Δημιουργία κλειδιών και βεβαίωση με το Yubikey

Πώς να δημιουργήσετε ένα ζεύγος κλειδιών και ένα πιστοποιητικό βεβαίωσης στο YubiKey FIPS για να παραγγείλετε πιστοποιητικά υπογραφής κώδικα EV και υπογραφής εγγράφων.

Για τους σκοπούς Υπογραφή κώδικα EV και Ψηφιακές υπογραφές Adobe PDF, απαιτείται το ιδιωτικό κλειδί σας να δημιουργηθεί και να αποθηκευτεί με ασφάλεια σε μια εξωτερική συσκευή υλικού με πιστοποίηση FIPS και όχι στον υπολογιστή σας. Το SSL.com αποστέλλει προαιρετικά την υπογραφή κωδικού EV και τα πιστοποιητικά υπογραφής εγγράφων PDF προεγκατεστημένα Επικυρωμένο κλειδί ασφαλείας FIPS 140-2 USB token, αλλά οι χρήστες μπορούν επίσης να δημιουργήσουν ένα ζεύγος κλειδιών σε ένα υπάρχον YubiKey και ένα πιστοποιητικό βεβαίωσης που αποδεικνύει ότι το ιδιωτικό κλειδί δημιουργήθηκε στη συσκευή. Το πιστοποιητικό βεβαίωσης μπορεί στη συνέχεια να χρησιμοποιηθεί για την παραγγελία πιστοποιητικών από το SSL.com που ενδέχεται να εγκατασταθούν χειροκίνητα στο YubiKey.

Do δεν ακολουθήστε αυτές τις οδηγίες εάν παραγγείλατε ένα YubiKey μαζί με το πιστοποιητικό σας από το SSL.com, καθώς αυτά τα YubiKeys αποστέλλονται με προεγκατεστημένα πιστοποιητικά. Αυτό το εγχειρίδιο απευθύνεται σε πελάτες που θέλουν να εγκαταστήσουν πιστοποιητικά σε YubiKey FIPS που διαθέτουν ήδη.

Αυτός ο οδηγός θα σας καθοδηγήσει:

Σημείωση: Τα παρακάτω στιγμιότυπα οθόνης προέρχονται από Windows, αλλά οι διαδικασίες είναι σχεδόν ίδιες σε Linux και macOS. Παρακάτω αναφέρονται οι διαφορές μεταξύ πλατφορμών. Οι οδηγίες του Linux αναφέρονται στο Ubuntu 19.10, με εγκατεστημένο το διαχειριστή YubiKey apt-get (δείτε το Yubico's οδηγίες Για περισσότερες πληροφορίες). Ένα Linux AppImage είναι επίσης διαθέσιμο από το YubiKey Manager κατεβάστε σελίδα. Σημειώστε επίσης ότι ενώ αυτές οι οδηγίες χρησιμοποιούν το λογισμικό Yubikey Manager της Yubico, η έκδοση 3.0 του SSL.com SSL Manager υποστηρίζει δημιουργία πληκτρολογίου και εγκατάσταση πιστοποιητικών στο YubiKey για χρήστες Windows.

