Do celów Podpisywanie kodu EV i Podpisy cyfrowe Adobe PDF, wymagane jest bezpieczne generowanie klucza prywatnego i przechowywanie go na zewnętrznym urządzeniu sprzętowym z certyfikatem FIPS, a nie na komputerze. SSL.com opcjonalnie dostarcza wstępnie zainstalowane certyfikaty podpisywania kodów EV i dokumentów PDF Tokeny USB z walidacją klucza bezpieczeństwa FIPS 140-2, ale użytkownicy mogą również wygenerować parę kluczy na istniejącym YubiKey i certyfikat zaświadczenia dowodzi to, że klucz prywatny został wygenerowany na urządzeniu. Za pomocą certyfikatu zaświadczenia można zamówić certyfikaty na stronie SSL.com, które można zainstalować ręcznie na YubiKey.
Ten poradnik przeprowadzi Cię przez:
- Generowanie a para kluczy i certyfikat zaświadczenia na swoim Yubikey
- Weryfikowanie certyfikat zaświadczenia i powiązanie go z podpisaniem kodu EV SSL.com lub zleceniem podpisania dokumentu PDF
- Instalacja twój nowy certyfikat w YubiKey
apt-get
(patrz Yubico's instrukcje po więcej informacji). Aplikacja Linux AppImage jest również dostępna w YubiKey Manager pobrać stronę. Należy również pamiętać, że chociaż te instrukcje korzystają z oprogramowania Yubico Yubikey Manager, wersja 3.0 witryny SSL.com SSL Manager wspiera generowanie pary kluczy i instalacja certyfikatu na YubiKey dla użytkowników systemu Windows.Krok 1: Wygeneruj parę kluczy w YubiKey
- Jeśli jeszcze tego nie zrobiłeś, pobierz i zainstaluj Menedżer YubiKey ze strony internetowej Yubico. Dostępne są wersje dla systemów Windows, Linux i macOS.
- Podłącz swój YubiKey, a następnie uruchom YubiKey Manager. Twój YubiKey powinien zostać wyświetlony w oknie YubiKey Manager.
- Nawigować do Aplikacje> PIV.
- Kliknij Skonfiguruj certyfikaty przycisk.
- Wybierz zakładkę dla gniazda YubiKey, w którym chcesz wygenerować parę kluczy. Jeśli kupujesz certyfikat podpisujący kod EV, wybierz Uwierzytelnianie (miejsce 9a). W przypadku podpisywania dokumentów PDF wybierz Podpis cyfrowy (szczelina 9c). (Zobacz Yubico's dokumentacja aby uzyskać więcej informacji na temat różnych kluczowych gniazd i ich zamierzonych funkcji; różnią się polityką wprowadzania kodu PIN). Tutaj użyjemy slotu 9a.
- Kliknij Generuj swój przycisk.
- Wybierz Żądanie podpisania certyfikatu (CSR), a następnie kliknij przycisk Następna przycisk.
- Wybierz Algorytm z menu rozwijanego. Aby podpisać dokument, wybierz
RSA2048
. Do podpisywania kodu EV wybierz,ECCP256
orECCP384
.
- Wpisz Nazwa przedmiotu dla certyfikatu, a następnie kliknij Następna przycisk.
Uwaga: W rzeczywistości nie będziemy tego używać CSR—Jest generowany jako produkt uboczny tworzenia nowej pary kluczy. Tak więc nie ma znaczenia, co wpiszesz tutaj jako nazwę podmiotu.Użytkownicy muszą poprosić SSL.com o nowe wydanie podczas składania nowego zamówienia, wydanie nie nastąpi automatycznie. - Kliknij Generuj swój przycisk.
- Wybierz lokalizację, w której chcesz zapisać plik CSR plik, utwórz nazwę pliku, a następnie kliknij Zapisz przycisk.
- Wprowadź swoje YubiKey's klucz zarządzania, następnie kliknij OK. Jeśli potrzebujesz klucza zarządzającego, skontaktuj się z Support@SSL.com.
- Wprowadź swój YubiKey PIN, następnie kliknij OK. Jeśli potrzebujesz pomocy w znalezieniu kodu PIN, zapoznaj się z to instrukcje.
- Opona CSR plik zostanie zapisany w miejscu określonym w kroku 11 powyżej. Ponownie, nie potrzebujemy tego pliku, aby kontynuować i możesz go bezpiecznie usunąć.
Krok 2: Wygeneruj certyfikat zaświadczenia
Każdy YubiKey jest fabrycznie załadowany z kluczem prywatnym i certyfikatem z Yubico, który pozwala na wygenerowanie certyfikat zaświadczenia aby sprawdzić, czy klucz prywatny został wygenerowany na YubiKey. Ta operacja będzie wymagać użycia wiersza poleceń.
- W systemie Windows otwórz PowerShell jako administrator. Użytkownicy macOS i Linux powinni otworzyć okno terminala na swoim urządzeniu.
- Użyj następującego polecenia, aby przejść do plików YubiKey Manager:
- Windows:
cd „C:Program FilesYubicoYubiKey Manager”
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- W systemie Linux (Ubuntu)
ykman
polecenie zostanie już zainstalowane w twoimPATH
, więc możesz pominąć ten krok.
