Nøkkelgenerering og attestering med Yubikey

Hvordan generere et nøkkelpar og attestert sertifikat på YubiKey FIPS for å bestille EV-kodesignering og dokumentsigneringssertifikater.

For formålene med EV-kode signering og Adobe PDF digitale signaturer, kreves det at din private nøkkel blir generert og lagret på en ekstern FIPS-validert maskinvareenhet i stedet for datamaskinen din. SSL.com sender valgfritt EV-kodesignering og PDF-dokumentsigneringssertifikater forhåndsinstallert på FIPS 140-2 validerte USB-tokens for sikkerhetsnøkkel, men brukere kan også generere et nøkkelpar på en eksisterende YubiKey og en attestattest som beviser at den private nøkkelen ble generert på enheten. Attestasjonssertifikatet kan deretter brukes til å bestille sertifikater fra SSL.com som kan installeres manuelt på YubiKey.

Do ikke følg disse instruksjonene hvis du bestilte en YubiKey sammen med sertifikatet ditt fra SSL.com, da disse YubiKeysene sendes med sertifikater forhåndsinstallert. Denne fremgangsmåten er for kunder som ønsker å installere sertifikater på en YubiKey FIPS som de allerede eier.

Slik gjør du det:

  • Genererer en nøkkelpar og attestattest på på Yubikey
  • Bekrefter attestesertifikatet og knytte det til en SSL.com EV-kodesignering eller PDF-dokumentsigneringsordre
  • Installere ditt nye sertifikat i YubiKey
OBS: Skjermdumpene nedenfor er fra Windows, men prosedyrene er nesten identiske på Linux og macOS. Forskjeller mellom plattformer er notert nedenfor. Linux-instruksjoner henviser til Ubuntu 19.10, med YubiKey manager installert med apt-get (se Yubico's instruksjoner for mer informasjon). En Linux AppImage er også tilgjengelig fra YubiKey Manager laste siden. Vær også oppmerksom på at mens disse instruksjonene bruker Yubicos Yubikey Manager-programvare, er 3.0-utgivelsen av SSL.coms SSL Manager støtter generering av tastatur og sertifikatinstallasjon på YubiKey for Windows-brukere.

Trinn 1: Generer nøkkelpar på YubiKey

  1. Hvis du ikke allerede har gjort det, last ned og installer YubiKey Manager fra Yubicos nettsted. Versjoner for Windows, Linux og macOS er tilgjengelige.
    YubiKey Manager nedlasting
  2. Koble til YubiKey, og start deretter YubiKey Manager. YubiKey-en din skal vises i YubiKey Manager-vinduet.
    YubiKey Manager
  3. naviger til Bruksområder> PIV.
    Bruksområder> PIV
  4. Klikk på Konfigurer sertifikater knapp.
    Konfigurer sertifikater
  5. Velg fanen for YubiKey-sporet der du ønsker å generere nøkkelparet. Hvis du kjøper et EV-kodesigneringssertifikat, velger du Autentisering (spor 9a). Velg for PDF-signatur Digital signatur (spor 9c). (Se Yubicos dokumentasjon for mer informasjon om de forskjellige nøkkelåpningene og deres tiltenkte funksjoner; de avviker i retningslinjene for PIN-oppføring). Her skal vi bruke spor 9a.
    Autentisering (spor 9a)
  6. Klikk på Generere knapp.
    Generere
  7. Plukke ut Forespørsel om sertifikatsignering (CSR), klikk deretter på neste knapp.
    Forespørsel om sertifikatsignering (CSR)
  8. Velg en Algoritme fra rullegardinmenyen. For dokumentsignering, velg RSA2048. Velg EV-kodesignering ECCP256 or ECCP384.
    velg algoritme
  9. Skriv inn et Fagnavn for sertifikatet, og klikk deretter på neste knapp.
    OBS: Vi bruker faktisk ikke dette CSR—Den genereres som et biprodukt av å lage et nytt nøkkelpar. Så det spiller ingen rolle hva du skriver inn for emnets navn her.
    Fagnavn
    Brukere må be SSL.com om en ny utstedelse når de sender inn en ny ordre, utstedelsen vil ikke skje automatisk.
  10. Klikk på Generere knapp.
    generere
  11. Velg et sted du vil lagre CSR , lag et filnavn, og klikk deretter på Spar knapp.
    Spar CSR
  12. Skriv inn dine YubiKey-er styringsnøkkel, klikk deretter OK. Hvis du trenger styringsnøkkelen din, kan du kontakte Support@SSL.com.
    styringsnøkkel
  13. Gå inn på YubiKey PIN, klikk deretter OK. Hvis du trenger hjelp med å finne PIN-koden din, vennligst se hvordan du gjør det.
    Oppgi PIN-kode
  14. De CSR filen lagres på stedet du spesifiserte i trinn 11 ovenfor. Igjen, vi trenger ikke denne filen for å fortsette, og du kan trygt slette den.
    CSR fil

Trinn 2: Generer attestattest

Hver YubiKey leveres forhåndsinnlastet med en privat nøkkel og sertifikat fra Yubico som lar deg generere en attestattest for å bekrefte at en privat nøkkel er blitt generert på en YubiKey. Denne operasjonen krever at du bruker kommandolinjen.

