在你开始之前
本指南仅适用于安装或更换 文件签署证书 在这些情况下,YubiKey 会:
本指南仅适用于安装或更换 文件签署证书 在这些情况下,YubiKey 会:
- 您直接从 Yubico 购买了一张空白的 YubiKey。
- 你需要更换过期的 SSL.com YubiKey 上的文档签名证书
如果出现以下情况,请勿使用本指南:
- 您的 YubiKey 是从 SSL.com 预装的文档签名证书尚未过期(无需设置)
- 你有一个 代码签名 证书(参见: 使用 YubiKey 进行代码签名证书的密钥生成和认证)
出于...的目的 Adobe PDF数字签名,要求您的私钥必须安全地生成并存储在外部 FIPS 验证的硬件设备上,而不是您的计算机上。用户可以在现有的 YubiKey 上生成密钥对,并在 证明书 这证明私钥已在设备上生成。然后,可以使用该认证证书从 SSL.com 获取证书,并可手动将其安装在 YubiKey 上。
一份认证证书仅对一个 YubiKey 有效。如果您需要将证书安装在多个 YubiKey 上,则需要为每个 YubiKey 执行认证。请联系 support@ssl.com 获取有关证书多次颁发的更多详细信息。
此方法将指导您完成以下操作:
申请条件
- 最新版 Yubico身份验证器 和 ykman 命令行界面 (CLI).
注意:
要生成密钥对并随后安装文档签名证书,请下载此工具: Yubico身份验证器图形用户界面(GUI).要生成证明证书,请使用此下载包中包含的 ykman 命令行界面 (CLI): YubiKey 管理器。
安装完成后,这两个工具都将存储在您电脑的 Yubico 文件夹中。
- 您的 YubiKey 密码 和 PUK 配置于 Yubico身份验证器. 如果您的 YubiKey 令牌是从 Yubico 购买的,则需要设置您的 PIN 码和 PUK 码。 为此,请打开 Yubico 身份验证器, 点击 科瑞证书 标签。 在 物业管理 部分,您将看到配置您的 密码 和 PUK.
步骤1:在YubiKey上生成密钥对
- 下载 Yubico身份验证器.
- 插入您的 YubiKey,然后启动 Yubico Authenticator。
- 在下面 科瑞证书 在“设置”部分,选择与您要生成密钥对的 YubiKey 插槽对应的选项卡。 要签署 PDF 文档,请选择 数字签名(插槽 9c). 点击 生成密钥 继续。
- 当系统要求输入 YubiKey PIN 码时,请输入该值,然后单击。 开锁.
-
在“主题”字段中输入可分辨名称 (DN)。此值用于标识个人或组织,并将显示在任何使用此证书签署的电子文档上。
- 以字符开头
CN=然后是您想要显示的名称,中间不要有空格。 - 计费示例:
CN=Example Company
请确保名称准确,因为最终用户将可以看到它。
对于 输出格式,选择 证书签名请求(CSR).
来自 算法 下拉列表,进行选择对于文件签署,请选择RSA2048.
最后,点击 已保存 按钮。
- 以字符开头
- 拯救 CSR 文件夹中的证书。
步骤2:产生证明书
每个YubiKey都预装有Yubico的私钥和证书,可让您生成一个 证明书 验证 YubiKey 上是否已生成私钥。此操作需要您使用 尤克曼 命令行界面 (CLI) 位于 YubiKey经理 计算机的文件夹。要访问 ykman CLI,您需要使用 Windows PowerShell中.
