== Grouper Instellingen == De aansluiting op de landelijke Grouper in het kader van de [wiki:Documentatie/Onderwerpen/DOT overgang naar DOT] in 2012 vereist een aantal instellingen. Deze pagina beschrijft hoe een UZI servercertificaat in OpenAC opgenomen kan worden en welke andere instellingen nodig zijn. === Certificaat Aanvragen === Vraag het certificaat aan. Hiervoor moet je een ''server key'' genereren en dan via de [http://www.uziregister.nl/servercertificaat/servercertificaataanvragen/ site van het UZI Register] een formulier invullen. Het maken van de server key kan op veel verschillende manieren. De pagina's van het UZI Register over [http://www.uziregister.nl/servercertificaat/servercertificaataanvragen/20genereereenPKCS10bestand/default.asp aanmaken van een key] en [http://www.uziregister.nl/ondersteuning/handleidingen/installerenuziservercertificaat.asp installeren van het certificaat] kunnen behulpzaam zijn; in het bijzonder ook de documentatie voor het aanmaken van een [http://www.uziregister.nl/doc/pdf/Installatie%20Configuratie%20Servercertificaat%20Apache%20%28UZ58.01%29_28735.pdf server key voor Apache]. Omdat dezelfde OpenSSL gereedschappen meegeleverd worden met OpenAC is het ook mogelijk om de server key aan te maken met een OpenAC installatie: - Op een vertrouwd werkstation, start een command-prompt (opdrachtregel) en ga naar de installatiemap van OpenAC. - Ga dan naar de subdirectory `bin`. - Controleer of er een subdirectory `openssl` bestaat met daarin een `openssl.exe`. (Zo niet, start OpenAC een keer op en log in; daarmee wordt de meegeleverde `openssl-0.9.8b.zip` uitgepakt om de gevraagde bestanden aan te maken.) - Ga naar de subdirectory `openssl` (dan zit je nu meestal in de map `C:\Program Files\OpenAC\bin\openssl`). - Download [raw-attachment:openssl.cnf dit openssl.cnf bestand] en sla het op in diezelfde map. - Genereer een server key en een PKCS!#10 certificaat aanvraag door het volgende commando uit te voeren: {{{ openssl.exe req -nodes -newkey rsa:2048 -keyout server.key -out server.csr -config openssl.cnf }}} Dit staat omschreven in stap 1.2.3 van de Apache handleiding van het UZI Register. Er wordt naar een aantal gegevens gevraagd. Het is '''sterk aanbevolen''' om toch het land (NL) en de Organization Name (organisatie, bijvoorbeeld "FENAC") in te vullen. Als je niks invult, werkt het niet. - Als je deze procedure volgt, krijg je een server key zonder wachtwoord. === Certificaat Ontvangen === Bij het aanvragen van een certificaat maak je een server key aan; meestal staat die key in een (met wachtwoord beveiligd) bestand `server.key`. Van het UZI Register krijg je een certificaat terug, meestal in een tekst bestandje zoals `services-cert-900009320.txt` (de cijfers in de bestandsnaam stellen meestal je AGB code voor). Die twee bestanden moeten samengevoegd worden tot een zogenaamd PKCS#12 bestand dat zowel de server key als het certificaat bevat. Dit kan met gereegschap dat is meegeleverd bij OpenAC: - Open een command-prompt (opdrachtregel) en ga naar de installatiemap van OpenAC. - Ga naar de subdirectory `bin`. Controleer dat de subdirectory `openssl` bestaat (zo niet, start OpenAC een keer op). Ga naar de subdirectory `openssl`. - Zet beide bestanden in diezelfde subdirectory (vaak `C:\Program Files\OpenAC\bin\openssl`) van OpenAC. - Combineer nu de twee bestanden (de server key en het certificaat) naar een PKCS!#12 bestand dat geschikt is om in Internet Explorer te importeren: {{{ openssl pkcs12 -export -out grouper.pfx -in services-cert-900009320.txt -inkey server.key -name "Grouper Certificaat" }}} Indien de server key een wachtwoord heeft, zal het nodig zijn om hier een wachtwoord in te voeren. Er wordt gevraagd om een export wachtwoord. Die mag leeg zijn. - Controleer dat je een bestand `grouper.pfx` in deze map hebt gekregen. === Certificaat Installatie === - Exporteer uit IE met OpenAC. === Locatie Instellingen === - Locatie tabel in Codetabellen, per AGB een URA en UZI nummer