YubiKeyを使用する際に必要なツールは以下のとおりです。

macOS Windows 10/8.1/8/7 Linux
ドライバ 標準
macOS(Token D)
必要
MS-CAPI (Minidriver)
標準
(一部手動)
PKCS#11 ライブラリ 必要 不要
Firefox/Acrobatは必要
必要
YubiKey Manager 必要 必要 必要
yubico-piv-tool 任意 任意 任意

システム要件は以下のとおりです。

  • Mac OS: Requires 10.13 or later (unless otherwise stated).
  • Microsoft Windows: Windows 8.1 or later (server installations require Windows Server 2012 or later).
  • Linux: Requires current CCID and USB libraries (updated within the last 2 years).

YubiKeyを使用するための準備

MS-CAPI (Minidriver)

WindowsでYubiKeyを使うためには Minidriver のインストールが必要です。Minidriverは下記のリンクからダウンロードできます。ドライバインストール後、デバイスマネージャーでPC接続周辺機器をみるとYubiKeyはスマートカードとして認識されます。

※ ツール&ソフトウエアをダウンロードすることにより、Yubicoウェブサイトの利用規約および各ダウンロードツールやソフトウエアのライセンスに同意したことになります。

PKCS#11 ライブラリ

PKCS#11準拠のアプリケーションでYubiKeyを使用するためにはPKCS#11ライブラリのインストールが必要です。汎用的なスマートカード用ライブラリ・ツールである OpenSCをインストールすることでYubiKeyのスマートカード(PIV)機能を利用することができます。

YubiKey Manager(GUIツール)

YubiKey ManagerはUSBを介してYubiKeyの設定を行うためのデイバス管理アプリケーションです。

YubiKey ManagerはYubiKeyのスマートカード(PIV)機能とFIDO2やOTPといったYubiKeyアプリケーション機能の両方の管理機能を提供し、YubiKeyデバイスのPIN変更やデバイス初期化、YubiKeyに証明書格納などをおこなうことができます。

参考

yubico-piv-tool(CLIツール)

YubiKeyコマンドラインツールはより高度な構成オプションを提供します。

その他YubiKeyに関連するソフトウエアはこちらからご確認いただけます。

YubiKeyの初期セットアップ

ユーザーPIN設定と変更

YubiKeyを接続したらデフォルトPIN値(123456)がまだ設定されている場合は、ユーザーのPINを変更する必要があります。 ユーザーが自分のWindowsアカウントにログインすると、PCに接続されているYubiKeyのユーザーPINを次のように変更できます。

  1. Windowsで Ctrl + Alt + Delを使用してロック画面に入ります
  2. 表示されるオプションから[パスワードの変更]を選択します
  3. ユーザーは、現在のPINと新しいPINの入力を求められます
  4. Enterキーを押して、新しいユーザーPINを登録します

もちろんYubiKey ManagerからPINの変更を行うことも可能です。

  1. YubiKey Managerを開き、[Application] > [PIV]を選択する
  2. 設定選択画面のうち、PIV Managementの[Configure PINs]を選択する
  3. 設定選択画面のうち、PINの[Change PIN]を選択する
  4. Change PIN画面で
    • Current PIN(現在のPIN)
    • New PIN(新しく設定したいPIN)
    • Confirm new PIN(新しく設定したいPINをもう一度入力)
    • を入力し、[Change PIN]ボタンを押して実行する

PINブロック解除

デフォルトでは、3つの連続した正しくないPINが入力されると、ユーザーPINはブロックされます。 PINブロック解除コード(PUK:管理者PIN)は、ユーザーPINのブロックを解除するために使用されます。

  1. YubiKey Managerを開き、[Application] > [PIV]を選択する
  2. 設定選択画面のうち、PIV Managementの[Configure PINs]を選択する
  3. 画面左の PINに「PIN is blocked.」表記を確認して、[Unblock PIN]ボタンを押します
  4. Unblock PIN画面で
    • PUK(管理者PIN)
    • New PIN(新しく設定したいPIN)
    • Confirm new PIN(新しく設定したいPINをもう一度入力)
    • を入力し、[Unblock PIN]ボタンを押して実行する

PIVとは

米国政府機関が発行するPersonal Identity Verification Card(PIV)カードのことです。Yubico社は一般的な表現でいう電子証明書を搭載するICカード(スマートカード)をPIVカードやPIVと表記されることがあります。

スマートカード/PIVのリセット

PINとPUKの両方がブロックされている場合は、YubiKeyをリセットする必要があります。これにより、ロードされた証明書がすべて削除され、YubiKeyが工場出荷時のデフォルト状態に戻ります。

  1. YubiKey Managerを開き、[Application] > [PIV]を選択する
  2. 設定選択画面のうち、Resetの[Reset PIV]を選択する
  3. [YES]ボタンを押してPIVのリセットを行います

Windows7におけるPUK

Windows 7のログオンインターフェイスを介してPINのブロックを解除する場合、WindowsではPINのブロック解除コード(PUK)を16進数として入力する必要があります。 つまり、PUKが12345678の場合、Windows UIを介してピンのロックを解除するには、PUK文字列のASCII 16進エンコードされたバイトを入力する必要があります(この場合、ロック解除コードは3132333435363738になります)。 16進数でPUKをエンコードするには、ASCIIチャート(たとえばwww.asciitable.com)を参照してください。

