Nøglegenerering og attestering med YubiKey til kodesigneringscertifikater

Sådan genererer du et nøglepar og et attestationscertifikat på din YubiKey FIPS for at bestille EV-kodesigneringscertifikater.

Lignende indhold

Kopiér artikellinket

Før du begynder
 Denne vejledning er kun til installation eller udskiftning af en kodesigneringscertifikat på en YubiKey i disse tilfælde:
  • Du har købt en tom YubiKey direkte fra Yubico
  • Du skal udskifte en udløbet SSL.com Kodesigneringscertifikat på din YubiKey
Brug ikke denne vejledning, hvis:

Med henblik på kodesignering, er det påkrævet, at din private nøgle genereres sikkert og gemmes på en ekstern FIPS-valideret hardwareenhed i stedet for din computer. Brugere kan generere et nøglepar på en eksisterende YubiKey og en attestationsattest der beviser, at den private nøgle blev genereret på enheden. Attestationscertifikatet kan derefter bruges til at indhente kodesigneringscertifikater fra SSL.com, som kan installeres manuelt på YubiKey.

Et attestationscertifikat er kun gyldigt for én YubiKey. Hvis du har brug for at installere dit certifikat i flere YubiKeys, skal du udføre en attestation for hver token. Kontakt venligst support@ssl.com for at få flere oplysninger om flere udstedelse af et certifikat.

Denne how-to vil lede dig gennem:

Gå til top

Krav

  1. Seneste version af Yubico Authenticator og ykman kommandolinjegrænseflade (CLI)
    Bemærk:

    For at generere nøgleparret og senere installere kodesigneringscertifikatet skal du downloade dette værktøj: Yubico Authenticator grafisk brugergrænseflade (GUI)

    For at generere attestationscertifikatet skal du bruge ykman Command Line Interface (CLI), som er inkluderet i denne downloadpakke: YubiKey Manager.

    Efter installationen vil begge disse værktøjer blive gemt i din computers Yubico-mappe.

  2. Din YubiKey PIN og PUK konfigureret på Yubico Authenticator. Hvis din YubiKey-token blev købt fra Yubico, skal du indstille din pinkode og PUK-kode. Åbn dette for at gøre dette Yubico-godkendelse, Klik på Certifikater fanen. På den Administrer afsnittet, vil du se mulighederne for at konfigurere din PIN og PUK
Gå til top

Trin 1: Generer nøglepar på YubiKey

  1. Hent Yubico Authenticator.

  2. Tilslut din YubiKey, og start derefter Yubico Authenticator.

  3. Under Certifikater i afsnittet, vælg den fane, der svarer til den YubiKey-plads, hvor du vil generere nøgleparret. For et kodesigneringscertifikat skal du vælge Godkendelse (slot 9a). Klik på Generer nøgle at fortsætte.

  4. Emne feltet, angiv det entydige navn (DN) for kodesigneringscertifikatet. Dette er navnet på organisationen eller personen, og det vil blive vist på al software, der er blevet signeret med certifikatet. Sørg for at skrive tegnene CN= før du skriver det entydige navn. Eksempel: CN=Example Company.

    Til Output Format, vælg Anmodning om certifikatsignering (CSR).

    På hjemmesiden for oprettelse af en konto skal du indtaste postnummeret for dit service-eller faktureringsområde i feltet, der er markeret (A) på billedet ovenfor. Algoritme rullemenu, foretag et valgTil kodesignering skal du vælge ECCP256 or ECCP384.

    Endelig skal du klikke på Gem .

  5. Gem CSR certifikat i en mappe.
Gå til top

Trin 2: Generer attestattest

Hver YubiKey leveres forudindlæst med en privat nøgle og certifikat fra Yubico, der giver dig mulighed for at generere en attestationsattest for at bekræfte, at en privat nøgle er blevet genereret på en YubiKey. Denne handling kræver, at du bruger ykman Kommandolinjegrænsefladen (CLI), som er placeret i YubiKey Manager mappe på din computer. For at kunne få adgang til ykman CLI skal du bruge Windows PowerShell som vist i de følgende trin.

