SSL.com

Avainten luominen ja todistaminen Yubikeyn kanssa

SSL.com -tukitiimi

. \ T EV-koodin allekirjoittaminen ja Adobe PDF -digitaaliset allekirjoitukset, vaaditaan, että yksityinen avaimesi luodaan turvallisesti ja tallennetaan ulkoiseen FIPS-validoituun laitteistoon tietokoneesi sijaan. SSL.com toimittaa valinnaisesti EV-koodin allekirjoitus- ja PDF-dokumenttien allekirjoitusvarmenteita valmiiksi asennettuina FIPS 140-2 -suojausavaimen USB-tunnisteet, mutta käyttäjät voivat myös luoda avainparin olemassa olevalle YubiKeylle ja an todistustodistus joka todistaa yksityisen avaimen luomisen laitteelle. Todistussertifikaattia voidaan sitten käyttää tilaamaan sertifikaatteja SSL: ltä, jotka voidaan asentaa manuaalisesti YubiKeyn.

Do emme noudata näitä ohjeita, jos tilasit YubiKeyn yhdessä SSL-varmenteen kanssa, koska nämä YubiKeys toimitetaan valmiiksi asennettujen varmenteiden kanssa. Tämä ohje on tarkoitettu asiakkaille, jotka haluavat asentaa varmenteet jo omistamalleen YubiKey FIPSiin.

Tämä ohje opastaa sinut läpi:

Huomautus: Alla olevat kuvakaappaukset ovat Windows-versioita, mutta menettelytavat ovat melkein identtiset Linuxissa ja macOS: issa. Alustojen väliset erot on esitetty alla. Linux-ohjeet viittaavat Ubuntu 19.10: ään, YubiKey manager -ohjelman kanssa asennettuna apt-get (katso Yubicon ohjeet Lisätietoja). YubiKey Manager tarjoaa myös Linux AppImage -sovelluksen ladata sivu. Huomaa myös, että vaikka nämä ohjeet käyttävät Yubicon Yubikey Manager -ohjelmistoa, SSL.comin versio 3.0 SSL Manager tukee avaimenparin luominen ja varmenteen asennus YubiKeylle Windows-käyttäjille.
Siirry alkuun

Vaihe 1: Luo avainpari YubiKey: lle

  1. Lataa ja asenna, jos et ole vielä tehnyt niin YubiKey Manager Yubicon verkkosivustolta. Windows-, Linux- ja macOS-versiot ovat käytettävissä.
    YubiKey Manager Lataa
  2. Liitä YubiKey ja käynnistä sitten YubiKey Manager. YubiKey-tunnuksesi tulisi näkyä YubiKey Manager -ikkunassa.
  3. Navigoida johonkin Sovellukset> PIV.
  4. Valitse Määritä varmenteet painiketta.
  5. Valitse YubiKey-paikan välilehti, johon haluat luoda avainparin. Jos ostat EV-koodin allekirjoitustodistuksen, valitse Authentication (aukko 9a). Valitse PDF-asiakirjan allekirjoittamista varten Digitaalinen allekirjoitus (paikka 9c). (Katso Yubico's dokumentointi lisätietoja eri avainpaikoista ja niiden tarkoitetuista toiminnoista; ne eroavat PIN-koodin syöttökäytäntöistään). Tässä aiomme käyttää paikkaa 9a.
  6. Valitse Tuottaa painiketta.
  7. valita Varmenteen allekirjoituspyyntö (CSR), napsauta sitten seuraava painiketta.
  8. Valitse algoritmi avattavasta valikosta. Valitse asiakirjan allekirjoittamista varten RSA2048. Valitse EV-koodin allekirjoittamista varten ECCP256 or ECCP384.
  9. Anna Aiheen nimi napsauta sitten seuraava painiketta.
    Huomautus: Emme todellakaan käytä tätä CSR—Se syntyy uuden avainparin luomisen sivutuotteena. Joten, ei ole väliä mitä kirjoitat aiheen nimelle täällä.
    Käyttäjien on pyydettävä SSL.com:lta uusi myöntäminen uutta tilausta tehdessään, myöntäminen ei tapahdu automaattisesti.
  10. Valitse Tuottaa painiketta.
  11. Valitse sijainti, johon haluat tallentaa CSR tiedosto, luo tiedostonimi ja napsauta sitten Säästä painiketta.
  12. Syötä YubiKey-tunnuksesi hallinta-avain, napsauta sitten OK. Jos tarvitset hallintaavaimesi, ota yhteyttä Support@SSL.com.
  13. Syötä YubiKey-tunnuksesi PIN, napsauta sitten OK. Jos tarvitset apua PIN-koodisi löytämisessä, katso tämä miten.
  14. - CSR tiedosto tallennetaan yllä kohdassa 11 määritettyyn paikkaan. Jälleen emme tarvitse tätä tiedostoa jatkaaksesi ja voit poistaa sen turvallisesti.
Siirry alkuun

