Nøglegenerering og attestation med Yubikey

Med henblik på EV-kodesignering og Adobe PDF digitale signaturer, kræves det, at din private nøgle genereres sikkert og gemmes på en ekstern FIPS-valideret hardwareenhed i stedet for din computer. SSL.com sender valgfrit EV-kodesignering og PDF-dokumentsigneringscertifikater forudinstalleret på FIPS 140-2 valideret sikkerhedsnøgle USB-tokens, men brugere kan også generere et nøglepar på en eksisterende YubiKey og en attestationsattest det beviser, at den private nøgle blev genereret på enheden. Attestationscertifikatet kan derefter bruges til at bestille certifikater fra SSL.com, der kan installeres manuelt på YubiKey.

Do ikke følg disse instruktioner, hvis du bestilte en YubiKey sammen med dit certifikat fra SSL.com, da disse YubiKeys leveres med forudinstallerede certifikater. Denne vejledning er til kunder, der ønsker at installere certifikater på en YubiKey FIPS, som de allerede ejer.

Denne how-to vil lede dig gennem:

Bemærk: Skærmbillederne nedenfor er fra Windows, men procedurerne er næsten identiske på Linux og macOS. Forskelle mellem platforme bemærkes nedenfor. Linux-instruktioner henviser til Ubuntu 19.10, med YubiKey manager installeret med apt-get (se Yubico's anvisninger for mere information). En Linux AppImage er også tilgængelig fra YubiKey Manager download siden. Bemærk også, at selvom disse instruktioner bruger Yubicos Yubikey Manager-software, er 3.0-udgivelsen af ​​SSL.com's SSL Manager understøtninger generering af tastatur og certifikatinstallation på YubiKey til Windows-brugere.

Trin 1: Generer nøglepar på YubiKey

  1. Hvis du ikke allerede har gjort det, skal du downloade og installere YubiKey Manager fra Yubicos hjemmeside. Versioner til Windows, Linux og macOS er tilgængelige.
    YubiKey Manager-download
  2. Tilslut din YubiKey, og start derefter YubiKey Manager. Din YubiKey skal vises i YubiKey Manager-vinduet.
    YubiKey Manager
  3. Naviger til Programmer> PIV.
    Programmer> PIV
  4. Klik på knappen Konfigurer certifikater .
    Konfigurer certifikater
  5. Vælg fanen til YubiKey slot, hvor du vil generere nøgleparret. Hvis du køber et EV-kodesigneringscertifikat, skal du vælge Godkendelse (slot 9a). For signering af PDF-dokument skal du vælge Digital signatur (plads 9c). (Se Yubicos dokumentation for mere information om de forskellige nøgleslots og deres tilsigtede funktioner; de adskiller sig i deres politikker for PIN-kode). Her skal vi bruge slot 9a.
    Godkendelse (slot 9a)
  6. Klik på knappen Generer .
    Generer
  7. Type Anmodning om certifikatsignering (CSR), og klik derefter på Næste .
    Anmodning om certifikatsignering (CSR)
  8. Vælg en Algoritme fra rullemenuen. Vælg for dokumentunderskrift RSA2048. Vælg EV-kodesignering ECCP256 or ECCP384.
    vælg algoritme
  9. Indtast en Emne navn for certifikatet, og klik derefter på Næste .
    Bemærk: Vi bruger faktisk ikke dette CSR—Det genereres som et biprodukt ved oprettelse af et nyt nøglepar. Så det betyder ikke rigtig noget, hvad du indtaster for emnenavnet her.
    Emne navn
    Brugere skal bede SSL.com om en ny udstedelse, når de afgiver en ny ordre, udstedelsen vil ikke ske automatisk.
  10. Klik på knappen Generer .
    generere
  11. Vælg en placering for at gemme CSR fil, opret et filnavn, og klik derefter på Gem .
    Gem CSR
  12. Indtast dine YubiKey's ledelsesnøgle, og klik derefter på OK. Hvis du har brug for din ledelsesnøgle, bedes du kontakte Support@SSL.com.
    ledelsesnøgle
  13. Indtast din YubiKey PIN, og klik derefter på OK. Hvis du har brug for hjælp til at finde din pinkode, henvises der til denne vej.
    Indtast PIN-kode
  14. CSR filen gemmes på det sted, du angav i trin 11 ovenfor. Igen har vi ikke brug for denne fil for at fortsætte, og du kan sikkert slette den.
    CSR fil

Trin 2: Generer attestattest

Hver YubiKey leveres forudindlæst med en privat nøgle og certifikat fra Yubico, der giver dig mulighed for at generere en attestationsattest for at kontrollere, at der er genereret en privat nøgle på en YubiKey. Denne handling kræver, at du bruger kommandolinjen.

