So erzeugen Sie eine CSR für ein Code Signing-Zertifikat mit OpenSSL

Wichtiges Update!

Ab dem 1. Juni 2023 gilt eine neue Sicherheitsmaßnahme für Code Signing-Zertifikate. Alle Code Signing-Zertifikate müssen jetzt auf Hardware gespeichert werden, die bestimmte Sicherheitsstandards wie FIPS 140 Level 2, Common Criteria EAL 4+ oder vergleichbare Standards erfüllt.

Infolgedessen hat sich der Prozess der Beschaffung und Installation von Zertifikaten geändert. Zertifizierungsstellen unterstützen nicht mehr die browserbasierte Schlüsselgenerierung, die Erstellung von CSRs und die Installation von Zertifikaten auf Laptops oder Servern. Wenn Sie sich stattdessen für Token + Versand als Bereitstellungsmethode für die Codesignatur entscheiden, übernimmt die Zertifizierungsstelle die CSR-Erstellung. Wenn Sie es vorziehen, Ihr Hardware-Sicherheitsmodul (HSM) zu verwenden, lesen Sie die nachstehenden Anleitungen oder befolgen Sie die Anweisungen Ihres HSM-Anbieters zur CSR-Erstellung.


Der folgende Text enthält veraltete Informationen, die für die CSR-Erstellung für Code Signing-Zertifikate nicht mehr gelten.

Diese Anleitung zeigt Ihnen, wie Sie eine Zertifikatsanforderung für Code Signing-Zertifikate mit OpenSSL erzeugen. Sobald Sie dem Prozess folgen und sich mit den Befehlen vertraut gemacht haben, können Sie künftige CSR-Codes in nur wenigen Minuten direkt von Ihrem Gerät aus erstellen. Die einzige Voraussetzung ist, dass OpenSSL auf Ihrem System installiert ist. Befolgen Sie die nachstehenden Schritte für eine schnelle CSR-Erstellung.

1. OpenSSL herunterladen und installieren

Wenn Sie OpenSSL nicht auf Ihrem Computer installiert haben, laden Sie die mit Ihrem System kompatible OpenSSL-Version herunter und installieren Sie sie dann auf Ihrem Gerät.

OpenSSL herunterladen

2. Führen Sie OpenSSL von Ihrem Gerät aus

Öffnen Sie die Ausführen-App auf Ihrem Windows-Gerät, indem Sie die Windows-Taste + R auf Ihrer Tastatur drücken. Geben Sie im angezeigten Dialogfeld Ausführen den Befehl cmd ein und drücken Sie die Eingabetaste. Stellen Sie sicher, dass Sie die Eingabeaufforderung als Administrator ausführen, indem Sie mit der rechten Maustaste auf das Symbol der Eingabeaufforderung klicken und “Als Administrator ausführen” wählen. Dadurch wird die Windows-Eingabeaufforderung aufgerufen.

Sie können auch auf die Eingabeaufforderung zugreifen, indem Sie cmd in die Suchleiste in Ihrer Taskleiste eingeben und dann die Eingabeaufforderungs-App auswählen.

Sobald das Eingabeaufforderungsfenster geöffnet ist, können Sie das aktuelle Verzeichnis in das Verzeichnis ändern, in dem Sie OpenSSL installiert haben. Verwenden Sie dazu einen Befehl wie in einem der folgenden Beispiele und drücken Sie die Eingabetaste:

cd \OpenSSL-Win32\bin

cd \Programmdateien\OpenSSL-Win64\bin

OpenSSL ausführen

3. Generieren Sie den privaten Schlüssel und die CSR

Erzeugen Sie einen eindeutigen Befehl zum Starten eines Zertifikatsverschlüsselungsalgorithmus und zum Festlegen der Größe des privaten Schlüssels. Verwenden Sie den folgenden Befehl, um den privaten Schlüssel zu erzeugen:

OpenSSL genrsa -out code_signing_key.key 3072

Erzeugen Sie nun die CSR-Datei selbst:

OpenSSL req -new -key code_signing_key.key -out code_signing_csr.txt

Privaten Schlüssel und CSR generieren

4. Füllen Sie die CSR-Felder mit den erforderlichen Informationen aus

Geben Sie Ihre Kontaktdaten nach Aufforderung ein. Bitte geben Sie genaue und aktuelle Informationen an. Hier ist ein Beispiel. Achten Sie darauf, dass Sie die Angaben durch Ihre tatsächlichen Informationen ersetzen.

