Avainten luominen ja todistaminen Yubikeyn kanssa

. \ T EV-koodin allekirjoittaminen ja Adobe PDF -digitaaliset allekirjoitukset, vaaditaan, että yksityinen avaimesi luodaan turvallisesti ja tallennetaan ulkoiseen FIPS-validoituun laitteistoon tietokoneesi sijaan. SSL.com toimittaa valinnaisesti EV-koodin allekirjoitus- ja PDF-dokumenttien allekirjoitusvarmenteita valmiiksi asennettuina FIPS 140-2 -suojausavaimen USB-tunnisteet, mutta käyttäjät voivat myös luoda avainparin olemassa olevalle YubiKeylle ja an todistustodistus joka todistaa yksityisen avaimen luomisen laitteelle. Todistussertifikaattia voidaan sitten käyttää tilaamaan sertifikaatteja SSL: ltä, jotka voidaan asentaa manuaalisesti YubiKeyn.

Tämä ohje opastaa sinut läpi:

• Luodaan a näppäinpari ja todistustodistus Yubikeylläsi
• Tarkistetaan todistussertifikaatti ja liittämällä se SSL.com EV -koodin allekirjoittamiseen tai PDF-asiakirjan allekirjoittamismääräykseen
• asentaminen uusi sertifikaatti YubiKeyssä

Vaihe 1: Luo avainpari YubiKey: lle

1. Lataa ja asenna, jos et ole vielä tehnyt niin YubiKey Manager Yubicon verkkosivustolta. Windows-, Linux- ja macOS-versiot ovat käytettävissä.
   
2. Liitä YubiKey ja käynnistä sitten YubiKey Manager. YubiKey-tunnuksesi tulisi näkyä YubiKey Manager -ikkunassa.
   
3. Navigoida johonkin Sovellukset> PIV.
   
4. Valitse Määritä varmenteet painiketta.
   
5. Valitse YubiKey-paikan välilehti, johon haluat luoda avainparin. Jos ostat EV-koodin allekirjoitustodistuksen, valitse Authentication (aukko 9a). Valitse PDF-asiakirjan allekirjoittamista varten Digitaalinen allekirjoitus (paikka 9c). (Katso Yubico's dokumentointi lisätietoja eri avainpaikoista ja niiden tarkoitetuista toiminnoista; ne eroavat PIN-koodin syöttökäytäntöistään). Tässä aiomme käyttää paikkaa 9a.
   
6. Valitse Tuottaa painiketta.
   
7. valita Varmenteen allekirjoituspyyntö (CSR), napsauta sitten seuraava painiketta.
   
8. Valitse algoritmi avattavasta valikosta. Valitse asiakirjan allekirjoittamista varten RSA2048. Valitse EV-koodin allekirjoittamista varten ECCP256 or ECCP384.
   
9. Anna Aiheen nimi napsauta sitten seuraava painiketta.
   
   Huomautus: Emme todellakaan käytä tätä CSR—Se syntyy uuden avainparin luomisen sivutuotteena. Joten, ei ole väliä mitä kirjoitat aiheen nimelle täällä.
   
   Käyttäjien on pyydettävä SSL.com:lta uusi myöntäminen uutta tilausta tehdessään, myöntäminen ei tapahdu automaattisesti.
10. Valitse Tuottaa painiketta.
    
11. Valitse sijainti, johon haluat tallentaa CSR tiedosto, luo tiedostonimi ja napsauta sitten Säästä painiketta.
    
12. Syötä YubiKey-tunnuksesi hallinta-avain, napsauta sitten OK. Jos tarvitset hallintaavaimesi, ota yhteyttä Support@SSL.com.
    
13. Syötä YubiKey-tunnuksesi PIN, napsauta sitten OK. Jos tarvitset apua PIN-koodisi löytämisessä, katso tämä miten.
    
14. - CSR tiedosto tallennetaan yllä kohdassa 11 määritettyyn paikkaan. Jälleen emme tarvitse tätä tiedostoa jatkaaksesi ja voit poistaa sen turvallisesti.
    

Vaihe 2: Luo todistussertifikaatti

Jokainen YubiKey tulee esiasennettuna yksityisellä avaimella ja Yubicon sertifikaatilla, jonka avulla voit luoda todistustodistus varmistaa, että yksityinen avain on luotu YubiKeylle. Tämä toiminto vaatii komentorivin käyttöä.

