Generasi dan Pengesahan Kunci dengan Yubikey

Untuk keperluan Penandatanganan kode EV dan Tanda tangan digital Adobe PDF, diperlukan bahwa kunci pribadi Anda dihasilkan dan disimpan dengan aman pada perangkat keras eksternal yang divalidasi FIPS daripada komputer Anda. SSL.com secara opsional mengirimkan penandatanganan kode EV dan sertifikat penandatanganan dokumen PDF yang sudah diinstal sebelumnya di FIPS 140-2 token USB kunci keamanan yang divalidasi, tetapi pengguna juga dapat membuat pasangan kunci pada YubiKey yang ada dan an sertifikat pengesahan yang membuktikan bahwa kunci pribadi dibuat pada perangkat. Sertifikat pengesahan kemudian dapat digunakan untuk memesan sertifikat dari SSL.com yang dapat diinstal secara manual di YubiKey.

Cara ini akan memandu Anda:

• Menghasilkan a pasangan kunci dan sertifikat pengesahan pada Yubikey Anda
• Verifikasi sertifikat pengesahan dan mengaitkannya dengan penandatanganan kode EV SSL.com atau pesanan penandatanganan dokumen PDF
• Instalasi sertifikat baru Anda di YubiKey

Langkah 1: Hasilkan Pasangan Kunci pada YubiKey

1. Jika Anda belum melakukannya, unduh dan instal Manajer YubiKey dari situs Yubico. Versi untuk Windows, Linux, dan macOS tersedia.
   
2. Hubungkan YubiKey Anda, lalu luncurkan YubiKey Manager. YubiKey Anda harus ditampilkan di jendela YubiKey Manager.
   
3. Navigasi ke Aplikasi> PIV.
   
4. klik Konfigurasikan Sertifikat .
   
5. Pilih tab untuk slot YubiKey tempat Anda ingin membuat pasangan kunci. Jika Anda membeli sertifikat penandatanganan kode EV, pilih Otentikasi (slot 9a). Untuk penandatanganan dokumen PDF, pilih Tanda tangan digital (slot 9c). (Lihat karya Yubico dokumentasi untuk informasi lebih lanjut tentang berbagai slot kunci dan fungsinya yang dimaksudkan; mereka berbeda dalam kebijakan entri PIN mereka). Di sini kita akan menggunakan slot 9a.
   
6. klik Menghasilkan .
   
7. Pilih Permintaan Penandatanganan Sertifikat (CSR), Lalu klik Selanjutnya .
   
8. Pilih sebuah Algoritma dari menu tarik-turun. Untuk penandatanganan dokumen, pilih RSA2048. Untuk penandatanganan kode EV, pilih ECCP256 or ECCP384.
   
9. Masukkan Nama Subjek untuk sertifikat, lalu klik Selanjutnya .
   
   Catatan: Kami tidak akan benar-benar menggunakan ini CSR—Itu dihasilkan sebagai produk sampingan dari pembuatan pasangan kunci baru. Jadi, tidak masalah apa yang Anda masukkan untuk Nama Subjek di sini.
   
   Pengguna harus meminta SSL.com untuk penerbitan baru saat mengajukan pesanan baru, penerbitan tidak akan terjadi secara otomatis.
10. klik Menghasilkan .
    
11. Pilih lokasi untuk menyimpan CSR file, buat nama file, lalu klik Save .
    
12. Masukkan YubiKey Anda kunci manajemen, Lalu klik OK. Jika Anda memerlukan kunci manajemen Anda, silakan hubungi Support@SSL.com.
    
13. Masukkan YubiKey Anda PIN, Lalu klik OK. Jika Anda perlu bantuan menemukan PIN Anda, silakan lihat ini bagaimana caranya.
    
14. Grafik CSR file akan disimpan di tempat yang Anda tentukan pada langkah 11 di atas. Sekali lagi, kami tidak memerlukan file ini untuk melanjutkan dan Anda dapat menghapusnya dengan aman.
    

Langkah 2: Hasilkan Sertifikat Pengesahan

Setiap YubiKey dilengkapi dengan pre-loaded dengan kunci pribadi dan sertifikat dari Yubico yang memungkinkan Anda untuk menghasilkan sertifikat pengesahan untuk memverifikasi bahwa kunci pribadi telah dihasilkan pada YubiKey. Operasi ini akan mengharuskan Anda untuk menggunakan baris perintah.

1. Di Windows, buka PowerShell sebagai administrator. pengguna macOS dan Linux harus membuka jendela terminal pada perangkat mereka.
   
