Acest tutorial explică cum să completați comanda certificatului de semnare a codului cu YubiKey 5 FIPS series (instalarea pe modul hardware existent). Înainte de a începe, trebuie să dețineți un dispozitiv YubiKey 5 FIPS HSM și să fiți familiarizat cu software-ul acestuia.
Atenție: Acest ghid este destinat utilizatorilor de Windows. Pentru alte sisteme de operare, consultați Yubico și instrucțiunile specifice.
Pachet de atestare YubiKey HSM
Token-urile USB YubiKey 5 FIPS Series pot genera certificate de atestare necesare pentru comanda de semnare a codului. Un certificat de atestare, semnat de certificatul intermediar (care poate fi descărcat de pe HSM), se potrivește cu CSR (Certificate Signing Request) și este semnat în continuare de certificatul rădăcină privat YubiKey.
Pentru informații tehnice mai detaliate despre seria YubiKey 5 FIPS și capacitățile sale PIV: FIPS 140-2, vă rugăm să consultați seria YubiKey 5 FIPS de pe site-ul web Yubico (yubico.com).
Acest serviciu necesită un lanț de certificate PEM codificat Base64 care conține două certificate:
- Certificatul de atestare care se potrivește cu CSR-ul dat.
- Certificat intermediar.
Generați CSR
Iată procesul pas cu pas pentru a genera CSR-ul și certificatul de atestare, precum și pentru a obține certificatul de atestare intermediar de la YubiKey 5 FIPS HSM:
1. Introduceți YubiKey 5 FIPS HSM și lansați YubiKey Manager. Ar trebui să vedeți dispozitivul YubiKey 5 FIPS afișat în fereastra Manager.
2. Accesați Applications > PIV
3. Selectați Certificates (Certificate).
3. Alegeți Autentificare (Slot 9a) pentru certificatele de semnare a codului EV și faceți clic pe Generare.
4. Alegeți Certificate Signing Request (CSR) și treceți la pasul următor.
5. Selectați un algoritm din meniul derulant și continuați.
Notă: Vă rugăm să alegeți ECCP256 sau ECCP384 pentru certificatele de semnare a codului EV, deoarece YubiKey acceptă numai algoritmi ECC pentru semnarea codurilor EV.
6. Introduceți Subject Name (numele subiectului) pentru certificat(numele oficial al organizației dumneavoastră) și faceți clic pe Next (Următorul). În scopuri demonstrative, am introdus “SSL Dragon” ca nume de companie în captura de ecran de mai jos.
7. Confirmați detaliile afișate și faceți clic pe Generate.
8. Alegeți un director și furnizați un nume de fișier ușor de recunoscut pentru a salva CSR-ul pentru utilizare ulterioară.
9. Introduceți cheia de gestionare a YubiKey-ului dvs. atunci când vi se solicită și faceți clic pe OK.
10. Introduceți PIN-ul YubiKey atunci când vi se solicită și faceți clic pe OK.
Generarea certificatului de atestare:
1. Deschideți o fereastră PowerShell ca administrator.
2. Schimbați directorul în directorul YubiKey:
cd 'C:\Program FilesYubico\YubiKey Manager'
3. Executați următoarea comandă pentru a crea certificatul de atestare (ajustați calea în care doriți să salvați certificatul):
.\ykman.exe piv keys attest -F PEM 9a .crt
4. Executați următoarea comandă pentru a obține certificatul intermediar:
.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt
5. Combinați cheia de atestare. crt și IntermediateCA.crt într-un singur fișier attestare.pem cu comanda:
type attestation.crt intermediateCA.crt > atestare.pem
După ce ați finalizat acești pași și v-ați asigurat că fișierul este codificat corect, puteți încărca fișierul attestation.pem ca parte a formularului de comandă pentru semnarea codului. Acest proces asigură că certificatele de semnare a codurilor sunt generate în siguranță și gata de utilizare cu YubiKey 5 FIPS HSM.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10
