So erzeugen Sie eine CSR für ein Code Signing Certificate über Java Keystore

Wichtiges Update!

Ab dem 1. Juni 2023 gilt eine neue Sicherheitsmaßnahme für Code Signing-Zertifikate. Alle Code Signing-Zertifikate müssen jetzt auf Hardware gespeichert werden, die bestimmte Sicherheitsstandards wie FIPS 140 Level 2, Common Criteria EAL 4+ oder vergleichbare Standards erfüllt.

Infolgedessen hat sich der Prozess der Beschaffung und Installation von Zertifikaten geändert. Zertifizierungsstellen unterstützen nicht mehr die browserbasierte Schlüsselgenerierung, die Erstellung von CSRs und die Installation von Zertifikaten auf Laptops oder Servern. Wenn Sie sich stattdessen für Token + Versand als Bereitstellungsmethode für die Codesignatur entscheiden, übernimmt die Zertifizierungsstelle die CSR-Erstellung. Wenn Sie es vorziehen, Ihr Hardware-Sicherheitsmodul (HSM) zu verwenden, lesen Sie die nachstehenden Anleitungen oder befolgen Sie die Anweisungen Ihres HSM-Anbieters zur CSR-Erstellung.

• YubiKey 5 FIPS CSR-Generierung und -Attestierung
• Luna Network Attached HSM v7.x: CSR & Attestierungsleitfaden

Der folgende Text enthält veraltete Informationen, die für die CSR-Erstellung für Code Signing-Zertifikate nicht mehr gelten.

Wenn Sie ein Code Signing-Zertifikat beantragen, müssen Sie Informationen über sich und Ihr Unternehmen in einer verschlüsselten Textdatei namens CSR (Certificate Signing Request) angeben. Diese Datei enthält Angaben wie Ihren Namen, Ihre Organisation (falls zutreffend) und Ihre E-Mail-Adresse. Bei der CSR-Erstellung erhalten Sie zwei Dateien: die CSR selbst, die Sie bei der Anmeldung für das Zertifikat angeben müssen, und einen privaten Schlüssel, den Sie geheim halten und während der Installation verwenden sollten.

Um eine CSR mit Keytool zu erstellen, müssen Sie sicherstellen, dass das Java Development Kit (JDK) auf Ihrem Server oder Computer installiert ist.

Wie man mit Keytool einen CSR generiert

Führen Sie die folgenden Schritte aus, um eine CSR für ein Code Signing-Zertifikat unter Linux oder Windows mit Hilfe des Java Development Kit zu erstellen.

1. Erstellen Sie den Schlüsselspeicher und die Schlüsseldatei

Führen Sie zunächst in der Keystore-Eingabeaufforderung den Befehl zum Erstellen eines Keystore und einer Schlüsseldatei aus:

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks

2. Übermitteln Sie Ihre Kontaktdaten

Geben Sie anschließend die folgenden erforderlichen CSR-Daten ein:

• Geben Sie ein Keystore-Passwort ein. Wählen Sie ein sicheres Passwort. Geben Sie das Passwort zur Bestätigung erneut ein.
• Geben Sie Ihren Vor- und Nachnamen an.
• Geben Sie den offiziellen Namen Ihrer Organisation ein. Überprüfen Sie es doppelt.
• Geben Sie dann den Namen Ihrer Stadt oder Gemeinde und den Staat oder die Provinz ein, in der Ihre Organisation registriert ist.
• Geben Sie den zweistelligen Ländercode für Ihren Standort ein.
• Wenn Sie alle erforderlichen Angaben gemacht haben, müssen Sie bestätigen, ob die KN korrekt ist. Der CN sollte das folgende Format haben: “CompanyName oder Firstname Lastname, OU=DeparmentName, O=CompanyName, L=City, ST=State, C=CountryCode”.
• Geben Sie abschließend ein Passwort für den Schlüssel ein.

Mit diesem Befehl wird eine Java-Keystore-Datei namens keystore.jks erzeugt.

3. Erzeugen Sie die CSR mit dem Keytool

Führen Sie die folgenden einfachen Schritte aus, um eine CSR aus Ihrem Keystore zu generieren:

1. Öffnen Sie Ihre Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein:
   keytool -certreq -alias server -datei csr.csr -keystore keystore.jks
3. Drücken Sie die Eingabetaste und geben Sie Ihr (in Schritt 2 erstelltes) Keystore-Passwort ein, wenn Sie dazu aufgefordert werden.

Das war’s! Dieser Befehl erstellt die CSR und den privaten Schlüssel mit den Dateierweiterungen .csr und .jks.

Letzte Schritte – Vervollständigen Sie Ihre Bestellung

Nachdem Sie eine CSR mit keytool generiert haben, kopieren Sie deren Inhalt, einschließlich der Kopfzeile –BEGIN NEW CERTIFICATE REQUEST– und der Fußzeile –END NEW CERTIFICATE REQUEST–, und fügen Sie sie in das entsprechende Feld in Ihrem Anbieterkonto für die Codesignatur ein. Wählen Sie “Java” als Typ Ihres Code Signing-Zertifikats und schließen Sie den Anmeldevorgang ab. Die Zertifizierungsstelle sollte Ihr Code Signing-Zertifikat je nach Art der Validierung innerhalb von einem oder mehreren Werktagen signieren.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!

Geschrieben von Dionisie Gitlan

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.