Nøglegenerering og attestering med YubiKey til dokumentsigneringscertifikater

Sådan genererer du et nøglepar og et attestationscertifikat på din YubiKey FIPS for at bestille dokumentsigneringscertifikater.

Lignende indhold

Kopiér artikellinket

Før du begynder
 Denne vejledning er kun til installation eller udskiftning af en dokumentunderskrivelsesattest på en YubiKey i disse tilfælde:
  • Du har købt en tom YubiKey direkte fra Yubico
  • Du skal udskifte en udløbet SSL.com dokumentsigneringscertifikat på din YubiKey
Brug ikke denne vejledning, hvis:

Med henblik på Adobe PDF digitale signaturer, er det påkrævet, at din private nøgle genereres sikkert og gemmes på en ekstern FIPS-valideret hardwareenhed i stedet for din computer. Brugere kan generere et nøglepar på en eksisterende YubiKey og en attestationsattest der beviser, at den private nøgle blev genereret på enheden. Attestationscertifikatet kan derefter bruges til at hente certifikater fra SSL.com, som kan installeres manuelt på YubiKey.

Et attestationscertifikat er kun gyldigt for én YubiKey. Hvis du har brug for at installere dit certifikat i flere YubiKeys, skal du udføre en attestation for hver token. Kontakt venligst support@ssl.com for at få flere oplysninger om flere udstedelse af et certifikat.

Denne how-to vil lede dig gennem:

    • Bekræftelse attestationscertifikatet og tilknytning af det til en SSL.com PDF-dokumentunderskriftsordre
    • Downloading dit dokumentsigneringscertifikat
    • Installation dit nye certifikat i YubiKey
Gå til top

Krav

  1. Seneste version af Yubico Authenticator og ykman kommandolinjegrænseflade (CLI).
    Bemærk:

    For at generere nøgleparret og senere installere dokumentsigneringscertifikatet, skal du downloade dette værktøj: Yubico Authenticator grafisk brugergrænseflade (GUI)

    For at generere attestationscertifikatet skal du bruge ykman Command Line Interface (CLI), som er inkluderet i denne downloadpakke: YubiKey Manager.

    Efter installationen vil begge disse værktøjer blive gemt i din computers Yubico-mappe.

  2. Din YubiKey PIN og PUK konfigureret på Yubico Authenticator. Hvis din YubiKey-token blev købt fra Yubico, skal du indstille din pinkode og PUK-kode. Åbn dette for at gøre dette Yubico-godkendelse, Klik på Certifikater fanen. På den Administrer afsnittet, vil du se mulighederne for at konfigurere din PIN og PUK

Trin 1: Generer nøglepar på YubiKey

  1. Hent Yubico Authenticator.
  2. Tilslut din YubiKey, og start derefter Yubico Authenticator.
  3. Under Certifikater I afsnittet skal du vælge den fane, der svarer til den YubiKey-plads, hvor du vil generere nøgleparret. For at underskrive PDF-dokumenter skal du vælge Digital signatur (plads 9c). Klik på Generer nøgle at fortsætte.
  4. Når du bliver bedt om din YubiKey-pinkode, skal du indtaste værdien og derefter klikke på Lås

  5. Indtast det entydige navn (DN) i emnefeltet. Denne værdi identificerer personen eller organisationen og vil blive vist på ethvert elektronisk dokument, der er underskrevet med certifikatet.

    • Start indtastningen med tegnene CN= efterfulgt af det navn, du ønsker vist, uden mellemrum.
    • Eksempel: CN=Example Company

    Sørg for, at navnet er korrekt, da det vil være synligt for slutbrugerne.

    Til Output Format, vælg Anmodning om certifikatsignering (CSR).

    På hjemmesiden for oprettelse af en konto skal du indtaste postnummeret for dit service-eller faktureringsområde i feltet, der er markeret (A) på billedet ovenfor. Algoritme rullemenu, foretag et valgTil dokumentunderskrift skal du vælge RSA2048.

