PFX bestand werkt niet op Macbook (RDW certificaat)

woensdag 5 juni 2024 22:33

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag

Beste Mensen , wij als autobedrijf krijgen om de 2 jaar een nieuwe rdw certificaat opgestuurd . Een pfx bestand . Dit gebruiken we al jaren op onze apple iphone en Macbook , deze week hebben we weer een nieuwe gekregen en deze krijg ik op geen enkele manier geïnstalleerd .

Melding zegt dan dat de wachtwoord niet juist is , terwijl die op windows prima doet . Contact met de rdw heeft niks geholpen , ze zeggen dat het probleem vaker met apple en Macbook voorkomt en dat het komt door een nieuwe beveiliging in de certificaat

Wat kan ik hier tegen doen ? Het is echt bijzonder vervelend om met onze computers niet te kunnen werken.

Relevante software en hardware die ik gebruik
... iphone 14 pro
Macbook pro macos Ventura versie 13.2.1

Wat ik al gevonden of geprobeerd heb
...

dinsdag 8 oktober 2024 13:16

rosanneanne

Gelukt met dit stappenplan:

1. Open terminal.

2. Installeer Homebrew | code: /bin/bash -c "$(curl -fsSL https://raw.githubusercon...install/HEAD/install.sh)"

3. Installeer Xcode Command Line Tools en OpenSSL | code: brew install openssl

4. Converteer .pfx naar .pem | code: openssl pkcs12 -in jouwcertificaat.pfx -out temp.pem

5. Converteer .pem terug naar .pfx met legacy-ondersteuning | code: openssl jouwmap -export -in temp.pem -out nieuwcertificaat.pfx -legacy

6. Importeer in Sleutelhanger en stel in op "Always Trust"

[ Voor 169% gewijzigd door rosanneanne op 08-10-2024 18:12 ]

donderdag 6 juni 2024 08:58

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Je kan eens kijken of je met openssl in de macOS terminal het certificaat kan bekijken en ontgrendelen/converteren naar een bestand dat wel in de Keychain geïmporteerd kan worden, eventueel met een nieuwe openssl (macOS loopt wat achter meen ik). Of kijken of je de sleutel en het certificaat op Windows naar een bestand kan exporteren dat wel op een mac kan worden geïmporteerd. (Voor import kan je Keychain of in de terminal security gebruiken)

[ Voor 8% gewijzigd door begintmeta op 06-06-2024 09:37 ]

donderdag 6 juni 2024 09:15

Acties:

0 Henk 'm!

GarBaGe

Zelf ben ik een fan van de applicatie Keystore Explorer.
Dit een een Java gebaseerde GUI app die makkelijk keystores kan openen en heel visueel laat zien hoe en wat.
Gezien de meeste mensen standaard op de commandline zitten te kloten met OpenSSL is dit wellicht een handige tip.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

woensdag 12 juni 2024 20:52

Acties:

0 Henk 'm!

Stek

Is het jou inmiddels gelukt op je macbook ? Ik zit nu met het zelfde probleem..

donderdag 13 juni 2024 20:54

Acties:

0 Henk 'm!

crazyjansen

Ik heb hetzelfde probleem..
Ik hoor graag of er inmiddels een oplossing is gevonden?

donderdag 13 juni 2024 21:03

Acties:

0 Henk 'm!

rjong5

?

Je kunt met openssl ook gewoon het wachtwoord eruit slopen.

Dan lijkt mij het importeren geen issue meer.

donderdag 13 juni 2024 21:04

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Ik zou, zoals eerder aangegeven, verwachten dat het met openssl (of eventueel ook de libressl van macos) in ieder geval verder te analyseren, en waarschijnlijk op te lossen is. Zoals @rjong5 aangeeft is decoderen en vervolgens zonder wachtwoord weer opslaan van certificaat en private key een van de opties.

[ Voor 44% gewijzigd door begintmeta op 13-06-2024 21:07 ]

donderdag 13 juni 2024 22:04

Acties:

0 Henk 'm!

crazyjansen

Ik ben een Leek met alle code talen van jullie 😅.
Is dit voor een leek voor elkaar te krijgen?
En kan alleen vanuit een Windows laptop/computer?

woensdag 26 juni 2024 11:45

Acties:

0 Henk 'm!

Auto1

Topicstarter

dit lijkt mij niet handig

[ Voor 84% gewijzigd door Intergalactic op 28-06-2024 13:10 ]

woensdag 26 juni 2024 11:54

Acties:

+2 Henk 'm!

asfaloth_arwen

Het delen van het certificaat lijkt mij niet handig, dat kan tot misbruik en/of datalekken leiden!

Specs

woensdag 26 juni 2024 12:32

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

asfaloth_arwen schreef op woensdag 26 juni 2024 @ 11:54:
Het delen van het certificaat lijkt mij niet handig, dat kan tot misbruik en/of datalekken leiden!

Dat lijkt me ook!

Ik vermoed dat je de PFX-bestanden met openssl op macOS zal kunnen omzetten naar bestanden die wel op de oude manier in Keychain kunnen worden ingeladen. macos zelf heeft al libressl - daarmee kan het misschien ook al.