Vaihe 2: Luo todistussertifikaatti

Jokainen YubiKey tulee esiasennettuna yksityisellä avaimella ja Yubicon sertifikaatilla, jonka avulla voit luoda todistustodistus varmistaa, että yksityinen avain on luotu YubiKeylle. Tämä toiminto vaatii komentorivin käyttöä.

  1. Avaa Windowsissa PowerShell järjestelmänvalvojana. macOS- ja Linux-käyttäjien tulisi avata pääteikkuna laitteellaan.
  2. Käytä seuraavaa komentoa siirtyäksesi YubiKey Manager -tiedostoihin:
    • Windows: 
      cd "C:Program FilesYubicoYubiKey Manager"
    • MacOS: 
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • Linuxissa (Ubuntu) ykman komento on jo asennettu kansioon PATH, joten voit ohittaa tämän vaiheen.
  3. Luo avaimen todistustodistus alla olevalla komennolla (korvaa ATTESTATION-FILENAME.crt polulla ja tiedostonimellä, jota haluat käyttää; Jos käytit korttipaikkaa 9c, vaihda 9a with 9c):
    • Windows: 
      .ykman.exe piv-avaimet todistavat 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu): 
      ykman-piv-avaimet todistavat 9a ATTESTATION-FILENAME.crt
    • MacOS: 
      ./ykman-piv-avaimet todistavat 9a ATTESTATION-FILENAME.crt
  4. Seuraavaksi käytä ykman komento viedä välitodistus YubiKeyn korttipaikasta f9 (korvata INTERMEDIATE-FILENAME.crt polulla ja tiedostonimellä, jota haluat käyttää):
    • Windows: 
      .ykman.exe piv-sertifikaattien vienti f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu): 
      ykman piv -sertifikaatit vievät f9 INTERMEDIATE-FILENAME.crt
    • MacOS: 
      ./ykman piv -sertifikaatit vievät f9 INTERMEDIATE-FILENAME.crt
Siirry alkuun

