For formålene med EV-kode signering og Adobe PDF digitale signaturer, kreves det at din private nøkkel blir generert og lagret på en ekstern FIPS-validert maskinvareenhet i stedet for datamaskinen din. SSL.com sender valgfritt EV-kodesignering og PDF-dokumentsigneringssertifikater forhåndsinstallert på FIPS 140-2 validerte USB-tokens for sikkerhetsnøkkel, men brukere kan også generere et nøkkelpar på en eksisterende YubiKey og en attestattest som beviser at den private nøkkelen ble generert på enheten. Attestasjonssertifikatet kan deretter brukes til å bestille sertifikater fra SSL.com som kan installeres manuelt på YubiKey.
Slik gjør du det:
- Genererer en nøkkelpar og attestattest på på Yubikey
- Bekrefter attestesertifikatet og knytte det til en SSL.com EV-kodesignering eller PDF-dokumentsigneringsordre
- Installere ditt nye sertifikat i YubiKey
apt-get
(se Yubico's instruksjoner for mer informasjon). En Linux AppImage er også tilgjengelig fra YubiKey Manager laste siden. Vær også oppmerksom på at mens disse instruksjonene bruker Yubicos Yubikey Manager-programvare, er 3.0-utgivelsen av SSL.coms SSL Manager støtter generering av tastatur og sertifikatinstallasjon på YubiKey for Windows-brukere.Trinn 1: Generer nøkkelpar på YubiKey
- Hvis du ikke allerede har gjort det, last ned og installer YubiKey Manager fra Yubicos nettsted. Versjoner for Windows, Linux og macOS er tilgjengelige.
- Koble til YubiKey, og start deretter YubiKey Manager. YubiKey-en din skal vises i YubiKey Manager-vinduet.
- naviger til Bruksområder> PIV.
- Klikk på Konfigurer sertifikater knapp.
- Velg fanen for YubiKey-sporet der du ønsker å generere nøkkelparet. Hvis du kjøper et EV-kodesigneringssertifikat, velger du Autentisering (spor 9a). Velg for PDF-signatur Digital signatur (spor 9c). (Se Yubicos dokumentasjon for mer informasjon om de forskjellige nøkkelåpningene og deres tiltenkte funksjoner; de avviker i retningslinjene for PIN-oppføring). Her skal vi bruke spor 9a.
- Klikk på Generere knapp.
- Plukke ut Forespørsel om sertifikatsignering (CSR), klikk deretter på neste knapp.
- Velg en Algoritme fra rullegardinmenyen. For dokumentsignering, velg
RSA2048
. Velg EV-kodesigneringECCP256
orECCP384
.
- Skriv inn et Fagnavn for sertifikatet, og klikk deretter på neste knapp.
OBS: Vi bruker faktisk ikke dette CSR—Den genereres som et biprodukt av å lage et nytt nøkkelpar. Så det spiller ingen rolle hva du skriver inn for emnets navn her.Brukere må be SSL.com om en ny utstedelse når de sender inn en ny ordre, utstedelsen vil ikke skje automatisk. - Klikk på Generere knapp.
- Velg et sted du vil lagre CSR , lag et filnavn, og klikk deretter på Spar knapp.
- Skriv inn dine YubiKey-er styringsnøkkel, klikk deretter OK. Hvis du trenger styringsnøkkelen din, kan du kontakte Support@SSL.com.
- Gå inn på YubiKey PIN, klikk deretter OK. Hvis du trenger hjelp med å finne PIN-koden din, vennligst se hvordan du gjør det.
- De CSR filen lagres på stedet du spesifiserte i trinn 11 ovenfor. Igjen, vi trenger ikke denne filen for å fortsette, og du kan trygt slette den.
Trinn 2: Generer attestattest
Hver YubiKey leveres forhåndsinnlastet med en privat nøkkel og sertifikat fra Yubico som lar deg generere en attestattest for å bekrefte at en privat nøkkel er blitt generert på en YubiKey. Denne operasjonen krever at du bruker kommandolinjen.
- I Windows åpner du PowerShell som administrator. macOS- og Linux-brukere bør åpne et terminalvindu på enheten sin.
- Bruk følgende kommando for å navigere til YubiKey Manager-filene:
- Windows:
cd "C:Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- På Linux (Ubuntu),
ykman
kommandoen vil allerede være installert i dinPATH
, slik at du kan hoppe over dette trinnet.