    Endelig skal du klikke på Gem .
  6. Gem CSR certifikat i en mappe.
Gå til top

Trin 2: Generer attestattest

Hver YubiKey leveres forudindlæst med en privat nøgle og certifikat fra Yubico, der giver dig mulighed for at generere en attestationsattest for at bekræfte, at en privat nøgle er blevet genereret på en YubiKey. Denne handling kræver, at du bruger ykman Kommandolinjegrænsefladen (CLI), som er placeret i YubiKey Manager mappe på din computer. For at kunne få adgang til ykman CLI skal du bruge Windows PowerShell.

  1. I søgefeltet på din computer skal du skrive Windows PowerShell, højreklik på den og vælg Kør som administratormacOS- og Linux-brugere bør åbne et terminalvindue på deres enhed.

  2. Brug cd (Skift mappe)-kommandoen for at navigere til YubiKey Manager-filerne og få adgang til dem ykmanFor at gøre dette i Windows skal du gøre følgende i rækkefølge på samme linje i Powershell:

    Type cd på PowerShell
    Presse plads
    Kopier stien til mappen, hvor ykman er placeret, og omslut den derefter. dobbelte anførselstegn. Eksempel: "C:\Program Files\Yubico\YubiKey Manager"
    Presse Indtast

    • Windows: 
      cd "C:\Program Files\Yubico\YubiKey Manager"
    • MacOS: 
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • På Linux (Ubuntu), ykman kommando vil allerede være installeret i din PATH, så du kan springe over dette trin.

  3. Efter at have skiftet til ykman ved hjælp af Powershell, skal du bruge kommandoen nedenfor til at generere et attestationscertifikat, som vil være i form af en tekstfil. I Windows vil kommandoen se sådan ud:.\ykman.exe piv keys attest 9c C:\Folder\Folder\attestation\attestationfilename

    Lad os opdele det:

    a. Kopier dette til Powershell: .\ykman.exe piv keys attest 9c

    b. På samme linje i Powershell skal du kopiere stien til den mappe, hvor du vil gemme attestationscertifikatet. Vælg/opret en mappe på din computer. Eksempel: C:\Folder\Folder\attestation.

    Sørg for at vælge/oprette mapper med enkeltord eller uden mellemrum for at undgå fejl, når du indtaster kommandoen i PowerShell. 

    c. Tænk på et navn, du vil bruge til certifikatet. Tilføj et omvendt skråstreg (\) og det navn, du vil bruge til dit attestationscertifikat, i slutningen af ​​den mappesti, du kopierede til PowerShell. Eksempel:\attestationfilename 

    Sørg for at generere et filnavn, der kun indeholder specialtegn og mellemrum, for at undgå fejl, når du indtaster kommandoen i PowerShell. 

    d. Tryk Indtast på PowerShell for endelig at generere tekstfilen med attestationscertifikatet.

    Efter du har indtastet kommandoen, skal du kontrollere i din angivne computermappe, om attestationscertifikatet er blevet genereret korrekt. Det vil være i form af en tekstfil og have det navn, du har angivet for det. Når det åbnes, vil det vise en række bogstaver og tal med titlen —–BEGIN CERTIFIKAT—– øverst og —–END CERTIFIKAT—– i slutningen.

    • Windows: 
      .\ykman.exe piv-nøgler attest 9c C:\Mappe\Mappe\attestation\attestationsfilnavn
    • Linux (Ubuntu): 
      ykman piv-nøgler attesterer 9c ATTESTATION-FILNAVN.crt
    • MacOS: 
      ./ykman piv-nøgler attesterer 9c ATTESTATION-FILNAVN.crt
  4. Brug derefter ykman kommando til at eksportere det mellemliggende certifikat fra slot f9 på YubiKey. Certifikatet vil være i et tekstfilformat. Kommandoen vil se sådan ud: .\ykman.exe piv certificates export f9 C:\Folder\Folder\attestation\intermediatefilename

