en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Do celów Podpisywanie kodu EV dzięki Podpisy cyfrowe Adobe PDF, wymagane jest bezpieczne generowanie klucza prywatnego i przechowywanie go na zewnętrznym urządzeniu sprzętowym z certyfikatem FIPS, a nie na komputerze. SSL.com opcjonalnie dostarcza certyfikaty podpisywania kodów EV i podpisywania dokumentów PDF wstępnie zainstalowane na kluczach sprzętowych Yubikey FIPS, ale użytkownicy mogą również wygenerować parę kluczy na istniejącym YubiKey i certyfikat zaświadczenia dowodzi to, że klucz prywatny został wygenerowany na urządzeniu. Za pomocą certyfikatu zaświadczenia można zamówić certyfikaty na stronie SSL.com, które można zainstalować ręcznie na YubiKey.

Do nie postępuj zgodnie z tymi instrukcjami, jeśli zamówiłeś YubiKey wraz z certyfikatem od SSL.com, ponieważ te YubiKeys są dostarczane z fabrycznie zainstalowanymi certyfikatami. Ten poradnik jest przeznaczony dla klientów, którzy chcą zainstalować certyfikaty na YubiKey FIPS, które już posiadają.

Ten poradnik przeprowadzi Cię przez:

Uwaga: Poniższe zrzuty ekranu pochodzą z systemu Windows, ale procedury są prawie identyczne w systemach Linux i macOS. Różnice między platformami podano poniżej. Instrukcje dla systemu Linux odnoszą się do Ubuntu 19.10, z zainstalowanym menedżerem YubiKey apt-get (patrz Yubico's instrukcje po więcej informacji). Aplikacja Linux AppImage jest również dostępna w YubiKey Manager pobrać stronę. Należy również pamiętać, że chociaż te instrukcje wykorzystują oprogramowanie Yubikey Manager firmy YubiCo, wersja 3.0 SSL.com SSL Manager wspiera generowanie pary kluczy i instalacja certyfikatu na YubiKey dla użytkowników systemu Windows.

Krok 1: Wygeneruj parę kluczy w YubiKey

  1. Jeśli jeszcze tego nie zrobiłeś, pobierz i zainstaluj Menedżer YubiKey ze strony internetowej Yubico. Dostępne są wersje dla systemów Windows, Linux i macOS.
    Pobieranie YubiKey Manager
  2. Podłącz swój YubiKey, a następnie uruchom YubiKey Manager. Twój YubiKey powinien zostać wyświetlony w oknie YubiKey Manager.
    Menedżer YubiKey
  3. Nawigować do Aplikacje> PIV.
    Aplikacje> PIV
  4. Kliknij Skonfiguruj certyfikaty przycisk.
    Skonfiguruj certyfikaty
  5. Wybierz zakładkę dla gniazda YubiKey, w którym chcesz wygenerować parę kluczy. Jeśli kupujesz certyfikat podpisujący kod EV, wybierz Uwierzytelnianie (miejsce 9a). W przypadku podpisywania dokumentów PDF wybierz Podpis cyfrowy (szczelina 9c). (Zobacz Yubco dokumentacja aby uzyskać więcej informacji na temat różnych kluczowych gniazd i ich zamierzonych funkcji; różnią się polityką wprowadzania kodu PIN). Tutaj użyjemy slotu 9a.
    Uwierzytelnianie (miejsce 9a)
  6. Kliknij Generuj swój przycisk.
    Generuj swój
  7. Wybierz Żądanie podpisania certyfikatu (CSR), a następnie kliknij przycisk Dalej przycisk.
    Żądanie podpisania certyfikatu (CSR)
  8. Wybierz Algorytm z menu rozwijanego. Aby podpisać dokument, wybierz RSA2048. Do podpisywania kodu EV wybierz, ECCP256 or ECCP384.
    wybierz algorytm
  9. Wpisz Nazwa przedmiotu dla certyfikatu, a następnie kliknij Dalej przycisk.
    Uwaga: W rzeczywistości nie będziemy tego używać CSR—Jest generowany jako produkt uboczny tworzenia nowej pary kluczy. Tak więc nie ma znaczenia, co wpiszesz tutaj jako nazwę podmiotu.
    Nazwa przedmiotu
  10. Kliknij Generuj swój przycisk.
    Generować
  11. Wybierz lokalizację, w której chcesz zapisać plik CSR plik, utwórz nazwę pliku, a następnie kliknij Zaoszczędź przycisk.
    Zaoszczędź CSR
  12. Wprowadź swoje YubiKey's klucz zarządzania, następnie kliknij OK. Jeśli potrzebujesz klucza zarządzającego, skontaktuj się z Support@SSL.com.
    klucz zarządzania
  13. Wprowadź swój YubiKey PIN, następnie kliknij OK. Jeśli potrzebujesz pomocy w znalezieniu kodu PIN, zapoznaj się z to instrukcje.
    Wpisz PIN
  14. Pandemia CSR plik zostanie zapisany w miejscu określonym w kroku 11 powyżej. Ponownie, nie potrzebujemy tego pliku, aby kontynuować i możesz go bezpiecznie usunąć.
    CSR filet

