本操作方法将向您展示如何使用Yubico的 ykman
命令行实用程序,用于使用SSL.com在YubiKey上安装SSL.com中间证书和根证书 EV代码签名 or 商业身份 证书。 为了避免某些计算机上的签名文档和代码出现信任错误,可能需要执行此过程。
SSL.com还建议您将这些证书安装在签名计算机的 证书存储.
- 下载并安装 YubiKey经理 from Yubico's website.从Yubico的网站。 Versions for Windows, Linux, and macOS are available.提供Windows,Linux和macOS版本。 In this how-to, we won't be using the YubiKey Manager itself, but rather the在本操作方法中,我们将不会使用YubiKey Manager本身,而是使用
ykman
随它一起安装的实用程序。
- 为您的文档签名或 EV 代码签名证书下载适当的 SSL.com 根证书和中间证书。 如果您的证书是通过 FIPS 140-2 验证的安全密钥 USB 令牌 来自 SSL.com,它将有一个 ECDSA 密钥。 对于已在 SSL.com 的 eSigner 云代码签名服务中注册的证书,它将具有 RSA 密钥。 看看我们的 专用页面 供电子签名者了解更多信息。
- 文件签署(RSA):
- 文件签署(ECDSA):
- EV代码签名(RSA):
- EV代码签名(ECDSA):
- 使用以下命令导航到YubiKey Manager文件:
- Windows上:
$ cd“ C:\ Program Files \ Yubico \ YubiKey Manager”
- 苹果系统:
$ cd / Applications / YubiKey Manager.app/Contents/MacOS
- 在Linux(Ubuntu)上,
ykman
命令将已经安装在您的PATH
,因此您可以跳过此步骤。
- Windows上:
- 使用这些命令将您在步骤2中下载的根证书和中间证书安装在YubiKey的插槽82和83上。 将ALL-CAPS中的值替换为您下载的证书的路径和YubiKey的管理密钥。 您可以省略
-m
如果您的YubiKey具有默认管理密钥,则为选项。 (如果需要安装的目录超过root用户或中级用户,则可以使用82到95之间的任何YubiKey插槽。)- Windows上:
$ ykman piv导入证书82“ PATH \ TO \ ROOT \ CERTIFICATE.pem” -m管理密钥$ ykman piv导入证书83“ PATH \ TO \ INTERMEDIATE \ CERTIFICATE.pem -m管理密钥
- 苹果系统:
$ ./ykman piv导入证书82 /PATH/TO/ROOT/CERTIFICATE.pem -m管理密钥$ ./ykman piv导入证书83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m管理密钥
- Linux(Ubuntu):
$ ykman piv导入证书82 /PATH/TO/ROOT/CERTIFICATE.pem -m管理密钥$ ykman piv导入证书83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m管理密钥
- Windows上:
ykman
不会产生任何输出来通知您何时安装了证书,但是您可以通过以下操作确认安装ykman export-certificate
。 For example, the following command will print the certificate in slot 82 to the standard output:例如,以下命令会将证书在插槽XNUMX中打印到标准输出:- Windows上:
ykman piv出口证书82-
- 苹果系统:
./ykman piv出口证书82-
- Linux(Ubuntu):
ykman piv出口证书82-
- Windows上:
- After installing these certificates on your YubiKey, your code and/or documents will be signed with a complete chain of trust, so you will not experience trust issues on computers that are missing the intermediate in their trust stores.在YubiKey上安装这些证书之后,您的代码和/或文档将带有完整的信任链进行签名,因此在缺少其信任库中的中间件的计算机上,您将不会遇到信任问题。 Note that you may need to disconnect the YubiKey from your computer and reconnect it for the changes to take effect when signing.请注意,您可能需要从计算机上断开YubiKey的连接,然后重新连接它,以使更改在签名时生效。