    Lad os opdele det: 

    a. Kopier dette på PowerShell: .\ykman.exe piv certificates export f9
    b. Vælg eller opret en mappe på din computer (f.eks. Dokumenter), hvor du vil eksportere det mellemliggende certifikat. Kopier mappeadressen til PowerShell. Eksempel: C:\Folder\Folder\attestation
    c. Opret et filnavn til det mellemliggende certifikat. Tilføj et omvendt skråstreg før navnet, og tilføj det i slutningen af ​​den mappeadresse, du har kopieret til PowerShell, uden mellemrum. Eksempel: \intermediatefilename
    d. Tryk IndtastNår du har indtastet kommandoen, vises det mellemliggende certifikat i den angivne mappe med det navn, du har angivet for det. Når du åbner det, vises en række bogstaver og tal med titlen -----BEGIN CERTIFICATE----- øverst og -----END CERTIFICATE----- i slutningen. 
    • Windows: 
      .\ykman.exe piv-certifikater eksporterer f9 C:\Folder\Folder\attestation\mellemfilnavn
    • Linux (Ubuntu): 
      ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
    • MacOS: 
      ./ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
Gå til top

Trin 3: Bekræft attestattest med SSL.com og vedhæft ordre

  1. Åbn først attestationen og de mellemliggende certifikater i en teksteditor.
  2. Log ind på din SSL.com-brugerkonto og naviger til Mine Ordrer fanen. Klik på linket mærket detaljer (for nye ordrer) eller downloade (for gamle ordrer) for den ordre, du ønsker at knytte til attestationscertifikatet. (Dette link vises som downloade for kunder med et udløbet signeringscertifikat, som de ønsker at erstatte).

    Bemærk: Hvis du ønsker at kontrollere gyldigheden af ​​dit attestcertifikat uden at vedhæfte det til en ordre, kan du bruge SSL.com's bekræftelsesværktøj til attestation.

  3. Vælg din brugsscene nedenfor:
    a. For kunder med en tom YubiKey skal du klikke på administrere link under kursusbevis.
    b. For kunder, der erstatter et udløbet signeringscertifikat, skal du klikke på Slette linket først for at fjerne den tidligere attestationsindsendelse for dit udløbne signeringscertifikat. Klik derefter på administrere link. 
  4. En ny side med felter til attestation og mellemcertifikater vises.

  5. Indsæt attestattesten i Attestationsattest felt, og sørg for at medtage linjerne -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.
  6. Indsæt derefter det mellemliggende certifikat i Mellemliggende certifikat felt.
  7. Klik på knappen Insend .
  8. Hvis alt er gået korrekt, vises en grøn alarm øverst på skærmen, hvilket indikerer en vellykket attest.
Gå til top

Trin 4: Download dit dokumentsigneringscertifikat

  1. Når SSL.com godkender din attestering og udsteder certifikatet, kan det derefter downloades fra din brugerkonto. For at gøre dette skal du klikke på Mine Ordrer fra den øverste menu. Find din certifikatordre på listen, og klik på downloade .
  2. Når du er på downloadsiden, skal du rulle ned til SLUT ENHEDSCERTIFIKATER afsnit og klik Vis detaljerRul ned til underafsnittet mærket DokumentunderskrivelsescertifikatTil højre ser du mulighederne for downloadformater til dit certifikat. For en Dokumentunderskrivelsescertifikat, Vælg individuelle certifikater download mulighed. Dette er en zip-fil, der indeholder tre certifikatfiler: dit slutenhedscertifikat, et mellemcertifikat og et rodcertifikat. 
  3. Højreklik på den downloadede zip-fil. Klik Udtræk Alle…
  4. Vælg en placering, hvor du vil udpakke filerne, og klik derefter på Uddrag .
  5. Åbn mappen, der indeholder de udpakkede certifikater. Du vil se tre certifikater, men du skal kun installere dine slut-enhedscertifikat som er en .CRT-fil og bærer navnet på personen eller organisationen. Herfra er du nu klar til at installere dit certifikat.
Gå til top

Trin 5: Installer dit dokumentsigneringscertifikat i YubiKey  

  1. Åbne Yubico Authenticator.

