Med henblik på EV-kodesignering og Adobe PDF digitale signaturer, kræves det, at din private nøgle genereres sikkert og gemmes på en ekstern FIPS-valideret hardwareenhed i stedet for din computer. SSL.com sender valgfrit EV-kodesignering og PDF-dokumentsigneringscertifikater forudinstalleret på FIPS 140-2 valideret sikkerhedsnøgle USB-tokens, men brugere kan også generere et nøglepar på en eksisterende YubiKey og en attestationsattest det beviser, at den private nøgle blev genereret på enheden. Attestationscertifikatet kan derefter bruges til at bestille certifikater fra SSL.com, der kan installeres manuelt på YubiKey.
Denne how-to vil lede dig gennem:
- Genererer en nøglepar og attestationsattest på din Yubikey
- Bekræftelse attestationscertifikatet og knytte det til en signaturordre til SSL.com EV-kode eller PDF-dokument
- Installation dit nye certifikat i YubiKey
apt-get
(se Yubico's anvisninger for mere information). En Linux AppImage er også tilgængelig fra YubiKey Manager download siden. Bemærk også, at selvom disse instruktioner bruger Yubicos Yubikey Manager-software, er 3.0-udgivelsen af SSL.com's SSL Manager understøtninger generering af tastatur og certifikatinstallation på YubiKey til Windows-brugere.Trin 1: Generer nøglepar på YubiKey
- Hvis du ikke allerede har gjort det, skal du downloade og installere YubiKey Manager fra Yubicos hjemmeside. Versioner til Windows, Linux og macOS er tilgængelige.
- Tilslut din YubiKey, og start derefter YubiKey Manager. Din YubiKey skal vises i YubiKey Manager-vinduet.
- Naviger til Programmer> PIV.
- Klik på knappen Konfigurer certifikater .
- Vælg fanen til YubiKey slot, hvor du vil generere nøgleparret. Hvis du køber et EV-kodesigneringscertifikat, skal du vælge Godkendelse (slot 9a). For signering af PDF-dokument skal du vælge Digital signatur (plads 9c). (Se Yubicos dokumentation for mere information om de forskellige nøgleslots og deres tilsigtede funktioner; de adskiller sig i deres politikker for PIN-kode). Her skal vi bruge slot 9a.
- Klik på knappen Generer .
- Type Anmodning om certifikatsignering (CSR), og klik derefter på Næste .
- Vælg en Algoritme fra rullemenuen. Vælg for dokumentunderskrift
RSA2048
. Vælg EV-kodesigneringECCP256
orECCP384
.
- Indtast en Emne navn for certifikatet, og klik derefter på Næste .
Bemærk: Vi bruger faktisk ikke dette CSR—Det genereres som et biprodukt ved oprettelse af et nyt nøglepar. Så det betyder ikke rigtig noget, hvad du indtaster for emnenavnet her.Brugere skal bede SSL.com om en ny udstedelse, når de afgiver en ny ordre, udstedelsen vil ikke ske automatisk. - Klik på knappen Generer .
- Vælg en placering for at gemme CSR fil, opret et filnavn, og klik derefter på Gem .
- Indtast dine YubiKey's ledelsesnøgle, og klik derefter på OK. Hvis du har brug for din ledelsesnøgle, bedes du kontakte Support@SSL.com.
- Indtast din YubiKey PIN, og klik derefter på OK. Hvis du har brug for hjælp til at finde din pinkode, henvises der til denne vej.
- CSR filen gemmes på det sted, du angav i trin 11 ovenfor. Igen har vi ikke brug for denne fil for at fortsætte, og du kan sikkert slette den.
Trin 2: Generer attestattest
Hver YubiKey leveres forudindlæst med en privat nøgle og certifikat fra Yubico, der giver dig mulighed for at generere en attestationsattest for at kontrollere, at der er genereret en privat nøgle på en YubiKey. Denne handling kræver, at du bruger kommandolinjen.
- I Windows skal du åbne PowerShell som administrator. macOS- og Linux-brugere skal åbne et terminalvindue på deres enhed.
- Brug følgende kommando til at navigere til YubiKey Manager-filerne:
- Windows:
cd "C:Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- På Linux (Ubuntu),
ykman
kommando vil allerede være installeret i dinPATH
, så du kan springe over dette trin.
