Na účely Podpisovanie kódu EV a Digitálne podpisy Adobe PDF, je potrebné, aby bol váš súkromný kľúč bezpečne vygenerovaný a uložený na externom hardvérovom zariadení s overením FIPS, a nie na vašom počítači. SSL.com voliteľne dodáva predinštalované certifikáty na podpisovanie kódu EV a podpisy dokumentov PDF USB tokeny bezpečnostného kľúča overené FIPS 140-2, ale používatelia môžu tiež vygenerovať pár kľúčov na existujúcom kľúči YubiKey a an osvedčenie o atestácii čo dokazuje, že súkromný kľúč bol vygenerovaný v zariadení. Osvedčenie o atestácii sa potom môže použiť na objednanie certifikátov zo stránky SSL.com, ktoré sa dajú na serveri YubiKey nainštalovať manuálne.
Tento návod vás prevedie:
- Generovanie a pár kľúčov a osvedčenie o atestácii na vašom Yubikey
- overenie atestačný certifikát a jeho priradenie k podpisu kódu SSL.com EV alebo objednávke podpisu dokumentu PDF
- Inštalácia svoj nový certifikát v YubiKey
apt-get
(pozri Yubico's inštrukcie Pre viac informácií). Linux AppImage je k dispozícii aj od manažéra YubiKey stiahnuť stránku. Upozorňujeme tiež, že zatiaľ čo tieto pokyny používajú softvér Yubico Yubikey Manager, verzia 3.0 SSL.com SSL Manager podpery generovanie párov kľúčov a inštalácia certifikátu na YubiKey pre používateľov Windows.Krok 1: Vytvorte pár kľúčov na YubiKey
- Ak ste to ešte neurobili, stiahnite si a nainštalujte Manažér YubiKey z webovej stránky spoločnosti Yubico. K dispozícii sú verzie pre Windows, Linux a macOS.
- Pripojte svoj YubiKey a potom spustite YubiKey Manager. Váš YubiKey by sa mal zobraziť v okne YubiKey Manager.
- prejdite na Aplikácie> PIV.
- Kliknite na tlačidlo Konfigurácia certifikátov tlačidlo.
- Vyberte kartu pre slot YubiKey, kde chcete vygenerovať pár kľúčov. Ak kupujete certifikát na podpis EV kódu, vyberte si Overovanie (slot 9a). Pri podpisovaní dokumentov PDF vyberte Digitálny podpis (slot 9c). (Pozri Yubico's dokumentácie pre viac informácií o rôznych slotoch pre klávesy a ich zamýšľaných funkciách; líšia sa svojimi politikami zadávania PIN). Tu použijeme slot 9a.
- Kliknite na tlačidlo Generovať tlačidlo.
- vybrať Žiadosť o podpísanie certifikátu (CSR), Potom kliknite na tlačidlo ďalšie tlačidlo.
- Vyberte položku Algoritmus z rozbaľovacej ponuky. Na podpisovanie dokumentov vyberte
RSA2048
. Pri podpisovaní kódu EV zvoľteECCP256
orECCP384
.
- Zadajte Názov predmetu pre certifikát, potom kliknite na ďalšie tlačidlo.
Poznámka: Toto vlastne nebudeme používať CSR- je generovaný ako vedľajší produkt pri vytváraní nového páru kľúčov. Nezáleží teda na tom, čo tu zadáte pre názov predmetu.O nové vystavenie musia používatelia požiadať SSL.com pri zadávaní novej objednávky, vystavenie neprebehne automaticky. - Kliknite na tlačidlo Generovať tlačidlo.
- Vyberte umiestnenie, do ktorého chcete uložiť CSR súbor, vytvorte názov súboru a potom kliknite na ikonu ušetríte tlačidlo.
- Zadajte svoje YubiKey kľúč riadenia, potom kliknite na tlačidlo OK. Ak potrebujete svoj kľúč na správu, kontaktujte Support@SSL.com.
- Zadajte svoj YubiKey PIN, potom kliknite na tlačidlo OK. Ak potrebujete pomoc s nájdením kódu PIN, pozrite si stránku toto ako na to.
- CSR súbor sa uloží na miesto, ktoré ste zadali v kroku 11 vyššie. Tento súbor opäť nepotrebujeme, takže ho môžete bezpečne odstrániť.
Krok 2: Vygenerujte atestačný certifikát
Každý YubiKey je predinštalovaný so súkromným kľúčom a certifikátom od Yubico, ktorý vám umožňuje vygenerovať osvedčenie o atestácii na overenie, či bol na YubiKey vygenerovaný súkromný kľúč. Táto operácia bude vyžadovať použitie príkazového riadku.
- V systéme Windows otvorte PowerShell ako správca. Používatelia systémov macOS a Linux by mali na svojom zariadení otvoriť terminálové okno.
- Pomocou nasledujúceho príkazu prejdite na súbory YubiKey Manager:
- Windows:
cd "C: Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- V systéme Linux (Ubuntu) sa
ykman
príkaz už bude nainštalovaný vo vašomPATH
, takže môžete tento krok preskočiť.
