المفتاح الرئيسي والتصديق مع Yubikey

من اجل توقيع رمز EV و Adobe PDF التوقيعات الرقمية، يلزم إنشاء مفتاحك الخاص بشكل آمن وتخزينه على جهاز خارجي معتمد من FIPS بدلاً من جهاز الكمبيوتر. يقوم موقع SSL.com ، اختياريًا ، بشحن توقيع كود EV وشهادات توقيع وثيقة PDF مثبتة مسبقًا على تم التحقق من صحة FIPS 140-2 مفتاح أمان USB، ولكن يمكن للمستخدمين أيضًا إنشاء زوج مفاتيح على مفتاح YubiKey الحالي وملف شهادة تصديق يثبت أن المفتاح الخاص تم إنشاؤه على الجهاز. يمكن بعد ذلك استخدام شهادة التصديق لطلب شهادات من SSL.com والتي يمكن تثبيتها يدويًا على YubiKey.

Do ليس اتبع هذه التعليمات إذا طلبت YubiKey مع شهادتك من SSL.com ، حيث يتم شحن YubiKeys بشهادات مثبتة مسبقًا. هذه الطريقة مخصصة للعملاء الذين يرغبون في تثبيت الشهادات على YubiKey FIPS التي يمتلكونها بالفعل.

سترشدك هذه الطريقة إلى:

ملحوظة: لقطات الشاشة أدناه مأخوذة من Windows ، لكن الإجراءات متطابقة تقريبًا في Linux و macOS. يشار إلى الاختلافات بين المنصات أدناه. تشير تعليمات Linux إلى Ubuntu 19.10 ، مع تثبيت مدير YubiKey مع apt-get (انظر Yubico's تعليمات للمزيد من المعلومات). يتوفر تطبيق AppImage Linux أيضًا من YubiKey Manager تحميل الصفحة. لاحظ أيضًا أنه بينما تستخدم هذه التعليمات برنامج Yubikey Manager من Yubico ، الإصدار 3.0 من SSL.com SSL Manager وتدعم إنشاء keypair وتثبيت الشهادة على YubiKey لمستخدمي Windows.
اذهب الى القمة

الخطوة 1: إنشاء زوج من المفاتيح على YubiKey

  1. إذا لم تكن قد قمت بذلك بالفعل ، فقم بتنزيلها وتثبيتها مدير يوبيكي من موقع Yubico. تتوفر إصدارات لأنظمة Windows و Linux و macOS.
    YubiKey Manager تنزيل
  2. قم بتوصيل YubiKey الخاص بك ، ثم قم بتشغيل YubiKey Manager. يجب عرض مفتاح يوبيكي الخاص بك في نافذة مدير يوبيكي.
    مدير يوبيكي
  3. انتقل إلى تطبيقات> PIV.
    تطبيقات> PIV
  4. انقر على تكوين الشهادات .
    تكوين الشهادات
  5. حدد علامة التبويب الخاصة بفتحة YubiKey حيث تريد إنشاء زوج المفاتيح. إذا كنت تشتري شهادة توقيع رمز EV ، فاختر التحقّق من المُستخدم (الفتحة 9 أ). لتوقيع وثيقة PDF ، اختر توقيع إلكتروني (فتحة 9 ج). (انظر Yubico's توثيق لمزيد من المعلومات حول مختلف الفتحات الرئيسية ووظائفها المقصودة ؛ أنها تختلف في سياسات إدخال PIN الخاصة بهم). هنا سنستخدم الفتحة 9 أ.
    المصادقة (الفتحة 9 أ)
  6. انقر على توليد .
    توليد
  7. أختار طلب توقيع الشهادة (CSR)، ثم انقر فوق التالى .
    طلب توقيع الشهادة (CSR)
  8. اختر خوارزمية من القائمة المنسدلة. لتوقيع الوثيقة ، اختر RSA2048. لتوقيع رمز EV ، اختر ECCP256 or ECCP384.
    حدد الخوارزمية
  9. إدخال اسم الموضوع للحصول على الشهادة ، ثم انقر فوق التالى .
    ملحوظة: لن نستخدم هذا في الواقع CSR—لقد تم إنشاؤه كنتيجة ثانوية لإنشاء زوج مفاتيح جديد. لذلك ، لا يهم حقًا ما تدخله لاسم الموضوع هنا.
    اسم الموضوع
    يجب على المستخدمين أن يطلبوا من SSL.com إصدارًا جديدًا عند تقديم طلب جديد ، ولن يحدث الإصدار تلقائيًا.
  10. انقر على توليد .
    توليد
  11. حدد موقعًا لحفظ الملف CSR ملف ، قم بإنشاء اسم ملف ، ثم انقر فوق حفظ .
    حفظ CSR
  12. أدخل مفتاح YubiKey الخاص بك مفتاح الإدارة، ثم اضغط OK. إذا كنت بحاجة إلى مفتاح الإدارة الخاص بك ، يرجى الاتصال Support@SSL.com.
    مفتاح الإدارة
  13. أدخل مفتاح يوبيكي الخاص بك PIN، ثم اضغط OK. إذا كنت بحاجة إلى مساعدة في العثور على رقم التعريف الشخصي ، فيرجى الرجوع إلى هذا كيف.
    أدخل رقم التعريف الشخصي
  14. • CSR سيتم حفظ الملف في المكان الذي حددته في الخطوة 11 أعلاه. مرة أخرى ، لا نحتاج إلى هذا الملف للمتابعة ويمكنك حذفه بأمان.
    CSR ملف
اذهب الى القمة

