Atualização importante!
A partir de 1º de junho de 2023, uma nova medida de segurança está em vigor para certificados de assinatura de código. Todos os certificados de assinatura de código agora devem ser armazenados em hardware que atenda a padrões de segurança específicos, como FIPS 140 Nível 2, Common Criteria EAL 4+ ou seus equivalentes.
Como resultado, o processo de obtenção e instalação de certificados foi alterado. As autoridades de certificação não oferecem mais suporte à geração de chaves baseada em navegador, à criação de CSRs e à instalação de certificados em laptops ou servidores. Em vez disso, se você optar por token + envio como método de entrega de assinatura de código, a CA cuidará da geração de CSR. Como alternativa, se você preferir usar o módulo de segurança de hardware (HSM), consulte os guias abaixo ou siga as instruções do fornecedor do HSM para a geração de CSR.
O texto a seguir contém informações desatualizadas, não mais aplicáveis à geração de CSR para certificados de assinatura de código.
A partir de 1º de junho de 2021, os solicitantes de certificados de assinatura de código devem obedecer aos requisitos básicos de assinatura de código do CA/Browser Forum, que exigem que o comprimento de bit da chave RSA não seja inferior a 3072 bits. Para aumentar a segurança, recomendamos a criação de uma Solicitação de Assinatura de Certificado (CSR) com uma chave de 4096 bits.
Há vários métodos para criar uma CSR para um certificado de assinatura de código e, neste artigo, mostraremos como gerar uma CSR usando o comando CertReq no Windows.
Criar a CSR com o certreq
Para usar o comando “certreq”, você deve primeiro criar um arquivo “request.inf” com um editor de texto como o Bloco de Notas. Siga as instruções abaixo para criar um arquivo request.inf e gerar um CSR para seu certificado de assinatura de código.
Crie o arquivo request.inf
O arquivo request.inf deve conter os “Detalhes do assunto” que devem ser incluídos no CSR. Depois de criar o arquivo request.inf, você pode criar um CSR usando-o.
Copie o conteúdo abaixo em um documento de texto e salve-o como “request.inf”. Você deve substituir apenas a linha “Assunto” para incluir os detalhes de sua empresa.
[NewRequest]
Altere para o código de seu país (C), nome comum (CN), nome da empresa (O), localidade (L), nome do estado/província (S)
Subject = “CN=Nome da sua empresa, O=Nome da sua empresa, L=Cidade, S=Estado, C=EUA”
KeySpec = 1
KeyLength = 4096
Exportável = TRUE
MachineKeySet = FALSE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = “Provedor criptográfico de canal SC do Microsoft RSA”
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.3 ; isso é para assinatura de código
Gerar o CSR por meio do arquivo request.inf
Depois de salvar o arquivo request.inf, você pode usar o prompt de comando do Windows para gerar uma CSR, digitando o seguinte comando:
CERTREQ -new request.inf codesign.csr
Depois de executar esse comando, uma nova CSR será gerada e salva em um arquivo chamado “codesign.csr”. Em seguida, você pode enviar esse CSR para a CA a fim de solicitar um certificado de assinatura de código.
Etapas finais
Depois de receber o certificado de assinatura de código, você deve instalá-lo no mesmo computador. Execute o seguinte comando:
certreq -accept certificate.crt
Depois de instalar o certificado, você pode exportá-lo para um arquivo PFX. O processo de exportação do certificado pode variar dependendo do sistema operacional e do seu software específico. Em geral, é possível exportar o certificado abrindo o gerenciador de certificados, selecionando o certificado e escolhendo exportá-lo como um arquivo PFX.
Depois de exportar o certificado para um arquivo PFX, você poderá usá-lo para assinar seu código e garantir sua autenticidade.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
