Schlüsselgenerierung und -bescheinigung mit Yubikey

Für die Zwecke EV-Codesignatur und Digitale Adobe PDF-SignaturenEs ist erforderlich, dass Ihr privater Schlüssel sicher generiert und auf einem externen FIPS-validierten Hardwaregerät und nicht auf Ihrem Computer gespeichert wird. SSL.com liefert optional EV Code Signing- und PDF Document Signing-Zertifikate vorinstalliert aus FIPS 140-2-validierte Sicherheitsschlüssel-USB-Token, aber Benutzer können auch ein Schlüsselpaar auf einem vorhandenen YubiKey und einem generieren Bescheinigung Dies beweist, dass der private Schlüssel auf dem Gerät generiert wurde. Das Attestierungszertifikat kann dann verwendet werden, um Zertifikate von SSL.com zu bestellen, die manuell auf dem YubiKey installiert werden können.

Diese Anleitung führt Sie durch:

• Generieren eines Schlüsselpaar und Bescheinigung auf auf Ihrem Yubikey
• Überprüfen das Bescheinigungszertifikat und die Zuordnung zu einer SSL.com EV-Codesignatur oder einer PDF-Dokumentensignaturreihenfolge
• Montage von Ihr neues Zertifikat im YubiKey

Schritt 1: Generieren Sie ein Schlüsselpaar auf YubiKey

1. Wenn Sie dies noch nicht getan haben, laden Sie es herunter und installieren Sie es YubiKey-Manager von Yubicos Website. Versionen für Windows, Linux und MacOS sind verfügbar.
   
2. Schließen Sie Ihren YubiKey an und starten Sie den YubiKey Manager. Ihr YubiKey sollte im YubiKey Manager-Fenster angezeigt werden.
   
3. Navigieren Anwendungen> PIV.
   
4. Klicken Sie auf die Zertifikate konfigurieren .
   
5. Wählen Sie die Registerkarte für den YubiKey-Steckplatz aus, in dem Sie das Schlüsselpaar generieren möchten. Wenn Sie ein EV-Codesignaturzertifikat kaufen, wählen Sie Authentifizierung (Steckplatz 9a). Wählen Sie zum Signieren von PDF-Dokumenten Digitale Unterschrift (Steckplatz 9c). (Siehe Yubicos Dokumentation für weitere Informationen zu den verschiedenen Tastensteckplätzen und ihren beabsichtigten Funktionen; Sie unterscheiden sich in ihren Richtlinien zur PIN-Eingabe. Hier werden wir Slot 9a verwenden.
   
6. Klicken Sie auf die Generieren .
   
7. Auswählen Zertifikatssignierungsanforderung (CSR), Dann klicken Sie auf die Weiter .
   
8. Wählen Sie eine aus Algorithmus aus dem Dropdown-Menü. Wählen Sie zum Signieren von Dokumenten RSA2048. Wählen Sie für die EV-Code-Signierung ECCP256 or ECCP384.
   
9. Geben Sie ein Subjekt Name Klicken Sie für das Zertifikat auf Weiter .
   
   Hinweis: Wir werden das nicht wirklich benutzen CSR- Es wird als Nebenprodukt beim Erstellen eines neuen Schlüsselpaars generiert. Es spielt also keine Rolle, was Sie hier für den Betreff eingeben.
   
   Benutzer müssen SSL.com um eine neue Ausstellung bitten, wenn sie eine neue Bestellung aufgeben, die Ausstellung erfolgt nicht automatisch.
10. Klicken Sie auf die Generieren .
    
11. Wählen Sie einen Ort zum Speichern des CSR Datei, erstellen Sie einen Dateinamen und klicken Sie dann auf Speichern .
    
12. Geben Sie Ihre YubiKey's ein Verwaltungsschlüssel, dann klick OK. Wenn Sie Ihren Verwaltungsschlüssel benötigen, wenden Sie sich bitte an Support@SSL.com.
    
13. Geben Sie Ihren YubiKey ein PIN, dann klick OK. Wenn Sie Hilfe beim Auffinden Ihrer PIN benötigen, wenden Sie sich bitte an diese Anleitung.
    
14. Das CSR Die Datei wird an dem Ort gespeichert, den Sie in Schritt 11 oben angegeben haben. Auch hier benötigen wir diese Datei nicht, um fortzufahren, und Sie können sie sicher löschen.
    

Schritt 2: Generieren Sie ein Attestierungszertifikat

Jeder YubiKey ist mit einem privaten Schlüssel und einem Zertifikat von Yubico vorinstalliert, mit denen Sie einen generieren können Bescheinigung um zu überprüfen, ob auf einem YubiKey ein privater Schlüssel generiert wurde. Für diesen Vorgang müssen Sie die Befehlszeile verwenden.

1. Öffnen Sie unter Windows PowerShell als Administrator. Benutzer von macOS und Linux sollten auf ihrem Gerät ein Terminalfenster öffnen.
   