الخطوة 2: إنشاء شهادة تصديق

يأتي كل مفتاح من مفاتيح Yubi محملة مسبقًا بمفتاح خاص وشهادة من Yubico تتيح لك إنشاء مفتاح شهادة تصديق للتحقق من أنه تم إنشاء مفتاح خاص على YubiKey. ستتطلب منك هذه العملية استخدام سطر الأوامر.

  1. في Windows ، افتح PowerShell كمسؤول. يجب على مستخدمي macOS و Linux فتح نافذة طرفية على أجهزتهم.
    افتح PowerShell كمسؤول
  2. استخدم الأمر التالي للانتقال إلى ملفات YubiKey Manager:
    • نوافذ: 
      قرص مضغوط "C: ملفات البرنامجYubicoYubiKey Manager"
    • ماك: 
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • على لينكس (أوبونتو) ykman سيتم بالفعل تثبيت الأمر في PATH، حتى تتمكن من تخطي هذه الخطوة.
  3. إنشاء شهادة تصديق للمفتاح باستخدام الأمر أدناه (استبدال ATTESTATION-FILENAME.crt مع المسار واسم الملف الذي تريد استخدامه ؛ إذا استخدمت الفتحة 9c ، فاستبدلها 9a مع 9c):
    • نوافذ: 
      تشهد مفاتيح ykman.exe piv على 9a ATTESTATION-FILENAME.crt
    • لينكس (أوبونتو): 
      تشهد مفاتيح ykman piv 9a ATTESTATION-FILENAME.crt
    • ماك: 
      ./ykman piv مفاتيح تشهد 9a ATTESTATION-FILENAME.crt
  4. بعد ذلك ، استخدم ykman أمر تصدير الشهادة المتوسطة من الفتحة f9 من YubiKey (استبدال INTERMEDIATE-FILENAME.crt مع المسار واسم الملف الذي تريد استخدامه):
    • نوافذ: 
      تصدير شهادات piv .ykman.exe f9 INTERMEDIATE-FILENAME.crt
    • لينكس (أوبونتو): 
      ykman piv الشهادات تصدير f9 INTERMEDIATE-FILENAME.crt
    • ماك: 
      ./ykman piv الشهادات تصدير f9 INTERMEDIATE-FILENAME.crt
اذهب الى القمة

الخطوة 3: التحقق من شهادة التصديق مع SSL.com وإرفاق الطلب

  1. هنا سنستخدم شهادة التصديق الخاصة بنا من فتحة YubiKey 9a مع طلب شهادة توقيع رمز EV. (إجراء توقيع الشهادات هو نفسه). أولاً ، افتح شهادة التصديق والشهادات الوسيطة في محرر نصوص.
    شهادة تصديق
  2. قم بتسجيل الدخول إلى حساب مستخدم SSL.com الخاص بك وانتقل إلى الطلبات ، ثم انقر فوق تفاصيل رابط للطلب الذي ترغب في ربطه بشهادة التصديق. (سيتغير هذا الارتباط إلى بإمكانك تحميله بعد إصدار شهادتك.)
    ملحوظة: إذا كنت ترغب في التحقق من صلاحية شهادة التصديق الخاصة بك دون إرفاقها بأمر ما ، فيمكنك استخدام SSL.com's أداة التحقق من التصديق.
    تفاصيل
  3. انقر على إدارة رابط تحت شهادة.
    إدارة الارتباط
  4. ستظهر صفحة جديدة مع الحقول للتصديق والشهادات المتوسطة.
    التحقق من التصديق
  5. الصق شهادة التصديق في الملف شهادة تصديق الحقل ، مع التأكد من تضمين الخطوط -----BEGIN CERTIFICATE----- و -----END CERTIFICATE-----.
    لصق شهادة تصديق
  6. بعد ذلك ، الصق الشهادة المتوسطة في الشهادة المتوسطة الميدان.
    حقل الشهادة المتوسطة
  7. انقر على تقدم .
    زر الإرسال
  8. إذا سار كل شيء بشكل صحيح ، فسيظهر تنبيه أخضر في أعلى الشاشة ، مما يشير إلى شهادة ناجحة.
    شهادة نجاح
  9. العودة إلى الطلب في حسابك. يمكنك التحقق من أن الشهادة تمت إضافتها إلى الطلب من خلال وجود ارتباط مسمى حذف مع شهادة.
    حذف الرابط
  10. بعد قيام SSL.com بمعالجة طلبك، ستكون الشهادة متاحة في حساب SSL.com الخاص بك. من صفحة تفاصيل الطلب الخاصة بك، قم بالتمرير لأسفل إلى شهادات الكيان النهائي القسم وانقر مشاهدة تفاصيل.
  11. قم بالتمرير لأسفل إلى القسم الفرعي المسمى شهادة توقيع الكود or شهادة توقيع الوثيقة، اعتمادا على طلبك. على اليمين، سترى روابط تنزيل شهادتك.