Eerst plaats je het RDW-PFX-bestand op je Desktop. Je kan daarnaa beginnen met het opstarten van terminal. Vervolgens kan je eerst een bekijken of je met de standaard-macOS-middelen wat meer inzicht in het bestand kan krijgen, door het volgende in de terminal in te voeren (even uit mijn hoofd, dus ik kan niet garanderen dat de openssl-commando's exact kloppen). [RDW-bestandsnaam.pfx] moet je vervangen door de bestandsnaam van de RDW PFX.

code:

1 2	cd ~\Desktop openssl pkcs12 -info -in [RDW-bestandsnaam.pfx]

Daarna kan je bekijken, of je de certificaten en sleutels kan extraheren:

code:

1 2	openssl pkcs12 -in [RDW-bestandsnaam.pfx] -clcerts -nokeys -out RDW.pem openssl pkcs12 -in [RDW-bestandsnaam.pfx] -nocerts -out RDWsleutel.pem

Als het werkt, heb je daarna twee bestanden op de Desktop: de certificaten (RDW.pem) en je sleutel (RDWsleutel.pem). Je kan dan eens proberen die in de Keychain te importeren.

Verder is het denk ik goed om met de RDW contact op te nemen, op die manier merkt die ook dat het misschien niet handig is wat ze aanleveren, of ze kunnen je misschien zelfs nog helpen om het probleem op te lossen.

[ Voor 7% gewijzigd door begintmeta op 26-06-2024 12:33 ]

woensdag 26 juni 2024 23:46

Acties:

0 Henk 'm!

Auto1

Topicstarter

Verschillende keren al contact gehad met Rdw maar die zeggen Wij zijn niet verplicht het certificaat voor mac producten geschikt te leveren dus dat leverde helaas niks op .

Bovengenoemde stappen zal mij niet lukken om het alleen te doen , ook ben ik niet bekend met de termen wat genoemd worden ik ben maar een simpele auto verkoper die alleen verstand van zijn autos heeft :):):)

vrijdag 28 juni 2024 11:29

Acties:

0 Henk 'm!

Archer_VC10

Het certificaat is ongetwijfeld nodig om een andere applicatie te laten werken. Mits mogelijk zou ik contact opnemen met de organisatie die deze applicatie support. Hopelijk is dat niet ook de RDW.

"Wij zijn niet verplicht..." is een leuke stelling maar als de applicatie gewoon op een iPhone/Mac/ander apparaat moet kunnen draaien (en bij zaken die via de browser gaan zou dit platform-onafhankelijk moeten zijn) dan horen zij ook de hierbij behorende support te leveren.

Het excuus "Dit komt vaker voor bij Macs..." enzovoorts ken ik, dat is een manier om te zeggen dat ze als bedrijf niet op de hoogte zijn van hoe het hoort te werken en te lui zijn (mijn interpretatie) om hier tijd en geld in te stoppen.

vrijdag 28 juni 2024 11:31

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Auto1 schreef op woensdag 26 juni 2024 @ 23:46:
Verschillende keren al contact gehad met Rdw maar die zeggen Wij zijn niet verplicht het certificaat voor mac producten geschikt te leveren dus dat leverde helaas niks op .

Bovengenoemde stappen zal mij niet lukken om het alleen te doen , ook ben ik niet bekend met de termen wat genoemd worden ik ben maar een simpele auto verkoper die alleen verstand van zijn autos heeft :):):)

Dat lijkt me een goed moment om even een IT-bedrijf in te huren die dit voor je kan doen. Dit zijn ook niet echt zaken die je als basis-computergebruiker wordt geacht te kunnen.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 28 juni 2024 11:39

Acties:

0 Henk 'm!

Jopio

Auto1 schreef op woensdag 26 juni 2024 @ 23:46:
Verschillende keren al contact gehad met Rdw maar die zeggen Wij zijn niet verplicht het certificaat voor mac producten geschikt te leveren dus dat leverde helaas niks op .

Bovengenoemde stappen zal mij niet lukken om het alleen te doen , ook ben ik niet bekend met de termen wat genoemd worden ik ben maar een simpele auto verkoper die alleen verstand van zijn autos heeft :):):)

Klopt, die ervaring heb ik ook met ze gehad.
Ik heb uiteindelijk Google Chrome geïnstalleerd.
Advertentie programma Mobilox (aanrader!) heeft er een uitleg voor gemaakt: https://www.mobilox.nl/ha...rtificaat-instellen-apple

zaterdag 29 juni 2024 09:11

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Jopio schreef op vrijdag 28 juni 2024 @ 11:39:
[...]

Klopt, die ervaring heb ik ook met ze gehad.
Ik heb uiteindelijk Google Chrome geïnstalleerd.
Advertentie programma Mobilox (aanrader!) heeft er een uitleg voor gemaakt: https://www.mobilox.nl/ha...rtificaat-instellen-apple

Als ik @Auto1 goed heb begrepen, kan het PFX bestand niet worden gedecodeerd, dus dan lukt de stap "Je wordt nu gevraagd om het wachtwoord dat bij jouw certificaat hoort in te vullen. Vul het wachtwoord in en sluit het Sleutelhangertoegang scherm, jouw certificaat is nu geïnstalleerd." niet. (Zie bijvoorbeeld ook dit of soortgelijke berichten voor gelijkende probleembeschrijvingen.)

