목적 상 EV 코드 서명 및 Adobe PDF 디지털 서명개인 키는 컴퓨터가 아닌 외부 FIPS 검증 하드웨어 장치에 안전하게 생성되고 저장되어야합니다. SSL.com은 사전 설치된 EV 코드 서명 및 PDF 문서 서명 인증서를 선택적으로 제공합니다. FIPS 140-2 인증 보안 키 USB 토큰, 그러나 사용자는 기존 YubiKey 및 증명 증명서 이는 개인 키가 장치에서 생성되었음을 나타냅니다. 그런 다음 증명 인증서를 사용하여 YubiKey에 수동으로 설치할 수있는 SSL.com의 인증서를 주문할 수 있습니다.
Do 지원 SSL.com에서 인증서와 함께 YubiKey를 주문한 경우 이 지침을 따르십시오. 이러한 YubiKey는 인증서가 사전 설치된 상태로 배송되기 때문입니다. 이 방법은 이미 소유하고 있는 YubiKey FIPS에 인증서를 설치하려는 고객을 위한 것입니다.
이 방법은 다음을 안내합니다.
- 생성 키 페어 및 증명 증명서 당신의 Yubikey에
- 확인 중 증명 증명서 및이를 SSL.com EV 코드 서명 또는 PDF 문서 서명 순서와 연관
- 설치 YubiKey의 새 인증서
참고 : 아래 스크린 샷은 Windows에서 가져온 것이지만 절차는 Linux 및 macOS에서 거의 동일합니다. 플랫폼의 차이점은 다음과 같습니다. Linux 지침은 YubiKey 관리자가 설치된 Ubuntu 19.10을 참조하십시오.
apt-get
(Yubico의 명령 자세한 내용은). Linux AppImage는 YubiKey Manager에서도 제공됩니다. 다운로드 페이지로. 또한 이 지침은 Yubico의 Yubikey Manager 소프트웨어를 사용하지만 SSL.com의 3.0 릴리스는 SSL Manager 지원 YubiKey에서 키 쌍 생성 및 인증서 설치 Windows 사용자의 경우.1 단계 : YubiKey에서 키 페어 생성
- 아직 수행하지 않은 경우 다운로드하여 설치하십시오. 유비 키 매니저 Yubico의 웹 사이트에서. Windows, Linux 및 macOS 용 버전을 사용할 수 있습니다.
- YubiKey를 연결 한 다음 YubiKey Manager를 시작합니다. YubiKey가 YubiKey 관리자 창에 표시되어야합니다.
- 로 이동 애플리케이션> PIV.
- 클릭 인증서 구성 버튼을 클릭합니다.
- 키 쌍을 생성하려는 YubiKey 슬롯에 대한 탭을 선택하십시오. EV 코드 서명 인증서를 구매하는 경우 인증 (슬롯 9a). PDF 문서 서명의 경우 전자 서명 (슬롯 9c). (유비코의 선적 서류 비치 다양한 키 슬롯 및 해당 기능에 대한 자세한 정보 PIN 입력 정책이 다릅니다). 여기서 우리는 슬롯 9a를 사용할 것입니다.
- 클릭 생성 버튼을 클릭합니다.
- 선택 인증서 서명 요청 (CSR)다음을 클릭 다음 보기 버튼을 클릭합니다.
- 선택 암호알고리즘 드롭 다운 메뉴에서. 문서 서명의 경우
RSA2048
. EV 코드 서명의 경우ECCP256
orECCP384
.
- 입력 주체 이름 인증서의 경우 다음 보기 버튼을 클릭합니다.
참고 : 우리는 실제로 이것을 사용하지 않을 것입니다 CSR— 새 키 쌍을 생성 할 때 발생하는 부산물로 생성됩니다. 따라서 여기에 주체 이름으로 입력하는 것은 실제로 중요하지 않습니다.사용자는 새 주문을 제출할 때 SSL.com에 새 발급을 요청해야 하며 발급은 자동으로 이루어지지 않습니다. - 클릭 생성 버튼을 클릭합니다.