Krok 2: Wygeneruj certyfikat zaświadczenia

Każdy YubiKey jest fabrycznie załadowany z kluczem prywatnym i certyfikatem z Yubico, który pozwala na wygenerowanie certyfikat zaświadczenia aby sprawdzić, czy klucz prywatny został wygenerowany na YubiKey. Ta operacja będzie wymagać użycia wiersza poleceń.

  1. W systemie Windows otwórz PowerShell jako administrator. Użytkownicy macOS i Linux powinni otworzyć okno terminala na swoim urządzeniu.
    Otwórz PowerShell jako administrator
  2. Użyj następującego polecenia, aby przejść do plików YubiKey Manager:
    • Windows:
      cd „C: \ Program Files \ Yubico \ YubiKey Manager”
    • MacOS:
      cd / Aplikacje / YubiKey \ Manager.app/Contents/MacOS
    • W systemie Linux (Ubuntu) ykman polecenie zostanie już zainstalowane w twoim PATH, więc możesz pominąć ten krok.
  3. Wygeneruj certyfikat atestacyjny dla klucza za pomocą poniższego polecenia (zamień ATTESTATION-FILENAME.crt ze ścieżką i nazwą pliku, którego chcesz użyć; jeśli użyłeś gniazda 9c, wymień 9a z 9c):
    • Windows:
      . \ ykman.exe klucze przestawne attest 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv keys poświadczają 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman piv keys poświadczają 9a ATTESTATION-FILENAME.crt
  4. Następnie użyj ykman polecenie, aby wyeksportować certyfikat pośredni z gniazda f9 YubiKey (zamień INTERMEDIATE-FILENAME.crt ze ścieżką i nazwą pliku, którego chcesz użyć):
    • Windows:
      . \ ykman.exe eksport certyfikatów piv f9 POŚREDNIA-NAZWA-PLIKU.crt
    • Linux (Ubuntu):
      ykman piv certyfikaty export f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ykman piv certyfikaty export f9 INTERMEDIATE-FILENAME.crt

Krok 3: Zweryfikuj certyfikat zaświadczenia za pomocą SSL.com i dołącz do zamówienia

