Wie man unter Windows mit certreq eine Code Signing Csr generiert

Wichtiges Update!

Ab dem 1. Juni 2023 gilt eine neue Sicherheitsmaßnahme für Code Signing-Zertifikate. Alle Code Signing-Zertifikate müssen jetzt auf Hardware gespeichert werden, die bestimmte Sicherheitsstandards wie FIPS 140 Level 2, Common Criteria EAL 4+ oder vergleichbare Standards erfüllt.

Infolgedessen hat sich der Prozess der Beschaffung und Installation von Zertifikaten geändert. Zertifizierungsstellen unterstützen nicht mehr die browserbasierte Schlüsselgenerierung, die Erstellung von CSRs und die Installation von Zertifikaten auf Laptops oder Servern. Wenn Sie sich stattdessen für Token + Versand als Bereitstellungsmethode für die Codesignatur entscheiden, übernimmt die Zertifizierungsstelle die CSR-Erstellung. Wenn Sie es vorziehen, Ihr Hardware-Sicherheitsmodul (HSM) zu verwenden, lesen Sie die nachstehenden Anleitungen oder befolgen Sie die Anweisungen Ihres HSM-Anbieters zur CSR-Erstellung.

• YubiKey 5 FIPS CSR-Generierung und -Attestierung
• Luna Network Attached HSM v7.x: CSR & Attestierungsleitfaden

---

Der folgende Text enthält veraltete Informationen, die für die CSR-Erstellung für Code Signing-Zertifikate nicht mehr gelten.

Ab dem 1. Juni 2021 müssen Antragsteller für Code Signing-Zertifikate die Code Signing Baseline Requirements des CA/Browser Forums einhalten, die eine RSA-Schlüssellänge von mindestens 3072 Bit vorschreiben. Zur Erhöhung der Sicherheit empfehlen wir, eine Zertifikatsanforderung (Certificate Signing Request, CSR) mit einem 4096-Bit-Schlüssel zu erstellen.

Es gibt zahlreiche Methoden, um eine CSR für ein Code Signing-Zertifikat zu erstellen. In diesem Artikel zeigen wir Ihnen, wie Sie eine CSR mit dem Befehl CertReq in Windows erzeugen können.

Erstellen Sie die CSR mit certreq

Um den Befehl “certreq” zu verwenden, müssen Sie zunächst eine Datei “request.inf” mit einem Texteditor wie Notepad erstellen. Folgen Sie den nachstehenden Anweisungen, um eine request.inf-Datei zu erstellen und eine CSR für Ihr Code Signing-Zertifikat zu generieren.

Erstellen der Datei request.inf

Die Datei request.inf Datei sollte die “Subject Details” enthalten, die in den CSR aufgenommen werden müssen. Nachdem Sie die Datei request.inf erstellt haben, können Sie damit eine CSR erstellen.

Kopieren Sie den folgenden Inhalt in ein Textdokument und speichern Sie ihn als “request.inf”. Sie müssen nur die “Betreff”-Zeile durch die Angaben zu Ihrem Unternehmen ersetzen.

[NewRequest]

Ändern Sie den Ländercode (C), den allgemeinen Namen (CN), den Firmennamen (O), den Ort (L) und den Namen des Bundeslandes (S)

Betreff = “CN=Ihr Firmenname, O=Ihr Firmenname, L=Stadt, S=Bundesstaat, C=US”

SchlüsselSpec = 1

Schlüssellänge = 4096

Exportierbar = TRUE

MachineKeySet = FALSE

SMIME = Falsch

PrivateKeyArchive = FALSE

UserProtected = FALSE

UseExistingKeySet = FALSE

AnbieterName = “Microsoft RSA SChannel Cryptographic Provider”

AnbieterTyp = 12

AnfrageTyp = PKCS10

KeyUsage = 0xa0

HashAlgorithmus = SHA256

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.3 ; dies ist für die Code-Signierung

Erzeugen Sie die CSR über die Datei request.inf

Sobald Sie die Datei request.inf gespeichert haben, können Sie die Windows-Eingabeaufforderung verwenden, um eine CSR zu erstellen, indem Sie den folgenden Befehl eingeben:

CERTREQ -neue Anfrage.inf codesign.csr

Nach der Ausführung dieses Befehls wird ein neuer CSR erstellt und als Datei mit dem Namen “codesign.csr” gespeichert. Diese CSR können Sie dann bei der CA einreichen, um ein Code Signing-Zertifikat zu beantragen.

Letzte Schritte

Sobald Sie Ihr Code Signing-Zertifikat erhalten haben, müssen Sie es auf demselben Computer installieren. Führen Sie den folgenden Befehl aus:

certreq -akzeptieren Zertifikat.crt

Nachdem Sie das Zertifikat installiert haben, können Sie es in eine PFX-Datei exportieren. Das Verfahren zum Exportieren des Zertifikats kann je nach Betriebssystem und Ihrer spezifischen Software variieren. Im Allgemeinen können Sie das Zertifikat exportieren, indem Sie den Zertifikatsmanager öffnen, das Zertifikat auswählen und es als PFX-Datei exportieren.

Sobald Sie das Zertifikat in eine PFX-Datei exportiert haben, können Sie es verwenden, um Ihren Code zu signieren und seine Authentizität zu gewährleisten.