YubiKey 5 FIPS CSR 生成和认证

本教程介绍如何使用 YubiKey 5 FIPS 系列完成代码签名订单(在现有 HSM 上安装的方法)。 开始之前,您必须拥有 YubiKey 5 FIPS HSM 设备并熟悉其软件。

请注意本指南适用于 Windows 用户。 有关其他操作系统的具体说明,请咨询Yubico

YubiKey HSM 认证包

YubiKey 5 FIPS 系列 USB 令牌可生成代码签名订单所需的认证证书。 由中间证书(可从 HSM 下载)签名的证明证书与您的 CSR(证书签名请求)相匹配,并由 YubiKey 私有根证书进一步签名。

有关 YubiKey 5 FIPS 系列及其 PIV: FIPS 140-2 功能的更详细技术信息,请查阅 Yubico 网站 (yubico.com) 上的YubiKey 5 FIPS 系列技术手册文档

该服务需要一个包含两个证书的 Base64 编码 PEM 证书链:

  • 与给定 CSR 匹配的认证证书。
  • 中级证书。

生成企业社会责任

以下是生成 CSR 和验证证书以及从 YubiKey 5 FIPS HSM 获取中间验证证书的步骤:

1.插入 YubiKey 5 FIPS HSM 并启动 YubiKey 管理器。 您应该会看到 YubiKey 5 FIPS 设备显示在管理器窗口中。

YubiKey FIPS 管理器

2.转到应用程序 > PIV

PIV 科

3.选择证书

选择证书

3.为 EV 代码签名证书选择 “验证”(插槽 9a),然后单击 “生成“。

4.选择证书签名请求(CSR)并进入下一步。

证书签名请求

5.从下拉菜单中选择一种算法,然后继续。

注意:EV 代码签名证书请选择 ECCP256 或 ECCP384,因为 YubiKey 只支持 EV 代码签名的 ECC 算法。

加密算法

6.输入证书的主题名称(贵机构的正式名称),然后单击 “下一步“。 为便于演示,我们在下面的截图中输入了 “SSL Dragon “作为公司名称。

公司名称

7.确认显示的详细信息并单击 “生成“。

确认详细信息

8.选择一个目录并提供一个可识别的文件名,以保存 CSR 供以后使用。

选择目录

9.按提示输入 YubiKey 的管理密钥,然后单击 “确定“。

管理钥匙

10.按提示输入 YubiKey PIN 码,然后单击 “确定“。

密码

生成认证证书:

1.以管理员身份打开 PowerShell 窗口。

动力外壳

2.将目录更改为 YubiKey 目录:

cd 'C:\Program FilesYubico\YubiKey Manager

3.执行以下命令创建验证证书(调整保存证书的路径):

.ykman.exe piv keys attest -F PEM 9a .crt

4.执行以下命令获取中间证书:

.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt

5.使用命令将attestation.crt IntermediateCA.crt 密钥合并为一个文件attestation.pem

type attestation.crt intermediateCA.crt> attestation.pem

完成这些步骤并确保文件编码正确后,您就可以将 attestation.pem 文件作为代码签名订单的一部分上传。 此过程可确保安全生成代码签名证书,并可与 YubiKey 5 FIPS HSM 一起使用。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.