Generación de claves y certificación con Yubikey

Con el propósito de Firma de código EV y Adobe PDF firmas digitales, se requiere que su clave privada se genere y almacene de forma segura en un dispositivo de hardware externo validado por FIPS en lugar de su computadora. SSL.com envía opcionalmente certificados de firma de código EV y firma de documentos PDF preinstalados en Fichas USB de clave de seguridad validadas por FIPS 140-2, pero los usuarios también pueden generar un par de claves en una YubiKey existente y una certificado de certificación eso prueba que la clave privada se generó en el dispositivo. El certificado de certificación se puede usar para ordenar certificados de SSL.com que se pueden instalar manualmente en YubiKey.

Do no siga estas instrucciones si solicitó una YubiKey junto con su certificado de SSL.com, ya que estas YubiKeys se envían con certificados preinstalados. Este tutorial es para clientes que desean instalar certificados en un FIPS YubiKey que ya poseen.

Este tutorial te guiará a través de:

Nota: Las capturas de pantalla a continuación son de Windows, pero los procedimientos son casi idénticos en Linux y macOS. Las diferencias entre plataformas se indican a continuación. Las instrucciones de Linux se refieren a Ubuntu 19.10, con el administrador YubiKey instalado con apt-get (ver Yubico's Instrucciones para más información). También está disponible una AppImage de Linux desde el Administrador de YubiKey Página de descarga. También tenga en cuenta que si bien estas instrucciones usan el software Yubikey Manager de Yubico, la versión 3.0 de SSL.com SSL Manager apoya generación de pares de claves e instalación de certificados en YubiKey para usuarios de Windows.

Paso 1: generar pares de claves en YubiKey

  1. Si aún no lo ha hecho, descargue e instale Gerente de YubiKey del sitio web de Yubico. Hay disponibles versiones para Windows, Linux y macOS.
    Descargar YubiKey Manager
  2. Conecte su YubiKey, luego inicie YubiKey Manager. Su YubiKey debe mostrarse en la ventana del Administrador de YubiKey.
    Gerente de YubiKey
  3. Navegue hasta Aplicaciones> PIV.
    Aplicaciones> PIV
  4. Haga clic en el Configurar certificados del botón.
    Configurar certificados
  5. Seleccione la pestaña de la ranura YubiKey donde desea generar el par de claves. Si está comprando un certificado de firma de código EV, elija Autenticación (ranura 9a). Para la firma de documentos PDF, elija Firma digital (ranura 9c). (Ver Yubico's documentación para obtener más información sobre las diversas ranuras de teclas y sus funciones previstas; difieren en sus políticas de entrada de PIN). Aquí vamos a usar la ranura 9a.
    Autenticación (ranura 9a)
  6. Haga clic en el Generar del botón.
    Generar
  7. Seleccione Solicitud de firma de certificado (CSR), A continuación, haga clic en el Siguiente del botón.
    Solicitud de firma de certificado (CSR)
  8. Seleccione un Algoritmo en el menú desplegable. Para la firma de documentos, elija RSA2048. Para la firma de código EV, elija ECCP256 or ECCP384.
    seleccionar algoritmo
  9. Ingrese un Nombre del tema para el certificado, luego haga clic en el Siguiente del botón.
    Nota: En realidad, no usaremos esto CSR: Se genera como un subproducto de la creación de un nuevo par de claves. Entonces, realmente no importa lo que ingrese para el Nombre del sujeto aquí.
    Nombre del tema
    Los usuarios deben solicitar a SSL.com una nueva emisión al enviar un nuevo pedido, la emisión no se realizará automáticamente.
  10. Haga clic en el Generar del botón.
    generar
  11. Seleccione una ubicación para guardar el CSR archivo, cree un nombre de archivo, luego haga clic en Guardar del botón.
    Guardar CSR
  12. Ingrese su YubiKey clave de gestiónY, a continuación, haga clic OK. Si necesita su clave de administración, comuníquese con Support@SSL.com.
    clave de gestión
  13. Ingrese su YubiKey Código PostalY, a continuación, haga clic OK. Si necesita ayuda para encontrar su PIN, consulte este tutorial.
    Ingrese su PIN
  14. El CSR El archivo se guardará en el lugar que especificó en el paso 11 anterior. Nuevamente, no necesitamos este archivo para continuar y puede eliminarlo de manera segura.
    CSR presentar

Paso 2: generar certificado de certificación

Cada YubiKey viene precargado con una clave privada y un certificado de Yubico que le permite generar un certificado de certificación para verificar que se haya generado una clave privada en una YubiKey. Esta operación requerirá que use la línea de comando.