Βήμα 1: Δημιουργήστε ζεύγος κλειδιών στο YubiKey

  1. Εάν δεν το έχετε κάνει ήδη, πραγματοποιήστε λήψη και εγκατάσταση Διευθυντής YubiKey από τον ιστότοπο της Yubico. Διατίθενται εκδόσεις για Windows, Linux και macOS.
    Λήψη του YubiKey Manager
  2. Συνδέστε το YubiKey και, στη συνέχεια, ξεκινήστε το YubiKey Manager. Το YubiKey θα πρέπει να εμφανίζεται στο παράθυρο YubiKey Manager.
    Διευθυντής YubiKey
  3. Πλοηγηθείτε στο Εφαρμογές> PIV.
    Εφαρμογές> PIV
  4. Κάντε κλικ στο Διαμόρφωση πιστοποιητικών κουμπί.
    Διαμόρφωση πιστοποιητικών
  5. Επιλέξτε την καρτέλα για την υποδοχή YubiKey όπου θέλετε να δημιουργήσετε το ζεύγος κλειδιών. Εάν αγοράζετε πιστοποιητικό υπογραφής κωδικού EV, επιλέξτε Πιστοποίηση (υποδοχή 9α). Για υπογραφή εγγράφου PDF, επιλέξτε Ψηφιακή υπογραφή (σχισμή 9c). (Βλέπε Yubico's τεκμηρίωση για περισσότερες πληροφορίες σχετικά με τους διάφορους βασικούς κουλοχέρηδες και τις προβλεπόμενες λειτουργίες τους. διαφέρουν στις πολιτικές εισαγωγής PIN τους). Εδώ πρόκειται να χρησιμοποιήσουμε την υποδοχή 9a.
    Έλεγχος ταυτότητας (υποδοχή 9α)
  6. Κάντε κλικ στο Δημιουργία κουμπί.
    Δημιουργία
  7. Αγορά Αίτημα υπογραφής πιστοποιητικού (CSR), στη συνέχεια κάντε κλικ στο Επόμενο κουμπί.
    Αίτημα υπογραφής πιστοποιητικού (CSR)
  8. Επιλέξτε ένα Αλγόριθμος από το αναπτυσσόμενο μενού. Για υπογραφή εγγράφων, επιλέξτε RSA2048. Για υπογραφή κώδικα EV, επιλέξτε ECCP256 or ECCP384.
    επιλέξτε αλγόριθμο
  9. Εισάγετε ένα Όνομα θέματος για το πιστοποιητικό και, στη συνέχεια, κάντε κλικ στο Επόμενο κουμπί.
    Σημείωση: Στην πραγματικότητα δεν θα το χρησιμοποιούμε CSR- δημιουργείται ως υποπροϊόν της δημιουργίας ενός νέου ζεύγους κλειδιών. Έτσι, δεν έχει σημασία τι εισάγετε για το Όνομα Θέματος εδώ.
    Όνομα θέματος
    Οι χρήστες πρέπει να ζητήσουν από το SSL.com μια νέα έκδοση κατά την υποβολή μιας νέας παραγγελίας, η έκδοση δεν θα γίνει αυτόματα.
  10. Κάντε κλικ στο Δημιουργία κουμπί.
    παράγουν
  11. Επιλέξτε μια τοποθεσία για να αποθηκεύσετε το CSR αρχείο, δημιουργήστε ένα όνομα αρχείου και, στη συνέχεια, κάντε κλικ στο Αποθήκευση κουμπί.
    Αποθήκευση CSR
  12. Εισαγάγετε το YubiKey's κλειδί διαχείρισης, στη συνέχεια κάντε κλικ στο κουμπί OK. Εάν χρειάζεστε το κλειδί διαχείρισης, επικοινωνήστε με Support@SSL.com.
    κλειδί διαχείρισης
  13. Εισαγάγετε το YubiKey σας PIN, στη συνέχεια κάντε κλικ στο κουμπί OK. Εάν χρειάζεστε βοήθεια για την εύρεση του PIN σας, ανατρέξτε στο αυτό το πώς.
    Εισαγάγετε το PIN
  14. Η CSR Το αρχείο θα αποθηκευτεί στη θέση που καθορίσατε στο βήμα 11 παραπάνω. Και πάλι, δεν χρειαζόμαστε αυτό το αρχείο για να προχωρήσουμε και μπορείτε να το διαγράψετε με ασφάλεια.
    CSR φιλέτο

Βήμα 2: Δημιουργία πιστοποιητικού βεβαίωσης

Κάθε YubiKey έρχεται προφορτωμένο με ιδιωτικό κλειδί και πιστοποιητικό από το Yubico που σας επιτρέπει να δημιουργήσετε ένα πιστοποιητικό βεβαίωσης για να επιβεβαιώσετε ότι έχει δημιουργηθεί ένα ιδιωτικό κλειδί σε ένα YubiKey. Αυτή η λειτουργία θα σας ζητήσει να χρησιμοποιήσετε τη γραμμή εντολών.

