Dieses Tutorial erklärt, wie Sie Ihren Code Signing-Auftrag mit der YubiKey 5 FIPS-Serie abschließen (Installation auf bestehendem HSM). Bevor Sie beginnen, müssen Sie ein YubiKey 5 FIPS HSM-Gerät besitzen und mit dessen Software vertraut sein.
Achtung! Diese Anleitung richtet sich an Windows-Benutzer. Für andere Betriebssysteme wenden Sie sich bitte an Yubico für spezifische Anweisungen.
YubiKey HSM-Attestierungspaket
Die USB-Token der YubiKey 5 FIPS-Serie können Bescheinigungszertifikate generieren, die für Ihren Code-Signierungsauftrag erforderlich sind. Ein Bescheinigungszertifikat, das vom Zwischenzertifikat (herunterladbar vom HSM) signiert ist, stimmt mit Ihrer CSR (Certificate Signing Request) überein und wird zusätzlich vom privaten YubiKey-Stammzertifikat signiert.
Ausführlichere technische Informationen über die YubiKey 5 FIPS-Serie und ihre PIV: FIPS 140-2-Fähigkeiten finden Sie in der Dokumentation YubiKey 5 FIPS-Serie Technisches Handbuch auf der Yubico-Website (yubico.com).
Dieser Dienst erwartet eine Base64-kodierte PEM-Zertifikatskette, die zwei Zertifikate enthält:
- Attestierungszertifikat, das mit der angegebenen CSR übereinstimmt.
- Zwischenzeugnis.
CSR generieren
Im Folgenden wird Schritt für Schritt beschrieben, wie Sie Ihre CSR und Ihr Bescheinigungszertifikat generieren und das Zwischenbescheinigungszertifikat von Ihrem YubiKey 5 FIPS HSM erhalten:
1. Legen Sie Ihren YubiKey 5 FIPS HSM ein und starten Sie den YubiKey Manager. Sie sollten Ihr YubiKey 5 FIPS-Gerät im Manager-Fenster angezeigt bekommen.
2. Gehen Sie zu Anwendungen > PIV
3. Wählen Sie Zertifikate.
3. Wählen Sie Authentifizierung (Slot 9a) für EV Code Signing-Zertifikate und klicken Sie auf Erzeugen.
4. Wählen Sie Certificate Signing Request (CSR) und fahren Sie mit dem nächsten Schritt fort.
5. Wählen Sie einen Algorithmus aus dem Dropdown-Menü und fahren Sie fort.
Hinweis: Bitte wählen Sie ECCP256 oder ECCP384 für EV Code Signing-Zertifikate, da YubiKey nur ECC-Algorithmen für EV Code Signing unterstützt.
6. Geben Sie den Subject Name für das Zertifikat ein(den Namen Ihrer offiziellen Organisation) und klicken Sie auf Weiter. Zur Veranschaulichung haben wir im folgenden Screenshot “SSL Dragon” als Firmennamen eingegeben.
7. Bestätigen Sie die angezeigten Details und klicken Sie auf Generieren.
8. Wählen Sie ein Verzeichnis und geben Sie einen erkennbaren Dateinamen an, um den CSR zur späteren Verwendung zu speichern.
9. Geben Sie den Verwaltungsschlüssel Ihres YubiKey ein, wenn Sie dazu aufgefordert werden, und klicken Sie auf OK.
10. Geben Sie Ihre YubiKey-PIN ein, wenn Sie dazu aufgefordert werden, und klicken Sie auf OK.
Beglaubigungszertifikat generieren:
1. Öffnen Sie ein PowerShell-Fenster als Administrator.
2. Wechseln Sie in das YubiKey-Verzeichnis:
cd 'C:\ProgrammeYubico\YubiKey Manager'
3. Führen Sie den folgenden Befehl aus, um das Bescheinigungszertifikat zu erstellen (passen Sie den Pfad an, in dem Sie das Zertifikat speichern möchten):
.\ykman.exe piv keys attest -F PEM 9a .crt
4. Führen Sie den folgenden Befehl aus, um das Zwischenzertifikat zu erhalten:
.\ykman.exe piv Zertifikate exportieren -F PEM f9 intermediateCA.crt
5. Kombinieren Sie die Schlüssel attestation.crt und IntermediateCA.crt in einer Datei attestation.pem mit dem Befehl:
type attestation.crt intermediateCA.crt > attestation.pem
Sobald Sie diese Schritte abgeschlossen und sichergestellt haben, dass die Datei korrekt kodiert ist, können Sie die Datei attestation.pem als Teil Ihres Code Signing-Bestellformulars hochladen. Dieser Prozess stellt sicher, dass Ihre Code Signing-Zertifikate sicher generiert und für die Verwendung mit Ihrem YubiKey 5 FIPS HSM bereit sind.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10