er rekening mee dat het DNS-record te allen tijde een relatie heeft met het gebruikte of aangevraagde SSL-certificaat.

 

 

servercertificaatbestandapion-premisessl certificaat