Generowanie klucza i zaświadczenie z Yubikey

Do celów Podpisywanie kodu EV i Podpisy cyfrowe Adobe PDF, wymagane jest bezpieczne generowanie klucza prywatnego i przechowywanie go na zewnętrznym urządzeniu sprzętowym z certyfikatem FIPS, a nie na komputerze. SSL.com opcjonalnie dostarcza wstępnie zainstalowane certyfikaty podpisywania kodów EV i dokumentów PDF Tokeny USB z walidacją klucza bezpieczeństwa FIPS 140-2, ale użytkownicy mogą również wygenerować parę kluczy na istniejącym YubiKey i certyfikat zaświadczenia dowodzi to, że klucz prywatny został wygenerowany na urządzeniu. Za pomocą certyfikatu zaświadczenia można zamówić certyfikaty na stronie SSL.com, które można zainstalować ręcznie na YubiKey.

Ten poradnik przeprowadzi Cię przez:

• Generowanie a para kluczy i certyfikat zaświadczenia na swoim Yubikey
• Weryfikowanie certyfikat zaświadczenia i powiązanie go z podpisaniem kodu EV SSL.com lub zleceniem podpisania dokumentu PDF
• Instalacja twój nowy certyfikat w YubiKey

Krok 1: Wygeneruj parę kluczy w YubiKey

1. Jeśli jeszcze tego nie zrobiłeś, pobierz i zainstaluj Menedżer YubiKey ze strony internetowej Yubico. Dostępne są wersje dla systemów Windows, Linux i macOS.
   
2. Podłącz swój YubiKey, a następnie uruchom YubiKey Manager. Twój YubiKey powinien zostać wyświetlony w oknie YubiKey Manager.
   
3. Nawigować do Aplikacje> PIV.
   
4. Kliknij Skonfiguruj certyfikaty przycisk.
   
5. Wybierz zakładkę dla gniazda YubiKey, w którym chcesz wygenerować parę kluczy. Jeśli kupujesz certyfikat podpisujący kod EV, wybierz Uwierzytelnianie (miejsce 9a). W przypadku podpisywania dokumentów PDF wybierz Podpis cyfrowy (szczelina 9c). (Zobacz Yubico's dokumentacja aby uzyskać więcej informacji na temat różnych kluczowych gniazd i ich zamierzonych funkcji; różnią się polityką wprowadzania kodu PIN). Tutaj użyjemy slotu 9a.
   
6. Kliknij Generuj swój przycisk.
   
7. Wybierz Żądanie podpisania certyfikatu (CSR), a następnie kliknij przycisk Następna przycisk.
   
8. Wybierz Algorytm z menu rozwijanego. Aby podpisać dokument, wybierz RSA2048. Do podpisywania kodu EV wybierz, ECCP256 or ECCP384.
   
9. Wpisz Nazwa przedmiotu dla certyfikatu, a następnie kliknij Następna przycisk.
   
   Uwaga: W rzeczywistości nie będziemy tego używać CSR—Jest generowany jako produkt uboczny tworzenia nowej pary kluczy. Tak więc nie ma znaczenia, co wpiszesz tutaj jako nazwę podmiotu.
   
   Użytkownicy muszą poprosić SSL.com o nowe wydanie podczas składania nowego zamówienia, wydanie nie nastąpi automatycznie.
10. Kliknij Generuj swój przycisk.
    
11. Wybierz lokalizację, w której chcesz zapisać plik CSR plik, utwórz nazwę pliku, a następnie kliknij Zapisz przycisk.
    
12. Wprowadź swoje YubiKey's klucz zarządzania, następnie kliknij OK. Jeśli potrzebujesz klucza zarządzającego, skontaktuj się z Support@SSL.com.
    
13. Wprowadź swój YubiKey PIN, następnie kliknij OK. Jeśli potrzebujesz pomocy w znalezieniu kodu PIN, zapoznaj się z to instrukcje.
    
14. Połączenia CSR plik zostanie zapisany w miejscu określonym w kroku 11 powyżej. Ponownie, nie potrzebujemy tego pliku, aby kontynuować i możesz go bezpiecznie usunąć.
    

Krok 2: Wygeneruj certyfikat zaświadczenia

Każdy YubiKey jest fabrycznie załadowany z kluczem prywatnym i certyfikatem z Yubico, który pozwala na wygenerowanie certyfikat zaświadczenia aby sprawdzić, czy klucz prywatny został wygenerowany na YubiKey. Ta operacja będzie wymagać użycia wiersza poleceń.

1. W systemie Windows otwórz PowerShell jako administrator. Użytkownicy macOS i Linux powinni otworzyć okno terminala na swoim urządzeniu.
   
