Nyckelgenerering och attestering med YubiKey för kodsigneringscertifikat

Hur man genererar ett nyckelpar och attesteringscertifikat på din YubiKey FIPS för att beställa EV-kodsigneringscertifikat.

Relaterat innehåll

Kopiera artikellänken

Innan du börjar
 Den här guiden är endast avsedd för installation eller byte av en kodsigneringscertifikat på en YubiKey i dessa fall:
  • Du köpte en tom YubiKey direkt från Yubico
  • Du behöver ersätta en utgången SSL.com kodsigneringscertifikat på din YubiKey
Använd inte den här guiden om:

I syftena med kodsignering, krävs det att din privata nyckel genereras och lagras säkert på en extern FIPS-validerad hårdvaruenhet snarare än din dator. Användare kan generera ett nyckelpar på en befintlig YubiKey och en intygsintyg som bevisar att den privata nyckeln genererades på enheten. Attesteringscertifikatet kan sedan användas för att erhålla kodsigneringscertifikat från SSL.com som kan installeras manuellt på YubiKey.

Ett attesteringscertifikat är endast giltigt för en YubiKey. Om du behöver installera ditt certifikat i flera YubiKeys måste du utföra en attestering för varje token. Vänligen kontakta support@ssl.com för att få mer information om flera utfärdanden av ett certifikat.

Den här vägledningen leder dig igenom:

Gå till toppen

Krav

  1. Senaste versionen av Yubico Authenticator och ykman kommandoradsgränssnitt (CLI)
    Obs:

    För att generera nyckelparet och senare installera kodsigneringscertifikatet, ladda ner det här verktyget: Yubico Authenticator grafiskt användargränssnitt (GUI)

    För att generera attesteringscertifikatet, använd ykmans kommandoradsgränssnitt (CLI) som ingår i detta nedladdningspaket: YubiKey-hanterare.

    Efter installationen kommer båda dessa verktyg att lagras i datorns Yubico-mapp.

  2. Din YubiKey PIN och UKP konfigurerad på Yubico Authenticator. Om din YubiKey-token köptes från Yubico måste du ange din PIN-kod och PUK-kod. För att göra detta, öppna Yubico-autentiseringsverktyg, klicka på Certifieringar flik. På hantera avsnittet, ser du alternativen för att konfigurera din PIN och UKP
Gå till toppen

Steg 1: Generera nyckelpar på YubiKey

  1. Ladda ner Yubico Authenticator.

  2. Anslut din YubiKey och starta sedan Yubico Authenticator.

  3. Enligt Certifieringar I avsnittet väljer du fliken som motsvarar den YubiKey-plats där du vill generera nyckelparet. För ett kodsigneringscertifikat väljer du Autentisering (spår 9a). Klicka på Generera nyckel att fortsätta.

  4. Ämne fältet, placera det unika namnet (DN) för kodsigneringscertifikatet. Detta är namnet på organisationen eller individen och kommer att visas på all programvara som har signerats med certifikatet. Se till att skriva in tecknen CN= innan du skriver in det unika namnet. Exempel: CN=Example Company.

    För Utdataformatväljer Certifikatssigneringsbegäran (CSR).

    Från Algoritm rullgardinsmeny, gör ett valFör kodsignering, välj ECCP256 or ECCP384.

    Slutligen klickar du på Spara knapp.

  5. Spara CSR certifikat i en mapp.
Gå till toppen

Steg 2: Generera attestattest

Varje YubiKey levereras med en privat nyckel och certifikat från Yubico som låter dig generera en intygsintyg för att verifiera att en privat nyckel har genererats på en YubiKey. Denna operation kräver att du använder ykman Kommandoradsgränssnittet (CLI) som finns i YubiKey Manager mappen på din dator. För att kunna komma åt ykman CLI måste du använda Windows PowerShell enligt följande steg.

  1. I Windows öppnar du PowerShell som administratör. macOS- och Linux-användare bör öppna ett terminalfönster på sin enhet.

  2.  Använd cd (Ändra katalog)-kommandot för att navigera till YubiKey Manager-filerna och komma åt dem ykmanFör att göra detta i Windows, gör följande i ordning, på samma rad i Powershell:

    Typ cd på PowerShell
    Klicka plats
    Kopiera mappsökvägen där ykman finns och omslut den sedan. dubbla citattecken. Exempel: "C:\Program Files\Yubico\YubiKey Manager"
    Klicka ange

    • Windows: 
      cd "C:\Program Files\Yubico\YubiKey Manager"
    • MacOS: 
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • På Linux (Ubuntu), ykman kommando kommer redan att installeras i ditt PATH, så att du kan hoppa över det här steget.

  3. Generera attesteringsintyget. Efter att du har bytt till ykman med Powershell, använd kommandot nedan för att generera ett attesteringscertifikat i form av en textfil. I Windows kommer kommandot att se ut så här: .\ykman.exe piv keys attest 9a C:\Folder\Folder\attestation\attestationfilename

    Låt oss bryta ner det:

    a. Kopiera detta till Powershell: .\ykman.exe piv keys attest 9a 

    b. På samma rad i Powershell kopierar du sökvägen till mappen där du vill lagra attesteringscertifikatet. Välj/skapa en mapp på din dator. Exempel: C:\Folder\Folder\attestation.