  1. I Windows skal du åbne PowerShell som administrator. macOS- og Linux-brugere skal åbne et terminalvindue på deres enhed.
    Åbn PowerShell som administrator
  2. Brug følgende kommando til at navigere til YubiKey Manager-filerne:
    • Windows:
      cd "C:Program FilesYubicoYubiKey Manager"
    • MacOS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • På Linux (Ubuntu), ykman kommando vil allerede være installeret i din PATH, så du kan springe over dette trin.
  3. Generer et attestattest for nøglen med nedenstående kommando (udskift ATTESTATION-FILENAME.crt med stien og filnavnet, du vil bruge; Hvis du brugte slot 9c, skal du udskifte 9a med 9c):
    • Windows:
      .ykman.exe piv nøgler attesterer 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-nøgler attesterer 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman piv-nøgler attesterer 9a ATTESTATION-FILENAME.crt
  4. Brug derefter ykman kommando til at eksportere det mellemliggende certifikat fra slot f9 i YubiKey (udskift INTERMEDIATE-FILENAME.crt med stien og filnavnet, du vil bruge):
    • Windows:
      .ykman.exe piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ykman piv-certifikater eksporterer f9 INTERMEDIATE-FILENAME.crt

Trin 3: Bekræft attestattest med SSL.com og vedhæft ordre

  1. Her skal vi bruge vores attestationscertifikat fra YubiKey slot 9a med en EV-kodesignering af certifikatordre. (Proceduren for dokumentsigneringscertifikater er den samme.) Åbn først attestations- og mellemcertifikaterne i en teksteditor.
    Attestationsattest
  2. Log ind på din SSL.com-brugerkonto og naviger til Mine Ordrer fanebladet, og klik derefter på detaljer link til den ordre, du ønsker at knytte til attestationsattesten. (Dette link ændres til downloade efter udstedelse af dit certifikat.)
    Bemærk: Hvis du ønsker at kontrollere gyldigheden af ​​dit attestcertifikat uden at vedhæfte det til en ordre, kan du bruge SSL.com's bekræftelsesværktøj til attestation.
    detaljer
  3. Klik på knappen administrere link under kursusbevis.
    administrere link
  4. En ny side med felter til attestation og mellemcertifikater vises.
    Bekræftelse af attest
  5. Indsæt attestattesten i Attestationsattest felt, og sørg for at medtage linjerne -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.
    indsæt attestationsattest
  6. Indsæt derefter det mellemliggende certifikat i Mellemliggende certifikat felt.
    Mellemcertifikat felt
  7. Klik på knappen Indsend .
    Send knappen
  8. Hvis alt er gået korrekt, vises en grøn alarm øverst på skærmen, hvilket indikerer en vellykket attest.
    Vellykket attestation
  9. Gå tilbage til ordren på din konto. Du kan kontrollere, at attesten er blevet føjet til ordren ved tilstedeværelsen af ​​et link mærket Slette under kursusbevis.
    Slet link
  10. Når SSL.com har behandlet din ordre, vil certifikatet være tilgængeligt på din SSL.com-konto. Rul ned til siden med din ordredetaljer SLUT ENHEDSCERTIFIKATER afsnit og klik Vis detaljer.
  11. Rul ned til underafsnittet mærket Kodesigneringscertifikat or Dokumentunderskrivelsescertifikat, afhængigt af din ordre. Til højre vil du se downloadlinks til dit certifikat.

    1. Hvis du har en Dokumentunderskrivelsescertifikat, Vælg individuelle certifikater download mulighed. Dette er en zip-fil, der indeholder tre certifikatfiler: dit slutenhedscertifikat, et mellemcertifikat og et rodcertifikat.
    2. Hvis du har en Kodesigneringscertifikat, Vælg til YUBIKEY installation (DER).

Advarsel: Vi har set fejlmeddelelser i nyere versioner af YubiKey Manager, når vi importerer ECC-certifikater (nu krævet til EV-kodesignering på YubiKey). Der er to mulige løsninger:

  • Anbefalet: Konverter certifikatet til DER-format inden import. Dette er ligetil konvertering med OpenSSL (erstatte CERT.crt og CERT.der med dit faktiske filnavn i følgende kommando):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Hvis du ikke kan konvertere din fil, skal du vende tilbage til en tidligere udgivelse af YubiKey Manager fungerer også. Den seneste version, vi har fundet, til at importere ECC med succes .crt filer, der er downloadet fra SSL.com, er 1.1.5.

Trin 4: Installer certifikat i YubiKey

  1. Start YubiKey Manager, og skift til Programmer> PIV.
    Programmer> PIV
  2. Klik på knappen Konfigurer certifikater .
    Konfigurer certifikater
  3. Vælg fanen til det samme YubiKey-slot, hvor du genererede nøgleparret.
    Godkendelse (slot 9a)
  4. Klik på knappen Importere .
    Import-knap
  5. Naviger til din slutenhedscertifikatfil, og klik på Importere .
    importcertifikat
  6. Indtast dine YubiKey's ledelsesnøgle, og klik derefter på OK. Hvis du har brug for din ledelsesnøgle, bedes du kontakte Support@SSL.com.
    ledelsesnøgle
  7. Det nye EV-kodesigneringscertifikat er installeret i YubiKey.
    Certifikatet er installeret
  8. For at sikre, at dine digitale signaturer er tillid til på alle computere, skal du også installere rod- og mellemcertifikaterne på din YubiKey for en komplet kæde af tillid. Følg disse instruktioner for rod- og melleminstallation: Installer SSL.com rod- og mellemcertifikater på YubiKey.
Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side. Du kan også finde svar på mange almindelige supportspørgsmål i vores vidensbase.

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.