Yubikey를 사용한 키 생성 및 증명

목적 상 EV 코드 서명Adobe PDF 디지털 서명개인 키는 컴퓨터가 아닌 외부 FIPS 검증 하드웨어 장치에 안전하게 생성되고 저장되어야합니다. SSL.com은 사전 설치된 EV 코드 서명 및 PDF 문서 서명 인증서를 선택적으로 제공합니다. FIPS 140-2 인증 보안 키 USB 토큰, 그러나 사용자는 기존 YubiKey 및 증명 증명서 이는 개인 키가 장치에서 생성되었음을 나타냅니다. 그런 다음 증명 인증서를 사용하여 YubiKey에 수동으로 설치할 수있는 SSL.com의 인증서를 주문할 수 있습니다.

Do 지원 SSL.com에서 인증서와 함께 YubiKey를 주문한 경우 이 지침을 따르십시오. 이러한 YubiKey는 인증서가 사전 설치된 상태로 배송되기 때문입니다. 이 방법은 이미 소유하고 있는 YubiKey FIPS에 인증서를 설치하려는 고객을 위한 것입니다.

이 방법은 다음을 안내합니다.

참고 : 아래 스크린 샷은 Windows에서 가져온 것이지만 절차는 Linux 및 macOS에서 거의 동일합니다. 플랫폼의 차이점은 다음과 같습니다. Linux 지침은 YubiKey 관리자가 설치된 Ubuntu 19.10을 참조하십시오. apt-get (Yubico의 명령 자세한 내용은). Linux AppImage는 YubiKey Manager에서도 제공됩니다. 다운로드 페이지로. 또한 이 지침은 Yubico의 Yubikey Manager 소프트웨어를 사용하지만 SSL.com의 3.0 릴리스는 SSL Manager 지원 YubiKey에서 키 쌍 생성 및 인증서 설치 Windows 사용자의 경우.

1 단계 : YubiKey에서 키 페어 생성

  1. 아직 수행하지 않은 경우 다운로드하여 설치하십시오. 유비 키 매니저 Yubico의 웹 사이트에서. Windows, Linux 및 macOS 용 버전을 사용할 수 있습니다.
    YubiKey 관리자 다운로드
  2. YubiKey를 연결 한 다음 YubiKey Manager를 시작합니다. YubiKey가 YubiKey 관리자 창에 표시되어야합니다.
    유비 키 매니저
  3. 로 이동 애플리케이션> PIV.
    애플리케이션> PIV
  4. 클릭 인증서 구성 버튼을 클릭합니다.
    인증서 구성
  5. 키 쌍을 생성하려는 YubiKey 슬롯에 대한 탭을 선택하십시오. EV 코드 서명 인증서를 구매하는 경우 인증 (슬롯 9a). PDF 문서 서명의 경우 전자 서명 (슬롯 9c). (유비코의 선적 서류 비치 다양한 키 슬롯 및 해당 기능에 대한 자세한 정보 PIN 입력 정책이 다릅니다). 여기서 우리는 슬롯 9a를 사용할 것입니다.
    인증 (슬롯 9a)
  6. 클릭 생성 버튼을 클릭합니다.
    생성
  7. 선택 인증서 서명 요청 (CSR)다음을 클릭 다음 보기 버튼을 클릭합니다.
    인증서 서명 요청 (CSR)
  8. 선택 암호알고리즘 드롭 다운 메뉴에서. 문서 서명의 경우 RSA2048. EV 코드 서명의 경우 ECCP256 or ECCP384.
    알고리즘 선택
  9. 입력 주체 이름 인증서의 경우 다음 보기 버튼을 클릭합니다.
    참고 : 우리는 실제로 이것을 사용하지 않을 것입니다 CSR— 새 키 쌍을 생성 할 때 발생하는 부산물로 생성됩니다. 따라서 여기에 주체 이름으로 입력하는 것은 실제로 중요하지 않습니다.
    주체 이름
    사용자는 새 주문을 제출할 때 SSL.com에 새 발급을 요청해야 하며 발급은 자동으로 이루어지지 않습니다.
  10. 클릭 생성 버튼을 클릭합니다.
    생성
  11. 저장할 위치를 선택하십시오. CSR 파일을 만들고 파일 이름을 만든 다음 찜하기 버튼을 클릭합니다.
    찜하기 CSR
  12. YubiKey의 입력 관리 키다음을 클릭합니다 OK. 관리 키가 필요한 경우 Support@SSL.com.
    관리 키
  13. YubiKey 입력 PIN다음을 클릭합니다 OK. PIN을 찾는 데 도움이 필요하면 다음을 참조하십시오. 이 방법.
    PIN을 입력하십시오
  14. CSR 위의 11 단계에서 지정한 위치에 파일이 저장됩니다. 다시 말하지만이 파일은 계속 진행할 필요가 없으며 안전하게 삭제할 수 있습니다.
    CSR 파일

