en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

I syftena med EV-kodsignering och Adobe PDF digitala signaturer, krävs det att din privata nyckel genereras och lagras på en extern FIPS-validerad hårdvarenhet snarare än på din dator. SSL.com skickar valfritt EV-kodsignerings- och PDF-dokumentsigneringscertifikat förinstallerade på Yubikey FIPS-hårdvarunycklar, men användare kan också skapa ett nyckelpar på en befintlig YubiKey och en intygsintyg som bevisar att den privata nyckeln genererades på enheten. Attestationscertifikatet kan sedan användas för att beställa certifikat från SSL.com som kan installeras manuellt på YubiKey.

Do inte följ dessa instruktioner om du beställde en YubiKey tillsammans med ditt certifikat från SSL.com, eftersom dessa YubiKeys levereras med förinstallerade certifikat. Den här anvisningen är för kunder som vill installera certifikat på en YubiKey FIPS som de redan äger.

Den här vägledningen leder dig igenom:

  • Generera en nyckelpar och intygsintyg på din Yubikey
  • verifiera attesteringscertifikatet och associera det med en SSL.com EV-kodsignering eller PDF-signeringsordning
  • Installera ditt nya certifikat i YubiKey
Notera: Skärmdumparna nedan är från Windows, men procedurerna är nästan identiska på Linux och macOS. Skillnader mellan plattformar noteras nedan. Linux-instruktioner hänvisar till Ubuntu 19.10, med YubiKey manager installerad med apt-get (se Yubico's instruktioner för mer information). En Linux AppImage är också tillgänglig från YubiKey Manager ladda sidan. Observera också att medan dessa instruktioner använder YubiCos Yubikey Manager-programvara, 3.0-versionen av SSL.com SSL Manager stöder nyckelgenerering och certifikatinstallation på YubiKey för Windows-användare.

Steg 1: Generera nyckelpar på YubiKey

  1. Om du inte redan har gjort det, ladda ner och installera YubiKey Manager från Yubicos webbplats. Versioner för Windows, Linux och macOS finns tillgängliga.
    YubiKey Manager nedladdning
  2. Anslut din YubiKey och starta sedan YubiKey Manager. Din YubiKey ska visas i YubiKey Manager-fönstret.
    YubiKey Manager
  3. Navigera till Program> PIV.
    Program> PIV
  4. Klicka på Konfigurera certifikat knapp.
    Konfigurera certifikat
  5. Välj fliken för YubiKey-kortplatsen där du vill skapa nyckelparet. Om du köper ett EV-kodsigneringscertifikat, välj Autentisering (spår 9a). Välj för PDF-dokumentsignering Digital signatur (kortplats 9c). (Se Yubco's dokumentation för mer information om de olika tangentluckorna och deras avsedda funktioner; de skiljer sig åt i sina policyer för PIN-registrering. Här kommer vi att använda spår 9a.
    Autentisering (spår 9a)
  6. Klicka på Generera knapp.
    Generera
  7. Välja Certifikatssigneringsbegäran (CSR), klicka sedan på Nästa knapp.
    Certifikatssigneringsbegäran (CSR)
  8. Välj en Algoritm från rullgardinsmenyn. Välj för dokumentsignering RSA2048. Välj EV-signering ECCP256 or ECCP384.
    välj algoritm
  9. Ange ett Ämnesnamn för certifikatet, klicka sedan på Nästa knapp.
    Notera: Vi kommer faktiskt inte att använda detta CSR—Det genereras som en biprodukt för att skapa ett nytt nyckelpar. Så det spelar ingen roll vad du anger för ämnesnamnet här.
    Ämnesnamn
  10. Klicka på Generera knapp.
    generera
  11. Välj en plats att spara CSR fil, skapa ett filnamn och klicka sedan på Save knapp.
    Save CSR
  12. Ange din YubiKey ledningsnyckel, Klicka sedan OK. Om du behöver din ledningsnyckel, vänligen kontakta Support@SSL.com.
    ledningsnyckel
  13. Ange din YubiKey PIN, Klicka sedan OK. Om du behöver hjälp med att hitta din PIN-kod, hänvisa till det här.
    Ange PIN-koden
  14. Du har nu möjlighet CSR filen sparas på den plats som du angav i steg 11 ovan. Återigen behöver vi inte den här filen för att fortsätta och du kan ta bort den på ett säkert sätt.
    CSR fil

Steg 2: Generera attestattest

Varje YubiKey levereras med en privat nyckel och certifikat från Yubico som låter dig generera en intygsintyg för att verifiera att en privat nyckel har genererats på en YubiKey. Denna åtgärd kräver att du använder kommandoraden.