- 在电脑的搜索栏中输入 Windows PowerShell中右键单击并选择 以管理员身份运行macOS 和 Linux 用户应在其设备上打开终端窗口。
-
使用 cd 使用“更改目录”命令导航到 YubiKey 管理器文件并进行访问 尤克曼要在 Windows 系统上执行此操作,请在 PowerShell 的同一行中按顺序执行以下操作:
类型cd在 PowerShell 上
媒体中心 空间
复制 ykman 所在的文件夹路径,然后将其括起来。 双引号。 例:"C:\Program Files\Yubico\YubiKey Manager"媒体中心 输入
- Windows上:
cd“ C:\ Program Files \ Yubico \ YubiKey Manager”
- 苹果系统:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- 在Linux(Ubuntu)上,
ykman命令将已经安装在您的PATH,因此您可以跳过此步骤。
- Windows上:
- 使用 PowerShell 切换到 ykman 后,使用以下命令生成证明证书,该证书将以文本文件的形式保存。在 Windows 系统中,该命令如下所示:
.\ykman.exe piv keys attest 9c C:\Folder\Folder\attestation\attestationfilename
让我们来详细分析一下:
a. 将以下内容复制到 PowerShell:.\ykman.exe piv keys attest 9c
b. 在 PowerShell 的同一行中,复制要存储证明证书的文件夹路径。在您的计算机上选择/创建一个文件夹。例如:C:\Folder\Folder\attestation.
请确保选择/创建名称为单个单词或不包含空格的文件夹,以避免在 PowerShell 中输入命令时出现错误。
c. 想好你想用什么名称来命名证书。在复制到 PowerShell 的文件夹路径末尾,添加一个反斜杠 (\) 和你想用于证明证书的名称。例如:\attestationfilename
请确保生成的文件名中不包含特殊字符和空格,以避免在 PowerShell 中输入命令时出现错误。
d. 按压 输入 使用 PowerShell 最终生成证明证书文本文件。
输入命令后,请在您指定的计算机文件夹中检查证明文件是否已成功生成。该文件将以文本文件的形式存在,并沿用您设置的名称。打开后,文件内容将显示一串字母和数字,并以“”开头。 ––BEGIN证书- 在顶部和 -结束证书- 最后。
- Windows上:
.\ykman.exe piv keys attest 9c C:\Folder\Folder\attestation\attestationfilename
- Linux(Ubuntu):
ykman piv 密钥证明 9c 证明文件名.crt
- 苹果系统:
./ykman piv keys attest 9c ATTESTATION-FILENAME.crt
- Windows上:
- 接下来,使用
ykman从 YubiKey 的 f9 插槽导出中间证书的命令。证书将以文本文件格式保存。 命令如下所示:.\ykman.exe piv certificates export f9 C:\Folder\Folder\attestation\intermediatefilename
让我们来详细分析一下:
a. 在 PowerShell 中复制以下内容:.\ykman.exe piv certificates export f9b. 在您的计算机(例如“文档”)中选择或创建一个文件夹,用于导出中间证书。将文件夹地址复制到 PowerShell 中。例如:
C:\Folder\Folder\attestation
c. 为中间证书创建文件名。在文件名前添加反斜杠,并将其附加到已复制到 PowerShell 的文件夹地址末尾,中间不要有空格。例如:\intermediatefilename
d. 按压 输入输入命令后,中间证书将出现在指定文件夹中,名称为您设置的名称。打开后,您将看到一串字母和数字,开头是……-----BEGIN CERTIFICATE-----在顶部和-----END CERTIFICATE-----最后。
-
- Windows上:
.\ykman.exe piv 证书导出 f9 C:\Folder\Folder\attestation\intermediatefilename
- Linux(Ubuntu):
ykman piv证书导出f9 INTERMEDIATE-FILENAME.crt
- 苹果系统:
./ykman piv证书导出f9 INTERMEDIATE-FILENAME.crt
- Windows上:
步骤3:使用SSL.com验证证明证书并附加到订单
- 首先,用文本编辑器打开证明文件和中间证书。
- 登录到您的SSL.com用户帐户,然后导航到 订单管理 点击标签页。点击标有“ 详情 (针对新订单)或 download (针对旧订单)您希望与证明书关联的订单。(此链接将显示为 download (适用于签名证书已过期且需要更换的客户)。
注意: 如果您希望在不附加证明的情况下检查证明书的有效性,则可以使用SSL.com的 证明验证工具.
- 请在下方选择您的使用场景:
a. 对于拥有空白 YubiKey 的用户,请点击 管理 链接,在 证明.
b. 对于需要更换过期签名证书的客户,请点击 删除 首先点击链接删除之前针对已过期签名证书提交的证明文件。之后,点击 管理 链接.
- 将显示一个新页面,其中包含用于证明和中间证书的字段。
- 将证明证书粘贴到 证明书 字段,确保包括这些行
-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----.