  1. I Windows skal du åbne PowerShell som administrator. macOS- og Linux-brugere skal åbne et terminalvindue på deres enhed.

  2.  Brug cd (Skift mappe)-kommandoen for at navigere til YubiKey Manager-filerne og få adgang til dem ykmanFor at gøre dette i Windows skal du gøre følgende i rækkefølge på samme linje i Powershell:

    Type cd på PowerShell
    Presse plads
    Kopier stien til mappen, hvor ykman er placeret, og omslut den derefter. dobbelte anførselstegn. Eksempel: "C:\Program Files\Yubico\YubiKey Manager"
    Presse Indtast

    • Windows: 
      cd "C:\Program Files\Yubico\YubiKey Manager"
    • MacOS: 
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • På Linux (Ubuntu), ykman kommando vil allerede være installeret i din PATH, så du kan springe over dette trin.

  3. Generer attesteringscertifikatet. Efter at have skiftet til ykman ved hjælp af Powershell, skal du bruge kommandoen nedenfor til at generere et attestationscertifikat, som vil være i form af en tekstfil. I Windows vil kommandoen se sådan ud: .\ykman.exe piv keys attest 9a C:\Folder\Folder\attestation\attestationfilename

    Lad os opdele det:

    a. Kopier dette til Powershell: .\ykman.exe piv keys attest 9a 

    b. På samme linje i Powershell skal du kopiere stien til den mappe, hvor du vil gemme attestationscertifikatet. Vælg/opret en mappe på din computer. Eksempel: C:\Folder\Folder\attestation.

    Sørg for at vælge/oprette mapper med enkeltord eller uden mellemrum for at undgå fejl, når du indtaster kommandoen i PowerShell. 

    c. Tænk på et navn, du vil bruge til certifikatet. Tilføj et omvendt skråstreg (\) og det navn, du vil bruge til dit attestationscertifikat, i slutningen af ​​den mappesti, du kopierede til PowerShell. Eksempel:\attestationfilename 

    Sørg for at generere et filnavn, der ikke indeholder specialtegn og mellemrum, for at undgå fejl, når du indtaster kommandoen i PowerShell. 

    d. Tryk på Enter i PowerShell for endelig at generere tekstfilen med attestationscertifikatet.

    Efter du har indtastet kommandoen, skal du kontrollere i din angivne computermappe, om attestationscertifikatet er blevet genereret korrekt. Det vil være i form af en tekstfil og have det navn, du har angivet for det. Når det åbnes, vil det vise en række bogstaver og tal med titlen —–BEGIN CERTIFIKAT—– øverst og —–END CERTIFIKAT—– i slutningen.

    • Windows: 
      .\ykman.exe piv-nøgler attest 9a C:\Folder\Folder\attestation\attestationsfilnavn
    • Linux (Ubuntu): 
      ykman piv-nøgler attesterer 9a ATTESTATION-FILENAME.crt
    • MacOS: 
      ./ykman piv-nøgler attesterer 9a ATTESTATION-FILENAME.crt
  4. Eksporter det mellemliggende certifikat. Brug derefter ykman kommando til at eksportere det mellemliggende certifikat fra slot f9 på YubiKey. Certifikatet vil være i et tekstfilformat. Kommandoen vil se sådan ud: .\ykman.exe piv certificates export f9 C:\Folder\Folder\attestation\intermediatefilename

    Lad os opdele det: 

    a. Kopier dette til PowerShell: .\ykman.exe piv certificates export f9
    b. Vælg eller opret en mappe på din computer (f.eks. Dokumenter), hvor du vil eksportere det mellemliggende certifikat. Kopier mappeadressen til PowerShell. Eksempel: C:\Folder\Folder\attestation
    c. Opret et filnavn til det mellemliggende certifikat. Tilføj et omvendt skråstreg før navnet, og tilføj det i slutningen af ​​den mappeadresse, du har kopieret til PowerShell, uden mellemrum. Eksempel: \intermediatefilename
    d. Tryk IndtastNår du har indtastet kommandoen, vises det mellemliggende certifikat i den angivne mappe med det navn, du har angivet for det. Når det åbnes, viser det en række bogstaver og tal med titlen —–BEGIN CERTIFIKAT—– øverst og —–END CERTIFIKAT—– i slutningen. 

