Instale certificados SSL.com raiz e intermediários no YubiKey

Este artigo irá mostrar como usar o Yubico's ykman utilitário de linha de comando para instalar certificados intermediários e raiz SSL.com em um YubiKey com SSL.com Assinatura do código EV or Identidade comercial certificado. Este procedimento pode ser necessário para evitar erros de confiança em documentos assinados e código em alguns computadores.

1. Baixe e instale Gerente YubiKey do site de Yubico. Versões para Windows, Linux e macOS estão disponíveis. Neste tutorial, não usaremos o YubiKey Manager em si, mas sim o ykman utilitário que será instalado com ele.
   
2. Faça o download dos certificados raiz e intermediários SSL.com apropriados para sua assinatura de documento ou certificado de assinatura de código EV. Se o seu certificado foi enviado em um Token USB de chave de segurança validada FIPS 140-2 de SSL.com, ele terá uma chave ECDSA. Para um certificado que foi registrado no serviço de assinatura de código em nuvem eSigner da SSL.com, ele terá uma chave RSA. Confira nosso página dedicada para eSigner saber mais.
   • Assinatura de documentos (RSA):
     • RSA da autoridade de certificação raiz SSL.com
     • Certificado de cliente SSL.com intermediário CA RSA R2
   • Assinatura de documentos (ECDSA):
     • Autoridade de Certificação Raiz SSL.com EV ECC
     • Certificado de cliente intermediário CA ECC R2
   • Assinatura de código EV (RSA):
     • Autoridade de Certificação Raiz SSL.com EV RSA R2
     • SSL.com EV Code Signing intermediário CA RSA R3
   • Assinatura de código EV (ECDSA):
     • Autoridade de Certificação Raiz SSL.com EV ECC
     • SSL.com EV Code Signing Intermediário CA ECC R2
3. Use o seguinte comando para navegar até os arquivos do YubiKey Manager:
   • Windows:

     $ cd "C: \ Arquivos de programas \ Yubico \ YubiKey Manager"

   • MacOS:

     $ cd / Applications / YubiKey Manager.app/Contents/MacOS

   • No Linux (Ubuntu), o ykman O comando já estará instalado no seu PATH, para que você possa pular esta etapa.
4. Use esses comandos para instalar os certificados raiz e intermediários que você baixou na etapa 2 nos slots 82 e 83 em seu YubiKey. Substitua os valores em ALL-CAPS com os caminhos para os certificados que você baixou e sua chave de gerenciamento YubiKey. Você pode omitir o -m opção se o seu YubiKey tiver a chave de gerenciamento padrão. (Se precisar instalar mais do que root ou intermediário, você pode usar qualquer slot YubiKey de 82 a 95.)
   • Windows:

     $ ykman piv import-certificate 82 "PATH \ TO \ ROOT \ CERTIFICATE.pem" -m MANAGEMENT-KEY $ ykman piv import-certificate 83 "PATH \ TO \ INTERMEDIATE \ CERTIFICATE.pem -m MANAGEMENT-KEY

   • MacOS:

     $ ./ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ./ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY

   • Linux (Ubuntu):

     $ ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY
     

5. ykman não produzirá nenhuma saída para informá-lo quando o certificado foi instalado, mas você pode confirmar a instalação com ykman export-certificate. Por exemplo, o seguinte comando imprimirá o certificado no slot 82 na saída padrão:
   • Windows:

     certificado de exportação piv ykman 82 -

   •  MacOS:

     ./ykman piv certificado de exportação 82 -

   • Linux (Ubuntu):

     certificado de exportação piv ykman 82 -

6. Depois de instalar esses certificados em seu YubiKey, seu código e / ou documentos serão assinados com uma cadeia completa de confiança, portanto, você não terá problemas de confiança em computadores que não possuem o intermediário em seus armazenamentos confiáveis. Observe que pode ser necessário desconectar o YubiKey do seu computador e reconectá-lo para que as alterações tenham efeito ao assinar.