Untuk keperluan Penandatanganan kode EV dan Tanda tangan digital Adobe PDF, diperlukan bahwa kunci pribadi Anda dihasilkan dan disimpan dengan aman pada perangkat keras eksternal yang divalidasi FIPS daripada komputer Anda. SSL.com secara opsional mengirimkan penandatanganan kode EV dan sertifikat penandatanganan dokumen PDF yang sudah diinstal sebelumnya di FIPS 140-2 token USB kunci keamanan yang divalidasi, tetapi pengguna juga dapat membuat pasangan kunci pada YubiKey yang ada dan an sertifikat pengesahan yang membuktikan bahwa kunci pribadi dibuat pada perangkat. Sertifikat pengesahan kemudian dapat digunakan untuk memesan sertifikat dari SSL.com yang dapat diinstal secara manual di YubiKey.
Cara ini akan memandu Anda:
- Menghasilkan a pasangan kunci dan sertifikat pengesahan pada Yubikey Anda
- Verifikasi sertifikat pengesahan dan mengaitkannya dengan penandatanganan kode EV SSL.com atau pesanan penandatanganan dokumen PDF
- Instalasi sertifikat baru Anda di YubiKey
apt-get
(lihat Yubico's instruksi untuk informasi lebih lanjut). Linux AppImage juga tersedia dari YubiKey Manager halaman download. Perhatikan juga bahwa sementara petunjuk ini menggunakan perangkat lunak Yubikey Manager Yubico, rilis 3.0 dari SSL.com SSL Manager mendukung pembuatan keypair dan pemasangan sertifikat di YubiKey untuk pengguna Windows.Langkah 1: Hasilkan Pasangan Kunci pada YubiKey
- Jika Anda belum melakukannya, unduh dan instal Manajer YubiKey dari situs Yubico. Versi untuk Windows, Linux, dan macOS tersedia.
- Hubungkan YubiKey Anda, lalu luncurkan YubiKey Manager. YubiKey Anda harus ditampilkan di jendela YubiKey Manager.
- Navigasi ke Aplikasi> PIV.
- klik Konfigurasikan Sertifikat .
- Pilih tab untuk slot YubiKey tempat Anda ingin membuat pasangan kunci. Jika Anda membeli sertifikat penandatanganan kode EV, pilih Otentikasi (slot 9a). Untuk penandatanganan dokumen PDF, pilih Tanda tangan digital (slot 9c). (Lihat karya Yubico dokumentasi untuk informasi lebih lanjut tentang berbagai slot kunci dan fungsinya yang dimaksudkan; mereka berbeda dalam kebijakan entri PIN mereka). Di sini kita akan menggunakan slot 9a.
- klik Menghasilkan .
- Pilih Permintaan Penandatanganan Sertifikat (CSR), Lalu klik Selanjutnya .
- Pilih sebuah Algoritma dari menu tarik-turun. Untuk penandatanganan dokumen, pilih
RSA2048
. Untuk penandatanganan kode EV, pilihECCP256
orECCP384
.
- Masukkan Nama Subjek untuk sertifikat, lalu klik Selanjutnya .
Catatan: Kami tidak akan benar-benar menggunakan ini CSR—Itu dihasilkan sebagai produk sampingan dari pembuatan pasangan kunci baru. Jadi, tidak masalah apa yang Anda masukkan untuk Nama Subjek di sini.Pengguna harus meminta SSL.com untuk penerbitan baru saat mengajukan pesanan baru, penerbitan tidak akan terjadi secara otomatis. - klik Menghasilkan .
- Pilih lokasi untuk menyimpan CSR file, buat nama file, lalu klik Simpan .
- Masukkan YubiKey Anda kunci manajemen, Lalu klik OK. Jika Anda memerlukan kunci manajemen Anda, silakan hubungi Support@SSL.com.
- Masukkan YubiKey Anda PIN, Lalu klik OK. Jika Anda perlu bantuan menemukan PIN Anda, silakan lihat ini bagaimana caranya.
- CSR file akan disimpan di tempat yang Anda tentukan pada langkah 11 di atas. Sekali lagi, kami tidak memerlukan file ini untuk melanjutkan dan Anda dapat menghapusnya dengan aman.
Langkah 2: Hasilkan Sertifikat Pengesahan
Setiap YubiKey dilengkapi dengan pre-loaded dengan kunci pribadi dan sertifikat dari Yubico yang memungkinkan Anda untuk menghasilkan sertifikat pengesahan untuk memverifikasi bahwa kunci pribadi telah dihasilkan pada YubiKey. Operasi ini akan mengharuskan Anda untuk menggunakan baris perintah.
- Di Windows, buka PowerShell sebagai administrator. pengguna macOS dan Linux harus membuka jendela terminal pada perangkat mereka.
- Gunakan perintah berikut untuk menavigasi ke file YubiKey Manager:
- Windows:
cd "C:\Program Files\Yubico\YubiKey Manager"
- macOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- Di Linux (Ubuntu), file
ykman
perintah sudah akan diinstal diPATH
, sehingga Anda dapat melewati langkah ini.
