Schlüsselerzeugung und Attestierung mit YubiKey für Codesignaturzertifikate

So generieren Sie ein Schlüsselpaar und ein Attestierungszertifikat auf Ihrem YubiKey FIPS, um EV-Codesignaturzertifikate zu bestellen.

Verwandte Inhalte

Artikellink kopieren

Bevor Sie beginnen
 Diese Anleitung dient nur der Installation oder dem Austausch eines Codesignaturzertifikat auf einem YubiKey in diesen Fällen:
  • Sie haben einen leeren YubiKey direkt von Yubico erworben.
  • Sie müssen ein abgelaufenes Produkt ersetzen. SSL.com Codesignaturzertifikat auf Ihrem YubiKey
Verwenden Sie diese Anleitung nicht, wenn:

Für die Zwecke Codesignaturist es erforderlich, dass Ihr privater Schlüssel sicher generiert und auf einem externen FIPS-validierten Hardwaregerät und nicht auf Ihrem Computer gespeichert wird. Benutzer können ein Schlüsselpaar auf einem vorhandenen YubiKey und einem Bescheinigung Dies beweist, dass der private Schlüssel auf dem Gerät generiert wurde. Das Attestierungszertifikat kann dann verwendet werden, um Codesignaturzertifikate von SSL.com zu erhalten, die manuell auf dem YubiKey installiert werden können.

Ein Attestierungszertifikat ist nur für einen YubiKey gültig. Wenn Sie Ihr Zertifikat in mehreren YubiKeys installieren möchten, müssen Sie für jeden Token eine Attestierung durchführen. Bitte kontaktieren Sie support@ssl.com um weitere Details zur Mehrfachausstellung eines Zertifikats zu erhalten.

Diese Anleitung führt Sie durch:

nach oben

Voraussetzungen:

  1. Die neueste Version des Yubico Authentifikator , ykman-Befehlszeilenschnittstelle (CLI)
    Hinweis:

    Um das Schlüsselpaar zu generieren und später das Codesignaturzertifikat zu installieren, laden Sie dieses Tool herunter: Grafische Benutzeroberfläche (GUI) des Yubico Authenticators

    Um das Attestierungszertifikat zu generieren, verwenden Sie die ykman-Befehlszeilenschnittstelle (CLI), die in diesem Downloadpaket enthalten ist: YubiKey Manager.

    Nach der Installation werden beide Tools im Yubico-Ordner Ihres Computers gespeichert.

  2. Ihr YubiKey PIN , PUK konfiguriert am Yubico Authentifikator. Wenn Sie Ihren YubiKey-Token bei Yubico gekauft haben, müssen Sie Ihre PIN und Ihren PUK festlegen. Öffnen Sie dazu Yubico-Authentifikator, klicken Sie auf die Zertifikate Tab. Auf der Verwalten Im Abschnitt „Konfiguration“ sehen Sie die Optionen zum Konfigurieren Ihres PIN PUK
nach oben

Schritt 1: Generieren Sie ein Schlüsselpaar auf YubiKey

  1. Herunterladen Yubico Authentifikator.

  2. Schließen Sie Ihren YubiKey an und starten Sie dann Yubico Authenticator.

  3. Unter dem Zertifikate Wählen Sie im Abschnitt die Registerkarte für den YubiKey-Steckplatz aus, in dem Sie das Schlüsselpaar generieren möchten. Wählen Sie für ein Codesignaturzertifikat Authentifizierung (Steckplatz 9a). Klicken Sie auf Schlüssel generieren fortfahren.

  4. Auf dem Betreff Feld, geben Sie den Distinguished Name (DN) ein für das Codesignaturzertifikat. Dies ist der Name der Organisation oder Person und wird auf jeder Software angezeigt, die mit diesem Zertifikat signiert wurde. Achten Sie darauf, die Zeichen einzugeben. CN= vor der Eingabe des Distinguished Name. Beispiel: CN=Example Company.

    Für Ausgabeformat, wählen Zertifikatssignierungsanforderung (CSR).

