Generování klíčů a osvědčení s Yubikey

Pro účely Podepisování kódu EV a Digitální podpisy Adobe PDF, je nutné, aby byl váš soukromý klíč bezpečně vygenerován a uložen na externím hardwarovém zařízení ověřeném FIPS než na vašem počítači. SSL.com volitelně dodává předinstalované certifikáty pro podepisování kódu EV a PDF dokumentů USB tokeny s bezpečnostním klíčem ověřeným FIPS 140-2, ale uživatelé mohou také vygenerovat pár klíčů na existujícím YubiKey a an osvědčení což dokazuje, že soukromý klíč byl generován v zařízení. Osvědčení atestace pak lze použít k objednání certifikátů z SSL.com, které mohou být nainstalovány ručně na YubiKey.

Tento návod vás provede:

• Generování a pár klíčů a osvědčení na vašem Yubikey
• Ověření osvědčení atestace a jeho přiřazení k podpisu kódu SSL.com EV nebo objednávce podpisu dokumentu PDF
• Instalace váš nový certifikát v YubiKey

Krok 1: Vygenerujte pár klíčů na YubiKey

1. Pokud jste tak dosud neučinili, stáhněte a nainstalujte Správce YubiKey z webových stránek společnosti Yubico. K dispozici jsou verze pro Windows, Linux a macOS.
   
2. Připojte YubiKey a poté spusťte YubiKey Manager. Vaše YubiKey by se měla zobrazit v okně Správce YubiKey.
   
3. přejděte na Aplikace> PIV.
   
4. Klepněte na tlačítko Konfigurace certifikátů .
   
5. Vyberte kartu pro slot YubiKey, kde chcete vygenerovat pár klíčů. Pokud kupujete certifikát pro podpis kódu EV, zvolte Ověřování (slot 9a). Chcete-li podepsat dokument PDF, zvolte Digitální podpis (slot 9c). (Viz Yubico's dokumentace pro více informací o různých klíčových slotech a jejich zamýšlených funkcích; liší se v zásadách zadávání kódu PIN). Zde použijeme slot 9a.
   
6. Klepněte na tlačítko Generovat .
   
7. vybrat Žádost o podpis certifikátu (CSR), poté klepněte na tlačítko další .
   
8. Vyberte položku Algoritmus z rozevírací nabídky. Pro podepisování dokumentů zvolte RSA2048. Pro podepisování EV kódu zvolte ECCP256 or ECCP384.
   
9. Zadejte Název subjektu pro certifikát klikněte na ikonu další .
   
   Poznámka: Ve skutečnosti to nebudeme používat CSR—Vytváří se jako vedlejší produkt vytvoření nového páru klíčů. Nezáleží tedy na tom, co zde zadáte pro Název subjektu.
   
   Uživatelé musí při zadávání nové objednávky požádat SSL.com o nové vystavení, vystavení neproběhne automaticky.
10. Klepněte na tlačítko Generovat .
    
11. Vyberte umístění pro uložení CSR soubor, vytvořte název souboru a klikněte na Uložit .
    
12. Zadejte své YubiKey klíč řízení, poté klepněte na tlačítko OK. Pokud potřebujete klíč pro správu, kontaktujte nás Support@SSL.com.
    
13. Zadejte svůj YubiKey PIN, poté klepněte na tlačítko OK. Pokud potřebujete pomoci s hledáním vašeho PIN, přečtěte si prosím to jak na to.
    
14. Projekt CSR soubor bude uložen na místo, které jste zadali v kroku 11 výše. Tento soubor opět nepotřebujeme, abyste mohli pokračovat, a můžete jej bezpečně smazat.
    

Krok 2: Vygenerujte osvědčení o atestu

Každý server YubiKey je dodáván předem se soukromým klíčem a certifikátem od společnosti Yubico, který vám umožňuje vygenerovat klíčový kód osvědčení k ověření, že byl na YubiKey vygenerován soukromý klíč. Tato operace bude vyžadovat použití příkazového řádku.

1. Ve Windows otevřete PowerShell jako správce. Uživatelé MacOS a Linuxu by měli na svém zařízení otevřít okno terminálu.
   
