Amaçları için EV kod imzalama ve Adobe PDF dijital imzalar, özel anahtarınızın güvenli bir şekilde oluşturulması ve bilgisayarınız yerine harici bir FIPS onaylı donanım aygıtında depolanması gerekir. SSL.com, isteğe bağlı olarak, önceden yüklenmiş olarak EV kodu imzalama ve PDF belge imzalama sertifikaları gönderir. FIPS 140-2 onaylı güvenlik anahtarı USB belirteçleri, ancak kullanıcılar mevcut bir YubiKey üzerinde bir anahtar çifti ve bir tasdik belgesi bu, özel anahtarın cihazda oluşturulduğunu kanıtlar. Onay sertifikası daha sonra YubiKey'e manuel olarak yüklenebilecek SSL.com'dan sertifika sipariş etmek için kullanılabilir.
Bu nasıl yapılır:
- Oluşturma anahtar çifti ve tasdik belgesi Yubikey'de
- Doğrulama tasdik sertifikası ve bunu bir SSL.com EV kodu imzalama veya PDF belge imzalama siparişiyle ilişkilendirme
- Takma YubiKey'deki yeni sertifikanız
apt-get
(bkz. Yubico's talimatlar daha fazla bilgi için). Bir Linux AppImage ayrıca YubiKey Manager'dan edinilebilir Sayfayı indirmek. Ayrıca, bu talimatların Yubico'nun Yubikey Manager yazılımını kullanmasına rağmen, SSL.com'un 3.0 sürümü olduğunu unutmayın. SSL Manager destekler YubiKey'de anahtar çifti üretimi ve sertifika kurulumu Windows kullanıcıları için.Adım 1: YubiKey'de Anahtar Çifti Oluşturun
- Henüz yapmadıysanız, indirin ve kurun YubiKey Teknik Direktör Yubico'nun web sitesinden. Windows, Linux ve macOS sürümleri mevcuttur.
- YubiKey'inizi takın, ardından YubiKey Manager'ı başlatın. YubiKey'iniz YubiKey Manager penceresinde görüntülenmelidir.
- Şu yöne rotayı ayarla Uygulamalar> PIV.
- Tıkla Sertifikaları Yapılandırma düğmesine basın.
- Anahtar çiftini oluşturmak istediğiniz YubiKey yuvası için sekmeyi seçin. Bir EV kod imzalama sertifikası satın alıyorsanız, Doğrulama (yuva 9a). PDF belgesi imzalama için Elektronik imza (yuva 9c). (bkz. Yubico'nun belgeleme çeşitli anahtar yuvaları ve amaçlanan işlevleri hakkında daha fazla bilgi için; PIN giriş politikalarında farklılık gösterir). Burada slot 9a'yı kullanacağız.
- Tıkla Oluşturmak düğmesine basın.
- seç Sertifika İmzalama İsteği (CSR), Ardından Sonraki düğmesine basın.
- Bir seçin Algoritma açılır menüden. Belge imzalamak için
RSA2048
. EV kod imzalama için seçinECCP256
orECCP384
.
- Bir girin Özne ismi sertifika için, ardından Sonraki düğmesine basın.
Not: Aslında bunu kullanmayacağız CSR—Yeni bir anahtar çifti oluşturmanın bir yan ürünü olarak üretilir. Dolayısıyla, Konu Adı için buraya ne girdiğiniz önemli değildir.Kullanıcılar yeni bir sipariş verirken SSL.com'dan yeni bir düzenleme talep etmelidir, düzenleme otomatik olarak gerçekleşmeyecektir. - Tıkla Oluşturmak düğmesine basın.
- Kaydetmek için bir konum seçin CSR bir dosya adı oluşturun, ardından İndirim düğmesine basın.
- YubiKey'lerinizi girin yönetim anahtarı, Ardından OK. Yönetim anahtarınıza ihtiyacınız varsa lütfen iletişime geçin Support@SSL.com.
- YubiKey'inizi girin PIN, Ardından OK. PIN kodunuzu bulma konusunda yardıma ihtiyacınız varsa lütfen şu adrese başvurun: bu nasıl yapılır.
- The CSR dosya, yukarıdaki 11. adımda belirttiğiniz yere kaydedilecektir. Yine, devam etmek için bu dosyaya ihtiyacımız yok ve güvenle silebilirsiniz.
2. Adım: Onay Sertifikası oluşturun
Her YubiKey, Yubico'dan bir özel anahtar ve sertifika ile önceden yüklenmiş olarak gelir. tasdik belgesi YubiKey'de özel bir anahtarın oluşturulduğunu doğrulamak için. Bu işlem, komut satırını kullanmanızı gerektirecektir.
- Windows'ta, PowerShell'i yönetici olarak açın. macOS ve Linux kullanıcıları, cihazlarında bir terminal penceresi açmalıdır.
- YubiKey Manager dosyalarına gitmek için aşağıdaki komutu kullanın:
- Windows:
cd "C:Program DosyalarıYubicoYubiKey Manager"
- MacOS:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- Linux'ta (Ubuntu),
ykman
komutu zaten bilgisayarınıza yüklenecekPATH
, böylece bu adımı atlayabilirsiniz.
