За целите на Подписване на EV код намлява Цифрови подписи на Adobe PDF, се изисква вашият личен ключ да бъде генериран по сигурен начин и да се съхранява на външно хардуерно устройство, потвърдено от FIPS, а не на вашия компютър. SSL.com по избор доставя сертификати за подписване на EV код и сертификати за подписване на PDF документи, предварително инсталирани USB токени за ключ за сигурност, валидиран от FIPS 140-2, но потребителите могат също да генерират двойка ключове на съществуващ YubiKey и an удостоверение за атестация което доказва, че частният ключ е генериран на устройството. След това сертификатът за атестация може да се използва за поръчка на сертификати от SSL.com, които могат да бъдат инсталирани ръчно на YubiKey.
Ето как ще ви преведе през:
- Генериране на a двойка ключове намлява удостоверение за атестация на вашия Yubikey
- Проверка атестационния сертификат и свързването му с SSL.com EV код за подписване или поръчка за подписване на PDF документ
- Инсталиране вашия нов сертификат в YubiKey
apt-get
(виж Yubico's инструкции за повече информация). От YubiKey Manager се предлага и Linux AppImage изтегляне на страница. Също така имайте предвид, че докато тези инструкции използват софтуера Yubikey Manager на Yubico, версията 3.0 на SSL.com на SSL Manager поддържа генериране на пара ключове и инсталиране на сертификат на YubiKey за потребители на Windows.Стъпка 1: Генериране на ключова двойка в YubiKey
- Ако вече не сте го направили, изтеглете и инсталирайте YubiKey мениджър от уебсайта на Yubico. Предлагат се версии за Windows, Linux и macOS.
- Включете вашия YubiKey, след това стартирайте YubiKey Manager. Вашият YubiKey трябва да бъде показан в прозореца на YubiKey Manager.
- Отидете до Приложения> PIV.
- Щракнете върху Конфигурирайте сертификати бутон.
- Изберете раздела за слота YubiKey, където искате да генерирате двойката ключове. Ако купувате сертификат за подписване на EV код, изберете заверка (каре 9а). За подписване на PDF документ изберете Цифров подпис (слот 9c). (Вижте Yubico's документация за повече информация за различните ключови слотове и техните предвидени функции; те се различават в своите правила за въвеждане на ПИН). Тук ще използваме слот 9a.
- Щракнете върху Генериране бутон.
- Изберете Заявка за подписване на сертификат (CSR), след което кликнете върху Напред бутон.
- Изберете an алгоритъм от падащото меню. За подписване на документи изберете
RSA2048
. За подписване на EV код изберетеECCP256
orECCP384
.
- Въведете Име на темата за сертификата, след това щракнете върху Напред бутон.
Забележка: Всъщност няма да използваме това CSR—Генерира се като страничен продукт от създаването на нова двойка ключове. Така че, всъщност няма значение какво въвеждате тук за Името на темата.Потребителите трябва да поискат от SSL.com ново издаване, когато подават нова поръчка, издаването няма да се случи автоматично. - Щракнете върху Генериране бутон.
- Изберете местоположение, за да запазите CSR файл, създайте име на файл, след което щракнете върху Save бутон.
- Въведете своите YubiKey ключ за управление, след което щракнете върху OK, Ако имате нужда от вашия ключ за управление, моля, свържете се Support@SSL.com.
- Въведете своя YubiKey PIN, след което щракнете върху OK, Ако имате нужда от помощ при намирането на вашия ПИН код, моля, вижте това как да.
- - CSR файлът ще бъде запазен на мястото, което сте посочили в стъпка 11 по-горе. Отново, нямаме нужда от този файл, за да продължим и можете спокойно да го изтриете.
Стъпка 2: Генериране на сертификат за атестация
Всеки YubiKey идва предварително зареден с частен ключ и сертификат от Yubico, който ви позволява да генерирате удостоверение за атестация за да проверите дали е създаден частен ключ на YubiKey. Тази операция ще изисква да използвате командния ред.
- В Windows отворете PowerShell като администратор. Потребителите на macOS и Linux трябва да отворят терминален прозорец на своето устройство.
- Използвайте следната команда, за да отидете до файловете на YubiKey Manager:
- Windows:
cd "C:Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- В Linux (Ubuntu),
ykman
командата вече ще бъде инсталирана във вашияPATH
, така че можете да пропуснете тази стъпка.
