SSL.com에서 Yubikey를 구입하면 인증서가 이미 설치되어 온다고 하는데, 가격이 비싸다.

Yubico에서 Yubikey를 직접 구입하면 1/3 정도의 가격으로 구매 가능하나, Yubikey용 인증서를 생성하고, import하는 작업을 해주어야 한다.

0. 사전작업

1) certmgr.msc 실행해서, 개인용 > 인증서에서 SSL.com 관련된 인증서 모두 삭제 후 재부팅한다.

(인증서 충돌 피하기 위함. 그냥 했더니 yubikey로 코드사인 안됨. 기존 eSigner용 인증서가 남아있어서, yubikey 인증서가 제대로 설치 안되었다 함)

1. Key Generation and Attestation with Yubikey

https://www.ssl.com/how-to/key-generation-and-attestation-with-yubikey/#install

1) Yubikey manager에서 attest, intermediate cert를 생성한다

2) SSL.com 로그인 > Order > attest manage에서 해당 cert를 입력하여 주문에 연결시킨다

3) SSL.com에서 해당 정보로 인증서 발급해주면, 다운받는다. (이미 인증서가 발급 되어 있었으면, chat 등을 통해 재발급 요청하면 다시 발급해줌)

4) 새로운 인증서 다운받고, Yubikey에 import 한다

- yubikey용 der로 설치해야 함

2. Install SSL.com Root and Intermediate Certificates on YubiKey

https://www.ssl.com/how-to/install-sslcom-root-and-intermediate-certificates-on-yubikey/

>> 가이드에 나온 명령어는 deprecated 되었다 함. 아래 명령어 사용

1) root 인증서를 설치한다

./ykman piv certificates import 82 "SSLcomEVRootCertificationAuthorityECC.pem" -m managementKey

2) intermediate 인증서를 설치한다

./ykman piv certificates import 83 "SSLcom-SubCA-EV-codeSigning-ECC-384-R2.pem" -m managementKey

3) 인증서가 제대로 설치되었는지 확인한다

./ykman piv certificates export 82 -
./ykman piv certificates export 83 -

4) Yubikey를 reject 했다가 다시 연결한다. certmgr.msc 화면 리프레쉬 해서, 컴퓨터에 Yubikey에서 인증서가 제대로 설치되었는지 확인한다.

3. Using Your Code Signing Certificate

https://www.ssl.com/how-to/using-your-code-signing-certificate/

1) 아래 명령을 통해 코드사인 진행한다.

signtool.exe sign /fd sha256 /tr http://ts.ssl.com /td sha256 /n "발급대상명(회사명)" "사인할.exe"

2) 코드사인이 제대로 되었는지 인증서 확인한다.