Actualización importante
A partir del 1 de junio de 2023, se aplica una nueva medida de seguridad para los certificados de firma de código. Ahora, todos los certificados de firma de código deben almacenarse en hardware que cumpla normas de seguridad específicas como FIPS 140 Nivel 2, Common Criteria EAL 4+, o sus equivalentes.
Como consecuencia, el proceso de obtención e instalación de certificados ha cambiado. Las autoridades de certificación ya no admiten la generación de claves basada en navegador, la creación de CSR ni la instalación de certificados en portátiles o servidores. En cambio, si opta por token + envío como método de entrega de firma de código, la CA se encargará de la generación de CSR. Como alternativa, si prefiere utilizar su módulo de seguridad de hardware (HSM), consulte las guías siguientes o siga las instrucciones de su proveedor de HSM para la generación de CSR.
- Generación y atestación de CSR YubiKey 5 FIPS
- Luna Network Attached HSM v7.x: CSR & Attestation Guide
El siguiente texto contiene información obsoleta, que ya no es aplicable a la generación de CSR para certificados de firma de código.
A partir del 1 de junio de 2021, los solicitantes de certificados de firma de código deberán cumplir los requisitos básicos de firma de código de CA/Foro de navegadores, que exigen que la longitud en bits de la clave RSA no sea inferior a 3072 bits. Para mayor seguridad, recomendamos crear una solicitud de firma de certificado (CSR) con una clave de 4096 bits.
Existen numerosos métodos para crear una CSR para un certificado de firma de código y, en este artículo, le mostraremos cómo generar una CSR utilizando el comando CertReq en Windows.
Crear la CSR con certreq
Para utilizar el comando “certreq”, primero debe crear un archivo “request.inf” con un editor de texto como el Bloc de notas. Siga las instrucciones siguientes para crear un archivo request.inf y generar una CSR para su certificado de firma de código.
Crear el archivo request.inf
El archivo request.inf debe contener los “Detalles del asunto” que deben incluirse en el CSR. Después de crear el archivo request.inf, puede crear una CSR con él.
Copie el contenido siguiente en un documento de texto y guárdelo como “request.inf”. Debe sustituir únicamente la línea “Asunto” para incluir los datos de su empresa.
[NewRequest]
Ÿ Cambie a su código de país(C), nombre común(CN), nombre de empresa(O), localidad(L), nombre de estado/provincia (S)
Asunto = “CN=Nombre de su empresa, O=Nombre de su empresa, L=Ciudad, S=Estado, C=Estados Unidos”
KeySpec = 1
Longitud de clave = 4096
Exportable = TRUE
MachineKeySet = FALSE
SMIME = Falso
PrivateKeyArchive = FALSE
UsuarioProtegido = FALSE
UseExistingKeySet = FALSE
ProviderName = “Proveedor criptográfico Microsoft RSA SChannel”
TipoProveedor = 12
Tipo de solicitud = PKCS10
KeyUsage = 0xa0
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.3 ; esto es para la firma de código
Generar la CSR mediante el archivo request.inf
Una vez que haya guardado el archivo request.inf, puede utilizar el símbolo del sistema de Windows para generar una CSR introduciendo el siguiente comando:
CERTREQ -nuevo request.inf codigofirma.csr
Después de ejecutar este comando, se generará un nuevo CSR y se guardará como un archivo llamado “codesign.csr”. A continuación, puede enviar esta CSR a la CA para solicitar un certificado de firma de código.
Pasos finales
Una vez que haya recibido su certificado de firma de código, debe instalarlo en el mismo ordenador. Ejecute el siguiente comando:
certreq -aceptar certificado.crt
Después de instalar el certificado, puede exportarlo a un archivo PFX. El proceso para exportar el certificado puede variar en función del sistema operativo y de su software específico. Generalmente, puede exportar el certificado abriendo el gestor de certificados, seleccionando el certificado y eligiendo exportarlo como archivo PFX.
Una vez exportado el certificado a un archivo PFX, puede utilizarlo para firmar su código y garantizar su autenticidad.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10