Важное обновление!
Начиная с 1 июня 2023 года, вводится новая мера безопасности для сертификатов подписи кода. Все сертификаты подписи кода теперь должны храниться на оборудовании, соответствующем определенным стандартам безопасности, таким как FIPS 140 Level 2, Common Criteria EAL 4+ или их эквивалентам.
В результате процесс получения и установки сертификатов изменился. Центры сертификации больше не поддерживают генерацию ключей через браузер, создание CSR и установку сертификатов на ноутбуках или серверах. Вместо этого, если Вы выбрали метод“токен + отправка” в качестве способа доставки подписи кода, ЦС будет заниматься генерацией CSR. Если Вы предпочитаете использовать свой аппаратный модуль безопасности (HSM), ознакомьтесь с приведенными ниже руководствами или следуйте инструкциям поставщика HSM для генерации CSR.
- YubiKey 5 FIPS Генерация и заверение CSR
- Luna Network Attached HSM v7.x: Руководство по CSR и аттестации
Следующий текст содержит устаревшую информацию, которая больше не применима к генерации CSR для сертификатов подписи кода.
В этом руководстве мы расскажем Вам о процессе генерации запроса на подпись сертификата для сертификатов подписи кода с помощью MMC в Microsoft Windows. Если у Вас возникнут трудности при выполнении этих шагов, мы рекомендуем обратиться в службу поддержки Microsoft за дальнейшей помощью.
Имейте в виду, что генерация CSR подразумевает создание уникальной пары ключей для Вашего компьютера под управлением Windows. Очень важно хранить в безопасности файлы как открытого, так и закрытого ключа. Потеря любого из них приведет к несоответствию между Вашим сертификатом Code Signing и парой ключей. В этом случае Вам придется заменить сертификат на новый.
Сгенерируйте CSR для сертификата подписи кода с помощью MMC
Тщательно следуя приведенным ниже инструкциям, Вы сможете обеспечить бесперебойную генерацию CSR и сохранить целостность Ваших сертификатов.
Шаг 1. Добавьте оснастку в MMC
- На устройстве Windows нажмите Пуск.
- В поле Поиск программ и файлов введите: mmc
- Нажмите Файл , затем Добавить/удалить оснастку.
- Из списка доступных оснасток выберите Сертификаты и нажмите Добавить.
- Выберите Учетная запись компьютера и нажмите Далее.
- Выберите Локальный компьютер (компьютер, на котором запущена эта консоль) и нажмите Готово.
- В окне Добавить/удалить оснастку нажмите OK.
- Сохраните эти настройки консоли для использования в будущем.
Шаг 2. Инициируйте зачисление на сертификат
- Перейдите к своей оснастке MMC, затем щелкните правой кнопкой мыши папку Personal.
- Выберите все задачи > Дополнительные операции > Создание пользовательского запроса.
- В мастере создания CSR нажмите Далее.
- Выберите Приступить без политики регистрации и нажмите Далее.
- В окне PKCS # 10 нажмите Далее.
- Выберите Свойства в раскрывающемся меню Подробности
Шаг 3. Предоставьте необходимую информацию
- Введите дружеское имя по своему усмотрению.
- Выберите вкладку Subject и в поле Subject name: Type: добавьте следующие значения имен, необходимые для создания CSR (CN, O, OU, S, L и C).
- CN означает Common Name – зарегистрированное имя организации или полное имя физического лица, на которое будет выдан сертификат.
- O означает Organization (Организация ) – зарегистрированное имя организации, которой принадлежит сертификат. Если название компании или отдела содержит специальные символы, такие как &, @ или любой другой символ, требующий использования клавиши shift, пожалуйста, напишите этот символ или опустите его при регистрации на получение сертификата. Например, если название “AB & C Corporation”, его следует ввести как “ABC Corporation” или “AB and C Corporation”.
- OU означает Organizational Unit (Организационное подраз деление) – отдел в организации, отвечающий за зачисление сертификата.
- S означает State – штат или провинция, где зарегистрирована организация. Не сокращайте название штата или провинции, например, Флорида, а не FL.
- L означает Locality – город, в котором зарегистрирована компания.
- C – обозначает Country (Страна ) – двухбуквенный код страны, в которой зарегистрирована компания.
Шаг 4. Выберите размер закрытого ключа и алгоритм хэширования
- Перейдите на вкладку Личный ключ, затем нажмите на выпадающий список Параметры ключа и выберите Размер ключа, затем отметьте опцию Сделать личный ключ экспортируемым и нажмите OK.
- Примечание: Все сертификаты Code Signing должны иметь 3072-битный или 4096-битный размер ключа.
- Нажмите на выпадающий список Select Hash Algorithm, в разделе Hash Algorithm выберите sha256 и нажмите OK.
Шаг 5. Сохраните Ваш файл CSR
- Нажмите Далее , затем нажмите Обзор.
- Сохраните файл CSR в предпочтительном месте. Введите имя для файла, нажмите Сохранить и затем Закончить.
- Вы найдете файл CSR в сохраненном Вами месте. Вы можете использовать его для запроса сертификата подписи кода. По умолчанию Windows сохраняет его в C:\Windows\System32
Заключительный шаг
После того, как Вы отправите код CSR в центр сертификации и пройдете проверку, центр сертификации выдаст Вам сертификат подписи кода, и Вы сможете подписывать им свои программы.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10