Geração de chaves e atestado com Yubikey

Para efeitos de Assinatura de código EV e Assinaturas digitais Adobe PDF, é necessário que sua chave privada seja gerada e armazenada com segurança em um dispositivo de hardware externo validado por FIPS, e não no seu computador. SSL.com opcionalmente envia certificados de assinatura de código EV e documentos PDF pré-instalados em Tokens USB de chave de segurança validada FIPS 140-2, mas os usuários também podem gerar um par de chaves em um YubiKey existente e um certificado de atestado que prova que a chave privada foi gerada no dispositivo. O certificado de atestado pode então ser usado para solicitar certificados de SSL.com que podem ser instalados manualmente no YubiKey.

Do não siga estas instruções se você solicitou uma YubiKey junto com seu certificado de SSL.com, uma vez que essas YubiKeys são enviadas com certificados pré-instalados. Este manual é para clientes que desejam instalar certificados em um YubiKey FIPS que já possuem.

Este guia irá guiá-lo através de:

Nota: As capturas de tela abaixo são do Windows, mas os procedimentos são quase idênticos no Linux e no macOS. As diferenças entre plataformas são observadas abaixo. As instruções do Linux referem-se ao Ubuntu 19.10, com o gerenciador YubiKey instalado com o apt-get (ver Yubico's instruções Para maiores informações). Uma Linux AppImage também está disponível no YubiKey Manager página de download. Observe também que, embora essas instruções usem o software Yubikey Manager da Yubico, a versão 3.0 do SSL.com SSL Manager suporta geração de pares de chaves e instalação de certificados em YubiKey para usuários do Windows.

Etapa 1: gerar par de chaves no YubiKey

  1. Se ainda não o fez, baixe e instale Gerente YubiKey do site de Yubico. Versões para Windows, Linux e macOS estão disponíveis.
    Download do Gerenciador de YubiKey
  2. Conecte seu YubiKey e, em seguida, inicie o YubiKey Manager. Sua YubiKey deve ser exibida na janela YubiKey Manager.
    Gerente YubiKey
  3. Navegar para Aplicativos> PIV.
    Aplicativos> PIV
  4. Clique na Configurar certificados botão.
    Configurar certificados
  5. Selecione a guia para o slot YubiKey onde você gostaria de gerar o par de chaves. Se você está comprando um certificado de assinatura de código EV, escolha Autenticação (slot 9a). Para assinatura de documento PDF, escolha Digital Signature (ranhura 9c). (Veja Yubico's documentação para obter mais informações sobre os vários slots de teclas e suas funções pretendidas; eles diferem em suas políticas de entrada de PIN). Aqui vamos usar o slot 9a.
    Autenticação (slot 9a)
  6. Clique na Gerar botão.
    Gerar
  7. Selecionar Solicitação de assinatura de certificado (CSR), Então clique no Próximo botão.
    Solicitação de assinatura de certificado (CSR)
  8. Selecione um Algoritmo no menu suspenso. Para assinatura de documento, escolha RSA2048. Para assinatura de código EV, escolha ECCP256 or ECCP384.
    selecionar algoritmo
  9. Digite um Nome do assunto para o certificado e clique no ícone Próximo botão.
    Nota: Não vamos realmente usar isso CSR—É gerado como um subproduto da criação de um novo par de chaves. Portanto, realmente não importa o que você insere no Nome do Assunto aqui.
    Nome do assunto
    Os usuários devem solicitar ao SSL.com uma nova emissão ao enviar um novo pedido, a emissão não acontecerá automaticamente.
  10. Clique na Gerar botão.
    gerar
  11. Selecione um local para salvar o CSR arquivo, crie um nome de arquivo e clique no Salvar botão.
    Salvar CSR
  12. Digite seu YubiKey's chave de gerenciamento, então clique OK. Se você precisar de sua chave de gerenciamento, entre em contato Support@SSL.com.
    chave de gerenciamento
  13. Digite sua YubiKey PIN, então clique OK. Se precisar de ajuda para encontrar seu PIN, consulte este tutorial.
    Entrar no pino
  14. A CSR o arquivo será salvo no local especificado na etapa 11 acima. Novamente, não precisamos desse arquivo para prosseguir e você pode excluí-lo com segurança.
    CSR lima

Etapa 2: Gerar certificado de atestado

Cada YubiKey vem pré-carregado com uma chave privada e certificado do Yubico que permite gerar um certificado de atestado para verificar se uma chave privada foi gerada em uma YubiKey. Esta operação exigirá que você use a linha de comando.

