Yubikeyを使用した鍵の生成と証明

の目的のために EVコード署名 および Adobe PDFデジタル署名、秘密鍵を安全に生成して、コンピューターではなく外部のFIPS検証済みハードウェアデバイスに保存する必要があります。 SSL.comは、オプションで、プリインストールされたEVコード署名およびPDFドキュメント署名証明書を出荷します。 FIPS140-2検証済みセキュリティキーUSBトークン、ただし、ユーザーは既存のYubiKeyと 証明書 秘密鍵がデバイスで生成されたことを証明します。 次に、証明書は、YubiKeyに手動でインストールできるSSL.comから証明書を注文するために使用できます。

Do これらのYubiKeyは証明書がプリインストールされた状態で出荷されるため、SSL.comから証明書と一緒にYubiKeyを注文した場合は、これらの手順に従ってください。 このハウツーは、すでに所有しているYubiKeyFIPSに証明書をインストールしたいお客様向けです。

このハウツーでは、次の手順を説明します。

  • 生成中 キーペア および 証明書 あなたのユビキーに
  • 検証中 証明書とSSL.com EVコード署名またはPDFドキュメント署名順序との関連付け
  • 装着 YubiKeyの新しい証明書
注: 以下のスクリーンショットはWindowsのものですが、手順はLinuxとmacOSでほとんど同じです。 プラットフォーム間の違いを以下に示します。 Linuxの手順はUbuntu 19.10を参照しており、YubiKeyマネージャーは apt-get (ユビコの 説明書 詳細については)。 Linux AppImageはYubiKey Managerからも入手できます。 ダウンロードのページ。 また、これらの手順ではYubicoのYubikey Managerソフトウェアを使用していますが、SSL.comの3.0リリースは SSL Manager サポート YubiKeyでの鍵ペアの生成と証明書のインストール Windowsユーザー向け。

ステップ1:YubiKeyでキーペアを生成する

  1. まだ行っていない場合は、ダウンロードしてインストールします ユビキーマネージャー ユビコのウェブサイトから。 Windows、Linux、およびmacOSのバージョンが利用可能です。
    YubiKey Managerダウンロード
  2. YubiKeyを接続し、YubiKey Managerを起動します。 YubiKeyがYubiKey Managerウィンドウに表示されます。
    ユビキーマネージャー
  3. MFAデバイスに移動する アプリケーション> PIV.
    アプリケーション> PIV
  4. クリック 証明書を構成する
    証明書を構成する
  5. キーペアを生成するYubiKeyスロットのタブを選択します。 EVコード署名証明書を購入する場合は、 認証 (スロット9a)。 PDFドキュメントの署名については、 デジタル署名 (スロット9c)。 (Yubicoのを参照してください ドキュメント さまざまなキースロットとその目的の機能の詳細については、 PINエントリポリシーが異なります)。 ここでは、スロット9aを使用します。
    認証(スロット9a)
  6. クリック 生成する
    生成する
  7. 選択 証明書署名リクエスト(CSR)次に、 Next
    証明書署名リクエスト(CSR)
  8. 選択する アルゴリズム ドロップダウンメニューから。 文書の署名には、 RSA2048. EVコード署名の場合は、 ECCP256 or ECCP384.
    アルゴリズムを選択
  9. 入力します 件名 証明書の場合は、 Next
    注: 実際には使用しません CSR-新しい鍵ペアの作成の副産物として生成されます。 したがって、ここでサブジェクト名に何を入力するかは重要ではありません。
    件名
    ユーザーは、新しい注文を送信するときにSSL.comに新しい発行を要求する必要があります。発行は自動的には行われません。
  10. クリック 生成する
    生成する
  11. 保存する場所を選択してください CSR ファイル、ファイル名を作成し、 Save
    Save CSR
  12. YubiKeyを入力してください 管理キー、[OK]をクリックします OK。 管理キーが必要な場合は、お問い合わせください Support@SSL.com.
    管理キー
  13. YubiKeyを入力してください PIN、[OK]をクリックします OK。 PINの確認についてサポートが必要な場合は、 このハウツー.
    PINを入力してください
  14.   CSR 上記の手順11で指定した場所にファイルが保存されます。 繰り返しますが、続行するためにこのファイルは必要ありません。安全に削除できます。
    CSR file

手順2:証明書を生成する

各YubiKeyには、Yubicoからの秘密鍵と証明書がプリロードされており、 証明書 YubiKeyで秘密鍵が生成されたことを確認します。 この操作では、コマンドラインを使用する必要があります。