- Windows:
- Generer et attestattest for nøglen med nedenstående kommando (udskift
ATTESTATION-FILENAME.crt
med stien og filnavnet, du vil bruge; Hvis du brugte slot 9c, skal du udskifte9a
med9c
):- Windows:
.ykman.exe piv nøgler attesterer 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
ykman piv-nøgler attesterer 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv-nøgler attesterer 9a ATTESTATION-FILENAME.crt
- Windows:
- Brug derefter
ykman
kommando til at eksportere det mellemliggende certifikat fra slot f9 i YubiKey (udskiftINTERMEDIATE-FILENAME.crt
med stien og filnavnet, du vil bruge):- Windows:
.ykman.exe piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
- Windows:
Trin 3: Bekræft attestattest med SSL.com og vedhæft ordre
- Her skal vi bruge vores attestationscertifikat fra YubiKey slot 9a med en EV-kodesignering af certifikatordre. (Proceduren for dokumentsigneringscertifikater er den samme.) Åbn først attestations- og mellemcertifikaterne i en teksteditor.
- Log ind på din SSL.com-brugerkonto og naviger til Mine Ordrer fanebladet, og klik derefter på detaljer link til den ordre, du ønsker at knytte til attestationsattesten. (Dette link ændres til downloade efter udstedelse af dit certifikat.)
Bemærk: Hvis du ønsker at kontrollere gyldigheden af dit attestcertifikat uden at vedhæfte det til en ordre, kan du bruge SSL.com's bekræftelsesværktøj til attestation. - Klik på knappen administrere link under kursusbevis.
- En ny side med felter til attestation og mellemcertifikater vises.
- Indsæt attestattesten i Attestationsattest felt, og sørg for at medtage linjerne
-----BEGIN CERTIFICATE-----
og-----END CERTIFICATE-----
.
- Indsæt derefter det mellemliggende certifikat i Mellemliggende certifikat felt.
- Klik på knappen Send .
- Hvis alt er gået korrekt, vises en grøn alarm øverst på skærmen, hvilket indikerer en vellykket attest.
- Gå tilbage til ordren på din konto. Du kan kontrollere, at attesten er blevet føjet til ordren ved tilstedeværelsen af et link mærket Slette under kursusbevis.
- Når SSL.com har behandlet din ordre, vil certifikatet være tilgængeligt på din SSL.com-konto. Rul ned til siden med din ordredetaljer SLUT ENHEDSCERTIFIKATER afsnit og klik Vis detaljer.
- Rul ned til underafsnittet mærket Kodesigneringscertifikat or Dokumentunderskrivelsescertifikat, afhængigt af din ordre. Til højre vil du se downloadlinks til dit certifikat.
- Hvis du har en Dokumentunderskrivelsescertifikat, Vælg individuelle certifikater download mulighed. Dette er en zip-fil, der indeholder tre certifikatfiler: dit slutenhedscertifikat, et mellemcertifikat og et rodcertifikat.
- Hvis du har en Kodesigneringscertifikat, Vælg til YUBIKEY installation (DER).
- Hvis du har en Dokumentunderskrivelsescertifikat, Vælg individuelle certifikater download mulighed. Dette er en zip-fil, der indeholder tre certifikatfiler: dit slutenhedscertifikat, et mellemcertifikat og et rodcertifikat.
Advarsel: Vi har set fejlmeddelelser i nyere versioner af YubiKey Manager, når vi importerer ECC-certifikater (nu krævet til EV-kodesignering på YubiKey). Der er to mulige løsninger:
- Anbefalet: Konverter certifikatet til DER-format inden import. Dette er ligetil konvertering med OpenSSL (erstatte
CERT.crt
ogCERT.der
med dit faktiske filnavn i følgende kommando):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Hvis du ikke kan konvertere din fil, skal du vende tilbage til en tidligere udgivelse af YubiKey Manager fungerer også. Den seneste version, vi har fundet, til at importere ECC med succes
.crt
filer, der er downloadet fra SSL.com, er1.1.5
.
Trin 4: Installer certifikat i YubiKey
- Start YubiKey Manager, og skift til Programmer> PIV.
- Klik på knappen Konfigurer certifikater .
- Vælg fanen til det samme YubiKey-slot, hvor du genererede nøgleparret.
- Klik på knappen Importere .
- Naviger til din slutenhedscertifikatfil, og klik på Importere .
- Indtast dine YubiKey's ledelsesnøgle, og klik derefter på OK. Hvis du har brug for din ledelsesnøgle, bedes du kontakte Support@SSL.com.
- Det nye EV-kodesigneringscertifikat er installeret i YubiKey.
- For at sikre, at dine digitale signaturer er tillid til på alle computere, skal du også installere rod- og mellemcertifikaterne på din YubiKey for en komplet kæde af tillid. Følg disse instruktioner for rod- og melleminstallation: Installer SSL.com rod- og mellemcertifikater på YubiKey.