- 저장할 위치를 선택하십시오. CSR 파일을 만들고 파일 이름을 만든 다음 찜하기 버튼을 클릭합니다.
- YubiKey의 입력 관리 키다음을 클릭합니다 OK. 관리 키가 필요한 경우 Support@SSL.com.
- YubiKey 입력 PIN다음을 클릭합니다 OK. PIN을 찾는 데 도움이 필요하면 다음을 참조하십시오. 이 방법.
- 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 CSR 위의 11 단계에서 지정한 위치에 파일이 저장됩니다. 다시 말하지만이 파일은 계속 진행할 필요가 없으며 안전하게 삭제할 수 있습니다.
2 단계 : 증명 인증서 생성
각 YubiKey에는 Yubico의 개인 키와 인증서가 사전로드되어 있으며 증명 증명서 YubiKey에서 개인 키가 생성되었는지 확인합니다. 이 작업을 수행하려면 명령 줄을 사용해야합니다.
- Windows에서 관리자 권한으로 PowerShell을 엽니 다. macOS 및 Linux 사용자는 장치에서 터미널 창을 열어야합니다.
- 다음 명령을 사용하여 YubiKey Manager 파일을 탐색하십시오.
- 윈도우 :
cd "C:프로그램 파일YubicoYubiKey Manager"
- 맥 OS :
cd /응용 프로그램/YubiKey Manager.app/Contents/MacOS
- Linux (Ubuntu)에서
ykman
명령은 이미PATH
이 단계를 건너 뛸 수 있습니다.
- 윈도우 :
- 아래 명령을 사용하여 키에 대한 증명 인증서를 생성합니다 (대체
ATTESTATION-FILENAME.crt
사용하려는 경로와 파일 이름; 슬롯 9c를 사용한 경우 교체9a
과9c
):- 윈도우 :
.ykman.exe piv 키는 9a ATTESTATION-FILENAME.crt를 증명합니다.
- 리눅스 (우분투) :
ykman piv 키는 9a ATTESTATION-FILENAME.crt를 증명합니다.
- 맥 OS :
./ykman piv 키는 9a ATTESTATION-FILENAME.crt를 증명합니다.
- 윈도우 :
- 다음으로
ykman
YubiKey의 슬롯 f9에서 중간 인증서를 내보내는 명령INTERMEDIATE-FILENAME.crt
사용하려는 경로와 파일 이름)- 윈도우 :
.ykman.exe piv 인증서는 f9 INTERMEDIATE-FILENAME.crt를 내보냅니다.
- 리눅스 (우분투) :
ykman piv 인증서 내보내기 f9 INTERMEDIATE-FILENAME.crt
- 맥 OS :
./ykman piv 인증서 내보내기 f9 INTERMEDIATE-FILENAME.crt
- 윈도우 :
3 단계 : SSL.com으로 증명 인증서 확인 및 주문에 첨부
- 여기서는 EV 코드 서명 인증서 주문과 함께 YubiKey 슬롯 9a의 증명 인증서를 사용합니다. (문서 서명 인증서의 절차는 동일합니다.) 먼저 텍스트 편집기에서 증명 및 중간 인증서를 엽니 다.
- SSL.com 사용자 계정에 로그인하고 주문 탭을 클릭 한 다음 세부설명 증명 인증서와 연결하려는 주문에 대한 링크. (이 링크는 다운로드 인증서 발급 후)
참고 : 주문에 첨부하지 않고 증명 인증서의 유효성을 확인하려면 SSL.com의 증명 확인 도구. - 클릭 관리 아래 링크 증명.
- 증명 및 중간 인증서 필드가있는 새 페이지가 나타납니다.
- 증명 인증서를 증명 증명서 필드, 줄을 포함해야합니다
-----BEGIN CERTIFICATE-----
및-----END CERTIFICATE-----
.