Wat nog het proberen waard zou kunnen zijn is het PFX bestand in Firefox voor macOS te importeren. Dat gaat met een GUI en volgens mij gebruikt Firefox niet de systeemfuncties hiervoor, dus het zou kunnen werken.

zondag 30 juni 2024 10:06

Acties:

0 Henk 'm!

Donstil

Als hij wel werkt op Windows (zoals in de OP vermeld) dan zou ik hem daar importeren en tijdens het importeren markeren als exporteerbaar.

Dan vervolgens weer exporteren als certificaat zonder wachtwoord (pem/pfx).

Dat lijkt mij voor deze tweaker, die begrijpelijk de kennis mist, de makkelijkste stap

My thirsty wanted whiskey. But my hunger needed beans

dinsdag 2 juli 2024 13:44

Acties:

0 Henk 'm!

posttoast

begintmeta schreef op zaterdag 29 juni 2024 @ 09:11:
[...]

Wat nog het proberen waard zou kunnen zijn is het PFX bestand in Firefox voor macOS te importeren. Dat gaat met een GUI en volgens mij gebruikt Firefox niet de systeemfuncties hiervoor, dus het zou kunnen werken.

Ik ben toevallig aan het pogen dit probleem voor een vriend op te lossen en helaas kan ik concluderen dat Firefox voor MacOS de oplossing niet is (ook daar komt de melding terug dat het wachtwoord niet klopt). Vanuit een terminal met openSSL loop ik tegen hetzelfde issue aan (ook op een Ubuntu machine trouwens).

Ik heb hier helaas geen Windows machine voorhanden, dus dat ga ik op een later moment nog eens pogen.

omniscale.nl

dinsdag 2 juli 2024 15:55

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

posttoast schreef op dinsdag 2 juli 2024 @ 13:44:
[...]

Ik ben toevallig aan het pogen dit probleem voor een vriend op te lossen en helaas kan ik concluderen dat Firefox voor MacOS de oplossing niet is (ook daar komt de melding terug dat het wachtwoord niet klopt). Vanuit een terminal met openSSL loop ik tegen hetzelfde issue aan (ook op een Ubuntu machine trouwens).

Ik heb hier helaas geen Windows machine voorhanden, dus dat ga ik op een later moment nog eens pogen.

Hmm, interessant, Ik ben benieuwd wat voor PKCS #12 scheme dat RDW-certificaat heeft.

donderdag 4 juli 2024 11:40

Acties:

0 Henk 'm!

vj_slof

begintmeta schreef op zaterdag 29 juni 2024 @ 09:11:
[...]

Als ik @Auto1 goed heb begrepen, kan het PFX bestand niet worden gedecodeerd, dus dan lukt de stap "Je wordt nu gevraagd om het wachtwoord dat bij jouw certificaat hoort in te vullen. Vul het wachtwoord in en sluit het Sleutelhangertoegang scherm, jouw certificaat is nu geïnstalleerd." niet. (Zie bijvoorbeeld ook dit of soortgelijke berichten voor gelijkende probleembeschrijvingen.)

Wat nog het proberen waard zou kunnen zijn is het PFX bestand in Firefox voor macOS te importeren. Dat gaat met een GUI en volgens mij gebruikt Firefox niet de systeemfuncties hiervoor, dus het zou kunnen werken.

Bedankt voor de tip van Firefox op de Mac. Ik heb het certificaat daar in weten te zetten en dat werkt perfect!

donderdag 4 juli 2024 11:48

Acties:

0 Henk 'm!

posttoast

vj_slof schreef op donderdag 4 juli 2024 @ 11:40:
[...]

Bedankt voor de tip van Firefox op de Mac. Ik heb het certificaat daar in weten te zetten en dat werkt perfect!

Kun je vertellen hoe? Want ik krijg dat niet voor elkaar

Ik krijg van Firefox deze melding terug:

Afbeeldingslocatie: https://tweakers.net/i/sA2jWOSv9ZO1Ovz15mpfuffgNdY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/2z7fEqF48cQrEUqgsXyPANUq.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/sA2jWOSv9ZO1Ovz15mpfuffgNdY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/2z7fEqF48cQrEUqgsXyPANUq.png?f=user_large

[ Voor 28% gewijzigd door posttoast op 04-07-2024 11:52 ]

omniscale.nl

donderdag 4 juli 2024 14:22

Acties:

0 Henk 'm!

vj_slof

posttoast schreef op donderdag 4 juli 2024 @ 11:48:
[...]

Kun je vertellen hoe? Want ik krijg dat niet voor elkaar

Ik krijg van Firefox deze melding terug:

[Afbeelding]

Ik heb deze instructies opgevolgd:

Importing SSL Certificate in Mozilla Firefox
Open Firefox and go to Options:
Click Privacy & Security in the left-hand menu and scroll down to Certificates.
Click View Certificates... and the Certificate Manager window displays.
Click Authorities and then Import....
Browse to locate the downloaded ca. ...
Click OK.

Maar ik was uiteraard niet tevreden dat het alleen in Firefox kon dus ben even aan de slag gegaan om het certificaat van de RDW te converteren.

