en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Yubikey的密钥生成和证明

出于...的目的 EV代码签名Adobe PDF数字签名,则要求安全生成私钥并将其存储在经过FIPS验证的外部硬件设备上,而不是存储在计算机上。 SSL.com 可选择预装 EV 代码签名和 PDF 文档签名证书 FIPS 140-2 验证的安全密钥 USB 令牌,但用户也可以在现有的 YubiKey 和 证明书 证明私钥是在设备上生成的。 然后,可以使用证明证书从SSL.com订购证书,该证书可以手动安装在YubiKey上。

Do 不能 如果您从 SSL.com 订购了 YubiKey 和证书,请按照这些说明进行操作,因为这些 YubiKey 随附预安装的证书。 本指南适用于想要在他们已经拥有的 YubiKey FIPS 上安装证书的客户。

此方法将指导您完成以下操作:

  • 产生一个 密钥对证明书 在您的Yubikey上
  • 验证 证明书,并将其与SSL.com EV代码签名或PDF文档签名顺序相关联
  • 安装 您在YubiKey中的新证书
请注意: 下面的屏幕截图来自Windows,但是操作步骤在Linux和macOS上几乎相同。 平台之间的差异如下所示。 Linux说明参考Ubuntu 19.10,并安装了YubiKey管理器 apt-get (请参见Yubico的 说明 想要查询更多的信息)。 YubiKey Manager也提供Linux AppImage。 下载页面. 另请注意,虽然这些说明使用 Yubico 的 Yubikey Manager 软件,但 SSL.com 的 3.0 版本 SSL Manager 支持 YubiKey上的密钥对生成和证书安装 适用于Windows用户。

步骤1:在YubiKey上生成密钥对

  1. 如果尚未下载并安装,请执行以下操作 YubiKey经理 从Yubico的网站。 提供Windows,Linux和macOS版本。
    YubiKey Manager下载
  2. 插入您的YubiKey,然后启动YubiKey Manager。 您的YubiKey应该显示在YubiKey Manager窗口中。
    YubiKey经理
  3. 导航 应用程序> PIV.
    应用程序> PIV
  4. 点击 配置证书 按钮。
    配置证书
  5. 选择您要在其中生成密钥对的YubiKey插槽的选项卡。 如果要购买EV代码签名证书,请选择 认证 (插槽9a)。 对于PDF文档签名,请选择 电子签名 (时隙 9c)。 (见尤比科的 文件 有关各种按键槽及其预期功能的更多信息; 它们的PIN输入策略不同)。 在这里,我们将使用插槽9a。
    认证(插槽9a)
  6. 点击 产生 按钮。
    产生
  7. 选择 证书签名请求(CSR),然后点击 下一页 按钮。
    证书签名请求(CSR)
  8. 选择一个 算法 从下拉菜单中。 对于文件签名,选择 RSA2048. 对于 EV 代码签名,选择 ECCP256 or ECCP384.
    选择算法
  9. 输入 主题名称 证书,然后单击 下一页 按钮。
    请注意: 我们实际上不会使用这个 CSR—它是创建新密钥对的副产品。 因此,您在此处输入主题名称实际上并不重要。
    主题名称
    用户在提交新订单时必须向 SSL.com 请求新的发行,发行不会自动发生。
  10. 点击 产生 按钮。
    生成
  11. 选择一个位置保存 CSR 文件,创建文件名,然后单击 优惠 按钮。
    优惠 CSR
  12. 输入您的YubiKey的 管理钥匙,然后点击 OK。 如果您需要管理密钥,请联系 Support@SSL.com.
    管理钥匙
  13. 输入您的YubiKey 密码,然后点击 OK。 如果您在查找PIN时需要帮助,请参阅 这个方法.
    输入PIN码
  14. 新的 CSR 文件将保存在您在上面的步骤11中指定的位置。 同样,我们不需要此文件继续进行,您可以安全地删除它。
    CSR 文件

