I syftena med EV-kodsignering och Adobe PDF digitala signaturer, krävs det att din privata nyckel genereras och lagras på en extern FIPS-validerad hårdvarenhet snarare än på din dator. SSL.com levererar valfritt EV-kodsignering och PDF-dokumentsigneringscertifikat förinstallerade på FIPS 140-2 validerade USB-tokens för säkerhetsnyckel, men användare kan också generera ett nyckelpar på en befintlig YubiKey och en intygsintyg som bevisar att den privata nyckeln genererades på enheten. Attestationscertifikatet kan sedan användas för att beställa certifikat från SSL.com som kan installeras manuellt på YubiKey.
Den här vägledningen leder dig igenom:
- Generera en nyckelpar och intygsintyg på din Yubikey
- verifiera attesteringscertifikatet och associera det med en SSL.com EV-kodsignering eller PDF-signeringsordning
- Installera ditt nya certifikat i YubiKey
apt-get
(se Yubico's instruktioner för mer information). En Linux AppImage är också tillgänglig från YubiKey Manager ladda sidan. Observera även att även om dessa instruktioner använder Yubicos Yubikey Manager-programvara, är 3.0-versionen av SSL.coms SSL Manager stöder nyckelgenerering och certifikatinstallation på YubiKey för Windows-användare.Steg 1: Generera nyckelpar på YubiKey
- Om du inte redan har gjort det, ladda ner och installera YubiKey Manager från Yubicos webbplats. Versioner för Windows, Linux och macOS finns tillgängliga.
- Anslut din YubiKey och starta sedan YubiKey Manager. Din YubiKey ska visas i YubiKey Manager-fönstret.
- Navigera till Program> PIV.
- Klicka på Konfigurera certifikat knapp.
- Välj fliken för YubiKey-kortplatsen där du vill skapa nyckelparet. Om du köper ett EV-kodsigneringscertifikat, välj Autentisering (spår 9a). Välj för PDF-dokumentsignering Digital signatur (fack 9c). (Se Yubicos dokumentation för mer information om de olika tangentluckorna och deras avsedda funktioner; de skiljer sig åt i sina policyer för PIN-registrering. Här kommer vi att använda spår 9a.
- Klicka på Generera knapp.
- Välja Certifikatssigneringsbegäran (CSR), klicka sedan på Nästa knapp.
- Välj en Algoritm från rullgardinsmenyn. Välj för dokumentsignering
RSA2048
. Välj EV-signeringECCP256
orECCP384
.
- Ange ett Ämnesnamn för certifikatet, klicka sedan på Nästa knapp.
Notera: Vi kommer faktiskt inte att använda detta CSR—Det genereras som en biprodukt för att skapa ett nytt nyckelpar. Så det spelar ingen roll vad du anger för ämnesnamnet här.Användare måste be SSL.com om en ny emission när de skickar en ny beställning, emissionen kommer inte att ske automatiskt. - Klicka på Generera knapp.
- Välj en plats att spara CSR fil, skapa ett filnamn och klicka sedan på Save knapp.
- Ange din YubiKey ledningsnyckel, Klicka sedan OK. Om du behöver din ledningsnyckel, vänligen kontakta Support@SSL.com.
- Ange din YubiKey PIN, Klicka sedan OK. Om du behöver hjälp med att hitta din PIN-kod, hänvisa till det här.
- Smakämnen CSR filen sparas på den plats som du angav i steg 11 ovan. Återigen behöver vi inte den här filen för att fortsätta och du kan ta bort den på ett säkert sätt.
Steg 2: Generera attestattest
Varje YubiKey levereras med en privat nyckel och certifikat från Yubico som låter dig generera en intygsintyg för att verifiera att en privat nyckel har genererats på en YubiKey. Denna åtgärd kräver att du använder kommandoraden.
- I Windows öppnar du PowerShell som administratör. macOS- och Linux-användare bör öppna ett terminalfönster på sin enhet.
- Använd följande kommando för att navigera till YubiKey Manager-filer:
- Windows:
cd "C:Program FilesYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- På Linux (Ubuntu),
ykman
kommando kommer redan att installeras i dittPATH
, så att du kan hoppa över det här steget.
