Aggiornamento importante!
A partire dal 1° giugno 2023, è in vigore una nuova misura di sicurezza per i certificati di firma del codice. Tutti i certificati di firma del codice devono essere memorizzati su hardware che soddisfa specifici standard di sicurezza come FIPS 140 Level 2, Common Criteria EAL 4+ o equivalenti.
Di conseguenza, il processo di ottenimento e installazione dei certificati è cambiato. Le Autorità di Certificazione non supportano più la generazione di chiavi via browser, la creazione di CSR e l’installazione di certificati su laptop o server. Se invece scegli il metodo
- Generazione e attestazione di CSR FIPS YubiKey 5
- HSM collegato alla rete Luna v7.x: Guida alla CSR e all’attestazione
Il testo seguente contiene informazioni obsolete, non più applicabili alla generazione di CSR per i certificati di firma del codice.
A partire dal 1 giugno 2021, i richiedenti di certificati di firma del codice devono rispettare i CA/Browser Forum Code Signing Baseline Requirements, che richiedono che la lunghezza della chiave RSA non sia inferiore a 3072 bit. Per una maggiore sicurezza, ti consigliamo di creare una richiesta di firma del certificato (CSR) con una chiave a 4096 bit.
Esistono numerosi metodi per creare un CSR per un certificato di firma del codice e in questo articolo ti mostreremo come generare un CSR utilizzando il comando CertReq in Windows.
Crea il CSR con certreq
Per utilizzare il comando “certreq”, devi prima creare un file “request.inf” con un editor di testo come Notepad. Segui le istruzioni seguenti per creare un file request.inf e generare un CSR per il tuo certificato di firma del codice.
Creare il file request.inf
Il file request.inf Il file deve contenere i “Dettagli del soggetto” da includere nel CSR. Dopo aver creato il file request.inf, puoi creare un CSR utilizzando questo file.
Copia i contenuti qui sotto in un documento di testo e salvalo come “request.inf”. Devi sostituire solo la riga “Oggetto” per includere i dati della tua azienda.
[NewRequest]
Cambia il codice del tuo paese (C), il nome comune (CN), il nome della tua azienda (O), la località (L), il nome dello stato/provincia (S).
Subject = “CN=Nome della tua azienda, O=Nome della tua azienda, L=Città, S=Stato, C=USA”
KeySpec = 1
Lunghezza chiave = 4096
Esportabile = TRUE
MachineKeySet = FALSE
SMIME = False
PrivateKeyArchive = FALSE
UtenteProtetto = FALSO
UseExistingKeySet = FALSE
ProviderName = “Provider crittografico Microsoft RSA SChannel”.
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.3 ; questo è per la firma del codice
Genera il CSR tramite il file request.inf
Una volta salvato il file request.inf, puoi utilizzare il Prompt dei comandi di Windows per generare un CSR inserendo il seguente comando:
CERTREQ -nuovo request.inf codesign.csr
Dopo aver eseguito questo comando, verrà generato un nuovo CSR e salvato in un file chiamato “codesign.csr”. Potrai quindi inviare questa CSR alla CA per richiedere un certificato di firma del codice.
Fasi finali
Una volta ricevuto il certificato di firma del codice, dovrai installarlo sullo stesso computer. Esegui il seguente comando:
certreq -accept certificate.crt
Dopo aver installato il certificato, puoi esportarlo in un file PFX. Il processo di esportazione del certificato può variare a seconda del sistema operativo e del tuo software specifico. In generale, puoi esportare il certificato aprendo il gestore dei certificati, selezionando il certificato e scegliendo di esportarlo come file PFX.
Una volta esportato il certificato in un file PFX, puoi utilizzarlo per firmare il tuo codice e garantirne l’autenticità.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