    Von dem Algorithmus Dropdown-Liste, Auswahl treffenFür die Codesignierung wählen Sie Folgendes: ECCP256 or ECCP384.

    Abschließend klicken Sie auf Gespeichert .

  5. Speichern Sie die CSR Zertifikat in einem Ordner.
nach oben

Schritt 2: Generieren Sie ein Attestierungszertifikat

Jeder YubiKey ist mit einem privaten Schlüssel und einem Zertifikat von Yubico vorinstalliert, mit denen Sie einen generieren können Bescheinigung um zu überprüfen, ob ein privater Schlüssel auf einem YubiKey generiert wurde. Für diesen Vorgang müssen Sie die ykman Die Befehlszeilenschnittstelle (CLI) befindet sich in YubiKey-Manager Ordner auf Ihrem Computer. Um auf die ykman-Befehlszeilenschnittstelle zugreifen zu können, müssen Sie Windows PowerShell verwenden, wie in den folgenden Schritten gezeigt.

  1. Öffnen Sie unter Windows PowerShell als Administrator. Benutzer von macOS und Linux sollten auf ihrem Gerät ein Terminalfenster öffnen.

  2.  Verwenden Sie die cd Befehl (Verzeichnis ändern), um zu den Dateien des YubiKey Managers zu navigieren und darauf zuzugreifen. ykmanUm dies unter Windows zu tun, führen Sie die folgenden Schritte nacheinander in derselben Zeile in PowerShell aus:

    Typ cd auf PowerShell
    Presse Raum
    Kopieren Sie den Ordnerpfad, in dem sich ykman befindet, und schließen Sie ihn dann ein in doppelte Anführungszeichen. Beispiel: "C:\Program Files\Yubico\YubiKey Manager"
    Presse Enter

    • Windows: 
      cd "C:\Programme\Yubico\YubiKey Manager"
    • macOS: 
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • Unter Linux (Ubuntu) ist die ykman Befehl wird bereits in Ihrem installiert PATHkönnen Sie diesen Schritt überspringen.

  3. Generieren Sie das Attestierungszertifikat. Nach dem Wechsel zu ykman mithilfe von PowerShell verwenden Sie den folgenden Befehl, um ein Attestierungszertifikat im Textformat zu generieren. Unter Windows lautet der Befehl wie folgt: .\ykman.exe piv keys attest 9a C:\Folder\Folder\attestation\attestationfilename

    Lassen Sie uns das genauer betrachten:

    a. Kopieren Sie dies in PowerShell: .\ykman.exe piv keys attest 9a 

    b. Kopieren Sie in derselben Zeile in PowerShell den Ordnerpfad, in dem Sie das Attestierungszertifikat speichern möchten. Wählen Sie einen Ordner auf Ihrem Computer aus oder erstellen Sie einen neuen. Beispiel: C:\Folder\Folder\attestation.

    Achten Sie darauf, Ordner mit einwortigen Namen oder ohne Leerzeichen auszuwählen/zu erstellen, um Fehler bei der Eingabe des Befehls in PowerShell zu vermeiden. 

    c. Überlegen Sie sich einen Namen für das Zertifikat. Fügen Sie am Ende des Ordnerpfads, den Sie in PowerShell kopiert haben, einen Backslash (\) und den gewünschten Namen für Ihr Attestierungszertifikat hinzu. Beispiel:\attestationfilename 

    Achten Sie darauf, einen Dateinamen ohne Sonderzeichen und Leerzeichen zu generieren, um Fehler bei der Eingabe des Befehls in PowerShell zu vermeiden. 

    d. Drücken Sie die Eingabetaste in PowerShell, um die Attestierungszertifikatsdatei endgültig zu generieren.

    Nach Eingabe des Befehls überprüfen Sie im angegebenen Ordner auf Ihrem Computer, ob das Attestierungszertifikat erfolgreich erstellt wurde. Es liegt als Textdatei vor und trägt den von Ihnen vergebenen Namen. Beim Öffnen wird ein Textkörper mit Buchstaben und Zahlen angezeigt, dessen Überschrift lautet: —–BEGINN ZERTIFIKAT—– oben und —–ENDE ZERTIFIKAT—– Am Ende.