- Windows:
- Skapa ett intyg om intyget för nyckeln med kommandot nedan (ersätt
ATTESTATION-FILENAME.crt
med sökvägen och filnamnet du vill använda; om du använde plats 9c, byt ut9a
med9c
):- Windows:
.ykman.exe piv-nycklar intygar 9a ATTESTATION-FILENAME.crt
- Linux (Ubuntu):
ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
- MacOS:
./ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
- Windows:
- Använd sedan
ykman
kommando för att exportera det mellanliggande certifikatet från plats f9 i YubiKey (ersättINTERMEDIATE-FILENAME.crt
med sökvägen och filnamnet du vill använda):- Windows:
.ykman.exe piv-certifikat exporterar f9 INTERMEDIATE-FILENAME.crt
- Linux (Ubuntu):
ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt
- Windows:
Steg 3: Verifiera attestattest med SSL.com och bifoga order
- Här ska vi använda vårt intygsattest från YubiKey-kortplats 9a med en EV-kodsigneringsbeställning. (Proceduren för dokumentsigneringscertifikat är densamma.) Öppna först intyget och mellanliggande certifikat i en textredigerare.
- Logga in på ditt SSL.com-användarkonto och navigera till Beställningar fliken och klicka sedan på detaljer länk för den beställning du vill associera med intygningsintyget. (Den här länken ändras till ladda ner efter att ditt certifikat har utfärdats.)
Notera: Om du vill kontrollera giltigheten för ditt intyg utan att bifoga det till en beställning kan du använda SSL.com verifieringsverktyg för intyg. - Klicka på hantera länk, under intyg.
- En ny sida med fält för intyget och mellanliggande certifikat visas.
- Klistra in intyget om intyget i Attestationscertifikat fältet, se till att inkludera linjerna
-----BEGIN CERTIFICATE-----
och-----END CERTIFICATE-----
.
- Klistra sedan in mellancertifikatet i Intermediate Certificate fält.
- Klicka på Skicka knapp.
- Om allt har gått korrekt visas en grön varning högst upp på skärmen, vilket indikerar ett framgångsrikt intyg.
- Återgå till beställningen i ditt konto. Du kan verifiera att intyget har lagts till i beställningen genom att det finns en länk märkt Radera under intyg.
- När SSL.com har behandlat din beställning kommer certifikatet att finnas tillgängligt på ditt SSL.com-konto. Från din orderinformationssida, scrolla ner till SLUTA ENTITETSCERTIFIKAT avsnitt och klicka Visa detaljer.
- Rulla ner till underavsnittet märkt Kodsigneringscertifikat or Dokumentsigneringsintyg, beroende på din beställning. Till höger ser du nedladdningslänkarna för ditt certifikat.
- Om du har en Dokumentsigneringsintyg, Välj den individuella certifikat nedladdningsalternativ. Detta är en zip-fil som innehåller tre certifikatfiler: ditt slutenhetscertifikat, ett mellancertifikat och ett rotcertifikat.
- Om du har en Kodsigneringscertifikat, Välj den för YUBIKEY installation (DER).
- Om du har en Dokumentsigneringsintyg, Välj den individuella certifikat nedladdningsalternativ. Detta är en zip-fil som innehåller tre certifikatfiler: ditt slutenhetscertifikat, ett mellancertifikat och ett rotcertifikat.
Varning: Vi har sett felmeddelanden i de senaste versionerna av YubiKey Manager när vi importerar ECC-certifikat (nu krävs för EV-kodsignering på YubiKey). Det finns två potentiella lösningar:
- Rekommenderas: Konvertera certifikatet till DER-format innan du importerar. Detta är enkelt konvertering med OpenSSL (byta ut
CERT.crt
ochCERT.der
med ditt faktiska filnamn i följande kommando):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Om du inte kan konvertera din fil, återgår du till en tidigare släpp av YubiKey Manager kommer också att fungera. Den senaste versionen vi har hittat för att lyckas importera ECC
.crt
filer som laddas ner från SSL.com är1.1.5
.
Steg 4: Installera certifikat i YubiKey
- Starta YubiKey Manager och mavigera till Program> PIV.
- Klicka på Konfigurera certifikat knapp.
- Välj fliken för samma YubiKey-kortplats där du genererade nyckelparet.
- Klicka på Importera knapp.
- Navigera till certifikatfilen för slutenheten och klicka på Importera knapp.
- Ange din YubiKey ledningsnyckel, Klicka sedan OK. Om du behöver din ledningsnyckel, vänligen kontakta Support@SSL.com.
- Det nya certifikatet för EV-kodsignering är installerat i YubiKey.
- För att säkerställa att dina digitala signaturer är betrodda på alla datorer, bör du också installera rot- och mellancertifikaten på din YubiKey för en fullständig kedja av förtroende. Följ dessa instruktioner för root- och mellaninstallation: Installera SSL.com rot- och mellanliggande certifikat på YubiKey.