在YubiKey上安装SSL.com根证书和中间证书

本操作方法将向您展示如何使用Yubico的 ykman 命令行实用程序，用于使用SSL.com在YubiKey上安装SSL.com中间证书和根证书 EV代码签名 or 商业身份 证书。 为了避免某些计算机上的签名文档和代码出现信任错误，可能需要执行此过程。

1. 下载并安装 YubiKey经理 from Yubico's website.从Yubico的网站。 Versions for Windows, Linux, and macOS are available.提供Windows，Linux和macOS版本。 In this how-to, we won't be using the YubiKey Manager itself, but rather the在本操作方法中，我们将不会使用YubiKey Manager本身，而是使用 ykman 随它一起安装的实用程序。
   
2. 下载适用于您的文档签名或 EV 代码签名证书的 SSL.com 根证书和中级证书。如果您的证书是通过 SSL.com 的 FIPS 140-2 验证的安全密钥 USB 令牌发送的，则它将具有 ECDSA 密钥。对于已在 SSL.com 的 eSigner 云代码签名服务中注册的证书，它将具有 RSA 密钥。查看我们的 专用页面 供电子签名者了解更多信息。
   • 文件签署（RSA）：
     • SSL.com根证书颁发机构RSA
     • SSL.com客户端证书中级CA RSA R2
   • 文件签署（ECDSA）：
     • SSL.com EV根证书颁发机构ECC
     • 客户端证书中级CA ECC R2
   • EV代码签名（RSA）：
     • SSL.com EV根证书颁发机构RSA R2
     • SSL.com EV代码签名中级CA RSA R3
   • EV代码签名（ECDSA）：
     • SSL.com EV根证书颁发机构ECC
     • SSL.com EV代码签名中级CA ECC R2
3. 使用以下命令导航到YubiKey Manager文件：
   • Windows上：

     cd“ C：\ Program Files \ Yubico \ YubiKey Manager”

   • 苹果系统：

     $ cd / Applications / YubiKey Manager.app/Contents/MacOS

   • 在Linux（Ubuntu）上， ykman 命令将已经安装在您的 PATH，因此您可以跳过此步骤。
4. 使用这些命令将您在步骤 2 中下载的根证书和中间证书安装在 YubiKey 的 82 和 83 插槽上。将大写字母中的值替换为您下载的证书的路径。请注意文本 .pem 应包含在文件名中。如果在输入命令后提示您输入管理密钥，请输入管理密钥的值。您可以使用 默认管理密钥 以防你还没有改变它。 （如果您需要安装超过 root 或中级权限，您可以使用从 82 到 95 的任何 YubiKey 插槽。）
   • Windows上：

     ./ykman.exe piv 导入证书 82 “PATH\TO\ROOT\CERTIFICATE.pem” ./ykman.exe piv 导入证书 83 “PATH\TO\INTERMEDIATE\CERTIFICATE.pem

   • 苹果系统：

     $ ./ykman piv导入证书82 /PATH/TO/ROOT/CERTIFICATE.pem -m管理密钥$ ./ykman piv导入证书83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m管理密钥

   • Linux（Ubuntu）：

     $ ykman piv导入证书82 /PATH/TO/ROOT/CERTIFICATE.pem -m管理密钥$ ykman piv导入证书83 /PATH/TO/INTERMEDIATE/CERTIFICATE.pem -m管理密钥
     

5. ykman 不会产生任何输出来通知您何时安装了证书，但是您可以通过以下操作确认安装 ykman export-certificate. 例如，以下命令将在标准输出中显示插槽 82 中的证书的文本格式。要进一步验证，您可以使用文本编辑器打开下载的根证书和中间证书，例如 记事本 并比较这些是否与在ykman上输入命令后显示的文本版本相同。
   • Windows上：

     .\ykman.exe piv 证书导出 82 -

   •  苹果系统：

     ./ykman piv出口证书82-

   • Linux（Ubuntu）：

     ykman piv出口证书82-

6. After installing these certificates on your YubiKey, your code and/or documents will be signed with a complete chain of trust, so you will not experience trust issues on computers that are missing the intermediate in their trust stores.在YubiKey上安装这些证书之后，您的代码和/或文档将带有完整的信任链进行签名，因此在缺少其信任库中的中间件的计算机上，您将不会遇到信任问题。 Note that you may need to disconnect the YubiKey from your computer and reconnect it for the changes to take effect when signing.请注意，您可能需要从计算机上断开YubiKey的连接，然后重新连接它，以使更改在签名时生效。

注意SSL 代码签名证书的私钥无法导出，证书也不能以可下载的 .pfx 文件形式颁发。证书必须使用经批准的安全选项生成和存储，例如符合 FIPS 140-2 标准的 YubiKey USB 令牌、SSL 的 eSigner 云签名服务或受支持的云 HSM。