    • Windows: 
      .\ykman.exe piv keys attest 9a C:\Ordner\Ordner\attestation\attestationfilename
    • Linux (Ubuntu): 
      ykman Piv Keys bestätigen 9a ATTESTATION-FILENAME.crt
    • macOS: 
      ./ykman Piv Keys bestätigen 9a ATTESTATION-FILENAME.crt
  4. Exportieren Sie das Zwischenzertifikat. Als nächstes benutze die ykman Befehl zum Exportieren des Zwischenzertifikats aus Steckplatz f9 des YubiKey. Das Zertifikat liegt im Textdateiformat vor. Der Befehl sieht folgendermaßen aus: .\ykman.exe piv certificates export f9 C:\Folder\Folder\attestation\intermediatefilename

    Lassen Sie uns das genauer betrachten: 

    a. Kopieren Sie dies in PowerShell: .\ykman.exe piv certificates export f9
    b. Wählen oder erstellen Sie einen Ordner auf Ihrem Computer (z. B. „Dokumente“), in den das Zwischenzertifikat exportiert werden soll. Kopieren Sie den Ordnerpfad in PowerShell. Beispiel: C:\Folder\Folder\attestation
    c. Erstellen Sie einen Dateinamen für das Zwischenzertifikat. Fügen Sie vor dem Namen einen Backslash ein und hängen Sie ihn ohne Leerzeichen an das Ende des Ordnerpfads an, den Sie in PowerShell kopiert haben. Beispiel: \intermediatefilename
    d. Drücken EnterSobald Sie den Befehl eingegeben haben, erscheint das Zwischenzertifikat im angegebenen Ordner unter dem von Ihnen vergebenen Namen. Beim Öffnen wird eine Zeichenfolge aus Buchstaben und Zahlen angezeigt, deren Überschrift lautet: —–BEGINN ZERTIFIKAT—– oben und —–ENDE ZERTIFIKAT—– Am Ende. 

      • Windows: 
        .\ykman.exe piv certificates export f9 C:\Ordner\Ordner\attestation\intermediatefilename
    • Linux (Ubuntu): 
      ykman piv Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt
    • macOS: 
      ./ykman piv Zertifikate exportieren f9 INTERMEDIATE-FILENAME.crt
nach oben

Schritt 3: Überprüfen Sie das Attestierungszertifikat mit SSL.com und fügen Sie es der Bestellung bei

  1. Hier verwenden wir unser Attestierungszertifikat aus YubiKey-Steckplatz 9a mit einer EV-Codesignaturzertifikatsbestellung. Öffnen Sie zunächst das Attestierungs- und das Zwischenzertifikat in einem Texteditor.
  2. Melden Sie sich bei Ihrem SSL.com-Benutzerkonto an und navigieren Sie zu Bestellungen Klicken Sie auf den Link mit der Bezeichnung „Registerkarte“. Details (für Neubestellungen) oder herunterladen (Für ältere Bestellungen) Wählen Sie die Bestellung aus, die Sie mit dem Bestätigungszertifikat verknüpfen möchten. (Dieser Link wird angezeigt als herunterladen (für Kunden, deren Signaturzertifikat abgelaufen ist und die es ersetzen möchten).
    Hinweis: Wenn Sie die Gültigkeit Ihres Bescheinigungszertifikats überprüfen möchten, ohne es einer Bestellung beizufügen, können Sie SSL.coms verwenden Tool zur Überprüfung der Bescheinigung.
  3. Wählen Sie unten Ihren Anwendungsfall aus:
    a. Kunden mit einem leeren YubiKey klicken bitte auf die Schaltfläche verwalten Link unter Bescheinigung.
    b. Für Kunden, die ein abgelaufenes Signaturzertifikat ersetzen möchten, klicken Sie bitte hier. Löschen Klicken Sie zuerst auf den Link, um die vorherige Bestätigungseinreichung für Ihr abgelaufenes Signaturzertifikat zu entfernen. Klicken Sie anschließend auf verwalten Link.
  4. Eine neue Seite mit Feldern für die Bescheinigung und Zwischenzertifikate wird angezeigt.