  1. Στα Windows, ανοίξτε το PowerShell ως διαχειριστής. Οι χρήστες macOS και Linux πρέπει να ανοίξουν ένα παράθυρο τερματικού στη συσκευή τους.
    Ανοίξτε το PowerShell ως διαχειριστής
  2. Χρησιμοποιήστε την ακόλουθη εντολή για να μεταβείτε στα αρχεία του YubiKey Manager:
    • Windows:
      cd "C:Program FilesYubicoYubiKey Manager"
    • MacOS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • Σε Linux (Ubuntu), το ykman Η εντολή θα είναι ήδη εγκατεστημένη στο PATH, έτσι μπορείτε να παραλείψετε αυτό το βήμα.
  3. Δημιουργήστε ένα πιστοποιητικό βεβαίωσης για το κλειδί με την παρακάτω εντολή (αντικαταστήστε ATTESTATION-FILENAME.crt με τη διαδρομή και το όνομα αρχείου που θέλετε να χρησιμοποιήσετε. εάν χρησιμοποιήσατε την υποδοχή 9c, αντικαταστήστε την 9a με 9c):
    • Windows:
      Τα κλειδιά piv .ykman.exe πιστοποιούν 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv keys μαρτυρούν 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman piv keys βεβαιώνουν 9a ATTESTATION-FILENAME.crt
  4. Στη συνέχεια, χρησιμοποιήστε το ykman εντολή για εξαγωγή του ενδιάμεσου πιστοποιητικού από την υποδοχή f9 του YubiKey (αντικαταστήστε INTERMEDIATE-FILENAME.crt με τη διαδρομή και το όνομα αρχείου που θέλετε να χρησιμοποιήσετε):
    • Windows:
      Εξαγωγή πιστοποιητικών piv .ykman.exe f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      εξαγωγή πιστοποιητικών ykman piv f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ymanman piv πιστοποιητικά εξαγωγή f9 INTERMEDIATE-FILENAME.crt

Βήμα 3: Επαληθεύστε το πιστοποιητικό βεβαίωσης με το SSL.com και επισυνάψτε στην παραγγελία

  1. Εδώ πρόκειται να χρησιμοποιήσουμε το πιστοποιητικό βεβαίωσης από την υποδοχή YubiKey 9a με παραγγελία πιστοποιητικού υπογραφής κωδικού EV. (Η διαδικασία για τα πιστοποιητικά υπογραφής εγγράφων είναι η ίδια.) Πρώτα, ανοίξτε τα πιστοποιητικά βεβαίωσης και ενδιάμεσου πιστοποιητικού σε ένα πρόγραμμα επεξεργασίας κειμένου.
    Πιστοποιητικό βεβαίωσης
  2. Συνδεθείτε στον λογαριασμό χρήστη SSL.com και μεταβείτε στο Παραγγελιες κάντε κλικ στην καρτέλα καθέκαστα σύνδεσμος για την παραγγελία που θέλετε να συσχετίσετε με το πιστοποιητικό βεβαίωσης. (Αυτός ο σύνδεσμος θα αλλάξει σε κατεβάσετε μετά την έκδοση του πιστοποιητικού σας.)
    Σημείωση: Εάν θέλετε να ελέγξετε την εγκυρότητα του πιστοποιητικού βεβαίωσης χωρίς να το επισυνάψετε σε παραγγελία, μπορείτε να χρησιμοποιήσετε το SSL.com's εργαλείο επαλήθευσης βεβαίωσης.
    καθέκαστα
  3. Κάντε κλικ στο διαχείριση σύνδεσμος, κάτω επιβεβαίωση.
    διαχείριση συνδέσμου
  4. Θα εμφανιστεί μια νέα σελίδα με πεδία για τη βεβαίωση και τα ενδιάμεσα πιστοποιητικά.
    Επαλήθευση βεβαίωσης
  5. Επικολλήστε το πιστοποιητικό βεβαίωσης στο Πιστοποιητικό βεβαίωσης πεδίο, φροντίζοντας να συμπεριλάβετε τις γραμμές -----BEGIN CERTIFICATE----- και -----END CERTIFICATE-----.
    επικολλητικό πιστοποιητικό βεβαίωσης
  6. Στη συνέχεια, επικολλήστε το ενδιάμεσο πιστοποιητικό στο Ενδιάμεσο Πιστοποιητικό τομέα.
    Πεδίο ενδιάμεσου πιστοποιητικού
  7. Κάντε κλικ στο Υποβολή κουμπί.
    Κουμπί υποβολής
  8. Εάν όλα έχουν πάει σωστά, θα εμφανιστεί μια πράσινη ειδοποίηση στο επάνω μέρος της οθόνης, υποδεικνύοντας μια επιτυχημένη βεβαίωση.
    Επιτυχής βεβαίωση
  9. Επιστρέψτε στην παραγγελία στον λογαριασμό σας. Μπορείτε να επαληθεύσετε ότι η βεβαίωση έχει προστεθεί στην παραγγελία με την παρουσία ενός συνδέσμου με ετικέτα Διαγραφή υπό επιβεβαίωση.
    Διαγραφή συνδέσμου
  10. Αφού το SSL.com επεξεργαστεί την παραγγελία σας, το πιστοποιητικό θα είναι διαθέσιμο στον λογαριασμό σας στο SSL.com. Από τη σελίδα λεπτομερειών παραγγελίας, κάντε κύλιση προς τα κάτω στο ΤΕΛΙΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΟΝΤΟΤΗΤΩΝ και κάντε κλικ στο κουμπί Δείξε λεπτομέρειες.
  11. Κάντε κύλιση προς τα κάτω στην υποενότητα με την ετικέτα Πιστοποιητικό υπογραφής κώδικα or Πιστοποιητικό υπογραφής εγγράφου, ανάλογα με την παραγγελία σας. Στα δεξιά, θα δείτε τους συνδέσμους λήψης για το πιστοποιητικό σας.