  1. Windowsで、管理者としてPowerShellを開きます。 macOSおよびLinuxユーザーは、デバイスでターミナルウィンドウを開く必要があります。
    管理者としてPowerShellを開く
  2. 次のコマンドを使用して、YubiKeyManagerファイルに移動します。
    • Windows:
      cd「C:Program FilesYubicoYubiKey Manager」
    • MacOSの:
      cd /アプリケーション/YubiKey Manager.app/Contents/MacOS
    • Linux(Ubuntu)では、 ykman コマンドは既にインストールされています PATHなので、このステップをスキップできます。
  3. 以下のコマンドを使用して、キーの証明書を生成します(replace ATTESTATION-FILENAME.crt 使用するパスとファイル名。 スロット9cを使用した場合は、 9a   9c):
    • Windows:
      .ykman.exe piv キーは 9a を証明します ATESTATION-FILENAME.crt
    • Linux(Ubuntu):
      ykmanpivキーは9aATTESTATION-FILENAME.crtを証明します
    • MacOSの:
      ./ykman piv キーは 9a ATTESTATION-FILENAME.crt を証明します
  4. 次に、 ykman YubiKeyのスロットf9から中間証明書をエクスポートするコマンド(置換 INTERMEDIATE-FILENAME.crt 使用したいパスとファイル名で):
    • Windows:
      .ykman.exe piv 証明書エクスポート f9 中間ファイル名.crt
    • Linux(Ubuntu):
      ykmanpiv証明書はf9INTERMEDIATE-FILENAME.crtをエクスポートします
    • MacOSの:
      ./ykmanpiv証明書エクスポートf9INTERMEDIATE-FILENAME.crt

手順3:SSL.comを使用して証明書を確認し、注文に添付する

  1. ここでは、YubiKeyスロット9aの証明書をEVコード署名証明書の注文とともに使用します。 (証明書に署名するための手順は同じです。)最初に、テキストエディターで証明書と中間証明書を開きます。
    証明書
  2. SSL.comユーザーアカウントにログインし、に移動します 注文 タブをクリックし、 細部 アテステーション証明書に関連付ける注文のリンク。 (このリンクはに変更されます ダウンロード 証明書が発行された後。)
    注: 注文に添付せずに認証証明書の有効性を確認したい場合は、SSL.comを使用できます。 証明検証ツール.
    細部
  3. クリック 管理します リンク、下 証明.
    リンクを管理する
  4. 証明書および中間証明書のフィールドを含む新しいページが表示されます。
    証明の検証
  5. 証明書をに貼り付けます 証明書 フィールド、行を含めることを確認 -----BEGIN CERTIFICATE----- および -----END CERTIFICATE-----.
    証明書を貼り付け
  6. 次に、中間証明書を 中間証明書 フィールド。
    中間証明書フィールド
  7. クリック 送信
    送信ボタン
  8. すべてが正常に完了すると、認証が成功したことを示す緑色のアラートが画面の上部に表示されます。
    成功した証明
  9. アカウントの注文に戻ります。 ラベルの付いたリンクが存在することにより、アテステーションが注文に追加されたことを確認できます 削除証明.
    リンクを削除
  10. SSL.com が注文を処理すると、SSL.com アカウントで証明書が利用できるようになります。注文詳細ページから下にスクロールして、 エンドエンティティ証明書 セクションをクリックして Show Details.
  11. というラベルの付いたサブセクションまで下にスクロールします。 コード署名証明書 or 文書署名証明書、ご注文に応じて。右側に、証明書のダウンロード リンクが表示されます。

    1. あなたが持っている場合 文書署名証明書を選択してください 個別の証明書 ダウンロードオプション。これは、エンドエンティティ証明書、中間証明書、ルート証明書の 3 つの証明書ファイルを含む zip ファイルです。
    2. あなたが持っている場合 コード署名証明書を選択してください YUBIKEY インストール用 (DER).

警告: 最近のバージョンのYubiKeyManagerで、ECC証明書をインポートするときにエラーメッセージが表示されます(YubiKeyでのEVコード署名に必要になりました)。 XNUMXつの潜在的な回避策があります。

  • 推奨: インポートする前に、証明書をDER形式に変換してください。 これは単純明快です OpenSSLによる変換 (置き換える CERT.crt および CERT.der 次のコマンドで実際のファイル名を使用):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • ファイルを変換できない場合は、 以前のリリース YubiKeyManagerのも動作します。 ECCを正常にインポートできることがわかった最新バージョン .crt SSL.comからダウンロードしたファイルは 1.1.5.

ステップ4:YubiKeyに証明書をインストールする

  1. YubiKey Managerを起動して次の場所に移動します アプリケーション> PIV.
    アプリケーション> PIV
  2. クリック 証明書を構成する
    証明書を構成する
  3. 鍵ペアを生成したのと同じYubiKeyスロットのタブを選択します。
    認証(スロット9a)
  4. クリック インポート
    インポートボタン
  5. エンドエンティティ証明書ファイルに移動し、[ インポート
    輸入証明書
  6. YubiKeyを入力してください 管理キー、[OK]をクリックします OK。 管理キーが必要な場合は、お問い合わせください Support@SSL.com.
    管理キー
  7. 新しいEVコード署名証明書がYubiKeyにインストールされます。
    証明書がインストールされています
  8. デジタル署名がすべてのコンピューターで信頼されていることを確認するには、完全な信頼チェーンのために、ルート証明書と中間証明書をYubiKeyにインストールする必要もあります。 ルートおよび中間インストールについては、次の手順に従ってください。 YubiKeyにSSL.comルート証明書と中間証明書をインストールします.
SSL.comをご利用いただきありがとうございます。 ご不明な点がございましたら、メールでお問い合わせください。 Support@SSL.com電話する 1-877-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。 また、サポートに関する多くの一般的な質問への回答も、 知識ベース.

SSL.com のニュースレターを購読する

SSL.comからの新しい記事と更新をお見逃しなく

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。