本教程介绍如何使用 YubiKey 5 FIPS 系列完成代码签名订单(在现有 HSM 上安装的方法)。 开始之前,您必须拥有 YubiKey 5 FIPS HSM 设备并熟悉其软件。
请注意本指南适用于 Windows 用户。 有关其他操作系统的具体说明,请咨询Yubico。
YubiKey HSM 认证包
YubiKey 5 FIPS 系列 USB 令牌可生成代码签名订单所需的认证证书。 由中间证书(可从 HSM 下载)签名的证明证书与您的 CSR(证书签名请求)相匹配,并由 YubiKey 私有根证书进一步签名。
有关 YubiKey 5 FIPS 系列及其 PIV: FIPS 140-2 功能的更详细技术信息,请查阅 Yubico 网站 (yubico.com) 上的YubiKey 5 FIPS 系列技术手册文档。
该服务需要一个包含两个证书的 Base64 编码 PEM 证书链:
- 与给定 CSR 匹配的认证证书。
- 中级证书。
生成企业社会责任
以下是生成 CSR 和验证证书以及从 YubiKey 5 FIPS HSM 获取中间验证证书的步骤:
1.插入 YubiKey 5 FIPS HSM 并启动 YubiKey 管理器。 您应该会看到 YubiKey 5 FIPS 设备显示在管理器窗口中。
2.转到应用程序 > PIV
3.选择证书。
3.为 EV 代码签名证书选择 “验证”(插槽 9a),然后单击 “生成“。
4.选择证书签名请求(CSR)并进入下一步。
5.从下拉菜单中选择一种算法,然后继续。
注意:EV 代码签名证书请选择 ECCP256 或 ECCP384,因为 YubiKey 只支持 EV 代码签名的 ECC 算法。
6.输入证书的主题名称(贵机构的正式名称),然后单击 “下一步“。 为便于演示,我们在下面的截图中输入了 “SSL Dragon “作为公司名称。
7.确认显示的详细信息并单击 “生成“。
8.选择一个目录并提供一个可识别的文件名,以保存 CSR 供以后使用。
9.按提示输入 YubiKey 的管理密钥,然后单击 “确定“。
10.按提示输入 YubiKey PIN 码,然后单击 “确定“。
生成认证证书:
1.以管理员身份打开 PowerShell 窗口。
2.将目录更改为 YubiKey 目录:
cd 'C:\Program FilesYubico\YubiKey Manager
3.执行以下命令创建验证证书(调整保存证书的路径):
.ykman.exe piv keys attest -F PEM 9a .crt
4.执行以下命令获取中间证书:
.\ykman.exe piv certificates export -F PEM f9 intermediateCA.crt
5.使用命令将attestation.crt和 IntermediateCA.crt 密钥合并为一个文件attestation.pem:
type attestation.crt intermediateCA.crt> attestation.pem
完成这些步骤并确保文件编码正确后,您就可以将 attestation.pem 文件作为代码签名订单的一部分上传。 此过程可确保安全生成代码签名证书,并可与 YubiKey 5 FIPS HSM 一起使用。