Cómo generar una CSR para un certificado de firma de código con OpenSSL

Actualización importante

A partir del 1 de junio de 2023, se aplica una nueva medida de seguridad para los certificados de firma de código. Ahora, todos los certificados de firma de código deben almacenarse en hardware que cumpla normas de seguridad específicas como FIPS 140 Nivel 2, Common Criteria EAL 4+, o sus equivalentes.

Como consecuencia, el proceso de obtención e instalación de certificados ha cambiado. Las autoridades de certificación ya no admiten la generación de claves basada en navegador, la creación de CSR ni la instalación de certificados en portátiles o servidores. En cambio, si opta por token + envío como método de entrega de firma de código, la CA se encargará de la generación de CSR. Como alternativa, si prefiere utilizar su módulo de seguridad de hardware (HSM), consulte las guías siguientes o siga las instrucciones de su proveedor de HSM para la generación de CSR.

• Generación y atestación de CSR YubiKey 5 FIPS
• Luna Network Attached HSM v7.x: CSR & Attestation Guide

---

El siguiente texto contiene información obsoleta, que ya no es aplicable a la generación de CSR para certificados de firma de código.

Esta guía le mostrará cómo generar una solicitud de firma de certificado para certificados de firma de código con OpenSSL. Una vez que sigas el proceso y te familiarices con los comandos, podrás crear futuros códigos CSR en pocos minutos directamente desde tu dispositivo. El único requisito previo es tener OpenSSL instalado en su sistema. Siga los pasos que se indican a continuación para generar rápidamente un CSR.

1. Descargar e instalar OpenSSL

Si no tienes OpenSSL instalado en tu ordenador, descarga la versión de OpenSSL compatible con tu sistema e instálala en tu dispositivo.

2. Ejecute OpenSSL desde su dispositivo

Abra la aplicación Ejecutar en su dispositivo Windows pulsando la tecla Windows + R en su teclado. En el cuadro de diálogo Ejecutar que aparece, escriba cmd y pulse Intro. Asegúrese de ejecutar el Símbolo del sistema como administrador haciendo clic con el botón derecho en el icono del Símbolo del sistema y seleccionando “Ejecutar como administrador”. Esto iniciará la interfaz del símbolo del sistema de Windows.

También puedes acceder al Símbolo del sistema escribiendo cmd en la barra de búsqueda de la barra de tareas y seleccionando la aplicación Símbolo del sistema.

Una vez abierta la ventana del símbolo del sistema, puede cambiar el directorio actual a la ubicación donde tiene instalado OpenSSL. Para ello, utilice un comando similar a uno de los siguientes ejemplos y pulse Intro:

cd \OpenSSL-Win32\bin

cd Archivos de programa OpenSSL-Win64bin

3. Generar la clave privada y el CSR

Generar un comando único para iniciar un algoritmo de cifrado de certificados y especificar el tamaño de la clave privada. Utilice el siguiente comando para generar la clave privada:

OpenSSL genrsa -out clave_firma.clave 3072

Ahora, genere el propio archivo CSR:

OpenSSL req -new -key código_firma_clave.key -out código_firma_csr.txt

4. Rellene los campos del CSR con la información requerida

Introduzca sus datos de contacto. Por favor, incluya información precisa y actualizada. He aquí un ejemplo. Asegúrese de sustituir los datos por su información real.

• País (CN) – Introduzca el código de dos letras del país donde está registrada su empresa o donde usted reside. Ej: US.
• Estado o provincia (ST) – Introduzca el nombre del estado en el que está registrada su empresa. Ej: California.
• Localidad (L) – Introduzca el nombre de la ciudad donde está registrada su empresa. Ej: San José.
• Nombre de la organización (O) – Introduzca el nombre oficial de su organización o su nombre completo si solicita un certificado de Code Singing para un individuo. Ex: GPI Holding LLC
• Unidad organizativa (OU): especifique el departamento de su empresa que solicita el certificado de firma de código. Ej: IT
• Nombre común (CN): introduzca aquí el nombre de su organización o su nombre completo.
• Dirección de correo electrónico: indique una dirección de correo electrónico válida

Puede dejar en blanco los campos opcionales de contraseña y nombre de la organización y pulsar Intro.

Nota: Una forma alternativa de generar la clave privada y la CSR es combinar los pasos 3 y 4 en un solo comando:

Openssl req -new -newkey rsa:3072 -nodes -out code_signing_csr.txt -keyout code_signing_key.key -subj "/C=US/ST=California/L=San Jose/O=GPI Holding LLC/CN=GPI Holding LLC

5. Mueva los archivos de clave privada y CSR recién creados a otro directorio

Deberías trasladar la clave privada y los archivos CSR fuera de OpenSSL a un directorio central de tu dispositivo. Guarda bien la clave privada y no la compartas con personal no autorizado. Sigue los siguientes comandos para mover tus archivos:

• Crea un nuevo directorio de carpetas en tu unidad C.
  md \c:\codiseñocertificados
• Mueve tu clave privada:
  mover clave_firma_de_código.clave c:\firma_de_certificados

• Mueva su CSR
  mover code_signing_csr.txt c:\codesigningcertificate

6. Envíe el CSR a su CA

Ahora que su CSR está listo, puede abrirlo con cualquier editor de texto, como el Bloc de notas, y copiar su contenido, incluidas las etiquetas —–BEGIN CERTIFICATE REQUEST—– y —–END CERTIFICATE REQUEST—– en la casilla correspondiente durante el proceso de inscripción del certificado en la página de su proveedor.

Pasos finales

Después de que la CA verifique y valide su solicitud de certificado de firma de código, le enviará los archivos necesarios por correo electrónico. Dependiendo de su nivel de validación, puede tardar entre uno y varios días laborables en recibir el certificado firmado.