Allo scopo di Firma del codice EV e Firme digitali Adobe PDF, è necessario che la chiave privata sia generata e archiviata in modo sicuro su un dispositivo hardware convalidato FIPS esterno anziché sul computer. SSL.com spedisce facoltativamente la firma del codice EV e i certificati di firma dei documenti PDF preinstallati Token USB della chiave di sicurezza convalidati FIPS 140-2, ma gli utenti possono anche generare una coppia di chiavi su una YubiKey esistente e un certificato di attestazione che dimostra che la chiave privata è stata generata sul dispositivo. Il certificato di attestazione può quindi essere utilizzato per ordinare certificati da SSL.com che possono essere installati manualmente su YubiKey.
Questo tutorial ti guiderà attraverso:
- Generazione di a coppia di chiavi e certificato di attestazione sul tuo Yubikey
- verifica il certificato di attestazione e associandolo a un ordine di firma del codice EV SSL.com o di firma del documento PDF
- Installazione il tuo nuovo certificato in YubiKey
apt-get
(vedi Yubico's istruzioni per maggiori informazioni). Un'immagine Linux AppImage è disponibile anche da YubiKey Manager pagina di download. Si noti inoltre che mentre queste istruzioni utilizzano il software Yubikey Manager di Yubico, la versione 3.0 di SSL.com SSL Manager supporta generazione di coppie di chiavi e installazione del certificato su YubiKey per utenti Windows.Passaggio 1: Genera coppia di chiavi su YubiKey
- Se non lo hai già fatto, scarica e installa Manager YubiKey dal sito web di Yubico. Sono disponibili versioni per Windows, Linux e macOS.
- Collega la tua YubiKey, quindi avvia YubiKey Manager. La tua YubiKey dovrebbe essere visualizzata nella finestra YubiKey Manager.
- Accedere a Applicazioni> PIV.
- Clicca su Configura certificati pulsante.
- Seleziona la scheda per lo slot YubiKey in cui desideri generare la coppia di chiavi. Se stai acquistando un certificato di firma del codice EV, scegli Autenticazione (slot 9a). Per la firma del documento PDF, selezionare Firma digitale (slot 9c). (Vedi Yubico documentazione per ulteriori informazioni sui vari slot dei tasti e sulle loro funzioni previste; differiscono nelle loro politiche di immissione del PIN). Qui useremo lo slot 9a.
- Clicca su Generare pulsante.
- Seleziona Richiesta firma certificato (CSR), Quindi fare clic sul Avanti pulsante.
- Seleziona un Algoritmo dal menu a tendina. Per la firma del documento, scegli
RSA2048
. Per la firma del codice EV, scegliECCP256
orECCP384
.
- Entrare in un Nome soggetto per il certificato, quindi fare clic su Avanti pulsante.
Nota: In realtà non lo useremo CSR—È generato come sottoprodotto della creazione di una nuova coppia di chiavi. Quindi, non importa cosa inserisci qui per il nome del soggetto.Gli utenti devono chiedere a SSL.com una nuova emissione al momento dell'invio di un nuovo ordine, l'emissione non avverrà automaticamente. - Clicca su Generare pulsante.
- Seleziona una posizione per salvare il file CSR file, creare un nome file, quindi fare clic su Risparmi pulsante.
- Inserisci la tua YubiKey chiave di gestione, quindi fare clic OK. Se hai bisogno della tua chiave di gestione, contatta Support@SSL.com.
- Inserisci la tua YubiKey PIN, quindi fare clic OK. Se hai bisogno di aiuto per trovare il tuo PIN, fai riferimento a questo come fare.
- La CSR il file verrà salvato nella posizione specificata al passaggio 11 sopra. Ancora una volta, non abbiamo bisogno di questo file per procedere e puoi eliminarlo in sicurezza.
Passaggio 2: Genera certificato di attestazione
Ogni YubiKey è precaricato con una chiave privata e un certificato di Yubico che ti consente di generare un certificato di attestazione per verificare che una chiave privata sia stata generata su una YubiKey. Questa operazione richiederà di utilizzare la riga di comando.
- In Windows, apri PowerShell come amministratore. Gli utenti macOS e Linux dovrebbero aprire una finestra di terminale sul proprio dispositivo.
- Utilizza il seguente comando per accedere ai file di YubiKey Manager:
- Windows:
cd "C:ProgrammiYubicoYubiKey Manager"
- Mac OS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- Su Linux (Ubuntu), il
ykman
il comando sarà già installato nel tuoPATH
, quindi puoi saltare questo passaggio.