2 단계 : 증명 인증서 생성

각 YubiKey에는 Yubico의 개인 키와 인증서가 사전로드되어 있으며 증명 증명서 YubiKey에서 개인 키가 생성되었는지 확인합니다. 이 작업을 수행하려면 명령 줄을 사용해야합니다.

  1. Windows에서 관리자 권한으로 PowerShell을 엽니 다. macOS 및 Linux 사용자는 장치에서 터미널 창을 열어야합니다.
    관리자 권한으로 PowerShell 열기
  2. 다음 명령을 사용하여 YubiKey Manager 파일을 탐색하십시오.
    • 윈도우 :
      cd "C:프로그램 파일YubicoYubiKey Manager"
    • 맥 OS :
      cd /응용 프로그램/YubiKey Manager.app/Contents/MacOS
    • Linux (Ubuntu)에서 ykman 명령은 이미 PATH이 단계를 건너 뛸 수 있습니다.
  3. 아래 명령을 사용하여 키에 대한 증명 인증서를 생성합니다 (대체 ATTESTATION-FILENAME.crt 사용하려는 경로와 파일 이름; 슬롯 9c를 사용한 경우 교체 9a9c):
    • 윈도우 :
      .ykman.exe piv 키는 9a ATTESTATION-FILENAME.crt를 증명합니다.
    • 리눅스 (우분투) :
      ykman piv 키는 9a ATTESTATION-FILENAME.crt를 증명합니다.
    • 맥 OS :
      ./ykman piv 키는 9a ATTESTATION-FILENAME.crt를 증명합니다.
  4. 다음으로 ykman YubiKey의 슬롯 f9에서 중간 인증서를 내보내는 명령 INTERMEDIATE-FILENAME.crt 사용하려는 경로와 파일 이름)
    • 윈도우 :
      .ykman.exe piv 인증서는 f9 INTERMEDIATE-FILENAME.crt를 내보냅니다.
    • 리눅스 (우분투) :
      ykman piv 인증서 내보내기 f9 INTERMEDIATE-FILENAME.crt
    • 맥 OS :
      ./ykman piv 인증서 내보내기 f9 INTERMEDIATE-FILENAME.crt

