Генерация ключей и аттестация с помощью Yubikey

Для целей Подпись кода EV и Adobe PDF цифровые подписитребуется, чтобы ваш личный ключ был надежно сгенерирован и сохранен на внешнем аппаратном устройстве, подтвержденном FIPS, а не на вашем компьютере. SSL.com дополнительно поставляет сертификаты подписи кода EV и подписи PDF-документов, предварительно установленные на Ключи безопасности с проверкой FIPS 140-2 USB-токены, но пользователи также могут сгенерировать пару ключей на существующем YubiKey и свидетельство об аттестации это доказывает, что закрытый ключ был сгенерирован на устройстве. Затем аттестационный сертификат можно использовать для заказа сертификатов на SSL.com, которые можно вручную установить на YubiKey.

Это руководство проведет вас через:

• Генерация пара ключей и свидетельство об аттестации на твоем Юбике
• проверка сертификат аттестации и его связь с подписью кода SSL.com EV или порядком подписания документа PDF
• Установка ваш новый сертификат в YubiKey

Шаг 1: Генерация пары ключей на YubiKey

1. Если вы еще этого не сделали, скачайте и установите ЮбиКей Менеджер с веб-сайта Yubico. Доступны версии для Windows, Linux и macOS.
   
2. Подключите YubiKey, затем запустите YubiKey Manager. Ваш YubiKey должен отображаться в окне YubiKey Manager.
   
3. Перейдите в Приложения> PIV.
   
4. Нажмите Настроить сертификаты .
   
5. Выберите вкладку слота YubiKey, где вы хотите сгенерировать пару ключей. Если вы покупаете сертификат подписи кода EV, выберите Аутентификация (слот 9а). Для подписи документа PDF выберите Цифровая подпись (слот 9с). (См. документации для получения дополнительной информации о различных ключевых слотах и ​​их предполагаемых функциях; они отличаются в своих правилах ввода PIN-кода). Здесь мы собираемся использовать слот 9а.
   
6. Нажмите Порождать .
   
7. Выберите Запрос на подпись сертификата (CSR), А затем нажмите Следующая .
   
8. Выберите Алгоритм из раскрывающегося меню. Для подписания документа выберите RSA2048. Для подписи кода EV выберите ECCP256 or ECCP384.
   
9. Введите Имя субъекта для сертификата, затем нажмите Следующая .
   
   Примечание: На самом деле мы не будем использовать это CSR- он создается как побочный продукт при создании новой пары ключей. Итак, на самом деле не имеет значения, что вы вводите здесь в качестве имени субъекта.
   
   Пользователи должны запросить у SSL.com новую выдачу при отправке нового заказа, выдача не произойдет автоматически.
10. Нажмите Порождать .
    
11. Выберите место для сохранения CSR файл, создайте имя файла, затем нажмите Сохранить .
    
12. Введите свой YubiKey ключ управления, затем нажмите OK. Если вам нужен ключ управления, свяжитесь с Support@SSL.com.
    
13. Введите свой YubiKey PIN-код, затем нажмите OK. Если вам нужна помощь в поиске PIN-кода, см. это как.
    
14. Ассоциация CSR файл будет сохранен в том месте, которое вы указали на шаге 11 выше. Опять же, нам не нужен этот файл для продолжения, и вы можете безопасно удалить его.
    

Шаг 2. Создайте сертификат аттестации

Каждый YubiKey поставляется с предварительно загруженным закрытым ключом и сертификатом от Yubico, который позволяет вам генерировать свидетельство об аттестации чтобы убедиться, что на YubiKey был сгенерирован закрытый ключ. Эта операция потребует от вас использования командной строки.

1. В Windows откройте PowerShell от имени администратора. Пользователи macOS и Linux должны открыть окно терминала на своем устройстве.
   