2. Użyj następującego polecenia, aby przejść do plików YubiKey Manager:
   • Windows:

     cd „C:Program FilesYubicoYubiKey Manager”

   • MacOS:

     cd /Applications/YubiKey Manager.app/Contents/MacOS

   • W systemie Linux (Ubuntu) ykman polecenie zostanie już zainstalowane w twoim PATH, więc możesz pominąć ten krok.
3. Wygeneruj certyfikat atestacyjny dla klucza za pomocą poniższego polecenia (zamień ATTESTATION-FILENAME.crt ze ścieżką i nazwą pliku, którego chcesz użyć; jeśli użyłeś gniazda 9c, wymień 9a w 9c):
   • Windows:

     Klucze piv .ykman.exe potwierdzają 9a NAZWA PLIKU ATTESTATION.crt

   • Linuks (Ubuntu):

     ykman piv keys poświadczają 9a ATTESTATION-FILENAME.crt

   • MacOS:

     ./ykman piv keys poświadczają 9a ATTESTATION-FILENAME.crt

4. Następnie użyj ykman polecenie, aby wyeksportować certyfikat pośredni z gniazda f9 YubiKey (zamień INTERMEDIATE-FILENAME.crt ze ścieżką i nazwą pliku, którego chcesz użyć):
   • Windows:

     .ykman.exe eksport certyfikatów piv f9 NAZWA PLIKU POŚREDNIEGO.crt

   • Linuks (Ubuntu):

     ykman piv certyfikaty export f9 INTERMEDIATE-FILENAME.crt

   • MacOS:

     ./ykman piv certyfikaty export f9 INTERMEDIATE-FILENAME.crt

Krok 3: Zweryfikuj certyfikat zaświadczenia za pomocą SSL.com i dołącz do zamówienia

1. Tutaj będziemy używać naszego certyfikatu atestacyjnego z YubiKey slot 9a z zamówieniem certyfikatu podpisującego kod EV. (Procedura podpisywania dokumentów jest taka sama). Najpierw otwórz atest i certyfikaty pośrednie w edytorze tekstu.
   
2. Zaloguj się na swoje konto użytkownika SSL.com i przejdź do Zamówienia kartę, a następnie kliknij przycisk detale link do zamówienia, które chcesz powiązać z certyfikatem atestacyjnym. (Ten link zmieni się na pobieranie po wydaniu certyfikatu).
   
   Uwaga: Jeśli chcesz sprawdzić ważność swojego certyfikatu bez dołączania go do zamówienia, możesz skorzystać z SSL.com narzędzie do weryfikacji atestacji.
   
3. Kliknij zarządzanie link pod zaświadczenie.
   
4. Pojawi się nowa strona z polami na atesty i certyfikaty pośrednie.
   
5. Wklej certyfikat atestacji do pliku Certyfikat zaświadczenia pole, pamiętając o dołączeniu linii -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.
   
6. Następnie wklej certyfikat pośredni do pliku Świadectwo pośrednie pole.
   
7. Kliknij Prześlij przycisk.
   
8. Jeśli wszystko poszło poprawnie, u góry ekranu pojawi się zielony alert wskazujący pomyślne poświadczenie.
   
9. Wróć do zamówienia na swoim koncie. Możesz sprawdzić, czy atest został dodany do zamówienia poprzez obecność oznaczonego linku Usuń dla zaświadczenie.
   
10. Po przetworzeniu zamówienia przez SSL.com certyfikat będzie dostępny na Twoim koncie SSL.com. Na stronie szczegółów zamówienia przewiń w dół do CERTYFIKATY JEDNOSTEK KOŃCOWYCH sekcję i kliknij Pokaż szczegóły.
    
11. Przewiń w dół do podsekcji oznaczonej etykietą Certyfikat podpisywania kodu or Certyfikat podpisywania dokumentów, w zależności od zamówienia. Po prawej stronie zobaczysz linki do pobrania certyfikatu.
    
    
    1. Jeśli masz Certyfikat podpisywania dokumentów, Wybierz indywidualne certyfikaty opcja pobierania. Jest to plik zip zawierający trzy pliki certyfikatów: certyfikat jednostki końcowej, certyfikat pośredni i certyfikat główny.
       
    2. Jeśli masz Certyfikat podpisywania kodu, Wybierz do instalacji YUBIKEY (DER).
       

Krok 4: Zainstaluj certyfikat w YubiKey

1. Uruchom YubiKey Manager i przejdź do Aplikacje> PIV.
   
2. Kliknij Skonfiguruj certyfikaty przycisk.
   
3. Wybierz kartę dla tego samego gniazda YubiKey, w którym wygenerowano parę kluczy.
   
4. Kliknij import przycisk.
   
5. Przejdź do pliku certyfikatu jednostki końcowej i kliknij plik import przycisk.
   
6. Wprowadź swoje YubiKey's klucz zarządzania, następnie kliknij OK. Jeśli potrzebujesz klucza zarządzającego, skontaktuj się z Support@SSL.com.
   
7. Nowy certyfikat do podpisywania kodu EV jest instalowany w YubiKey.
   
8. Aby upewnić się, że podpisy cyfrowe są zaufane na wszystkich komputerach, należy również zainstalować certyfikaty główne i pośrednie na swoim YubiKey, aby uzyskać pełny łańcuch zaufania. Postępuj zgodnie z tymi instrukcjami dla instalacji root i pośredniej: Zainstaluj certyfikaty główne i pośrednie SSL.com na YubiKey.