- 다음으로 중간 인증서를 중급 증명서 입력란입니다.
- 클릭 문의하기 버튼을 클릭합니다.
- 모든 것이 올바르게 완료되면 성공적으로 증명되었음을 나타내는 녹색 경고가 화면 상단에 표시됩니다.
- 계정의 주문으로 돌아갑니다. 레이블이 지정된 링크가 있으면 증명이 주문에 추가되었는지 확인할 수 있습니다. . 아래에 증명.
- SSL.com이 귀하의 주문을 처리한 후에 귀하의 SSL.com 계정에서 인증서를 사용할 수 있습니다. 주문 세부정보 페이지에서 아래로 스크롤하여 최종 법인 인증서 섹션을 클릭하십시오. 세부 정보 표시.
- 아래로 스크롤하여 라벨이 붙은 하위 섹션까지 코드 서명 인증서 or 문서 서명 인증서, 귀하의 주문에 따라. 오른쪽에는 인증서 다운로드 링크가 표시됩니다.
- 당신이 있다면 문서 서명 인증서을 선택하십시오 개별 인증서 다운로드 옵션. 이는 최종 엔터티 인증서, 중간 인증서, 루트 인증서 등 세 가지 인증서 파일이 포함된 zip 파일입니다.
- 당신이 있다면 코드 서명 인증서을 선택하십시오 YUBIKEY 설치용(DER).
- 당신이 있다면 문서 서명 인증서을 선택하십시오 개별 인증서 다운로드 옵션. 이는 최종 엔터티 인증서, 중간 인증서, 루트 인증서 등 세 가지 인증서 파일이 포함된 zip 파일입니다.
경고: ECC 인증서를 가져올 때 최신 버전의 YubiKey Manager에서 오류 메시지가 표시되었습니다 (이제 YubiKey의 EV 코드 서명에 필요함). 두 가지 잠재적 인 해결 방법이 있습니다.
- 권장 사항 : 가져 오기 전에 인증서를 DER 형식으로 변환하십시오. 이것은 간단합니다 OpenSSL로 변환 (바꾸다
CERT.crt
및CERT.der
다음 명령에서 실제 파일 이름으로) :
openssl x509 -outform der -in CERT.crt -out CERT.der
- 파일을 변환 할 수없는 경우 이전 릴리스 YubiKey Manager의 기능도 작동합니다. ECC를 성공적으로 가져 오는 것으로 확인 된 최신 버전
.crt
SSL.com에서 다운로드 한 파일은1.1.5
.
4 단계 : YubiKey에 인증서 설치
- YubiKey Manager를 시작하고 다음으로 이동하십시오. 애플리케이션> PIV.
- 클릭 인증서 구성 버튼을 클릭합니다.
- 키 쌍을 생성 한 동일한 YubiKey 슬롯에 대한 탭을 선택하십시오.
- 클릭 수입 버튼을 클릭합니다.
- 최종 엔터티 인증서 파일로 이동하고 수입 버튼을 클릭합니다.
- YubiKey의 입력 관리 키다음을 클릭합니다 OK. 관리 키가 필요한 경우 Support@SSL.com.
- 새 EV 코드 서명 인증서가 YubiKey에 설치됩니다.
- 디지털 서명이 모든 컴퓨터에서 신뢰할 수 있는지 확인하려면 전체 신뢰 체인을 위해 YubiKey에 루트 및 중간 인증서도 설치해야합니다. 루트 및 중간 설치의 경우 다음 지침을 따르십시오. YubiKey에 SSL.com 루트 및 중간 인증서 설치.
SSL.com을 선택해 주셔서 감사합니다! 문의 사항이 있으시면 이메일로 연락주십시오. Support@SSL.com, 전화 1-877-SSL-SECURE또는이 페이지의 오른쪽 하단에있는 채팅 링크를 클릭하십시오. 또한 Google의 여러 일반적인 지원 질문에 대한 답변을 찾을 수 있습니다. 지식.