Για τους σκοπούς Υπογραφή κώδικα EV και Ψηφιακές υπογραφές Adobe PDF, απαιτείται το ιδιωτικό κλειδί σας να δημιουργηθεί και να αποθηκευτεί με ασφάλεια σε μια εξωτερική συσκευή υλικού με πιστοποίηση FIPS και όχι στον υπολογιστή σας. Το SSL.com αποστέλλει προαιρετικά την υπογραφή κωδικού EV και τα πιστοποιητικά υπογραφής εγγράφων PDF προεγκατεστημένα Επικυρωμένο κλειδί ασφαλείας FIPS 140-2 USB token, αλλά οι χρήστες μπορούν επίσης να δημιουργήσουν ένα ζεύγος κλειδιών σε ένα υπάρχον YubiKey και ένα πιστοποιητικό βεβαίωσης που αποδεικνύει ότι το ιδιωτικό κλειδί δημιουργήθηκε στη συσκευή. Το πιστοποιητικό βεβαίωσης μπορεί στη συνέχεια να χρησιμοποιηθεί για την παραγγελία πιστοποιητικών από το SSL.com που ενδέχεται να εγκατασταθούν χειροκίνητα στο YubiKey.
Αυτός ο οδηγός θα σας καθοδηγήσει:
- Δημιουργία α ζεύγος κλειδιών και πιστοποιητικό βεβαίωσης στο Yubikey σας
- Επαλήθευση το πιστοποιητικό βεβαίωσης και τη σύνδεσή του με μια υπογραφή κωδικού EV SSL.com ή μια σειρά υπογραφής εγγράφου PDF
- εγκατάσταση το νέο σας πιστοποιητικό στο YubiKey
apt-get
(δείτε το Yubico's οδηγίες Για περισσότερες πληροφορίες). Ένα Linux AppImage είναι επίσης διαθέσιμο από το YubiKey Manager κατεβάστε σελίδα. Σημειώστε επίσης ότι ενώ αυτές οι οδηγίες χρησιμοποιούν το λογισμικό Yubikey Manager της Yubico, η έκδοση 3.0 του SSL.com SSL Manager υποστηρίζει δημιουργία πληκτρολογίου και εγκατάσταση πιστοποιητικών στο YubiKey για χρήστες Windows.Βήμα 1: Δημιουργήστε ζεύγος κλειδιών στο YubiKey
- Εάν δεν το έχετε κάνει ήδη, πραγματοποιήστε λήψη και εγκατάσταση Διευθυντής YubiKey από τον ιστότοπο της Yubico. Διατίθενται εκδόσεις για Windows, Linux και macOS.
- Συνδέστε το YubiKey και, στη συνέχεια, ξεκινήστε το YubiKey Manager. Το YubiKey θα πρέπει να εμφανίζεται στο παράθυρο YubiKey Manager.
- Πλοηγηθείτε στο Εφαρμογές> PIV.
- Κάντε κλικ στο Διαμόρφωση πιστοποιητικών κουμπί.
- Επιλέξτε την καρτέλα για την υποδοχή YubiKey όπου θέλετε να δημιουργήσετε το ζεύγος κλειδιών. Εάν αγοράζετε πιστοποιητικό υπογραφής κωδικού EV, επιλέξτε Πιστοποίηση (υποδοχή 9α). Για υπογραφή εγγράφου PDF, επιλέξτε Ψηφιακή υπογραφή (σχισμή 9c). (Βλέπε Yubico's τεκμηρίωση για περισσότερες πληροφορίες σχετικά με τους διάφορους βασικούς κουλοχέρηδες και τις προβλεπόμενες λειτουργίες τους. διαφέρουν στις πολιτικές εισαγωγής PIN τους). Εδώ πρόκειται να χρησιμοποιήσουμε την υποδοχή 9a.
- Κάντε κλικ στο Δημιουργία κουμπί.
- Αγορά Αίτημα υπογραφής πιστοποιητικού (CSR), στη συνέχεια κάντε κλικ στο Επόμενο κουμπί.