  • Land (CN) – Geben Sie den aus zwei Buchstaben bestehenden Ländercode des Landes ein, in dem Ihr Unternehmen registriert ist oder in dem Sie wohnen. Beispiel: US.
  • Staat oder Provinz (ST) – Geben Sie den Namen des Staates an, in dem Ihr Unternehmen registriert ist. Beispiel: Kalifornien.
  • Ort (L) – Geben Sie den Namen der Stadt ein, in der Ihr Unternehmen registriert ist. Beispiel: San Jose.
  • Organization Name (O) – Geben Sie den offiziellen Namen Ihrer Organisation oder Ihren vollständigen Namen ein, wenn Sie ein Code-Singing-Zertifikat für eine Einzelperson beantragen. Beispiel: GPI Holding LLC
  • Organizational Unit (OU) – Geben Sie die Abteilung innerhalb Ihres Unternehmens an, die das Code Signing-Zertifikat anfordert. Beispiel: IT
  • Common Name (CN) – geben Sie hier den Namen Ihrer Organisation oder Ihren vollständigen Namen ein.
  • E-Mail-Adresse – Geben Sie eine gültige E-Mail-Adresse an.

Sie können die Felder für das optionale Passwort und den Organisationsnamen leer lassen und einfach die Eingabetaste drücken.

CSR-Informationen eingeben

Hinweis: Eine alternative Möglichkeit, den privaten Schlüssel und die CSR zu erzeugen, besteht darin, Schritt 3 und Schritt 4 in einem Befehl zu kombinieren:

Openssl req -new -newkey rsa:3072 -nodes -out code_signing_csr.txt -keyout code_signing_key.key -subj "/C=US/ST=California/L=San Jose/O=GPI Holding LLC/CN=GPI Holding LLC

Kombinierter privater Schlüssel und CSR

5. Verschieben Sie Ihren neu erstellten privaten Schlüssel und die CSR-Dateien in ein anderes Verzeichnis

Sie sollten den privaten Schlüssel und die CSR-Dateien von OpenSSL weg in ein zentrales Verzeichnis auf Ihrem Gerät verschieben. Bewahren Sie den privaten Schlüssel sicher auf, und geben Sie ihn nicht an Unbefugte weiter. Folgen Sie den nachstehenden Befehlen, um Ihre Dateien zu verschieben:

  • Erstellen Sie ein neues Ordnerverzeichnis auf Ihrem Laufwerk C.
    md \c:\codesigningcertificates
  • Verschieben Sie Ihren privaten Schlüssel:
    code_signing_key.key c:\codesigningcertificates verschieben
Privaten Schlüssel verschieben
  • Bewegen Sie Ihren CSR
    code_signing_csr.txt c:\codesigningcertificate verschieben
CSR verschieben

6. Senden Sie den CSR an Ihre CA

Nun, da Ihre CSR fertig ist, können Sie sie mit einem beliebigen Texteditor, z. B. Notepad, öffnen und ihren Inhalt, einschließlich der Tags —–BEGIN CERTIFICATE REQUEST—– und —–END CERTIFICATE REQUEST—–, in das entsprechende Feld während des Zertifikatsregistrierungsprozesses auf der Seite Ihres Anbieters kopieren.

CSR Inhalt

Letzte Schritte

Nachdem die Zertifizierungsstelle Ihren Antrag auf ein Code Signing-Zertifikat überprüft und validiert hat, sendet sie die erforderlichen Dateien per E-Mail. Je nach Validierungsstufe kann es zwischen einem und einigen Werktagen dauern, bis Sie das signierte Zertifikat erhalten.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.