  1. No Windows, abra o PowerShell como administrador. Os usuários do macOS e do Linux devem abrir uma janela de terminal em seus dispositivos.
    Abra o PowerShell como administrador
  2. Use o seguinte comando para navegar até os arquivos do YubiKey Manager:
    • Windows:
      cd "C:Arquivos de ProgramasYubicoYubiKey Manager"
    • MacOS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • No Linux (Ubuntu), o ykman O comando já estará instalado no seu PATH, para que você possa pular esta etapa.
  3. Gere um certificado de atestado para a chave com o comando abaixo (substitua ATTESTATION-FILENAME.crt com o caminho e o nome do arquivo que você deseja usar; se você usou o slot 9c, substitua 9a com 9c):
    • Windows:
      .ykman.exe chaves piv atestam 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      As chaves dinâmicas do ykman atestam 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman chaves dinâmicas atestam 9a ATTESTATION-FILENAME.crt
  4. Em seguida, use o ykman para exportar o certificado intermediário do slot f9 do YubiKey (substitua INTERMEDIATE-FILENAME.crt com o caminho e o nome do arquivo que você deseja usar):
    • Windows:
      .ykman.exe certificados piv exportam f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      exportação de certificados ykman piv f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ykman piv certificados exportar f9 INTERMEDIATE-FILENAME.crt

Etapa 3: verificar o certificado de atestado com SSL.com e anexar ao pedido

  1. Aqui, vamos usar nosso certificado de atestado do slot 9a de YubiKey com um pedido de certificado de assinatura de código EV. (O procedimento para certificados de assinatura de documentos é o mesmo.) Primeiro, abra o atestado e os certificados intermediários em um editor de texto.
    Certificado de Atestado
  2. Faça login em sua conta de usuário SSL.com e navegue até o Pedidos guia e, em seguida, clique no botão detalhes link para o pedido que você deseja associar ao certificado de atestado. (Este link mudará para download após a emissão do seu certificado.)
    Nota: Se quiser verificar a validade do seu certificado de atestado sem anexá-lo a um pedido, você pode usar o SSL.com ferramenta de verificação de atestado.
    detalhes
  3. Clique na gerencia link, sob atestado.
    gerenciar link
  4. Uma nova página com campos para o atestado e certificados intermediários aparecerá.
    Verificação de Atestado
  5. Cole o certificado de atestado no Certificado de Atestado campo, certificando-se de incluir as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
    colar certificado de atestado
  6. Em seguida, cole o certificado intermediário no Certificado Intermediário campo.
    Campo Certificado intermediário
  7. Clique na Submeter botão.
    Botão de envio
  8. Se tudo tiver ocorrido corretamente, um alerta verde aparecerá na parte superior da tela, indicando um atestado bem-sucedido.
    Atestado com sucesso
  9. Retorne ao pedido em sua conta. Você pode verificar se o atestado foi adicionado ao pedido pela presença de um link rotulado Apagar para atestado.
    Excluir link
  10. Depois que SSL.com processar seu pedido, o certificado estará disponível em sua conta SSL.com. Na página de detalhes do pedido, role para baixo até CERTIFICADOS DA ENTIDADE FINAL seção e clique Mostrar detalhes.
  11. Role para baixo até a subseção rotulada Certificado de assinatura de código or Certificado de Assinatura de Documento, dependendo do seu pedido. À direita, você verá os links para download do seu certificado.

    1. Se você tem um Certificado de Assinatura de Documento, escolha o certificados individuais opção de download. Este é um arquivo zip contendo três arquivos de certificado: seu certificado de entidade final, um certificado intermediário e um certificado raiz.
    2. Se você tem um Certificado de assinatura de código, escolha o para instalação YUBIKEY (DER).

Atenção: Vimos mensagens de erro em versões recentes do YubiKey Manager ao importar certificados ECC (agora necessários para assinatura de código EV no YubiKey). Existem duas soluções alternativas possíveis:

  • Recomendado: Converta o certificado para o formato DER antes de importar. Este é um simples conversão com OpenSSL (substituir CERT.crt e CERT.der com seu nome de arquivo real no seguinte comando):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Se você não pode converter seu arquivo, revertendo para um lançamento anterior do YubiKey Manager também funcionará. A versão mais recente que encontramos para importar ECC com sucesso .crt arquivos baixados de SSL.com são 1.1.5.

Etapa 4: instalar o certificado no YubiKey

  1. Inicie o YubiKey Manager e navegue até Aplicativos> PIV.
    Aplicativos> PIV
  2. Clique na Configurar certificados botão.
    Configurar certificados
  3. Selecione a guia para o mesmo slot YubiKey onde você gerou o par de chaves.
    Autenticação (slot 9a)
  4. Clique na importação botão.
    Botão Importar
  5. Navegue até seu arquivo de certificado de entidade final e clique no importação botão.
    certificado de importação
  6. Digite seu YubiKey's chave de gerenciamento, então clique OK. Se você precisar de sua chave de gerenciamento, entre em contato Support@SSL.com.
    chave de gerenciamento
  7. O novo certificado de assinatura de código EV é instalado no YubiKey.
    O certificado está instalado
  8. Para se certificar de que suas assinaturas digitais são confiáveis ​​em todos os computadores, você também deve instalar os certificados raiz e intermediários em sua YubiKey para uma cadeia completa de confiança. Siga estas instruções para instalação raiz e intermediária: Instale certificados SSL.com raiz e intermediários no YubiKey.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.