Wichtiges Update!
Ab dem 1. Juni 2023 gilt eine neue Sicherheitsmaßnahme für Code Signing-Zertifikate. Alle Code Signing-Zertifikate müssen jetzt auf Hardware gespeichert werden, die bestimmte Sicherheitsstandards wie FIPS 140 Level 2, Common Criteria EAL 4+ oder vergleichbare Standards erfüllt.
Infolgedessen hat sich der Prozess der Beschaffung und Installation von Zertifikaten geändert. Zertifizierungsstellen unterstützen nicht mehr die browserbasierte Schlüsselgenerierung, die Erstellung von CSRs und die Installation von Zertifikaten auf Laptops oder Servern. Wenn Sie sich stattdessen für Token + Versand als Bereitstellungsmethode für die Codesignatur entscheiden, übernimmt die Zertifizierungsstelle die CSR-Erstellung. Wenn Sie es vorziehen, Ihr Hardware-Sicherheitsmodul (HSM) zu verwenden, lesen Sie die nachstehenden Anleitungen oder befolgen Sie die Anweisungen Ihres HSM-Anbieters zur CSR-Erstellung.
- YubiKey 5 FIPS CSR-Generierung und -Attestierung
- Luna Network Attached HSM v7.x: CSR & Attestierungsleitfaden
Der folgende Text enthält veraltete Informationen, die für die CSR-Erstellung für Code Signing-Zertifikate nicht mehr gelten.
Diese Anleitung zeigt Ihnen, wie Sie eine Zertifikatsanforderung für Code Signing-Zertifikate mit OpenSSL erzeugen. Sobald Sie dem Prozess folgen und sich mit den Befehlen vertraut gemacht haben, können Sie künftige CSR-Codes in nur wenigen Minuten direkt von Ihrem Gerät aus erstellen. Die einzige Voraussetzung ist, dass OpenSSL auf Ihrem System installiert ist. Befolgen Sie die nachstehenden Schritte für eine schnelle CSR-Erstellung.
1. OpenSSL herunterladen und installieren
Wenn Sie OpenSSL nicht auf Ihrem Computer installiert haben, laden Sie die mit Ihrem System kompatible OpenSSL-Version herunter und installieren Sie sie dann auf Ihrem Gerät.
2. Führen Sie OpenSSL von Ihrem Gerät aus
Öffnen Sie die Ausführen-App auf Ihrem Windows-Gerät, indem Sie die Windows-Taste + R auf Ihrer Tastatur drücken. Geben Sie im angezeigten Dialogfeld Ausführen den Befehl cmd ein und drücken Sie die Eingabetaste. Stellen Sie sicher, dass Sie die Eingabeaufforderung als Administrator ausführen, indem Sie mit der rechten Maustaste auf das Symbol der Eingabeaufforderung klicken und “Als Administrator ausführen” wählen. Dadurch wird die Windows-Eingabeaufforderung aufgerufen.
Sie können auch auf die Eingabeaufforderung zugreifen, indem Sie cmd in die Suchleiste in Ihrer Taskleiste eingeben und dann die Eingabeaufforderungs-App auswählen.
Sobald das Eingabeaufforderungsfenster geöffnet ist, können Sie das aktuelle Verzeichnis in das Verzeichnis ändern, in dem Sie OpenSSL installiert haben. Verwenden Sie dazu einen Befehl wie in einem der folgenden Beispiele und drücken Sie die Eingabetaste:
cd \OpenSSL-Win32\bin
cd \Programmdateien\OpenSSL-Win64\bin
3. Generieren Sie den privaten Schlüssel und die CSR
Erzeugen Sie einen eindeutigen Befehl zum Starten eines Zertifikatsverschlüsselungsalgorithmus und zum Festlegen der Größe des privaten Schlüssels. Verwenden Sie den folgenden Befehl, um den privaten Schlüssel zu erzeugen:
OpenSSL genrsa -out code_signing_key.key 3072
Erzeugen Sie nun die CSR-Datei selbst:
OpenSSL req -new -key code_signing_key.key -out code_signing_csr.txt
4. Füllen Sie die CSR-Felder mit den erforderlichen Informationen aus
Geben Sie Ihre Kontaktdaten nach Aufforderung ein. Bitte geben Sie genaue und aktuelle Informationen an. Hier ist ein Beispiel. Achten Sie darauf, dass Sie die Angaben durch Ihre tatsächlichen Informationen ersetzen.
