Import Code-Signing certifikátu na YubiKey

Co potřebujeme

V tomto článku předpokládáme, že:

• již máte úspěšně vystavený Code-Signing certifikát v souboru CodeSigning.cer
• připravený YubiKey token, na kterém jste vygenerovali CSR žádost.

K importu Code-Signing certifikátu použijeme aplikaci YubiKey Manager (dostupná pro Linux, macOS i Windows).

Import Code-Signing certifikátu

1. Spusťte aplikaci YubiKey Manager.

2. V menu Applications vyberte PIV.

3. Pod Certificates klikněte na tlačítko Configure Certificates.

4. Na kartě Authentication klikněte na tlačítko Import.

   • Předpokládáme, že jste CSR žádost vygenerovali v sekci Authentication (Slot 9a) podle návodu Generování CSR na YubiKey 5 (FIPS). Pokud jste klíče vygenerovali na jiném slotu, vyberte příslušnou kartu daného slotu a import certifikátu proveďte tam.

5. Procházením vyberte soubor CodeSigning.cer

6. Zadejte Management key, který jste nastavili při konfiguraci YubiKey tokenu a potvrďte kliknutím na tlačítko OK.

7. Zadejte PIN k YubiKey tokenu a klikněte na OK.

   • Na závěr nezapomeňte na YubiKey importovat i příslušné intermediate certifikáty a kořenový (root CA) certifikát.

Nejčastější potíže

I. Certifikát se nezobrazuje v certmgr.msc

A) Ujistěte se, že jsou ve Windows povolené certifikáty se silnými ECC klíči:

1. Otevřete gpedit.msc, v levém panelu rozbalte Computer Configuration » Administrative Templates » Windows Components a vyberte Smart Card
2. Zapněte Allow ECC certificates to be used for logon and authentication
3. Zapněte Force the reading of all certificates from the smart card
4. Restartujte

B) Zkontrolujte v Zařízeních, že je použit ovladač od výrobce (YubiKey Smart Card Minidriver) a nikoliv výchozí ovladač Windows.

II. Windows při podepisování nevyzve k zadání PIN

PIN může být uložen v cache paměti systému, pokud jste ho krátce předtím použili. Stačí YubiKey odpojit z počítače a znovu připojit.

Související

• Import intermediate a root na YubiKey
• Generování CSR na YubiKey 5 (FIPS)