en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Schlüsselgenerierung und -bescheinigung mit Yubikey

Für die Zwecke EV-Codesignatur und Digitale Adobe PDF-SignaturenEs ist erforderlich, dass Ihr privater Schlüssel sicher generiert und auf einem externen FIPS-validierten Hardwaregerät und nicht auf Ihrem Computer gespeichert wird. SSL.com liefert optional EV-Codesignatur- und PDF-Dokument-Signaturzertifikate, die auf Yubikey FIPS-Hardwareschlüsseln vorinstalliert sind, aber Benutzer können auch ein Schlüsselpaar auf einem vorhandenen YubiKey und einem Bescheinigung Dies beweist, dass der private Schlüssel auf dem Gerät generiert wurde. Das Attestierungszertifikat kann dann verwendet werden, um Zertifikate von SSL.com zu bestellen, die manuell auf dem YubiKey installiert werden können.

Do nicht Befolgen Sie diese Anweisungen, wenn Sie einen YubiKey zusammen mit Ihrem Zertifikat von SSL.com bestellt haben, da diese YubiKeys mit vorinstallierten Zertifikaten geliefert werden. Diese Anleitung richtet sich an Kunden, die Zertifikate auf einem YubiKey FIPS installieren möchten, den sie bereits besitzen.

Diese Anleitung führt Sie durch:

  • Generieren eines Schlüsselpaar und Bescheinigung auf auf Ihrem Yubikey
  • Überprüfen das Bescheinigungszertifikat und die Zuordnung zu einer SSL.com EV-Codesignatur oder einer PDF-Dokumentensignaturreihenfolge
  • Montage von Ihr neues Zertifikat im YubiKey
Hinweis: Die folgenden Screenshots stammen von Windows, aber die Verfahren sind unter Linux und MacOS nahezu identisch. Unterschiede zwischen Plattformen sind unten angegeben. Linux-Anweisungen beziehen sich auf Ubuntu 19.10, auf dem YubiKey Manager installiert ist apt-get (Siehe Yubico Anleitung für mehr Informationen). Ein Linux AppImage ist auch im YubiKey Manager verfügbar Download-Seite. Beachten Sie auch, dass diese Anweisungen zwar die Yubikey Manager-Software von YubiCo verwenden, die Version 3.0 von SSL.com SSL Manager unterstützt Schlüsselpaargenerierung und Zertifikatsinstallation auf YubiKey für Windows-Benutzer.

Schritt 1: Generieren Sie ein Schlüsselpaar auf YubiKey

  1. Wenn Sie dies noch nicht getan haben, laden Sie es herunter und installieren Sie es YubiKey-Manager von Yubicos Website. Versionen für Windows, Linux und MacOS sind verfügbar.
    YubiKey Manager herunterladen
  2. Schließen Sie Ihren YubiKey an und starten Sie den YubiKey Manager. Ihr YubiKey sollte im YubiKey Manager-Fenster angezeigt werden.
    YubiKey-Manager
  3. Navigieren Sie zu Anwendungen> PIV.
    Anwendungen> PIV
  4. Klicken Sie auf die Zertifikate konfigurieren .
    Zertifikate konfigurieren
  5. Wählen Sie die Registerkarte für den YubiKey-Steckplatz aus, in dem Sie das Schlüsselpaar generieren möchten. Wenn Sie ein EV-Codesignaturzertifikat kaufen, wählen Sie Beglaubigung (Steckplatz 9a). Wählen Sie zum Signieren von PDF-Dokumenten Digitale Unterschrift (Steckplatz 9c). (Siehe Yubcos Dokumentation für weitere Informationen zu den verschiedenen Tastensteckplätzen und ihren beabsichtigten Funktionen; Sie unterscheiden sich in ihren Richtlinien zur PIN-Eingabe. Hier werden wir Slot 9a verwenden.
    Authentifizierung (Steckplatz 9a)
  6. Klicken Sie auf die Generieren .
    Generieren
  7. Klicken Sie (sodass dort ein Haken erscheint) auf das Rechteck Zertifikatssignierungsanforderung (CSR), Dann klicken Sie auf die Weiter .
    Zertifikatssignierungsanforderung (CSR)
  8. Wählen Sie eine aus Algorithmus aus dem Dropdown-Menü. Wählen Sie zum Signieren von Dokumenten RSA2048. Wählen Sie für die EV-Code-Signierung ECCP256 or ECCP384.
    Algorithmus auswählen
  9. Geben Sie ein Subjekt Name Klicken Sie für das Zertifikat auf Weiter .
    Hinweis: Wir werden das nicht wirklich benutzen CSR- Es wird als Nebenprodukt beim Erstellen eines neuen Schlüsselpaars generiert. Es spielt also keine Rolle, was Sie hier für den Betreff eingeben.
    Subjekt Name
  10. Klicken Sie auf die Generieren .
    erzeugen
  11. Wählen Sie einen Ort zum Speichern des CSR Datei, erstellen Sie einen Dateinamen und klicken Sie dann auf Auswahl speichern .
    Auswahl speichern CSR
  12. Geben Sie Ihre YubiKey's ein Verwaltungsschlüssel, dann klick OK. Wenn Sie Ihren Verwaltungsschlüssel benötigen, wenden Sie sich bitte an Support@SSL.com.
    Verwaltungsschlüssel
  13. Geben Sie Ihren YubiKey ein PIN, dann klick OK. Wenn Sie Hilfe beim Auffinden Ihrer PIN benötigen, wenden Sie sich bitte an diese Anleitung.
    Pin eingeben
  14. Das CSR Die Datei wird an dem Ort gespeichert, den Sie in Schritt 11 oben angegeben haben. Auch hier benötigen wir diese Datei nicht, um fortzufahren, und Sie können sie sicher löschen.
    CSR Datei

