Co potřebujeme
V tomto článku předpokládáme, že:
- již máte úspěšně vystavený Code-Signing certifikát v souboru CodeSigning.cer
- připravený YubiKey token, na kterém jste vygenerovali CSR žádost.
K importu Code-Signing certifikátu použijeme aplikaci YubiKey Manager (dostupná pro Linux, macOS i Windows).
Import Code-Signing certifikátu
Spusťte aplikaci YubiKey Manager.
V menu Applications vyberte PIV.
Pod Certificates klikněte na tlačítko Configure Certificates.
-
Na kartě Authentication klikněte na tlačítko Import.
- Předpokládáme, že jste CSR žádost vygenerovali v sekci Authentication (Slot 9a) podle návodu Generování CSR na YubiKey 5 (FIPS). Pokud jste klíče vygenerovali na jiném slotu, vyberte příslušnou kartu daného slotu a import certifikátu proveďte tam.
Procházením vyberte soubor CodeSigning.cer
Zadejte Management key, který jste nastavili při konfiguraci YubiKey tokenu a potvrďte kliknutím na tlačítko OK.
-
Zadejte PIN k YubiKey tokenu a klikněte na OK.
Na závěr nezapomeňte na YubiKey importovat i příslušné intermediate certifikáty a kořenový (root CA) certifikát.
Nejčastější potíže
I. Certifikát se nezobrazuje v certmgr.msc
A) Ujistěte se, že jsou ve Windows povolené certifikáty se silnými ECC klíči:
- Otevřete gpedit.msc, v levém panelu rozbalte Computer Configuration » Administrative Templates » Windows Components a vyberte Smart Card
- Zapněte Allow ECC certificates to be used for logon and authentication
- Zapněte Force the reading of all certificates from the smart card
- Restartujte
B) Zkontrolujte v Zařízeních, že je použit ovladač od výrobce (YubiKey Smart Card Minidriver) a nikoliv výchozí ovladač Windows.
II. Windows při podepisování nevyzve k zadání PIN
PIN může být uložen v cache paměti systému, pokud jste ho krátce předtím použili. Stačí YubiKey odpojit z počítače a znovu připojit.
Související