ユーザー証明書のインポート

YubiKey Managerを使用して.pfxファイルをYubiKeyにインポートします

  1. YubiKey Managerを開き、[Application]>[PIV]を選択する
  2. 設定選択画面のうち、Certificateの[Configure Certificate]を選択する
  3. 証明書をインポートするスロットを選択する。図はAuthentication(スロット9a)の場合を表しています。
  4. 既存の証明書をインポートするには、[Import]を選択する
  5. インポートする.pfxファイルを参照し、[Open]を選択する
  6. 証明書に設定されたパスワードを入力して[OK]をクリックする
  7. PINを入力し、[OK]をクリックする

WindowsでPKCS#11準拠のアプリケーションを使用する

Yubikeyを利用するアプリケーションの一部には、アプリケーションからYubiKeyへのアクセスにMinidriverではなくPKCS#11を利用するアプリがあります。このPKCS#11ライブラリを利用するタイプのアプリケーションには、Firefox, Acrobatなどがあります。これらのアプリケーションでYubiKeyを利用するにはアプリケーションでPKCS#11を設定する必要があります。OpenSC版PKCS#11ライブラリを含むOpenSCをダウンロードしてインストールしてください。

Firefox PKCS#11の組み込み設定

  1. 設定画面を開き[プライバシーとセキュリティ]を選択する
  2. 設定項目のうち、[セキュリティ] > [証明書] > [セキュリティデバイス]を選択する
  3. OpenSCがインストールされているとセキュリティモジュールとデバイスに[OpenSC smartcard framework(0.20)]が表示されます。OpenSCをインストールしていて表示されない場合は、画面右の[追加]ー[参照]ボタンからopensc-pkcs11.dllファイルのファイルパスを指定してください
  4. [OK]をクリックしてFirefoxを終了します
  5. YubiKeyをPCに挿入し、デバイスの認識を確認した後、Firefoxを起動します

Acrobat Reader DC PKCS#11の組み込み設定

  1. 環境設定 > 署名(電子署名) > デジタルIDと信頼済み証明書 の設定 メニューがあり、この中にPKCS#11モジュールおよびトークン画面に [モジュールを追加]を設定する項目がありこれを開く
  2. OpenSCがインストールされている場合は、画面の[モジュールを追加]ー[ファイル名指定]からopensc-pkcs11.dllファイルのファイルパスを指定してください
  3. OKをクリックしてAcrobat Reader DCを終了します
  4. YubiKeyをPCに接続して認識させた後に、Acrobat Reader DCを起動させてください

yubico-piv-toolでの設定

  • デバイスの状態確認
    $ yubico-piv-tool -a status
    Version:        5.2.7
    Serial Number:  14205486
    CHUID:  3019d4e739da749ced39ce73fd836858210842108421c84210c3eb3410fa29e2e9752be84ddda12ebea12d2a3c450842306330303130323e00fe00
    CCC:    No data available
    PIN tries left: 3
  • PINの確認(例 現在のPINが123456かどうかを確認する)
    $ yubico-piv-tool -a verify-pin -P123456
    Successfully verified PIN.
  • PINの変更(YubiKey Managerからも変更可能)(例 PINを123456から654321に変更する)
    $ yubico-piv-tool -a change-pin -P123456 -N654321
    Successfully changed the pin code.
  • PINリトライ回数の変更(例 PIN 654321 でPINのリトライ回数を15回、PUKのリトライ回数を15回に変更する)
    $ yubico-piv-tool -a verify-pin -N654321 -a pin-retries --pin-retries=15 --puk-retries=15
    Successfully verified PIN.
    Successfully changed pin retries to 15 and puk retries to 15, both codes have been reset to default now.
  • yubico-piv-toolコマンドの使い方(例 ヘルプの表示)
    $ yubico-piv-tool -h
    yubico-piv-tool 2.1.1
    Usage: yubico-piv-tool [OPTIONS]...
    
    -h, --help               Print help and exit
        --full-help          Print help, including hidden options, and exit
    -V, --version            Print version and exit
    -v, --verbose[=INT]      Print more information  (default=`0')
    -r, --reader=STRING      Only use a matching reader  (default=`Yubikey')
    -k, --key[=STRING]       Management key to use, if no value is specified key
                               will be asked for
                               (default=`010203040506070801020304050607080102030405060708')
    -a, --action=ENUM        Action to take  (possible values="version",
                               "generate", "set-mgm-key", "reset",
                               "pin-retries", "import-key",
                               "import-certificate", "set-chuid",
                               "request-certificate", "verify-pin",
                               "change-pin", "change-puk", "unblock-pin",
                               "selfsign-certificate", "delete-certificate",
                               "read-certificate", "status",
                               "test-signature", "test-decipher",
                               "list-readers", "set-ccc", "write-object",
                               "read-object", "attest")
    ...略...

参考