YubiKey 5 FIPS Генерация и заверение CSR

В этом руководстве объясняется, как завершить заказ на подписание кода с помощью YubiKey 5 серии FIPS (метод установки на существующий HSM). Прежде чем начать, Вы должны владеть устройством YubiKey 5 FIPS HSM и быть знакомы с его программным обеспечением.

Внимание: Это руководство предназначено для пользователей Windows. Для других операционных систем обратитесь за специальными инструкциями в компанию Yubico.

Аттестационный пакет YubiKey HSM

USB-токены YubiKey 5 серии FIPS могут генерировать сертификаты аттестации, необходимые для заказа подписи кода. Аттестационный сертификат, подписанный промежуточным сертификатом (его можно загрузить с HSM), соответствует Вашему CSR (Certificate Signing Request) и далее подписывается частным корневым сертификатом YubiKey.

Для получения более подробной технической информации о серии YubiKey 5 FIPS и ее возможностях PIV: FIPS 140-2, пожалуйста, ознакомьтесь с документацией Технического руководства серии YubiKey 5 FIPS на сайте Yubico (yubico.com).

Эта служба ожидает цепочку сертификатов PEM в кодировке Base64, содержащую два сертификата:

  • Сертификат аттестации, соответствующий данному CSR.
  • Промежуточный сертификат.

Создать CSR

Вот пошаговый процесс генерации CSR и сертификата аттестации, а также получения промежуточного сертификата аттестации от YubiKey 5 FIPS HSM:

1. Вставьте Ваш YubiKey 5 FIPS HSM и запустите YubiKey Manager. Вы должны увидеть Ваше устройство YubiKey 5 FIPS, отображаемое в окне Manager.

YubiKey FIPS Manager

2. Перейдите в раздел Приложения > PIV.

Секция PIV

3. Выберите Сертификаты.

Выберите сертификаты

3. Выберите Authentication (Slot 9a) для сертификатов подписи кода EV и нажмите Generate.

4. Выберите Запрос на подписание сертификата (CSR) и перейдите к следующему шагу.

Запрос на подписание сертификата

5. Выберите алгоритм из выпадающего меню и продолжите.

Примечание: Пожалуйста, выберите ECCP256 или ECCP384 для сертификатов EV Code Signing, поскольку YubiKey поддерживает только алгоритмы ECC для EV Code Signing.

Алгоритмы шифрования

6. Введите имя субъекта сертификата(название Вашей официальной организации) и нажмите Далее. В демонстрационных целях мы ввели “SSL Dragon” в качестве названия компании на скриншоте ниже.

Название компании

7. Подтвердите указанные данные и нажмите кнопку Generate.

Подтвердить детали

8. Выберите директорию и укажите узнаваемое имя файла, чтобы сохранить CSR для последующего использования.

Выберите каталог

9. Введите ключ управления YubiKey, когда появится запрос, и нажмите OK.

Ключ управления

10. Введите PIN-код YubiKey, когда появится запрос, и нажмите OK.

PIN

Сгенерируйте сертификат аттестации:

1. Откройте окно PowerShell от имени администратора.

Power Shell

2. Измените каталог на каталог YubiKey:

cd 'C:\Program FilesYubico\YubiKey Manager'

3. Выполните следующую команду для создания сертификата аттестации (настройте путь, по которому Вы хотите сохранить сертификат):

.\ykman.exe piv keys attest -F PEM 9a .crt

4. Выполните следующую команду, чтобы получить промежуточный сертификат:

.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt

5. Объедините ключи attestation.crt и IntermediateCA.crt в один файл attestation.pem с помощью команды:

тип attestation.crt intermediateCA.crt > attestation.pem

Выполнив эти шаги и убедившись, что файл правильно закодирован, Вы можете загрузить файл attestation.pem как часть формы заказа на Подписание кода. Этот процесс гарантирует, что Ваши сертификаты подписи кода будут надежно сгенерированы и готовы к использованию с Вашим YubiKey 5 FIPS HSM.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.