A) EV kód aláírása és a Adobe PDF digitális aláírások, szükséges, hogy a magánkulcsot biztonságosan előállítsák és tárolják egy külső FIPS-hitelesített hardver eszközön, nem pedig a számítógépen. Az SSL.com opcionálisan előre telepítve szállít EV-kód-aláíró és PDF-dokumentum-aláíró tanúsítványokat FIPS 140-2 által hitelesített biztonsági kulcs USB-tokenek, de a felhasználók létrehozhatnak egy kulcspárt egy meglévő YubiKey-n és egy tanúsítási igazolás ez bizonyítja, hogy a magánkulcsot létrehozták az eszközön. Az igazoló tanúsítvánnyal ezután lehet tanúsítványokat rendelni az SSL.com-tól, amelyeket manuálisan telepíthetnek a YubiKey-re.
Ez a útmutatás végigvezeti Önt:
- Generálása a kulcspár és a tanúsítási igazolás tovább a Yubikey-n
- ellenőrzése az igazoló tanúsítványt és társítva azt egy SSL.com EV kód aláíráshoz vagy PDF dokumentum aláírási megrendeléshez
- telepítése az új bizonyítványod a YubiKey-ben
apt-get
(lásd Yubico utasítás további információért). A Linux AppImage szintén elérhető a YubiKey Manager alkalmazásból letöltés oldal. Vegye figyelembe azt is, hogy míg ezek az utasítások a Yubico Yubikey Manager szoftverét használják, az SSL.com 3.0-s kiadása SSL Manager támogatja kulcspár létrehozása és tanúsítvány telepítése a YubiKey-re Windows felhasználók számára.1. lépés: Generáljon kulcspárt a YubiKey-n
- Ha még nem tette meg, töltse le és telepítse YubiKey menedzser a Yubico honlapjáról. Windows, Linux és macOS verziók állnak rendelkezésre.
- Csatlakoztassa a YubiKey-t, majd indítsa el a YubiKey Manager alkalmazást. A YubiKey-t meg kell jeleníteni a YubiKey Manager ablakban.
- navigáljon Alkalmazások> PIV.
- Kattintson az Konfigurálja a tanúsítványokat gombot.
- Válassza ki a YubiKey nyílás lapját, ahol szeretné generálni a kulcspárt. Ha EV kód aláíró tanúsítványt vásárol, válassza a lehetőséget Hitelesítés (9a rés). A PDF dokumentum aláírásához válassza a lehetőséget Digitális aláírás (9c hely). (Lásd Yubico's dokumentáció további információ a különféle kulcsrészekről és azok tervezett funkcióiról; különböznek a PIN-kód beviteli irányelveiben). Itt a 9a nyílást fogjuk használni.
- Kattintson az Generálása gombot.
- választ Tanúsítvány aláírási igény (CSR)Majd kattintson a Következő gombot.
- Válasszon ki egy Algoritmus a legördülő menüből. A dokumentum aláírásához válassza a lehetőséget
RSA2048
. Az EV-kód aláírásához válassza a lehetőségetECCP256
orECCP384
.
- Írjon be egy Tárgy neve a tanúsítványhoz, majd kattintson a Következő gombot.
Jegyzet: Ezt valójában nem fogjuk használni CSR- ez egy új kulcspár létrehozásának mellékterméke. Tehát nem mindegy, hogy mit írsz be ide a Tárgynévhez.A felhasználóknak új kibocsátást kell kérniük az SSL.com-tól új rendelés leadásakor, a kiadás nem történik meg automatikusan. - Kattintson az Generálása gombot.
- Válassza ki a kívánt helyet CSR fájlt, hozzon létre egy fájlnevet, majd kattintson a gombra Megtakarítás gombot.
- Adja meg YubiKey-jét kezelési kulcs, majd kattintson a gombra OK. Ha szüksége van kezelési kulcsra, vegye fel a kapcsolatot Support@SSL.com.
- Írja be YubiKey-jét PIN, majd kattintson a gombra OK. Ha segítségre van szüksége a PIN-kód megkeresésében, kérjük, olvassa el ez a hogyan.
- A CSR A fájl a fenti 11. lépésben megadott helyre kerül mentésre. Ismét nincs szükségünk erre a fájlra a folytatáshoz, és biztonságosan törölheti.
2. lépés: Hozzon létre igazolást
Minden YubiKey előre betöltve van egy saját kulccsal és tanúsítvánnyal a Yubico-tól, amely lehetővé teszi a létrehozást tanúsítási igazolás annak ellenőrzéséhez, hogy létrejött-e egy privát kulcs egy YubiKey-n. Ehhez a művelethez a parancssort kell használni.
- Windows alatt nyissa meg a PowerShell-t rendszergazdaként. A macOS és a Linux felhasználóknak terminál ablakot kell nyitniuk eszközükön.
- A következő paranccsal keresse meg a YubiKey Manager fájlokat:
- Windows:
cd "C:Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- Linuxon (Ubuntu) a
ykman
parancs már telepítve lesz aPATH
, így kihagyhatja ezt a lépést.
