出于...的目的 EV代码签名 和 Adobe PDF数字签名,则要求安全生成私钥并将其存储在经过FIPS验证的外部硬件设备上,而不是存储在计算机上。 SSL.com 可选择预装 EV 代码签名和 PDF 文档签名证书 FIPS 140-2 验证的安全密钥 USB 令牌,但用户也可以在现有的 YubiKey 和 证明书 证明私钥是在设备上生成的。 然后,可以使用证明证书从SSL.com订购证书,该证书可以手动安装在YubiKey上。
Do 而不去 如果您从 SSL.com 订购了 YubiKey 和证书,请按照这些说明进行操作,因为这些 YubiKey 随附预安装的证书。 本指南适用于想要在他们已经拥有的 YubiKey FIPS 上安装证书的客户。
此方法将指导您完成以下操作:
请注意: 下面的屏幕截图来自Windows,但是操作步骤在Linux和macOS上几乎相同。 平台之间的差异如下所示。 Linux说明参考Ubuntu 19.10,并安装了YubiKey管理器
apt-get
(请参见Yubico的 说明 想要查询更多的信息)。 YubiKey Manager也提供Linux AppImage。 下载页面. 另请注意,虽然这些说明使用 Yubico 的 Yubikey Manager 软件,但 SSL.com 的 3.0 版本 SSL Manager 支持 YubiKey上的密钥对生成和证书安装 适用于Windows用户。步骤1:在YubiKey上生成密钥对
- 如果尚未下载并安装,请执行以下操作 YubiKey经理 从Yubico的网站。 提供Windows,Linux和macOS版本。
- 插入您的YubiKey,然后启动YubiKey Manager。 您的YubiKey应该显示在YubiKey Manager窗口中。
- 导航 应用程序> PIV.
- 点击 配置证书 按钮。
- 选择您要在其中生成密钥对的YubiKey插槽的选项卡。 如果要购买EV代码签名证书,请选择 认证 (插槽9a)。 对于PDF文档签名,请选择 电子签名 (时隙 9c)。 (见尤比科的 文件 有关各种按键槽及其预期功能的更多信息; 它们的PIN输入策略不同)。 在这里,我们将使用插槽9a。
- 点击 产生 按钮。
- 选择 证书签名请求(CSR),然后点击 点击下一页 按钮。
- 选择一个 算法 从下拉菜单中。 对于文件签名,选择
RSA2048
. 对于 EV 代码签名,选择ECCP256
orECCP384
.
- 输入 主题名称 证书,然后单击 点击下一页 按钮。
请注意: 我们实际上不会使用这个 CSR—它是创建新密钥对的副产品。 因此,您在此处输入主题名称实际上并不重要。用户在提交新订单时必须向 SSL.com 请求新的发行,发行不会自动发生。 - 点击 产生 按钮。
- 选择一个位置保存 CSR 文件,创建文件名,然后单击 已保存 按钮。
- 输入您的YubiKey的 管理钥匙,然后点击 OK。 如果您需要管理密钥,请联系 Support@SSL.com.
- 输入您的YubiKey 密码,然后点击 OK。 如果您在查找PIN时需要帮助,请参阅 这个方法.