  1. Tutaj będziemy używać naszego certyfikatu atestacyjnego z YubiKey slot 9a z zamówieniem certyfikatu podpisującego kod EV. (Procedura podpisywania dokumentów jest taka sama). Najpierw otwórz atest i certyfikaty pośrednie w edytorze tekstu.
    Certyfikat zaświadczenia
  2. Zaloguj się na swoje konto użytkownika SSL.com i przejdź do Zamówienia kartę, a następnie kliknij przycisk detale link do zamówienia, które chcesz powiązać z certyfikatem atestacyjnym. (Ten link zmieni się na pobieranie po wydaniu certyfikatu).
    Uwaga: Jeśli chcesz sprawdzić ważność swojego certyfikatu bez dołączania go do zamówienia, możesz skorzystać z SSL.com narzędzie do weryfikacji atestacji.
    detale
  3. Kliknij zarządzanie link pod zaświadczenie.
    zarządzaj linkiem
  4. Pojawi się nowa strona z polami na atesty i certyfikaty pośrednie.
    Weryfikacja zaświadczenia
  5. Wklej certyfikat atestacji do pliku Certyfikat zaświadczenia pole, pamiętając o dołączeniu linii -----BEGIN CERTIFICATE----- dzięki -----END CERTIFICATE-----.
    wklej certyfikat zaświadczenia
  6. Następnie wklej certyfikat pośredni do pliku Świadectwo pośrednie pole.
    Pole Certyfikatu pośredniego
  7. Kliknij Wyślij przycisk.
    Przycisk Prześlij
  8. Jeśli wszystko poszło poprawnie, u góry ekranu pojawi się zielony alert wskazujący pomyślne poświadczenie.
    Pomyślne potwierdzenie
  9. Wróć do zamówienia na swoim koncie. Możesz sprawdzić, czy atest został dodany do zamówienia poprzez obecność oznaczonego linku Kasować dla zaświadczenie.
    Usuń link
  10. Gdy SSL.com przetworzy Twoje zamówienie, certyfikat będzie dostępny na Twoim koncie SSL.com.
    Pobierz linki
  11. Wybierz indywidualne certyfikaty format podczas pobierania.
    link do pobrania indywidualnych certyfikatów
  12. Rozwiń plik zip. Powinny istnieć trzy pliki certyfikatów: certyfikat jednostki końcowej, certyfikat pośredni i certyfikat główny.
    pliki certyfikatów

Ostrzeżenie: Widzieliśmy komunikaty o błędach w ostatnich wersjach YubiKey Managera podczas importowania certyfikatów ECC (teraz wymagane do podpisywania kodu EV na YubiKey). Istnieją dwa potencjalne obejścia:

  • Polecamy: Przed importowaniem przekonwertuj certyfikat na format DER. To jest proste konwersja z OpenSSL (zastąpić CERT.crt dzięki CERT.der z rzeczywistą nazwą pliku w następującym poleceniu):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Jeśli nie możesz przekonwertować pliku, przywróć do wcześniejsze wydanie YubiKey Managera również będzie działać. Najnowsza wersja, którą znaleźliśmy, z powodzeniem importowała ECC .crt pliki pobrane z SSL.com są 1.1.5.

Krok 4: Zainstaluj certyfikat w YubiKey

  1. Uruchom YubiKey Manager i przejdź do Aplikacje> PIV.
    Aplikacje> PIV
  2. Kliknij Skonfiguruj certyfikaty przycisk.
    Skonfiguruj certyfikaty
  3. Wybierz kartę dla tego samego gniazda YubiKey, w którym wygenerowano parę kluczy.
    Uwierzytelnianie (miejsce 9a)
  4. Kliknij import przycisk.
    Przycisk Importuj
  5. Przejdź do pliku certyfikatu jednostki końcowej i kliknij plik import przycisk.
    certyfikat importowy
  6. Wprowadź swoje YubiKey's klucz zarządzania, następnie kliknij OK. Jeśli potrzebujesz klucza zarządzającego, skontaktuj się z Support@SSL.com.
    klucz zarządzania
  7. Nowy certyfikat do podpisywania kodu EV jest instalowany w YubiKey.
    Certyfikat jest zainstalowany
  8. Aby upewnić się, że podpisy cyfrowe są zaufane na wszystkich komputerach, należy również zainstalować certyfikaty główne i pośrednie na swoim YubiKey, aby uzyskać pełny łańcuch zaufania. Postępuj zgodnie z tymi instrukcjami dla instalacji root i pośredniej: Zainstaluj certyfikaty główne i pośrednie SSL.com na YubiKey.
Dziękujemy za wybranie SSL.com! W razie jakichkolwiek pytań prosimy o kontakt mailowy pod adresem Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij łącze czatu w prawym dolnym rogu tej strony. Odpowiedzi na wiele często zadawanych pytań można również znaleźć w naszym baza wiedzy.

Zapisz się do newslettera SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com