Beantragen eines Code-Signing-Zertifikat (GEANT/TCS)

Mit Code-Signing-Zertifikaten werden Anwendungen bzw. Software digital signiert. Damit kann sichergestellt werden, dass eine Anwendung wirklich von der angegebenen Quelle stammt und der Code nicht nachträglich geändert wurde.

Schriit 1) Verifikation

Alle Hochschuleangehörige (Mitarbeiter und Studierende) haben die Möglichkeit ein Zertifikat zu beantragen.

Bitte dafür bei einem der Rechenzentrumsmitarbeiter melden. Se bekommen dann eine Confirmation-Email.

Schritt 2 ) Request und Key Attestation auf Ihrem Rechner erstellen.

Unbedingt die Variante Yubikey 5 FIPS wählen. Yubikeys ohne den Zusatz FIPS können die erforderliche Key Attestation nicht erzeugen.

2a) Yubikey vorbereiten:

  • PIN setzen. Achtung: Es gibt Werkzeuge, die das Setzen von PINs mit einer Länge von mehr als 8 Zeichen erlauben. Diese werden von der PKCS11-Library ykcs11 nicht unterstützt, dort funktionieren nur PINs mit 6-8 Zeichen.

  • Default PIV Management Key vom Default 010203040506070801020304050607080102030405060708 auf was „richtiges“ umsetzen

  • PUK setzen.

2b) Schlüssel erzeugen und den öffentlichen Teil in eine Datei ausgeben:

 

yubico-piv-tool -a generate --slot=9c --pin-policy=once -k -A ECCP384 -o PublicKeyFile.key

 

pin-policy=once ermöglicht die Erstellung von mehreren Signaturen hintereinander mit nur einer PIN-Eingabe. Diese Option ist insbesondere für Windows signtool.exe notwendig, wenn MSI signiert werden.

2c) CSR erzeugen und in eine Datei ausgeben:

 

yubico-piv-tool -a verify-pin -a request-certificate --slot=9c  -i PublicKeyFile.key -S <subject dn> -o request.csr

 

(-S <subject_dn> mit Slash am Ende, z.B. -S „/CN=Jane Doe/“)

Sollte yubico-piv-tool mit der Fehlermeldung Failed signing request. scheitern, kann alternativ das Werkzeug ykman verwendet werden:

 

ykman piv certificates request -s "CN=Jane Doe" 9c PublicKeyFile.key request.csr

 

 

2d) Key Attestation erzeugen:

 

yubico-piv-tool --action=attest --slot=9c > Slot9cAttestation.pem

 

(funktioniert nur für nach dieser Anleitung erzeugte Keys, nicht für anderweitig importierte)

2e) Intermediate aus dem Yubikey auslesen

 

yubico-piv-tool --action=read-certificate --slot=f9 > intermediate.pem

 

 

2f) Attestation-Bundle für Sectigo Webinterface erzeugen

 

cat Slot9cAttestation.pem intermediate.pem > attestation_bundle.pem
base64 -w 64 attestation_bundle.pem > attestation_bundle.b64

 

 

Oder Windows:

 

type Slot9aAttestation.pem intermediate.pem > attestation.pem
certutil -encode attestation.pem attestation_bundle.pem
findstr /v CERTIFICATE attestation_bundle.pem > attestation_bundle.b64

 

 

Schritt 3 ) Antragsformular ausfüllen

über der Link in Ihrer Einladungs-Email

  • Die Datei request.csr aus Schritt 3 als CSR in das per E-Mail-Einladung übermittelte Formular eingeben

  • Den Inhalt der Datei attestation_bundle.b64 aus Schritt 6 in das Feld „Key Attestation“ eingeben

Schritt 4) Speichern des Zertifikats & Exportieren

Speichern Sie sich die Downloaddatei sicher ab.

Egal über welchen Browser sie Ihr Zertifikat speichern, wählen Sie zum Speichern ein Laufwerk, auf das sie auch gegebenfalls von einem anderen Rechner aus zugreifen können (z.B. Y-Laufwerk, siehe Datenspeicher/Filer).