- Επιλέξτε ένα Αλγόριθμος από το αναπτυσσόμενο μενού. Για υπογραφή εγγράφων, επιλέξτε
RSA2048
. Για υπογραφή κώδικα EV, επιλέξτεECCP256
orECCP384
.
- Εισάγετε ένα Όνομα θέματος για το πιστοποιητικό και, στη συνέχεια, κάντε κλικ στο Επόμενο κουμπί.
Σημείωση: Στην πραγματικότητα δεν θα το χρησιμοποιούμε CSR- δημιουργείται ως υποπροϊόν της δημιουργίας ενός νέου ζεύγους κλειδιών. Έτσι, δεν έχει σημασία τι εισάγετε για το Όνομα Θέματος εδώ.Οι χρήστες πρέπει να ζητήσουν από το SSL.com μια νέα έκδοση κατά την υποβολή μιας νέας παραγγελίας, η έκδοση δεν θα γίνει αυτόματα. - Κάντε κλικ στο Δημιουργία κουμπί.
- Επιλέξτε μια τοποθεσία για να αποθηκεύσετε το CSR αρχείο, δημιουργήστε ένα όνομα αρχείου και, στη συνέχεια, κάντε κλικ στο Αποθήκευση κουμπί.
- Εισαγάγετε το YubiKey's κλειδί διαχείρισης, στη συνέχεια κάντε κλικ στο κουμπί OK. Εάν χρειάζεστε το κλειδί διαχείρισης, επικοινωνήστε με Support@SSL.com.
- Εισαγάγετε το YubiKey σας PIN, στη συνέχεια κάντε κλικ στο κουμπί OK. Εάν χρειάζεστε βοήθεια για την εύρεση του PIN σας, ανατρέξτε στο αυτό το πώς.
- Η CSR Το αρχείο θα αποθηκευτεί στη θέση που καθορίσατε στο βήμα 11 παραπάνω. Και πάλι, δεν χρειαζόμαστε αυτό το αρχείο για να προχωρήσουμε και μπορείτε να το διαγράψετε με ασφάλεια.
Βήμα 2: Δημιουργία πιστοποιητικού βεβαίωσης
Κάθε YubiKey έρχεται προφορτωμένο με ιδιωτικό κλειδί και πιστοποιητικό από το Yubico που σας επιτρέπει να δημιουργήσετε ένα πιστοποιητικό βεβαίωσης για να επιβεβαιώσετε ότι έχει δημιουργηθεί ένα ιδιωτικό κλειδί σε ένα YubiKey. Αυτή η λειτουργία θα σας ζητήσει να χρησιμοποιήσετε τη γραμμή εντολών.
- Στα Windows, ανοίξτε το PowerShell ως διαχειριστής. Οι χρήστες macOS και Linux πρέπει να ανοίξουν ένα παράθυρο τερματικού στη συσκευή τους.
- Χρησιμοποιήστε την ακόλουθη εντολή για να μεταβείτε στα αρχεία του YubiKey Manager:
- Windows:
cd "C:Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- Σε Linux (Ubuntu), το
ykman
Η εντολή θα είναι ήδη εγκατεστημένη στοPATH
, έτσι μπορείτε να παραλείψετε αυτό το βήμα.
