Instale certificados SSL.com raiz e intermediários no YubiKey

Este artigo irá mostrar como usar o Yubico's ykman utilitário de linha de comando para instalar certificados intermediários e raiz SSL.com em um YubiKey com SSL.com Assinatura do código EV or Identidade comercial certificado. Este procedimento pode ser necessário para evitar erros de confiança em documentos assinados e código em alguns computadores.

1. Baixe e instale Gerente YubiKey do site de Yubico. Versões para Windows, Linux e macOS estão disponíveis. Neste tutorial, não usaremos o YubiKey Manager em si, mas sim o ykman utilitário que será instalado com ele.
   
2. Faça o download dos certificados raiz e intermediários SSL.com apropriados para sua assinatura de documento ou certificado de assinatura de código EV. Se o seu certificado foi enviado em um Token USB de chave de segurança validada FIPS 140-2 do SSL.com, ele terá uma chave RSA. Você só terá uma chave ECDSA se a tiver especificado ao solicitar e instalar o certificado por conta própria.
   • Assinatura de documentos (RSA):
     • RSA da autoridade de certificação raiz SSL.com
     • Certificado de cliente SSL.com intermediário CA RSA R2
   • Assinatura de documentos (ECDSA):
     • Autoridade de Certificação Raiz SSL.com EV ECC
     • Certificado de cliente intermediário CA ECC R2
   • Assinatura de código EV (RSA):
     • Autoridade de Certificação Raiz SSL.com EV RSA R2
     • SSL.com EV Code Signing Intermediate CA RSA R3
   • Assinatura de código EV (ECDSA):
     • Autoridade de Certificação Raiz SSL.com EV ECC
     • SSL.com EV Code Signing Intermediário CA ECC R2
3. Use o seguinte comando para navegar até os arquivos do YubiKey Manager:
   • Windows:

     $ cd "C: \ Arquivos de programas \ Yubico \ YubiKey Manager"

   • MacOS:

     $ cd / Applications / YubiKey Manager.app/Contents/MacOS

   • No Linux (Ubuntu), o ykman O comando já estará instalado no seu PATH, para que você possa pular esta etapa.
4. Use esses comandos para instalar os certificados raiz e intermediários que você baixou na etapa 2 nos slots 82 e 83 em seu YubiKey. Substitua os valores em ALL-CAPS com os caminhos para os certificados que você baixou e sua chave de gerenciamento YubiKey. Você pode omitir o -m opção se o seu YubiKey tiver a chave de gerenciamento padrão. (Se precisar instalar mais do que root ou intermediário, você pode usar qualquer slot YubiKey de 82 a 95.)
   • Windows:

     $ ykman piv import-certificate 82 "PATH \ TO \ ROOT \ CERTIFICATE.pem" -m MANAGEMENT-KEY $ ykman piv import-certificate 83 "PATH \ TO \ INTERMEDIATE \ CERTIFICATE.pem -m MANAGEMENT-KEY

   • MacOS:

     $ ./ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ./ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY

   • Linux (Ubuntu):

     $ ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY
     

5. ykman não produzirá nenhuma saída para informá-lo quando o certificado foi instalado, mas você pode confirmar a instalação com ykman export-certificate. Por exemplo, o seguinte comando imprimirá o certificado no slot 82 na saída padrão:
   • Windows:

     certificado de exportação piv ykman 82 -

   •  MacOS:

     ./ykman piv export-certificate 82 -

   • Linux (Ubuntu):

     certificado de exportação piv ykman 82 -

6. Depois de instalar esses certificados em seu YubiKey, seu código e / ou documentos serão assinados com uma cadeia completa de confiança, portanto, você não terá problemas de confiança em computadores que não possuem o intermediário em seus armazenamentos confiáveis. Observe que pode ser necessário desconectar o YubiKey do seu computador e reconectá-lo para que as alterações tenham efeito ao assinar.

Tamanhos máximos de arquivo suportados para assinatura de código no eSigner

eSigner Express 

50 MB para assinatura de código