3 단계 : SSL.com으로 증명 인증서 확인 및 주문에 첨부

  1. 여기서는 EV 코드 서명 인증서 주문과 함께 YubiKey 슬롯 9a의 증명 인증서를 사용합니다. (문서 서명 인증서의 절차는 동일합니다.) 먼저 텍스트 편집기에서 증명 및 중간 인증서를 엽니 다.
    증명 증명서
  2. SSL.com 사용자 계정에 로그인하고 주문 탭을 클릭 한 다음 세부설명 증명 인증서와 연결하려는 주문에 대한 링크. (이 링크는 다운로드 인증서 발급 후)
    참고 : 주문에 첨부하지 않고 증명 인증서의 유효성을 확인하려면 SSL.com의 증명 확인 도구.
    세부설명
  3. 클릭 관리 아래 링크 증명.
    링크 관리
  4. 증명 및 중간 인증서 필드가있는 새 페이지가 나타납니다.
    증명 검증
  5. 증명 인증서를 증명 증명서 필드, 줄을 포함해야합니다 -----BEGIN CERTIFICATE----------END CERTIFICATE-----.
    증명 증명서 붙여 넣기
  6. 다음으로 중간 인증서를 중급 증명서 입력란입니다.
    중급 인증서 필드
  7. 클릭 문의하기 버튼을 클릭합니다.
    제출 버튼
  8. 모든 것이 올바르게 완료되면 성공적으로 증명되었음을 나타내는 녹색 경고가 화면 상단에 표시됩니다.
    성공적인 증명
  9. 계정의 주문으로 돌아갑니다. 레이블이 지정된 링크가 있으면 증명이 주문에 추가되었는지 확인할 수 있습니다. . 아래에 증명.
    링크 삭제
  10. SSL.com에서 주문을 처리하면 SSL.com 계정에서 인증서를 사용할 수 있습니다.
    다운로드 링크
  11. 선택 개별 인증서 다운로드 할 때 형식.
    개별 인증서 다운로드 링크
  12. zip 파일을 확장하십시오. 최종 엔터티 인증서, 중간 인증서 및 루트 인증서의 세 가지 인증서 파일이 있어야합니다.
    인증서 파일

경고: ECC 인증서를 가져올 때 최신 버전의 YubiKey Manager에서 오류 메시지가 표시되었습니다 (이제 YubiKey의 EV 코드 서명에 필요함). 두 가지 잠재적 인 해결 방법이 있습니다.

  • 권장 사항 : 가져 오기 전에 인증서를 DER 형식으로 변환하십시오. 이것은 간단합니다 OpenSSL로 변환 (바꾸다 CERT.crtCERT.der 다음 명령에서 실제 파일 이름으로) :
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • 파일을 변환 할 수없는 경우 이전 릴리스 YubiKey Manager의 기능도 작동합니다. ECC를 성공적으로 가져 오는 것으로 확인 된 최신 버전 .crt SSL.com에서 다운로드 한 파일은 1.1.5.

4 단계 : YubiKey에 인증서 설치

  1. YubiKey Manager를 시작하고 다음으로 이동하십시오. 애플리케이션> PIV.
    애플리케이션> PIV
  2. 클릭 인증서 구성 버튼을 클릭합니다.
    인증서 구성
  3. 키 쌍을 생성 한 동일한 YubiKey 슬롯에 대한 탭을 선택하십시오.
    인증 (슬롯 9a)
  4. 클릭 수입 버튼을 클릭합니다.
    가져 오기 버튼
  5. 최종 엔터티 인증서 파일로 이동하고 수입 버튼을 클릭합니다.
    수입 증명서
  6. YubiKey의 입력 관리 키다음을 클릭합니다 OK. 관리 키가 필요한 경우 Support@SSL.com.
    관리 키
  7. 새 EV 코드 서명 인증서가 YubiKey에 설치됩니다.
    인증서가 설치되었습니다
  8. 디지털 서명이 모든 컴퓨터에서 신뢰할 수 있는지 확인하려면 전체 신뢰 체인을 위해 YubiKey에 루트 및 중간 인증서도 설치해야합니다. 루트 및 중간 설치의 경우 다음 지침을 따르십시오. YubiKey에 SSL.com 루트 및 중간 인증서 설치.
SSL.com을 선택해 주셔서 감사합니다! 문의 사항이 있으시면 이메일로 연락주십시오. Support@SSL.com, 전화 1-877-SSL-SECURE또는이 페이지의 오른쪽 하단에있는 채팅 링크를 클릭하십시오. 또한 Google의 여러 일반적인 지원 질문에 대한 답변을 찾을 수 있습니다. 지식.

SSL.com의 뉴스 레터 구독

SSL.com의 새로운 기사 및 업데이트를 놓치지 마십시오

최신 정보를 얻고 보안을 유지하세요

SSL.com 사이버 보안 분야의 글로벌 리더입니다. PKI 그리고 디지털 인증서. 최신 업계 뉴스, 팁, 제품 공지 사항을 받아보려면 등록하세요. SSL.com.

우리는 귀하의 피드백을 환영합니다

설문조사에 참여하여 최근 구매에 대한 의견을 알려주세요.