Como gerar uma CSR para um certificado de assinatura de código por meio do Java Keystore

Atualização importante!

A partir de 1º de junho de 2023, uma nova medida de segurança está em vigor para certificados de assinatura de código. Todos os certificados de assinatura de código agora devem ser armazenados em hardware que atenda a padrões de segurança específicos, como FIPS 140 Nível 2, Common Criteria EAL 4+ ou seus equivalentes.

Como resultado, o processo de obtenção e instalação de certificados foi alterado. As autoridades de certificação não oferecem mais suporte à geração de chaves baseada em navegador, à criação de CSRs e à instalação de certificados em laptops ou servidores. Em vez disso, se você optar por token + envio como método de entrega de assinatura de código, a CA cuidará da geração de CSR. Como alternativa, se você preferir usar o módulo de segurança de hardware (HSM), consulte os guias abaixo ou siga as instruções do fornecedor do HSM para a geração de CSR.


O texto a seguir contém informações desatualizadas, não mais aplicáveis à geração de CSR para certificados de assinatura de código.

Ao solicitar um certificado de assinatura de código, você deve fornecer informações sobre você e sua empresa em um arquivo de texto codificado chamado CSR (Certificate Signing Request). Esse arquivo contém detalhes como seu nome, organização (se aplicável) e endereço de e-mail. Durante a criação da CSR, você obterá dois arquivos: a CSR propriamente dita, que deverá ser fornecida quando você se inscrever para obter o certificado, e uma chave privada que deverá ser mantida em segredo e usada durante a instalação.

Para gerar um CSR usando o Keytool, certifique-se de ter o Java Development Kit (JDK) instalado em seu servidor ou computador.

Como usar a Keytool para gerar uma CSR

Siga as etapas abaixo para gerar um CSR para um certificado de assinatura de código no Linux ou no Windows com a ajuda do Java Development Kit.

1. Criar o Keystore e o arquivo de chaves

Primeiro, no prompt do keystore, execute o comando para criar um keystore e um arquivo de chave:

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks

2. Envie seus dados de contato

Em seguida, insira os seguintes detalhes de CSR necessários:

  • Digite uma senha do repositório de chaves. Escolha uma senha segura. Digite novamente a senha para confirmação.
  • Envie seu nome e sobrenome.
  • Digite o nome oficial de sua organização. Verifique novamente.
  • Em seguida, digite o nome da sua cidade ou localidade e o estado ou província em que sua organização está registrada.
  • Digite o código de país de duas letras de sua localização.
  • Depois de fornecer todas as informações necessárias, você deve confirmar se o CN está correto. O CN deve estar no formato “CompanyName ou Firstname Lastname, OU=DeparmentName, O=CompanyName, L=City, ST=State, C=CountryCode”.
  • Por fim, digite uma senha para a chave.

Esse comando gerará um arquivo de keystore Java chamado keystore.jks.

3. Gerar o CSR usando o Keytool

Para gerar um CSR a partir de seu repositório de chaves, siga estas etapas simples:

  1. Abra o prompt de comando.
  2. Digite o seguinte comando:
    keytool -certreq -alias server -file csr.csr -keystore keystore.jks
  3. Pressione Enter e digite a senha do keystore (criada na etapa 2) quando solicitado.

É isso aí! Esse comando criará o CSR e a chave privada com as extensões de arquivo .csr e .jks.

Etapas finais – Conclua seu pedido

Depois de gerar uma CSR usando o keytool, copie seu conteúdo, incluindo as tags de cabeçalho –BEGIN NEW CERTIFICATE REQUEST– e de rodapé –END NEW CERTIFICATE REQUEST–, e cole-as na caixa relevante em sua conta de fornecedor de assinatura de código. Selecione “Java” como o tipo de certificado de assinatura de código e conclua o processo de registro. A autoridade de certificação deve assinar seu certificado de assinatura de código em um ou vários dias úteis, dependendo do tipo de validação.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.