من اجل توقيع رمز EV و Adobe PDF التوقيعات الرقمية، يلزم إنشاء مفتاحك الخاص بشكل آمن وتخزينه على جهاز خارجي معتمد من FIPS بدلاً من جهاز الكمبيوتر. يقوم موقع SSL.com ، اختياريًا ، بشحن توقيع كود EV وشهادات توقيع وثيقة PDF مثبتة مسبقًا على تم التحقق من صحة FIPS 140-2 مفتاح أمان USB، ولكن يمكن للمستخدمين أيضًا إنشاء زوج مفاتيح على مفتاح YubiKey الحالي وملف شهادة تصديق يثبت أن المفتاح الخاص تم إنشاؤه على الجهاز. يمكن بعد ذلك استخدام شهادة التصديق لطلب شهادات من SSL.com والتي يمكن تثبيتها يدويًا على YubiKey.
سترشدك هذه الطريقة إلى:
- توليد أ زوج المفتاح و شهادة تصديق على Yubikey الخاص بك
- التحقق شهادة التصديق وربطها بتوقيع رمز EV SSL.com أو أمر توقيع مستند PDF
- تثبيت شهادتك الجديدة في YubiKey
apt-get
(انظر Yubico's تعليمات للمزيد من المعلومات). يتوفر تطبيق AppImage Linux أيضًا من YubiKey Manager تحميل الصفحة. لاحظ أيضًا أنه بينما تستخدم هذه التعليمات برنامج Yubikey Manager من Yubico ، الإصدار 3.0 من SSL.com SSL Manager وتدعم إنشاء keypair وتثبيت الشهادة على YubiKey لمستخدمي Windows.الخطوة 1: إنشاء زوج من المفاتيح على YubiKey
- إذا لم تكن قد قمت بذلك بالفعل ، فقم بتنزيلها وتثبيتها مدير يوبيكي من موقع Yubico. تتوفر إصدارات لأنظمة Windows و Linux و macOS.
- قم بتوصيل YubiKey الخاص بك ، ثم قم بتشغيل YubiKey Manager. يجب عرض مفتاح يوبيكي الخاص بك في نافذة مدير يوبيكي.
- انتقل إلى تطبيقات> PIV.
- انقر على تكوين الشهادات .
- حدد علامة التبويب الخاصة بفتحة YubiKey حيث تريد إنشاء زوج المفاتيح. إذا كنت تشتري شهادة توقيع رمز EV ، فاختر التحقّق من المُستخدم (الفتحة 9 أ). لتوقيع وثيقة PDF ، اختر توقيع إلكتروني (فتحة 9 ج). (انظر Yubico's توثيق لمزيد من المعلومات حول مختلف الفتحات الرئيسية ووظائفها المقصودة ؛ أنها تختلف في سياسات إدخال PIN الخاصة بهم). هنا سنستخدم الفتحة 9 أ.
- انقر على توليد .
- أختار طلب توقيع الشهادة (CSR)، ثم انقر فوق التالى .
- اختر خوارزمية من القائمة المنسدلة. لتوقيع الوثيقة ، اختر
RSA2048
. لتوقيع رمز EV ، اخترECCP256
orECCP384
.
- إدخال اسم الموضوع للحصول على الشهادة ، ثم انقر فوق التالى .
ملحوظة: لن نستخدم هذا في الواقع CSR—لقد تم إنشاؤه كنتيجة ثانوية لإنشاء زوج مفاتيح جديد. لذلك ، لا يهم حقًا ما تدخله لاسم الموضوع هنا.يجب على المستخدمين أن يطلبوا من SSL.com إصدارًا جديدًا عند تقديم طلب جديد ، ولن يحدث الإصدار تلقائيًا. - انقر على توليد .
- حدد موقعًا لحفظ الملف CSR ملف ، قم بإنشاء اسم ملف ، ثم انقر فوق حفظ .
- أدخل مفتاح YubiKey الخاص بك مفتاح الإدارة، ثم اضغط OK. إذا كنت بحاجة إلى مفتاح الإدارة الخاص بك ، يرجى الاتصال Support@SSL.com.