      • Windows: 
        .\ykman.exe piv-certifikater eksporterer f9 C:\Folder\Folder\attestation\mellemfilnavn
    • Linux (Ubuntu): 
      ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
    • MacOS: 
      ./ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
Gå til top

Trin 3: Bekræft attestattest med SSL.com og vedhæft ordre

  1. Her skal vi bruge vores attestationscertifikat fra YubiKey slot 9a med en ordre på et EV-kodesigneringscertifikat. Først skal du åbne attestations- og mellemcertifikaterne i en teksteditor.
  2. Log ind på din SSL.com-brugerkonto og naviger til Mine Ordrer fanen. Klik på linket mærket detaljer (for nye ordrer) eller downloade (for gamle ordrer) for den ordre, du ønsker at knytte til attestationscertifikatet. (Dette link vises som downloade for kunder med et udløbet signeringscertifikat, som de ønsker at erstatte).
    Bemærk: Hvis du ønsker at kontrollere gyldigheden af ​​dit attestcertifikat uden at vedhæfte det til en ordre, kan du bruge SSL.com's bekræftelsesværktøj til attestation.
  3. Vælg din brugsscene nedenfor:
    a. For kunder med en tom YubiKey skal du klikke på administrere link under kursusbevis.
    b. For kunder, der erstatter et udløbet signeringscertifikat, skal du klikke på Slette linket først for at fjerne den tidligere attestationsindsendelse for dit udløbne signeringscertifikat. Klik derefter på administrere link.
  4. En ny side med felter til attestation og mellemcertifikater vises.

  5. Indsæt attestattesten i Attestationsattest felt, og sørg for at medtage linjerne -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.
  6. Indsæt derefter det mellemliggende certifikat i Mellemliggende certifikat felt
  7. Klik på knappen Insend .
  8. Hvis alt er gået korrekt, vises en grøn alarm øverst på skærmen, hvilket indikerer en vellykket attest.
Gå til top

Trin 4: Download dit kodesigneringscertifikat

  1. Når SSL.com godkender din attestation og udsteder dit certifikat, kan du downloade det. For at gøre dette skal du logge ind på din SSL.com-konto og klikke på Mine Ordrer fra den øverste menu. Find din ordre på listen, og klik på downloade 
  2. Når downloadsiden vises, skal du rulle ned til SLUT ENHEDSCERTIFIKAT sektion. Klik på harmonikapilen for at se dine certifikatoplysninger. Til højre ser du de tilgængelige downloadformatmuligheder. Vælg individuelle certifikater og klik på Hent knap. Dette er en zip-fil, der indeholder tre certifikatfiler: dit slutcertifikat, et mellemcertifikat og et rodcertifikat. Senere skal du kun importere slutcertifikatet til din YubiKey. 
  3. Udpak den downloadede zip-fil.
  4. Vælg hvor filerne skal udpakkes, og klik derefter på Uddrag .
  5. Åbn mappen, der indeholder de udpakkede certifikater. Du vil se tre certifikater, men du skal kun installere dit slutcertifikat, som er et .CRT-fil og bærer navnet på personen eller organisationen. Herfra er du nu klar til at installere dit certifikat.
Gå til top

Trin 5: Installer certifikat i YubiKey  

  1. Åbn Yubico Authenticator

  2. Klik Certifikater, efterfulgt af 9a Godkendelseog Importér fil.
  3. Indtast din YubiKey-pinkode, når du bliver bedt om det.
  4. Naviger til den mappe, hvor certifikaterne blev udtrukket, og klik på dit slutcertifikat for kodesignering.
  5. Yubico Authenticator viser detaljerne for dit kodesigneringscertifikat. Klik på Importere ..