- Windows:
- Wygeneruj certyfikat atestacyjny dla klucza za pomocą poniższego polecenia (zamień
ATTESTATION-FILENAME.crt
ze ścieżką i nazwą pliku, którego chcesz użyć; jeśli użyłeś gniazda 9c, wymień9a
w9c
):- Windows:
Klucze piv .ykman.exe potwierdzają 9a NAZWA PLIKU ATTESTATION.crt
- Linuks (Ubuntu):
ykman piv keys poświadczają 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv keys poświadczają 9a ATTESTATION-FILENAME.crt
- Windows:
- Następnie użyj
ykman
polecenie, aby wyeksportować certyfikat pośredni z gniazda f9 YubiKey (zamieńINTERMEDIATE-FILENAME.crt
ze ścieżką i nazwą pliku, którego chcesz użyć):- Windows:
.ykman.exe eksport certyfikatów piv f9 NAZWA PLIKU POŚREDNIEGO.crt
- Linuks (Ubuntu):
ykman piv certyfikaty export f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv certyfikaty export f9 INTERMEDIATE-FILENAME.crt
- Windows:
Krok 3: Zweryfikuj certyfikat zaświadczenia za pomocą SSL.com i dołącz do zamówienia
- Tutaj będziemy używać naszego certyfikatu atestacyjnego z YubiKey slot 9a z zamówieniem certyfikatu podpisującego kod EV. (Procedura podpisywania dokumentów jest taka sama). Najpierw otwórz atest i certyfikaty pośrednie w edytorze tekstu.
- Zaloguj się na swoje konto użytkownika SSL.com i przejdź do Zamówienia kartę, a następnie kliknij przycisk detale link do zamówienia, które chcesz powiązać z certyfikatem atestacyjnym. (Ten link zmieni się na pobieranie po wydaniu certyfikatu).
Uwaga: Jeśli chcesz sprawdzić ważność swojego certyfikatu bez dołączania go do zamówienia, możesz skorzystać z SSL.com narzędzie do weryfikacji atestacji. - Kliknij zarządzanie link pod zaświadczenie.
- Pojawi się nowa strona z polami na atesty i certyfikaty pośrednie.
- Wklej certyfikat atestacji do pliku Certyfikat zaświadczenia pole, pamiętając o dołączeniu linii
-----BEGIN CERTIFICATE-----
i-----END CERTIFICATE-----
.
- Następnie wklej certyfikat pośredni do pliku Świadectwo pośrednie pole.
- Kliknij Wyślij przycisk.
- Jeśli wszystko poszło poprawnie, u góry ekranu pojawi się zielony alert wskazujący pomyślne poświadczenie.
- Wróć do zamówienia na swoim koncie. Możesz sprawdzić, czy atest został dodany do zamówienia poprzez obecność oznaczonego linku Usuń dla zaświadczenie.
- Po przetworzeniu zamówienia przez SSL.com certyfikat będzie dostępny na Twoim koncie SSL.com. Na stronie szczegółów zamówienia przewiń w dół do CERTYFIKATY JEDNOSTEK KOŃCOWYCH sekcję i kliknij Pokaż szczegóły.
- Przewiń w dół do podsekcji oznaczonej etykietą Certyfikat podpisywania kodu or Certyfikat podpisywania dokumentów, w zależności od zamówienia. Po prawej stronie zobaczysz linki do pobrania certyfikatu.
- Jeśli masz Certyfikat podpisywania dokumentów, Wybierz indywidualne certyfikaty opcja pobierania. Jest to plik zip zawierający trzy pliki certyfikatów: certyfikat jednostki końcowej, certyfikat pośredni i certyfikat główny.
- Jeśli masz Certyfikat podpisywania kodu, Wybierz do instalacji YUBIKEY (DER).
- Jeśli masz Certyfikat podpisywania dokumentów, Wybierz indywidualne certyfikaty opcja pobierania. Jest to plik zip zawierający trzy pliki certyfikatów: certyfikat jednostki końcowej, certyfikat pośredni i certyfikat główny.
Ostrzeżenie: Widzieliśmy komunikaty o błędach w ostatnich wersjach YubiKey Managera podczas importowania certyfikatów ECC (teraz wymagane do podpisywania kodu EV na YubiKey). Istnieją dwa potencjalne obejścia:
- Polecamy: Przed importowaniem przekonwertuj certyfikat na format DER. To jest proste konwersja z OpenSSL (zastąpić
CERT.crt
iCERT.der
z rzeczywistą nazwą pliku w następującym poleceniu):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Jeśli nie możesz przekonwertować pliku, przywróć do wcześniejsze wydanie YubiKey Managera również będzie działać. Najnowsza wersja, którą znaleźliśmy, z powodzeniem importowała ECC
.crt
pliki pobrane z SSL.com są1.1.5
.
Krok 4: Zainstaluj certyfikat w YubiKey
- Uruchom YubiKey Manager i przejdź do Aplikacje> PIV.
- Kliknij Skonfiguruj certyfikaty przycisk.
- Wybierz kartę dla tego samego gniazda YubiKey, w którym wygenerowano parę kluczy.
- Kliknij import przycisk.
- Przejdź do pliku certyfikatu jednostki końcowej i kliknij plik import przycisk.
- Wprowadź swoje YubiKey's klucz zarządzania, następnie kliknij OK. Jeśli potrzebujesz klucza zarządzającego, skontaktuj się z Support@SSL.com.
- Nowy certyfikat do podpisywania kodu EV jest instalowany w YubiKey.
- Aby upewnić się, że podpisy cyfrowe są zaufane na wszystkich komputerach, należy również zainstalować certyfikaty główne i pośrednie na swoim YubiKey, aby uzyskać pełny łańcuch zaufania. Postępuj zgodnie z tymi instrukcjami dla instalacji root i pośredniej: Zainstaluj certyfikaty główne i pośrednie SSL.com na YubiKey.