Schritt 2: Generieren Sie ein Attestierungszertifikat

Jeder YubiKey ist mit einem privaten Schlüssel und einem Zertifikat von Yubico vorinstalliert, mit denen Sie einen generieren können Bescheinigung um zu überprüfen, ob auf einem YubiKey ein privater Schlüssel generiert wurde. Für diesen Vorgang müssen Sie die Befehlszeile verwenden.

  1. Öffnen Sie unter Windows PowerShell als Administrator. Benutzer von macOS und Linux sollten auf ihrem Gerät ein Terminalfenster öffnen.
    Öffnen Sie PowerShell als Administrator
  2. Verwenden Sie den folgenden Befehl, um zu den YubiKey Manager-Dateien zu navigieren:
    • Windows:
      cd "C: \ Programme \ Yubico \ YubiKey Manager"
    • macOS:
      cd / Applications / YubiKey \ Manager.app/Contents/MacOS
    • Unter Linux (Ubuntu) ist die ykman Befehl wird bereits in Ihrem installiert PATHkönnen Sie diesen Schritt überspringen.
  3. Generieren Sie mit dem folgenden Befehl ein Attestierungszertifikat für den Schlüssel (ersetzen ATTESTATION-FILENAME.crt mit dem Pfad und dem Dateinamen, den Sie verwenden möchten; Wenn Sie Steckplatz 9c verwendet haben, ersetzen Sie diesen 9a mit 9c):
    • Windows:
      . \ ykman.exe Piv Keys bestätigen 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman Piv Keys bestätigen 9a ATTESTATION-FILENAME.crt
    • macOS:
      ./ykman Piv Keys bestätigen 9a ATTESTATION-FILENAME.crt
  4. Als nächstes benutze die ykman Befehl zum Exportieren des Zwischenzertifikats aus Steckplatz f9 des YubiKey (ersetzen INTERMEDIATE-FILENAME.crt mit dem Pfad und Dateinamen, den Sie verwenden möchten):
    • Windows:
      . \ ykman.exe PIV-Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt
    • macOS:
      ./ykman piv Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt

Schritt 3: Überprüfen Sie das Attestierungszertifikat mit SSL.com und fügen Sie es der Bestellung bei