  6. Dit certifikat er nu installeret.
  7. Valgfrit trinHvis du er kunde og har erstattet et udløbet certifikat i din YubiKey, skal du også slette den kopi af det udløbne certifikat, der stadig findes i Windows-certifikatlageret. For at gøre dette skal du skrive certmgr i Windows-søgefeltet på din computer. Klik derefter på Administrer computercertifikater. Klik på Personligt mappen, find det udløbne signeringscertifikat, højreklik på det med musen og vælg Slette.
Gå til top

Fejlfinding af attestering af kodesignering 

If SSL.com afviser din indsendelse af attestation, skyldes det et af følgende

  1. Trin 1: Generer nøglepar på YubiKey
    1. Din anmodning om certifikatsignering (CSR) bliver afvist af Yubico Authenticator
      • Du skal inkludere karaktererne CN= i emnefeltet. Yubico Authenticator vil afvise CSR hvis dette ikke gøres. 
      • Du skal vælge ECCP256 or ECCP384 for algoritmen. Disse to typer er de eneste, der kan accepteres som kodesigneringscertifikat.

  2. Trin 2: Generer attestattest
    1. Du kan ikke få adgang til ykman CLI
      • Du kan ikke tilgå ykman ved at dobbeltklikke på ikonet for applikationen i YubiKey Manager. Du kan kun bruge det ved først at åbne et shell-program som PowerShell og derefter bruge kommandoen Change Directory (cd) til at køre det. 
      • Når du skriver cd-kommandoen i PowerShell, skal der være et mellemrum mellem cd og mappestien til ykman CLI. Eksempel: cd “C:\Program Files\Yubico\YubiKey Manager”
      • Stien til ykman CLI-mappen skal være omgivet af dobbelte anførselstegn. Eksempel: “C:\Program Files\Yubico\YubiKey Manager”
    2. Attestations- og mellemcertifikaterne genereres ikke
      • Sørg for at vælge/oprette mapper med enkeltord eller uden mellemrum for at undgå fejl, når du indtaster kommandoen i PowerShell.  
      • Sørg for at generere et filnavn, der er kort og består af et enkelt ord uden specialtegn, for at undgå fejl, når du indtaster kommandoen i PowerShell.  

  3. Trin 3: Bekræft attestattest med SSL.com og vedhæft ordre
    1. Attestationen og de mellemliggende certifikater kan ikke indsendes på min SSL.com konto
      • Når du åbner dem i en teksteditor som Notesblok, skal du sørge for at kopiere hele indholdet af filen, inklusive —–BEGIN CERTIFIKAT—– øverst og —–END CERTIFIKAT—– i slutningen. 
Gå til top

Relaterede vejledninger til at signere kode med din YubiKey

  1. Brug af dit kodesigneringscertifikat: Lær, hvordan du signerer applikationer med dit OV- eller EV-kodesigneringscertifikat med Microsoft SignTool.
Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, eller bare klik på chatlinket nederst til højre på denne side. Du kan også finde svar på mange almindelige supportspørgsmål i vores vidensbase.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

SSL.com

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse
Beskyttelse af personlige oplysninger
SSL.com

Dette websted bruger cookies, så vi kan give dig den bedst mulige brugeroplevelse. Cookieoplysninger gemmes i din browser og udfører funktioner som at genkende dig, når du vender tilbage til vores websted og hjælpe vores team med at forstå, hvilke sektioner på webstedet du finder mest interessante og nyttige.

For mere information, se vores Cookie- og fortrolighedserklæring.

3. parts cookies

Denne hjemmeside bruger Google Analytics & Stattæller at indsamle anonyme oplysninger såsom antallet af besøgende på webstedet og de mest populære sider.

At holde disse cookies aktiveret hjælper os med at forbedre vores websted.

Vis detaljer
drevet af  GDPR Cookie-overholdelse