2. Используйте следующую команду для перехода к файлам YubiKey Manager:
   • Windows:

     компакт-диск «C:Program FilesYubicoYubiKey Manager»

   • MacOS:

     cd/Applications/YubiKey Manager.app/Contents/MacOS

   • В Linux (Ubuntu) ykman Команда уже будет установлена ​​в вашем PATH, так что вы можете пропустить этот шаг.
3. Сгенерируйте сертификат аттестации для ключа с помощью команды ниже (замените ATTESTATION-FILENAME.crt с путем и именем файла, который вы хотите использовать; если вы использовали слот 9с, замените 9a 9c):
   • Windows:

     Ключи piv .ykman.exe подтверждают 9a ИМЯ-ФАЙЛА-АТТЕСТАЦИИ.crt

   • Линукс (Убунту):

     ключи ykman piv подтверждают 9a ATTESTATION-FILENAME.crt

   • MacOS:

     ./ykman piv ключи attest 9a ATTESTATION-FILENAME.crt

4. Затем используйте ykman Команда для экспорта промежуточного сертификата из слота F9 YubiKey (заменить INTERMEDIATE-FILENAME.crt с путем и именем файла, который вы хотите использовать):
   • Windows:

     .ykman.exe экспорт сертификатов piv f9 INTERMEDIATE-FILENAME.crt

   • Линукс (Убунту):

     ykman piv Certificates export f9 INTERMEDIATE-FILENAME.crt

   • MacOS:

     ./ykman экспорт сертификатов piv f9 INTERMEDIATE-FILENAME.crt

Шаг 3. Подтвердите сертификат аттестации с помощью SSL.com и прикрепите к заказу

1. Здесь мы собираемся использовать наш сертификат аттестации из слота YubiKey 9a с порядком сертификата подписи кода EV. (Процедура для сертификатов подписи документов такая же.) Сначала откройте аттестационный и промежуточный сертификаты в текстовом редакторе.
   
2. Войдите в свою учетную запись пользователя SSL.com и перейдите к Заказы , затем нажмите подробнее ссылка на заказ, который вы хотите связать с аттестационным сертификатом. (Эта ссылка изменится на скачать после выдачи вашего сертификата.)
   
   Примечание: Если вы хотите проверить действительность сертификата аттестации, не прикрепляя его к заказу, вы можете использовать SSL.com инструмент проверки аттестации.
   
3. Нажмите управлять ссылка, под засвидетельствование.
   
4. Появится новая страница с полями для аттестации и промежуточных сертификатов.
   
5. Вставьте свидетельство об аттестации в Сертификат аттестации поле, не забудьте включить строки -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.
   
6. Затем вставьте промежуточный сертификат в Промежуточный сертификат поле.
   
7. Нажмите Отправить .
   
8. Если все прошло правильно, вверху экрана появится зеленое предупреждение, указывающее на успешную аттестацию.
   
9. Вернитесь к заказу в личном кабинете. Вы можете убедиться, что аттестация добавлена ​​в заказ, по наличию ссылки с пометкой Удалить под засвидетельствование.
   
10. После того как SSL.com обработает ваш заказ, сертификат будет доступен в вашей учетной записи SSL.com. На странице сведений о заказе прокрутите вниз до СЕРТИФИКАТЫ КОНЕЧНЫХ СУЩЕСТВ раздела и нажмите Показать детали.
    
11. Прокрутите вниз до подраздела с надписью Сертификат подписи кода or Сертификат подписи документа, в зависимости от вашего заказа. Справа вы увидите ссылки для скачивания вашего сертификата.
    
    
    1. Если у вас есть Сертификат подписи документа, выбрать индивидуальные сертификаты вариант загрузки. Это zip-файл, содержащий три файла сертификатов: сертификат конечного объекта, промежуточный сертификат и корневой сертификат.
       
    2. Если у вас есть Сертификат подписи кода, выбрать для установки YUBIKEY (DER).
       

Шаг 4: Установите сертификат в YubiKey

1. Запустите YubiKey Manager и перейдите к Приложения> PIV.
   
2. Нажмите Настроить сертификаты .
   
3. Выберите вкладку того же слота YubiKey, в котором вы сгенерировали пару ключей.
   
4. Нажмите Импортировать .
   
5. Перейдите к файлу сертификата конечного объекта и щелкните значок Импортировать .
   
6. Введите свой YubiKey ключ управления, затем нажмите OK. Если вам нужен ключ управления, свяжитесь с Support@SSL.com.
   
7. Новый сертификат подписи кода EV установлен в YubiKey.
   
8. Чтобы убедиться, что вашим цифровым подписям доверяют на всех компьютерах, вы также должны установить корневой и промежуточный сертификаты на свой YubiKey для полной цепочки доверия. Пожалуйста, следуйте этим инструкциям для корневой и промежуточной установки: Установите корневой и промежуточный сертификаты SSL.com на YubiKey.