Questo tutorial spiega come completare il tuo ordine di firma del codice con YubiKey 5 FIPS (metodo di installazione su HSM esistente). Prima di iniziare, devi possedere un dispositivo HSM YubiKey 5 FIPS e conoscere il suo software.
Attenzione: Questa guida è rivolta agli utenti di Windows. Per altri sistemi operativi, consulta Yubico per ricevere istruzioni specifiche.
Pacchetto di attestazione HSM YubiKey
I token USB della serie YubiKey 5 FIPS possono generare certificati di attestazione necessari per il tuo ordine di firma del codice. Un certificato di attestazione, firmato dal certificato intermedio (scaricabile dall’HSM), corrisponde al tuo CSR (Certificate Signing Request) ed è ulteriormente firmato dal certificato radice privato di YubiKey.
Per informazioni tecniche più dettagliate sulla Serie YubiKey 5 FIPS e sulle sue funzionalità PIV: FIPS 140-2, consulta la documentazione del Manuale Tecnico della Serie YubiKey 5 FIPS sul sito web di Yubico (yubico.com).
Questo servizio si aspetta una catena di certificati PEM con codifica Base64 contenente due certificati:
- Certificato di attestazione che corrisponde al CSR indicato.
- Certificato intermedio.
Generare CSR
Ecco la procedura passo-passo per generare il CSR e il certificato di attestazione, nonché per ottenere il certificato di attestazione intermedio dal tuo YubiKey 5 FIPS HSM:
1. Inserisci il tuo HSM YubiKey 5 FIPS e lancia YubiKey Manager. Dovresti vedere il tuo dispositivo YubiKey 5 FIPS visualizzato nella finestra di Manager.

2. Vai su Applicazioni > PIV

3. Seleziona Certificati.

3. Scegli Autenticazione (Slot 9a) per i certificati di firma del codice EV e clicca su Genera.

4. Scegli la Richiesta di Firma del Certificato (CSR) e procedi al passo successivo.

5. Seleziona un algoritmo dal menu a discesa e continua.
Nota: scegli ECCP256 o ECCP384 per i certificati EV Code Signing, poiché YubiKey supporta solo algoritmi ECC per EV Code Signing.

6. Inserisci il nome del soggetto del certificato(il nome ufficiale della tua organizzazione) e clicca su Avanti. A scopo dimostrativo, nella schermata sottostante abbiamo inserito “SSL Dragon” come nome dell’azienda.

7. Conferma i dettagli indicati e clicca su Genera.

8. Scegli una directory e fornisci un nome di file riconoscibile per salvare il CSR per un uso successivo.

9. Inserisci la chiave di gestione della tua YubiKey quando ti viene richiesto e clicca su OK.

10. Inserisci il tuo PIN YubiKey quando ti viene richiesto e clicca su OK.

Genera il certificato di attestazione:
1. Apri una finestra PowerShell come amministratore.

2. Cambia la directory in quella di YubiKey:
cd 'C:\ProgrammiYubico\YubiKey Manager'
3. Esegui il seguente comando per creare il certificato di attestazione (imposta il percorso in cui vuoi salvare il certificato):
.\ykman.exe piv keys attest -F PEM 9a .crt
4. Esegui il seguente comando per ottenere il certificato intermedio:
.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt
5. Unisci le chiavi attestation.crt e IntermediateCA.crt in un unico file attestation.pem con il comando:
tipo attestation.crt intermediateCA.crt > attestation.pem
Una volta completati questi passaggi e assicurati che il file sia codificato correttamente, puoi caricare il file attestation.pem come parte del tuo modulo d’ordine per la firma del codice. Questo processo garantisce che i tuoi certificati di firma del codice siano generati in modo sicuro e pronti per essere utilizzati con il tuo YubiKey 5 FIPS HSM.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