  2. Klik Certifikater, efterfulgt af Digital signaturog Importér fil.
  3. Indtast din YubiKey-pinkode.
  4. Naviger til den mappe, hvor certifikaterne blev udtrukket, og klik på dit slutdokumentsigneringscertifikat.
  5. Yubico Authenticator viser detaljerne for dit certifikat. Klik på Importere .
  6. Dit certifikat er nu installeret.
Gå til top

Fejlfinding af dokumentsigneringsbekræftelse

If SSL.com afviser din indsendelse af attestation, skyldes det et af følgende

  1. Trin 1: Generer nøglepar på YubiKey
    1. Din anmodning om certifikatsignering (CSR) bliver afvist af Yubico Authenticator
      • Du skal inkludere karaktererne CN= i emnefeltet. Yubico Authenticator vil afvise CSR hvis dette ikke gøres. 
      • Vælg en understøttet algoritme: RSA 2048 er den eneste algoritme, der accepteres til dokumentsigneringscertifikater.

  2. Trin 2: Generer attestattest
    1. Du kan ikke få adgang til ykman CLI
      • Du kan ikke tilgå ykman ved at dobbeltklikke på ikonet for applikationen i YubiKey Manager. Du kan kun bruge det ved først at åbne et shell-program som PowerShell og derefter bruge kommandoen Change Directory (cd) til at køre det. 
      • Når du skriver cd-kommandoen i PowerShell, skal der være et mellemrum mellem cd og mappestien til ykman CLI. Eksempel: cd “C:\Program Files\Yubico\YubiKey Manager”
      • Stien til ykman CLI-mappen skal være omgivet af dobbelte anførselstegn. Eksempel: “C:\Program Files\Yubico\YubiKey Manager”
    2. Attestations- og mellemcertifikaterne genereres ikke
      • Sørg for at vælge/oprette mapper med enkeltord eller uden mellemrum for at undgå fejl, når du indtaster kommandoen i PowerShell.  
      • Sørg for at generere et filnavn, der er kort og består af et enkelt ord uden specialtegn, for at undgå fejl, når du indtaster kommandoen i PowerShell.  

  3. Trin 3: Bekræft attestattest med SSL.com og vedhæft ordre
    1. Attestationen og de mellemliggende certifikater kan ikke indsendes på min SSL.com konto
      • Når du åbner dem i en teksteditor som Notesblok, skal du sørge for at kopiere hele indholdet af filen, inklusive —–BEGIN CERTIFIKAT—– øverst og —–END CERTIFIKAT—– i slutningen. 
Gå til top

Vejledninger til digital signering af Adobe PDF- og Microsoft Office-dokumenter med din YubiKey

  1. Digital signering af Microsoft Office 365-dokumenter ved hjælp af en YubiKey: Trinvise instruktioner til installation af dit dokumentsigneringscertifikat og tilføjelse eller fjernelse af digitale signaturer i Microsoft Office 365.
  2. Signer en PDF digitalt i Adobe Acrobat Reader ved hjælp af en YubiKey: En vejledning til underskrivelse af PDF-dokumenter i Adobe Acrobat Reader ved hjælp af et SSL.com-dokumentunderskriftscertifikat gemt på en YubiKey.
Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com eller blot klikke på chatlinket nederst til højre på denne side. Du kan også finde svar på mange almindelige supportspørgsmål i vores vidensbase.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

SSL.com

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse
Beskyttelse af personlige oplysninger
SSL.com

Dette websted bruger cookies, så vi kan give dig den bedst mulige brugeroplevelse. Cookieoplysninger gemmes i din browser og udfører funktioner som at genkende dig, når du vender tilbage til vores websted og hjælpe vores team med at forstå, hvilke sektioner på webstedet du finder mest interessante og nyttige.

For mere information, se vores Cookie- og fortrolighedserklæring.

3. parts cookies

Denne hjemmeside bruger Google Analytics & Stattæller at indsamle anonyme oplysninger såsom antallet af besøgende på webstedet og de mest populære sider.

At holde disse cookies aktiveret hjælper os med at forbedre vores websted.

Vis detaljer
drevet af  GDPR Cookie-overholdelse