Generování CSR na YubiKey 5 (FIPS)

V tomto článku vysvětlíme jednoduchý návod, jak vygenerovat CSR pomocí YubiKey tokenu (FIPS) a HSM atestaci (resp. atestační certifikát).

Co potřebujeme

V tomto článku předpokládáme, že:

  • máte připraven některý z tokenů YubiKey řady 5 s označením FIPSKoupit,
  • nainstalovanou aplikaci YubiKey Manager (dostupná pro Linux, macOS i Windows)
  • a provedeno alespoň základní nastavení tokenu, tj. nastaveny kódy PIN, PUK a management key.

1/3 Generování CSR

Zobrazit ilustrativní snímky

  1. Otevřete aplikaci YubiKey Manager, v menu Applications vyberte PIV a klikněte na Configure Certificates.

  2. Na kartě Authentication (Slot 9a) klikněte na tlačítko Generate.

    Slot 9a či Slot 9c?

    Slot 9a (PIV Authentication) a Slot 9c (Digital Signature) nemají žádná omezení, co se klíčů týče. Rozdíl je pouze v zásadách PIN. Pro EV Code-Signing certifikát doporučujeme použít Slot 9a a pro OV/IV Code-Signing certifikát Slot 9c.

  3. Zvolte Certificate Signing Request (CSR) a klikněte na Next ›.

  4. Zvolte algoritmus ECCP256 nebo ECCP384 a klikněte na Next ›.

    • Algoritmy RSA1024 ani RSA2048 nelze použít.

  5. Do pole Subject zadejte úplný název organizace (pro OV a EV certifikát) či celé jméno a příjmení (pro IV certifikát) a klikněte na Next ›.

  6. Klikněte na Generate a následně budete vyzváni k:

    1. vybrání složky/adresáře pro uložení souboru s CSR (například jako zadost.csr),
    2. zadání kódů management key a PIN k YubiKey tokenu

2/3 Atestace HSM

Abychom prokázali, že CSR žádost byla vygenerována na zabezpečeném fyzickém tokenu YubiKey, potřebujeme k tomu HSM Atestaci — v tomto případě atestační certifikát a související intermediate certifikát.

Pozn.: Atestační certifikát je určen pro certifikační autoritu (CA) a slouží pouze k prokázání původu klíče.

K získání atestačního certifikátu a intermediate certifikátu použijeme nástroj ykman, který je součástí instalace aplikace YubiKey Manager.

Tip pro  macOS

Pro snazší práci doporučujeme přidat ykman do /etc/paths. ⇩ Zobrazit více

  1. Otevřete aplikaci Terminal a zadejte příkaz: sudo nano /etc/paths
  2. Přidejte nový řádek s hodnotou: /Applications/YubiKey Manager.app/Contents/MacOS
  3. Zavřete stiskem kombinace kláves Ctrl+X, potvrďte klávesou Y a stiskněte kombinaci kláves +Q.

Nyní můžete v aplikaci Terminal spustit příkaz ykman v kterémkoliv adresáři.

Tip pro Windows

Pro snazší práci doporučujeme přidat ykman do System Variables. ⇩ Zobrazit více

  1. Ve složce C:\Program Files\Yubico vytvořte soubor ykman.bat a do něj uložte tento řádek:

    @"C:\Program Files\Yubico\YubiKey Manager\ykman.exe" %*

  2. Klikněte na tlačítko Start a do vyhledávacího pole zadejte env. Z nabídnutých možností vyberte Edit the system environment variables.
  3. Klikněte na tlačítko Environment Variables… a v dolní sekci System Variables klikněte na Edit.
  4. Klikněte na tlačítko New a zadejte: C:\Program Files\Yubico
  5. Zavřete všechna okna opakovaným kliknutím na tlačítka OK a poté restartujte počítač.

Nyní můžete spustit příkaz ykman (lze i bez přípony .bat) v kterémkoliv adresáři.

Níže předpokládáme, že jste využili tipů (viz výše) pro váš operační systém. V operačním systému Linux by měl být příkaz ykman již přidán do $PATH.

  1. Otevřete příkazový řádek (Terminal, Console, cmd apod.).

  2. Vygenerujte atestační certifikát příkazem:

    ykman piv keys attest -F PEM 9a attestation.crt
    • Pokud jste pro generování CSR zvolili Slot 9c, upravte příkaz změnou 9a na 9c.
  3. Získejte intermediate certifikát příkazem:

    ykman piv certificates export -F PEM f9 intermediate.crt

3/3 Aktivace Code-Signing certifikátu

Nyní máme připraveno vše potřebné k aktivaci certifikátu:

  • CSR žádost vygenerovanou pomocí YubiKey FIPS tokenu v souboru zadost.csr
  • atestační certifikát v souboru attestation.crt
  • intermediate certifikát k atestačnímu certifikátu v souboru intermediate.crt

Tyto soubory vložíme do příslušných polí při aktivaci certifikátu podle ilustrativního snímku:

Aktivace Code-Signing certifikátu

Související

SSL certifikát / 169 Kč

Přejděte na důvěryhodný SSL certifikát AlpiroSSL se silným až 256-bit šifrováním a ušetřete.

EV SSL certifikáty

Chraňte svou reputaci a zajistěte maximální důvěryhodnost s TLS/SSL certifikátem s EV.

Multidoménové (SAN)

Skonsolidujte všechny své SSL certifikáty do jednoho multi-doménového SSL certifikátu!

Uživatel SSL Přihlášení

Zavřít

Přejít k registraci

Zavřít
Zavřít
Zavřít
Doporučené SSL certifikáty
Zavřít
Máte dotaz?
Napište nám
Nenašli jste řešení na stránce Podpora a Nejčastější dotazy?
Jméno a příjmení: E-mail:
Odesílám…Odeslat
Tato stránka používá soubory cookies. více informací

Souhlasím se všemi Pouze nezbytné