Ssl Certificaten En Https Uitgelegd

Dit artikel legt SSL/TLS en HTTPS uit voor developers die HTTPS op hun Pixzo-server willen begrijpen en implementeren.

VEREISTEN - Een webserver (Apache 2.4.41+, Nginx 1.18.0+, of Caddy 2.x) - Toegang tot de server (SSH of control panel) - Een domeinnaam met DNS-configuratietoegang - Certbot 1.21.0+ (voor gratis LetsEncrypt-certificaten) of een betaalde CA (DigiCert, Sectigo)

STAPPEN

1. Genereer een private key en CSR op de server. Dit commando maakt een 2048-bit RSA key en een Certificate Signing Request. Gebruik je publieke domeinnaam (bijv. `pixzo.app`). ```bash openssl req -new -newkey rsa:2048 -nodes -keyout pixzo.key -out pixzo.csr ```

2. Dien de CSR in bij een certificaatautoriteit (CA). Kopieer de inhoud van `pixzo.csr` naar het CA-portaal. Kies domeinvalidatie (DV). Je krijgt een validatielink via e-mail of een DNS TXT-record om het domeineigendom te bewijzen.

3. Installeer het certificaat op de server. Plaats het ontvangen certificaat (`.crt` of `.pem`) en de private key (`pixzo.key`) op een beveiligde locatie, bijvoorbeeld `/etc/ssl/certs/` en `/etc/ssl/private/`. Zet rechten op de key op 600.

4. Configureer de webserver voor HTTPS. Voor Nginx voeg je dit serverblock toe (vervang `example.com`): ```nginx server { listen 443 ssl; server_name example.com; ssl_certificate /etc/ssl/certs/example.com.pem; ssl_certificate_key /etc/ssl/private/example.com.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; } ``` Voor Apache gebruik je `SSLCertificateFile` en `SSLCertificateKeyFile`.

5. Schakel HTTP-naar-HTTPS redirect in. Voeg dit Nginx-block toe: ```nginx server { listen 80; server_name example.com; return 301 https://$host$request_uri; } ``` Dit forceert alle verkeer naar HTTPS.

6. Voeg de intermediate certificate chain toe. Voeg CA-intermediate certificaten samen met je certificaat in één bestand (`fullchain.pem`): ```bash cat example.com.pem intermediate.crt > fullchain.pem ``` Gebruik `fullchain.pem` in de configuratie. Zonder chain krijg je `ERR_CERT_AUTHORITY_INVALID`.

VERIFICATIE Test de configuratie direct op de server: ```bash openssl s_client -connect example.com:443 -servername example.com /dev/null | grep -E "Verify return code|subject=" ``` Verwachte output: `Verify return code: 0 (ok)`. Open daarna de site in een browser en controleer op een groen hangslot zonder fouten.

VEELGESTELDE PROBLEMEN

1. Certificaatfout in browser: `NET::ERR_CERT_AUTHORITY_INVALID` Oorzaak: intermediate chain ontbreekt. Oplossing: voeg de keten toe zoals in stap 6.

2. Waarschuwing over SHA-1 of verouderde cipher Oorzaak: oude SSL-configuratie. Oplossing: zet `ssl_protocols TLSv1.2 TLSv1.3` en verwijder SHA-1 ciphers uit de lijst.

3. Certificaat verloopt na 90 dagen (LetsEncrypt) Oplossing: automatiseer verlenging met Certbot. Draai: ```bash certbot renew --dry-run ``` Voeg dan een cronjob toe: `0 0 * /usr/bin/certbot renew --quiet`.