Pro účely Podepisování kódu EV a Digitální podpisy Adobe PDF, je nutné, aby byl váš soukromý klíč bezpečně vygenerován a uložen na externím hardwarovém zařízení ověřeném FIPS než na vašem počítači. SSL.com volitelně dodává předinstalované certifikáty pro podepisování kódu EV a PDF dokumentů USB tokeny s bezpečnostním klíčem ověřeným FIPS 140-2, ale uživatelé mohou také vygenerovat pár klíčů na existujícím YubiKey a an osvědčení což dokazuje, že soukromý klíč byl generován v zařízení. Osvědčení atestace pak lze použít k objednání certifikátů z SSL.com, které mohou být nainstalovány ručně na YubiKey.
Tento návod vás provede:
- Generování a pár klíčů a osvědčení na vašem Yubikey
- Ověření osvědčení atestace a jeho přiřazení k podpisu kódu SSL.com EV nebo objednávce podpisu dokumentu PDF
- Instalace váš nový certifikát v YubiKey
apt-get
(viz Yubico's instrukce Pro více informací). Linux AppImage je také k dispozici od správce YubiKey stránku pro stažení. Všimněte si také, že ačkoli tyto pokyny používají software Yubikey Manager společnosti Yubico, verze 3.0 SSL.com SSL Manager podporuje generování klíčů a instalace certifikátů na YubiKey pro uživatele Windows.Krok 1: Vygenerujte pár klíčů na YubiKey
- Pokud jste tak dosud neučinili, stáhněte a nainstalujte Správce YubiKey z webových stránek společnosti Yubico. K dispozici jsou verze pro Windows, Linux a macOS.
- Připojte YubiKey a poté spusťte YubiKey Manager. Vaše YubiKey by se měla zobrazit v okně Správce YubiKey.
- přejděte na Aplikace> PIV.
- Klepněte na tlačítko Konfigurace certifikátů .
- Vyberte kartu pro slot YubiKey, kde chcete vygenerovat pár klíčů. Pokud kupujete certifikát pro podpis kódu EV, zvolte Ověřování (slot 9a). Chcete-li podepsat dokument PDF, zvolte Digitální podpis (slot 9c). (Viz Yubico's dokumentace pro více informací o různých klíčových slotech a jejich zamýšlených funkcích; liší se v zásadách zadávání kódu PIN). Zde použijeme slot 9a.
- Klepněte na tlačítko Generovat .
- vybrat Žádost o podpis certifikátu (CSR), poté klepněte na tlačítko další .
- Vyberte položku Algoritmus z rozevírací nabídky. Pro podepisování dokumentů zvolte
RSA2048
. Pro podepisování EV kódu zvolteECCP256
orECCP384
.
- Zadejte Název subjektu pro certifikát klikněte na ikonu další .
Poznámka: Ve skutečnosti to nebudeme používat CSR—Vytváří se jako vedlejší produkt vytvoření nového páru klíčů. Nezáleží tedy na tom, co zde zadáte pro Název subjektu.Uživatelé musí při zadávání nové objednávky požádat SSL.com o nové vystavení, vystavení neproběhne automaticky. - Klepněte na tlačítko Generovat .
- Vyberte umístění pro uložení CSR soubor, vytvořte název souboru a klikněte na Uložit .
- Zadejte své YubiKey klíč řízení, poté klepněte na tlačítko OK. Pokud potřebujete klíč pro správu, kontaktujte nás Support@SSL.com.
- Zadejte svůj YubiKey PIN, poté klepněte na tlačítko OK. Pokud potřebujete pomoci s hledáním vašeho PIN, přečtěte si prosím to jak na to.
- Projekt CSR soubor bude uložen na místo, které jste zadali v kroku 11 výše. Tento soubor opět nepotřebujeme, abyste mohli pokračovat, a můžete jej bezpečně smazat.
Krok 2: Vygenerujte osvědčení o atestu
Každý server YubiKey je dodáván předem se soukromým klíčem a certifikátem od společnosti Yubico, který vám umožňuje vygenerovat klíčový kód osvědčení k ověření, že byl na YubiKey vygenerován soukromý klíč. Tato operace bude vyžadovat použití příkazového řádku.
- Ve Windows otevřete PowerShell jako správce. Uživatelé MacOS a Linuxu by měli na svém zařízení otevřít okno terminálu.
- Pomocí následujícího příkazu přejděte k souborům správce YubiKey:
- Windows:
cd "C:Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- V systému Linux (Ubuntu) se
ykman
příkaz bude již nainstalován ve vašemPATH
, takže můžete tento krok přeskočit.