  1. I Windows åpner du PowerShell som administrator. macOS- og Linux-brukere bør åpne et terminalvindu på enheten sin.
    Åpne PowerShell som administrator
  2. Bruk følgende kommando for å navigere til YubiKey Manager-filene:
    • Windows:
      cd "C:Program FilesYubicoYubiKey Manager"
    • MacOS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • På Linux (Ubuntu), ykman kommandoen vil allerede være installert i din PATH, slik at du kan hoppe over dette trinnet.
  3. Generer et attestasjonssertifikat for nøkkelen med kommandoen nedenfor (erstatt ATTESTATION-FILENAME.crt med banen og filnavnet du vil bruke; hvis du brukte spor 9c, bytt ut 9a med 9c):
    • Windows:
      .ykman.exe piv-nøkler attest 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv nøkler attest 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman piv-tastene attesterer 9a ATTESTATION-FILENAME.crt
  4. Deretter bruker du ykman kommando for å eksportere mellomsertifikatet fra spor f9 i YubiKey (erstatt INTERMEDIATE-FILENAME.crt med banen og filnavnet du vil bruke):
    • Windows:
      .ykman.exe piv-sertifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-sertifikater eksporterer f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ykman piv-sertifikater eksport f9 INTERMEDIATE-FILENAME.crt

Trinn 3: Bekreft attestasjonssertifikat med SSL.com og legg ved bestilling

  1. Her skal vi bruke attestasjonssertifikatet vårt fra YubiKey slot 9a med en EV-kodesignering. (Fremgangsmåten for dokumentsigneringssertifikater er den samme.) Først åpner du attestasjons- og mellomsertifikatene i en tekstredigerer.
    Attestasjonssertifikat
  2. Logg inn på SSL.com-brukerkontoen din og naviger til Mine ordre kategorien, og klikk deretter på detaljer lenke for bestillingen du vil knytte til attestasjonsbeviset. (Denne lenken vil endres til nedlasting etter at sertifikatet er utstedt.)
    OBS: Hvis du ønsker å sjekke gyldigheten til attestesertifikatet ditt uten å legge det til en bestilling, kan du bruke SSL.com attestverifiseringsverktøy.
    detaljer
  3. Klikk på administrer lenke, under attestasjon.
    administrere lenke
  4. En ny side med felt for attestasjon og mellomliggende sertifikater vises.
    Bekreftelse av attest
  5. Lim inn attestasjonssertifikatet i Attestasjonssertifikat felt, og sørg for å inkludere linjene -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.
    lim inn attestasjonssertifikat
  6. Deretter limer du inn mellombeviset i Intermediate Certificate feltet.
    Intermediate Certificate felt
  7. Klikk på Send knapp.
    Send knappen
  8. Hvis alt har gått riktig, vises et grønt varsel øverst på skjermen, noe som indikerer en vellykket attestasjon.
    Vellykket attestering
  9. Gå tilbake til ordren i kontoen din. Du kan bekrefte at attestasjonen er lagt til ordren ved tilstedeværelse av en lenke merket Delete etter attestasjon.
    Slett lenke
  10. Etter at SSL.com har behandlet bestillingen din, vil sertifikatet være tilgjengelig på SSL.com-kontoen din. Fra siden med bestillingsdetaljer, rull ned til SLUTT ENTITETSSERTIFIKAT delen og klikk Vis detaljer.
  11. Rull ned til underdelen merket Kodesigneringssertifikat or Dokumentsigneringssertifikat, avhengig av bestillingen din. Til høyre vil du se nedlastingskoblingene for sertifikatet ditt.

    1. Hvis du har en Dokumentsigneringssertifikat, Velg individuelle sertifikater nedlastingsalternativ. Dette er en zip-fil som inneholder tre sertifikatfiler: ditt endeenhetssertifikat, et mellomsertifikat og et rotsertifikat.
    2. Hvis du har en Kodesigneringssertifikat, Velg for YUBIKEY installasjon (DER).

Advarsel: Vi har sett feilmeldinger i nyere versjoner av YubiKey Manager når vi importerer ECC-sertifikater (nå kreves for EV-kodesignering på YubiKey). Det er to mulige løsninger:

  • Anbefalt: Konverter sertifikatet til DER-format før import. Dette er en grei konvertering med OpenSSL (erstatte CERT.crt og CERT.der med ditt faktiske filnavn i følgende kommando):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Hvis du ikke kan konvertere filen, går du tilbake til en tidligere utgivelse av YubiKey Manager vil også fungere. Den siste versjonen vi har funnet for å kunne importere ECC .crt filer lastet ned fra SSL.com er 1.1.5.

Trinn 4: Installer sertifikat i YubiKey

  1. Start YubiKey Manager og mavigere til Bruksområder> PIV.
    Bruksområder> PIV
  2. Klikk på Konfigurer sertifikater knapp.
    Konfigurer sertifikater
  3. Velg fanen for det samme YubiKey-sporet der du genererte nøkkelparet.
    Autentisering (spor 9a)
  4. Klikk på Import knapp.
    Importer-knapp
  5. Naviger til sertifikatfilen for sluttenheten, og klikk på Import knapp.
    import sertifikat
  6. Skriv inn dine YubiKey-er styringsnøkkel, klikk deretter OK. Hvis du trenger styringsnøkkelen din, kan du kontakte Support@SSL.com.
    styringsnøkkel
  7. Det nye EV-kodesigneringssertifikatet er installert i YubiKey.
    Sertifikatet er installert
  8. For å sikre at de digitale signaturene dine er klarerte på alle datamaskiner, bør du også installere rot- og mellomsertifikatene på YubiKey for en komplett tillitskjede. Følg disse instruksjonene for rot- og mellominstallasjon: Installer SSL.com Root and Intermediate Certificate på YubiKey.
Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase.

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.