Op een oudere Mac met nog de oudere OpenSSL heb ik het volgende gedaan:

code:

1 2	openssl pkcs12 -in autobedrijsnaam.pfx -out xca.pem openssl pkcs12 -export -in xca.pem -out xca2.pfx -legacy

Het xca2.pfx bestand heb ik toen via de Sleutelhanger.app in MacOS weten te laden. Nu werkt de site van de RDW in alle browsers.

donderdag 4 juli 2024 16:58

Acties:

0 Henk 'm!

posttoast

vj_slof schreef op donderdag 4 juli 2024 @ 14:22:
[...]

Ik heb deze instructies opgevolgd:

Importing SSL Certificate in Mozilla Firefox
Open Firefox and go to Options:
Click Privacy & Security in the left-hand menu and scroll down to Certificates.
Click View Certificates... and the Certificate Manager window displays.
Click Authorities and then Import....
Browse to locate the downloaded ca. ...
Click OK.

Ik heb EXACT dit gedaan maar ik krijg die foutmelding... Wel superraar.

Edit: Nee, ik heb niet EXACT dit gedaan want onder het tabblad authorities kan ik geen PFX importeren. Dat kan alleen onder "Your certificates". Heb jij het wel onder Authorities gedaan?

Maar ik was uiteraard niet tevreden dat het alleen in Firefox kon dus ben even aan de slag gegaan om het certificaat van de RDW te converteren.

Op een oudere Mac met nog de oudere OpenSSL heb ik het volgende gedaan:
code:
1
2
openssl pkcs12 -in autobedrijsnaam.pfx -out xca.pem
openssl pkcs12 -export -in xca.pem -out xca2.pfx -legacy
Het xca2.pfx bestand heb ik toen via de Sleutelhanger.app in MacOS weten te laden. Nu werkt de site van de RDW in alle browsers.

Ik heb helaas geen oude Mac voorhanden. Ik vrees dat er niets anders op zit dan een Windows machine opsnorren.

[ Voor 7% gewijzigd door posttoast op 04-07-2024 17:12 ]

omniscale.nl

donderdag 4 juli 2024 18:09

Acties:

0 Henk 'm!

vj_slof

posttoast schreef op donderdag 4 juli 2024 @ 16:58:
[...]

Ik heb EXACT dit gedaan maar ik krijg die foutmelding... Wel superraar.

Edit: Nee, ik heb niet EXACT dit gedaan want onder het tabblad authorities kan ik geen PFX importeren. Dat kan alleen onder "Your certificates". Heb jij het wel onder Authorities gedaan?

[...]

Ik heb helaas geen oude Mac voorhanden. Ik vrees dat er niets anders op zit dan een Windows machine opsnorren.

Geen idee wat ik meer gedaan heb maar ik kreeg inderdaad eerst ook het pfx-bestand niet zo 1-2-3 in Firefox.

Voor oude OpenSSL kun je ook snel een VirtualPC met Windows op je Mac aanmaken.

donderdag 4 juli 2024 18:15

Acties:

0 Henk 'm!

jnr24

Heb je het voor firefox al hernoemd naar .p12 ?

donderdag 4 juli 2024 19:21

Acties:

0 Henk 'm!

posttoast

jnr24 schreef op donderdag 4 juli 2024 @ 18:15:
Heb je het voor firefox al hernoemd naar .p12 ?

Nu wel

Zelfde effect: hij vraagt om een password en geeft vervolgens aan dat deze niet klopt.

omniscale.nl

donderdag 4 juli 2024 20:03

Acties:

+1 Henk 'm!

jnr24

Ok, even aangenomen dat er geen gekke 'spatie aan het eind' of 'bolle 0 is O' wachtwoord bij zit.

Je kan even kijken of je een tooltje kan vinden dat je vertrouwt, iets in de app store op je telefoon bijvoorbeeld. Pkcs12/certificate/pfx achtig tooltje.

Deze bestaat al duizend jaar ook voor macOs: https://keystore-explorer.org/downloads.html

Op windows heb je in de MS store: xca misschien heb je zoiets ook in macOS, zoek op openssl..

Chrome plugin: https://chromewebstore.go...aidejnfjjkpfbmbafhe?pli=1

Online kan ook: (qua veiligheid de minste favoriete natuurlijk)
https://www.sslshopper.com/ssl-converter.html
https://openssl.tplant.com.au/
https://certificate.tools/convert

[ Voor 8% gewijzigd door jnr24 op 04-07-2024 20:05 ]

vrijdag 12 juli 2024 13:39

Acties:

0 Henk 'm!

posttoast

Hulde!!! Ik had je bericht tot nu niet gezien, maar Keystore Explorer blijkt de oplossing. Dat werkt

Ik exporteer nu naar een .cer bestand en die kan ik openen op mijn Mac. Nu even kijken of degene die het mij vroeg hiermee uit de voeten kan, maar dat is stap 2!

omniscale.nl

donderdag 18 juli 2024 10:32

Acties:

0 Henk 'm!

harmstra

vj_slof schreef op donderdag 4 juli 2024 @ 14:22:
[...]

Op een oudere Mac met nog de oudere OpenSSL heb ik het volgende gedaan:
code:
1
2
openssl pkcs12 -in autobedrijsnaam.pfx -out xca.pem
openssl pkcs12 -export -in xca.pem -out xca2.pfx -legacy
Het xca2.pfx bestand heb ik toen via de Sleutelhanger.app in MacOS weten te laden. Nu werkt de site van de RDW in alle browsers.

