Geração e atestado de CSR FIPS do YubiKey 5

Este tutorial explica como concluir seu pedido de assinatura de código com o YubiKey 5 FIPS series (instalar no método HSM existente). Antes de começar, você deve ter um dispositivo YubiKey 5 FIPS HSM e estar familiarizado com seu software.

Atenção: Este guia é para usuários do Windows. Para outros sistemas operacionais, consulte a Yubico para obter instruções específicas.

Pacote de atestado do YubiKey HSM

Os tokens USB YubiKey 5 FIPS Series podem gerar certificados de atestado necessários para seu pedido de assinatura de código. Um certificado de atestado, assinado pelo certificado intermediário (que pode ser baixado do HSM), corresponde ao seu CSR (Certificate Signing Request, Solicitação de assinatura de certificado) e é assinado pelo certificado raiz privado do YubiKey.

Para obter informações técnicas mais detalhadas sobre o YubiKey 5 FIPS Series e seus recursos PIV: FIPS 140-2, consulte a documentação do Manual Técnico do YubiKey 5 FIPS Series no site da Yubico (yubico.com).

Esse serviço espera uma cadeia de certificados PEM codificada em Base64 contendo dois certificados:

  • Certificado de atestado que corresponde ao CSR fornecido.
  • Certificado intermediário.

Gerar CSR

Veja a seguir o processo passo a passo para gerar o CSR e o certificado de atestado, bem como para obter o certificado de atestado intermediário do seu YubiKey 5 FIPS HSM:

1. Insira o YubiKey 5 FIPS HSM e inicie o YubiKey Manager. Você deverá ver o dispositivo YubiKey 5 FIPS exibido na janela Manager.

YubiKey FIPS Manager

2. Acesse Aplicativos > PIV

Seção PIV

3. Selecione Certificados.

Selecionar certificados

3. Escolha Authentication (Slot 9a) para certificados de assinatura de código EV e clique em Generate (Gerar).

4. Selecione Solicitação de assinatura de certificado (CSR) e prossiga para a próxima etapa.

Solicitação de assinatura de certificado

5. Selecione um algoritmo no menu suspenso e continue.

Observação: Escolha ECCP256 ou ECCP384 para certificados de assinatura de código EV, pois o YubiKey suporta apenas algoritmos ECC para assinatura de código EV.

Algoritmos de criptografia

6. Digite o Subject Name do certificado(o nome oficial de sua organização) e clique em Next. Para fins de demonstração, inserimos “SSL Dragon” como o nome da empresa na captura de tela abaixo.

Nome da empresa

7. Confirme os detalhes mostrados e clique em Generate (Gerar).

Confirmar detalhes

8. Escolha um diretório e forneça um nome de arquivo reconhecível para salvar o CSR para uso posterior.

Selecionar diretório

9. Digite a chave de gerenciamento do YubiKey quando solicitado e clique em OK.

Chave de gerenciamento

10. Digite o PIN do YubiKey quando solicitado e clique em OK.

PIN

Gerar certificado de atestado:

1. Abra uma janela do PowerShell como administrador.

Concha de força

2. Mude o diretório para o diretório do YubiKey:

cd 'C:\Program FilesYubico\YubiKey Manager'

3. Execute o seguinte comando para criar o certificado de atestado (ajuste o caminho onde deseja salvar o certificado):

.\ykman.exe piv keys attest -F PEM 9a .crt

4. Execute o seguinte comando para obter o certificado intermediário:

.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt

5. Combine as chaves attestation.crt e IntermediateCA.crt em um arquivo attestation.pem com o comando:

type attestation.crt intermediateCA.crt > attestation.pem

Depois de concluir essas etapas e garantir que o arquivo esteja codificado corretamente, você poderá carregar o arquivo attestation.pem como parte do formulário de pedido de assinatura de código. Esse processo garante que os certificados de assinatura de código sejam gerados com segurança e estejam prontos para serem usados com o YubiKey 5 FIPS HSM.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.