Génération de clés et attestation avec Yubikey

Aux fins de Signature de code EV et Signatures numériques Adobe PDF, il est nécessaire que votre clé privée soit générée et stockée en toute sécurité sur un périphérique matériel externe validé FIPS plutôt que sur votre ordinateur. SSL.com fournit en option des certificats de signature de code EV et de signature de document PDF préinstallés sur Jetons USB à clé de sécurité validés FIPS 140-2, mais les utilisateurs peuvent également générer une paire de clés sur une YubiKey existante et une certificat d'attestation cela prouve que la clé privée a été générée sur l'appareil. Le certificat d'attestation peut ensuite être utilisé pour commander des certificats auprès de SSL.com qui peuvent être installés manuellement sur la YubiKey.

Do ne sauraient suivez ces instructions si vous avez commandé une YubiKey avec votre certificat sur SSL.com, car ces YubiKeys sont livrées avec des certificats préinstallés. Ce tutoriel est destiné aux clients qui souhaitent installer des certificats sur une YubiKey FIPS qu'ils possèdent déjà.

Ce guide vous guidera à travers:

Remarque: Les captures d'écran ci-dessous proviennent de Windows, mais les procédures sont presque identiques sous Linux et macOS. Les différences entre les plates-formes sont notées ci-dessous. Les instructions Linux se réfèrent à Ubuntu 19.10, avec le gestionnaire YubiKey installé avec apt-get (voir Yubico's Des instructions pour plus d'informations). Une image Linux AppImage est également disponible auprès de YubiKey Manager page de téléchargement. Notez également que bien que ces instructions utilisent le logiciel Yubikey Manager de Yubico, la version 3.0 de SSL.com SSL Manager supports génération de keypair et installation de certificat sur YubiKey pour les utilisateurs Windows.

Étape 1: générer une paire de clés sur YubiKey

  1. Si vous ne l'avez pas déjà fait, téléchargez et installez Gestionnaire YubiKey sur le site Web de Yubico. Des versions pour Windows, Linux et macOS sont disponibles.
    Télécharger YubiKey Manager
  2. Branchez votre YubiKey, puis lancez YubiKey Manager. Votre YubiKey doit être affichée dans la fenêtre YubiKey Manager.
    Gestionnaire YubiKey
  3. Accédez à Applications> PIV.
    Applications> PIV
  4. Cliquez Configurer les certificats .
    Configurer les certificats
  5. Sélectionnez l'onglet de l'emplacement YubiKey où vous souhaitez générer la paire de clés. Si vous achetez un certificat de signature de code EV, choisissez Authentification (emplacement 9a). Pour la signature de document PDF, choisissez Signature numérique (emplacement 9c). (Voir Yubico Documentation pour plus d'informations sur les différents emplacements clés et leurs fonctions prévues; ils diffèrent dans leurs politiques de saisie du code PIN). Ici, nous allons utiliser l'emplacement 9a.
    Authentification (emplacement 9a)
  6. Cliquez Générer .
    Générer
  7. Sélectionnez Demande de signature de certificat (CSR), Puis cliquez sur le Suivant .
    Demande de signature de certificat (CSR)
  8. Sélectionnez un Algorithme dans le menu déroulant. Pour la signature de document, choisissez RSA2048. Pour la signature de code EV, choisissez ECCP256 or ECCP384.
    sélectionner l'algorithme
  9. Entrez Nom du sujet pour le certificat, puis cliquez sur le Suivant .
    Remarque: Nous n'utiliserons pas réellement cela CSR- il est généré en tant que sous-produit de la création d'une nouvelle paire de clés. Donc, peu importe ce que vous entrez pour le nom du sujet ici.
    Nom du sujet
    Les utilisateurs doivent demander à SSL.com une nouvelle émission lors de la soumission d'une nouvelle commande, l'émission ne se fera pas automatiquement.
  10. Cliquez Générer .
    générer
  11. Sélectionnez un emplacement pour enregistrer le CSR fichier, créez un nom de fichier, puis cliquez sur le Épargnez .
    Épargnez CSR
  12. Entrez votre YubiKey clé de gestion, puis clique OK. Si vous avez besoin de votre clé de gestion, veuillez contacter Support@SSL.com.
    clé de gestion
  13. Entrez votre YubiKey PIN, puis clique OK. Si vous avez besoin d'aide pour trouver votre code PIN, veuillez consulter ce mode d'emploi.
    Entrez le code PIN
  14. La CSR Le fichier sera enregistré à l'endroit que vous avez spécifié à l'étape 11 ci-dessus. Encore une fois, nous n'avons pas besoin de ce fichier pour continuer et vous pouvez le supprimer en toute sécurité.
    CSR filet

Étape 2: générer un certificat d'attestation

Chaque YubiKey est livrée préchargée avec une clé privée et un certificat de Yubico qui vous permet de générer un certificat d'attestation pour vérifier qu'une clé privée a été générée sur une YubiKey. Cette opération vous demandera d'utiliser la ligne de commande.

