Certificaatstypes

Om beveiligde communicatie te verzekeren en om ervoor te zorgen dat browsers niet melden dat de verbinding tussen VAKA Admin en de beheerderscomputer onveilig is, worden certificaten geïnstalleerd.

Ook zijn certificaten nodig voor communicatie tussen systeemcomponenten, zoals tussen B60-apparaten en/of boekings- en informatieborden.

VAKA ondersteund drie soorten certificaten

Door VAKA gegenereerd certificaat

In dit geval genereert de B60 lokale rootcertificaten + webservercertificaten en distribueert deze in het systeem zonder dat de beheerder iets hoeft te doen.

Een door VAKA gegenereerd certificaat is gratis te gebruiken.

Het door VAKA gegenereerde rootcertificaat moet in de browser (of het systeem) worden geïnstalleerd voordat een beveiligde verbinding tot stand kan worden gebracht.

Het voordeel van dit type certificaat is dat er een beveiligde verbinding met het IP-adres van de B60 tot stand kan worden gebracht, aangezien het lokaal uitgegeven certificaat geldig is voor zowel LAN IP, WAN IP als de hostnaam van de B60.

Let op: aangezien iedereen die verbinding maakt met het systeem certificaten in de browser moet installeren, is deze oplossing niet praktisch voor systemen met boeking via internet. Gebruikers kunnen echter wel reservaties uitvoeren via http.

Let's Encrypt

Let's Encrypt is de handigste optie voor beheerders en gebruikers/klanten die op de B60 browsen, inclusief boeken via internet.

Let's Encrypt is een gratis dienst die apparaten aanbiedt om automatisch certificaten aan te vragen en te vernieuwen.

De service vereist dat het aansluitpunt (B60) verbonden is met internet, dat poort 80 (HTTP) en poort 443 (HTTPS) open staan voor het aansluitpunt om verzoeken van de Let's Encrypt-server te kunnen ontvangen Dit mechanisme wordt door Let's Encrypt gebruikt om ervoor te zorgen dat de persoon die een certificaat aanvraagt inderdaad de “eigenaar” van de hostnaam is.

Om ervoor te zorgen dat de B60 contact kan maken met de server van Let's Encrypt, moet B60 in staat zijn om het webadres “op te zoeken”. Vergeet daarom niet de DNS-serverinformatie in te stellen in Domeininstellingen -> Domeincontroles -> Netwerk.

Onderaan de pagina… bij DNS

Verder is een domein/subdomein (geen IP-adres) vereist dat verwijst naar het externe IPv4-adres voor B60.

Informatie- en boekingsborden moeten, bij gebruik van Let's Encrypt, worden geconfigureerd om verbinding te maken met “Public Hostname” (te vinden in de configuratie van de B60 die het verbindingspunt voor het systeem is).

Een router tussen de B60 en het internet moet NAT-traversal ondersteunen.

Klantspecifiek certificaat

Voor organisaties met eisen aan eigen beheer is een klantspecifiek certificaat een passende oplossing. De afhandeling kan dan centraal worden afgehandeld. Deze oplossing vereist geen internetverbinding.

Uploaden vereist twee bestanden, een webservercertificaat met bijbehorende privésleutel (twee bestanden, beide in PEM-indeling), bijvoorbeeld webserver.pem en private_key_webserver.pem.

Indien een certificaatleverancier buiten de eigen organisatie wordt ingezet, brengt een klantspecifiek certificaat een jaarlijkse kostprijs van circa 250 euro per jaar met zich mee.

Bijgewerkt 18-9-2023