- Windows:
- Generáljon igazolási igazolást a kulcshoz az alábbi paranccsal (cserélje ki
ATTESTATION-FILENAME.crt
a használni kívánt elérési útval és fájlnévvel; ha a 9c nyílást használta, cserélje ki9a
val vel9c
):- Windows:
.ykman.exe piv kulcsok tanúsítják 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
Az ykman piv kulcsok igazolják a 9a ATTESTATION-FILENAME.crt fájlt
- MacOS:
./ykman piv kulcsok tanúsítják a 9a ATTESTATION-FILENAME.crt fájlt
- Windows:
- Ezután használja a
ykman
parancs a közbenső tanúsítvány exportálására a YubiKey f9 nyílásából (cserélje ki)INTERMEDIATE-FILENAME.crt
a használni kívánt elérési utat és fájlnevet):- Windows:
.ykman.exe piv tanúsítványok exportálása f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
ykman piv tanúsítványok export f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv tanúsítványok export f9 INTERMEDIATE-FILENAME.crt
- Windows:
3. lépés: Ellenőrizze az igazolási tanúsítványt az SSL.com segítségével és csatolja a megrendeléshez
- Itt fogjuk használni a 9ubi YubiKey slot hitelesítési tanúsítványunkat egy EV kód aláíró tanúsítvány megrendeléssel. (A tanúsítványok aláírásának eljárása ugyanaz.) Először nyissa meg az igazoló és a köztes tanúsítványokat egy szövegszerkesztőben.
- Jelentkezzen be SSL.com felhasználói fiókjába, és keresse meg a Megrendelés lapot, majd kattintson a részletek link ahhoz a megrendeléshez, amelyet az igazolási tanúsítvánnyal kíván társítani. (Ez a link a következőre változik: letöltés a tanúsítvány kiállítását követően.)
Jegyzet: Ha igazolási tanúsítványának érvényességét szeretné ellenőrizni anélkül, hogy azt rendeléshez csatolná, használhatja az SSL.com-kat igazolási ellenőrző eszköz. - Kattintson az kezelése link alatt hitelesítés.
- Megjelenik egy új oldal, amely tartalmazza az igazolás és a közbenső tanúsítvány mezőit.
- Illessze be az igazolást a Tanúsítási igazolás mezőbe, ügyeljen arra, hogy a sorokat tartalmazza
-----BEGIN CERTIFICATE-----
és a-----END CERTIFICATE-----
.
- Ezután illessze be a közbenső tanúsítványt a Közbenső tanúsítvány mező.
- Kattintson az Küld gombot.
- Ha minden rendben ment, egy zöld riasztás jelenik meg a képernyő tetején, amely a sikeres igazolást jelzi.
- Visszatérés a fiókjában szereplő rendeléshez. Ellenőrizheti, hogy az igazolást hozzáadták-e a megrendeléshez egy címkével ellátott link jelenlétével töröl alatt hitelesítés.
- Miután az SSL.com feldolgozta megrendelését, a tanúsítvány elérhető lesz az Ön SSL.com-fiókjában. A megrendelés részleteit tartalmazó oldalon görgessen le a lehetőséghez VÉGE A SZABÁLYOZÁSI TANÚSÍTVÁNYOKAT szakasz és kattintson Részletek megjelenítése.
- Görgessen le a feliratú alszakaszhoz Kód aláíró tanúsítvány or Dokumentum aláíró tanúsítvány, megrendelésétől függően. A jobb oldalon a tanúsítvány letöltési linkjei láthatók.
- Ha van egy Dokumentum aláíró tanúsítvány, válaszd a egyedi igazolások letöltési lehetőség. Ez egy zip fájl, amely három tanúsítványfájlt tartalmaz: a végső entitás tanúsítványát, egy köztes tanúsítványt és egy gyökértanúsítványt.
- Ha van egy Kód aláíró tanúsítvány, válaszd a YUBIKEY telepítéséhez (DER).
- Ha van egy Dokumentum aláíró tanúsítvány, válaszd a egyedi igazolások letöltési lehetőség. Ez egy zip fájl, amely három tanúsítványfájlt tartalmaz: a végső entitás tanúsítványát, egy köztes tanúsítványt és egy gyökértanúsítványt.
Figyelmeztetés: Hibaüzeneteket láthattunk a YubiKey Manager legújabb verzióiban az ECC-tanúsítványok importálásakor (ez már szükséges az EV-kód aláírásához a YubiKey-n). Két lehetséges megoldás lehetséges:
- Ajánlott: Az importálás előtt konvertálja a tanúsítványt DER formátumba. Ez egyenes átalakítás az OpenSSL segítségével (cserélje ki
CERT.crt
és aCERT.der
a tényleges fájlnévvel a következő parancsban):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Ha nem tudja konvertálni a fájlt, térjen vissza egy korábbi kiadás A YubiKey menedzser szintén működik. A legújabb verzió, amelyet az ECC sikeres importálásához találtunk
.crt
az SSL.com-ról letöltött fájlok1.1.5
.
4. lépés: Telepítse a tanúsítványt a YubiKey-ben
- Indítsa el a YubiKey Manager alkalmazást, és lépjen be a következőbe: Alkalmazások> PIV.
- Kattintson az Konfigurálja a tanúsítványokat gombot.
- Válassza ki annak a YubiKey nyílásnak a fület, ahol létrehozta a kulcspárt.
- Kattintson az import gombot.
- Keresse meg a végső entitás tanúsítványfájlját, és kattintson a gombra import gombot.
- Adja meg YubiKey-jét kezelési kulcs, majd kattintson a gombra OK. Ha szüksége van kezelési kulcsra, vegye fel a kapcsolatot Support@SSL.com.
- Az új EV-kód aláíró tanúsítvány telepítve van a YubiKey-be.
- Annak érdekében, hogy a digitális aláírások minden számítógépen megbízhatóak legyenek, telepítenie kell a gyökér és a köztes tanúsítványokat is a YubiKey-re a teljes bizalmi lánc érdekében. A root és a köztes telepítéshez kövesse ezeket az utasításokat: Telepítse az SSL.hu gyökér- és köztes tanúsítványokat a YubiKey-re.