の目的のために EVコード署名 • Adobe PDFデジタル署名、秘密鍵を安全に生成して、コンピューターではなく外部のFIPS検証済みハードウェアデバイスに保存する必要があります。 SSL.comは、オプションで、プリインストールされたEVコード署名およびPDFドキュメント署名証明書を出荷します。 FIPS140-2検証済みセキュリティキーUSBトークン、ただし、ユーザーは既存のYubiKeyと 証明書 秘密鍵がデバイスで生成されたことを証明します。 次に、証明書は、YubiKeyに手動でインストールできるSSL.comから証明書を注文するために使用できます。
Do これらのYubiKeyは証明書がプリインストールされた状態で出荷されるため、SSL.comから証明書と一緒にYubiKeyを注文した場合は、これらの手順に従ってください。 このハウツーは、すでに所有しているYubiKeyFIPSに証明書をインストールしたいお客様向けです。
このハウツーでは、次の手順を説明します。
ご注意: 以下のスクリーンショットはWindowsのものですが、手順はLinuxとmacOSでほとんど同じです。 プラットフォーム間の違いを以下に示します。 Linuxの手順はUbuntu 19.10を参照しており、YubiKeyマネージャーは
apt-get
(ユビコの 説明書 詳細については)。 Linux AppImageはYubiKey Managerからも入手できます。 ダウンロードのページ。 また、これらの手順ではYubicoのYubikey Managerソフトウェアを使用していますが、SSL.comの3.0リリースは SSL Manager サポート YubiKeyでの鍵ペアの生成と証明書のインストール Windowsユーザー向け。ステップ1:YubiKeyでキーペアを生成する
- まだ行っていない場合は、ダウンロードしてインストールします ユビキーマネージャー ユビコのウェブサイトから。 Windows、Linux、およびmacOSのバージョンが利用可能です。
- YubiKeyを接続し、YubiKey Managerを起動します。 YubiKeyがYubiKey Managerウィンドウに表示されます。
- MFAデバイスに移動する アプリケーション> PIV.
- クリック 証明書を構成する
- キーペアを生成するYubiKeyスロットのタブを選択します。 EVコード署名証明書を購入する場合は、 認証 (スロット9a)。 PDFドキュメントの署名については、 デジタル署名 (スロット9c)。 (Yubicoのを参照してください ドキュメント さまざまなキースロットとその目的の機能の詳細については、 PINエントリポリシーが異なります)。 ここでは、スロット9aを使用します。
- クリック 生成する
- 選択 証明書署名リクエスト(CSR)次に、 次へ
- 選択する アルゴリズム ドロップダウンメニューから。 文書の署名には、
RSA2048
. EVコード署名の場合は、ECCP256
orECCP384
.
- 入力します 件名 証明書の場合は、 次へ
ご注意: 実際には使用しません CSR-新しい鍵ペアの作成の副産物として生成されます。 したがって、ここでサブジェクト名に何を入力するかは重要ではありません。ユーザーは、新しい注文を送信するときにSSL.comに新しい発行を要求する必要があります。発行は自動的には行われません。 - クリック 生成する
- 保存する場所を選択してください CSR ファイル、ファイル名を作成し、 Save
- YubiKeyを入力してください 管理キー、[OK]をクリックします OK。 管理キーが必要な場合は、お問い合わせください Support@SSL.com.
- YubiKeyを入力してください PIN、[OK]をクリックします OK。 PINの確認についてサポートが必要な場合は、 このハウツー.
