Kulcsgenerálás és tanúsítás a Yubikey-vel

A) EV kód aláírása és a Adobe PDF digitális aláírások, szükséges, hogy a magánkulcsot biztonságosan előállítsák és tárolják egy külső FIPS-hitelesített hardver eszközön, nem pedig a számítógépen. Az SSL.com opcionálisan előre telepítve szállít EV-kód-aláíró és PDF-dokumentum-aláíró tanúsítványokat FIPS 140-2 által hitelesített biztonsági kulcs USB-tokenek, de a felhasználók létrehozhatnak egy kulcspárt egy meglévő YubiKey-n és egy tanúsítási igazolás ez bizonyítja, hogy a magánkulcsot létrehozták az eszközön. Az igazoló tanúsítvánnyal ezután lehet tanúsítványokat rendelni az SSL.com-tól, amelyeket manuálisan telepíthetnek a YubiKey-re.

Ez a útmutatás végigvezeti Önt:

• Generálása a kulcspár és a tanúsítási igazolás tovább a Yubikey-n
• ellenőrzése az igazoló tanúsítványt és társítva azt egy SSL.com EV kód aláíráshoz vagy PDF dokumentum aláírási megrendeléshez
• telepítése az új bizonyítványod a YubiKey-ben

1. lépés: Generáljon kulcspárt a YubiKey-n

1. Ha még nem tette meg, töltse le és telepítse YubiKey menedzser a Yubico honlapjáról. Windows, Linux és macOS verziók állnak rendelkezésre.
   
2. Csatlakoztassa a YubiKey-t, majd indítsa el a YubiKey Manager alkalmazást. A YubiKey-t meg kell jeleníteni a YubiKey Manager ablakban.
   
3. navigáljon Alkalmazások> PIV.
   
4. Kattintson az Konfigurálja a tanúsítványokat gombot.
   
5. Válassza ki a YubiKey nyílás lapját, ahol szeretné generálni a kulcspárt. Ha EV kód aláíró tanúsítványt vásárol, válassza a lehetőséget Hitelesítés (9a rés). A PDF dokumentum aláírásához válassza a lehetőséget Digitális aláírás (9c hely). (Lásd Yubico's dokumentáció további információ a különféle kulcsrészekről és azok tervezett funkcióiról; különböznek a PIN-kód beviteli irányelveiben). Itt a 9a nyílást fogjuk használni.
   
6. Kattintson az Generálása gombot.
   
7. választ Tanúsítvány aláírási igény (CSR)Majd kattintson a Következő gombot.
   
8. Válasszon ki egy Algoritmus a legördülő menüből. A dokumentum aláírásához válassza a lehetőséget RSA2048. Az EV-kód aláírásához válassza a lehetőséget ECCP256 or ECCP384.
   
9. Írjon be egy Tárgy neve a tanúsítványhoz, majd kattintson a Következő gombot.
   
   Jegyzet: Ezt valójában nem fogjuk használni CSR- ez egy új kulcspár létrehozásának mellékterméke. Tehát nem mindegy, hogy mit írsz be ide a Tárgynévhez.
   
   A felhasználóknak új kibocsátást kell kérniük az SSL.com-tól új rendelés leadásakor, a kiadás nem történik meg automatikusan.
10. Kattintson az Generálása gombot.
    
11. Válassza ki a kívánt helyet CSR fájlt, hozzon létre egy fájlnevet, majd kattintson a gombra Megtakarítás gombot.
    
12. Adja meg YubiKey-jét kezelési kulcs, majd kattintson a gombra OK. Ha szüksége van kezelési kulcsra, vegye fel a kapcsolatot Support@SSL.com.
    
13. Írja be YubiKey-jét PIN, majd kattintson a gombra OK. Ha segítségre van szüksége a PIN-kód megkeresésében, kérjük, olvassa el ez a hogyan.
    
14. A CSR A fájl a fenti 11. lépésben megadott helyre kerül mentésre. Ismét nincs szükségünk erre a fájlra a folytatáshoz, és biztonságosan törölheti.
    

2. lépés: Hozzon létre igazolást

Minden YubiKey előre betöltve van egy saját kulccsal és tanúsítvánnyal a Yubico-tól, amely lehetővé teszi a létrehozást tanúsítási igazolás annak ellenőrzéséhez, hogy létrejött-e egy privát kulcs egy YubiKey-n. Ehhez a művelethez a parancssort kell használni.

1. Windows alatt nyissa meg a PowerShell-t rendszergazdaként. A macOS és a Linux felhasználóknak terminál ablakot kell nyitniuk eszközükön.
   