Ik heb dit op mijn Ubuntu machine gedaan. Ik kan het certificaat nu wel laden in mijn Ipad, hij zegt niet meer dat het wachtwoord niet klopt. Maar vervolgens klaagt de RDW dat het certificaat niet goed is.

Bij het profiel op de iPad zie ik staan 'niet geverifieerd'
Enig idee?

Ik ben wel handig met computers, maar niet met certificaten

donderdag 18 juli 2024 11:55

Acties:

0 Henk 'm!

DoleBole

volgens mij zou je de volgende commando's moeten gebruiken, waarbij stap 2 kan worden achterwege gelaten. je moet dan wel een wachtwoord opgeven bij de import.
:
1. Create private key file by running this OpenSSL command:
openssl.exe pkcs12 -in <PFXFile> -nocerts -out <KEYFILE>

Getting "Error outputting keys and certificates" means that the PEM pass phrase is to short.

2. Remove password from private key file by running this:
openssl.exe rsa -in <KEYFILE> -out <KEYFILE>

3. Creating full chain certificate file by running this command:
openssl.exe pkcs12 -in <PFXFILE> -nokeys -out <CRTFILE>

donderdag 18 juli 2024 19:44

Acties:

0 Henk 'm!

harmstra

Dan heb je dus ipv één PFX file , twee files gekregen, namelijk een KEY file en een CRT file.
Wat doe je daar vervolgens mee dan ?

vrijdag 19 juli 2024 11:28

Acties:

0 Henk 'm!

DoleBole

die zul je beiden moeten importeren. de CRT file eerst.

eventueel nog de root en intermediate certificaten van de CA ook importeren

vrijdag 19 juli 2024 15:41

Acties:

0 Henk 'm!

harmstra

DoleBole schreef op vrijdag 19 juli 2024 @ 11:28:
eventueel nog de root en intermediate certificaten van de CA ook importeren

dit is geheimtaal voor mij. Hoe weet ik óf dit moet, en zo ja, hoe dan?

vrijdag 19 juli 2024 22:04

Acties:

0 Henk 'm!

DoleBole

mmestal krijg je die met het certifikaat mee, anders kan je ze van de website van de provider downloaden. wellicht de help optie gebruiken van de RDW of google

zaterdag 20 juli 2024 00:36

Acties:

0 Henk 'm!

jnr24

Op een windows systeem kan je zo de root en intermediate vinden, tweakers.net cert als voorbeeld (leaf certificate)

Dubbelklik met de filebrowser op het certificaat > Certificate Path > dan zie je root (Digicert) en intermediate (DigiCert TLS RSA SHA256 2020 CA1) en tweakers.net (leaf certificate)
Afbeeldingslocatie: https://tweakers.net/i/5SoxarVJJsv4dp_6mmWDKOjgcSs=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/40R0TPWxGh8cp2ULDNTOSRWk.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/5SoxarVJJsv4dp_6mmWDKOjgcSs=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/40R0TPWxGh8cp2ULDNTOSRWk.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/Qmukoa26TWUd16Lj6Fqef5FdwYc=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/timSSLMOD1MGyAxc5s53xzRg.png?f=user_large

Deze bestanden zou je dan op je Ipad kunnen importeren.

Wat is de website waar je voor de RDW moet inloggen? Je kan namelijk met een commando controleren welke certificaten ze verwachten.

Het is wel een beetje vreemd dat RDW certificaten uitgeeft en dan ook nog verwacht dat je intermediate mee terugstuurt, maargoed ik heb wel vreemdere dingen gezien

Edit: dat was niet lang zoeken. RDW verwacht dat je certificaat hebt van één van deze twee:
C = NL, L = Groningen, O = RDW, CN = RDW Issuing CA 02
C = NL, L = Groningen, O = RDW, CN = RDW ACC Issuing CA 02

Eén van die twee zou dus hier moeten staan in jouw certificaat (tweakers cert als voorbeeld):
Afbeeldingslocatie: https://tweakers.net/i/pTLtSvb5z8vWZGwbrhzMEfkPku0=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/IUUJbvOnNONo4nJ0EGrPUbSo.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/pTLtSvb5z8vWZGwbrhzMEfkPku0=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/IUUJbvOnNONo4nJ0EGrPUbSo.png?f=user_large

[ Voor 18% gewijzigd door jnr24 op 20-07-2024 00:48 ]

zaterdag 20 juli 2024 19:07

Acties:

0 Henk 'm!

harmstra

ik heb het idee dat deze discussie de verkeerde kant op gaat.
Nog even herhalend: De RDW geeft SSL certificaten uit aan bedrijven die dan bij de RDW op de site 'dingen' kunnen doen zoals auto's vrijwaren of APK keuringen doorgeven.

Tot voorheen werkte dit altijd goed op alle platformen, Windows, Android iPad, iPhone, Mac, Linux etc.
De RDW vervangt de verlopen certificaten nu door een nieuwe. Deze nieuwe werken niet meer op iPad, iPhone en Mac, iOS dus. RDW wil hier verder geen ondersteuning voor geven.
Het symptoom is dat er bij het invullen van het wachtwoord gezegd wordt dat deze fout is. Terwijl het wachtwoord op andere platformen wel werkt.