- Windows:
- Generer et attestasjonssertifikat for nøkkelen med kommandoen nedenfor (erstatt
ATTESTATION-FILENAME.crt
med banen og filnavnet du vil bruke; hvis du brukte spor 9c, bytt ut9a
med9c
):- Windows:
.ykman.exe piv-nøkler attest 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
ykman piv nøkler attest 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv-tastene attesterer 9a ATTESTATION-FILENAME.crt
- Windows:
- Deretter bruker du
ykman
kommando for å eksportere mellomsertifikatet fra spor f9 i YubiKey (erstattINTERMEDIATE-FILENAME.crt
med banen og filnavnet du vil bruke):- Windows:
.ykman.exe piv-sertifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
ykman piv-sertifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv-sertifikater eksport f9 INTERMEDIATE-FILENAME.crt
- Windows:
Trinn 3: Bekreft attestasjonssertifikat med SSL.com og legg ved bestilling
- Her skal vi bruke attestasjonssertifikatet vårt fra YubiKey slot 9a med en EV-kodesignering. (Fremgangsmåten for dokumentsigneringssertifikater er den samme.) Først åpner du attestasjons- og mellomsertifikatene i en tekstredigerer.
- Logg inn på SSL.com-brukerkontoen din og naviger til Mine ordre kategorien, og klikk deretter på detaljer lenke for bestillingen du vil knytte til attestasjonsbeviset. (Denne lenken vil endres til nedlasting etter at sertifikatet er utstedt.)
OBS: Hvis du ønsker å sjekke gyldigheten til attestesertifikatet ditt uten å legge det til en bestilling, kan du bruke SSL.com attestverifiseringsverktøy. - Klikk på administrer lenke, under attestasjon.
- En ny side med felt for attestasjon og mellomliggende sertifikater vises.
- Lim inn attestasjonssertifikatet i Attestasjonssertifikat felt, og sørg for å inkludere linjene
-----BEGIN CERTIFICATE-----
og-----END CERTIFICATE-----
.
- Deretter limer du inn mellombeviset i Intermediate Certificate feltet.
- Klikk på Send knapp.
- Hvis alt har gått riktig, vises et grønt varsel øverst på skjermen, noe som indikerer en vellykket attestasjon.
- Gå tilbake til ordren i kontoen din. Du kan bekrefte at attestasjonen er lagt til ordren ved tilstedeværelse av en lenke merket Delete etter attestasjon.
- Etter at SSL.com har behandlet bestillingen din, vil sertifikatet være tilgjengelig på SSL.com-kontoen din. Fra siden med bestillingsdetaljer, rull ned til SLUTT ENTITETSSERTIFIKAT delen og klikk Vis detaljer.
- Rull ned til underdelen merket Kodesigneringssertifikat or Dokumentsigneringssertifikat, avhengig av bestillingen din. Til høyre vil du se nedlastingskoblingene for sertifikatet ditt.
- Hvis du har en Dokumentsigneringssertifikat, Velg individuelle sertifikater nedlastingsalternativ. Dette er en zip-fil som inneholder tre sertifikatfiler: ditt endeenhetssertifikat, et mellomsertifikat og et rotsertifikat.
- Hvis du har en Kodesigneringssertifikat, Velg for YUBIKEY installasjon (DER).
- Hvis du har en Dokumentsigneringssertifikat, Velg individuelle sertifikater nedlastingsalternativ. Dette er en zip-fil som inneholder tre sertifikatfiler: ditt endeenhetssertifikat, et mellomsertifikat og et rotsertifikat.
Advarsel: Vi har sett feilmeldinger i nyere versjoner av YubiKey Manager når vi importerer ECC-sertifikater (nå kreves for EV-kodesignering på YubiKey). Det er to mulige løsninger:
- Anbefalt: Konverter sertifikatet til DER-format før import. Dette er en grei konvertering med OpenSSL (erstatte
CERT.crt
ogCERT.der
med ditt faktiske filnavn i følgende kommando):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Hvis du ikke kan konvertere filen, går du tilbake til en tidligere utgivelse av YubiKey Manager vil også fungere. Den siste versjonen vi har funnet for å kunne importere ECC
.crt
filer lastet ned fra SSL.com er1.1.5
.
Trinn 4: Installer sertifikat i YubiKey
- Start YubiKey Manager og mavigere til Bruksområder> PIV.
- Klikk på Konfigurer sertifikater knapp.
- Velg fanen for det samme YubiKey-sporet der du genererte nøkkelparet.
- Klikk på Import knapp.
- Naviger til sertifikatfilen for sluttenheten, og klikk på Import knapp.
- Skriv inn dine YubiKey-er styringsnøkkel, klikk deretter OK. Hvis du trenger styringsnøkkelen din, kan du kontakte Support@SSL.com.
- Det nye EV-kodesigneringssertifikatet er installert i YubiKey.
- For å sikre at de digitale signaturene dine er klarerte på alle datamaskiner, bør du også installere rot- og mellomsertifikatene på YubiKey for en komplett tillitskjede. Følg disse instruksjonene for rot- og mellominstallasjon: Installer SSL.com Root and Intermediate Certificate på YubiKey.