  1. Hier verwenden wir unser Attestierungszertifikat von YubiKey Slot 9a mit einer Bestellung eines EV-Codesignaturzertifikats. (Das Verfahren zum Signieren von Zertifikaten für Dokumente ist dasselbe.) Öffnen Sie zunächst die Bescheinigungs- und Zwischenzertifikate in einem Texteditor.
    Bescheinigung
  2. Melden Sie sich bei Ihrem SSL.com-Benutzerkonto an und navigieren Sie zu Bestellungen Klicken Sie auf die Registerkarte Details Link für die Bestellung, die Sie mit dem Attestierungszertifikat verknüpfen möchten. (Dieser Link ändert sich zu herunterladen nachdem Ihr Zertifikat ausgestellt wurde.)
    Hinweis: Wenn Sie die Gültigkeit Ihres Bescheinigungszertifikats überprüfen möchten, ohne es einer Bestellung beizufügen, können Sie SSL.coms verwenden Tool zur Überprüfung der Bescheinigung.
    Details
  3. Klicken Sie auf die verwalten Link unter Bescheinigung.
    Link verwalten
  4. Eine neue Seite mit Feldern für die Bescheinigung und Zwischenzertifikate wird angezeigt.
    Bestätigung der Bescheinigung
  5. Fügen Sie die Bescheinigung in das ein Bescheinigung Feld, wobei darauf zu achten ist, dass die Zeilen enthalten sind -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----.
    Bescheinigung einfügen
  6. Fügen Sie als Nächstes das Zwischenzertifikat in das ein Zwischenzertifikat Feld.
    Feld Zwischenzertifikat
  7. Klicken Sie auf die Absenden .
    Schaltfläche senden
  8. Wenn alles korrekt gelaufen ist, wird oben auf dem Bildschirm eine grüne Warnung angezeigt, die auf eine erfolgreiche Bescheinigung hinweist.
    Erfolgreiche Bescheinigung
  9. Kehren Sie zur Bestellung in Ihrem Konto zurück. Sie können überprüfen, ob die Bescheinigung zur Bestellung hinzugefügt wurde, indem ein Link mit der Bezeichnung gekennzeichnet ist Löschen für Bescheinigung.
    Link löschen
  10. Nachdem SSL.com Ihre Bestellung bearbeitet hat, ist das Zertifikat in Ihrem SSL.com-Konto verfügbar.
    Download-Links
  11. Wählen Sie das Einzelzertifikate Format beim Herunterladen.
    Download-Link für einzelne Zertifikate
  12. Erweitern Sie die Zip-Datei. Es sollten drei Zertifikatdateien vorhanden sein: Ihr Endentitätszertifikat, ein Zwischenzertifikat und ein Stammzertifikat.
    Zertifikatdateien

Warnung: In neueren Versionen von YubiKey Manager sind Fehlermeldungen beim Importieren von ECC-Zertifikaten aufgetreten (jetzt erforderlich für EV Code Signing auf YubiKey). Es gibt zwei mögliche Problemumgehungen:

  • Empfohlen: Konvertieren Sie das Zertifikat vor dem Importieren in das DER-Format. Das ist einfach Konvertierung mit OpenSSL (ersetzen CERT.crt und CERT.der mit Ihrem tatsächlichen Dateinamen im folgenden Befehl):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Wenn Sie Ihre Datei nicht konvertieren können, kehren Sie zu einem frühere Veröffentlichung von YubiKey Manager funktioniert auch. Die neueste Version, die wir gefunden haben, um ECC erfolgreich zu importieren .crt von SSL.com heruntergeladene Dateien ist 1.1.5.

Schritt 4: Installieren Sie das Zertifikat in YubiKey

  1. Starten Sie den YubiKey Manager und navigieren Sie zu Anwendungen> PIV.
    Anwendungen> PIV
  2. Klicken Sie auf die Zertifikate konfigurieren .
    Zertifikate konfigurieren
  3. Wählen Sie die Registerkarte für denselben YubiKey-Steckplatz aus, in dem Sie das Schlüsselpaar generiert haben.
    Authentifizierung (Steckplatz 9a)
  4. Klicken Sie auf die Import .
    Schaltfläche "Importieren"
  5. Navigieren Sie zu Ihrer End-Entity-Zertifikatdatei und klicken Sie auf Import .
    Zertifikat importieren
  6. Geben Sie Ihre YubiKey's ein Verwaltungsschlüssel, dann klick OK. Wenn Sie Ihren Verwaltungsschlüssel benötigen, wenden Sie sich bitte an Support@SSL.com.
    Verwaltungsschlüssel
  7. Das neue EV-Codesignaturzertifikat ist im YubiKey installiert.
    Zertifikat ist installiert
  8. Um sicherzustellen, dass Ihre digitalen Signaturen auf allen Computern vertrauenswürdig sind, sollten Sie auch die Stamm- und Zwischenzertifikate auf Ihrem YubiKey installieren, um eine vollständige Vertrauenskette zu gewährleisten. Bitte befolgen Sie diese Anweisungen für die Root- und Zwischeninstallation: Installieren Sie SSL.com-Stamm- und Zwischenzertifikate auf YubiKey.
Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis.

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com