Este tutorial explica como concluir seu pedido de assinatura de código com o YubiKey 5 FIPS series (instalar no método HSM existente). Antes de começar, você deve ter um dispositivo YubiKey 5 FIPS HSM e estar familiarizado com seu software.
Atenção: Este guia é para usuários do Windows. Para outros sistemas operacionais, consulte a Yubico para obter instruções específicas.
Pacote de atestado do YubiKey HSM
Os tokens USB YubiKey 5 FIPS Series podem gerar certificados de atestado necessários para seu pedido de assinatura de código. Um certificado de atestado, assinado pelo certificado intermediário (que pode ser baixado do HSM), corresponde ao seu CSR (Certificate Signing Request, Solicitação de assinatura de certificado) e é assinado pelo certificado raiz privado do YubiKey.
Para obter informações técnicas mais detalhadas sobre o YubiKey 5 FIPS Series e seus recursos PIV: FIPS 140-2, consulte a documentação do Manual Técnico do YubiKey 5 FIPS Series no site da Yubico (yubico.com).
Esse serviço espera uma cadeia de certificados PEM codificada em Base64 contendo dois certificados:
- Certificado de atestado que corresponde ao CSR fornecido.
- Certificado intermediário.
Gerar CSR
Veja a seguir o processo passo a passo para gerar o CSR e o certificado de atestado, bem como para obter o certificado de atestado intermediário do seu YubiKey 5 FIPS HSM:
1. Insira o YubiKey 5 FIPS HSM e inicie o YubiKey Manager. Você deverá ver o dispositivo YubiKey 5 FIPS exibido na janela Manager.
2. Acesse Aplicativos > PIV
3. Selecione Certificados.
3. Escolha Authentication (Slot 9a) para certificados de assinatura de código EV e clique em Generate (Gerar).
4. Selecione Solicitação de assinatura de certificado (CSR) e prossiga para a próxima etapa.
5. Selecione um algoritmo no menu suspenso e continue.
Observação: Escolha ECCP256 ou ECCP384 para certificados de assinatura de código EV, pois o YubiKey suporta apenas algoritmos ECC para assinatura de código EV.
6. Digite o Subject Name do certificado(o nome oficial de sua organização) e clique em Next. Para fins de demonstração, inserimos “SSL Dragon” como o nome da empresa na captura de tela abaixo.
7. Confirme os detalhes mostrados e clique em Generate (Gerar).
8. Escolha um diretório e forneça um nome de arquivo reconhecível para salvar o CSR para uso posterior.
9. Digite a chave de gerenciamento do YubiKey quando solicitado e clique em OK.
10. Digite o PIN do YubiKey quando solicitado e clique em OK.
Gerar certificado de atestado:
1. Abra uma janela do PowerShell como administrador.
2. Mude o diretório para o diretório do YubiKey:
cd 'C:\Program FilesYubico\YubiKey Manager'
3. Execute o seguinte comando para criar o certificado de atestado (ajuste o caminho onde deseja salvar o certificado):
.\ykman.exe piv keys attest -F PEM 9a .crt
4. Execute o seguinte comando para obter o certificado intermediário:
.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt
5. Combine as chaves attestation.crt e IntermediateCA.crt em um arquivo attestation.pem com o comando:
type attestation.crt intermediateCA.crt > attestation.pem
Depois de concluir essas etapas e garantir que o arquivo esteja codificado corretamente, você poderá carregar o arquivo attestation.pem como parte do formulário de pedido de assinatura de código. Esse processo garante que os certificados de assinatura de código sejam gerados com segurança e estejam prontos para serem usados com o YubiKey 5 FIPS HSM.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
