Comment générer une CSR pour un certificat de signature de code avec OpenSSL ?

Mise à jour importante!

À partir du 1er juin 2023, une nouvelle mesure de sécurité est mise en place pour les certificats de signature de code. Tous les certificats de signature de code doivent désormais être stockés sur du matériel répondant à des normes de sécurité spécifiques telles que FIPS 140 Level 2, Common Criteria EAL 4+, ou leurs équivalents.

En conséquence, le processus d’obtention et d’installation des certificats a changé. Les autorités de certification ne prennent plus en charge la génération de clés par navigateur, la création de CSR et l’installation de certificats sur des ordinateurs portables ou des serveurs. En revanche, si vous optez pour le jeton + l’envoi comme méthode de livraison de la signature de code, l’autorité de certification se chargera de la génération de la RSC. Si vous préférez utiliser votre module de sécurité matériel (HSM), consultez les guides ci-dessous ou suivez les instructions de votre fournisseur de HSM pour la génération de CSR.

• YubiKey 5 Génération et attestation de CSR FIPS
• Luna Network Attached HSM v7.x : CSR & Attestation Guide

---

Le texte suivant contient des informations obsolètes, qui ne sont plus applicables à la génération de CSR pour les certificats de signature de code.

Ce guide vous montrera comment générer une demande de signature de certificat pour les certificats de signature de code avec OpenSSL. Une fois que vous aurez suivi la procédure et que vous vous serez familiarisé avec les commandes, vous pourrez créer de futurs codes CSR en quelques minutes, directement à partir de votre appareil. La seule condition préalable est d’avoir installé OpenSSL sur votre système. Suivez les étapes ci-dessous pour générer rapidement une RSE.

1. Télécharger et installer OpenSSL

Si OpenSSL n’est pas installé sur votre ordinateur, téléchargez la version d’OpenSSL compatible avec votre système, puis installez-la sur votre appareil.

2. Exécuter OpenSSL à partir de votre appareil

Ouvrez l’application Exécuter sur votre appareil Windows en appuyant sur la touche Windows + R de votre clavier. Dans la boîte de dialogue Exécuter qui apparaît, tapez cmd et appuyez sur Entrée. Veillez à exécuter l’Invite de commande en tant qu’administrateur en cliquant avec le bouton droit de la souris sur l’icône de l’Invite de commande et en sélectionnant “Exécuter en tant qu’administrateur”. L’interface de l’Invite de commande de Windows s’ouvre alors.

Vous pouvez également accéder à l’Invite de commande en tapant cmd dans la barre de recherche située dans la barre des tâches, puis en sélectionnant l’application Invite de commande.

Une fois la fenêtre de l’Invite de commande ouverte, vous pouvez changer le répertoire courant pour l’emplacement où OpenSSL est installé. Pour ce faire, utilisez une commande similaire à l’un des exemples suivants et appuyez sur Entrée:

cd \OpenSSL-Win32\bin

cd \Program Files\OpenSSL-Win64\bin

3. Générer la clé privée et la RSC

Générer une commande unique pour lancer un algorithme de cryptage de certificat et spécifier la taille de la clé privée. Utilisez la commande suivante pour générer la clé privée :

OpenSSL genrsa -out code_signing_key.key 3072

Maintenant, générez le fichier CSR lui-même :

OpenSSL req -new -key code_signing_key.key -out code_signing_csr.txt

4. Compléter les champs du CSR avec les informations requises

Saisissez vos coordonnées comme demandé. Veuillez fournir des informations exactes et à jour. Voici un exemple. Veillez à remplacer les détails par vos informations réelles.

• Pays (CN) – Saisissez le code à deux lettres du pays dans lequel votre entreprise est enregistrée ou dans lequel vous résidez. Ex : US.
• État ou province (ST) – Saisissez le nom de l’État dans lequel votre entreprise est enregistrée. Ex : Californie.
• Localité (L) – Saisissez le nom de la ville où votre entreprise est enregistrée. Ex : San Jose.
• Nom de l’organisation (O) – Saisissez le nom officiel de votre organisation ou votre nom complet si vous demandez un certificat Code Singing pour un individu. Ex : GPI Holding LLC
• Organizational Unit (OU) – Indiquez le département de votre entreprise qui demande le certificat Code Signing. Ex : IT
• Nom commun (CN ) – indiquez ici le nom de votre organisation ou votre nom complet.
• Adresse électronique – fournir une adresse électronique valide

Vous pouvez laisser vides les champs du mot de passe facultatif et du nom de l’organisation, et appuyer simplement sur Entrée.

Remarque : une autre façon de générer la clé privée et la RSC consiste à combiner les étapes 3 et 4 en une seule commande :

Openssl req -new -newkey rsa:3072 -nodes -out code_signing_csr.txt -keyout code_signing_key.key -subj "/C=US/ST=California/L=San Jose/O=GPI Holding LLC/CN=GPI Holding LLC

5. Déplacez vos fichiers de clé privée et de RSC nouvellement créés dans un autre répertoire.

Vous devez déplacer la clé privée et les fichiers CSR hors d’OpenSSL, dans un répertoire central de votre appareil. Conservez la clé privée en lieu sûr et ne la communiquez pas à des personnes non autorisées. Suivez les commandes ci-dessous pour déplacer vos fichiers :

• Créez un nouveau répertoire de dossiers sur votre lecteur C.
  md \c:\codesigningcertificates
• Déplacez votre clé privée :
  déplacer code_signing_key.key c:\codesigningcertificates

• Déplacez votre RSE
  déplacer code_signing_csr.txt c:\Ncodesigningcertificate

6. Soumettre le RSC à votre autorité de certification

Maintenant que votre CSR est prête, vous pouvez l’ouvrir avec n’importe quel éditeur de texte, tel que Notepad, et copier son contenu, y compris les balises —–BEGIN CERTIFICATE REQUEST—– et —–END CERTIFICATE REQUEST—– dans la case correspondante lors de la procédure d’inscription au certificat sur la page de votre fournisseur.

Dernières étapes

Une fois que l’autorité de certification a vérifié et validé votre demande de certificat de signature de code, elle vous enverra les fichiers nécessaires par courrier électronique. En fonction de votre niveau de validation, la réception du certificat signé peut prendre entre un et quelques jours ouvrables.