Mit Code-Signing-Zertifikaten werden Anwendungen bzw. Software digital signiert. Damit kann sichergestellt werden, dass eine Anwendung wirklich von der angegebenen Quelle stammt und der Code nicht nachträglich geändert wurde.
Schriit 1) Verifikation
Alle Hochschuleangehörige (Mitarbeiter und Studierende) haben die Möglichkeit ein Zertifikat zu beantragen.
Bitte dafür bei einem der Rechenzentrumsmitarbeiter melden. Se bekommen dann eine Confirmation-Email.
Schritt 2 ) Request und Key Attestation auf Ihrem Rechner erstellen.
Unbedingt die Variante Yubikey 5 FIPS wählen. Yubikeys ohne den Zusatz FIPS können die erforderliche Key Attestation nicht erzeugen.
2a) Yubikey vorbereiten:
PIN setzen. Achtung: Es gibt Werkzeuge, die das Setzen von PINs mit einer Länge von mehr als 8 Zeichen erlauben. Diese werden von der PKCS11-Library ykcs11 nicht unterstützt, dort funktionieren nur PINs mit 6-8 Zeichen.
Default PIV Management Key vom Default 010203040506070801020304050607080102030405060708 auf was „richtiges“ umsetzen
PUK setzen.
2b) Schlüssel erzeugen und den öffentlichen Teil in eine Datei ausgeben:
yubico-piv-tool -a generate --slot=9c --pin-policy=once -k -A ECCP384 -o PublicKeyFile.key
pin-policy=once ermöglicht die Erstellung von mehreren Signaturen hintereinander mit nur einer PIN-Eingabe. Diese Option ist insbesondere für Windows signtool.exe notwendig, wenn MSI signiert werden.
2c) CSR erzeugen und in eine Datei ausgeben:
yubico-piv-tool -a verify-pin -a request-certificate --slot=9c -i PublicKeyFile.key -S <subject dn> -o request.csr
(-S <subject_dn> mit Slash am Ende, z.B. -S „/CN=Jane Doe/“)
Sollte yubico-piv-tool mit der Fehlermeldung Failed signing request. scheitern, kann alternativ das Werkzeug ykman verwendet werden:
ykman piv certificates request -s "CN=Jane Doe" 9c PublicKeyFile.key request.csr
2d) Key Attestation erzeugen:
yubico-piv-tool --action=attest --slot=9c > Slot9cAttestation.pem
(funktioniert nur für nach dieser Anleitung erzeugte Keys, nicht für anderweitig importierte)
2e) Intermediate aus dem Yubikey auslesen
yubico-piv-tool --action=read-certificate --slot=f9 > intermediate.pem
2f) Attestation-Bundle für Sectigo Webinterface erzeugen
cat Slot9cAttestation.pem intermediate.pem > attestation_bundle.pem base64 -w 64 attestation_bundle.pem > attestation_bundle.b64
Oder Windows:
type Slot9aAttestation.pem intermediate.pem > attestation.pem certutil -encode attestation.pem attestation_bundle.pem findstr /v CERTIFICATE attestation_bundle.pem > attestation_bundle.b64
Schritt 3 ) Antragsformular ausfüllen
über der Link in Ihrer Einladungs-Email
Die Datei request.csr aus Schritt 3 als CSR in das per E-Mail-Einladung übermittelte Formular eingeben
Den Inhalt der Datei attestation_bundle.b64 aus Schritt 6 in das Feld „Key Attestation“ eingeben
Schritt 4) Speichern des Zertifikats & Exportieren
Speichern Sie sich die Downloaddatei sicher ab.
Egal über welchen Browser sie Ihr Zertifikat speichern, wählen Sie zum Speichern ein Laufwerk, auf das sie auch gegebenfalls von einem anderen Rechner aus zugreifen können (z.B. Y-Laufwerk, siehe Datenspeicher/Filer).