- Windows:
- Δημιουργήστε ένα πιστοποιητικό βεβαίωσης για το κλειδί με την παρακάτω εντολή (αντικαταστήστε
ATTESTATION-FILENAME.crt
με τη διαδρομή και το όνομα αρχείου που θέλετε να χρησιμοποιήσετε. εάν χρησιμοποιήσατε την υποδοχή 9c, αντικαταστήστε την9a
με9c
):- Windows:
Τα κλειδιά piv .ykman.exe πιστοποιούν 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
ykman piv keys μαρτυρούν 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv keys βεβαιώνουν 9a ATTESTATION-FILENAME.crt
- Windows:
- Στη συνέχεια, χρησιμοποιήστε το
ykman
εντολή για εξαγωγή του ενδιάμεσου πιστοποιητικού από την υποδοχή f9 του YubiKey (αντικαταστήστεINTERMEDIATE-FILENAME.crt
με τη διαδρομή και το όνομα αρχείου που θέλετε να χρησιμοποιήσετε):- Windows:
Εξαγωγή πιστοποιητικών piv .ykman.exe f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
εξαγωγή πιστοποιητικών ykman piv f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ymanman piv πιστοποιητικά εξαγωγή f9 INTERMEDIATE-FILENAME.crt
- Windows:
Βήμα 3: Επαληθεύστε το πιστοποιητικό βεβαίωσης με το SSL.com και επισυνάψτε στην παραγγελία
- Εδώ πρόκειται να χρησιμοποιήσουμε το πιστοποιητικό βεβαίωσης από την υποδοχή YubiKey 9a με παραγγελία πιστοποιητικού υπογραφής κωδικού EV. (Η διαδικασία για τα πιστοποιητικά υπογραφής εγγράφων είναι η ίδια.) Πρώτα, ανοίξτε τα πιστοποιητικά βεβαίωσης και ενδιάμεσου πιστοποιητικού σε ένα πρόγραμμα επεξεργασίας κειμένου.
- Συνδεθείτε στον λογαριασμό χρήστη SSL.com και μεταβείτε στο Παραγγελιες κάντε κλικ στην καρτέλα καθέκαστα σύνδεσμος για την παραγγελία που θέλετε να συσχετίσετε με το πιστοποιητικό βεβαίωσης. (Αυτός ο σύνδεσμος θα αλλάξει σε κατεβάσετε μετά την έκδοση του πιστοποιητικού σας.)
Σημείωση: Εάν θέλετε να ελέγξετε την εγκυρότητα του πιστοποιητικού βεβαίωσης χωρίς να το επισυνάψετε σε παραγγελία, μπορείτε να χρησιμοποιήσετε το SSL.com's εργαλείο επαλήθευσης βεβαίωσης. - Κάντε κλικ στο διαχείριση σύνδεσμος, κάτω επιβεβαίωση.
- Θα εμφανιστεί μια νέα σελίδα με πεδία για τη βεβαίωση και τα ενδιάμεσα πιστοποιητικά.
- Επικολλήστε το πιστοποιητικό βεβαίωσης στο Πιστοποιητικό βεβαίωσης πεδίο, φροντίζοντας να συμπεριλάβετε τις γραμμές
-----BEGIN CERTIFICATE-----
και-----END CERTIFICATE-----
.
- Στη συνέχεια, επικολλήστε το ενδιάμεσο πιστοποιητικό στο Ενδιάμεσο Πιστοποιητικό τομέα.
- Κάντε κλικ στο Υποβολή κουμπί.
- Εάν όλα έχουν πάει σωστά, θα εμφανιστεί μια πράσινη ειδοποίηση στο επάνω μέρος της οθόνης, υποδεικνύοντας μια επιτυχημένη βεβαίωση.
- Επιστρέψτε στην παραγγελία στον λογαριασμό σας. Μπορείτε να επαληθεύσετε ότι η βεβαίωση έχει προστεθεί στην παραγγελία με την παρουσία ενός συνδέσμου με ετικέτα Διαγραφή υπό επιβεβαίωση.
- Αφού το SSL.com επεξεργαστεί την παραγγελία σας, το πιστοποιητικό θα είναι διαθέσιμο στον λογαριασμό σας στο SSL.com. Από τη σελίδα λεπτομερειών παραγγελίας, κάντε κύλιση προς τα κάτω στο ΤΕΛΙΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΟΝΤΟΤΗΤΩΝ και κάντε κλικ στο κουμπί Δείξε λεπτομέρειες.