2. A következő paranccsal keresse meg a YubiKey Manager fájlokat:
   • Windows:

     cd "C:Program FilesYubicoYubiKey Manager"

   • MacOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • Linuxon (Ubuntu) a ykman parancs már telepítve lesz a PATH, így kihagyhatja ezt a lépést.
3. Generáljon igazolási igazolást a kulcshoz az alábbi paranccsal (cserélje ki ATTESTATION-FILENAME.crt a használni kívánt elérési útval és fájlnévvel; ha a 9c nyílást használta, cserélje ki 9a val vel 9c):
   • Windows:

     .ykman.exe piv kulcsok tanúsítják 9a ATTESTATION-FILENAME.crt

   • Linux (Ubuntu):

     Az ykman piv kulcsok igazolják a 9a ATTESTATION-FILENAME.crt fájlt

   • MacOS:

     ./ykman piv kulcsok tanúsítják a 9a ATTESTATION-FILENAME.crt fájlt

4. Ezután használja a ykman parancs a közbenső tanúsítvány exportálására a YubiKey f9 nyílásából (cserélje ki) INTERMEDIATE-FILENAME.crt a használni kívánt elérési utat és fájlnevet):
   • Windows:

     .ykman.exe piv tanúsítványok exportálása f9 INTERMEDIATE-FILENAME.crt

   • Linux (Ubuntu):

     ykman piv tanúsítványok export f9 INTERMEDIATE-FILENAME.crt

   • MacOS:

     ./ykman piv tanúsítványok export f9 INTERMEDIATE-FILENAME.crt

3. lépés: Ellenőrizze az igazolási tanúsítványt az SSL.com segítségével és csatolja a megrendeléshez

1. Itt fogjuk használni a 9ubi YubiKey slot hitelesítési tanúsítványunkat egy EV kód aláíró tanúsítvány megrendeléssel. (A tanúsítványok aláírásának eljárása ugyanaz.) Először nyissa meg az igazoló és a köztes tanúsítványokat egy szövegszerkesztőben.
   
2. Jelentkezzen be SSL.com felhasználói fiókjába, és keresse meg a Megrendelés lapot, majd kattintson a részletek link ahhoz a megrendeléshez, amelyet az igazolási tanúsítvánnyal kíván társítani. (Ez a link a következőre változik: letöltés a tanúsítvány kiállítását követően.)
   
   Jegyzet: Ha igazolási tanúsítványának érvényességét szeretné ellenőrizni anélkül, hogy azt rendeléshez csatolná, használhatja az SSL.com-kat igazolási ellenőrző eszköz.
   
3. Kattintson az kezelése link alatt hitelesítés.
   
4. Megjelenik egy új oldal, amely tartalmazza az igazolás és a közbenső tanúsítvány mezőit.
   
5. Illessze be az igazolást a Tanúsítási igazolás mezőbe, ügyeljen arra, hogy a sorokat tartalmazza -----BEGIN CERTIFICATE----- és a -----END CERTIFICATE-----.
   
6. Ezután illessze be a közbenső tanúsítványt a Közbenső tanúsítvány mező.
   
7. Kattintson az Küld gombot.
   
8. Ha minden rendben ment, egy zöld riasztás jelenik meg a képernyő tetején, amely a sikeres igazolást jelzi.
   
9. Visszatérés a fiókjában szereplő rendeléshez. Ellenőrizheti, hogy az igazolást hozzáadták-e a megrendeléshez egy címkével ellátott link jelenlétével töröl alatt hitelesítés.
   
10. Miután az SSL.com feldolgozta megrendelését, a tanúsítvány elérhető lesz az Ön SSL.com-fiókjában. A megrendelés részleteit tartalmazó oldalon görgessen le a lehetőséghez VÉGE A SZABÁLYOZÁSI TANÚSÍTVÁNYOKAT szakasz és kattintson Részletek megjelenítése.
    
11. Görgessen le a feliratú alszakaszhoz Kód aláíró tanúsítvány or Dokumentum aláíró tanúsítvány, megrendelésétől függően. A jobb oldalon a tanúsítvány letöltési linkjei láthatók.
    
    
    1. Ha van egy Dokumentum aláíró tanúsítvány, válaszd a egyedi igazolások letöltési lehetőség. Ez egy zip fájl, amely három tanúsítványfájlt tartalmaz: a végső entitás tanúsítványát, egy köztes tanúsítványt és egy gyökértanúsítványt.
       
    2. Ha van egy Kód aláíró tanúsítvány, válaszd a YUBIKEY telepítéséhez (DER).
       

4. lépés: Telepítse a tanúsítványt a YubiKey-ben

1. Indítsa el a YubiKey Manager alkalmazást, és lépjen be a következőbe: Alkalmazások> PIV.
   
2. Kattintson az Konfigurálja a tanúsítványokat gombot.
   
3. Válassza ki annak a YubiKey nyílásnak a fület, ahol létrehozta a kulcspárt.
   
4. Kattintson az import gombot.
   
5. Keresse meg a végső entitás tanúsítványfájlját, és kattintson a gombra import gombot.
   
6. Adja meg YubiKey-jét kezelési kulcs, majd kattintson a gombra OK. Ha szüksége van kezelési kulcsra, vegye fel a kapcsolatot Support@SSL.com.
   
7. Az új EV-kód aláíró tanúsítvány telepítve van a YubiKey-be.
   
8. Annak érdekében, hogy a digitális aláírások minden számítógépen megbízhatóak legyenek, telepítenie kell a gyökér és a köztes tanúsítványokat is a YubiKey-re a teljes bizalmi lánc érdekében. A root és a köztes telepítéshez kövesse ezeket az utasításokat: Telepítse az SSL.hu gyökér- és köztes tanúsítványokat a YubiKey-re.