Cara Membuat Kode Penandatanganan Csr di Windows Menggunakan certreq

Pembaruan Penting!

Mulai 1 Juni 2023, langkah keamanan baru diberlakukan untuk sertifikat penandatanganan kode. Semua sertifikat penandatanganan kode sekarang harus disimpan pada perangkat keras yang memenuhi standar keamanan tertentu seperti FIPS 140 Level 2, Kriteria Umum EAL 4+, atau yang setara.

Akibatnya, proses mendapatkan dan memasang sertifikat telah berubah. Otoritas Sertifikat tidak lagi mendukung pembuatan kunci berbasis browser, membuat CSR, dan menginstal sertifikat pada laptop atau server. Sebaliknya, jika Anda memilih token + pengiriman sebagai metode pengiriman penandatanganan kode, CA akan menangani pembuatan CSR. Atau, jika Anda lebih suka menggunakan Modul Keamanan Perangkat Keras (HSM) Anda, lihat panduan di bawah ini atau ikuti petunjuk penyedia HSM Anda untuk pembuatan CSR.

• Pembuatan dan Pengesahan CSR YubiKey 5 FIPS
• Luna Network Melampirkan HSM v7.x: Panduan CSR & Pengesahan

---

Teks berikut ini berisi informasi yang sudah ketinggalan zaman, tidak lagi berlaku untuk pembuatan CSR untuk sertifikat penandatanganan kode.

Mulai 1 Juni 2021, pemohon sertifikat penandatanganan kode harus mematuhi Persyaratan Dasar Penandatanganan Kode Forum CA/Browser, yang mengharuskan panjang bit Kunci RSA tidak kurang dari 3072-bit. Untuk keamanan yang lebih baik, kami sarankan untuk membuat Permintaan Penandatanganan Sertifikat (CSR) dengan kunci 4096-bit.

Ada banyak metode untuk membuat CSR untuk sertifikat penandatanganan kode, dan dalam artikel ini, kami akan menunjukkan kepada Anda cara membuat CSR menggunakan perintah CertReq di Windows.

Ciptakan CSR dengan certreq

Untuk menggunakan perintah “certreq”, Anda harus terlebih dahulu membuat file “request.inf” dengan editor teks seperti Notepad. Ikuti petunjuk di bawah ini untuk membuat file request.inf dan menghasilkan CSR untuk sertifikat penandatanganan kode Anda.

Membuat file request.inf

Permintaan.inf harus berisi “Rincian Subjek” yang diperlukan untuk disertakan dalam CSR. Setelah membuat file request.inf, Anda dapat membuat CSR dengan menggunakan file tersebut.

Salin konten di bawah ini ke dalam dokumen teks dan simpan sebagai “request.inf”. Anda hanya perlu mengganti baris “Subjek” untuk menyertakan detail Perusahaan Anda.

[NewRequest]

Ubah ke kode negara (C), nama umum (CN), nama perusahaan (O), lokasi (L), nama negara bagian/provinsi (S)

Subjek = “CN = Nama Perusahaan Anda, O = Nama Perusahaan Anda, L = Kota, S = Negara Bagian, C = AS”

KeySpec = 1

KeyLength = 4096

Dapat diekspor = BENAR

MachineKeySet = FALSE

SMIME = Salah

PrivateKeyArchive = FALSE

DilindungiPengguna = SALAH

UseExistingKeySet = FALSE

NamaPenyedia = “Penyedia Kriptografi Microsoft RSA SChannel”

JenisPenyedia = 12

Jenis Permintaan = PKCS10

KeyUsage = 0xa0

HashAlgorithm = SHA256

[EnhancedKeyUsageExtension]

OID = 1.3.6.1.5.5.7.3.3; ini untuk penandatanganan kode

Hasilkan CSR melalui file request.inf

Setelah Anda menyimpan file request.inf, Anda dapat menggunakan Windows Command Prompt untuk menghasilkan CSR dengan memasukkan perintah berikut:

CERTREQ -new request.inf codesign.csr

Setelah menjalankan perintah ini, CSR baru akan dibuat dan disimpan sebagai file bernama “codesign.csr”. Anda kemudian dapat mengirimkan CSR ini ke CA untuk meminta sertifikat penandatanganan kode.

Langkah Terakhir

Setelah Anda menerima sertifikat penandatanganan kode, Anda harus menginstalnya di komputer yang sama. Jalankan perintah berikut ini:

certreq -accept certificate.crt

Setelah menginstal sertifikat, Anda dapat mengekspornya ke file PFX. Proses untuk mengekspor sertifikat dapat bervariasi, tergantung pada sistem operasi dan perangkat lunak spesifik Anda. Umumnya, Anda dapat mengekspor sertifikat dengan membuka manajer sertifikat, memilih sertifikat, dan memilih untuk mengekspornya sebagai file PFX.

Setelah Anda mengekspor sertifikat ke file PFX, Anda bisa menggunakannya untuk menandatangani kode dan memastikan keasliannya.