Como gerar um Csr de assinatura de código no Windows usando o certreq

Atualização importante!

A partir de 1º de junho de 2023, uma nova medida de segurança está em vigor para certificados de assinatura de código. Todos os certificados de assinatura de código agora devem ser armazenados em hardware que atenda a padrões de segurança específicos, como FIPS 140 Nível 2, Common Criteria EAL 4+ ou seus equivalentes.

Como resultado, o processo de obtenção e instalação de certificados foi alterado. As autoridades de certificação não oferecem mais suporte à geração de chaves baseada em navegador, à criação de CSRs e à instalação de certificados em laptops ou servidores. Em vez disso, se você optar por token + envio como método de entrega de assinatura de código, a CA cuidará da geração de CSR. Como alternativa, se você preferir usar o módulo de segurança de hardware (HSM), consulte os guias abaixo ou siga as instruções do fornecedor do HSM para a geração de CSR.


O texto a seguir contém informações desatualizadas, não mais aplicáveis à geração de CSR para certificados de assinatura de código.

A partir de 1º de junho de 2021, os solicitantes de certificados de assinatura de código devem obedecer aos requisitos básicos de assinatura de código do CA/Browser Forum, que exigem que o comprimento de bit da chave RSA não seja inferior a 3072 bits. Para aumentar a segurança, recomendamos a criação de uma Solicitação de Assinatura de Certificado (CSR) com uma chave de 4096 bits.

Há vários métodos para criar uma CSR para um certificado de assinatura de código e, neste artigo, mostraremos como gerar uma CSR usando o comando CertReq no Windows.

Criar a CSR com o certreq

Para usar o comando “certreq”, você deve primeiro criar um arquivo “request.inf” com um editor de texto como o Bloco de Notas. Siga as instruções abaixo para criar um arquivo request.inf e gerar um CSR para seu certificado de assinatura de código.

Crie o arquivo request.inf

O arquivo request.inf deve conter os “Detalhes do assunto” que devem ser incluídos no CSR. Depois de criar o arquivo request.inf, você pode criar um CSR usando-o.

Copie o conteúdo abaixo em um documento de texto e salve-o como “request.inf”. Você deve substituir apenas a linha “Assunto” para incluir os detalhes de sua empresa.

[NewRequest]

Altere para o código de seu país (C), nome comum (CN), nome da empresa (O), localidade (L), nome do estado/província (S)

Subject = “CN=Nome da sua empresa, O=Nome da sua empresa, L=Cidade, S=Estado, C=EUA”

KeySpec = 1

KeyLength = 4096

Exportável = TRUE

MachineKeySet = FALSE

SMIME = False

PrivateKeyArchive = FALSE

UserProtected = FALSE

UseExistingKeySet = FALSE

ProviderName = “Provedor criptográfico de canal SC do Microsoft RSA”

ProviderType = 12

RequestType = PKCS10

KeyUsage = 0xa0

HashAlgorithm = SHA256

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.3 ; isso é para assinatura de código

Gerar o CSR por meio do arquivo request.inf

Depois de salvar o arquivo request.inf, você pode usar o prompt de comando do Windows para gerar uma CSR, digitando o seguinte comando:

CERTREQ -new request.inf codesign.csr

Depois de executar esse comando, uma nova CSR será gerada e salva em um arquivo chamado “codesign.csr”. Em seguida, você pode enviar esse CSR para a CA a fim de solicitar um certificado de assinatura de código.

Etapas finais

Depois de receber o certificado de assinatura de código, você deve instalá-lo no mesmo computador. Execute o seguinte comando:

certreq -accept certificate.crt

Depois de instalar o certificado, você pode exportá-lo para um arquivo PFX. O processo de exportação do certificado pode variar dependendo do sistema operacional e do seu software específico. Em geral, é possível exportar o certificado abrindo o gerenciador de certificados, selecionando o certificado e escolhendo exportá-lo como um arquivo PFX.

Depois de exportar o certificado para um arquivo PFX, você poderá usá-lo para assinar seu código e garantir sua autenticidade.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.