- Land (CN) – Geben Sie den aus zwei Buchstaben bestehenden Ländercode des Landes ein, in dem Ihr Unternehmen registriert ist oder in dem Sie wohnen. Beispiel: US.
- Staat oder Provinz (ST) – Geben Sie den Namen des Staates an, in dem Ihr Unternehmen registriert ist. Beispiel: Kalifornien.
- Ort (L) – Geben Sie den Namen der Stadt ein, in der Ihr Unternehmen registriert ist. Beispiel: San Jose.
- Organization Name (O) – Geben Sie den offiziellen Namen Ihrer Organisation oder Ihren vollständigen Namen ein, wenn Sie ein Code-Singing-Zertifikat für eine Einzelperson beantragen. Beispiel: GPI Holding LLC
- Organizational Unit (OU) – Geben Sie die Abteilung innerhalb Ihres Unternehmens an, die das Code Signing-Zertifikat anfordert. Beispiel: IT
- Common Name (CN) – geben Sie hier den Namen Ihrer Organisation oder Ihren vollständigen Namen ein.
- E-Mail-Adresse – Geben Sie eine gültige E-Mail-Adresse an.
Sie können die Felder für das optionale Passwort und den Organisationsnamen leer lassen und einfach die Eingabetaste drücken.
Hinweis: Eine alternative Möglichkeit, den privaten Schlüssel und die CSR zu erzeugen, besteht darin, Schritt 3 und Schritt 4 in einem Befehl zu kombinieren:
Openssl req -new -newkey rsa:3072 -nodes -out code_signing_csr.txt -keyout code_signing_key.key -subj "/C=US/ST=California/L=San Jose/O=GPI Holding LLC/CN=GPI Holding LLC
5. Verschieben Sie Ihren neu erstellten privaten Schlüssel und die CSR-Dateien in ein anderes Verzeichnis
Sie sollten den privaten Schlüssel und die CSR-Dateien von OpenSSL weg in ein zentrales Verzeichnis auf Ihrem Gerät verschieben. Bewahren Sie den privaten Schlüssel sicher auf, und geben Sie ihn nicht an Unbefugte weiter. Folgen Sie den nachstehenden Befehlen, um Ihre Dateien zu verschieben:
- Erstellen Sie ein neues Ordnerverzeichnis auf Ihrem Laufwerk C.
md \c:\codesigningcertificates - Verschieben Sie Ihren privaten Schlüssel:
code_signing_key.key c:\codesigningcertificates verschieben
- Bewegen Sie Ihren CSR
code_signing_csr.txt c:\codesigningcertificate verschieben
6. Senden Sie den CSR an Ihre CA
Nun, da Ihre CSR fertig ist, können Sie sie mit einem beliebigen Texteditor, z. B. Notepad, öffnen und ihren Inhalt, einschließlich der Tags —–BEGIN CERTIFICATE REQUEST—– und —–END CERTIFICATE REQUEST—–, in das entsprechende Feld während des Zertifikatsregistrierungsprozesses auf der Seite Ihres Anbieters kopieren.
Letzte Schritte
Nachdem die Zertifizierungsstelle Ihren Antrag auf ein Code Signing-Zertifikat überprüft und validiert hat, sendet sie die erforderlichen Dateien per E-Mail. Je nach Validierungsstufe kann es zwischen einem und einigen Werktagen dauern, bis Sie das signierte Zertifikat erhalten.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10