  5. Fügen Sie die Bescheinigung in das ein Bescheinigung Feld, wobei darauf zu achten ist, dass die Zeilen enthalten sind -----BEGIN CERTIFICATE----- , -----END CERTIFICATE-----.
  6. Fügen Sie als Nächstes das Zwischenzertifikat in das ein Zwischenzertifikat Feld
  7. Klicken Sie auf die Absenden .
  8. Wenn alles korrekt gelaufen ist, wird oben auf dem Bildschirm eine grüne Warnung angezeigt, die auf eine erfolgreiche Bescheinigung hinweist.
nach oben

Schritt 4: Laden Sie Ihr Code-Signaturzertifikat herunter

  1. Sobald SSL.com Ihre Bestätigung genehmigt und Ihr Zertifikat ausgestellt hat, können Sie es herunterladen. Melden Sie sich dazu in Ihrem SSL.com-Konto an und klicken Sie auf [Link einfügen]. Bestellungen Im oberen Menü finden Sie Ihre Bestellung in der Liste. Klicken Sie anschließend auf die Schaltfläche. herunterladen Link. 
  2. Wenn die Downloadseite angezeigt wird, scrollen Sie nach unten zu ENDENTITÄTSZERTIFIKAT Klicken Sie auf den Akkordeonpfeil, um Ihre Zertifikatsdetails anzuzeigen. Rechts sehen Sie die verfügbaren Download-Formate. Wählen Sie aus Einzelzertifikate Und klicken Sie auf die Herunterladen Diese ZIP-Datei enthält drei Zertifikatsdateien: Ihr Endbenutzerzertifikat, ein Zwischenzertifikat und ein Stammzertifikat. Später müssen Sie nur noch das Endbenutzerzertifikat in Ihren YubiKey importieren. 
  3. Entpacken Sie die heruntergeladene Zip-Datei.
  4. Wählen Sie den Speicherort für die extrahierten Dateien aus und klicken Sie dann auf die Schaltfläche. Extrahieren .
  5. Öffnen Sie den Ordner mit den extrahierten Zertifikaten. Sie sehen drei Zertifikate, aber Sie müssen nur Ihr Endbenutzerzertifikat installieren. .CRT-Datei und trägt den Namen der Person oder Organisation. Ab hier können Sie Ihr Zertifikat installieren.
nach oben

Schritt 5: Installieren Sie das Zertifikat in YubiKey  

  1. Öffnen Sie den Yubico Authenticator

  2. Klicken Sie auf Zertifikate, Gefolgt von 9a Authentifizierung und Datei importieren.
  3. Geben Sie Ihre YubiKey-PIN ein, wenn Sie dazu aufgefordert werden.
  4. Navigieren Sie zu dem Ordner, in dem die Zertifikate extrahiert wurden, und klicken Sie auf Ihr Endbenutzer-Codesignaturzertifikat.
  5. Yubico Authenticator zeigt die Details Ihres Codesignaturzertifikats an. Klicken Sie Import Taste im nun erscheinenden Bestätigungsfenster nun wieder los..

  6. Ihr Zertifikat ist nun erfolgreich installiert.
  7. Optionaler SchrittWenn Sie als Kunde ein abgelaufenes Zertifikat auf Ihrem YubiKey ersetzt haben, müssen Sie auch die Kopie des abgelaufenen Zertifikats löschen, die sich noch im Windows-Zertifikatspeicher befindet. Geben Sie dazu Folgendes ein: Zertifikat in der Windows-Suchleiste Ihres Computers. Klicken Sie anschließend auf Verwalten von Computerzertifikaten. Drücke den Personellem Suchen Sie im Ordner das abgelaufene Signaturzertifikat, klicken Sie mit der rechten Maustaste darauf und wählen Sie Löschen.
nach oben

