Instale certificados SSL.com raiz e intermediários no YubiKey

Como evitar erros de confiança com assinaturas digitais instalando uma cadeia de certificados completa com raiz e intermediário em seu YubiKey FIPS.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

Este artigo irá mostrar como usar o Yubico's ykman utilitário de linha de comando para instalar certificados intermediários e raiz SSL.com em um YubiKey com SSL.com Assinatura do código EV or Identidade comercial certificado. Este procedimento pode ser necessário para evitar erros de confiança em documentos assinados e código em alguns computadores.

SSL.com também recomenda que você instale esses certificados no seu computador de assinatura armazenamento de certificados.
  1. Baixe e instale Gerente YubiKey do site de Yubico. Versões para Windows, Linux e macOS estão disponíveis. Neste tutorial, não usaremos o YubiKey Manager em si, mas sim o ykman utilitário que será instalado com ele.
    Download do Gerenciador de YubiKey
  2. Baixe os certificados raiz e intermediários SSL.com apropriados para seu certificado de assinatura de documento ou de assinatura de código EV. Se seu certificado foi enviado em um token USB de chave de segurança validado FIPS 140-2 da SSL.com, ele terá uma chave ECDSA. Para um certificado que foi registrado no serviço de assinatura de código em nuvem eSigner da SSL.com, ele terá uma chave RSA. Confira nosso página dedicada para eSigner saber mais.
  3. Use o seguinte comando para navegar até os arquivos do YubiKey Manager:
    • Windows:
      cd "C: \ Arquivos de programas \ Yubico \ YubiKey Manager"
    • MacOS:
      $ cd / Applications / YubiKey Manager.app/Contents/MacOS
    • No Linux (Ubuntu), o ykman O comando já estará instalado no seu PATH, para que você possa pular esta etapa.
  4. Use estes comandos para instalar os certificados raiz e intermediários que você baixou na etapa 2 nos slots 82 e 83 do seu YubiKey. Substitua os valores em TODAS AS LETRAS MAIÚSCULAS pelos caminhos para os certificados que você baixou. Observe que o texto .pem deve ser incluído no nome do arquivo. Se você for solicitado a fornecer a chave de gerenciamento após digitar o comando, coloque o valor da sua chave de gerenciamento. Você pode usar o chave de gerenciamento padrão caso você não tenha alterado. (Se precisar instalar mais do que root ou intermediário, você pode usar qualquer slot YubiKey de 82 a 95.)
    • Windows:
      ./ykman.exe piv import-certificate 82 "CAMINHO\PARA\RAIZ\CERTIFICADO.pem" ./ykman.exe piv import-certificate 83 "CAMINHO\PARA\INTERMEDIÁRIO\CERTIFICADO.pem
    • MacOS:
      $ ./ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ./ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY
    • Linux (Ubuntu):
      $ ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY
      
  5. ykman não produzirá nenhuma saída para informá-lo quando o certificado foi instalado, mas você pode confirmar a instalação com ykman export-certificate. Por exemplo, os seguintes comandos exibirão um formato de texto do certificado no slot 82 para a saída padrão. Para verificar melhor, você pode abrir os certificados raiz e intermediário baixados usando um editor de texto como Bloco de notas e compare se são iguais à versão de texto exibida após digitar o comando no ykman.
    • Windows:
      .\ykman.exe exportação de certificados piv 82 -
    •  MacOS:
      ./ykman piv certificado de exportação 82 -
    • Linux (Ubuntu):
      certificado de exportação piv ykman 82 -
  6. Depois de instalar esses certificados em seu YubiKey, seu código e / ou documentos serão assinados com uma cadeia completa de confiança, portanto, você não terá problemas de confiança em computadores que não possuem o intermediário em seus armazenamentos confiáveis. Observe que pode ser necessário desconectar o YubiKey do seu computador e reconectá-lo para que as alterações tenham efeito ao assinar.

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.