2. Verwenden Sie den folgenden Befehl, um zu den YubiKey Manager-Dateien zu navigieren:
   • Windows:

     cd „C:ProgrammeYubicoYubiKey Manager“

   • macOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • Unter Linux (Ubuntu) ist die ykman Befehl wird bereits in Ihrem installiert PATHkönnen Sie diesen Schritt überspringen.
3. Generieren Sie mit dem folgenden Befehl ein Attestierungszertifikat für den Schlüssel (ersetzen ATTESTATION-FILENAME.crt mit dem Pfad und dem Dateinamen, den Sie verwenden möchten; Wenn Sie Steckplatz 9c verwendet haben, ersetzen Sie diesen 9a mit 9c):
   • Windows:

     .ykman.exe PIV-Schlüssel bestätigen 9a ATTESTATION-FILENAME.crt

   • Linux (Ubuntu):

     ykman Piv Keys bestätigen 9a ATTESTATION-FILENAME.crt

   • macOS:

     ./ykman Piv Keys bestätigen 9a ATTESTATION-FILENAME.crt

4. Als nächstes benutze die ykman Befehl zum Exportieren des Zwischenzertifikats aus Steckplatz f9 des YubiKey (ersetzen INTERMEDIATE-FILENAME.crt mit dem Pfad und Dateinamen, den Sie verwenden möchten):
   • Windows:

     .ykman.exe piv-Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt

   • Linux (Ubuntu):

     ykman piv Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt

   • macOS:

     ./ykman piv Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt

Schritt 3: Überprüfen Sie das Attestierungszertifikat mit SSL.com und fügen Sie es der Bestellung bei

1. Hier verwenden wir unser Attestierungszertifikat von YubiKey Slot 9a mit einer Bestellung eines EV-Codesignaturzertifikats. (Das Verfahren zum Signieren von Zertifikaten für Dokumente ist dasselbe.) Öffnen Sie zunächst die Bescheinigungs- und Zwischenzertifikate in einem Texteditor.
   
2. Melden Sie sich bei Ihrem SSL.com-Benutzerkonto an und navigieren Sie zu Bestellungen Klicken Sie auf die Registerkarte Details Link für die Bestellung, die Sie mit dem Attestierungszertifikat verknüpfen möchten. (Dieser Link ändert sich zu herunterladen nachdem Ihr Zertifikat ausgestellt wurde.)
   
   Hinweis: Wenn Sie die Gültigkeit Ihres Bescheinigungszertifikats überprüfen möchten, ohne es einer Bestellung beizufügen, können Sie SSL.coms verwenden Tool zur Überprüfung der Bescheinigung.
   
3. Klicken Sie auf die verwalten Link unter Bescheinigung.
   
4. Eine neue Seite mit Feldern für die Bescheinigung und Zwischenzertifikate wird angezeigt.
   
5. Fügen Sie die Bescheinigung in das ein Bescheinigung Feld, wobei darauf zu achten ist, dass die Zeilen enthalten sind -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----.
   
6. Fügen Sie als Nächstes das Zwischenzertifikat in das ein Zwischenzertifikat Feld.
   
7. Klicken Sie auf die Absenden .
   
8. Wenn alles korrekt gelaufen ist, wird oben auf dem Bildschirm eine grüne Warnung angezeigt, die auf eine erfolgreiche Bescheinigung hinweist.
   
9. Kehren Sie zur Bestellung in Ihrem Konto zurück. Sie können überprüfen, ob die Bescheinigung zur Bestellung hinzugefügt wurde, indem ein Link mit der Bezeichnung gekennzeichnet ist Löschen für Bescheinigung.
   
10. Nachdem SSL.com Ihre Bestellung bearbeitet hat, ist das Zertifikat in Ihrem SSL.com-Konto verfügbar. Scrollen Sie auf der Seite mit den Bestelldetails nach unten zu ENDEINHEITSZERTIFIKATE Abschnitt und klicken Sie auf Weiterlesen.
    
11. Scrollen Sie nach unten zum Unterabschnitt mit der Bezeichnung Code Signing Certificate or Dokumentensignaturzertifikat, abhängig von Ihrer Bestellung. Rechts sehen Sie die Download-Links für Ihr Zertifikat.
    
    
    1. Wenn du ein ... hast Dokumentensignaturzertifikat, wählen Sie das Einzelzertifikate Download-Option. Dies ist eine ZIP-Datei, die drei Zertifikatsdateien enthält: Ihr Endentitätszertifikat, ein Zwischenzertifikat und ein Stammzertifikat.
       
    2. Wenn du ein ... hast Code Signing Certificate, wählen Sie das für YUBIKEY-Installation (DER).
       

Schritt 4: Installieren Sie das Zertifikat in YubiKey

1. Starten Sie den YubiKey Manager und navigieren Sie zu Anwendungen> PIV.
   
2. Klicken Sie auf die Zertifikate konfigurieren .
   
3. Wählen Sie die Registerkarte für denselben YubiKey-Steckplatz aus, in dem Sie das Schlüsselpaar generiert haben.
   
4. Klicken Sie auf die Import .
   
5. Navigieren Sie zu Ihrer End-Entity-Zertifikatdatei und klicken Sie auf Import .
   
6. Geben Sie Ihre YubiKey's ein Verwaltungsschlüssel, dann klick OK. Wenn Sie Ihren Verwaltungsschlüssel benötigen, wenden Sie sich bitte an Support@SSL.com.
   
7. Das neue EV-Codesignaturzertifikat ist im YubiKey installiert.
   
8. Um sicherzustellen, dass Ihre digitalen Signaturen auf allen Computern vertrauenswürdig sind, sollten Sie auch die Stamm- und Zwischenzertifikate auf Ihrem YubiKey installieren, um eine vollständige Vertrauenskette zu gewährleisten. Bitte befolgen Sie diese Anweisungen für die Root- und Zwischeninstallation: Installieren Sie SSL.com-Stamm- und Zwischenzertifikate auf YubiKey.