В этом руководстве объясняется, как завершить заказ на подписание кода с помощью YubiKey 5 серии FIPS (метод установки на существующий HSM). Прежде чем начать, Вы должны владеть устройством YubiKey 5 FIPS HSM и быть знакомы с его программным обеспечением.
Внимание: Это руководство предназначено для пользователей Windows. Для других операционных систем обратитесь за специальными инструкциями в компанию Yubico.
Аттестационный пакет YubiKey HSM
USB-токены YubiKey 5 серии FIPS могут генерировать сертификаты аттестации, необходимые для заказа подписи кода. Аттестационный сертификат, подписанный промежуточным сертификатом (его можно загрузить с HSM), соответствует Вашему CSR (Certificate Signing Request) и далее подписывается частным корневым сертификатом YubiKey.
Для получения более подробной технической информации о серии YubiKey 5 FIPS и ее возможностях PIV: FIPS 140-2, пожалуйста, ознакомьтесь с документацией Технического руководства серии YubiKey 5 FIPS на сайте Yubico (yubico.com).
Эта служба ожидает цепочку сертификатов PEM в кодировке Base64, содержащую два сертификата:
- Сертификат аттестации, соответствующий данному CSR.
- Промежуточный сертификат.
Создать CSR
Вот пошаговый процесс генерации CSR и сертификата аттестации, а также получения промежуточного сертификата аттестации от YubiKey 5 FIPS HSM:
1. Вставьте Ваш YubiKey 5 FIPS HSM и запустите YubiKey Manager. Вы должны увидеть Ваше устройство YubiKey 5 FIPS, отображаемое в окне Manager.
2. Перейдите в раздел Приложения > PIV.
3. Выберите Сертификаты.
3. Выберите Authentication (Slot 9a) для сертификатов подписи кода EV и нажмите Generate.
4. Выберите Запрос на подписание сертификата (CSR) и перейдите к следующему шагу.
5. Выберите алгоритм из выпадающего меню и продолжите.
Примечание: Пожалуйста, выберите ECCP256 или ECCP384 для сертификатов EV Code Signing, поскольку YubiKey поддерживает только алгоритмы ECC для EV Code Signing.
6. Введите имя субъекта сертификата(название Вашей официальной организации) и нажмите Далее. В демонстрационных целях мы ввели “SSL Dragon” в качестве названия компании на скриншоте ниже.
7. Подтвердите указанные данные и нажмите кнопку Generate.
8. Выберите директорию и укажите узнаваемое имя файла, чтобы сохранить CSR для последующего использования.
9. Введите ключ управления YubiKey, когда появится запрос, и нажмите OK.
10. Введите PIN-код YubiKey, когда появится запрос, и нажмите OK.
Сгенерируйте сертификат аттестации:
1. Откройте окно PowerShell от имени администратора.
2. Измените каталог на каталог YubiKey:
cd 'C:\Program FilesYubico\YubiKey Manager'
3. Выполните следующую команду для создания сертификата аттестации (настройте путь, по которому Вы хотите сохранить сертификат):
.\ykman.exe piv keys attest -F PEM 9a .crt
4. Выполните следующую команду, чтобы получить промежуточный сертификат:
.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt
5. Объедините ключи attestation.crt и IntermediateCA.crt в один файл attestation.pem с помощью команды:
тип attestation.crt intermediateCA.crt > attestation.pem
Выполнив эти шаги и убедившись, что файл правильно закодирован, Вы можете загрузить файл attestation.pem как часть формы заказа на Подписание кода. Этот процесс гарантирует, что Ваши сертификаты подписи кода будут надежно сгенерированы и готовы к использованию с Вашим YubiKey 5 FIPS HSM.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10