Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:dfnpki:tcs:codesigning [2023/09/14 16:44] – Juergen Brauckmann | de:dfnpki:tcs:codesigning [2024/02/01 16:33] (aktuell) – Juergen Brauckmann | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====Code Signing-Zertifikate==== | + | =====Code Signing-Zertifikate===== |
- | Die über die Oberfläche beziehbaren | + | Prinzipiell stehen zwei verschiedene |
+ | * OV Code Signing für die Signatur von Java JARs und MS Office Macros. | ||
+ | * Beantragung per E-Mail-Einladung aus SCM heraus | ||
+ | * Voraussetzung: | ||
+ | * Manueller Prozess auf Seiten von Sectigo mit Verzögerungen von wenigen Stunden bis mehrere Tagen. Bitte Support-Ticket mit "Order Number" | ||
- | ===E-Mail-Einladung=== | + | * EV Code Signing für Signaturen, die in Microsoft SmartScreen per Default ein höheres Vertrauen besitzen |
+ | * Kostenpflichtiger Prozess außerhalb von SCM | ||
- | Für die Erstellung von Code Signing-Zertifikaten ist eine gewisse Vorbereitung notwendig. Insbesondere muss in einem '' | + | ==== OV Code Signing ==== |
+ | |||
+ | ===Vorbereitung der E-Mail-Einladung=== | ||
+ | |||
+ | Für die Erstellung von OV-Code Signing-Zertifikaten | ||
- Im SCM unter ☰-> | - Im SCM unter ☰-> | ||
Zeile 18: | Zeile 27: | ||
- Einen sprechenden Namen für den Code Signing Web Form Account vergeben, der auf Ihre Einrichtung hindeutet. | - Einen sprechenden Namen für den Code Signing Web Form Account vergeben, der auf Ihre Einrichtung hindeutet. | ||
- Als " | - Als " | ||
- | - Als Zertifikatprofile stehen '' | + | - Als Zertifikatprofile stehen '' |
- | - '' | + | |
- Gewünschtes Zertifikatprofil aus der Drop-Down-Liste auswählen. | - Gewünschtes Zertifikatprofil aus der Drop-Down-Liste auswählen. | ||
- Als "CSR Generation Method" | - Als "CSR Generation Method" | ||
Zeile 39: | Zeile 47: | ||
Die eingegangenen Zertifikatanträge für Code Signing-Zertifikate bzw. die ausgestellten Code Signing-Zertifikate sind im SCM unterhalb von ☰-> | Die eingegangenen Zertifikatanträge für Code Signing-Zertifikate bzw. die ausgestellten Code Signing-Zertifikate sind im SCM unterhalb von ☰-> | ||
- | ===Erzeugen einer Key Attestation mit Yubikey FIPS=== | + | ===Vorgehen bei der Beantragung=== |
- | Für die Beantragung von Code Signing Zertifikaten auf einem selbst beschafften Yubikey FIPS muss wie folgt vorgegangen | + | Die Einladungs-E-Mail |
0. Bei der Beschaffung: | 0. Bei der Beschaffung: | ||
1. Yubikey vorbereiten: | 1. Yubikey vorbereiten: | ||
- | | + | * PIN setzen. Achtung: Es gibt Werkzeuge, die das Setzen von PINs mit einer Länge von mehr als 8 Zeichen erlauben. Diese werden von der PKCS11-Library ykcs11 |
- | | + | |
* Default PIV Management Key vom Default 010203040506070801020304050607080102030405060708 auf was " | * Default PIV Management Key vom Default 010203040506070801020304050607080102030405060708 auf was " | ||
* PUK setzen. | * PUK setzen. | ||
Zeile 53: | Zeile 60: | ||
2. Schlüssel erzeugen und den öffentlichen Teil in eine Datei ausgeben: | 2. Schlüssel erzeugen und den öffentlichen Teil in eine Datei ausgeben: | ||
< | < | ||
- | yubico-piv-tool -a generate --slot=9c -k -A ECCP384 -o PublicKeyFile.key | + | yubico-piv-tool -a generate --slot=9c |
</ | </ | ||
+ | |||
+ | '' | ||
3. CSR erzeugen und in eine Datei ausgeben: | 3. CSR erzeugen und in eine Datei ausgeben: | ||
Zeile 62: | Zeile 71: | ||
(-S < | (-S < | ||
+ | |||
+ | Sollte '' | ||
+ | < | ||
+ | ykman piv certificates request -s " | ||
+ | </ | ||
4. Key Attestation erzeugen: | 4. Key Attestation erzeugen: | ||
Zeile 67: | Zeile 81: | ||
yubico-piv-tool --action=attest --slot=9c > Slot9cAttestation.pem | yubico-piv-tool --action=attest --slot=9c > Slot9cAttestation.pem | ||
</ | </ | ||
- | (funktioniert nur für Onboard | + | (funktioniert nur für nach dieser Anleitung |
5. Intermediate aus dem Yubikey auslesen | 5. Intermediate aus dem Yubikey auslesen | ||
Zeile 88: | Zeile 102: | ||
7. Antrag stellen: | 7. Antrag stellen: | ||
- | * Die Datei request.csr aus Schritt 3 als CSR in das Formular eingeben | + | * Die Datei request.csr aus Schritt 3 als CSR in das per E-Mail-Einladung übermittelte |
* Den Inhalt der Datei attestation_bundle.b64 aus Schritt 6 in das Feld "Key Attestation" | * Den Inhalt der Datei attestation_bundle.b64 aus Schritt 6 in das Feld "Key Attestation" | ||
- | 8. Sectigo stellt das Zertifikat aus | + | 8. Sectigo bearbeitet den Antrag. Mit Stand 2024-01 handelt es sich um einen manuellen Prozess auf Seiten von Sectigo mit Verzögerungen von wenigen Stunden bis mehreren Tagen. Bitte erstellen Sie gegebenenfalls ein Support-Ticket nach [[de: |
+ | |||
+ | 9. Sectigo stellt das Zertifikat aus und verschickt eine E-Mail mit Links auf Zertifikatdateien | ||
- | 9. Aufspielen der von Sectigo gelieferten Zertifikatdatei aus dem Link "as Certificate only, PEM encoded:" | + | 10. Aufspielen der von Sectigo gelieferten Zertifikatdatei aus dem Link "as Certificate only, PEM encoded:" |
===Code Signing mit Yubikey FIPS=== | ===Code Signing mit Yubikey FIPS=== | ||
Zeile 115: | Zeile 131: | ||
- | === EV Code Signing === | + | ==== EV Code Signing |
EV Code Signing-Zertifikate, | EV Code Signing-Zertifikate, |