Nyckelgenerering och intyg med Yubikey

Hur man skapar ett nyckelpar och intygsattest på YubiKey FIPS för att beställa EV-kodsignering och dokumentsigneringscertifikat.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

I syftena med EV-kodsignering och Adobe PDF digitala signaturer, krävs det att din privata nyckel genereras och lagras på en extern FIPS-validerad hårdvarenhet snarare än på din dator. SSL.com levererar valfritt EV-kodsignering och PDF-dokumentsigneringscertifikat förinstallerade på FIPS 140-2 validerade USB-tokens för säkerhetsnyckel, men användare kan också generera ett nyckelpar på en befintlig YubiKey och en intygsintyg som bevisar att den privata nyckeln genererades på enheten. Attestationscertifikatet kan sedan användas för att beställa certifikat från SSL.com som kan installeras manuellt på YubiKey.

Do inte följ dessa instruktioner om du beställde en YubiKey tillsammans med ditt certifikat från SSL.com, eftersom dessa YubiKeys levereras med förinstallerade certifikat. Den här anvisningen är för kunder som vill installera certifikat på en YubiKey FIPS som de redan äger.

Den här vägledningen leder dig igenom:

  • Generera en nyckelpar och intygsintyg på din Yubikey
  • verifiera attesteringscertifikatet och associera det med en SSL.com EV-kodsignering eller PDF-signeringsordning
  • Installera ditt nya certifikat i YubiKey
Notera: Skärmdumparna nedan är från Windows, men procedurerna är nästan identiska på Linux och macOS. Skillnader mellan plattformar noteras nedan. Linux-instruktioner hänvisar till Ubuntu 19.10, med YubiKey manager installerad med apt-get (se Yubico's instruktioner för mer information). En Linux AppImage är också tillgänglig från YubiKey Manager ladda sidan. Observera även att även om dessa instruktioner använder Yubicos Yubikey Manager-programvara, är 3.0-versionen av SSL.coms SSL Manager stöder nyckelgenerering och certifikatinstallation på YubiKey för Windows-användare.

Steg 1: Generera nyckelpar på YubiKey

  1. Om du inte redan har gjort det, ladda ner och installera YubiKey Manager från Yubicos webbplats. Versioner för Windows, Linux och macOS finns tillgängliga.
    YubiKey Manager nedladdning
  2. Anslut din YubiKey och starta sedan YubiKey Manager. Din YubiKey ska visas i YubiKey Manager-fönstret.
    YubiKey Manager
  3. Navigera till Program> PIV.
    Program> PIV
  4. Klicka på Konfigurera certifikat knapp.
    Konfigurera certifikat
  5. Välj fliken för YubiKey-kortplatsen där du vill skapa nyckelparet. Om du köper ett EV-kodsigneringscertifikat, välj Autentisering (spår 9a). Välj för PDF-dokumentsignering Digital signatur (fack 9c). (Se Yubicos dokumentation för mer information om de olika tangentluckorna och deras avsedda funktioner; de skiljer sig åt i sina policyer för PIN-registrering. Här kommer vi att använda spår 9a.
    Autentisering (spår 9a)
  6. Klicka på Generera knapp.
    Generera
  7. Välja Certifikatssigneringsbegäran (CSR), klicka sedan på Nästa knapp.
    Certifikatssigneringsbegäran (CSR)
  8. Välj en Algoritm från rullgardinsmenyn. Välj för dokumentsignering RSA2048. Välj EV-signering ECCP256 or ECCP384.
    välj algoritm
  9. Ange ett Ämnesnamn för certifikatet, klicka sedan på Nästa knapp.
    Notera: Vi kommer faktiskt inte att använda detta CSR—Det genereras som en biprodukt för att skapa ett nytt nyckelpar. Så det spelar ingen roll vad du anger för ämnesnamnet här.
    Ämnesnamn
    Användare måste be SSL.com om en ny emission när de skickar en ny beställning, emissionen kommer inte att ske automatiskt.
  10. Klicka på Generera knapp.
    generera
  11. Välj en plats att spara CSR fil, skapa ett filnamn och klicka sedan på Save knapp.
    Save CSR
  12. Ange din YubiKey ledningsnyckel, Klicka sedan OK. Om du behöver din ledningsnyckel, vänligen kontakta Support@SSL.com.
    ledningsnyckel
  13. Ange din YubiKey PIN, Klicka sedan OK. Om du behöver hjälp med att hitta din PIN-kod, hänvisa till det här.
    Ange PIN-koden
  14. Smakämnen CSR filen sparas på den plats som du angav i steg 11 ovan. Återigen behöver vi inte den här filen för att fortsätta och du kan ta bort den på ett säkert sätt.
    CSR fil

Steg 2: Generera attestattest

Varje YubiKey levereras med en privat nyckel och certifikat från Yubico som låter dig generera en intygsintyg för att verifiera att en privat nyckel har genererats på en YubiKey. Denna åtgärd kräver att du använder kommandoraden.

