重要更新!
从 2023 年 6 月 1 日起,代码签名证书将采用新的安全措施。 现在,所有代码签名证书都必须存储在符合特定安全标准(如 FIPS 140 Level 2、Common Criteria EAL 4+ 或同等标准)的硬件上。
因此,获取和安装证书的过程发生了变化。 证书颁发机构不再支持基于浏览器的密钥生成、创建 CSR 以及在笔记本电脑或服务器上安装证书。 相反,如果您选择 “令牌+发货 “作为代码签名交付方式,CA 将处理 CSR 生成。 另外,如果您希望使用硬件安全模块 (HSM),请查看下面的指南或按照 HSM 提供商的说明生成 CSR。
以下文本包含过时信息,不再适用于代码签名证书的 CSR 生成。
申请代码签名证书时,您必须在一个称为 CSR(证书签名请求)的编码文本文件中提供有关您本人和贵公司的信息。 该文件包含您的姓名、组织(如适用)和电子邮件地址等详细信息。 在创建 CSR 的过程中,你会得到两个文件:一个是 CSR 本身,你需要在注册证书时提供;另一个是私钥,你应该对它保密,并在安装过程中使用。
要使用 Keytool 生成 CSR,请确保服务器或计算机上安装了 Java 开发工具包 (JDK)。
如何使用 Keytool 生成 CSR
请按照以下步骤,借助 Java 开发工具包在 Linux 或 Windows 中生成代码签名证书的 CSR。
1.创建密钥存储和密钥文件
首先,在密钥存储提示符下运行创建密钥存储和密钥文件的命令:
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks
2.提交您的联系信息
接下来,输入以下所需的 CSR 详情:
- 输入密钥库密码。 选择一个安全的密码。 重新输入密码进行确认。
- 提交您的姓和名。
- 输入贵组织的正式名称。 再检查一遍。
- 然后,输入您所在城市或地区的名称,以及贵组织注册所在的州或省。
- 输入您所在位置的双字母国家代码。
- 提供所有必要信息后,您必须确认 CN 是否正确。 CN 的格式应为 “CompanyName or Firstname Lastname, OU=DeparmentName, O=CompanyName, L=City, ST=State, C=CountryCode” 。
- 最后,输入密钥密码。
该命令将生成一个名为 keystore.jks 的 Java 密钥存储文件。
3.使用密钥工具生成 CSR
要从密钥库生成 CSR,请按照以下简单步骤操作:
- 打开命令提示符。
- 键入以下命令
keytool -certreq -alias server -file csr.csr -keystore keystore.jks - 按Enter键,然后根据提示输入您的密钥存储密码(在步骤 2 中创建)。
就是这样!该命令将创建 CSR 和私钥,文件扩展名为 .csr 和 .jks。
最后步骤 – 完成订单
使用 keytool 生成 CSR 后,复制其内容,包括页眉–BEGIN NEW CERTIFICATE REQUEST–和页脚–END NEW CERTIFICATE REQUEST–标记,并将其粘贴到代码签名供应商账户的相关框中。 选择 “Java “作为代码签名证书类型,然后完成注册过程。 证书颁发机构应根据验证类型在一个或多个工作日内签署代码签名证书。