  1. Dans Windows, ouvrez PowerShell en tant qu'administrateur. Les utilisateurs de macOS et Linux doivent ouvrir une fenêtre de terminal sur leur appareil.
    Ouvrez PowerShell en tant qu'administrateur
  2. Utilisez la commande suivante pour accéder aux fichiers YubiKey Manager:
    • Windows:
      cd "C:Program FilesYubicoYubiKey Manager"
    • macOS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • Sous Linux (Ubuntu), le ykman sera déjà installée dans votre PATH, vous pouvez donc ignorer cette étape.
  3. Générez un certificat d'attestation pour la clé avec la commande ci-dessous (remplacez ATTESTATION-FILENAME.crt avec le chemin et le nom de fichier que vous souhaitez utiliser; si vous avez utilisé l'emplacement 9c, remplacez 9a avec 9c):
    • Windows:
      Les clés piv .ykman.exe attestent 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu) :
      Les clés piv ykman attestent 9a ATTESTATION-FILENAME.crt
    • macOS:
      Les clés piv ./ykman attestent 9a ATTESTATION-FILENAME.crt
  4. Ensuite, utilisez le ykman pour exporter le certificat intermédiaire de l'emplacement f9 de la YubiKey (remplacer INTERMEDIATE-FILENAME.crt avec le chemin et le nom de fichier que vous souhaitez utiliser):
    • Windows:
      Exportation de certificats piv .ykman.exe f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu) :
      Exportation de certificats ykman piv f9 INTERMEDIATE-FILENAME.crt
    • macOS:
      ./ykman exportation de certificats piv f9 INTERMEDIATE-FILENAME.crt

Étape 3: Vérifiez le certificat d'attestation avec SSL.com et attachez-le à la commande

  1. Ici, nous allons utiliser notre certificat d'attestation de l'emplacement 9a de YubiKey avec une commande de certificat de signature de code EV. (La procédure pour les certificats de signature de documents est la même.) Tout d'abord, ouvrez l'attestation et les certificats intermédiaires dans un éditeur de texte.
    Certificat d'attestation
  2. Connectez-vous à votre compte utilisateur SSL.com et accédez au Mes Commandes onglet, puis cliquez sur le détails lien de la commande que vous souhaitez associer au certificat d'attestation. (Ce lien deviendra download après l'émission de votre certificat.)
    Remarque: Si vous souhaitez vérifier la validité de votre certificat d'attestation sans le joindre à une commande, vous pouvez utiliser SSL.com's outil de vérification d'attestation.
    détails
  3. Cliquez gérer lien, sous attestation.
    gérer le lien
  4. Une nouvelle page avec des champs pour l'attestation et les certificats intermédiaires apparaîtra.
    Vérification d'attestation
  5. Collez le certificat d'attestation dans le Certificat d'attestation champ, en veillant à inclure les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.
    coller le certificat d'attestation
  6. Ensuite, collez le certificat intermédiaire dans le Certificat intermédiaire champ.
    Champ Certificat intermédiaire
  7. Cliquez Soumettre .
    Bouton de soumission
  8. Si tout s'est bien passé, une alerte verte apparaîtra en haut de l'écran, indiquant une attestation réussie.
    Attestation réussie
  9. Revenez à la commande dans votre compte. Vous pouvez vérifier que l'attestation a bien été ajoutée à la commande par la présence d'un lien libellé Supprimer sous attestation.
    Supprimer le lien
  10. Une fois que SSL.com aura traité votre commande, le certificat sera disponible sur votre compte SSL.com. À partir de la page de détails de votre commande, faites défiler jusqu'à CERTIFICATS D'ENTITÉ FINALE section et cliquez Afficher les détails.
  11. Faites défiler jusqu'à la sous-section intitulée Certificat de signature de code or Certificat de signature de document, en fonction de votre commande. À droite, vous verrez les liens de téléchargement de votre certificat.

    1. Si vous avez un Certificat de signature de document, choisir la certificats individuels option de téléchargement. Il s'agit d'un fichier zip contenant trois fichiers de certificat : votre certificat d'entité finale, un certificat intermédiaire et un certificat racine.
    2. Si vous avez un Certificat de signature de code, choisir la pour installation YUBIKEY (DER).

Mise en garde: Nous avons vu des messages d'erreur dans les versions récentes de YubiKey Manager lors de l'importation de certificats ECC (maintenant requis pour la signature de code EV sur YubiKey). Il existe deux solutions de contournement possibles :

  • Recommandée: Convertissez le certificat au format DER avant de l'importer. C'est un simple conversion avec OpenSSL (remplacer CERT.crt et CERT.der avec votre nom de fichier réel dans la commande suivante):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Si vous ne pouvez pas convertir votre fichier, revenir à un version antérieure de YubiKey Manager fonctionnera également. La version la plus récente que nous avons trouvée pour importer avec succès ECC .crt fichiers téléchargés à partir de SSL.com est 1.1.5.

Étape 4: installer le certificat dans YubiKey

  1. Lancez YubiKey Manager et accédez à Applications> PIV.
    Applications> PIV
  2. Cliquez Configurer les certificats .
    Configurer les certificats
  3. Sélectionnez l'onglet du même emplacement YubiKey où vous avez généré la paire de clés.
    Authentification (emplacement 9a)
  4. Cliquez L’ .
    Bouton d'importation
  5. Accédez à votre fichier de certificat d'entité finale et cliquez sur le bouton L’ .
    certificat d'importation
  6. Entrez votre YubiKey clé de gestion, puis clique OK. Si vous avez besoin de votre clé de gestion, veuillez contacter Support@SSL.com.
    clé de gestion
  7. Le nouveau certificat de signature de code EV est installé dans la YubiKey.
    Le certificat est installé
  8. Pour vous assurer que vos signatures numériques sont fiables sur tous les ordinateurs, vous devez également installer les certificats racine et intermédiaires sur votre YubiKey pour une chaîne de confiance complète. Veuillez suivre ces instructions pour l'installation racine et intermédiaire: Installez les certificats racine et intermédiaire SSL.com sur YubiKey.
Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECURE, ou cliquez simplement sur le lien de discussion en bas à droite de cette page. Vous pouvez également trouver des réponses à de nombreuses questions d'assistance courantes dans notre knowledgebase.

Abonnez-vous à la newsletter de SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.