De bedoeling is dat met het programma XCA twee soorten van certificaten worden gemaakt, die onoplosbaar aan elkaar zijn gekoppeld, maar wel afzonderlijk van elkaar kunnen worden geëxporteerd. Hiermee creëren we een zogenaamde vertrouwenscertificaat en een private-publieke sleutel, (TLS_Client certificaat)

Iedereen die deze versleuteling en digitale ondertekening in Thunderbird mogelijk wil maken, moet dezelfde procedure volgen. Het vertrouwenscertificaat moet onderling door iedereen worden uitgewisseld.

Het standaard Signature algorithm is SHA 512

Dit heet een Self signed certificate (Zelf ondertekend certificaat)

Voordat je met het maken van een database en certificaten gaat beginnen, moet je een nieuwe database maken, en deze met een wachtwoord opslaan.

Een Root-CA-certificaat maken

1. Klik op het tabblad Certificaten.

2. Klik op de knop Nieuw certificaat.

3. Ondertekening: Maak een zelf ondertekend certificaat

4. Zorg ervoor dat het tabblad Bron wordt weergegeven en klik er indien nodig op.

   • Controleer onder aan het deelvenster of de sjabloon '[default] CA' wordt weergegeven en klik op de knop Alles toepassen. Hiermee worden de juiste waarden ingevuld onder de tabbladen Extensies, Sleutelgebruiken Netscape.

5. Klik op het tabblad Onderwerp.

   • Typ de interne naam in; dit is alleen voor weergavedoeleinden in het gereedschap.

   • Vul de vereiste velden in de bovenste sectie Voorname naam in (landnaam, staat/provincie, plaats, organisatie, gemeenschappelijke naam, e-mailadres). gedeeltelijk optioneel De optie [organizationName] is de naam waarin het certificaat weergegeven wordt in het certificatenbeheer. Het emailadres is in het root certificaat optioneel.

   • Als u extra onderdelen aan de DN-naam wilt toevoegen, gebruikt u de knop Toevoegen.

   • Selecteer de gewenste persoonlijke sleutel of genereer een nieuwe sleutel. [verplicht]

6. Klik op het tabblad Extensies.

   • De time range is waarschijnlijk prima (10 jaar). Als u de duur wilt wijzigen, wijzigt u deze en klikt u op Toepassen.

7. Het CRL-Certificate Revocation list, Daarmee kan het certificaat worden ingetrokken [optioneel]

8. Kijk op tabblad Sleutelgebruik: Certificate Sign en CRL Sign ingeschakeld

9. Kijk op tabblad Netscape: SSL CA, S/MIME CA, Object Signing CA, ingeschakeld

10. Klik onderaan op de knop OK.

Een aan het Root CA verbonden E-mail certificaat maken

1. Klik op het tabblad Certificaten.

2. Ondertekening: Selecteer het Root CA (verplicht om de CA aan de root te verbinden)

3. Klik op de knop Nieuw certificaat.

4. Zorg ervoor dat het tabblad Bron wordt weergegeven en klik er indien nodig op.

5. [Default] TLS_Client

   • Selecteer onder aan het deelvenster de sjabloon "[default] TLS_Client" en klik op de knop Toepassen. Hiermee worden de juiste waarden ingevuld onder de tabbladen Extensies, Sleutelgebruiken Netscape.

   • Selecteer in de sectie Ondertekenen het certificaat dat wordt gebruikt om het nieuwe certificaat te ondertekenen. [Selecteer het root certificaat]

6. Klik op het tabblad Onderwerp.

   • Typ de interne naam in; dit is alleen voor weergavedoeleinden in het gereedschap.

   • Vul de vereiste velden in de bovenste sectie 'Voornaam' in (landcode, staat/provincie, plaats, organisatie, algemene naam, e-mailadres). [OrginzationName] is de naam waarin het certificaat weergegeven wordt in het certificatenbeheer. Het emailadres is in het root certificaat verplicht Het is het e-mail adres waaraan het certificaat wordt verbonden.

   • Als u extra onderdelen aan de DN-naam wilt toevoegen, gebruikt u het vervolgkeuzevak en de knop Toevoegen.

   • Selecteer de gewenste persoonlijke sleutel of genereer een nieuwe sleutel. [verplicht]

7. Klik op het tabblad Extensies.

   • Wijzig desgewenst het tijdsbereik en klik op Toepassen.

   • Pas op, het e-mail certificaat mag nooit langer geldig zijn dan het Root Certificaat.

8. Tabblad [Sleutelgebruik] Digital Signature, Key Encipherment, Data Encipherment, en Key Agreement ingeschakeld
   TLS Web Client Authentication, ingeschakeld Optioneel: E-Mail Protection
   Tabblad [Netscape] SSL Client, S/MIME, ingeschakeld

9. Klik op OK.

Als een CA eenmaal gemaakt is, kan je die niet meer veranderen. Als je iets vergeten bent, zal je het bewuste CA moeten verwijderen, en opnieuw aanmaken. Ingeval het de Root CA is waaraan je een of meerdere TLS email CA 's hebt verbonden, zal je alles opnieuw moeten moeten doen.

Als je meerdere email accounts hebt, kun je ook voor deze een certificaat in dezelfde database maken. Voorwaarde is wel dat je elk email certificaat aan het Root certificaat verbind, door de Root ca te selecteren, en dan een nieuwe TLS_Client CA te maken.