2. Pomocí následujícího příkazu přejděte k souborům správce YubiKey:
   • Windows:

     cd "C:Program FilesYubicoYubiKey Manager"

   • MacOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • V systému Linux (Ubuntu) se ykman příkaz bude již nainstalován ve vašem PATH, takže můžete tento krok přeskočit.
3. Pomocí níže uvedeného příkazu vygenerujte certifikát osvědčení pro klíč (nahraďte ATTESTATION-FILENAME.crt s cestou a názvem souboru, který chcete použít; pokud jste použili slot 9c, vyměňte jej 9a s 9c):
   • Windows:

     .ykman.exe piv klíče atest 9a ATTESTATION-FILENAME.crt

   • Linux (Ubuntu):

     ykman piv keys atest 9a ATTESTATION-FILENAME.crt

   • MacOS:

     ./ykman piv keys atest 9a ATTESTATION-FILENAME.crt

4. Poté použijte ykman příkaz k exportu přechodného certifikátu ze slotu f9 YubiKey (nahradit INTERMEDIATE-FILENAME.crt s cestou a názvem souboru, který chcete použít):
   • Windows:

     Export certifikátů piv .ykman.exe f9 INTERMEDIATE-FILENAME.crt

   • Linux (Ubuntu):

     export certifikátů ykman piv f9 INTERMEDIATE-FILENAME.crt

   • MacOS:

     ./ykman piv certifikáty export f9 INTERMEDIATE-FILENAME.crt

Krok 3: Ověřte osvědčení o atestu pomocí SSL.com a přiložte k objednávce

1. Zde použijeme náš atestační certifikát ze slotu YubiKey 9a s objednávkou certifikátu pro podepisování EV kódu. (Postup pro certifikáty podepisování dokumentů je stejný.) Nejprve otevřete atestační a zprostředkující certifikáty v textovém editoru.
   
2. Přihlaste se ke svému uživatelskému účtu SSL.com a přejděte na stránku Objednávky klepněte na kartu podrobnosti odkaz na objednávku, kterou chcete spojit s atestačním certifikátem. (Tento odkaz se změní na download po vydání vašeho certifikátu.)
   
   Poznámka: Chcete-li zkontrolovat platnost svého atestačního certifikátu bez jeho připojení k objednávce, můžete použít SSL.com nástroj pro ověření osvědčení.
   
3. Klepněte na tlačítko řídit odkaz pod potvrzení.
   
4. Zobrazí se nová stránka s poli pro osvědčení a přechodné certifikáty.
   
5. Vložte certifikát osvědčení do Osvědčení o osvědčení pole, ujistěte se, že obsahují řádky -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----.
   
6. Dále vložte přechodný certifikát do Průběžný certifikát pole.
   
7. Klepněte na tlačítko Odeslat .
   
8. Pokud vše proběhlo správně, v horní části obrazovky se zobrazí zelené upozornění, které označuje úspěšné potvrzení.
   
9. Vraťte se k objednávce ve svém účtu. To, že bylo osvědčení přidáno k objednávce, můžete ověřit přítomností odkazu označeného Vymazat pod potvrzení.
   
10. Poté, co SSL.com zpracuje vaši objednávku, bude certifikát k dispozici ve vašem účtu SSL.com. Na stránce podrobností objednávky přejděte dolů na CERTIFIKÁTY KONCOVÉ ENTITY a klepněte na tlačítko Ukázat detaily.
    
11. Přejděte dolů do podsekce označené Osvědčení o podpisu kódu or Osvědčení o podpisu dokumentu, v závislosti na vaší objednávce. Vpravo uvidíte odkazy ke stažení vašeho certifikátu.
    
    
    1. Pokud máte Osvědčení o podpisu dokumentu, vyber individuální certifikáty možnost stažení. Toto je soubor zip obsahující tři soubory certifikátů: certifikát vaší koncové entity, zprostředkující certifikát a kořenový certifikát.
       
    2. Pokud máte Osvědčení o podpisu kódu, vyber pro instalaci YUBIKEY (DER).
       

Krok 4: Nainstalujte certifikát do YubiKey

1. Spusťte YubiKey Manager a přejděte do Aplikace> PIV.
   
2. Klepněte na tlačítko Konfigurace certifikátů .
   
3. Vyberte kartu pro stejný slot YubiKey, kde jste vygenerovali pár klíčů.
   
4. Klepněte na tlačítko import .
   
5. Přejděte do souboru certifikátu koncového subjektu a klikněte na import .
   
6. Zadejte své YubiKey klíč řízení, poté klepněte na tlačítko OK. Pokud potřebujete klíč pro správu, kontaktujte nás Support@SSL.com.
   
7. Nový certifikát pro podepisování EV kódu je nainstalován v YubiKey.
   
8. Abyste se ujistili, že vaše digitální podpisy jsou důvěryhodné na všech počítačích, měli byste také nainstalovat kořenové a zprostředkující certifikáty do svého YubiKey pro úplný řetězec důvěryhodnosti. Při instalaci typu root a střední instalace postupujte podle těchto pokynů: Nainstalujte si na YubiKey kořenové a zprostředkující certifikáty SSL.com.