这些说明适用于 SSL.com 的用户 文档签名和客户端认证证书 安装在 FIPS 140-2 验证的安全密钥 USB 令牌. 为了保护我们的客户信息免遭YubiKey可能丢失的侵害,这些证书提供了电子邮件签名,但不能用于加密或解密。 但是,您的证书捆绑包中包含启用了解密的信用额 S/MIME 为方便起见,可以将其安装在YubiKey中的证书。
为什么需要安装另一个证书? 因为不可能从FIPS YubiKey导出私钥,所以该密钥对于 S/MIME 解密,重要的是 S/MIME 证书,以便用户可以备份其私钥。 否则,如果丢失了YubiKey,他们就有失去访问数据的风险。
这些说明说明了如何在启用加密的情况下轻松生成和导入PFX文件 S/MIME 证书和私钥进入 密钥管理 槽(9d)与您的YubiKey YubiKey经理 应用。 这些步骤已在macOS Mojave上进行了记录,但也适用于Windows和Linux版本的YubiKey Manager。
要在YubiKey上安装密钥和证书,您需要设备的 管理钥匙,与您的PIN码不同,并且不同。 请联系 Support@SSL.com 如果您需要YubiKey的管理密钥。
步骤1:产生并下载 S/MIME 证书和私钥
- 您的证书捆绑包包含SSL.com的额外信用额 S/MIME 证书。 订购和验证后,您将收到一封带有激活链接的电子邮件。 点击链接。
- 点击 产生证书 按钮以生成新的证书签名请求(CSR),证书和私钥。请注意: 您可以通过以下方式在RSA和ECDSA之间进行选择: 算法 下拉菜单,但ECDSA 不能 用作电子邮件加密密钥,因此最好将此设置保留为RSA。 您也可以点击 显示高级选项 按钮,这将显示一个用于选择密钥大小的下拉菜单。 最后检查 我有我自己的 CSR 将允许您使用自己的证书签名请求和私钥,而不是生成新的 CSR 和关键。
- 包含新文本字段 CSR,证书和私钥将出现。
- 创建6个字符或更多的密码,然后单击 下载 按钮。记住这个密码。 在YubiKey上安装证书和密钥时,将需要它。 也, 请务必使用私钥保护PFX文件的安全,并且不要丢失它。 SSL.com永远不会看到或处理您的私钥,也无法帮助您恢复丢失的密钥(它将在您自己的计算机上的浏览器中生成)。 没有私钥,您将无法对电子邮件进行数字签名或阅读已用公钥加密的电子邮件。 更糟糕的是,任何拥有您私钥的人都可以采用您的身份来签名电子邮件和客户端身份验证。
- 您现在可以在YubiKey上安装新证书和私钥了。
步骤2:将证书和私钥导入YubiKey
- 下载并安装正确版本的 Yubikey经理 适用于您的操作系统(Windows,macOS或Linux)。请注意: YubiKey Manager还可用于重置Yubikey的PIN并配置其OTP功能。 请咨询Yubico的 文件 获取更多信息.
- 启动YubiKey Manager,然后将YubiKey插入计算机的USB端口。 YubiKey Manager将显示有关您的YubiKey的信息。
- 导航 应用程序> PIV 在YubiKey Manager中。
- 点击 配置证书 按钮。
- 点击 密钥管理 标签。
- 点击 进口 按钮。
- 导航到您的PFX文件的位置,然后单击 进口 按钮。 文件名将以
.p12.
- 输入您为PFX文件创建的密码,然后单击 OK.
- 输入YubiKey管理密钥,然后单击 OK。 (联系 Support@SSL.com 作为您的管理密钥。)
- 大功告成! YubiKey Manager现在应该显示证书和密钥已安装在设备上。
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。 您还可以在我们的网站上找到许多常见支持问题的答案 知识库.