  1. I Windows öppnar du PowerShell som administratör. macOS- och Linux-användare bör öppna ett terminalfönster på sin enhet.
    Öppna PowerShell som administratör
  2. Använd följande kommando för att navigera till YubiKey Manager-filer:
    • Windows:
      cd "C: \ Programfiler \ Yubico \ YubiKey Manager"
    • MacOS:
      cd / Applications / YubiKey \ Manager.app/Contents/MacOS
    • På Linux (Ubuntu), ykman kommando kommer redan att installeras i ditt PATH, så att du kan hoppa över det här steget.
  3. Skapa ett intyg om intyget för nyckeln med kommandot nedan (ersätt ATTESTATION-FILENAME.crt med sökvägen och filnamnet du vill använda; om du använde plats 9c, byt ut 9a med 9c):
    • Windows:
      . \ ykman.exe piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
    • MacOS:
      ./ykman piv-tangenter intygar 9a ATTESTATION-FILENAME.crt
  4. Använd sedan ykman kommando för att exportera det mellanliggande certifikatet från plats f9 i YubiKey (ersätt INTERMEDIATE-FILENAME.crt med sökvägen och filnamnet du vill använda):
    • Windows:
      . \ ykman.exe piv-certifikat exporterar f9 INTERMEDIATE-FILENAME.crt
    • Linux (Ubuntu):
      ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt
    • MacOS:
      ./ykman piv-certifikat export f9 INTERMEDIATE-FILENAME.crt

Steg 3: Verifiera attestattest med SSL.com och bifoga order

  1. Här ska vi använda vårt intygsattest från YubiKey-kortplats 9a med en EV-kodsigneringsbeställning. (Proceduren för dokumentsigneringscertifikat är densamma.) Öppna först intyget och mellanliggande certifikat i en textredigerare.
    Attestationscertifikat
  2. Logga in på ditt SSL.com-användarkonto och navigera till Beställningar fliken och klicka sedan på detaljer länk för den beställning du vill associera med intygningsintyget. (Den här länken ändras till ladda ner efter att ditt certifikat har utfärdats.)
    Notera: Om du vill kontrollera giltigheten för ditt intyg utan att bifoga det till en beställning kan du använda SSL.com verifieringsverktyg för intyg.
    detaljer
  3. Klicka på hantera länk, under intyg.
    hantera länken
  4. En ny sida med fält för intyget och mellanliggande certifikat visas.
    Intygsverifiering
  5. Klistra in intyget om intyget i Attestationscertifikat fältet, se till att inkludera linjerna -----BEGIN CERTIFICATE----- och -----END CERTIFICATE-----.
    klistra in intygsintyg
  6. Klistra sedan in mellancertifikatet i Intermediate Certificate fält.
    Fält för mellanliggande certifikat
  7. Klicka på Skicka knapp.
    Skickaknapp
  8. Om allt har gått korrekt visas en grön varning högst upp på skärmen, vilket indikerar ett framgångsrikt intyg.
    Framgångsrikt intyg
  9. Återgå till beställningen i ditt konto. Du kan verifiera att intyget har lagts till i beställningen genom att det finns en länk märkt Radera under intyg.
    Radera länk
  10. Efter att SSL.com har behandlat din beställning kommer certifikatet att finnas tillgängligt i ditt SSL.com-konto.
    ladda ner länkar
  11. Välj individuella certifikat format vid nedladdning.
    enskilda certifikat nedladdningslänk
  12. Expandera zip-filen. Det ska finnas tre certifikatfiler: ditt slutcertifikat, ett mellancertifikat och ett rotcertifikat.
    certifikatfiler

Varning: Vi har sett felmeddelanden i de senaste versionerna av YubiKey Manager när vi importerar ECC-certifikat (nu krävs för EV-kodsignering på YubiKey). Det finns två potentiella lösningar:

  • Rekommenderas: Konvertera certifikatet till DER-format innan du importerar. Detta är enkelt konvertering med OpenSSL (byta ut CERT.crt och CERT.der med ditt faktiska filnamn i följande kommando):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • Om du inte kan konvertera din fil, återgår du till en tidigare släpp av YubiKey Manager kommer också att fungera. Den senaste versionen vi har hittat för att lyckas importera ECC .crt filer som laddas ner från SSL.com är 1.1.5.

Steg 4: Installera certifikat i YubiKey

  1. Starta YubiKey Manager och mavigera till Program> PIV.
    Program> PIV
  2. Klicka på Konfigurera certifikat knapp.
    Konfigurera certifikat
  3. Välj fliken för samma YubiKey-kortplats där du genererade nyckelparet.
    Autentisering (spår 9a)
  4. Klicka på Importera knapp.
    Importera-knappen
  5. Navigera till certifikatfilen för slutenheten och klicka på Importera knapp.
    importcertifikat
  6. Ange din YubiKey ledningsnyckel, Klicka sedan OK. Om du behöver din ledningsnyckel, vänligen kontakta Support@SSL.com.
    ledningsnyckel
  7. Det nya certifikatet för EV-kodsignering är installerat i YubiKey.
    Certifikatet är installerat
  8. För att säkerställa att dina digitala signaturer är betrodda på alla datorer, bör du också installera rot- och mellancertifikaten på din YubiKey för en fullständig kedja av förtroende. Följ dessa instruktioner för root- och mellaninstallation: Installera SSL.com rot- och mellanliggande certifikat på YubiKey.
Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECUREeller klicka bara på chattlänken längst ned till höger på den här sidan. Du kan också hitta svar på många vanliga supportfrågor i vår kunskapsbas.

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com