Cómo generar una CSR para un certificado de firma de código a través de Java Keystore

Actualización importante

A partir del 1 de junio de 2023, se aplica una nueva medida de seguridad para los certificados de firma de código. Ahora, todos los certificados de firma de código deben almacenarse en hardware que cumpla normas de seguridad específicas como FIPS 140 Nivel 2, Common Criteria EAL 4+, o sus equivalentes.

Como consecuencia, el proceso de obtención e instalación de certificados ha cambiado. Las autoridades de certificación ya no admiten la generación de claves basada en navegador, la creación de CSR ni la instalación de certificados en ordenadores portátiles o servidores. En cambio, si opta por token + envío como método de entrega de firma de código, la CA se encargará de la generación de CSR. Como alternativa, si prefiere utilizar su módulo de seguridad de hardware (HSM), consulte las guías siguientes o siga las instrucciones de su proveedor de HSM para la generación de CSR.

• Generación y atestación de CSR YubiKey 5 FIPS
• Luna Network Attached HSM v7.x: CSR & Attestation Guide

El siguiente texto contiene información obsoleta, que ya no es aplicable a la generación de CSR para certificados de firma de código.

Cuando solicite un certificado de firma de código, deberá facilitar información sobre usted y su empresa en un archivo de texto codificado denominado CSR (Certificate Signing Request). Este archivo contiene datos como su nombre, organización (si procede) y dirección de correo electrónico. Durante la creación de la CSR, obtendrá dos archivos: la CSR propiamente dicha, que deberá facilitar cuando se inscriba para obtener el certificado, y una clave privada que deberá mantener en secreto y utilizar durante la instalación.

Para generar una CSR con Keytool, asegúrese de tener instalado el kit de desarrollo de Java (JDK) en su servidor u ordenador.

Cómo utilizar Keytool para generar una CSR

Siga los pasos que se indican a continuación para generar una CSR para un certificado de firma de código en Linux o Windows con ayuda del Java Development Kit.

1. Crear el almacén de claves y el archivo de claves

En primer lugar, en el indicador de almacén de claves, ejecute el comando para crear un almacén de claves y un archivo de claves:

keytool -genkey -alias servidor -keyalg RSA -keysize 2048 -keystore keystore.jks

2. Envíe sus datos de contacto

A continuación, introduzca los siguientes datos necesarios del CSR:

• Introduzca la contraseña del almacén de claves. Elige una contraseña segura. Vuelva a introducir la contraseña para confirmarla.
• Indique su nombre y apellidos.
• Introduzca el nombre oficial de su organización. Compruébalo dos veces.
• A continuación, introduzca el nombre de su Ciudad o Localidad y el Estado o Provincia donde está registrada su organización.
• Introduzca el código de dos letras de su país.
• Una vez que haya facilitado toda la información necesaria, deberá confirmar si el CN es correcto. El CN debe tener el formato “CompanyName o Firstname Lastname, OU=DeparmentName, O=CompanyName, L=City, ST=State, C=CountryCode”.
• Por último, introduzca una contraseña para la clave.

Este comando generará un archivo Java keystore llamado keystore.jks.

3. Generación de la CSR con Keytool

Para generar una CSR a partir de su almacén de claves, siga estos sencillos pasos:

1. Abra el símbolo del sistema.
2. Escriba el siguiente comando:
   keytool -certreq -alias servidor -file csr.csr -keystore keystore.jks
3. Pulsa Intro e introduce la contraseña de tu almacén de claves (creada en el paso 2) cuando se te solicite.

Ya está. Este comando creará el CSR y la clave privada con las extensiones de archivo .csr y .jks.

Pasos finales – Complete su pedido

Después de generar una CSR con keytool, copie su contenido, incluidas las etiquetas de encabezado –BEGIN NEW CERTIFICATE REQUEST– y de pie de página –END NEW CERTIFICATE REQUEST–, y péguelas en la casilla correspondiente de su cuenta de proveedor de firma de código. Seleccione “Java” como tipo de certificado de firma de código y complete el proceso de inscripción. La autoridad de certificación debería firmar su certificado de firma de código en uno o varios días laborables, dependiendo del tipo de validación.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!

Escrito por Dionisie Gitlan

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.