    1. إذا كان لديك شهادة توقيع الوثيقة، اختر ال الشهادات الفردية خيار التنزيل. هذا ملف مضغوط يحتوي على ثلاثة ملفات شهادات: شهادة الكيان النهائي، والشهادة المتوسطة، والشهادة الجذرية.
    2. إذا كان لديك شهادة توقيع الكود، اختر ال لتثبيت YUBIKEY (DER).

: تحذير لقد رأينا رسائل خطأ في الإصدارات الأخيرة من YubiKey Manager عند استيراد شهادات ECC (مطلوبة الآن لتوقيع رمز EV على YubiKey). هناك نوعان من الحلول المحتملة:

  • أوصى: قم بتحويل الشهادة إلى تنسيق DER قبل الاستيراد. هذا واضح ومباشر التحويل باستخدام OpenSSL (استبدال CERT.crt و CERT.der باسم ملفك الفعلي في الأمر التالي):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • إذا لم تتمكن من تحويل ملفك ، فارجع إلى ملف الافراج عنه في وقت سابق من YubiKey Manager سيعمل أيضًا. أحدث إصدار وجدنا لاستيراد ECC بنجاح .crt الملفات التي تم تنزيلها من SSL.com هي 1.1.5.
اذهب الى القمة

الخطوة 4: تثبيت الشهادة في YubiKey

  1. قم بتشغيل YubiKey Manager وانتقل إلى تطبيقات> PIV.
    تطبيقات> PIV
  2. انقر على تكوين الشهادات .
    تكوين الشهادات
  3. حدد علامة التبويب لنفس فتحة YubiKey حيث قمت بإنشاء زوج المفاتيح.
    المصادقة (الفتحة 9 أ)
  4. انقر على استيراد .
    زر الاستيراد
  5. انتقل إلى ملف شهادة الكيان النهائي وانقر فوق استيراد .
    شهادة استيراد
  6. أدخل مفتاح YubiKey الخاص بك مفتاح الإدارة، ثم اضغط OK. إذا كنت بحاجة إلى مفتاح الإدارة الخاص بك ، يرجى الاتصال Support@SSL.com.
    مفتاح الإدارة
  7. يتم تثبيت شهادة توقيع رمز EV الجديدة في YubiKey.
    تم تثبيت الشهادة
  8. للتأكد من الوثوق بالتوقيعات الرقمية الخاصة بك على جميع أجهزة الكمبيوتر ، يجب عليك أيضًا تثبيت الشهادات الجذرية والمتوسطة على مفتاح YubiKey الخاص بك للحصول على سلسلة ثقة كاملة. يرجى اتباع هذه التعليمات للتثبيت الجذر والمتوسط: قم بتثبيت شهادات الجذر والمتوسط ​​لـ SSL.com على YubiKey.
شكرًا لاختيارك SSL.com! إذا كان لديك أي أسئلة ، يرجى الاتصال بنا عبر البريد الإلكتروني على Support@SSL.com، مكالمة 1-877-SSL-SECURE، أو انقر فقط على رابط الدردشة في الجزء السفلي الأيسر من هذه الصفحة. يمكنك أيضًا العثور على إجابات للعديد من أسئلة الدعم الشائعة في موقعنا قاعدة المعرفة.

فريق دعم SSL.com

المؤلف - مسؤول المحتوى
جميع المشاركات

ذات الصلة كيف Tos

عرض الكل How Tos
فيسبوك لينكد إن تويتر يوتيوب جيثب

اشترك في النشرة الإخبارية لـ SSL.com

ما هو SSL /TLS?

البدء

اشترك في النشرة الإخبارية SSL.com

لا تفوت المقالات والتحديثات الجديدة من SSL.com

ابق على اطلاع وآمن

SSL.com هي شركة عالمية رائدة في مجال الأمن السيبراني، PKI والشهادات الرقمية. قم بالتسجيل لتلقي آخر أخبار الصناعة والنصائح وإعلانات المنتجات من SSL.com.

نحن نحب ملاحظاتك

شارك في استبياننا وأخبرنا بأفكارك حول عملية الشراء الأخيرة.

خذ المسح