- Windows:
- Buat sertifikat pengesahan untuk kunci dengan perintah di bawah ini. Pilih/buat folder di komputer Anda tempat Anda ingin menyimpan sertifikat pengesahan. Ganti C:\Folder\Folder\pengesahan\namafilepengesahan dengan jalur dan nama file yang ingin Anda gunakan. Jika Anda menggunakan slot 9c, ganti 9a dengan 9c:
- Windows:
.\ykman.exe kunci piv pengesahan 9a C:\Folder\Folder\pengesahan\namafilepengesahan
- Linux (Ubuntu):
Tombol ykman piv membuktikan 9a ATTESTATION-FILENAME.crt
- macOS:
./ykman piv keys membuktikan 9a ATTESTATION-FILENAME.crt
- Windows:
- Selanjutnya, gunakan
ykman
perintah untuk mengekspor sertifikat perantara dari slot f9 YubiKey. Pilih/buat folder di komputer Anda tempat Anda ingin mengekspor sertifikat perantara. Ganti C:\Folder\Folder\pengesahan\namafileperantara dengan path dan nama file yang ingin Anda gunakan):- Windows:
.\ykman.exe piv sertifikat ekspor f9 C:\Folder\Folder\attestation\namafileperantara
- Linux (Ubuntu):
ykman piv sertifikat ekspor f9 INTERMEDIATE-FILENAME.crt
- macOS:
./ykman piv sertifikat ekspor f9 INTERMEDIATE-FILENAME.crt
- Windows:
Langkah 3: Verifikasi Sertifikat Pengesahan dengan SSL.com dan Lampirkan untuk Memesan
- Di sini kita akan menggunakan sertifikat pengesahan dari YubiKey slot 9a dengan pesanan sertifikat penandatanganan kode EV. (Prosedur untuk sertifikat penandatanganan dokumen adalah sama.) Pertama, buka sertifikat pengesahan dan perantara di editor teks.
- Masuk ke akun pengguna SSL.com Anda dan arahkan ke Pesanan tab, lalu klik details link untuk pesanan yang ingin Anda kaitkan dengan sertifikat pengesahan. (Tautan ini akan berubah menjadi Download setelah sertifikat Anda diterbitkan.)
Catatan: Jika Anda ingin memeriksa validitas sertifikat pengesahan Anda tanpa melampirkannya ke pesanan, Anda dapat menggunakan SSL.com alat verifikasi pengesahan. - klik mengelola tautan, di bawah pengesahan.
- Halaman baru dengan bidang untuk pengesahan dan sertifikat perantara akan muncul.
- Rekatkan sertifikat pengesahan ke dalam Sertifikat Pengesahan bidang, pastikan untuk memasukkan garis
-----BEGIN CERTIFICATE-----
dan-----END CERTIFICATE-----
.
- Selanjutnya, tempel sertifikat antara ke dalam Sertifikat Menengah lapangan.
- klik Kirim .
- Jika semuanya berjalan dengan benar, peringatan hijau akan muncul di bagian atas layar, menunjukkan pengesahan yang berhasil.
- Kembali ke pesanan di akun Anda. Anda dapat memverifikasi bahwa pengesahan telah ditambahkan ke pesanan dengan adanya tautan yang berlabel Delete bawah pengesahan.
- Setelah SSL.com memproses pesanan Anda, sertifikat akan tersedia di akun SSL.com Anda. Dari halaman detail pesanan Anda, gulir ke bawah ke SERTIFIKAT ENTITAS AKHIR bagian dan klik Tampilkan Detail.
- Gulir ke bawah ke subbagian berlabel Sertifikat Penandatanganan Kode or Sertifikat Penandatanganan Dokumen, tergantung pesanan Anda. Di sebelah kanan, Anda akan melihat tautan unduh sertifikat Anda.
- Jika Anda memiliki Sertifikat Penandatanganan Dokumen, memilih sertifikat individu opsi unduh. Ini adalah file zip yang berisi tiga file sertifikat: sertifikat entitas akhir Anda, sertifikat perantara, dan sertifikat akar.
- Jika Anda memiliki Sertifikat Penandatanganan Kode, memilih untuk instalasi YUBIKEY (DER).
- Jika Anda memiliki Sertifikat Penandatanganan Dokumen, memilih sertifikat individu opsi unduh. Ini adalah file zip yang berisi tiga file sertifikat: sertifikat entitas akhir Anda, sertifikat perantara, dan sertifikat akar.
Peringatan: Kami telah melihat pesan kesalahan di YubiKey Manager versi terbaru saat mengimpor sertifikat ECC (sekarang diperlukan untuk Penandatanganan Kode EV di YubiKey). Ada dua solusi potensial:
- Rekomendasi: Konversikan sertifikat ke format DER sebelum mengimpor. Ini adalah langsung konversi dengan OpenSSL (menggantikan
CERT.crt
danCERT.der
dengan nama file Anda yang sebenarnya dalam perintah berikut):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Jika Anda tidak dapat mengonversi file Anda, kembalikan ke rilis sebelumnya Manajer YubiKey juga akan berfungsi. Versi terbaru yang kami temukan berhasil mengimpor ECC
.crt
file yang diunduh dari SSL.com adalah1.1.5
.
Langkah 4: Instal Sertifikat di YubiKey
- Luncurkan YubiKey Manager dan mavigate ke Aplikasi> PIV.
- klik Konfigurasikan Sertifikat .
- Pilih tab untuk slot YubiKey yang sama tempat Anda membuat pasangan kunci.
- klik impor .
- Arahkan ke file sertifikat entitas akhir Anda dan klik impor .
- Masukkan YubiKey Anda kunci manajemen, Lalu klik OK. Jika Anda memerlukan kunci manajemen Anda, silakan hubungi Support@SSL.com.
- Sertifikat penandatanganan kode EV baru dipasang di YubiKey.
- Untuk memastikan tanda tangan digital Anda dipercaya di semua komputer, Anda juga harus menginstal sertifikat root dan intermediate pada YubiKey Anda untuk rantai kepercayaan yang lengkap. Silakan ikuti petunjuk ini untuk root dan instalasi menengah: Instal Sertifikat Akar dan Menengah SSL.com di YubiKey.