- 这款 CSR 文件将保存在您在上面的步骤11中指定的位置。 同样,我们不需要此文件继续进行,您可以安全地删除它。
步骤2:产生证明书
每个YubiKey都预装有Yubico的私钥和证书,可让您生成一个 证明书 验证是否已在YubiKey上生成了私钥。 此操作将要求您使用命令行。
- 在Windows中,以管理员身份打开PowerShell。 macOS和Linux用户应在其设备上打开一个终端窗口。
- 使用以下命令导航到YubiKey Manager文件:
- Windows上:
cd“C:\Program Files\Yubico\YubiKey Manager”
- 苹果系统:
cd /Applications/YubiKey Manager.app/Contents/MacOS
- 在Linux(Ubuntu)上,
ykman
命令将已经安装在您的PATH
,因此您可以跳过此步骤。
- Windows上:
- 使用以下命令为密钥生成证明证书。选择/创建计算机中要存储证明证书的文件夹。替换 C:\文件夹\文件夹\attestation\attestation文件名 替换为要使用的路径和文件名。如果您使用了插槽 9c,请替换 9a - 9c:
- Windows上:
.\ykman.exe piv keys attest 9a C:\Folder\Folder\attestation\attestationfilename
- Linux(Ubuntu):
ykman piv密钥证明9a ATTESTATION-FILENAME.crt
- 苹果系统:
./ykman piv键证明9a ATTESTATION-FILENAME.crt
- Windows上:
- 接下来,使用
ykman
命令从 YubiKey 的 f9 插槽导出中间证书。 在计算机中选择/创建要导出中间证书的文件夹。替换 C:\文件夹\文件夹\attestation\intermediatefilename 以及您要使用的路径和文件名):- Windows上:
.\ykman.exe piv 证书导出 f9 C:\Folder\Folder\attestation\intermediatefilename
- Linux(Ubuntu):
ykman piv证书导出f9 INTERMEDIATE-FILENAME.crt
- 苹果系统:
./ykman piv证书导出f9 INTERMEDIATE-FILENAME.crt
- Windows上:
步骤3:使用SSL.com验证证明证书并附加到订单
- 在这里,我们将使用来自YubiKey插槽9a的证明证书以及EV代码签名证书顺序。 (文档签名证书的过程是相同的。)首先,在文本编辑器中打开证明和中间证书。
- 登录到您的SSL.com用户帐户,然后导航到 订单管理 标签,然后点击 详情 您要与证明证书关联的订单的链接。 (此链接将更改为 下载 在您的证书颁发之后。)
请注意: 如果您希望在不附加证明的情况下检查证明书的有效性,则可以使用SSL.com的 证明验证工具. - 点击 管理 链接,在 证明.
- 将显示一个新页面,其中包含用于证明和中间证书的字段。
- 将证明证书粘贴到 证明书 字段,确保包括这些行
-----BEGIN CERTIFICATE-----
和-----END CERTIFICATE-----
.
- 接下来,将中间证书粘贴到 中级证书 领域。
- 点击 提交 按钮。
- 如果一切正常,则屏幕顶部将出现绿色警报,表明认证成功。
- 返回您帐户中的订单。 您可以通过存在标记为的链接来验证证明已添加到订单中 删除 下 证明.
- SSL.com 处理您的订单后,证书将在您的 SSL.com 帐户中可用。从订单详细信息页面,向下滚动至 终端实体证书 部分并单击 显示详细资料.
- 向下滚动到标记的小节 代码签名证书 or 文件签名证书,取决于您的订单。在右侧,您将看到证书的下载链接。
- 如果你有一个 文件签名证书, 选择 个人证书 下载选项。这是一个包含三个证书文件的 zip 文件:最终实体证书、中间证书和根证书。
- 如果你有一个 代码签名证书, 选择 用于 YUBIKEY 安装 (DER).
- 如果你有一个 文件签名证书, 选择 个人证书 下载选项。这是一个包含三个证书文件的 zip 文件:最终实体证书、中间证书和根证书。
警告: 在导入 ECC 证书(现在 YubiKey 上的 EV 代码签名需要)时,我们在最新版本的 YubiKey Manager 中看到了错误消息。 有两种可能的解决方法:
- 推荐: 导入前将证书转换为 DER 格式。 这是一个直截了当的 使用 OpenSSL 进行转换 (更换
CERT.crt
和CERT.der
在以下命令中使用您的实际文件名):
openssl x509 -outform der -in CERT.crt -out CERT.der
- 如果您无法转换文件,请恢复为 较早的版本 YubiKey Manager 的也将起作用。 我们发现可以成功导入 ECC 的最新版本
.crt
从 SSL.com 下载的文件是1.1.5
.
步骤4:在YubiKey中安装证书
- 启动YubiKey Manager并导航到 应用程序> PIV.
- 点击 配置证书 按钮。
- 选择用于生成密钥对的相同YubiKey插槽的选项卡。
- 点击 导入模板 按钮。
- 导航到您的最终实体证书文件,然后单击 导入模板 按钮。
- 输入您的YubiKey的 管理钥匙,然后点击 OK。 如果您需要管理密钥,请联系 Support@SSL.com.
- 新的EV代码签名证书已安装在YubiKey中。
- 为确保数字签名在所有计算机上均受信任,还应在YubiKey上安装根证书和中间证书以获得完整的信任链。 请按照以下说明进行root和中间安装: 在YubiKey上安装SSL.com根证书和中间证书.
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。 您还可以在我们的网站上找到许多常见支持问题的答案 知识库.