- أدخل مفتاح يوبيكي الخاص بك PIN، ثم اضغط OK. إذا كنت بحاجة إلى مساعدة في العثور على رقم التعريف الشخصي ، فيرجى الرجوع إلى هذا كيف.
- • CSR سيتم حفظ الملف في المكان الذي حددته في الخطوة 11 أعلاه. مرة أخرى ، لا نحتاج إلى هذا الملف للمتابعة ويمكنك حذفه بأمان.
الخطوة 2: إنشاء شهادة تصديق
يأتي كل مفتاح من مفاتيح Yubi محملة مسبقًا بمفتاح خاص وشهادة من Yubico تتيح لك إنشاء مفتاح شهادة تصديق للتحقق من أنه تم إنشاء مفتاح خاص على YubiKey. ستتطلب منك هذه العملية استخدام سطر الأوامر.
- في Windows ، افتح PowerShell كمسؤول. يجب على مستخدمي macOS و Linux فتح نافذة طرفية على أجهزتهم.
- استخدم الأمر التالي للانتقال إلى ملفات YubiKey Manager:
- نوافذ:
قرص مضغوط "C: ملفات البرنامجYubicoYubiKey Manager"
- ماك:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- على لينكس (أوبونتو)
ykman
سيتم بالفعل تثبيت الأمر فيPATH
، حتى تتمكن من تخطي هذه الخطوة.
- نوافذ:
- إنشاء شهادة تصديق للمفتاح باستخدام الأمر أدناه (استبدال
ATTESTATION-FILENAME.crt
مع المسار واسم الملف الذي تريد استخدامه ؛ إذا استخدمت الفتحة 9c ، فاستبدلها9a
مع9c
):- نوافذ:
تشهد مفاتيح ykman.exe piv على 9a ATTESTATION-FILENAME.crt
- لينكس (أوبونتو):
تشهد مفاتيح ykman piv 9a ATTESTATION-FILENAME.crt
- ماك:
./ykman piv مفاتيح تشهد 9a ATTESTATION-FILENAME.crt
- نوافذ:
- بعد ذلك ، استخدم
ykman
أمر تصدير الشهادة المتوسطة من الفتحة f9 من YubiKey (استبدالINTERMEDIATE-FILENAME.crt
مع المسار واسم الملف الذي تريد استخدامه):- نوافذ:
تصدير شهادات piv .ykman.exe f9 INTERMEDIATE-FILENAME.crt
- لينكس (أوبونتو):
ykman piv الشهادات تصدير f9 INTERMEDIATE-FILENAME.crt
- ماك:
./ykman piv الشهادات تصدير f9 INTERMEDIATE-FILENAME.crt
- نوافذ:
الخطوة 3: التحقق من شهادة التصديق مع SSL.com وإرفاق الطلب
- هنا سنستخدم شهادة التصديق الخاصة بنا من فتحة YubiKey 9a مع طلب شهادة توقيع رمز EV. (إجراء توقيع الشهادات هو نفسه). أولاً ، افتح شهادة التصديق والشهادات الوسيطة في محرر نصوص.
- قم بتسجيل الدخول إلى حساب مستخدم SSL.com الخاص بك وانتقل إلى الطلبات ، ثم انقر فوق تفاصيل رابط للطلب الذي ترغب في ربطه بشهادة التصديق. (سيتغير هذا الارتباط إلى بإمكانك تحميله بعد إصدار شهادتك.)
ملحوظة: إذا كنت ترغب في التحقق من صلاحية شهادة التصديق الخاصة بك دون إرفاقها بأمر ما ، فيمكنك استخدام SSL.com's أداة التحقق من التصديق. - انقر على إدارة رابط تحت شهادة.
- ستظهر صفحة جديدة مع الحقول للتصديق والشهادات المتوسطة.
