Важное обновление!
Начиная с 1 июня 2023 года, вводится новая мера безопасности для сертификатов подписи кода. Все сертификаты подписи кода теперь должны храниться на оборудовании, соответствующем определенным стандартам безопасности, таким как FIPS 140 Level 2, Common Criteria EAL 4+ или их эквивалентам.
В результате процесс получения и установки сертификатов изменился. Центры сертификации больше не поддерживают генерацию ключей через браузер, создание CSR и установку сертификатов на ноутбуках или серверах. Вместо этого, если Вы выберете токен + отправку в качестве метода доставки подписи кода, ЦС будет заниматься генерацией CSR. Если Вы предпочитаете использовать свой аппаратный модуль безопасности (HSM), ознакомьтесь с приведенными ниже руководствами или следуйте инструкциям поставщика HSM для генерации CSR.
- YubiKey 5 FIPS Генерация и заверение CSR
- Luna Network Attached HSM v7.x: Руководство по CSR и аттестации
Следующий текст содержит устаревшую информацию, которая больше не применима к генерации CSR для сертификатов подписи кода.
В этом руководстве Вы узнаете, как сгенерировать запрос на подписание сертификата для сертификатов подписи кода с помощью OpenSSL. Как только Вы проследите за процессом и освоите команды, Вы сможете создавать будущие коды CSR всего за несколько минут прямо с Вашего устройства. Единственное необходимое условие – наличие в Вашей системе установленного OpenSSL. Выполните следующие шаги для быстрой генерации CSR.
1. Скачайте и установите OpenSSL
Если на Вашем компьютере не установлен OpenSSL, загрузите версию OpenSSL , совместимую с Вашей системой, а затем установите ее на Ваше устройство.
2. Запустите OpenSSL с Вашего устройства
Откройте приложение “Выполнить” на устройстве Windows, нажав клавишу Windows + R на клавиатуре. В появившемся диалоговом окне Выполнить введите cmd и нажмите Enter. Убедитесь, что Вы запустили Командную строку от имени администратора, щелкнув правой кнопкой мыши на значке Командной строки и выбрав “Запуск от имени администратора”. Это запустит интерфейс Командной строки Windows.
Вы также можете получить доступ к Командной строке, набрав cmd в строке поиска, расположенной на Вашей панели задач, а затем выбрав приложение Командная строка.
Когда окно Командной строки открыто, Вы можете изменить текущую директорию на место, где у Вас установлен OpenSSL. Для этого выполните команду, аналогичную одному из следующих примеров, и нажмите Enter:
cd \OpenSSL-Win32\bin
cd \Program Files\OpenSSL-Win64\bin
3. Сгенерируйте закрытый ключ и CSR
Создайте уникальную команду для запуска алгоритма шифрования сертификата и указания размера закрытого ключа. Используйте следующую команду, чтобы сгенерировать закрытый ключ:
OpenSSL genrsa -out code_signing_key.key 3072
Теперь создайте сам файл CSR:
OpenSSL req -new -key code_signing_key.key -out code_signing_csr.txt
4. Заполните поля CSR необходимой информацией
Введите Ваши контактные данные, как будет предложено. Пожалуйста, указывайте точную и актуальную информацию. Вот пример. Убедитесь в том, что Вы заменили детали на свою реальную информацию.
- Страна (CN) – Введите двухбуквенный код страны, в которой зарегистрирована Ваша компания или где Вы проживаете. Экс: США.
- Штат или провинция (ST) – введите название штата, в котором зарегистрирована Ваша компания. Например: Калифорния.
- Местность (L) – введите название города, в котором зарегистрирована Ваша компания. Например: Сан-Хосе.
- Название организации (O) – Введите официальное название Вашей организации или Ваше полное имя, если Вы запрашиваете сертификат Code Singing для физического лица. Ex: GPI Holding LLC
- Organizational Unit (OU) – укажите отдел в Вашей компании, запрашивающий сертификат Code Signing. Ex: IT
- Common Name (CN) – введите здесь название Вашей организации или полное имя.
- Адрес электронной почты – укажите действительный адрес электронной почты
Вы можете оставить поля “Дополнительный пароль” и “Имя организации” пустыми и просто нажать Enter.
Примечание: Альтернативный способ сгенерировать закрытый ключ и CSR – объединить Шаг 3 и Шаг 4 в одну команду:
Openssl req -new -newkey rsa:3072 -nodes -out code_signing_csr.txt -keyout code_signing_key.key -subj "/C=US/ST=California/L=San Jose/O=GPI Holding LLC/CN=GPI Holding LLC
5. Переместите только что созданные файлы закрытого ключа и CSR в другую директорию
Вам следует перенести закрытый ключ и файлы CSR из OpenSSL в центральную директорию на Вашем устройстве. Храните закрытый ключ в надежном месте и не передавайте его посторонним лицам. Выполните приведенные ниже команды OpenSSL, чтобы переместить Ваши файлы:
- Создайте новый каталог папок на диске C.
md \c:\codesigningcertificates - Переместите свой закрытый ключ:
Переместите code_signing_key.key c:\codesigningcertificates
- Переместите свой CSR
переместите code_signing_csr.txt в c:\codesigningcertificate
6. Отправьте CSR в Ваш центр сертификации
Теперь, когда Ваш CSR готов, Вы можете открыть его любым текстовым редактором, например, Блокнотом, и скопировать его содержимое, включая теги —–BEGIN CERTIFICATE REQUEST—– и —–END CERTIFICATE REQUEST—– в соответствующее поле в процессе регистрации сертификата на странице Вашего продавца.
Заключительные шаги
После того, как ЦС проверит и утвердит Ваш запрос на сертификат подписи кода, он вышлет необходимые файлы по электронной почте. В зависимости от Вашего уровня проверки, получение подписанного сертификата может занять от одного до нескольких рабочих дней.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10