Установите корневой и промежуточный сертификаты SSL.com на YubiKey

Это практическое руководство покажет вам, как использовать Yubico's ykman утилита командной строки для установки промежуточных и корневых сертификатов SSL.com на YubiKey с SSL.com Подпись кода EV or Идентичность бизнеса сертификат. Эта процедура может быть необходима, чтобы избежать ошибок доверия с подписанными документами и кодом на некоторых компьютерах.

1. Скачайте и установите ЮбиКей Менеджер с веб-сайта Yubico. Доступны версии для Windows, Linux и macOS. В этом руководстве мы будем использовать не сам YubiKey Manager, а ykman утилита, которая будет установлена ​​вместе с ним.
   
2. Загрузите соответствующие корневые и промежуточные сертификаты SSL.com для вашего сертификата подписи документа или сертификата подписи кода EV. Если ваш сертификат был отправлен Ключ безопасности с проверкой FIPS 140-2 USB-токен с SSL.com, у него будет ключ ECDSA. Для сертификата, который был зарегистрирован в облачной службе подписи кода eSigner SSL.com, он будет иметь ключ RSA. Проверьте наши специальная страница для eSigner, чтобы узнать больше.
   • Подписание документа (RSA):
     • Корневой центр сертификации SSL.com RSA
     • Сертификат клиента SSL.com Промежуточный ЦС RSA R2
   • Подписание документа (ECDSA):
     • SSL.com EV Корневой центр сертификации ECC
     • Сертификат клиента Промежуточный ЦС ECC R2
   • Подписание кода EV (RSA):
     • SSL.com EV Корневой центр сертификации RSA R2
     • SSL.com EV Code Signing Intermediate CA RSA R3
   • Подписание кода EV (ECDSA):
     • SSL.com EV Корневой центр сертификации ECC
     • SSL.com EV Code Signing Intermediate CA ECC R2
3. Используйте следующую команду для перехода к файлам YubiKey Manager:
   • Windows:

     $ cd "C: \ Program Files \ Yubico \ YubiKey Manager"

   • MacOS:

     $ cd / Applications / YubiKey Manager.app/Contents/MacOS

   • В Linux (Ubuntu) ykman Команда уже будет установлена ​​в вашем PATH, так что вы можете пропустить этот шаг.
4. Используйте эти команды для установки корневого и промежуточного сертификатов, которые вы загрузили на шаге 2, в слоты 82 и 83 на вашем YubiKey. Замените значения в ALL-CAPS путями к сертификатам, которые вы загрузили, и ключом управления YubiKey. Вы можете опустить -m вариант, если ваш YubiKey имеет ключ управления по умолчанию. (Если вам нужно установить больше, чем root или промежуточный, вы можете использовать любой слот YubiKey от 82 до 95.)
   • Windows:

     $ ykman piv import-certificate 82 "PATH \ TO \ ROOT \ CERTIFICATE.pem" -m MANAGEMENT-KEY $ ykman piv import-certificate 83 "PATH \ TO \ INTERMEDIATE \ CERTIFICATE.pem -m MANAGEMENT-KEY

   • MacOS:

     $ ./ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ./ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m MANAGEMENT-KEY

   • Линукс (Убунту):

     $ ykman piv import-certificate 82 /PATH/TO/ROOT/CERTIFICATE.pem -m MANAGEMENT-KEY $ ykman piv import-certificate 83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem-MANAGEMENT-KEY
     

5. ykman не будет выдавать никаких сообщений, чтобы вы знали, когда сертификат был установлен, но вы можете подтвердить установку с помощью ykman export-certificate. Например, следующая команда распечатает сертификат в слоте 82 на стандартный вывод:
   • Windows:

     ykman piv экспортный сертификат 82 -

   •  MacOS:

     ./ykman piv экспортный сертификат 82 -

   • Линукс (Убунту):

     ykman piv экспортный сертификат 82 -

6. После установки этих сертификатов на ваш YubiKey ваш код и / или документы будут подписаны с полной цепочкой доверия, поэтому у вас не возникнет проблем с доверием на компьютерах, на которых отсутствует промежуточное звено в их хранилищах доверенных сертификатов. Обратите внимание, что вам может потребоваться отключить YubiKey от вашего компьютера и снова подключить его, чтобы изменения вступили в силу при подписании.