- Windows:
- Pomocí níže uvedeného příkazu vygenerujte certifikát osvědčení pro klíč (nahraďte
ATTESTATION-FILENAME.crt
s cestou a názvem souboru, který chcete použít; pokud jste použili slot 9c, vyměňte jej9a
s9c
):- Windows:
.ykman.exe piv klíče atest 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
ykman piv keys atest 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv keys atest 9a ATTESTATION-FILENAME.crt
- Windows:
- Poté použijte
ykman
příkaz k exportu přechodného certifikátu ze slotu f9 YubiKey (nahraditINTERMEDIATE-FILENAME.crt
s cestou a názvem souboru, který chcete použít):- Windows:
Export certifikátů piv .ykman.exe f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
export certifikátů ykman piv f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv certifikáty export f9 INTERMEDIATE-FILENAME.crt
- Windows:
Krok 3: Ověřte osvědčení o atestu pomocí SSL.com a přiložte k objednávce
- Zde použijeme náš atestační certifikát ze slotu YubiKey 9a s objednávkou certifikátu pro podepisování EV kódu. (Postup pro certifikáty podepisování dokumentů je stejný.) Nejprve otevřete atestační a zprostředkující certifikáty v textovém editoru.
- Přihlaste se ke svému uživatelskému účtu SSL.com a přejděte na stránku Objednávky klepněte na kartu podrobnosti odkaz na objednávku, kterou chcete spojit s atestačním certifikátem. (Tento odkaz se změní na download po vydání vašeho certifikátu.)
Poznámka: Chcete-li zkontrolovat platnost svého atestačního certifikátu bez jeho připojení k objednávce, můžete použít SSL.com nástroj pro ověření osvědčení. - Klepněte na tlačítko řídit odkaz pod potvrzení.
- Zobrazí se nová stránka s poli pro osvědčení a přechodné certifikáty.
- Vložte certifikát osvědčení do Osvědčení o osvědčení pole, ujistěte se, že obsahují řádky
-----BEGIN CERTIFICATE-----
a-----END CERTIFICATE-----
.
- Dále vložte přechodný certifikát do Průběžný certifikát pole.
- Klepněte na tlačítko Odeslat .
- Pokud vše proběhlo správně, v horní části obrazovky se zobrazí zelené upozornění, které označuje úspěšné potvrzení.
- Vraťte se k objednávce ve svém účtu. To, že bylo osvědčení přidáno k objednávce, můžete ověřit přítomností odkazu označeného Vymazat pod potvrzení.
- Poté, co SSL.com zpracuje vaši objednávku, bude certifikát k dispozici ve vašem účtu SSL.com. Na stránce podrobností objednávky přejděte dolů na CERTIFIKÁTY KONCOVÉ ENTITY a klepněte na tlačítko Ukázat detaily.
- Přejděte dolů do podsekce označené Osvědčení o podpisu kódu or Osvědčení o podpisu dokumentu, v závislosti na vaší objednávce. Vpravo uvidíte odkazy ke stažení vašeho certifikátu.
- Pokud máte Osvědčení o podpisu dokumentu, vyber individuální certifikáty možnost stažení. Toto je soubor zip obsahující tři soubory certifikátů: certifikát vaší koncové entity, zprostředkující certifikát a kořenový certifikát.
- Pokud máte Osvědčení o podpisu kódu, vyber pro instalaci YUBIKEY (DER).
- Pokud máte Osvědčení o podpisu dokumentu, vyber individuální certifikáty možnost stažení. Toto je soubor zip obsahující tři soubory certifikátů: certifikát vaší koncové entity, zprostředkující certifikát a kořenový certifikát.
Varování: V nedávných verzích YubiKey Manager jsme viděli chybové zprávy při importu certifikátů ECC (nyní vyžadováno pro podepisování EV kódu na YubiKey). Existují dvě možná řešení:
- Doporučená: Před importem certifikát převeďte do formátu DER. To je jednoduché konverze s OpenSSL (nahradit
CERT.crt
aCERT.der
se skutečným názvem souboru v následujícím příkazu):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Pokud nemůžete svůj soubor převést, vraťte se na dřívější vydání YubiKey Manager bude také fungovat. Nejnovější verze, kterou jsme zjistili, úspěšně importuje ECC
.crt
soubory stažené z SSL.com je1.1.5
.
Krok 4: Nainstalujte certifikát do YubiKey
- Spusťte YubiKey Manager a přejděte do Aplikace> PIV.
- Klepněte na tlačítko Konfigurace certifikátů .
- Vyberte kartu pro stejný slot YubiKey, kde jste vygenerovali pár klíčů.
- Klepněte na tlačítko import .
- Přejděte do souboru certifikátu koncového subjektu a klikněte na import .
- Zadejte své YubiKey klíč řízení, poté klepněte na tlačítko OK. Pokud potřebujete klíč pro správu, kontaktujte nás Support@SSL.com.
- Nový certifikát pro podepisování EV kódu je nainstalován v YubiKey.
- Abyste se ujistili, že vaše digitální podpisy jsou důvěryhodné na všech počítačích, měli byste také nainstalovat kořenové a zprostředkující certifikáty do svého YubiKey pro úplný řetězec důvěryhodnosti. Při instalaci typu root a střední instalace postupujte podle těchto pokynů: Nainstalujte si na YubiKey kořenové a zprostředkující certifikáty SSL.com.