Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:dfnpki:tcs:codesigning [2023/09/14 16:56] Juergen Brauckmannde:dfnpki:tcs:codesigning [2024/01/17 09:39] – [OV Code Signing] Juergen Brauckmann
Zeile 6: Zeile 6:
     * Beantragung per E-Mail-Einladung aus SCM heraus     * Beantragung per E-Mail-Einladung aus SCM heraus
     * Voraussetzung: Sie müssen einen Yubikey 5 FIPS besitzen     * Voraussetzung: Sie müssen einen Yubikey 5 FIPS besitzen
 +    * Manueller Prozess auf Seiten von Sectigo mit Verzögerungen von wenigen Stunden bis mehrere Tagen. Bitte Support-Ticket mit "Order Number" erstellen.
  
   * EV Code Signing für Signaturen, die in Microsoft SmartScreen per Default ein höheres Vertrauen besitzen   * EV Code Signing für Signaturen, die in Microsoft SmartScreen per Default ein höheres Vertrauen besitzen
Zeile 60: Zeile 61:
 2. Schlüssel erzeugen und den öffentlichen Teil in eine Datei ausgeben: 2. Schlüssel erzeugen und den öffentlichen Teil in eine Datei ausgeben:
 <code> <code>
-yubico-piv-tool -a generate --slot=9c -k -A ECCP384 -o PublicKeyFile.key+yubico-piv-tool -a generate --slot=9c --pin-policy=once -k -A ECCP384 -o PublicKeyFile.key
 </code> </code>
 +
 +''pin-policy=once'' ermöglicht die Erstellung von mehreren Signaturen hintereinander mit nur einer PIN-Eingabe. Diese Option ist insbesondere für Windows ''signtool.exe'' notwendig, wenn MSI signiert werden.
  
 3. CSR erzeugen und in eine Datei ausgeben: 3. CSR erzeugen und in eine Datei ausgeben:
Zeile 69: Zeile 72:
  
 (-S <subject_dn> mit Slash am Ende, z.B. -S "/CN=Jane Doe/") (-S <subject_dn> mit Slash am Ende, z.B. -S "/CN=Jane Doe/")
 +
 +Sollte ''yubico-piv-tool'' mit der Fehlermeldung ''Failed signing request.'' scheitern, kann alternativ das Werkzeug ''ykman'' verwendet werden:
 +<code>
 +ykman piv certificates request -s "CN=Jane Doe" 9c PublicKeyFile.key request.csr 
 +</code>
  
 4. Key Attestation erzeugen: 4. Key Attestation erzeugen:
Zeile 98: Zeile 106:
   * Den Inhalt der Datei attestation_bundle.b64 aus Schritt 6 in das Feld "Key Attestation" eingeben   * Den Inhalt der Datei attestation_bundle.b64 aus Schritt 6 in das Feld "Key Attestation" eingeben
  
-8. Sectigo stellt das Zertifikat aus und verschickt eine E-Mail mit Links auf Zertifikatdateien+8. Sectigo bearbeitet den Antrag. Mit Stand 2024-01 handelt es sich um einen manuellen Prozess auf Seiten von Sectigo mit Verzögerungen von wenigen Stunden bis mehreren Tagen. Bitte erstellen Sie gegebenenfalls ein Support-Ticket nach [[de:dfnpki:tcsfaq#support|Anleitung]]. Das Ticket muss die "Order Number" enthalten, die zu dem gestellten Antrag in SCM sichtbar ist.  
 + 
 +9. Sectigo stellt das Zertifikat aus und verschickt eine E-Mail mit Links auf Zertifikatdateien
  
-9. Aufspielen der von Sectigo gelieferten Zertifikatdatei aus dem Link "as Certificate only, PEM encoded:" auf den Yubikey, z.B. mit dem YubiKey Manager+10. Aufspielen der von Sectigo gelieferten Zertifikatdatei aus dem Link "as Certificate only, PEM encoded:" auf den Yubikey, z.B. mit dem YubiKey Manager
  
 ===Code Signing mit Yubikey FIPS=== ===Code Signing mit Yubikey FIPS===
  • Zuletzt geändert: vor 5 Monaten