- Windows:
- Pomocou tohto príkazu vygenerujte certifikát osvedčenia pre kľúč (nahraďte
ATTESTATION-FILENAME.crt
s cestou a názvom súboru, ktorý chcete použiť; ak ste použili slot 9c, vymeňte ho9a
s9c
):- Windows:
.ykman.exe piv kľúče atest 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
ykman piv keys atest 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv keys atest 9a ATTESTATION-FILENAME.crt
- Windows:
- Ďalej použite
ykman
príkaz na export prechodného certifikátu zo slotu f9 na YubiKey (nahradiťINTERMEDIATE-FILENAME.crt
s cestou a názvom súboru, ktorý chcete použiť):- Windows:
Export certifikátov .ykman.exe piv f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
export certifikátov ykman piv f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv certifikáty export f9 INTERMEDIATE-FILENAME.crt
- Windows:
Krok 3: Overte atestačný certifikát pomocou protokolu SSL.com a priložte k objednávke
- Tu použijeme náš atestačný certifikát z automatu YubiKey 9a s objednávkou certifikátu na podpisovanie kódu EV. (Postup pri podpisovaní certifikátov je rovnaký.) Najskôr otvorte v textovom editore atestácie a prechodné certifikáty.
- Prihláste sa do svojho používateľského účtu SSL.com a prejdite na stránku Objednávky a potom kliknite na tlačidlo Podrobnosti odkaz na objednávku, ktorú chcete spojiť s osvedčením o atestácii. (Tento odkaz sa zmení na Stiahnuť ▼ po vydaní vášho osvedčenia.)
Poznámka: Ak si chcete skontrolovať platnosť svojho osvedčenia o atestácii bez jeho priloženia k objednávke, môžete použiť stránku SSL.com nástroj na overenie osvedčenia. - Kliknite na tlačidlo riadiť odkaz, pod svedectvo.
- Zobrazí sa nová stránka s poľami pre atestáciu a prechodné certifikáty.
- Prilepte osvedčenie o atestácii do Osvedčenie o atestácii pole a nezabudnite zahrnúť riadky
-----BEGIN CERTIFICATE-----
a-----END CERTIFICATE-----
.
- Ďalej vložte prechodný certifikát do Priebežné osvedčenie Pole.
- Kliknite na tlačidlo Odoslať tlačidlo.
- Ak všetko prebehlo správne, v hornej časti obrazovky sa zobrazí zelené upozornenie, ktoré označuje úspešné potvrdenie.
- Vráťte sa k objednávke vo svojom účte. To, že k objednávke bolo pridané osvedčenie, môžete skontrolovať pomocou odkazu s označením vymazať pod svedectvo.
- Keď SSL.com spracuje vašu objednávku, certifikát bude dostupný vo vašom účte SSL.com. Na stránke s podrobnosťami objednávky prejdite nadol na CERTIFIKÁTY KONCOVEJ ENTITY a kliknite na tlačidlo Zobraziť podrobnosti.
- Prejdite nadol na podsekciu s označením Osvedčenie o podpísaní kódu or Osvedčenie o podpísaní dokumentu, v závislosti od vašej objednávky. Napravo uvidíte odkazy na stiahnutie vášho certifikátu.
- Ak máte Osvedčenie o podpísaní dokumentu, vyber jednotlivé osvedčenia možnosť stiahnutia. Toto je súbor zip obsahujúci tri súbory certifikátov: váš certifikát koncovej entity, prechodný certifikát a koreňový certifikát.
- Ak máte Osvedčenie o podpísaní kódu, vyber pre inštaláciu YUBIKEY (DER).
- Ak máte Osvedčenie o podpísaní dokumentu, vyber jednotlivé osvedčenia možnosť stiahnutia. Toto je súbor zip obsahujúci tri súbory certifikátov: váš certifikát koncovej entity, prechodný certifikát a koreňový certifikát.
Upozornenie: V posledných verziách aplikácie YubiKey Manager sme videli chybové správy pri importe certifikátov ECC (teraz sa vyžaduje pre podpisovanie kódu EV na YubiKey). Existujú dve potenciálne riešenia:
- Odporúčaná: Pred importom certifikát preveďte do formátu DER. Toto je priame konverzia s OpenSSL (vymeniť
CERT.crt
aCERT.der
so skutočným názvom súboru v nasledujúcom príkaze):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Ak nemôžete previesť súbor, vrátite sa do formátu skoršie vydanie bude fungovať aj YubiKey Manager. Najnovšia verzia, ktorú sme úspešne úspešne importovali ECC
.crt
súbory stiahnuté z SSL.com sú1.1.5
.
Krok 4: Nainštalujte certifikát do služby YubiKey
- Spustite YubiKey Manager a mavigujte do Aplikácie> PIV.
- Kliknite na tlačidlo Konfigurácia certifikátov tlačidlo.
- Vyberte kartu pre rovnaký slot YubiKey, kde ste vygenerovali pár kľúčov.
- Kliknite na tlačidlo import tlačidlo.
- Prejdite do súboru s certifikátom koncovej entity a kliknite na import tlačidlo.
- Zadajte svoje YubiKey kľúč riadenia, potom kliknite na tlačidlo OK. Ak potrebujete svoj kľúč na správu, kontaktujte Support@SSL.com.
- Nový certifikát na podpis EV kódu je nainštalovaný v YubiKey.
- Aby ste sa ubezpečili, že vaše digitálne podpisy sú dôveryhodné na všetkých počítačoch, mali by ste do svojho servera YubiKey tiež nainštalovať koreňové a prechodné certifikáty, aby ste získali úplnú dôveru. Pri inštalácii typu root a prechodná inštalácia postupujte podľa týchto pokynov: Nainštalujte si na YubiKey koreňové a prechodné certifikáty SSL.com.