- 接下来,将中间证书粘贴到 中级证书 领域。
- 点击 提交表单 按钮。
- 如果一切正常,则屏幕顶部将出现绿色警报,表明认证成功。
第四步:下载您的文件签署证书
- SSL.com 批准您的证明并颁发证书后,即可从您的用户帐户下载证书。为此,请点击 订单管理 从顶部菜单中选择。在列表中找到您的证书订单,然后点击。 download 链接。
- 进入下载页面后,向下滚动至 终端实体证书 部分并单击 显示详细资料向下滚动到标有“ 文件签名证书在右侧,您将看到证书的下载格式选项。 文件签名证书, 选择 个人证书 下载选项。这是一个包含三个证书文件的 zip 文件:最终实体证书、中间证书和根证书。
- 右键单击下载的 zip 文件。单击 提取所有…
- 选择文件解压位置,然后单击 提取 按钮。
- 打开包含已解压证书的文件夹。您会看到三个证书,但您只需要安装其中一个。 最终实体证书 这是一个 .CRT 文件 证书上会显示个人或组织的名称。现在,您可以开始安装证书了。
步骤 5:在 YubiKey 中安装文档签名证书
- 可选 Yubico身份验证器.
- 点击 科瑞证书,其次是 电子签名和 导入文件。
- 请输入您的 YubiKey PIN 码。
- 导航到证书提取所在的文件夹,然后单击您的最终实体文档签名证书。
- Yubico Authenticator 将显示您的证书详细信息。点击 导入模板 按钮。
- 您的证书现已成功安装。
文件签署证明故障排除
If SSL.com 如果您的证明文件被拒绝,原因可能是以下之一:
- 步骤1:在YubiKey上生成密钥对
- 您的证书签名请求(CSR) 被 Yubico 身份验证器拒绝
- 你必须把这些角色都写进去。
CN=在主题字段中。Yubico Authenticator 将拒绝该请求。 CSR 如果这件事没有做到。 - 选择支持的算法: RSA 2048 是唯一被文档签名证书接受的算法。
- 你必须把这些角色都写进去。
- 您的证书签名请求(CSR) 被 Yubico 身份验证器拒绝
- 步骤2:产生证明书
- 您无法访问 ykman CLI
- 您无法通过双击 YubiKey Manager 上的应用程序图标来访问 ykman。您只能先打开 PowerShell 等 shell 应用程序,然后使用“更改目录 (cd)”命令来运行它。
- 在 PowerShell 中输入 cd 命令时,字母和字母之间应该有一个空格。 cd 以及 ykman CLI 的文件夹路径。例如:
cd “C:\Program Files\Yubico\YubiKey Manager” - ykman CLI 文件夹路径应使用双引号括起来。例如:
“C:\Program Files\Yubico\YubiKey Manager”
- 认证证书和中间证书未生成。
- 请确保选择/创建名称为单个单词或不包含空格的文件夹,以避免在 PowerShell 中输入命令时出现错误。
- 请确保生成的文件名简短且为单个单词,不包含特殊字符,以避免在 PowerShell 中输入命令时出现错误。
- 您无法访问 ykman CLI
- 步骤3:使用SSL.com验证证明证书并附加到订单
- 我的证明文件和中间证书未能提交。 SSL.com 帐户
- 使用记事本等文本编辑器打开它们时,请务必复制文件的全部内容,包括…… ––BEGIN证书- 在顶部和 -结束证书- 最后。
- 我的证明文件和中间证书未能提交。 SSL.com 帐户
使用 YubiKey 对 Adobe PDF 和 Microsoft Office 文档进行数字签名的指南
- 使用 YubiKey 对 Microsoft Office 365 文档进行数字签名: 在 Microsoft Office 365 中安装文档签名证书以及添加或删除数字签名的分步说明。
- 使用 YubiKey 在 Adobe Acrobat Reader 中对 PDF 文件进行数字签名: 如何使用存储在 YubiKey 上的 SSL.com 文档签名证书在 Adobe Acrobat Reader 中对 PDF 文档进行签名。
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com 或者直接点击此页面右下角的聊天链接。您也可以在我们的网站上找到许多常见问题的解答。 知识库.