2. Gunakan perintah berikut untuk menavigasi ke file YubiKey Manager:
   • Windows:

     cd "C:Program FilesYubicoYubiKey Manager"

   • macOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • Di Linux (Ubuntu), file ykman perintah sudah akan diinstal di PATH, sehingga Anda dapat melewati langkah ini.
3. Hasilkan sertifikat pengesahan untuk kunci dengan perintah di bawah ini (ganti ATTESTATION-FILENAME.crt dengan path dan nama file yang ingin Anda gunakan; jika Anda menggunakan slot 9c, ganti 9a dengan 9c):
   • Windows:

     Kunci piv .ykman.exe membuktikan 9a ATTESTATION-FILENAME.crt

   • Linux (Ubuntu):

     Tombol ykman piv membuktikan 9a ATTESTATION-FILENAME.crt

   • macOS:

     ./ykman piv keys membuktikan 9a ATTESTATION-FILENAME.crt

4. Selanjutnya, gunakan ykman perintah untuk mengekspor sertifikat perantara dari slot f9 dari YubiKey (ganti INTERMEDIATE-FILENAME.crt dengan path dan nama file yang ingin Anda gunakan):
   • Windows:

     Sertifikat piv .ykman.exe mengekspor f9 INTERMEDIATE-FILENAME.crt

   • Linux (Ubuntu):

     ykman piv sertifikat ekspor f9 INTERMEDIATE-FILENAME.crt

   • macOS:

     ./ykman piv sertifikat ekspor f9 INTERMEDIATE-FILENAME.crt

Langkah 3: Verifikasi Sertifikat Pengesahan dengan SSL.com dan Lampirkan untuk Memesan

1. Di sini kita akan menggunakan sertifikat pengesahan dari YubiKey slot 9a dengan pesanan sertifikat penandatanganan kode EV. (Prosedur untuk sertifikat penandatanganan dokumen adalah sama.) Pertama, buka sertifikat pengesahan dan perantara di editor teks.
   
2. Masuk ke akun pengguna SSL.com Anda dan arahkan ke Pesanan tab, lalu klik rincian link untuk pesanan yang ingin Anda kaitkan dengan sertifikat pengesahan. (Tautan ini akan berubah menjadi Download setelah sertifikat Anda diterbitkan.)
   
   Catatan: Jika Anda ingin memeriksa validitas sertifikat pengesahan Anda tanpa melampirkannya ke pesanan, Anda dapat menggunakan SSL.com alat verifikasi pengesahan.
   
3. klik mengelola tautan, di bawah pengesahan.
   
4. Halaman baru dengan bidang untuk pengesahan dan sertifikat perantara akan muncul.
   
5. Rekatkan sertifikat pengesahan ke dalam Sertifikat Pengesahan bidang, pastikan untuk memasukkan garis -----BEGIN CERTIFICATE----- dan -----END CERTIFICATE-----.
   
6. Selanjutnya, tempel sertifikat antara ke dalam Sertifikat Menengah lapangan.
   
7. klik Kirim .
   
8. Jika semuanya berjalan dengan benar, peringatan hijau akan muncul di bagian atas layar, menunjukkan pengesahan yang berhasil.
   
9. Kembali ke pesanan di akun Anda. Anda dapat memverifikasi bahwa pengesahan telah ditambahkan ke pesanan dengan adanya tautan yang berlabel Delete bawah pengesahan.
   
10. Setelah SSL.com memproses pesanan Anda, sertifikat akan tersedia di akun SSL.com Anda. Dari halaman detail pesanan Anda, gulir ke bawah ke SERTIFIKAT ENTITAS AKHIR bagian dan klik Tampilkan Detail.
    
11. Gulir ke bawah ke subbagian berlabel Sertifikat Penandatanganan Kode or Sertifikat Penandatanganan Dokumen, tergantung pesanan Anda. Di sebelah kanan, Anda akan melihat tautan unduh sertifikat Anda.
    
    
    1. Jika Anda memiliki Sertifikat Penandatanganan Dokumen, memilih sertifikat individu opsi unduh. Ini adalah file zip yang berisi tiga file sertifikat: sertifikat entitas akhir Anda, sertifikat perantara, dan sertifikat akar.
       
    2. Jika Anda memiliki Sertifikat Penandatanganan Kode, memilih untuk instalasi YUBIKEY (DER).
       

Langkah 4: Instal Sertifikat di YubiKey

1. Luncurkan YubiKey Manager dan mavigate ke Aplikasi> PIV.
   
2. klik Konfigurasikan Sertifikat .
   
3. Pilih tab untuk slot YubiKey yang sama tempat Anda membuat pasangan kunci.
   
4. klik impor .
   
5. Arahkan ke file sertifikat entitas akhir Anda dan klik impor .
   
6. Masukkan YubiKey Anda kunci manajemen, Lalu klik OK. Jika Anda memerlukan kunci manajemen Anda, silakan hubungi Support@SSL.com.
   
7. Sertifikat penandatanganan kode EV baru dipasang di YubiKey.
   
8. Untuk memastikan tanda tangan digital Anda dipercaya di semua komputer, Anda juga harus menginstal sertifikat root dan intermediate pada YubiKey Anda untuk rantai kepercayaan yang lengkap. Silakan ikuti petunjuk ini untuk root dan instalasi menengah: Instal Sertifikat Akar dan Menengah SSL.com di YubiKey.