- الصق شهادة التصديق في الملف شهادة تصديق الحقل ، مع التأكد من تضمين الخطوط
-----BEGIN CERTIFICATE-----
و-----END CERTIFICATE-----
.
- بعد ذلك ، الصق الشهادة المتوسطة في الشهادة المتوسطة الميدان.
- انقر على تقدم .
- إذا سار كل شيء بشكل صحيح ، فسيظهر تنبيه أخضر في أعلى الشاشة ، مما يشير إلى شهادة ناجحة.
- العودة إلى الطلب في حسابك. يمكنك التحقق من أن الشهادة تمت إضافتها إلى الطلب من خلال وجود ارتباط مسمى حذف مع شهادة.
- بعد قيام SSL.com بمعالجة طلبك، ستكون الشهادة متاحة في حساب SSL.com الخاص بك. من صفحة تفاصيل الطلب الخاصة بك، قم بالتمرير لأسفل إلى شهادات الكيان النهائي القسم وانقر مشاهدة تفاصيل.
- قم بالتمرير لأسفل إلى القسم الفرعي المسمى شهادة توقيع الكود or شهادة توقيع الوثيقة، اعتمادا على طلبك. على اليمين، سترى روابط تنزيل شهادتك.
- إذا كان لديك شهادة توقيع الوثيقة، اختر ال الشهادات الفردية خيار التنزيل. هذا ملف مضغوط يحتوي على ثلاثة ملفات شهادات: شهادة الكيان النهائي، والشهادة المتوسطة، والشهادة الجذرية.
- إذا كان لديك شهادة توقيع الكود، اختر ال لتثبيت YUBIKEY (DER).
- إذا كان لديك شهادة توقيع الوثيقة، اختر ال الشهادات الفردية خيار التنزيل. هذا ملف مضغوط يحتوي على ثلاثة ملفات شهادات: شهادة الكيان النهائي، والشهادة المتوسطة، والشهادة الجذرية.
: تحذير لقد رأينا رسائل خطأ في الإصدارات الأخيرة من YubiKey Manager عند استيراد شهادات ECC (مطلوبة الآن لتوقيع رمز EV على YubiKey). هناك نوعان من الحلول المحتملة:
- أوصى: قم بتحويل الشهادة إلى تنسيق DER قبل الاستيراد. هذا واضح ومباشر التحويل باستخدام OpenSSL (استبدال
CERT.crt
وCERT.der
باسم ملفك الفعلي في الأمر التالي):
openssl x509 -outform der -in CERT.crt -out CERT.der
- إذا لم تتمكن من تحويل ملفك ، فارجع إلى ملف الافراج عنه في وقت سابق من YubiKey Manager سيعمل أيضًا. أحدث إصدار وجدنا لاستيراد ECC بنجاح
.crt
الملفات التي تم تنزيلها من SSL.com هي1.1.5
.
الخطوة 4: تثبيت الشهادة في YubiKey
- قم بتشغيل YubiKey Manager وانتقل إلى تطبيقات> PIV.
- انقر على تكوين الشهادات .
- حدد علامة التبويب لنفس فتحة YubiKey حيث قمت بإنشاء زوج المفاتيح.
- انقر على استيراد .
- انتقل إلى ملف شهادة الكيان النهائي وانقر فوق استيراد .
- أدخل مفتاح YubiKey الخاص بك مفتاح الإدارة، ثم اضغط OK. إذا كنت بحاجة إلى مفتاح الإدارة الخاص بك ، يرجى الاتصال Support@SSL.com.
- يتم تثبيت شهادة توقيع رمز EV الجديدة في YubiKey.
- للتأكد من الوثوق بالتوقيعات الرقمية الخاصة بك على جميع أجهزة الكمبيوتر ، يجب عليك أيضًا تثبيت الشهادات الجذرية والمتوسطة على مفتاح YubiKey الخاص بك للحصول على سلسلة ثقة كاملة. يرجى اتباع هذه التعليمات للتثبيت الجذر والمتوسط: قم بتثبيت شهادات الجذر والمتوسط لـ SSL.com على YubiKey.