    1. Εάν έχετε ένα Πιστοποιητικό υπογραφής εγγράφου, επιλέξτε το μεμονωμένα πιστοποιητικά επιλογή λήψης. Αυτό είναι ένα αρχείο zip που περιέχει τρία αρχεία πιστοποιητικού: το πιστοποιητικό τελικής οντότητας, ένα ενδιάμεσο πιστοποιητικό και ένα πιστοποιητικό ρίζας.
    2. Εάν έχετε ένα Πιστοποιητικό υπογραφής κώδικα, επιλέξτε το για εγκατάσταση YUBIKEY (DER).

Προειδοποίηση: Έχουμε δει μηνύματα σφάλματος σε πρόσφατες εκδόσεις του YubiKey Manager κατά την εισαγωγή πιστοποιητικών ECC (απαιτείται τώρα για EV Code Signing στο YubiKey). Υπάρχουν δύο πιθανές λύσεις:

  • Συνιστάται: Μετατρέψτε το πιστοποιητικό σε μορφή DER πριν από την εισαγωγή. Αυτό είναι απλό μετατροπή με OpenSSL (αντικαθιστώ CERT.crt και CERT.der με το πραγματικό σας όνομα αρχείου στην ακόλουθη εντολή):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Εάν δεν μπορείτε να μετατρέψετε το αρχείο σας, επαναφέρετε σε ένα νωρίτερα κυκλοφορία του YubiKey Manager θα λειτουργήσει επίσης. Η πιο πρόσφατη έκδοση που βρήκαμε με επιτυχία εισάγει το ECC .crt αρχεία που έχουν ληφθεί από το SSL.com είναι 1.1.5.

Βήμα 4: Εγκατάσταση πιστοποιητικού στο YubiKey

  1. Εκκινήστε το YubiKey Manager και μεταβείτε στο Εφαρμογές> PIV.
    Εφαρμογές> PIV
  2. Κάντε κλικ στο Διαμόρφωση πιστοποιητικών κουμπί.
    Διαμόρφωση πιστοποιητικών
  3. Επιλέξτε την καρτέλα για την ίδια υποδοχή YubiKey όπου δημιουργήσατε το ζεύγος κλειδιών.
    Έλεγχος ταυτότητας (υποδοχή 9α)
  4. Κάντε κλικ στο εισαγωγή κουμπί.
    Κουμπί εισαγωγής
  5. Μεταβείτε στο αρχείο πιστοποιητικού τελικής οντότητας και κάντε κλικ στο εισαγωγή κουμπί.
    πιστοποιητικό εισαγωγής
  6. Εισαγάγετε το YubiKey's κλειδί διαχείρισης, στη συνέχεια κάντε κλικ στο κουμπί OK. Εάν χρειάζεστε το κλειδί διαχείρισης, επικοινωνήστε με Support@SSL.com.
    κλειδί διαχείρισης
  7. Το νέο πιστοποιητικό υπογραφής κώδικα EV είναι εγκατεστημένο στο YubiKey.
    Το πιστοποιητικό έχει εγκατασταθεί
  8. Για να βεβαιωθείτε ότι οι ψηφιακές υπογραφές σας είναι αξιόπιστες σε όλους τους υπολογιστές, θα πρέπει επίσης να εγκαταστήσετε τα πιστοποιητικά ρίζας και ενδιάμεσου στο YubiKey για μια πλήρη αλυσίδα εμπιστοσύνης. Ακολουθήστε αυτές τις οδηγίες για εγκατάσταση root και ενδιάμεση: Εγκαταστήστε τα πιστοποιητικά ρίζας και ενδιάμεσου SSL.com στο YubiKey.
Σας ευχαριστούμε που επιλέξατε το SSL.com! Εάν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας. Μπορείτε επίσης να βρείτε απαντήσεις σε πολλές κοινές ερωτήσεις υποστήριξης στο βάση γνώσεων.

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.