  1. I Windows öppnar du PowerShell som administratör. macOS- och Linux-användare bör öppna ett terminalfönster på sin enhet.
    Öppna PowerShell som administratör
  2. Använd följande kommando för att navigera till YubiKey Manager-filer:
    • Windows:
      cd "C:Program FilesYubicoYubiKey Manager"
    • MacOS:
      cd /Applications/YubiKey Manager.app/Contents/MacOS
    • På Linux (Ubuntu), ykman kommando kommer redan att installeras i ditt PATH, så att du kan hoppa över det här steget.
  3. Skapa ett intyg om intyget för nyckeln med kommandot nedan (ersätt ATTESTATION-FILENAME.crt med sökvägen och filnamnet du vill använda; om du använde plats 9c, byt ut 9a med 9c):
    • Windows:
      .ykman.exe piv-nycklar intygar 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
  4. Använd sedan ykman kommando för att exportera det mellanliggande certifikatet från plats f9 i YubiKey (ersätt INTERMEDIATE-FILENAME.crt med sökvägen och filnamnet du vill använda):
    • Windows:
      .ykman.exe piv-certifikat exporterar f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt

Steg 3: Verifiera attestattest med SSL.com och bifoga order

  1. Här ska vi använda vårt intygsattest från YubiKey-kortplats 9a med en EV-kodsigneringsbeställning. (Proceduren för dokumentsigneringscertifikat är densamma.) Öppna först intyget och mellanliggande certifikat i en textredigerare.
    Attestationscertifikat
  2. Logga in på ditt SSL.com-användarkonto och navigera till Beställningar fliken och klicka sedan på detaljer länk för den beställning du vill associera med intygningsintyget. (Den här länken ändras till ladda ner efter att ditt certifikat har utfärdats.)
    Notera: Om du vill kontrollera giltigheten för ditt intyg utan att bifoga det till en beställning kan du använda SSL.com verifieringsverktyg för intyg.
    detaljer
  3. Klicka på hantera länk, under intyg.
    hantera länken
  4. En ny sida med fält för intyget och mellanliggande certifikat visas.
    Intygsverifiering
  5. Klistra in intyget om intyget i Attestationscertifikat fältet, se till att inkludera linjerna -----BEGIN CERTIFICATE----- och -----END CERTIFICATE-----.
    klistra in intygsintyg
  6. Klistra sedan in mellancertifikatet i Intermediate Certificate fält.
    Fält för mellanliggande certifikat
  7. Klicka på Skicka knapp.
    Skickaknapp
  8. Om allt har gått korrekt visas en grön varning högst upp på skärmen, vilket indikerar ett framgångsrikt intyg.
    Framgångsrikt intyg
  9. Återgå till beställningen i ditt konto. Du kan verifiera att intyget har lagts till i beställningen genom att det finns en länk märkt Radera under intyg.
    Radera länk
  10. När SSL.com har behandlat din beställning kommer certifikatet att finnas tillgängligt på ditt SSL.com-konto. Från din orderinformationssida, scrolla ner till SLUTA ENTITETSCERTIFIKAT avsnitt och klicka Visa detaljer.
  11. Rulla ner till underavsnittet märkt Kodsigneringscertifikat or Dokumentsigneringsintyg, beroende på din beställning. Till höger ser du nedladdningslänkarna för ditt certifikat.

    1. Om du har en Dokumentsigneringsintyg, Välj den individuella certifikat nedladdningsalternativ. Detta är en zip-fil som innehåller tre certifikatfiler: ditt slutenhetscertifikat, ett mellancertifikat och ett rotcertifikat.
    2. Om du har en Kodsigneringscertifikat, Välj den för YUBIKEY installation (DER).

Varning: Vi har sett felmeddelanden i de senaste versionerna av YubiKey Manager när vi importerar ECC-certifikat (nu krävs för EV-kodsignering på YubiKey). Det finns två potentiella lösningar:

  • Rekommenderas: Konvertera certifikatet till DER-format innan du importerar. Detta är enkelt konvertering med OpenSSL (byta ut CERT.crt och CERT.der med ditt faktiska filnamn i följande kommando):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Om du inte kan konvertera din fil, återgår du till en tidigare släpp av YubiKey Manager kommer också att fungera. Den senaste versionen vi har hittat för att lyckas importera ECC .crt filer som laddas ner från SSL.com är 1.1.5.

Steg 4: Installera certifikat i YubiKey

  1. Starta YubiKey Manager och mavigera till Program> PIV.
    Program> PIV
  2. Klicka på Konfigurera certifikat knapp.
    Konfigurera certifikat
  3. Välj fliken för samma YubiKey-kortplats där du genererade nyckelparet.
    Autentisering (spår 9a)
  4. Klicka på Importera knapp.
    Importera-knappen
  5. Navigera till certifikatfilen för slutenheten och klicka på Importera knapp.
    importcertifikat
  6. Ange din YubiKey ledningsnyckel, Klicka sedan OK. Om du behöver din ledningsnyckel, vänligen kontakta Support@SSL.com.
    ledningsnyckel
  7. Det nya certifikatet för EV-kodsignering är installerat i YubiKey.
    Certifikatet är installerat
  8. För att säkerställa att dina digitala signaturer är betrodda på alla datorer, bör du också installera rot- och mellancertifikaten på din YubiKey för en fullständig kedja av förtroende. Följ dessa instruktioner för root- och mellaninstallation: Installera SSL.com rot- och mellanliggande certifikat på YubiKey.
Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECUREeller klicka bara på chattlänken längst ned till höger på den här sidan. Du kan också hitta svar på många vanliga supportfrågor i vår kunskapsbas.

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.