Ik heb gedaan wat hierboven staat

code:

1 2	openssl pkcs12 -in autobedrijsnaam.pfx -out xca.pem openssl pkcs12 -export -in xca.pem -out xca2.pfx -legacy

Als je dit certificaat vervolgens laadt in je iOS appartaat lukt dat vervolgens wel, wachtwoordprobleem is er niet meer. Je ziet keurig het RDW certificaat staan. Maar als je deze vervolgens wilt gebruiken op de site van de RDW zegt ie dat er geen geldig certificaat is.

Er zijn verhalen uit 3e hand van mensen die 'iets' gedaan hebben waardoor het wel werkt.
Belachelijk uiteraard dat een overheidsinstantie als de RDW die zo laat gebeuren, maar ervaring leert dat je van hen niets hoeft te verwachten.

zaterdag 20 juli 2024 19:45

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Wat zijn de specificaties (en trust levels) van het certificaat en de sleutel uit de legacy pfx volgens Keychain

[ Voor 8% gewijzigd door begintmeta op 20-07-2024 19:48 ]

zondag 21 juli 2024 00:11

Acties:

0 Henk 'm!

jnr24

Ik zie het al.

Je neemt met die 2 commando's de key niet meer mee. Voor het maken van een pfx voor authenticatie moet je ook de private key hebben. Zodat je kan bewijzen dat jij de eigenaar bent van het certificaat.

code:

openssl pkcs12 -in autobedrijsnaam.pfx -out xca.pem   #deze heb je al
openssl pkcs12 -in autobedrijfsnaam.pfx -nocerts -out keyfile-encrypted.key #ook de key eruit
openssl rsa -in keyfile-encrypted.key -out xca.key #key decrypten
openssl pkcs12 -export -out xca2.pfx -inkey xca.key -in xca.pem  #key en cert moeten beiden in de pfx file

Ik type bovenstaande even over van een website met jouw bestandsnamen. Dubbelcheck de namen.
pfx (of p12) kan (meerdere) keys en certs bevatten. Voor client authenticatie heb je altijd de key nodig. Er stond in eerdere posts dat je die apart kon importeren maar die xca2.pfx file die je in je laatste bericht creeert zit in ieder geval geen key meer .

zondag 21 juli 2024 10:29

Acties:

0 Henk 'm!

harmstra

In het laatste commando mist de -legacy optie, daardoor wordt er nog steeds gemeld dat het wachtwoord onjuist is. Deze optie toegevoegd, wachtwoord wordt dan wel geaccepteerd maar de RDW meldt dan nog steeds dat er geen geldig certificaat is.

zondag 21 juli 2024 16:53

Acties:

0 Henk 'm!

jnr24

harmstra schreef op zondag 21 juli 2024 @ 10:29:
In het laatste commando mist de -legacy optie, daardoor wordt er nog steeds gemeld dat het wachtwoord onjuist is. Deze optie toegevoegd, wachtwoord wordt dan wel geaccepteerd maar de RDW meldt dan nog steeds dat er geen geldig certificaat is.

En weet je zeker dat die oude 'lege' certificaten weg zijn? Soms helpt het om even met incognito/private browser (of andere browser) te proberen. Je weet dan zeker dat je weer het certificaat naar keuze mag gebruiken.

Bij deze website kan je inloggen met het certificaat: https://certauth.idrix.fr/ en dan zou je daar bij

SSL_CLIENT_I_DN
SSL_CLIENT_S_DN

Je eigen gegevens moeten zien. De I(ssuer) zou dan één van deze moeten zijn:
C = NL, L = Groningen, O = RDW, CN = RDW Issuing CA 02
C = NL, L = Groningen, O = RDW, CN = RDW ACC Issuing CA 02

Laat weten of dit klopt. Anders heb ik nog wel een truukje om de intermediate certs in die PFX te stoppen.

maandag 22 juli 2024 11:33

Acties:

0 Henk 'm!

harmstra

Als ik xca2.pfx open met de Keystore Explorer op Ubunty zie ik inderdaad

code:

1	CN=RDW Issuing CA 02,O=RDW,L=Groningen,C=NL

ik kan het nieuwe certificaat wel gebruiken als ik deze in Chrome laad op mijn Ubuntu machine, maar niet als ik deze laad in mijn profiel op de iPad

maandag 22 juli 2024 12:11

Acties:

0 Henk 'm!

jnr24

En als je die Chrome en Ipad vergelijkt op de https://certauth.idrix.fr/ site die ik noemde?

Je kan ook nog firefox op de iPad overwegen, die heeft als het goed is zijn eigen certificaten en encryptie systeem, werkt dus mogelijk ook goed, wel daar je certificaat importeren dus.

maandag 22 juli 2024 17:38

Acties:

0 Henk 'm!

harmstra

is dat vertrouwd om op die site te gebruiken?

Bij Firefox op iPad kun je geen losse certificaten meer gebruiken zoals ik het lees. Zie hiervoor ook geen mogelijkheid bij de instellingen. Op de Mac schijnt dit wel te kunnen, maar ja....

maandag 22 juli 2024 23:48

Acties:

0 Henk 'm!

jnr24

harmstra schreef op maandag 22 juli 2024 @ 17:38:
is dat vertrouwd om op die site te gebruiken?

..