- この CSR 上記の手順11で指定した場所にファイルが保存されます。 繰り返しますが、続行するためにこのファイルは必要ありません。安全に削除できます。
手順2:証明書を生成する
各YubiKeyには、Yubicoからの秘密鍵と証明書がプリロードされており、 証明書 YubiKeyで秘密鍵が生成されたことを確認します。 この操作では、コマンドラインを使用する必要があります。
- Windowsで、管理者としてPowerShellを開きます。 macOSおよびLinuxユーザーは、デバイスでターミナルウィンドウを開く必要があります。
- 次のコマンドを使用して、YubiKeyManagerファイルに移動します。
- Windows:
cd「C:Program FilesYubicoYubiKey Manager」
- MacOSの:
cd /アプリケーション/YubiKey Manager.app/Contents/MacOS
- Linux(Ubuntu)では、
ykman
コマンドは既にインストールされていますPATH
なので、このステップをスキップできます。
- Windows:
- 以下のコマンドを使用して、キーの証明書を生成します(replace
ATTESTATION-FILENAME.crt
使用するパスとファイル名。 スロット9cを使用した場合は、9a
9c
):- Windows:
.ykman.exe piv キーは 9a を証明します ATESTATION-FILENAME.crt
- Linux(Ubuntu):
ykmanpivキーは9aATTESTATION-FILENAME.crtを証明します
- MacOSの:
./ykman piv キーは 9a ATTESTATION-FILENAME.crt を証明します
- Windows:
- 次に、
ykman
YubiKeyのスロットf9から中間証明書をエクスポートするコマンド(置換INTERMEDIATE-FILENAME.crt
使用したいパスとファイル名で):- Windows:
.ykman.exe piv 証明書エクスポート f9 中間ファイル名.crt
- Linux(Ubuntu):
ykmanpiv証明書はf9INTERMEDIATE-FILENAME.crtをエクスポートします
- MacOSの:
./ykmanpiv証明書エクスポートf9INTERMEDIATE-FILENAME.crt
- Windows:
手順3:SSL.comを使用して証明書を確認し、注文に添付する
- ここでは、YubiKeyスロット9aの証明書をEVコード署名証明書の注文とともに使用します。 (証明書に署名するための手順は同じです。)最初に、テキストエディターで証明書と中間証明書を開きます。
- SSL.comユーザーアカウントにログインし、に移動します 注文 タブをクリックし、 細部 アテステーション証明書に関連付ける注文のリンク。 (このリンクはに変更されます ダウンロード 証明書が発行された後。)
ご注意: 注文に添付せずに認証証明書の有効性を確認したい場合は、SSL.comを使用できます。 証明検証ツール. - クリック 管理します リンク、下 証明.
- 証明書および中間証明書のフィールドを含む新しいページが表示されます。
- 証明書をに貼り付けます 証明書 フィールド、行を含めることを確認
-----BEGIN CERTIFICATE-----
•-----END CERTIFICATE-----
.
- 次に、中間証明書を 中間証明書 フィールド。
- クリック 送信
- すべてが正常に完了すると、認証が成功したことを示す緑色のアラートが画面の上部に表示されます。
- アカウントの注文に戻ります。 ラベルの付いたリンクが存在することにより、アテステーションが注文に追加されたことを確認できます 削除 下 証明.
- SSL.com が注文を処理すると、SSL.com アカウントで証明書が利用できるようになります。注文詳細ページから下にスクロールして、 エンドエンティティ証明書 セクションをクリックして Show Details.
- というラベルの付いたサブセクションまで下にスクロールします。 コード署名証明書 or 文書署名証明書、ご注文に応じて。右側に、証明書のダウンロード リンクが表示されます。
- あなたが持っている場合 文書署名証明書を選択してください 個別の証明書 ダウンロードオプション。これは、エンドエンティティ証明書、中間証明書、ルート証明書の 3 つの証明書ファイルを含む zip ファイルです。
- あなたが持っている場合 コード署名証明書を選択してください YUBIKEY インストール用 (DER).
- あなたが持っている場合 文書署名証明書を選択してください 個別の証明書 ダウンロードオプション。これは、エンドエンティティ証明書、中間証明書、ルート証明書の 3 つの証明書ファイルを含む zip ファイルです。
警告: 最近のバージョンのYubiKeyManagerで、ECC証明書をインポートするときにエラーメッセージが表示されます(YubiKeyでのEVコード署名に必要になりました)。 XNUMXつの潜在的な回避策があります。
- 推奨: インポートする前に、証明書をDER形式に変換してください。 これは単純明快です OpenSSLによる変換 (置き換える
CERT.crt
•CERT.der
次のコマンドで実際のファイル名を使用):
openssl x509 -outform der -in CERT.crt -out CERT.der
- ファイルを変換できない場合は、 以前のリリース YubiKeyManagerのも動作します。 ECCを正常にインポートできることがわかった最新バージョン
.crt
SSL.comからダウンロードしたファイルは1.1.5
.
ステップ4:YubiKeyに証明書をインストールする
- YubiKey Managerを起動して次の場所に移動します アプリケーション> PIV.
- クリック 証明書を構成する
- 鍵ペアを生成したのと同じYubiKeyスロットのタブを選択します。
- クリック インポート
- エンドエンティティ証明書ファイルに移動し、[ インポート
- YubiKeyを入力してください 管理キー、[OK]をクリックします OK。 管理キーが必要な場合は、お問い合わせください Support@SSL.com.
- 新しいEVコード署名証明書がYubiKeyにインストールされます。
- デジタル署名がすべてのコンピューターで信頼されていることを確認するには、完全な信頼チェーンのために、ルート証明書と中間証明書をYubiKeyにインストールする必要もあります。 ルートおよび中間インストールについては、次の手順に従ってください。 YubiKeyにSSL.comルート証明書と中間証明書をインストールします.
SSL.comをご利用いただきありがとうございます。 ご不明な点がございましたら、メールでお問い合わせください。 Support@SSL.com電話する 1-877-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。 また、サポートに関する多くの一般的な質問への回答も、 知識ベース.