Geração e autenticação de chaves com YubiKey para certificados de assinatura de documentos

Como gerar um par de chaves e um certificado de atestação no seu YubiKey FIPS para solicitar certificados de assinatura de documentos.

Conteúdo Relacionado

Copiar link do artigo

Antes de começar
 Este guia destina-se apenas à instalação ou substituição de um certificado de assinatura de documento Em um YubiKey nestes casos:
  • Você comprou um YubiKey virgem diretamente da Yubico.
  • Você precisa substituir um item vencido. SSL.com Certificado de assinatura de documento em sua YubiKey
Não utilize este guia se:

Para efeitos de Assinaturas digitais Adobe PDF, é necessário que sua chave privada seja gerada com segurança e armazenada em um dispositivo de hardware externo validado por FIPS, em vez do seu computador. Os usuários podem gerar um par de chaves em uma YubiKey existente e em uma certificado de atestado que comprova que a chave privada foi gerada no dispositivo. O certificado de atestado pode então ser usado para obter certificados do SSL.com, que podem ser instalados manualmente na YubiKey.

Um certificado de atestado é válido apenas para uma YubiKey. Se precisar instalar seu certificado em várias YubiKeys, será necessário realizar um atestado para cada token. Entre em contato suporte@ssl.com para obter mais detalhes sobre múltiplas emissões de um certificado.

Este guia irá guiá-lo através de:

    • Verificando o certificado de atestado e sua associação a um pedido de assinatura de documento PDF da SSL.com
    • Download seu certificado de assinatura de documento
    • Instalando seu novo certificado no YubiKey
Ir para o início

Requisitos

  1. Última versão do Autenticador Yubico e Interface de linha de comando (CLI) do ykman.
    Observação:

    Para gerar o par de chaves e posteriormente instalar o certificado de assinatura de documentos, baixe esta ferramenta: Interface gráfica do usuário (GUI) do Yubico Authenticator

    Para gerar o certificado de atestado, utilize a Interface de Linha de Comando (CLI) do ykman, que está incluída neste pacote de download: Gerenciador de YubiKey.

    Após a instalação, ambas as ferramentas serão armazenadas na pasta Yubico do seu computador.

  2. Sua YubiKey PIN e PUK configurado em Autenticador Yubico. Se o seu token YubiKey foi adquirido da Yubico, você precisará configurar seu PIN e PUK. Para fazer isso, abra Autenticador Yubico, clique no Profissionais aba. No Gerenciar seção, você verá as opções para configurar seu PIN PUK

Etapa 1: gerar par de chaves no YubiKey

  1. Baixar Autenticador Yubico.
  2. Conecte sua YubiKey e inicie o Yubico Authenticator.
  3. Sob o Profissionais Na seção, selecione a aba correspondente ao slot YubiKey onde você pretende gerar o par de chaves. Para assinar documentos PDF, selecione Assinatura Digital (slot 9c). Clique em Gerar chave para prosseguir.
  4. Quando solicitado o PIN do seu YubiKey, insira o valor e clique em Destravar

  5. Insira o Nome Distinto (DN) no campo Assunto. Esse valor identifica o indivíduo ou a organização e aparecerá em qualquer documento eletrônico assinado com o certificado.

    • Comece a entrada com os caracteres CN= seguido do nome que você deseja exibir, sem espaço entre eles.
    • Exemplo: CN=Example Company

    Certifique-se de que o nome esteja correto, pois ele ficará visível para os usuários finais.

    Para Formato de saída, escolha Solicitação de assinatura de certificado (CSR).

    De Algoritmo Lista suspensa, faça uma seleçãoPara assinatura de documentos, opte por RSA2048.

