YubiKey 5 FIPS CSR-Generierung und -Attestierung

Dieses Tutorial erklärt, wie Sie Ihren Code Signing-Auftrag mit der YubiKey 5 FIPS-Serie abschließen (Installation auf bestehendem HSM). Bevor Sie beginnen, müssen Sie ein YubiKey 5 FIPS HSM-Gerät besitzen und mit dessen Software vertraut sein.

Achtung! Diese Anleitung richtet sich an Windows-Benutzer. Für andere Betriebssysteme wenden Sie sich bitte an Yubico für spezifische Anweisungen.

YubiKey HSM-Attestierungspaket

Die USB-Token der YubiKey 5 FIPS-Serie können Bescheinigungszertifikate generieren, die für Ihren Code-Signierungsauftrag erforderlich sind. Ein Bescheinigungszertifikat, das vom Zwischenzertifikat (herunterladbar vom HSM) signiert ist, stimmt mit Ihrer CSR (Certificate Signing Request) überein und wird zusätzlich vom privaten YubiKey-Stammzertifikat signiert.

Ausführlichere technische Informationen über die YubiKey 5 FIPS-Serie und ihre PIV: FIPS 140-2-Fähigkeiten finden Sie in der Dokumentation YubiKey 5 FIPS-Serie Technisches Handbuch auf der Yubico-Website (yubico.com).

Dieser Dienst erwartet eine Base64-kodierte PEM-Zertifikatskette, die zwei Zertifikate enthält:

  • Attestierungszertifikat, das mit der angegebenen CSR übereinstimmt.
  • Zwischenzeugnis.

CSR generieren

Im Folgenden wird Schritt für Schritt beschrieben, wie Sie Ihre CSR und Ihr Bescheinigungszertifikat generieren und das Zwischenbescheinigungszertifikat von Ihrem YubiKey 5 FIPS HSM erhalten:

1. Legen Sie Ihren YubiKey 5 FIPS HSM ein und starten Sie den YubiKey Manager. Sie sollten Ihr YubiKey 5 FIPS-Gerät im Manager-Fenster angezeigt bekommen.

YubiKey FIPS-Manager

2. Gehen Sie zu Anwendungen > PIV

Abschnitt PIV

3. Wählen Sie Zertifikate.

Zertifikate auswählen

3. Wählen Sie Authentifizierung (Slot 9a) für EV Code Signing-Zertifikate und klicken Sie auf Erzeugen.

4. Wählen Sie Certificate Signing Request (CSR) und fahren Sie mit dem nächsten Schritt fort.

Antrag auf Unterzeichnung eines Zertifikats

5. Wählen Sie einen Algorithmus aus dem Dropdown-Menü und fahren Sie fort.

Hinweis: Bitte wählen Sie ECCP256 oder ECCP384 für EV Code Signing-Zertifikate, da YubiKey nur ECC-Algorithmen für EV Code Signing unterstützt.

Verschlüsselungsalgorithmen

6. Geben Sie den Subject Name für das Zertifikat ein(den Namen Ihrer offiziellen Organisation) und klicken Sie auf Weiter. Zur Veranschaulichung haben wir im folgenden Screenshot “SSL Dragon” als Firmennamen eingegeben.

Name des Unternehmens

7. Bestätigen Sie die angezeigten Details und klicken Sie auf Generieren.

Details bestätigen

8. Wählen Sie ein Verzeichnis und geben Sie einen erkennbaren Dateinamen an, um den CSR zur späteren Verwendung zu speichern.

Verzeichnis wählen

9. Geben Sie den Verwaltungsschlüssel Ihres YubiKey ein, wenn Sie dazu aufgefordert werden, und klicken Sie auf OK.

Management-Schlüssel

10. Geben Sie Ihre YubiKey-PIN ein, wenn Sie dazu aufgefordert werden, und klicken Sie auf OK.

PIN

Beglaubigungszertifikat generieren:

1. Öffnen Sie ein PowerShell-Fenster als Administrator.

Power Shell

2. Wechseln Sie in das YubiKey-Verzeichnis:

cd 'C:\ProgrammeYubico\YubiKey Manager'

3. Führen Sie den folgenden Befehl aus, um das Bescheinigungszertifikat zu erstellen (passen Sie den Pfad an, in dem Sie das Zertifikat speichern möchten):

.\ykman.exe piv keys attest -F PEM 9a .crt

4. Führen Sie den folgenden Befehl aus, um das Zwischenzertifikat zu erhalten:

.\ykman.exe piv Zertifikate exportieren -F PEM f9 intermediateCA.crt

5. Kombinieren Sie die Schlüssel attestation.crt und IntermediateCA.crt in einer Datei attestation.pem mit dem Befehl:

type attestation.crt intermediateCA.crt > attestation.pem

Sobald Sie diese Schritte abgeschlossen und sichergestellt haben, dass die Datei korrekt kodiert ist, können Sie die Datei attestation.pem als Teil Ihres Code Signing-Bestellformulars hochladen. Dieser Prozess stellt sicher, dass Ihre Code Signing-Zertifikate sicher generiert und für die Verwendung mit Ihrem YubiKey 5 FIPS HSM bereit sind.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.