Sleutelgeneratie en attestatie met Yubikey

Voor de doeleinden van EV-code ondertekenen en Digitale handtekeningen van Adobe PDF, is het vereist dat uw privésleutel veilig wordt gegenereerd en opgeslagen op een extern FIPS-gevalideerd hardwareapparaat in plaats van op uw computer. SSL.com levert optioneel EV-codeondertekening en certificaten voor ondertekening van PDF-documenten die vooraf zijn geïnstalleerd op FIPS 140-2 gevalideerde beveiligingssleutel USB-tokens, maar gebruikers kunnen ook een sleutelpaar genereren op een bestaande YubiKey en een attest certificaat dat bewijst dat de privésleutel op het apparaat is gegenereerd. Het attestcertificaat kan vervolgens worden gebruikt om certificaten bij SSL.com te bestellen die handmatig op de YubiKey kunnen worden geïnstalleerd.

Do niet volg deze instructies als je een YubiKey hebt besteld samen met je certificaat van SSL.com, aangezien deze YubiKeys worden geleverd met vooraf geïnstalleerde certificaten. Deze how-to is bedoeld voor klanten die certificaten willen installeren op een YubiKey FIPS die ze al hebben.

Deze handleiding leidt u door:

Opmerking: De onderstaande schermafbeeldingen zijn van Windows, maar de procedures zijn bijna identiek op Linux en macOS. De verschillen tussen platforms worden hieronder vermeld. Linux-instructies verwijzen naar Ubuntu 19.10, waarop YubiKey Manager is geïnstalleerd apt-get (zie Yubico's instructies voor meer informatie). Een Linux AppImage is ook verkrijgbaar bij de YubiKey Manager download pagina. Merk ook op dat hoewel deze instructies Yubico's Yubikey Manager-software gebruiken, de 3.0-release van SSL.com's SSL Manager ondersteunt sleutelpaar genereren en certificaatinstallatie op YubiKey voor Windows-gebruikers.

Stap 1: Genereer sleutelpaar op YubiKey

  1. Als u dit nog niet heeft gedaan, download en installeer dan YubiKey-manager van de website van Yubico. Er zijn versies voor Windows, Linux en macOS beschikbaar.
    YubiKey Manager Downloaden
  2. Sluit uw YubiKey aan en start YubiKey Manager. Uw YubiKey moet worden weergegeven in het YubiKey Manager-venster.
    YubiKey-manager
  3. Navigeer naar Toepassingen> PIV.
    Toepassingen> PIV
  4. Klik op de Configureer certificaten knop.
    Configureer certificaten
  5. Selecteer het tabblad voor het YubiKey-slot waar u het sleutelpaar wilt genereren. Als u een EV-codeondertekeningscertificaat koopt, kiest u authenticatie (slot 9a). Kies voor ondertekening van PDF-documenten Digitale handtekening (slot 9c). (Zie Yubico's documentatie voor meer informatie over de verschillende sleuven en hun beoogde functies; ze verschillen in hun PIN-invoerbeleid). Hier gaan we slot 9a gebruiken.
    Verificatie (slot 9a)
  6. Klik op de Genereer knop.
    Genereer
  7. kies Certificaat ondertekeningsverzoek (CSR), klik dan op de knop Volgende knop.
    Certificaat ondertekeningsverzoek (CSR)
  8. Selecteer een Algoritme uit het vervolgkeuzemenu. Kies voor het ondertekenen van documenten RSA2048. Kies voor het ondertekenen van EV-codes: ECCP256 or ECCP384.
    selecteer algoritme
  9. Voer een Onderwerp voor het certificaat en klik vervolgens op de Volgende knop.
    Opmerking: We zullen dit niet echt gebruiken CSR—Het wordt gegenereerd als bijproduct van het maken van een nieuw sleutelpaar. Het maakt dus niet echt uit wat u hier voor de onderwerpnaam invoert.
    Onderwerp
    Gebruikers moeten SSL.com om een ​​nieuwe uitgifte vragen bij het plaatsen van een nieuwe bestelling, de uitgifte zal niet automatisch gebeuren.
  10. Klik op de Genereer knop.
    voortbrengen
  11. Selecteer een locatie om de op te slaan CSR bestand, maak een bestandsnaam aan en klik vervolgens op Bespaar knop.
    Bespaar CSR
  12. Voer je YubiKey's in beheersleutel, dan klikken OK. Neem contact op als u uw beheersleutel nodig heeft Support@SSL.com.
    beheersleutel
  13. Voer uw YubiKey in PIN, dan klikken OK. Als u hulp nodig heeft bij het vinden van uw pincode, raadpleeg dan deze how-to.
    Voer Pin-code in
  14. De CSR bestand wordt opgeslagen op de plaats die u in stap 11 hierboven heeft gespecificeerd. Nogmaals, we hebben dit bestand niet nodig om verder te gaan en u kunt het veilig verwijderen.
    CSR filet

Stap 2: Genereer een attestcertificaat

Elke YubiKey wordt vooraf geladen met een privésleutel en een certificaat van Yubico waarmee u een kunt genereren attest certificaat om te verifiëren dat een privésleutel is gegenereerd op een YubiKey. Voor deze bewerking moet u de opdrachtregel gebruiken.