    Finalmente, clique no botão Economize botão.
  6. Salve o CSR certificado em uma pasta.
Ir para o início

Etapa 2: Gerar certificado de atestado

Cada YubiKey vem pré-carregado com uma chave privada e certificado do Yubico que permite gerar um certificado de atestado para verificar se uma chave privada foi gerada em uma YubiKey. Esta operação exigirá que você use o ykman Interface de linha de comando (CLI) que está localizada no Gerente YubiKey pasta do seu computador. Para acessar a CLI do ykman, você precisará usar Windows PowerShell.

  1. Na barra de pesquisa do seu computador, digite Windows PowerShell, clique com o botão direito do mouse e escolha Executar como administradorUsuários de macOS e Linux devem abrir uma janela de terminal em seus dispositivos.

  2. Use o cd (Alterar Diretório) para navegar até os arquivos do YubiKey Manager e acessar ykmanPara fazer isso no Windows, execute os seguintes passos na mesma linha do PowerShell, na seguinte ordem:

    Formato cd no PowerShell
    Imprensa espaço
    Copie o caminho da pasta onde o arquivo ykman está localizado e, em seguida, coloque-o entre aspas. aspas duplas. Exemplo: "C:\Program Files\Yubico\YubiKey Manager"
    Imprensa Entrar

    • Windows: 
      cd "C: \ Arquivos de programas \ Yubico \ YubiKey Manager"
    • MacOS: 
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • No Linux (Ubuntu), o ykman O comando já estará instalado no seu PATH, para que você possa pular esta etapa.

  3. Após alternar para o ykman usando o PowerShell, utilize o comando abaixo para gerar um certificado de atestado, que estará em formato de arquivo de texto. No Windows, o comando será semelhante a este:.\ykman.exe piv keys attest 9c C:\Folder\Folder\attestation\attestationfilename

    Vamos analisar isso passo a passo:

    a. Copie isto para o PowerShell: .\ykman.exe piv keys attest 9c

    b. Na mesma linha do PowerShell, copie o caminho da pasta onde deseja armazenar o certificado de atestado. Escolha/crie uma pasta no seu computador. Exemplo: C:\Folder\Folder\attestation.

    Certifique-se de escolher/criar pastas com nomes de uma só palavra ou sem espaços para evitar erros ao inserir o comando no PowerShell. 

    c. Pense em um nome que você queira usar para o certificado. No final do caminho da pasta que você copiou para o PowerShell, adicione uma barra invertida (\) e o nome que você deseja usar para o seu certificado de atestação. Exemplo:\attestationfilename 

    Certifique-se de gerar um nome de arquivo que não contenha caracteres especiais nem espaços para evitar erros ao inserir o comando no PowerShell. 

    d. Pressione Entrar no PowerShell para finalmente gerar o arquivo de texto do certificado de atestado.

    Após inserir o comando, verifique na pasta designada do seu computador se o certificado de atestado foi gerado com sucesso. Ele estará em formato de arquivo de texto e terá o nome que você definiu. Ao ser aberto, exibirá um conjunto de letras e números encabeçado por —–INICIAR CERTIFICADO—– no topo e —– ENVIAR CERTIFICADO—– no fim.

    • Windows: 
      .\ykman.exe piv keys attestation 9c C:\Pasta\Pasta\atestação\nome_do_arquivo_de_atestação
    • Linux (Ubuntu): 
      ykman piv keys attest 9c ATTESTATION-FILENAME.crt
    • MacOS: 
      ./ykman piv keys attest 9c ATTESTATION-FILENAME.crt
  4. Em seguida, use o ykman Comando para exportar o certificado intermediário do slot f9 do YubiKey. O certificado estará em formato de arquivo de texto. O comando terá a seguinte aparência: .\ykman.exe piv certificates export f9 C:\Folder\Folder\attestation\intermediatefilename

