Este tutorial explica cómo completar su pedido de firma de código con YubiKey 5 serie FIPS (instalar en el método HSM existente). Antes de empezar, debe poseer un dispositivo YubiKey 5 FIPS HSM y estar familiarizado con su software.
Atención: Esta guía es para usuarios de Windows. Para otros sistemas operativos, consulte a Yubico para obtener instrucciones específicas.
Paquete de certificación YubiKey HSM
Los tokens USB de la serie YubiKey 5 FIPS pueden generar los certificados de atestación necesarios para su pedido de firma de código. Un certificado de atestación, firmado por el certificado intermedio (descargable desde el HSM), coincide con su CSR (solicitud de firma de certificado) y, además, está firmado por el certificado raíz privado YubiKey.
Para obtener información técnica más detallada sobre la serie YubiKey 5 FIPS y sus capacidades PIV: FIPS 140-2, consulte la documentación del manual técnico de la serie YubiKey 5 FIPS en el sitio web de Yubico (yubico.com).
Este servicio espera una cadena de certificados PEM codificada en Base64 que contenga dos certificados:
- Certificado de atestación que coincide con la CSR dada.
- Certificado intermedio.
Generar CSR
Este es el proceso paso a paso para generar su CSR y certificado de atestación, así como para obtener el certificado de atestación intermedio de su YubiKey 5 FIPS HSM:
1. Inserte su YubiKey 5 FIPS HSM e inicie YubiKey Manager. Debería ver su dispositivo YubiKey 5 FIPS en la ventana del Administrador.
2. Vaya a Aplicaciones > PIV
3. Seleccione Certificados.
3. Elija Autenticación (ranura 9a) para los certificados de firma de código EV y haga clic en Generar.
4. Seleccione Solicitud de firma de certificado (CSR) y vaya al paso siguiente.
5. Seleccione un algoritmo en el menú desplegable y continúe.
Nota: Elija ECCP256 o ECCP384 para los certificados de firma de código EV, ya que YubiKey sólo admite algoritmos ECC para la firma de código EV.
6. Introduzca el Nombre del Sujeto para el certificado(el nombre oficial de su organización) y haga clic en Siguiente. Para fines de demostración, hemos introducido “SSL Dragon” como nombre de la empresa en la siguiente captura de pantalla.
7. Confirme los datos mostrados y haga clic en Generar.
8. Elija un directorio y proporcione un nombre de archivo reconocible para guardar el CSR para su uso posterior.
9. Introduzca la clave de administración de su YubiKey cuando se le solicite y haga clic en Aceptar.
10. Introduzca su PIN YubiKey cuando se le solicite y haga clic en Aceptar.
Generar certificado de atestación:
1. Abra una ventana de PowerShell como administrador.
2. Cambie el directorio al directorio YubiKey:
cd 'C:\Archivos de ProgramaYubico\YubiKey Manager'
3. Ejecute el siguiente comando para crear el certificado de atestación (ajuste la ruta donde desea guardar el certificado):
.\ykman.exe piv keys attest -F PEM 9a .crt
4. Ejecute el siguiente comando para obtener el certificado intermedio:
.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt
5. Combine la clave attestation .crt y IntermediateCA.crt en un archivo attestation.pem con el comando:
escriba attestation.crt intermediateCA.crt > attestation.pem
Una vez que haya completado estos pasos y se haya asegurado de que el archivo está codificado correctamente, puede cargar el archivo attestation.pem como parte de su formulario de pedido de Code Signing. Este proceso garantiza que sus certificados de firma de código se generen de forma segura y estén listos para su uso con su YubiKey 5 FIPS HSM.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10