  1. Open in Windows PowerShell als beheerder. macOS- en Linux-gebruikers moeten een terminalvenster op hun apparaat openen.
    Open PowerShell als beheerder
  2. Gebruik de volgende opdracht om naar de YubiKey Manager-bestanden te navigeren:
    • Windows:
      cd "C:ProgrammabestandenYubicoYubiKey Manager"
    • MacOS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • Op Linux (Ubuntu), de ykman commando is al geïnstalleerd in uw PATH, zodat u deze stap kunt overslaan.
  3. Genereer een attestcertificaat voor de sleutel met de onderstaande opdracht (vervang ATTESTATION-FILENAME.crt met het pad en de bestandsnaam die u wilt gebruiken; als je slot 9c hebt gebruikt, vervang dan 9a Met 9c):
    • Windows:
      .ykman.exe piv-sleutels getuigen van 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman-piv-toetsen bevestigen 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman-piv-toetsen bevestigen 9a ATTESTATION-FILENAME.crt
  4. Gebruik vervolgens de ykman commando om het tussenliggende certificaat te exporteren vanuit slot f9 van de YubiKey (vervang INTERMEDIATE-FILENAME.crt met het pad en de bestandsnaam die u wilt gebruiken):
    • Windows:
      .ykman.exe piv-certificaten exporteren f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-certificaten exporteren f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ykman piv-certificaten exporteren f9 INTERMEDIATE-FILENAME.crt

Stap 3: Verifieer het attestcertificaat met SSL.com en voeg toe aan bestelling

  1. Hier gaan we ons attestcertificaat van YubiKey slot 9a gebruiken met een EV-code-ondertekeningscertificaatbestelling. (De procedure voor het ondertekenen van documenten is hetzelfde.) Open eerst de attest- en tussencertificaten in een teksteditor.
    Attestatiecertificaat
  2. Log in op uw SSL.com-gebruikersaccount en ga naar het Bestellingen tab en klik vervolgens op de gegevens link voor de bestelling die u aan het attestcertificaat wilt koppelen. (Deze link verandert in Download nadat uw certificaat is afgegeven.)
    Opmerking: Als u de geldigheid van uw attestcertificaat wilt controleren zonder het aan een bestelling te koppelen, kunt u SSL.com's attest verificatie tool.
    gegevens
  3. Klik op de beheer link, onder getuigenis.
    link beheren
  4. Er verschijnt een nieuwe pagina met velden voor het attest en tussentijdse certificaten.
    Attestatie verificatie
  5. Plak het attestcertificaat in de Attestatiecertificaat veld en zorg ervoor dat u de regels opneemt -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----.
    plak attest certificaat
  6. Plak vervolgens het tussenliggende certificaat in de Gemiddeld certificaat veld.
    Veld Tussencertificaat
  7. Klik op de Verzend knop.
    Verzendknop
  8. Als alles goed is gegaan, verschijnt er bovenaan het scherm een ​​groene waarschuwing die aangeeft dat het attest is geslaagd.
    Succesvol attest
  9. Ga terug naar de bestelling in uw account. U kunt controleren of het attest aan de bestelling is toegevoegd door de aanwezigheid van een link met het label Verwijder voor getuigenis.
    Link verwijderen
  10. Nadat SSL.com uw bestelling heeft verwerkt, is het certificaat beschikbaar in uw SSL.com-account. Blader op de pagina met bestelgegevens omlaag naar EINDENTITEITSCERTIFICATEN sectie en klik Toon details.
  11. Scroll naar beneden naar de subsectie met het label Code ondertekenen certificaat or Certificaat voor documentondertekening, afhankelijk van uw bestelling. Aan de rechterkant ziet u de downloadlinks voor uw certificaat.

    1. Als u een Certificaat voor documentondertekening, kies de individuele certificaten download optie. Dit is een zipbestand met drie certificaatbestanden: uw eindentiteitscertificaat, een tussencertificaat en een basiscertificaat.
    2. Als u een Code ondertekenen certificaat, kies de voor YUBIKEY-installatie (DER).

Waarschuwing: We hebben foutmeldingen gezien in recente versies van YubiKey Manager bij het importeren van ECC-certificaten (nu vereist voor EV Code Signing op YubiKey). Er zijn twee mogelijke oplossingen:

  • Aanbevolen: Converteer het certificaat naar het DER-formaat voordat u het importeert. Dit is een rechttoe rechtaan conversie met OpenSSL (vervangen CERT.crt en CERT.der met uw werkelijke bestandsnaam in de volgende opdracht):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Als u uw bestand niet kunt converteren, keert u terug naar een eerdere release van YubiKey Manager zal ook werken. De meest recente versie die we hebben gevonden om ECC met succes te importeren .crt bestanden gedownload van SSL.com is 1.1.5.

Stap 4: Installeer het certificaat in YubiKey

  1. Start YubiKey Manager en ga naar Toepassingen> PIV.
    Toepassingen> PIV
  2. Klik op de Configureer certificaten knop.
    Configureer certificaten
  3. Selecteer het tabblad voor hetzelfde YubiKey-slot waar u het sleutelpaar heeft gegenereerd.
    Verificatie (slot 9a)
  4. Klik op de import knop.
    Importeer knop
  5. Navigeer naar uw eindentiteitscertificaatbestand en klik op het import knop.
    import certificaat
  6. Voer je YubiKey's in beheersleutel, dan klikken OK. Neem contact op als u uw beheersleutel nodig heeft Support@SSL.com.
    beheersleutel
  7. Het nieuwe EV-codeondertekeningscertificaat is geïnstalleerd in de YubiKey.
    Certificaat is geïnstalleerd
  8. Om ervoor te zorgen dat je digitale handtekeningen op alle computers worden vertrouwd, moet je ook de root- en tussencertificaten op je YubiKey installeren voor een volledige vertrouwensketen. Volg deze instructies voor root- en intermediate installatie: Installeer SSL.com Root en Intermediate Certificates op YubiKey.
Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechtsonder op deze pagina. U kunt ook antwoorden op veel voorkomende ondersteuningsvragen vinden in onze kennis basis.

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.