    Se till att välja/skapa mappar som har namn på enstaka ord eller inget mellanslag för att undvika fel när du anger kommandot i PowerShell. 

    c. Tänk på ett namn du vill använda för certifikatet. Lägg till ett bakåtsnedstreck (\) och namnet du vill använda för ditt attesteringscertifikat i slutet av mappsökvägen du kopierade till PowerShell. Exempel:\attestationfilename 

    Se till att generera ett filnamn som inte innehåller specialtecken och inget mellanslag för att undvika fel när du anger kommandot i PowerShell. 

    d. Tryck på Enter i PowerShell för att slutligen generera textfilen för attesteringscertifikatet.

    Efter att du har angett kommandot, kontrollera i din angivna datormapp om attesteringscertifikatet har genererats. Det kommer att vara i form av en textfil och ha det namn du angett för det. När det öppnas kommer det att visa en mängd bokstäver och siffror med rubrikerna —–BEGINCERTIFIKAT—– överst och —– SÄND CERTIFIKAT—– i slutet.

    • Windows: 
      .\ykman.exe piv-nycklar intygar 9a C:\Folder\Folder\attestation\attestationfilnamn
    • Linux (Ubuntu): 
      ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
    • MacOS: 
      ./ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
  4. Exportera det mellanliggande certifikatet. Använd sedan ykman kommandot för att exportera det mellanliggande certifikatet från plats f9 på YubiKey. Certifikatet kommer att vara i ett textfilformat. Kommandot kommer att se ut så här: .\ykman.exe piv certificates export f9 C:\Folder\Folder\attestation\intermediatefilename

    Låt oss bryta ner det: 

    a. Kopiera detta till PowerShell: .\ykman.exe piv certificates export f9
    b. Välj eller skapa en mapp på din dator (t.ex. Dokument) dit du vill att det mellanliggande certifikatet ska exporteras. Kopiera mappadressen till PowerShell. Exempel: C:\Folder\Folder\attestation
    c. Skapa ett filnamn för det mellanliggande certifikatet. Lägg till ett bakåtsnedstreck före namnet och lägg till det i slutet av mappadressen du har kopierat till PowerShell, utan mellanslag. Exempel: \intermediatefilename
    d. Tryck angeNär du har angett kommandot visas det mellanliggande certifikatet i den angivna mappen med det namn du angett för det. När det öppnas visas en mängd bokstäver och siffror med rubrikerna —–BEGINCERTIFIKAT—– överst och —– SÄND CERTIFIKAT—– i slutet. 

      • Windows: 
        .\ykman.exe piv-certifikat exportera f9 C:\Folder\Folder\attestation\mellanfilnamn
    • Linux (Ubuntu): 
      ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt
    • MacOS: 
      ./ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt
Gå till toppen

Steg 3: Verifiera attestattest med SSL.com och bifoga order

  1. Här ska vi använda vårt attesteringscertifikat från YubiKey-plats 9a med en beställning av ett EV-kodsigneringscertifikat. Öppna först attesterings- och mellancertifikaten i en textredigerare.
  2. Logga in på ditt SSL.com-användarkonto och navigera till Beställningar fliken. Klicka på länken märkt detaljer (för nya beställningar) eller ladda ner (för gamla beställningar) för den beställning du vill koppla till attesteringsintyget. (Denna länk kommer att visas som ladda ner för kunder med ett utgånget signeringscertifikat som de vill ersätta).
    Obs: Om du vill kontrollera giltigheten för ditt intyg utan att bifoga det till en beställning kan du använda SSL.com verifieringsverktyg för intyg.
  3. Välj ditt användningsfall nedan:
    a. För kunder med en tom YubiKey, klicka på hantera länk, under intyg.
    b. För kunder som ersätter ett utgånget signeringscertifikat, klicka på Radera länken först för att ta bort den tidigare attesteringsinskickningen för ditt utgångna signeringscertifikat. Klicka sedan på hantera länk.
  4. En ny sida med fält för intyget och mellanliggande certifikat visas.

  5. Klistra in intyget om intyget i Attestationscertifikat fältet, se till att inkludera linjerna -----BEGIN CERTIFICATE----- och -----END CERTIFICATE-----.
  6. Klistra sedan in mellancertifikatet i Intermediate Certificate fält
  7. Klicka på Skicka knapp.
  8. Om allt har gått korrekt visas en grön varning högst upp på skärmen, vilket indikerar ett framgångsrikt intyg.
Gå till toppen