- Windows:
- Генерирайте сертификат за атестация за ключа с командата по-долу (заменете
ATTESTATION-FILENAME.crt
с пътя и името на файла, които искате да използвате; ако сте използвали слот 9c, сменете9a
с9c
):- Windows:
.ykman.exe piv ключове удостоверяват 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
ykman piv ключове удостоверяват 9a АТЕСТАЦИЯ-ИМЕ НА ФАЙЛ.crt
- MacOS:
./ykman piv бутони удостоверяват 9a АТЕСТАЦИЯ-ИМЕ НА ИМЕ.crt
- Windows:
- След това използвайте
ykman
команда за експортиране на междинен сертификат от слот f9 на YubiKey (заменетеINTERMEDIATE-FILENAME.crt
с пътя и името на файла, които искате да използвате):- Windows:
.ykman.exe piv сертификати експортиране f9 МЕЖДИННО ИМЕ-ФАЙЛ.crt
- Linux (Ubuntu):
ykman piv сертификати експортиране f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv сертификати износ f9 INTERMEDIATE-FILENAME.crt
- Windows:
Стъпка 3: Проверете удостоверението за удостоверяване с SSL.com и прикачете към поръчката
- Тук ще използваме нашия сертификат за атестация от YubiKey слот 9а с поръчка на сертификат за подписване на EV код. (Процедурата за сертификати за подписване на документи е същата.) Първо отворете атестационните и междинните сертификати в текстов редактор.
- Влезте в своя акаунт на SSL.com и отидете до Поръчки , след което кликнете върху детайли връзка за поръчката, която искате да свържете със сертификата за атестация. (Тази връзка ще се промени на Изтегли след издаване на сертификата ви.)
Забележка: Ако искате да проверите валидността на сертификата си за атестация, без да го прикачвате към поръчка, можете да използвате SSL.com инструмент за проверка на атестация. - Щракнете върху управление на връзка, под удостоверяване.
- Ще се появи нова страница с полета за атестация и междинни сертификати.
- Поставете сертификата за атестация в Удостоверение за атестация поле, като не забравяйте да включите линиите
-----BEGIN CERTIFICATE-----
намлява-----END CERTIFICATE-----
.
- След това поставете междинния сертификат в Междинен сертификат поле.
- Щракнете върху Изпрати бутон.
- Ако всичко е тръгнало правилно, в горната част на екрана ще се появи зелен сигнал, който показва успешна атестация.
- Върнете се към поръчката във вашия акаунт. Можете да проверите дали атестацията е добавена към поръчката чрез наличието на връзка с етикет Изтрий под удостоверяване.
- След като SSL.com обработи вашата поръчка, сертификатът ще бъде наличен във вашия акаунт в SSL.com. От страницата с подробности за вашата поръчка превъртете надолу до СЕРТИФИКАТИ ЗА КРАЙНИ СУБЕКТИ и кликнете върху него Покажи детайли.
- Превъртете надолу до подраздела с етикет Сертификат за подписване на код or Удостоверение за подписване на документ, в зависимост от вашата поръчка. Вдясно ще видите връзките за изтегляне на вашия сертификат.
- Ако имате Удостоверение за подписване на документ, Избери индивидуални сертификати опция за изтегляне. Това е zip файл, съдържащ три файла със сертификати: вашия сертификат за краен обект, междинен сертификат и основен сертификат.
- Ако имате Сертификат за подписване на код, Избери за инсталация YUBIKEY (DER).
- Ако имате Удостоверение за подписване на документ, Избери индивидуални сертификати опция за изтегляне. Това е zip файл, съдържащ три файла със сертификати: вашия сертификат за краен обект, междинен сертификат и основен сертификат.
Внимание: Виждахме съобщения за грешка в последните версии на YubiKey Manager при импортиране на ECC сертификати (сега се изисква за EV Code Signing на YubiKey). Има две потенциални решения:
- Препоръчва се: Конвертирайте сертификата във формат DER преди импортиране. Това е просто преобразуване с OpenSSL (замени
CERT.crt
намляваCERT.der
с вашето действително име на файл в следната команда):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Ако не можете да конвертирате файла си, връщане към по-ранна версия на YubiKey Manager също ще работи. Най-новата версия, която установихме за успешен импорт на ECC
.crt
файловете, изтеглени от SSL.com, са1.1.5
.
Стъпка 4: Инсталирайте сертификат в YubiKey
- Стартирайте YubiKey Manager и се насочете към Приложения> PIV.
- Щракнете върху Конфигурирайте сертификати бутон.
- Изберете раздела за същия слот YubiKey, където сте генерирали двойката ключове.
- Щракнете върху внос бутон.
- Придвижете се до вашия сертификат на крайния обект и щракнете върху внос бутон.
- Въведете своите YubiKey ключ за управление, след което щракнете върху OK, Ако имате нужда от вашия ключ за управление, моля, свържете се Support@SSL.com.
- Новият сертификат за подписване на EV код е инсталиран в YubiKey.
- За да сте сигурни, че вашите цифрови подписи са надеждни на всички компютри, трябва също да инсталирате коренните и междинните сертификати на вашия YubiKey за пълна верига на доверие. Моля, следвайте тези инструкции за root и междинна инсталация: Инсталирайте коренни и междинни сертификати на SSL.com на YubiKey.