在YubiKey上安装SSL.com根证书和中间证书

本操作方法将向您展示如何使用Yubico的 ykman 命令行实用程序，用于使用SSL.com在YubiKey上安装SSL.com中间证书和根证书 EV代码签名 or 商业身份 证书。 为了避免某些计算机上的签名文档和代码出现信任错误，可能需要执行此过程。

1. 下载并安装 YubiKey经理 from Yubico's website.从Yubico的网站。 Versions for Windows, Linux, and macOS are available.提供Windows，Linux和macOS版本。 In this how-to, we won't be using the YubiKey Manager itself, but rather the在本操作方法中，我们将不会使用YubiKey Manager本身，而是使用 ykman 随它一起安装的实用程序。
   
2. 为您的文档签名或 EV 代码签名证书下载适当的 SSL.com 根证书和中间证书。 如果您的证书是通过 FIPS 140-2 验证的安全密钥 USB 令牌 来自 SSL.com，它将有一个 ECDSA 密钥。 对于已在 SSL.com 的 eSigner 云代码签名服务中注册的证书，它将具有 RSA 密钥。 看看我们的 专用页面 供电子签名者了解更多信息。
   • 文件签署（RSA）：
     • SSL.com根证书颁发机构RSA
     • SSL.com客户端证书中级CA RSA R2
   • 文件签署（ECDSA）：
     • SSL.com EV根证书颁发机构ECC
     • 客户端证书中级CA ECC R2
   • EV代码签名（RSA）：
     • SSL.com EV根证书颁发机构RSA R2
     • SSL.com EV代码签名中级CA RSA R3
   • EV代码签名（ECDSA）：
     • SSL.com EV根证书颁发机构ECC
     • SSL.com EV代码签名中级CA ECC R2
3. 使用以下命令导航到YubiKey Manager文件：
   • Windows上：

     $ cd“ C：\ Program Files \ Yubico \ YubiKey Manager”

   • 苹果系统：

     $ cd / Applications / YubiKey Manager.app/Contents/MacOS

   • 在Linux（Ubuntu）上， ykman 命令将已经安装在您的 PATH，因此您可以跳过此步骤。
4. 使用这些命令将您在步骤2中下载的根证书和中间证书安装在YubiKey的插槽82和83上。 将ALL-CAPS中的值替换为您下载的证书的路径和YubiKey的管理密钥。 您可以省略 -m 如果您的YubiKey具有默认管理密钥，则为选项。 （如果需要安装的目录超过root用户或中级用户，则可以使用82到95之间的任何YubiKey插槽。）
   • Windows上：

     $ ykman piv导入证书82“ PATH \ TO \ ROOT \ CERTIFICATE.pem” -m管理密钥$ ykman piv导入证书83“ PATH \ TO \ INTERMEDIATE \ CERTIFICATE.pem -m管理密钥

   • 苹果系统：

     $ ./ykman piv导入证书82 /PATH/TO/ROOT/CERTIFICATE.pem -m管理密钥$ ./ykman piv导入证书83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m管理密钥

   • Linux（Ubuntu）：

     $ ykman piv导入证书82 /PATH/TO/ROOT/CERTIFICATE.pem -m管理密钥$ ykman piv导入证书83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m管理密钥
     

5. ykman 不会产生任何输出来通知您何时安装了证书，但是您可以通过以下操作确认安装 ykman export-certificate。 For example, the following command will print the certificate in slot 82 to the standard output:例如，以下命令会将证书在插槽XNUMX中打印到标准输出：
   • Windows上：

     ykman piv出口证书82-

   •  苹果系统：

     ./ykman piv出口证书82-

   • Linux（Ubuntu）：

     ykman piv出口证书82-

6. After installing these certificates on your YubiKey, your code and/or documents will be signed with a complete chain of trust, so you will not experience trust issues on computers that are missing the intermediate in their trust stores.在YubiKey上安装这些证书之后，您的代码和/或文档将带有完整的信任链进行签名，因此在缺少其信任库中的中间件的计算机上，您将不会遇到信任问题。 Note that you may need to disconnect the YubiKey from your computer and reconnect it for the changes to take effect when signing.请注意，您可能需要从计算机上断开YubiKey的连接，然后重新连接它，以使更改在签名时生效。