Mise à jour importante!
À partir du 1er juin 2023, une nouvelle mesure de sécurité est mise en place pour les certificats de signature de code. Tous les certificats de signature de code doivent désormais être stockés sur du matériel répondant à des normes de sécurité spécifiques telles que FIPS 140 Level 2, Common Criteria EAL 4+, ou leurs équivalents.
En conséquence, le processus d’obtention et d’installation des certificats a changé. Les autorités de certification ne prennent plus en charge la génération de clés par navigateur, la création de CSR et l’installation de certificats sur des ordinateurs portables ou des serveurs. En revanche, si vous optez pour le jeton + l’envoi comme méthode de livraison de la signature de code, l’autorité de certification se chargera de la génération de la RSC. Si vous préférez utiliser votre module de sécurité matériel (HSM), consultez les guides ci-dessous ou suivez les instructions de votre fournisseur de HSM pour la génération de CSR.
- YubiKey 5 Génération et attestation de CSR FIPS
- Luna Network Attached HSM v7.x : CSR & Attestation Guide
Le texte suivant contient des informations obsolètes, qui ne sont plus applicables à la génération de CSR pour les certificats de signature de code.
À partir du 1er juin 2021, les demandeurs de certificats de signature de code devront se conformer aux exigences de base du CA/Browser Forum Code Signing, qui exigent que la longueur des bits de la clé RSA ne soit pas inférieure à 3072 bits. Pour une meilleure sécurité, nous recommandons de créer une demande de signature de certificat (CSR) avec une clé de 4096 bits.
Il existe de nombreuses méthodes pour créer une CSR pour un certificat de signature de code. Dans cet article, nous allons vous montrer comment générer une CSR à l’aide de la commande CertReq sous Windows.
Créer la CSR avec certreq
Pour utiliser la commande “certreq”, vous devez d’abord créer un fichier “request.inf” à l’aide d’un éditeur de texte tel que le Bloc-notes. Suivez les instructions ci-dessous pour créer un fichier request.inf et générer une CSR pour votre certificat de signature de code.
Construire le fichier request.inf
Le fichier request.inf doit contenir les “détails du sujet” à inclure dans le CSR. Après avoir créé le fichier request.inf, vous pouvez créer une RSC à l’aide de celui-ci.
Copiez le contenu ci-dessous dans un document texte et enregistrez-le sous le nom de “request.inf”. Vous devez remplacer uniquement la ligne “Objet” par les coordonnées de votre entreprise.
[NewRequest]
;Changez le code de votre pays (C), le nom commun (CN), le nom de votre entreprise (O), la localité (L), le nom de votre état/province (S).
Subject = “CN=Votre nom d’entreprise, O=Votre nom d’entreprise, L=Ville, S=État, C=US”
KeySpec = 1
Longueur de clé = 4096
Exportable = VRAI
MachineKeySet = FALSE
SMIME = Faux
PrivateKeyArchive = FALSE
Protégé par l’utilisateur = FAUX
UseExistingKeySet = FALSE
ProviderName = “Microsoft RSA SChannel Cryptographic Provider” (Fournisseur cryptographique RSA SChannel de Microsoft)
Type de fournisseur = 12
RequestType = PKCS10
CléUsage = 0xa0
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.3 ; ceci est pour la signature du code
Générer la CSR via le fichier request.inf
Une fois que vous avez enregistré le fichier request.inf, vous pouvez utiliser l’invite de commande Windows pour générer une RSC en entrant la commande suivante :
CERTREQ -new request.inf codesign.csr
Après avoir exécuté cette commande, une nouvelle RSC sera générée et enregistrée dans un fichier nommé “codesign.csr”. Vous pouvez ensuite soumettre cette CSR à l’autorité de certification afin de demander un certificat de signature de code.
Dernières étapes
Une fois que vous avez reçu votre certificat de signature de code, vous devez l’installer sur le même ordinateur. Exécutez la commande suivante:
certreq -accept certificate.crt
Après avoir installé le certificat, vous pouvez l’exporter dans un fichier PFX. La procédure d’exportation du certificat peut varier en fonction du système d’exploitation et de votre logiciel spécifique. En général, vous pouvez exporter le certificat en ouvrant le gestionnaire de certificats, en sélectionnant le certificat et en choisissant de l’exporter en tant que fichier PFX.
Une fois le certificat exporté dans un fichier PFX, vous pouvez l’utiliser pour signer votre code et en garantir l’authenticité.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
