Cómo generar un Csr de firma de código en Windows utilizando certreq

Actualización importante

A partir del 1 de junio de 2023, se aplica una nueva medida de seguridad para los certificados de firma de código. Ahora, todos los certificados de firma de código deben almacenarse en hardware que cumpla normas de seguridad específicas como FIPS 140 Nivel 2, Common Criteria EAL 4+, o sus equivalentes.

Como consecuencia, el proceso de obtención e instalación de certificados ha cambiado. Las autoridades de certificación ya no admiten la generación de claves basada en navegador, la creación de CSR ni la instalación de certificados en portátiles o servidores. En cambio, si opta por token + envío como método de entrega de firma de código, la CA se encargará de la generación de CSR. Como alternativa, si prefiere utilizar su módulo de seguridad de hardware (HSM), consulte las guías siguientes o siga las instrucciones de su proveedor de HSM para la generación de CSR.


El siguiente texto contiene información obsoleta, que ya no es aplicable a la generación de CSR para certificados de firma de código.

A partir del 1 de junio de 2021, los solicitantes de certificados de firma de código deberán cumplir los requisitos básicos de firma de código de CA/Foro de navegadores, que exigen que la longitud en bits de la clave RSA no sea inferior a 3072 bits. Para mayor seguridad, recomendamos crear una solicitud de firma de certificado (CSR) con una clave de 4096 bits.

Existen numerosos métodos para crear una CSR para un certificado de firma de código y, en este artículo, le mostraremos cómo generar una CSR utilizando el comando CertReq en Windows.

Crear la CSR con certreq

Para utilizar el comando “certreq”, primero debe crear un archivo “request.inf” con un editor de texto como el Bloc de notas. Siga las instrucciones siguientes para crear un archivo request.inf y generar una CSR para su certificado de firma de código.

Crear el archivo request.inf

El archivo request.inf debe contener los “Detalles del asunto” que deben incluirse en el CSR. Después de crear el archivo request.inf, puede crear una CSR con él.

Copie el contenido siguiente en un documento de texto y guárdelo como “request.inf”. Debe sustituir únicamente la línea “Asunto” para incluir los datos de su empresa.

[NewRequest]

Ÿ Cambie a su código de país(C), nombre común(CN), nombre de empresa(O), localidad(L), nombre de estado/provincia (S)

Asunto = “CN=Nombre de su empresa, O=Nombre de su empresa, L=Ciudad, S=Estado, C=Estados Unidos”

KeySpec = 1

Longitud de clave = 4096

Exportable = TRUE

MachineKeySet = FALSE

SMIME = Falso

PrivateKeyArchive = FALSE

UsuarioProtegido = FALSE

UseExistingKeySet = FALSE

ProviderName = “Proveedor criptográfico Microsoft RSA SChannel”

TipoProveedor = 12

Tipo de solicitud = PKCS10

KeyUsage = 0xa0

HashAlgorithm = SHA256

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.3 ; esto es para la firma de código

Generar la CSR mediante el archivo request.inf

Una vez que haya guardado el archivo request.inf, puede utilizar el símbolo del sistema de Windows para generar una CSR introduciendo el siguiente comando:

CERTREQ -nuevo request.inf codigofirma.csr

Después de ejecutar este comando, se generará un nuevo CSR y se guardará como un archivo llamado “codesign.csr”. A continuación, puede enviar esta CSR a la CA para solicitar un certificado de firma de código.

Pasos finales

Una vez que haya recibido su certificado de firma de código, debe instalarlo en el mismo ordenador. Ejecute el siguiente comando:

certreq -aceptar certificado.crt

Después de instalar el certificado, puede exportarlo a un archivo PFX. El proceso para exportar el certificado puede variar en función del sistema operativo y de su software específico. Generalmente, puede exportar el certificado abriendo el gestor de certificados, seleccionando el certificado y eligiendo exportarlo como archivo PFX.

Una vez exportado el certificado a un archivo PFX, puede utilizarlo para firmar su código y garantizar su autenticidad.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.