步骤2:产生证明书

每个YubiKey都预装有Yubico的私钥和证书,可让您生成一个 证明书 验证是否已在YubiKey上生成了私钥。 此操作将要求您使用命令行。

  1. 在Windows中,以管理员身份打开PowerShell。 macOS和Linux用户应在其设备上打开一个终端窗口。
    以管理员身份打开PowerShell
  2. 使用以下命令导航到YubiKey Manager文件:
    • Windows上:
      cd“ C:\ Program Files \ Yubico \ YubiKey Manager”
    • 苹果系统:
      cd / Applications / YubiKey \ Manager.app/Contents/MacOS
    • 在Linux(Ubuntu)上, ykman 命令将已经安装在您的 PATH,因此您可以跳过此步骤。
  3. 使用以下命令为密钥生成证明证书(替换为 ATTESTATION-FILENAME.crt 带有您要使用的路径和文件名; 如果您使用的是插槽9c,请更换 9a9c):
    • Windows上:
      。\ ykman.exe piv密钥证明9a ATTESTATION-FILENAME.crt
    • Linux(Ubuntu):
      ykman piv密钥证明9a ATTESTATION-FILENAME.crt
    • 苹果系统:
      ./ykman piv键证明9a ATTESTATION-FILENAME.crt
  4. 接下来,使用 ykman 命令从YubiKey的插槽f9导出中间证书(替换 INTERMEDIATE-FILENAME.crt 以及您要使用的路径和文件名):
    • Windows上:
      。\ ykman.exe PIV证书导出f9 INTERMEDIATE-FILENAME.crt
    • Linux(Ubuntu):
      ykman piv证书导出f9 INTERMEDIATE-FILENAME.crt
    • 苹果系统:
      ./ykman piv证书导出f9 INTERMEDIATE-FILENAME.crt

步骤3:使用SSL.com验证证明证书并附加到订单

  1. 在这里,我们将使用来自YubiKey插槽9a的证明证书以及EV代码签名证书顺序。 (文档签名证书的过程是相同的。)首先,在文本编辑器中打开证明和中间证书。
    证明书
  2. 登录到您的SSL.com用户帐户,然后导航到 我的订单 标签,然后点击 详情 您要与证明证书关联的订单的链接。 (此链接将更改为 下载 在您的证书颁发之后。)
    请注意: 如果您希望在不附加证明的情况下检查证明书的有效性,则可以使用SSL.com的 证明验证工具.
    详情
  3. 点击 管理 链接,在 证明.
    管理链接
  4. 将显示一个新页面,其中包含用于证明和中间证书的字段。
    证明验证
  5. 将证明证书粘贴到 证明书 字段,确保包括这些行 -----BEGIN CERTIFICATE----------END CERTIFICATE-----.
    粘贴证明书
  6. 接下来,将中间证书粘贴到 中级证书 领域。
    中级证书字段
  7. 点击 提交 按钮。
    提交按钮
  8. 如果一切正常,则屏幕顶部将出现绿色警报,表明认证成功。
    成功证明
  9. 返回您帐户中的订单。 您可以通过存在标记为的链接来验证证明已添加到订单中 删除证明.
    删除连结
  10. SSL.com处理您的订单后,证书将在您的SSL.com帐户中可用。
    下载链接
  11. 选择 个人证书 格式下载时。
    个人证书下载链接
  12. 展开zip文件。 应该有三个证书文件:您的最终实体证书,中间证书和根证书。
    证书文件

警告: 在导入 ECC 证书(现在 YubiKey 上的 EV 代码签名需要)时,我们在最新版本的 YubiKey Manager 中看到了错误消息。 有两种可能的解决方法:

  • 推荐: 导入前将证书转换为 DER 格式。 这是一个直截了当的 使用 OpenSSL 进行转换 (更换 CERT.crtCERT.der 在以下命令中使用您的实际文件名):
    openssl x509 -outform der -in CERT.crt -out CERT.der
  • 如果您无法转换文件,请恢复为 较早的版本 YubiKey Manager 的也将起作用。 我们发现可以成功导入 ECC 的最新版本 .crt 从 SSL.com 下载的文件是 1.1.5.

步骤4:在YubiKey中安装证书

  1. 启动YubiKey Manager并导航到 应用程序> PIV.
    应用程序> PIV
  2. 点击 配置证书 按钮。
    配置证书
  3. 选择用于生成密钥对的相同YubiKey插槽的选项卡。
    认证(插槽9a)
  4. 点击 进口 按钮。
    导入按钮
  5. 导航到您的最终实体证书文件,然后单击 进口 按钮。
    进口证明书
  6. 输入您的YubiKey的 管理钥匙,然后点击 OK。 如果您需要管理密钥,请联系 Support@SSL.com.
    管理钥匙
  7. 新的EV代码签名证书已安装在YubiKey中。
    证书已安装
  8. 为确保数字签名在所有计算机上均受信任,还应在YubiKey上安装根证书和中间证书以获得完整的信任链。 请按照以下说明进行root和中间安装: 在YubiKey上安装SSL.com根证书和中间证书.
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。 您还可以在我们的网站上找到许多常见支持问题的答案 知识库.

订阅 SSL.com 的时事通讯

不要错过SSL.com上的新文章和更新