Ce tutoriel explique comment compléter votre ordre de signature de code avec YubiKey 5 FIPS series (méthode d’installation sur un HSM existant). Avant de commencer, vous devez posséder un dispositif YubiKey 5 FIPS HSM et vous familiariser avec son logiciel.
Attention : Ce guide s’adresse aux utilisateurs de Windows. Pour les autres systèmes d’exploitation, consultez Yubico pour des instructions spécifiques.
Kit d’attestation HSM YubiKey
Les jetons USB YubiKey 5 FIPS Series peuvent générer les certificats d’attestation nécessaires à votre ordre de signature de code. Un certificat d’attestation, signé par le certificat intermédiaire (téléchargeable depuis le HSM), correspond à votre CSR (Certificate Signing Request) et est ensuite signé par le certificat racine privé de YubiKey.
Pour des informations techniques plus détaillées sur la série YubiKey 5 FIPS et ses capacités PIV : FIPS 140-2, veuillez consulter la documentation du manuel technique de la série YubiKey 5 FIPS sur le site web de Yubico (yubico.com).
Ce service attend une chaîne de certificats PEM codée en Base64 contenant deux certificats :
- Certificat d’attestation correspondant au CSR donné.
- Certificat intermédiaire.
Générer de la RSE
Voici la procédure étape par étape pour générer votre CSR et votre certificat d’attestation, ainsi que pour obtenir le certificat d’attestation intermédiaire de votre YubiKey 5 FIPS HSM :
1. Insérez votre YubiKey 5 FIPS HSM et lancez le YubiKey Manager. Vous devriez voir votre dispositif YubiKey 5 FIPS affiché dans la fenêtre du gestionnaire.
2. Allez sur Applications > PIV
3. Sélectionnez Certificats.
3. Choisissez Authentification (Slot 9a) pour les certificats de signature de code EV et cliquez sur Générer.
4. Choisissez Demande de signature de certificat (CSR) et passez à l’étape suivante.
5. Sélectionnez un algorithme dans le menu déroulant et continuez.
Note : Veuillez choisir ECCP256 ou ECCP384 pour les certificats de signature de code EV, car YubiKey ne prend en charge que les algorithmes ECC pour la signature de code EV.
6. Saisissez le nom du sujet du certificat(le nom de votre organisation officielle) et cliquez sur Suivant. À des fins de démonstration, nous avons saisi “SSL Dragon” comme nom d’entreprise dans la capture d’écran ci-dessous.
7. Confirmez les détails affichés et cliquez sur Générer.
8. Choisissez un répertoire et donnez un nom de fichier reconnaissable pour enregistrer le CSR en vue d’une utilisation ultérieure.
9. Saisissez la clé de gestion de votre YubiKey lorsque vous y êtes invité et cliquez sur OK.
10. Saisissez votre code PIN YubiKey lorsque vous y êtes invité et cliquez sur OK.
Générer un certificat d’attestation :
1. Ouvrez une fenêtre PowerShell en tant qu’administrateur.
2. Changez de répertoire et passez au répertoire YubiKey :
cd 'C:\NProgram FilesYubico\NYubiKey Manager' (C:\NProgram FilesYubico\NYubiKey Manager)
3. Exécutez la commande suivante pour créer le certificat d’attestation (adaptez le chemin d’accès où vous souhaitez enregistrer le certificat) :
.\ykman.exe piv keys attest -F PEM 9a .crt
4. Exécutez la commande suivante pour obtenir le certificat intermédiaire :
.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt
5. Combinez les clés attestation.crt et IntermediateCA.crt dans un fichier attestation.pem avec la commande :
type attestation.crt intermediateCA.crt > attestation.pem
Une fois que vous avez terminé ces étapes et que vous vous êtes assuré que le fichier est correctement encodé, vous pouvez télécharger le fichier attestation.pem dans le cadre de votre formulaire de commande Code Signing. Ce processus garantit que vos certificats de signature de code sont générés en toute sécurité et prêts à être utilisés avec votre YubiKey 5 FIPS HSM.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