Je geeft die site dan je publieke gedeelte van het certificaat. Net zoals iedereen ook het publieke gedeelte van het certificaat van tweakers ziet.

Potentieel hebben ze dan wel je certificaatnaam mogelijk staat daar een email adres in, maar aangezien het zakelijk is zullen er geen vertrouwelijke 06 nummers in staan en ik schat dat de site ook maar gewoon een welwillende certificaten-professional is. (de website laat een klein bedrijfje in Parijs zien dat veel verstand heeft van smart cards en certificaten)

dinsdag 23 juli 2024 12:00

Acties:

0 Henk 'm!

harmstra

Dit krijg ik bij het originele certificaat op https://certauth.idrix.fr/
Een paar karakterreeksen weggehaald, weet niet of dat openbare gegevens zijn namelijk

code:

    [SSL_CLIENT_I_DN] => CN=RDW Issuing CA 02,O=RDW,L=Groningen,C=NL
    [SSL_CLIENT_S_DN] => CN=RDW Diensten - *****,O=******* ,C=NL
    [SSL_CLIENT_VERIFY] => FAILED:unable to verify the first certificate
    [SSL_CLIENT_V_END] => May 13 11:45:48 2026 GMT
    [SSL_CLIENT_V_START] => May 13 11:45:49 2024 GMT
    [SSL_CLIENT_SERIAL] => *****************************8
    [SSL_CLIENT_FINGERPRINT] => **********************************************
    [SSL_SERVER_NAME] => certauth.idrix.fr
    [SSL_CIPHER] => ECDHE-RSA-AES128-SHA
    [SSL_PROTOCOL] => TLSv1.2

dinsdag 23 juli 2024 16:54

Acties:

0 Henk 'm!

jnr24

Ok, dit was op de ipad? en op regel 2 was het eigenlijke bedrijf te zien neem ik aan? (Niet wat generieke RDW termen)

Heeft de iPad wel de laatste updates en upgrades?

Ziet er goed uit. Dat zou de RDW prima kunnen accepteren, maar mogelijk qua encryptie of andere 'missing link' gaat dat op Ipad niet goed. Andere type browsers proberen of bij de RDW blijven zeuren.

dinsdag 8 oktober 2024 12:34

Acties:

0 Henk 'm!

rosanneanne

Is het iemand inmiddels gelukt om het certificaat te installeren op een macbook?
Zo ja, kan ik je dan inhuren om het voor mij te doen?
Ik heb de stappen die jullie hierboven beschrijven geprobeerd te doorlopen maar ik word er niet wijzer uit... en rdw zegt inderdaad dat ik dan maar een windows computer moet aanschaffen

[ Voor 14% gewijzigd door rosanneanne op 08-10-2024 12:41 ]

dinsdag 8 oktober 2024 13:09

Acties:

+1 Henk 'm!

GarBaGe

rosanneanne schreef op dinsdag 8 oktober 2024 @ 12:34:
Is het iemand inmiddels gelukt om het certificaat te installeren op een macbook?
Zo ja, kan ik je dan inhuren om het voor mij te doen?
Ik heb de stappen die jullie hierboven beschrijven geprobeerd te doorlopen maar ik word er niet wijzer uit... en rdw zegt inderdaad dat ik dan maar een windows computer moet aanschaffen

Wat ik eerder zei:

Zelf ben ik een fan van de applicatie Keystore Explorer.
Dit een een Java gebaseerde GUI app die makkelijk keystores kan openen en heel visueel laat zien hoe en wat.
Gezien de meeste mensen standaard op de commandline zitten te kloten met OpenSSL is dit wellicht een handige tip.

Ryzen9 5900X; 16GB DDR4-3200 ; RTX-4080S ; 7TB SSD

dinsdag 8 oktober 2024 13:16

Acties:

Beste antwoord ✓
+1 Henk 'm!

rosanneanne

Gelukt met dit stappenplan:

1. Open terminal.

2. Installeer Homebrew | code: /bin/bash -c "$(curl -fsSL https://raw.githubusercon...install/HEAD/install.sh)"

3. Installeer Xcode Command Line Tools en OpenSSL | code: brew install openssl

4. Converteer .pfx naar .pem | code: openssl pkcs12 -in jouwcertificaat.pfx -out temp.pem

5. Converteer .pem terug naar .pfx met legacy-ondersteuning | code: openssl jouwmap -export -in temp.pem -out nieuwcertificaat.pfx -legacy

6. Importeer in Sleutelhanger en stel in op "Always Trust"

[ Voor 169% gewijzigd door rosanneanne op 08-10-2024 18:12 ]

donderdag 10 oktober 2024 16:51

Acties:

0 Henk 'm!

jmr

rosanneanne schreef op dinsdag 8 oktober 2024 @ 13:16:
Gelukt met dit stappenplan:

1. Open terminal.

2. Installeer Homebrew | code: /bin/bash -c "$(curl -fsSL https://raw.githubusercon...install/HEAD/install.sh)"

3. Installeer Xcode Command Line Tools en OpenSSL | code: brew install openssl

4. Converteer .pfx naar .pem | code: openssl pkcs12 -in jouwcertificaat.pfx -out temp.pem

5. Converteer .pem terug naar .pfx met legacy-ondersteuning | code: openssl jouwmap -export -in temp.pem -out nieuwcertificaat.pfx -legacy

6. Importeer in Sleutelhanger en stel in op "Always Trust"

Klopt het dat ik bij stap 4 het wachtwoord van het certificaat moet opgeven en daarna nog een wachtwoord moet opgeven?

