Como gerar uma CSR para um certificado de assinatura de código com o OpenSSL

Atualização importante!

A partir de 1º de junho de 2023, uma nova medida de segurança está em vigor para certificados de assinatura de código. Todos os certificados de assinatura de código agora devem ser armazenados em hardware que atenda a padrões de segurança específicos, como FIPS 140 Nível 2, Common Criteria EAL 4+ ou seus equivalentes.

Como resultado, o processo de obtenção e instalação de certificados foi alterado. As autoridades de certificação não oferecem mais suporte à geração de chaves baseada em navegador, à criação de CSRs e à instalação de certificados em laptops ou servidores. Em vez disso, se você optar por token + envio como método de entrega de assinatura de código, a CA cuidará da geração de CSR. Como alternativa, se você preferir usar o módulo de segurança de hardware (HSM), consulte os guias abaixo ou siga as instruções do fornecedor do HSM para a geração de CSR.


O texto a seguir contém informações desatualizadas, não mais aplicáveis à geração de CSR para certificados de assinatura de código.

Este guia mostrará como gerar uma Solicitação de Assinatura de Certificado para certificados de assinatura de código com o OpenSSL. Depois de seguir o processo e se familiarizar com os comandos, você poderá criar futuros códigos CSR em apenas alguns minutos, diretamente do seu dispositivo. O único pré-requisito é ter o OpenSSL instalado em seu sistema. Siga as etapas abaixo para uma rápida geração de CSR.

1. Faça download e instale o OpenSSL

Se não tiver o OpenSSL instalado em seu computador, baixe a versão do OpenSSL compatível com seu sistema e instale-a em seu dispositivo.

Download do OpenSSL

2. Execute o OpenSSL em seu dispositivo

Abra o aplicativo Executar em seu dispositivo Windows pressionando a tecla Windows + R no teclado. Na caixa de diálogo Executar exibida, digite cmd e pressione Enter. Certifique-se de executar o prompt de comando como administrador, clicando com o botão direito do mouse no ícone do prompt de comando e selecionando “Executar como administrador”. Isso abrirá a interface do prompt de comando do Windows.

Você também pode acessar o Prompt de Comando digitando cmd na barra de pesquisa localizada na barra de tarefas e, em seguida, selecionando o aplicativo Prompt de Comando.

Quando a janela do prompt de comando estiver aberta, você poderá alterar o diretório atual para o local onde o OpenSSL está instalado. Para fazer isso, use um comando semelhante a um dos exemplos a seguir e pressione Enter:

cd \OpenSSL-Win32\bin

cd \Arquivos de programas\OpenSSL-Win64\bin

Executar o OpenSSL

3. Gerar a chave privada e o CSR

Gerar um comando exclusivo para iniciar um algoritmo de criptografia de certificado e especificar o tamanho da chave privada. Use o seguinte comando para gerar a chave privada:

OpenSSL genrsa -out code_signing_key.key 3072

Agora, gere o arquivo CSR propriamente dito:

OpenSSL req -new -key code_signing_key.key -out code_signing_csr.txt

Gerar chave privada e CSR

4. Preencha os campos CSR com as informações necessárias

Insira seus dados de contato conforme solicitado. Inclua informações precisas e atualizadas. Veja um exemplo. Certifique-se de substituir os detalhes por suas informações reais.

  • Country (CN) – Digite o código de duas letras do país onde sua empresa está registrada ou onde você reside. Ex: EUA.
  • Estado ou província (ST) – Digite o nome do estado em que sua empresa está registrada. Ex: Califórnia.
  • Localidade (L) – Digite o nome da cidade onde sua empresa está registrada. Ex: San Jose.
  • Organization Name (O) (Nome da organização ) – Digite o nome oficial da sua organização ou seu nome completo se você solicitar um certificado Code Singing para uma pessoa física. Ex: GPI Holding LLC
  • Unidade organizacional (OU) – Especifique o departamento de sua empresa que está solicitando o certificado de assinatura de código. Ex: TI
  • Nome comum (CN) – digite o nome de sua organização ou o nome completo aqui.
  • Endereço de e-mail – forneça um endereço de e-mail válido

Você pode deixar em branco os campos opcionais de senha e nome da organização e simplesmente pressionar Enter.

Inserir informações de CSR

Observação: uma maneira alternativa de gerar a chave privada e o CSR é combinar a Etapa 3 e a Etapa 4 em um único comando:

Openssl req -new -newkey rsa:3072 -nodes -out code_signing_csr.txt -keyout code_signing_key.key -subj "/C=US/ST=California/L=San Jose/O=GPI Holding LLC/CN=GPI Holding LLC

Chave privada combinada e CSR

5. Mova sua chave privada recém-criada e os arquivos CSR para outro diretório

Você deve transferir a chave privada e os arquivos CSR do OpenSSL para um diretório central em seu dispositivo. Mantenha a chave privada em um local seguro e não a compartilhe com pessoas não autorizadas. Siga os comandos abaixo para mover seus arquivos:

  • Crie um novo diretório de pastas em sua unidade C.
    md \c:\codesigningcertificates
  • Mova sua chave privada:
    mover code_signing_key.key c:\codesigningcertificates
Mover chave privada
  • Mova seu CSR
    mover code_signing_csr.txt c:\codesigningcertificate
Mover a RSE

6. Envie o CSR para sua CA

Agora que seu CSR está pronto, você pode abri-lo com qualquer editor de texto, como o Bloco de Notas, e copiar seu conteúdo, incluindo as tags —–BEGIN CERTIFICATE REQUEST—– e —–END CERTIFICATE REQUEST—– na caixa relevante durante o processo de registro do certificado na página do seu fornecedor.

Conteúdo da CSR

Etapas finais

Depois que a CA verificar e validar sua solicitação de certificado de assinatura de código, ela enviará os arquivos necessários por e-mail. Dependendo do seu nível de validação, o recebimento do certificado assinado pode levar de um a alguns dias úteis.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.