- Windows:
- Aşağıdaki komutla anahtar için bir tasdik sertifikası oluşturun (değiştirin
ATTESTATION-FILENAME.crt
kullanmak istediğiniz yol ve dosya adıyla; 9c yuvasını kullandıysanız değiştirin9a
ile9c
):- Windows:
.ykman.exe piv anahtarları 9a ATTESTATION-FILENAME.crt'yi onaylıyor
- Linux (Ubuntu):
ykman piv anahtarları, 9a ATTESTATION-FILENAME.crt'yi onaylar
- MacOS:
./ykman piv anahtarları 9a ATTESTATION-FILENAME.crt'yi onaylar
- Windows:
- Ardından,
ykman
ara sertifikayı YubiKey'nin f9 yuvasından dışa aktarma komutu (değiştirINTERMEDIATE-FILENAME.crt
kullanmak istediğiniz yol ve dosya adıyla):- Windows:
.ykman.exe piv sertifikaları f9 INTERMEDIATE-FILENAME.crt dosyasını dışa aktarır
- Linux (Ubuntu):
ykman piv sertifikaları export f9 INTERMEDIATE-FILENAME.crt
- MacOS:
./ykman piv sertifikaları export f9 INTERMEDIATE-FILENAME.crt
- Windows:
3. Adım: Onay Sertifikasını SSL.com ile Doğrulayın ve Siparişe Ekleyin
- Burada YubiKey slot 9a'dan gelen onay sertifikamızı bir EV kodu imzalama sertifika siparişi ile kullanacağız. (Belge imzalama prosedürü aynıdır.) İlk olarak, bir metin düzenleyicide tasdik ve ara sertifikaları açın.
- SSL.com kullanıcı hesabınıza giriş yapın ve şuraya gidin: Siparişlerim sekmesine tıklayın ve ardından ayrıntılar tasdik sertifikası ile ilişkilendirmek istediğiniz siparişin bağlantısı. (Bu bağlantı şu şekilde değişecek indir sertifikanız verildikten sonra.)
Not: Onay sertifikanızın geçerliliğini bir siparişe eklemeden kontrol etmek isterseniz, SSL.com'u kullanabilirsiniz. tasdik doğrulama aracı. - Tıkla yönetmek bağlantı, altında tasdik.
- Onay ve ara sertifikalar için alanlar içeren yeni bir sayfa görünecektir.
- Onay sertifikasını şuraya yapıştırın: Tasdik Belgesi satırlarını eklediğinizden emin olun
-----BEGIN CERTIFICATE-----
ve-----END CERTIFICATE-----
.
- Ardından, ara sertifikayı Orta Sertifika alan.
- Tıkla Gönder düğmesine basın.
- Her şey doğru giderse, ekranın üst kısmında başarılı bir onay olduğunu belirten yeşil bir uyarı görünecektir.
- Hesabınızdaki siparişe geri dönün. Etiketli bir bağlantının varlığı ile onayın siparişe eklendiğini doğrulayabilirsiniz. Sil altında tasdik.
- SSL.com siparişinizi işleme koyduktan sonra sertifika SSL.com hesabınızda mevcut olacaktır. Sipariş ayrıntıları sayfanızda aşağıya doğru ilerleyin SON KURULUŞ SERTİFİKALARI bölümünü tıklayın ve tıklayın Detayları göster.
- Etiketli alt bölüme doğru aşağı kaydırın Kod İmzalama Sertifikası or Belge İmzalama SertifikasıSiparişinize bağlı olarak. Sağ tarafta sertifikanızın indirme bağlantılarını göreceksiniz.
- Bir varsa Belge İmzalama Sertifikası, seç bireysel sertifikalar indirme seçeneği. Bu, üç sertifika dosyası içeren bir zip dosyasıdır: son varlık sertifikanız, bir ara sertifika ve bir kök sertifika.
- Bir varsa Kod İmzalama Sertifikası, seç YUBIKEY kurulumu için (DER).
- Bir varsa Belge İmzalama Sertifikası, seç bireysel sertifikalar indirme seçeneği. Bu, üç sertifika dosyası içeren bir zip dosyasıdır: son varlık sertifikanız, bir ara sertifika ve bir kök sertifika.
Uyarı: ECC sertifikalarını içe aktarırken YubiKey Manager'ın son sürümlerinde hata mesajları gördük (artık YubiKey'de EV Kod İmzalama için gerekli). İki olası geçici çözüm vardır:
- Önerilen: Almadan önce sertifikayı DER formatına dönüştürün. Bu basit bir OpenSSL ile dönüştürme (yerine
CERT.crt
veCERT.der
aşağıdaki komutta gerçek dosya adınızla):
openssl x509 -outform der -in CERT.crt -out CERT.der
- Dosyanızı dönüştüremezseniz, bir önceki sürüm YubiKey Yöneticisi de çalışacaktır. ECC'yi başarıyla içe aktardığını bulduğumuz en son sürüm
.crt
SSL.com'dan indirilen dosyalar1.1.5
.
Adım 4: YubiKey'e Sertifika Yükleme
- YubiKey Manager'ı başlatın ve şuraya gidin: Uygulamalar> PIV.
- Tıkla Sertifikaları Yapılandırma düğmesine basın.
- Anahtar çiftini oluşturduğunuz aynı YubiKey yuvası için sekmeyi seçin.
- Tıkla ithalat düğmesine basın.
- Son varlık sertifika dosyanıza gidin ve ithalat düğmesine basın.
- YubiKey'lerinizi girin yönetim anahtarı, Ardından OK. Yönetim anahtarınıza ihtiyacınız varsa lütfen iletişime geçin Support@SSL.com.
- Yeni EV kodu imzalama sertifikası YubiKey'e yüklenir.
- Dijital imzalarınızın tüm bilgisayarlarda güvenilir olduğundan emin olmak için, eksiksiz bir güven zinciri için YubiKey'inize kök ve ara sertifikaları da yüklemelisiniz. Kök ve orta düzey kurulum için lütfen şu talimatları izleyin: YubiKey'e SSL.com Kök ve Ara Sertifikalarını yükleyin.