- Windows:
- Genera un certificato di attestazione per la chiave con il comando seguente (sostituisci
ATTESTATION-FILENAME.crt
con il percorso e il nome file che si desidera utilizzare; se hai utilizzato lo slot 9c, sostituiscilo9a
con9c
):- Windows:
Le chiavi piv .ykman.exe attestano 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
le chiavi piv ykman attestano 9a ATTESTATION-FILENAME.crt
- Mac OS:
./ykman piv keys attestano 9a ATTESTATION-FILENAME.crt
- Windows:
- Quindi, usa il
ykman
comando per esportare il certificato intermedio dallo slot f9 di YubiKey (sostituireINTERMEDIATE-FILENAME.crt
con il percorso e il nome file che si desidera utilizzare):- Windows:
.ykman.exe certificati piv esporta f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
ykman piv certificati export f9 INTERMEDIATE-FILENAME.crt
- Mac OS:
./ykman piv certificati export f9 INTERMEDIATE-FILENAME.crt
- Windows:
Passaggio 3: verifica il certificato di attestazione con SSL.com e allegalo all'ordine
- Qui useremo il nostro certificato di attestazione dallo slot 9a di YubiKey con un ordine di certificato di firma del codice EV. (La procedura per i certificati di firma dei documenti è la stessa.) Innanzitutto, apri l'attestazione e i certificati intermedi in un editor di testo.
- Accedi al tuo account utente SSL.com e vai al file Ordini scheda, quindi fare clic su dettagli link per l'ordine che si desidera associare al certificato di attestazione. (Questo collegamento cambierà in scaricare dopo l'emissione del certificato.)
Nota: Se desideri verificare la validità del tuo certificato di attestazione senza allegarlo a un ordine, puoi utilizzare SSL.com strumento di verifica dell'attestazione. - Clicca su gestire link, sotto attestazione.
- Apparirà una nuova pagina con i campi per l'attestazione e i certificati intermedi.
- Incolla il certificato di attestazione nel file Certificato di attestazione campo, assicurandosi di includere le linee
-----BEGIN CERTIFICATE-----
e-----END CERTIFICATE-----
.
- Successivamente, incolla il certificato intermedio nel file Certificato intermedio campo.
- Clicca su Invio pulsante.
- Se tutto è andato per il verso giusto, nella parte superiore dello schermo apparirà un avviso verde, indicante l'avvenuta attestazione.
- Torna all'ordine nel tuo account. È possibile verificare che l'attestazione sia stata aggiunta all'ordine dalla presenza di un collegamento etichettato Elimina per attestazione.
- Dopo che SSL.com avrà elaborato il tuo ordine, il certificato sarà disponibile nel tuo account SSL.com. Dalla pagina dei dettagli dell'ordine, scorri verso il basso fino a CERTIFICATI DI ENTITÀ FINE sezione e clicca Mostra dettagli.
- Scorri verso il basso fino alla sottosezione etichettata Certificato di firma del codice or Certificato di firma del documento, a seconda del tuo ordine. A destra vedrai i collegamenti per il download del tuo certificato.
- Se si dispone di un Certificato di firma del documento, scegli il certificati individuali opzione di download. Questo è un file zip contenente tre file di certificato: il certificato dell'entità finale, un certificato intermedio e un certificato radice.
- Se si dispone di un Certificato di firma del codice, scegli il per installazione YUBIKEY (DER).
- Se si dispone di un Certificato di firma del documento, scegli il certificati individuali opzione di download. Questo è un file zip contenente tre file di certificato: il certificato dell'entità finale, un certificato intermedio e un certificato radice.
Attenzione: Abbiamo visto messaggi di errore nelle versioni recenti di YubiKey Manager durante l'importazione di certificati ECC (ora richiesto per EV Code Signing su YubiKey). Esistono due possibili soluzioni alternative:
- Consigliato: Convertire il certificato in formato DER prima dell'importazione. Questo è un semplice conversione con OpenSSL (sostituire
CERT.crt
eCERT.der
con il tuo nome file effettivo nel seguente comando):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Se non riesci a convertire il tuo file, torna a an versione precedente di YubiKey Manager funzionerà anche. La versione più recente che abbiamo trovato per importare con successo ECC
.crt
i file scaricati da SSL.com sono1.1.5
.
Passaggio 4: installare il certificato in YubiKey
- Avvia YubiKey Manager e naviga su Applicazioni> PIV.
- Clicca su Configura certificati pulsante.
- Seleziona la scheda per lo stesso slot YubiKey in cui hai generato la coppia di chiavi.
- Clicca su Importare pulsante.
- Passa al file del certificato dell'entità finale e fai clic su Importare pulsante.
- Inserisci la tua YubiKey chiave di gestione, quindi fare clic OK. Se hai bisogno della tua chiave di gestione, contatta Support@SSL.com.
- Il nuovo certificato di firma del codice EV è installato nella YubiKey.
- Per assicurarti che le tue firme digitali siano affidabili su tutti i computer, dovresti anche installare i certificati root e intermedi sulla tua YubiKey per una catena di fiducia completa. Segui queste istruzioni per l'installazione root e intermedia: Installa i certificati radice e intermedi SSL.com su YubiKey.