  1. En Windows, abra PowerShell como administrador. Los usuarios de macOS y Linux deben abrir una ventana de terminal en su dispositivo.
    Abra PowerShell como administrador
  2. Use el siguiente comando para navegar a los archivos de YubiKey Manager:
    • ventanas:
      cd "C:Archivos de programaYubicoYubiKey Manager"
    • Mac OS:
      cd /Aplicaciones/YubiKey Manager.app/Contents/MacOS
    • En Linux (Ubuntu), el ykman el comando ya estará instalado en su PATH, para que pueda omitir este paso.
  3. Genere un certificado de certificación para la clave con el siguiente comando (reemplazar ATTESTATION-FILENAME.crt con la ruta y el nombre de archivo que desea usar; si utilizó la ranura 9c, reemplace 9a 9c):
    • ventanas:
      .ykman.exe claves piv atestiguan 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      Las claves pivote de ykman dan fe de 9a ATTESTATION-FILENAME.crt
    • Mac OS:
      ./ykman claves de pivote atestiguan 9a ATTESTATION-FILENAME.crt
  4. Luego, usa el ykman comando para exportar el certificado intermedio desde la ranura f9 de YubiKey (reemplazar INTERMEDIATE-FILENAME.crt con la ruta y el nombre de archivo que desea usar):
    • ventanas:
      .ykman.exe exportación de certificados piv f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      Exportación de certificados piv ykman f9 INTERMEDIATE-FILENAME.crt
    • Mac OS:
      ./ykman exportación de certificados piv f9 INTERMEDIATE-FILENAME.crt

Paso 3: Verifique el certificado de certificación con SSL.com y adjúntelo al pedido

  1. Aquí vamos a utilizar nuestro certificado de atestación de la ranura 9a de YubiKey con un pedido de certificado de firma de código EV. (El procedimiento para los certificados de firma de documentos es el mismo). Primero, abra la atestación y los certificados intermedios en un editor de texto.
    Certificado de certificación
  2. Inicie sesión en su cuenta de usuario de SSL.com y navegue hasta Mis Pedidos pestaña, luego haga clic en detalles enlace para el pedido que desea asociar con el certificado de atestación. (Este enlace cambiará a descargar después de la emisión de su certificado).
    Nota: Si desea verificar la validez de su certificado de atestación sin adjuntarlo a un pedido, puede utilizar SSL.com herramienta de verificación de atestación.
    detalles
  3. Haga clic en el gestionan enlace, debajo certificación.
    gestionar enlace
  4. Aparecerá una nueva página con campos para la certificación y certificados intermedios.
    Verificación de certificación
  5. Pegue el certificado de certificación en el Certificado de certificación campo, asegurándose de incluir las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.
    pegar certificado de certificación
  6. A continuación, pegue el certificado intermedio en el Certificado intermedio campo.
    Campo de certificado intermedio
  7. Haga clic en el Enviar del botón.
    Botón de enviar
  8. Si todo ha ido correctamente, aparecerá una alerta verde en la parte superior de la pantalla, que indica una certificación exitosa.
    Certificación exitosa
  9. Regrese al pedido en su cuenta. Puede verificar que la certificación se haya agregado al pedido mediante la presencia de un enlace etiquetado Borrar bajo certificación.
    Eliminar enlace
  10. Después de que SSL.com procese su pedido, el certificado estará disponible en su cuenta de SSL.com. Desde la página de detalles de su pedido, desplácese hacia abajo hasta CERTIFICADOS DE ENTIDAD FINAL sección y clic Mostrar detalles.
  11. Desplácese hacia abajo hasta la subsección etiquetada Certificado de firma de código or Certificado de firma de documentos, dependiendo de su pedido. A la derecha, verá los enlaces de descarga de su certificado.

    1. Si usted tiene una Certificado de firma de documentos, elegir la certificados individuales opción de descarga. Este es un archivo zip que contiene tres archivos de certificado: su certificado de entidad final, un certificado intermedio y un certificado raíz.
    2. Si usted tiene una Certificado de firma de código, elegir la para instalación YUBIKEY (DER).

Advertencia: Hemos visto mensajes de error en versiones recientes de YubiKey Manager al importar certificados ECC (ahora se requiere para la firma de código EV en YubiKey). Hay dos posibles soluciones:

  • Recomendado: Convierta el certificado al formato DER antes de importarlo. Este es un sencillo conversión con OpenSSL (reemplazar CERT.crt y CERT.der con su nombre de archivo real en el siguiente comando):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Si no puede convertir su archivo, vuelva a un lanzamiento anterior de YubiKey Manager también funcionará. La versión más reciente que hemos encontrado para importar ECC con éxito .crt los archivos descargados de SSL.com son 1.1.5.

Paso 4: Instalar certificado en YubiKey

  1. Inicie YubiKey Manager y navegue hasta Aplicaciones> PIV.
    Aplicaciones> PIV
  2. Haga clic en el Configurar certificados del botón.
    Configurar certificados
  3. Seleccione la pestaña para la misma ranura YubiKey donde generó el par de claves.
    Autenticación (ranura 9a)
  4. Haga clic en el Importa del botón.
    Botón Importar
  5. Navegue hasta su archivo de certificado de entidad final y haga clic en el Importa del botón.
    certificado de importación
  6. Ingrese su YubiKey clave de gestiónY, a continuación, haga clic OK. Si necesita su clave de administración, comuníquese con Support@SSL.com.
    clave de gestión
  7. El nuevo certificado de firma de código EV está instalado en YubiKey.
    Certificado está instalado
  8. Para asegurarse de que sus firmas digitales sean confiables en todas las computadoras, también debe instalar los certificados raíz e intermedios en su YubiKey para una cadena de confianza completa. Siga estas instrucciones para la instalación raíz e intermedia: Instale certificados raíz e intermedios de SSL.com en YubiKey.
¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página. También puede encontrar respuestas a muchas preguntas de soporte comunes en nuestro base de conocimientos.

Suscríbase al boletín de SSL.com

No te pierdas los nuevos artículos y actualizaciones de SSL.com

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.