    Vamos analisar isso passo a passo: 

    a. Copie isto no PowerShell: .\ykman.exe piv certificates export f9
    b. Escolha ou crie uma pasta no seu computador (por exemplo, Documentos) onde deseja exportar o certificado intermediário. Copie o endereço da pasta para o PowerShell. Exemplo: C:\Folder\Folder\attestation
    c. Crie um nome de arquivo para o certificado intermediário. Adicione uma barra invertida antes do nome e anexe-o ao final do endereço da pasta que você copiou para o PowerShell, sem espaço entre eles. Exemplo: \intermediatefilename
    d. Pressione EntrarApós inserir o comando, o certificado intermediário aparecerá na pasta designada, com o nome que você definiu. Ao abri-lo, ele exibirá um conjunto de letras e números encabeçado por -----BEGIN CERTIFICATE----- no topo e -----END CERTIFICATE----- no fim. 
    • Windows: 
      .\ykman.exe piv certificados export f9 C:\Pasta\Pasta\atestado\nomedoarquivointermediário
    • Linux (Ubuntu): 
      exportação de certificados ykman piv f9 INTERMEDIATE-FILENAME.crt
    • MacOS: 
      ./ykman piv certificados exportar f9 INTERMEDIATE-FILENAME.crt
Ir para o início

Etapa 3: verificar o certificado de atestado com SSL.com e anexar ao pedido

  1. Primeiro, abra a declaração de autenticidade e os certificados intermediários em um editor de texto.
  2. Faça login em sua conta de usuário SSL.com e navegue até o Pedidos guia. Clique no link com a etiqueta detalhes (para novos pedidos) ou download (para pedidos antigos) para o pedido que você deseja associar ao certificado de atestado. (Este link aparecerá como download (para clientes com um certificado de assinatura expirado que desejam substituir).

    Observação: Se quiser verificar a validade do seu certificado de atestado sem anexá-lo a um pedido, você pode usar o SSL.com ferramenta de verificação de atestado.

  3. Selecione seu caso de uso abaixo:
    a. Para clientes com um YubiKey em branco, clique em gerencia link, sob atestado.
    b. Para clientes que precisam substituir um certificado de assinatura expirado, clique em Apagar Primeiro, clique no link para remover o envio de atestado anterior referente ao seu certificado de assinatura expirado. Em seguida, clique no gerencia link. 
  4. Uma nova página com campos para o atestado e certificados intermediários aparecerá.

  5. Cole o certificado de atestado no Certificado de Atestado campo, certificando-se de incluir as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
  6. Em seguida, cole o certificado intermediário no Certificado Intermediário campo.
  7. Clique na Enviar botão.
  8. Se tudo tiver ocorrido corretamente, um alerta verde aparecerá na parte superior da tela, indicando um atestado bem-sucedido.
Ir para o início

Passo 4: Baixe seu Certificado de Assinatura de Documento

  1. Assim que a SSL.com aprovar sua declaração e emitir o certificado, ele poderá ser baixado da sua conta de usuário. Para fazer isso, clique em Pedidos No menu superior, localize o seu pedido de certificado na lista e clique nele. download link.
  2. Na página de download, role para baixo até CERTIFICADOS DA ENTIDADE FINAL seção e clique Mostrar detalhesDesça a página até a subseção intitulada Certificado de Assinatura de DocumentoÀ direita, você verá as opções de formato de download para o seu certificado. Para um Certificado de Assinatura de Documento, escolha o certificados individuais opção de download. Este é um arquivo zip contendo três arquivos de certificado: seu certificado de entidade final, um certificado intermediário e um certificado raiz. 
  3. Clique com o botão direito do mouse no arquivo zip baixado. Clique em Extrair tudo…
  4. Escolha o local onde deseja extrair os arquivos e clique em Extrair botão.
  5. Abra a pasta que contém os certificados extraídos. Você verá três certificados, mas só precisará instalar o seu. certificado de entidade final que é um Arquivo .CRT e contém o nome da pessoa ou organização. A partir daqui, você está pronto para instalar seu certificado.
Ir para o início

Passo 5: Instale seu certificado de assinatura de documentos no YubiKey.  