Steg 4: Ladda ner ditt kodsigneringscertifikat

  1. När SSL.com godkänner din attestering och utfärdar ditt certifikat kan du ladda ner det. För att göra detta, logga in på ditt SSL.com-konto och klicka på Beställningar från den översta menyn. Leta reda på din beställning i listan och klicka på ladda ner länken. 
  2. När nedladdningssidan visas, skrolla ner till SLUT ENHETSCERTIFIKAT sektion. Klicka på dragspelspilen för att visa dina certifikatuppgifter. Till höger ser du tillgängliga alternativ för nedladdningsformat. Välj individuella certifikat och klicka på Ladda ner knapp. Detta är en zip-fil som innehåller tre certifikatfiler: ditt slutgiltiga certifikat, ett mellanliggande certifikat och ett rotcertifikat. Senare behöver du bara importera slutgiltiga certifikatet till din YubiKey. 
  3. Extrahera den nedladdade zip-filen.
  4. Välj var du vill extrahera filerna och klicka sedan på Utdrag knapp.
  5. Öppna mappen som innehåller de extraherade certifikaten. Du kommer att se tre certifikat men du behöver bara installera ditt slutgiltiga certifikat som är ett .CRT-fil och bär namnet på personen eller organisationen. Härifrån är du nu redo att installera ditt certifikat.
Gå till toppen

Steg 5: Installera certifikat i YubiKey  

  1. Öppna Yubico Authenticator

  2. Klicka Certifieringar, Följt av 9a Autentiseringoch Importera fil.
  3. Ange din YubiKey-PIN när du uppmanas att göra det.
  4. Navigera till mappen där certifikaten extraherades och klicka på ditt kodsigneringscertifikat för slutenheten.
  5. Yubico Authenticator visar informationen om ditt kodsigneringscertifikat. Klicka på Importera Knappen.

  6. Ditt certifikat har nu installerats.
  7. Valfritt stegOm du är en kund som har ersatt ett utgånget certifikat i din YubiKey måste du också radera kopian av det utgångna certifikatet som fortfarande finns i Windows certifikatarkiv. För att göra detta, skriv certmgr i Windows sökfält på datorn. Klicka sedan på Hantera datorcertifikat. Klicka på Personlig mappen, leta reda på det utgångna signeringscertifikatet, högerklicka på det med musen och välj Radera.
Gå till toppen

Felsökning av kodsigneringsattestering 

If SSL.com avvisar din inlämning av intyg, beror det på något av följande

  1. Steg 1: Generera nyckelpar på YubiKey
    1. Din begäran om certifikatsignering (CSR) avvisas av Yubico Authenticator
      • Du måste inkludera karaktärerna CN= i ämnesfältet. Yubico Authenticator kommer att avvisa CSR om detta inte görs. 
      • Du måste välja ECCP256 or ECCP384 för algoritmen. Dessa två typer är de enda som är acceptabla för ett kodsigneringscertifikat.

  2. Steg 2: Generera attestattest
    1. Du kan inte komma åt ykman CLI
      • Du kan inte komma åt ykman genom att dubbelklicka på ikonen för programmet i YubiKey Manager. Du kan bara använda det genom att först öppna ett shell-program som PowerShell och sedan använda kommandot Change Directory (cd) för att köra det. 
      • När du skriver cd-kommandot i PowerShell ska det finnas ett mellanslag mellan cd och mappsökvägen för ykman CLI. Exempel: cd “C:\Program Files\Yubico\YubiKey Manager”
      • Sökvägen till ykman CLI-mappen ska omges av dubbla citattecken. Exempel: “C:\Program Files\Yubico\YubiKey Manager”
    2. Attesterings- och mellancertifikaten genereras inte
      • Se till att välja/skapa mappar som har namn på enstaka ord eller inget mellanslag för att undvika fel när du anger kommandot i PowerShell.  
      • Se till att generera ett filnamn som är kort och enordigt utan specialtecken för att undvika fel när du anger kommandot i PowerShell.  

  3. Steg 3: Verifiera attestattest med SSL.com och bifoga order
    1. Attesteringen och mellanliggande certifikaten kan inte skickas in på min SSL.com konto
      • När du öppnar dem i en textredigerare som Anteckningar, se till att kopiera hela innehållet i filen inklusive —–BEGINCERTIFIKAT—– överst och —– SÄND CERTIFIKAT—– i slutet. 
Gå till toppen

Relaterade guider för att signera kod med din YubiKey

  1. Använda ditt kodsigneringscertifikat: Lär dig hur du signerar applikationer med ditt OV- eller EV-kodsigneringscertifikat med Microsoft SignTool.
Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.comeller klicka bara på chattlänken längst ned till höger på den här sidan. Du kan också hitta svar på många vanliga supportfrågor i vår kunskapsbas.

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

SSL.com

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.

Ta undersökning
Sekretessöversikt
SSL.com

Denna webbplats använder cookies så att vi kan ge dig den bästa användarupplevelsen som möjligt. Cookieinformation lagras i din webbläsare och utför funktioner som att känna igen dig när du återvänder till vår webbplats och hjälpa vårt team att förstå vilka delar av webbplatsen du tycker är mest intressant och användbar.

För mer information, läs vår Cookie- och integritetsförklaring.

Tredjepartscookies

Denna webbplats använder Google Analytics & Statcounter för att samla in anonym information som antalet besökare på webbplatsen och de mest populära sidorna.

Att hålla dessa cookies aktiverade hjälper oss att förbättra vår webbplats.

Visa detaljer
powered by  GDPR-efterlevnad av kakor