Generazione e attestazione chiave con Yubikey

Come generare una coppia di chiavi e un certificato di attestazione sul tuo FIPS YubiKey per ordinare certificati di firma del codice EV e di firma dei documenti.

Allo scopo di Firma del codice EV e Firme digitali Adobe PDF, è necessario che la chiave privata sia generata e archiviata in modo sicuro su un dispositivo hardware convalidato FIPS esterno anziché sul computer. SSL.com spedisce facoltativamente la firma del codice EV e i certificati di firma dei documenti PDF preinstallati Token USB della chiave di sicurezza convalidati FIPS 140-2, ma gli utenti possono anche generare una coppia di chiavi su una YubiKey esistente e un certificato di attestazione che dimostra che la chiave privata è stata generata sul dispositivo. Il certificato di attestazione può quindi essere utilizzato per ordinare certificati da SSL.com che possono essere installati manualmente su YubiKey.

Do non segui queste istruzioni se hai ordinato una YubiKey insieme al tuo certificato da SSL.com, poiché queste YubiKey vengono spedite con certificati preinstallati. Questa guida è per i clienti che desiderano installare certificati su una YubiKey FIPS che già possiedono.

Questo tutorial ti guiderà attraverso:

Nota: Le schermate seguenti sono di Windows, ma le procedure sono quasi identiche su Linux e macOS. Le differenze tra le piattaforme sono indicate di seguito. Le istruzioni di Linux si riferiscono a Ubuntu 19.10, con YubiKey Manager installato con apt-get (vedi Yubico's istruzioni per maggiori informazioni). Un'immagine Linux AppImage è disponibile anche da YubiKey Manager pagina di download. Si noti inoltre che mentre queste istruzioni utilizzano il software Yubikey Manager di Yubico, la versione 3.0 di SSL.com SSL Manager supporta generazione di coppie di chiavi e installazione del certificato su YubiKey per utenti Windows.

Passaggio 1: Genera coppia di chiavi su YubiKey

  1. Se non lo hai già fatto, scarica e installa Manager YubiKey dal sito web di Yubico. Sono disponibili versioni per Windows, Linux e macOS.
    Download di YubiKey Manager
  2. Collega la tua YubiKey, quindi avvia YubiKey Manager. La tua YubiKey dovrebbe essere visualizzata nella finestra YubiKey Manager.
    Manager YubiKey
  3. Accedere a Applicazioni> PIV.
    Applicazioni> PIV
  4. Clicca su Configura certificati pulsante.
    Configura certificati
  5. Seleziona la scheda per lo slot YubiKey in cui desideri generare la coppia di chiavi. Se stai acquistando un certificato di firma del codice EV, scegli Autenticazione (slot 9a). Per la firma del documento PDF, selezionare Firma digitale (slot 9c). (Vedi Yubico documentazione per ulteriori informazioni sui vari slot dei tasti e sulle loro funzioni previste; differiscono nelle loro politiche di immissione del PIN). Qui useremo lo slot 9a.
    Autenticazione (slot 9a)
  6. Clicca su Generare pulsante.
    Generare
  7. Seleziona Richiesta firma certificato (CSR), Quindi fare clic sul Avanti pulsante.
    Richiesta firma certificato (CSR)
  8. Seleziona un Algoritmo dal menu a tendina. Per la firma del documento, scegli RSA2048. Per la firma del codice EV, scegli ECCP256 or ECCP384.
    seleziona algoritmo
  9. Entrare in un Nome soggetto per il certificato, quindi fare clic su Avanti pulsante.
    Nota: In realtà non lo useremo CSR—È generato come sottoprodotto della creazione di una nuova coppia di chiavi. Quindi, non importa cosa inserisci qui per il nome del soggetto.
    Nome soggetto
    Gli utenti devono chiedere a SSL.com una nuova emissione al momento dell'invio di un nuovo ordine, l'emissione non avverrà automaticamente.
  10. Clicca su Generare pulsante.
    generare
  11. Seleziona una posizione per salvare il file CSR file, creare un nome file, quindi fare clic su Risparmi pulsante.
    Risparmi CSR
  12. Inserisci la tua YubiKey chiave di gestione, quindi fare clic OK. Se hai bisogno della tua chiave di gestione, contatta Support@SSL.com.
    chiave di gestione
  13. Inserisci la tua YubiKey PIN, quindi fare clic OK. Se hai bisogno di aiuto per trovare il tuo PIN, fai riferimento a questo come fare.
    Inserisci il PIN
  14. La CSR il file verrà salvato nella posizione specificata al passaggio 11 sopra. Ancora una volta, non abbiamo bisogno di questo file per procedere e puoi eliminarlo in sicurezza.
    CSR filetto

Passaggio 2: Genera certificato di attestazione

Ogni YubiKey è precaricato con una chiave privata e un certificato di Yubico che ti consente di generare un certificato di attestazione per verificare che una chiave privata sia stata generata su una YubiKey. Questa operazione richiederà di utilizzare la riga di comando.