En ik loop nog even vast bij jou stap 5.
Hierin geef je aan openssl jouwmap
Maar wat zou het commando dan worden?

Hulp welkom. Zou super zijn als we het werkend krijgen op de Mac.

"640K ought to be enough for anybody." Bill Gates, 1981

donderdag 10 oktober 2024 17:17

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

rosanneanne schreef op dinsdag 8 oktober 2024 @ 13:16:
Gelukt met dit stappenplan:

1. Open terminal.

2. Installeer Homebrew | code: /bin/bash -c "$(curl -fsSL https://raw.githubusercon...install/HEAD/install.sh)"

3. Installeer Xcode Command Line Tools en OpenSSL | code: brew install openssl

4. Converteer .pfx naar .pem | code: openssl pkcs12 -in jouwcertificaat.pfx -out temp.pem

5. Converteer .pem terug naar .pfx met legacy-ondersteuning | code: openssl jouwmap -export -in temp.pem -out nieuwcertificaat.pfx -legacy

6. Importeer in Sleutelhanger en stel in op "Always Trust"

Ik had overigens verwacht dat de .pem-bestanden ook al geïmporteerd kunnen worden, dan zou stap 5 overbodig zijn.

donderdag 17 oktober 2024 08:47

Acties:

+2 Henk 'm!

jmr

@rosanneanne
Dankjewel! Het is gelukt.

"640K ought to be enough for anybody." Bill Gates, 1981

vrijdag 15 november 2024 15:36

Acties:

0 Henk 'm!

Snorry

Incoming!

Dankjewel voor het stappenplan om het certificaar om te zetten van pfx naar pem bestand. Bij mij blijft hij zeggen bij stap 4: No such file or directory met andere woorden hij kan het bestand niet vinden om te converteren. Uiteraard heb ik de naam aangepast naar de juiste certificaatnaam.

Hoop dat jullie hulp kunnen bieden

There is always a way

vrijdag 15 november 2024 15:39

Acties:

+1 Henk 'm!

Juup

Snorry schreef op vrijdag 15 november 2024 @ 15:36:
Dankjewel voor het stappenplan om het certificaar om te zetten van pfx naar pem bestand. Bij mij blijft hij zeggen bij stap 4: No such file or directory met andere woorden hij kan het bestand niet vinden om te converteren. Uiteraard heb ik de naam aangepast naar de juiste certificaatnaam.

Sta je in de juiste directory?
Je moet in die directory zitten waar je de .pfx file hebt neergezet.

Ben ik nou zo dom of zijn jullie nou zo slim?

vrijdag 15 november 2024 15:45

Acties:

0 Henk 'm!

Snorry

Incoming!

@Juup

Dat zou in dit geval op het bureaublad (desktop) moeten zijn. Of moet de certificaat in een bepaalde map zitten van openssl?

There is always a way

vrijdag 15 november 2024 15:46

Acties:

0 Henk 'm!

Juup

Alle stappen t/m stap 5 mogen in een door jou te kiezen map gebeuren.

Ben ik nou zo dom of zijn jullie nou zo slim?

vrijdag 15 november 2024 15:52

Acties:

0 Henk 'm!

Snorry

Incoming!

Oke, dus na -in het pad opgeven waar het bestand staat en dan omzetten?

There is always a way

maandag 18 november 2024 16:47

Acties:

0 Henk 'm!

Snorry

Incoming!

Thanks het is gelukt, was nog wel even wat zoekwerk. Kwam omdat ik Libre Openssl 3.3.6 gebruikte. Deze ondersteunde geen -legacy.

There is always a way

vrijdag 6 december 2024 13:34

Acties:

0 Henk 'm!

axensir

rosanneanne schreef op dinsdag 8 oktober 2024 @ 13:16:
Gelukt met dit stappenplan:

1. Open terminal.

2. Installeer Homebrew | code: /bin/bash -c "$(curl -fsSL https://raw.githubusercon...install/HEAD/install.sh)"

3. Installeer Xcode Command Line Tools en OpenSSL | code: brew install openssl

4. Converteer .pfx naar .pem | code: openssl pkcs12 -in jouwcertificaat.pfx -out temp.pem

5. Converteer .pem terug naar .pfx met legacy-ondersteuning | code: openssl jouwmap -export -in temp.pem -out nieuwcertificaat.pfx -legacy

6. Importeer in Sleutelhanger en stel in op "Always Trust"

@rosanneanne Bedankt! Na een paar keer proberen is het gelukt met dit stappenplan!

Marstek 5.12kw v151, CT003 v114 | 4400Wp zuidoost | 650Wp noordwesten

vrijdag 13 december 2024 16:42

Acties:

0 Henk 'm!

eddyyyy

Helaas snap ik niet helemaal wat er moet gebeuren, waar open je terminal en wat is het? En doe je dit op een windows computer of juist op je iphone of mac?

Sorry als ik overkom als een leek, dat ben ik ook haha.

Gr,

Eddy

Vraag

Beste antwoord (via Daedalus op 06-12-2024 13:37)

Alle reacties