Denne vejledning viser dig, hvordan du bruger Yubico's ykman kommandolinjeværktøj til at installere SSL.com mellemliggende og rodcertifikater på en YubiKey med en SSL.com EV-kode underskrift or Forretningsidentitet certifikat. Denne procedure kan være nødvendig for at undgå tillidsfejl med underskrevne dokumenter og kode på nogle computere.
SSL.com anbefaler også, at du installerer disse certifikater i din signeringscomputer certifikat butik.
- Download og installer YubiKey Manager fra Yubicos hjemmeside. Versioner til Windows, Linux og macOS er tilgængelige. I denne vejledning bruger vi ikke selve YubiKey Manager, men snarere
ykmanværktøj, der installeres med det.
- Download de relevante SSL.com-rod- og mellemcertifikater til dit dokumentsignerings- eller EV-kodesigneringscertifikat. Hvis dit certifikat blev sendt på en FIPS 140-2-valideret sikkerhedsnøgle USB-token fra SSL.com, vil det have en ECDSA-nøgle. For et certifikat, der er blevet tilmeldt SSL.coms eSigner cloud-kodesigneringstjeneste, vil det have en RSA-nøgle. Tjek vores dedikeret side for at eSigner kan lære mere.
- Dokumentsignering (RSA):
- Dokumentunderskrivelse (ECDSA):
- EV-kodesignering (RSA):
- EV-kodesignering (ECDSA):
- Brug følgende kommando til at navigere til YubiKey Manager-filerne:
- Windows:
cd "C:\Program Files\Yubico\YubiKey Manager"
- MacOS:
$ cd / Applications / YubiKey Manager.app/Contents/MacOS
- På Linux (Ubuntu),
ykmankommando vil allerede være installeret i dinPATH, så du kan springe over dette trin.
- Windows:
- Brug disse kommandoer til at installere rod- og mellemcertifikaterne, du downloadede i trin 2, på plads 82 og 83 på din YubiKey. Erstat værdierne i ALL-CAPS med stierne til de certifikater, du downloadede. Bemærk, at teksten .pem skal inkluderes i filnavnet. Hvis du bliver bedt om administrationsnøglen efter at have indtastet kommandoen, skal du angive værdien af din administrationsnøgle. Du kan bruge standardstyringsnøgle hvis du ikke har ændret det. (Hvis du skal installere mere end root eller intermediate, kan du bruge enhver YubiKey-slot fra 82 til 95.)
- Windows:
./ykman.exe piv import-certifikat 82 "PATH\TO\ROOT\CERTIFICATE.pem" ./ykman.exe piv import-certifikat 83 "STI\TO\MELLEMMIDDEL\CERTIFICATE.pem
- MacOS:
$ ./ykman piv importcertifikat 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ./ykman piv importcertifikat 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY
- Linux (Ubuntu):
$ ykman piv importcertifikat 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ykman piv importcertifikat 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY
- Windows:
ykmanproducerer ikke noget output, der fortæller dig, hvornår certifikatet blev installeret, men du kan bekræfte installationen medykman export-certificate. For eksempel vil følgende kommandoer vise et tekstformat af certifikatet i slot 82 til standardoutputtet. For yderligere at bekræfte kan du åbne de downloadede rod- og mellemcertifikater ved hjælp af en teksteditor som f.eks Notepad og sammenlign, hvis disse er de samme med den tekstversion, der vises efter indtastning af kommandoen på ykman.- Windows:
.\ykman.exe piv certifikater eksport 82 -
- MacOS:
./ykman piv eksportcertifikat 82 -
- Linux (Ubuntu):
ykman piv eksportcertifikat 82 -
- Windows:
- Efter installation af disse certifikater på din YubiKey vil din kode og / eller dokumenter blive underskrevet med en komplet kæde af tillid, så du vil ikke opleve tillidsproblemer på computere, der mangler mellemproduktet i deres tillidsbutikker. Bemærk, at du muligvis skal afbryde forbindelsen til YubiKey fra din computer og tilslutte den igen, før ændringerne træder i kraft, når du underskriver.
BEMÆRKPrivate nøgler til SSL-kodesigneringscertifikater kan ikke eksporteres, og certifikater kan ikke udstedes som .pfx-filer, der kan downloades. Certifikater skal genereres og gemmes ved hjælp af en godkendt sikkerhedsløsning, såsom et FIPS 140-2-valideret YubiKey USB-token, SSL's eSigner Cloud Signing Service eller en understøttet Cloud HSM.