  1. In Windows, apri PowerShell come amministratore. Gli utenti macOS e Linux dovrebbero aprire una finestra di terminale sul proprio dispositivo.
    Apri PowerShell come amministratore
  2. Utilizza il seguente comando per accedere ai file di YubiKey Manager:
    • Windows:
      cd "C:ProgrammiYubicoYubiKey Manager"
    • Mac OS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • Su Linux (Ubuntu), il ykman il comando sarà già installato nel tuo PATH, quindi puoi saltare questo passaggio.
  3. Genera un certificato di attestazione per la chiave con il comando seguente (sostituisci ATTESTATION-FILENAME.crt con il percorso e il nome file che si desidera utilizzare; se hai utilizzato lo slot 9c, sostituiscilo 9a con 9c):
    • Windows:
      Le chiavi piv .ykman.exe attestano 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      le chiavi piv ykman attestano 9a ATTESTATION-FILENAME.crt
    • Mac OS:
      ./ykman piv keys attestano 9a ATTESTATION-FILENAME.crt
  4. Quindi, usa il ykman comando per esportare il certificato intermedio dallo slot f9 di YubiKey (sostituire INTERMEDIATE-FILENAME.crt con il percorso e il nome file che si desidera utilizzare):
    • Windows:
      .ykman.exe certificati piv esporta f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv certificati export f9 INTERMEDIATE-FILENAME.crt
    • Mac OS:
      ./ykman piv certificati export f9 INTERMEDIATE-FILENAME.crt

Passaggio 3: verifica il certificato di attestazione con SSL.com e allegalo all'ordine

  1. Qui useremo il nostro certificato di attestazione dallo slot 9a di YubiKey con un ordine di certificato di firma del codice EV. (La procedura per i certificati di firma dei documenti è la stessa.) Innanzitutto, apri l'attestazione e i certificati intermedi in un editor di testo.
    Certificato di attestazione
  2. Accedi al tuo account utente SSL.com e vai al file Ordini scheda, quindi fare clic su dettagli link per l'ordine che si desidera associare al certificato di attestazione. (Questo collegamento cambierà in scaricare dopo l'emissione del certificato.)
    Nota: Se desideri verificare la validità del tuo certificato di attestazione senza allegarlo a un ordine, puoi utilizzare SSL.com strumento di verifica dell'attestazione.
    dettagli
  3. Clicca su gestire link, sotto attestazione.
    gestire il collegamento
  4. Apparirà una nuova pagina con i campi per l'attestazione e i certificati intermedi.
    Verifica dell'attestazione
  5. Incolla il certificato di attestazione nel file Certificato di attestazione campo, assicurandosi di includere le linee -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
    incolla certificato di attestazione
  6. Successivamente, incolla il certificato intermedio nel file Certificato intermedio campo.
    Campo del certificato intermedio
  7. Clicca su Invio pulsante.
    Pulsante Invia
  8. Se tutto è andato per il verso giusto, nella parte superiore dello schermo apparirà un avviso verde, indicante l'avvenuta attestazione.
    Attestazione riuscita
  9. Torna all'ordine nel tuo account. È possibile verificare che l'attestazione sia stata aggiunta all'ordine dalla presenza di un collegamento etichettato Elimina per attestazione.
    Elimina collegamento
  10. Dopo che SSL.com avrà elaborato il tuo ordine, il certificato sarà disponibile nel tuo account SSL.com. Dalla pagina dei dettagli dell'ordine, scorri verso il basso fino a CERTIFICATI DI ENTITÀ FINE sezione e clicca Mostra dettagli.
  11. Scorri verso il basso fino alla sottosezione etichettata Certificato di firma del codice or Certificato di firma del documento, a seconda del tuo ordine. A destra vedrai i collegamenti per il download del tuo certificato.

    1. Se si dispone di un Certificato di firma del documento, scegli il certificati individuali opzione di download. Questo è un file zip contenente tre file di certificato: il certificato dell'entità finale, un certificato intermedio e un certificato radice.
    2. Se si dispone di un Certificato di firma del codice, scegli il per installazione YUBIKEY (DER).

Attenzione: Abbiamo visto messaggi di errore nelle versioni recenti di YubiKey Manager durante l'importazione di certificati ECC (ora richiesto per EV Code Signing su YubiKey). Esistono due possibili soluzioni alternative:

  • Consigliato: Convertire il certificato in formato DER prima dell'importazione. Questo è un semplice conversione con OpenSSL (sostituire CERT.crt e CERT.der con il tuo nome file effettivo nel seguente comando):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Se non riesci a convertire il tuo file, torna a an versione precedente di YubiKey Manager funzionerà anche. La versione più recente che abbiamo trovato per importare con successo ECC .crt i file scaricati da SSL.com sono 1.1.5.

Passaggio 4: installare il certificato in YubiKey

  1. Avvia YubiKey Manager e naviga su Applicazioni> PIV.
    Applicazioni> PIV
  2. Clicca su Configura certificati pulsante.
    Configura certificati
  3. Seleziona la scheda per lo stesso slot YubiKey in cui hai generato la coppia di chiavi.
    Autenticazione (slot 9a)
  4. Clicca su Importare pulsante.
    Pulsante di importazione
  5. Passa al file del certificato dell'entità finale e fai clic su Importare pulsante.
    certificato di importazione
  6. Inserisci la tua YubiKey chiave di gestione, quindi fare clic OK. Se hai bisogno della tua chiave di gestione, contatta Support@SSL.com.
    chiave di gestione
  7. Il nuovo certificato di firma del codice EV è installato nella YubiKey.
    Il certificato è installato
  8. Per assicurarti che le tue firme digitali siano affidabili su tutti i computer, dovresti anche installare i certificati root e intermedi sulla tua YubiKey per una catena di fiducia completa. Segui queste istruzioni per l'installazione root e intermedia: Installa i certificati radice e intermedi SSL.com su YubiKey.
Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREoppure fai clic sul link della chat in basso a destra in questa pagina. Puoi anche trovare risposte a molte domande comuni di supporto nel nostro base di conoscenza.

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.