Vaihe 3: Vahvista todistussertifikaatti SSL.com: llä ja liitä tilaukseen

  1. Täällä aiomme käyttää todistustodistustamme YubiKey-paikasta 9a EV-koodin allekirjoitusvarmenteen tilauksella. (Asiakirjojen allekirjoittamisen varmenteet ovat samat.) Avaa ensin todistus ja välivarmenteet tekstieditorissa.
  2. Kirjaudu SSL.com-käyttäjätiliisi ja siirry määräys välilehti ja napsauta sitten yksityiskohdat linkki tilaukseen, jonka haluat liittää todistukseen. (Tämä linkki muuttuu muotoon download todistuksen antamisen jälkeen.)
    Huomautus: Jos haluat tarkistaa todistustodistuksesi pätevyyden liittämättä sitä tilaukseen, voit käyttää SSL.com: ita todistuksen todentamisen työkalu.
  3. Valitse hoitaa linkki, alla todistaminen.
  4. Uusi sivu, jolla on kentät todistukselle ja välitodistuksille, tulee näkyviin.
  5. Liitä todistustodistus Todistustodistus kenttä, varmista, että sisällytät rivit -----BEGIN CERTIFICATE----- ja -----END CERTIFICATE-----.
  6. Liitä seuraavaksi välivarmenteesi Välitodistus ala.
  7. Valitse Lähetä painiketta.
  8. Jos kaikki on mennyt oikein, näytön yläosaan ilmestyy vihreä hälytys, joka osoittaa onnistuneen todistuksen.
  9. Palaa tilisi tilaukseen. Voit tarkistaa, että todistus on lisätty tilaukseen, merkitsemällä siihen linkki Poista varten todistaminen.
  10. Kun SSL.com on käsitellyt tilauksesi, varmenne on saatavilla SSL.com-tililläsi. Vieritä tilaustietosivulta alas kohtaan LOPETA YKSIKÖN SERTIFIKAATIT osio ja napsauta Näytä yksityiskohdat.
  11. Vieritä alaosioon, jossa on otsikko Koodin allekirjoitusvarmenne or Asiakirjan allekirjoittamistodistus, tilauksestasi riippuen. Oikealla näet sertifikaattisi latauslinkit.

    1. Jos sinulla on Asiakirjan allekirjoittamistodistus, Valitse yksittäiset todistukset latausvaihtoehto. Tämä on zip-tiedosto, joka sisältää kolme varmennetiedostoa: loppuentiteetin varmenteen, välivarmenteen ja juurivarmenteen.
    2. Jos sinulla on Koodin allekirjoitusvarmenne, Valitse YUBIKEY-asennukseen (DER).

Varoitus: Olemme nähneet virheilmoituksia YubiKey Managerin uusimmissa versioissa, kun tuomme ECC-varmenteita (vaaditaan nyt EV-koodin allekirjoittamiseen YubiKeyssä). On olemassa kaksi mahdollista kiertotapaa:

  • Suositus: Muunna varmenne DER-muotoon ennen tuontia. Tämä on suoraviivaista muunnos OpenSSL: n avulla (korvata CERT.crt ja CERT.der todellisen tiedostonimen kanssa seuraavassa komennossa):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Jos et voi muuntaa tiedostoa, palaa aikaisempi julkaisu myös YubiKey Managerista. Viimeisin versio, jonka olemme löytäneet ECC: n tuonnin onnistuneesti .crt Tiedostot, jotka on ladattu SSL.com: lta, on 1.1.5.
Siirry alkuun

Vaihe 4: Asenna sertifikaatti YubiKeyen

  1. Käynnistä YubiKey Manager ja siirry kohtaan Sovellukset> PIV.
  2. Valitse Määritä varmenteet painiketta.
  3. Valitse välilehti samalle YubiKey-paikalle, jossa avainpari luotiin.
  4. Valitse Tuo painiketta.
  5. Siirry lopullisen yksikön varmentetiedostoon ja napsauta Tuo painiketta.
  6. Syötä YubiKey-tunnuksesi hallinta-avain, napsauta sitten OK. Jos tarvitset hallintaavaimesi, ota yhteyttä Support@SSL.com.
  7. Uusi EV-koodin allekirjoitusvarmenne on asennettu YubiKey-sovellukseen.
  8. Varmistaaksesi, että digitaaliset allekirjoituksesi ovat luotettavia kaikissa tietokoneissa, sinun on myös asennettava pää- ja välivarmenteet YubiKey-laitteellesi täydellisen luottamusketjun varmistamiseksi. Noudata näitä ohjeita root- ja väliasennukseen: Asenna SSL.com Root- ja Intermediate-sertifikaatit YubiKeylle.
Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain sivun oikeassa alakulmassa olevaa chat-linkkiä. Voit myös löytää vastauksia moniin yleisiin tukikysymyksiin sivustollemme tietopohja.
Poistu mobiiliversiosta