1. Avaa Windowsissa PowerShell järjestelmänvalvojana. macOS- ja Linux-käyttäjien tulisi avata pääteikkuna laitteellaan.
   
2. Käytä seuraavaa komentoa siirtyäksesi YubiKey Manager -tiedostoihin:
   • Windows:

     cd "C:\Program Files\Yubico\YubiKey Manager"

   • MacOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • Linuxissa (Ubuntu) ykman komento on jo asennettu kansioon PATH, joten voit ohittaa tämän vaiheen.
3. Luo avaimelle todistussertifikaatti alla olevalla komennolla. Valitse/luo tietokoneellesi kansio, johon haluat tallentaa todistustodistuksen. Korvata C:\Folder\Folder\attestation\attestationfilename polun ja tiedostonimen kanssa, jota haluat käyttää. Jos käytit paikkaa 9c, vaihda 9a with 9c:
   
   • Windows:

     .\ykman.exe piv-avaimet todistavat 9a C:\Folder\Folder\attestation\attestationfilename

   • Linux (Ubuntu):

     ykman-piv-avaimet todistavat 9a ATTESTATION-FILENAME.crt

   • MacOS:

     ./ykman-piv-avaimet todistavat 9a ATTESTATION-FILENAME.crt

4. Seuraavaksi käytä ykman komento viedäksesi välisertifikaatin YubiKeyn paikasta f9. Valitse/luo tietokoneellesi kansio, johon haluat viedä välisertifikaatin. Korvata C:\Folder\Folder\attestation\intermediatefilename polulla ja tiedostonimellä, jota haluat käyttää):
   • Windows:

     .\ykman.exe piv-sertifikaattien vienti f9 C:\Kansio\Kansio\todistus\välitiedostonnimi

   • Linux (Ubuntu):

     ykman piv -sertifikaatit vievät f9 INTERMEDIATE-FILENAME.crt

   • MacOS:

     ./ykman piv -sertifikaatit vievät f9 INTERMEDIATE-FILENAME.crt

Vaihe 3: Vahvista todistussertifikaatti SSL.com: llä ja liitä tilaukseen

1. Täällä aiomme käyttää todistustodistustamme YubiKey-paikasta 9a EV-koodin allekirjoitusvarmenteen tilauksella. (Asiakirjojen allekirjoittamisen varmenteet ovat samat.) Avaa ensin todistus ja välivarmenteet tekstieditorissa.
   
2. Kirjaudu SSL.com-käyttäjätiliisi ja siirry määräys välilehti ja napsauta sitten yksityiskohdat linkki tilaukseen, jonka haluat liittää todistukseen. (Tämä linkki muuttuu muotoon download todistuksen antamisen jälkeen.)
   
   Huomautus: Jos haluat tarkistaa todistustodistuksesi pätevyyden liittämättä sitä tilaukseen, voit käyttää SSL.com: ita todistuksen todentamisen työkalu.
   
3. Valitse hoitaa linkki, alla todistaminen.
   
4. Uusi sivu, jolla on kentät todistukselle ja välitodistuksille, tulee näkyviin.
   
5. Liitä todistustodistus Todistustodistus kenttä, varmista, että sisällytät rivit -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE-----.
   
6. Liitä seuraavaksi välivarmenteesi Välitodistus ala.
   
7. Valitse Lähetä painiketta.
   
8. Jos kaikki on mennyt oikein, näytön yläosaan ilmestyy vihreä hälytys, joka osoittaa onnistuneen todistuksen.
   
9. Palaa tilisi tilaukseen. Voit tarkistaa, että todistus on lisätty tilaukseen, merkitsemällä siihen linkki Poista varten todistaminen.
   
10. Kun SSL.com on käsitellyt tilauksesi, varmenne on saatavilla SSL.com-tililläsi. Vieritä tilaustietosivulta alas kohtaan LOPETA YKSIKÖN SERTIFIKAATIT osio ja napsauta Näytä yksityiskohdat.
    
11. Vieritä alaosioon, jossa on otsikko Koodin allekirjoitusvarmenne or Asiakirjan allekirjoittamistodistus, tilauksestasi riippuen. Oikealla näet sertifikaattisi latauslinkit.
    
    
    1. Jos sinulla on Asiakirjan allekirjoittamistodistus, Valitse yksittäiset todistukset latausvaihtoehto. Tämä on zip-tiedosto, joka sisältää kolme varmennetiedostoa: loppuentiteetin varmenteen, välivarmenteen ja juurivarmenteen.
       
    2. Jos sinulla on Koodin allekirjoitusvarmenne, Valitse YUBIKEY-asennukseen (DER).
       

Vaihe 4: Asenna sertifikaatti YubiKeyen

1. Käynnistä YubiKey Manager ja siirry kohtaan Sovellukset> PIV.
   
2. Valitse Määritä varmenteet painiketta.
   
3. Valitse välilehti samalle YubiKey-paikalle, jossa avainpari luotiin.
   
4. Valitse Tuo painiketta.
   
5. Siirry lopullisen yksikön varmentetiedostoon ja napsauta Tuo painiketta.
   
6. Syötä YubiKey-tunnuksesi hallinta-avain, napsauta sitten OK. Jos tarvitset hallintaavaimesi, ota yhteyttä Support@SSL.com.
   
7. Uusi EV-koodin allekirjoitusvarmenne on asennettu YubiKey-sovellukseen.
   
8. Varmistaaksesi, että digitaaliset allekirjoituksesi ovat luotettavia kaikissa tietokoneissa, sinun on myös asennettava pää- ja välivarmenteet YubiKey-laitteellesi täydellisen luottamusketjun varmistamiseksi. Noudata näitä ohjeita root- ja väliasennukseen: Asenna SSL.com Root- ja Intermediate-sertifikaatit YubiKeylle.