  1. Abra Autenticador Yubico.

  2. Clique Profissionais, Seguido por Digital Signature e Importar arquivo.
  3. Digite o PIN da sua YubiKey.
  4. Navegue até a pasta onde os certificados foram extraídos e clique no certificado de assinatura de documentos da sua entidade final.
  5. O Yubico Authenticator exibirá os detalhes do seu certificado. Clique em Importar botão.
  6. Seu certificado foi instalado com sucesso.
Ir para o início

Solução de problemas de autenticação de assinatura de documentos

If SSL.com Se sua declaração for rejeitada, isso se deve a um dos seguintes motivos:

  1. Etapa 1: gerar par de chaves no YubiKey
    1. Seu pedido de assinatura de certificado (CSR) está sendo rejeitado pelo Yubico Authenticator
      • Você precisa incluir os caracteres. CN= no campo Assunto. O Yubico Authenticator rejeitará o CSR se isso não for feito. 
      • Selecione um algoritmo compatível: RSA 2048 é o único algoritmo aceito para certificados de assinatura de documentos.

  2. Etapa 2: Gerar certificado de atestado
    1. Você não pode acessar a CLI do ykman
      • Não é possível acessar o ykman clicando duas vezes no ícone do aplicativo no YubiKey Manager. Você só pode usá-lo abrindo primeiro um aplicativo de shell, como o PowerShell, e depois usando o comando Alterar Diretório (cd) para executá-lo. 
      • Ao digitar o comando cd no PowerShell, deve haver um espaço entre cd e o caminho da pasta do ykman CLI. Exemplo: cd “C:\Program Files\Yubico\YubiKey Manager”
      • O caminho da pasta da CLI do ykman deve estar entre aspas duplas. Exemplo: “C:\Program Files\Yubico\YubiKey Manager”
    2. A declaração de autenticidade e os certificados intermediários não estão sendo gerados.
      • Certifique-se de escolher/criar pastas com nomes de uma só palavra ou sem espaços para evitar erros ao inserir o comando no PowerShell.  
      • Certifique-se de gerar um nome de arquivo curto, composto por uma única palavra e sem caracteres especiais para evitar erros ao inserir o comando no PowerShell.  

  3. Etapa 3: verificar o certificado de atestado com SSL.com e anexar ao pedido
    1. A declaração de autenticidade e os certificados intermediários não estão sendo enviados no meu sistema. SSL.com conta
      • Ao abri-los em um editor de texto como o Bloco de Notas, certifique-se de copiar todo o conteúdo do arquivo, incluindo —–INICIAR CERTIFICADO—– no topo e —– ENVIAR CERTIFICADO—– no fim. 
Ir para o início

Guias para assinatura digital de documentos Adobe PDF e Microsoft Office com sua YubiKey.

  1. Assinatura digital de documentos do Microsoft Office 365 usando uma YubiKey: Instruções passo a passo para instalar seu certificado de assinatura de documentos e adicionar ou remover assinaturas digitais no Microsoft Office 365.
  2. Assine digitalmente um PDF no Adobe Acrobat Reader usando uma YubiKey.: Um guia sobre como assinar documentos PDF no Adobe Acrobat Reader usando um certificado de assinatura de documentos SSL.com armazenado em um YubiKey.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com Ou simplesmente clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas frequentes de suporte em nossa seção de perguntas e respostas. Base de Conhecimento.

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa
Visão geral de privacidade
SSL.com

Este site usa cookies para que possamos oferecer a melhor experiência possível ao usuário. As informações sobre cookies são armazenadas no seu navegador e desempenham funções como reconhecê-lo quando você retornar ao nosso site e ajudar nossa equipe a entender quais seções do site você acha mais interessantes e úteis.

Para mais informações, leia nossa Declaração de privacidade e cookies.

Cookies de terceiros

Este site usa Google Analytics & Contador de estatísticas para coletar informações anônimas, como o número de visitantes do site e as páginas mais populares.

Manter esses cookies habilitados nos ajuda a melhorar nosso site.

Mostrar detalhes
Powered by  Conformidade com cookies GDPR