- Κάντε κύλιση προς τα κάτω στην υποενότητα με την ετικέτα Πιστοποιητικό υπογραφής κώδικα or Πιστοποιητικό υπογραφής εγγράφου, ανάλογα με την παραγγελία σας. Στα δεξιά, θα δείτε τους συνδέσμους λήψης για το πιστοποιητικό σας.
- Εάν έχετε ένα Πιστοποιητικό υπογραφής εγγράφου, επιλέξτε το μεμονωμένα πιστοποιητικά επιλογή λήψης. Αυτό είναι ένα αρχείο zip που περιέχει τρία αρχεία πιστοποιητικού: το πιστοποιητικό τελικής οντότητας, ένα ενδιάμεσο πιστοποιητικό και ένα πιστοποιητικό ρίζας.
- Εάν έχετε ένα Πιστοποιητικό υπογραφής κώδικα, επιλέξτε το για εγκατάσταση YUBIKEY (DER).
- Εάν έχετε ένα Πιστοποιητικό υπογραφής εγγράφου, επιλέξτε το μεμονωμένα πιστοποιητικά επιλογή λήψης. Αυτό είναι ένα αρχείο zip που περιέχει τρία αρχεία πιστοποιητικού: το πιστοποιητικό τελικής οντότητας, ένα ενδιάμεσο πιστοποιητικό και ένα πιστοποιητικό ρίζας.
Προειδοποίηση: Έχουμε δει μηνύματα σφάλματος σε πρόσφατες εκδόσεις του YubiKey Manager κατά την εισαγωγή πιστοποιητικών ECC (απαιτείται τώρα για EV Code Signing στο YubiKey). Υπάρχουν δύο πιθανές λύσεις:
- Συνιστάται: Μετατρέψτε το πιστοποιητικό σε μορφή DER πριν από την εισαγωγή. Αυτό είναι απλό μετατροπή με OpenSSL (αντικαθιστώ
CERT.crt
καιCERT.der
με το πραγματικό σας όνομα αρχείου στην ακόλουθη εντολή):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Εάν δεν μπορείτε να μετατρέψετε το αρχείο σας, επαναφέρετε σε ένα νωρίτερα κυκλοφορία του YubiKey Manager θα λειτουργήσει επίσης. Η πιο πρόσφατη έκδοση που βρήκαμε με επιτυχία εισάγει το ECC
.crt
αρχεία που έχουν ληφθεί από το SSL.com είναι1.1.5
.
Βήμα 4: Εγκατάσταση πιστοποιητικού στο YubiKey
- Εκκινήστε το YubiKey Manager και μεταβείτε στο Εφαρμογές> PIV.
- Κάντε κλικ στο Διαμόρφωση πιστοποιητικών κουμπί.
- Επιλέξτε την καρτέλα για την ίδια υποδοχή YubiKey όπου δημιουργήσατε το ζεύγος κλειδιών.
- Κάντε κλικ στο εισαγωγή κουμπί.
- Μεταβείτε στο αρχείο πιστοποιητικού τελικής οντότητας και κάντε κλικ στο εισαγωγή κουμπί.
- Εισαγάγετε το YubiKey's κλειδί διαχείρισης, στη συνέχεια κάντε κλικ στο κουμπί OK. Εάν χρειάζεστε το κλειδί διαχείρισης, επικοινωνήστε με Support@SSL.com.
- Το νέο πιστοποιητικό υπογραφής κώδικα EV είναι εγκατεστημένο στο YubiKey.
- Για να βεβαιωθείτε ότι οι ψηφιακές υπογραφές σας είναι αξιόπιστες σε όλους τους υπολογιστές, θα πρέπει επίσης να εγκαταστήσετε τα πιστοποιητικά ρίζας και ενδιάμεσου στο YubiKey για μια πλήρη αλυσίδα εμπιστοσύνης. Ακολουθήστε αυτές τις οδηγίες για εγκατάσταση root και ενδιάμεση: Εγκαταστήστε τα πιστοποιητικά ρίζας και ενδιάμεσου SSL.com στο YubiKey.