Fehlerbehebung bei der Codesignatur-Attestierung 

If SSL.com Ihre Bestätigungsvorlage wird abgelehnt. Dies liegt an einem der folgenden Gründe:

  1. Schritt 1: Generieren Sie ein Schlüsselpaar auf YubiKey
    1. Ihre Anfrage zur Zertifikatsunterzeichnung (CSR) wird von Yubico Authenticator abgelehnt
      • Sie müssen die Zeichen einbeziehen. CN= im Betreff-Feld. Yubico Authenticator wird die Anfrage ablehnen. CSR falls dies nicht geschieht. 
      • Du musst auswählen ECCP256 or ECCP384 für den Algorithmus. Diese beiden Typen sind die einzigen, die für ein Codesignaturzertifikat zulässig sind.

  2. Schritt 2: Generieren Sie ein Attestierungszertifikat
    1. Sie können nicht auf die ykman-Befehlszeilenschnittstelle zugreifen.
      • ykman kann nicht durch Doppelklicken auf das Anwendungssymbol im YubiKey Manager aufgerufen werden. Die Anwendung kann nur gestartet werden, indem man zuerst eine Shell-Anwendung wie PowerShell öffnet und anschließend den Befehl „Verzeichnis wechseln“ (cd) verwendet, um ykman auszuführen. 
      • Beim Eingeben des Befehls „cd“ in PowerShell muss ein Leerzeichen zwischen den Zeilen stehen. cd und der Ordnerpfad der ykman-CLI. Beispiel: cd “C:\Program Files\Yubico\YubiKey Manager”
      • Der Pfad zum ykman-CLI-Ordner muss in doppelte Anführungszeichen gesetzt werden. Beispiel: “C:\Program Files\Yubico\YubiKey Manager”
    2. Die Beglaubigungs- und Zwischenzertifikate werden nicht generiert.
      • Achten Sie darauf, Ordner mit einwortigen Namen oder ohne Leerzeichen auszuwählen/zu erstellen, um Fehler bei der Eingabe des Befehls in PowerShell zu vermeiden.  
      • Um Fehler bei der Eingabe des Befehls in PowerShell zu vermeiden, wählen Sie unbedingt einen kurzen, einwortigen Dateinamen ohne Sonderzeichen.  

  3. Schritt 3: Überprüfen Sie das Attestierungszertifikat mit SSL.com und fügen Sie es der Bestellung bei
    1. Die Beglaubigungs- und Zwischenzertifikate können auf meinem Computer nicht eingereicht werden. SSL.com Konto
      • Beim Öffnen der Dateien in einem Texteditor wie Notepad muss der gesamte Inhalt der Datei kopiert werden, einschließlich —–BEGINN ZERTIFIKAT—– oben und —–ENDE ZERTIFIKAT—– Am Ende. 
nach oben

Verwandte Anleitungen zum Signieren von Code mit Ihrem YubiKey

  1. Verwenden Ihres Codesignaturzertifikats: Erfahren Sie mit Microsoft SignTool, wie Sie Anwendungen mithilfe Ihres OV- oder EV-Codesignaturzertifikats signieren.
Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.comoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis.

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.

Nehmen Sie an einer Umfrage teil
Datenschutzübersicht
SSL.com

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen wie das Erkennen von Ihnen bei der Rückkehr zu unserer Website aus und helfen unserem Team zu verstehen, welche Bereiche der Website für Sie am interessantesten und nützlichsten sind.

Weitere Informationen finden Sie in unserer Cookie und Datenschutzerklärung.

3rd Party Cookies

Diese Website verwendet Google Analytics & Statistikzähler um anonyme Informationen wie die Anzahl der Besucher der Website und die beliebtesten Seiten zu sammeln.

Wenn Sie diese Cookies aktiviert lassen, können Sie unsere Website verbessern.

Zeige Details
Erhöhte Sicherheit. Geringerer Aufwand. Nachhaltiger Erfolg.  Einhaltung der GDPR-Cookies