重要更新!
从 2023 年 6 月 1 日起,代码签名证书将采用新的安全措施。 现在,所有代码签名证书都必须存储在符合特定安全标准(如 FIPS 140 Level 2、Common Criteria EAL 4+ 或同等标准)的硬件上。
因此,获取和安装证书的过程发生了变化。 证书颁发机构不再支持基于浏览器的密钥生成、创建 CSR 以及在笔记本电脑或服务器上安装证书。 相反,如果您选择 “令牌+发货 “作为代码签名交付方式,CA 将处理 CSR 生成。 另外,如果您希望使用硬件安全模块 (HSM),请查看下面的指南或按照 HSM 提供商的说明生成 CSR。
以下文本包含过时信息,不再适用于代码签名证书的 CSR 生成。
本指南介绍在 Mac 上申请代码签名证书时如何生成证书签名请求。 企业社会责任是一个编码文本块,包含有关您和您公司的信息。 其中包括姓名、公司正式名称、居住国家和城市以及有效的联系电子邮件。
如何在 Mac 上创建 CSR
请按照以下步骤使用钥匙串在 Mac 上生成 CSR。
步骤 1. 打开钥匙串并申请证书
打开 “钥匙串访问”,进入 “证书助手 “菜单。
点击 “向证书颁发机构申请证书”。
步骤 2. 输入所需信息
在 “证书助手 “窗口中,输入所需的信息,如常用名和电子邮件地址。
请注意,代码签名证书的 “通用名称 “必须是申请证书的组织或个人的名称。 为便于演示,我们使用 SSL Dragon 作为 CN。 选择 “保存到磁盘”,指定 Mac 上保存 CSR 文本文件的位置,而不是输入 “CA 电子邮件地址”。
步骤 3. 指定密钥对大小
如果要生成代码签名证书或需要大于 2048 位的 CSR,请选择 “让我指定密钥对信息”。 否则,请点击 “继续”。 选择您喜欢的密钥大小(代码签名至少需要 3072 位),然后点击 “继续”。
步骤 4. 在证书订购过程中打开 Csr 文件并复制粘贴其内容
保存 CSR 文件后,在 “TextEdit” 中打开该文件,方法是右击文件并选择 “Open With”。
复制并粘贴 CSR 文件中的所有文本,包括 “BEGIN CERTIFICATE REQUEST”(开始证书请求)和 “END CERTIFICATE REQUEST”(结束证书请求)标记,到账户订单生成表单的 CSR 字段中。
生成 CSR 后,验证过程将开始。
找到私人密钥
如果你想知道私钥在哪里,请在登录钥匙串的 “所有项目 “下搜索 CSR 的通用名称。 你应该会看到一个公钥(CSR)和一个私钥,它们与你在生成 CSR 时输入的 “通用名称 “相匹配。
请妥善保管您的私人密钥,切勿共享或删除,因为您在安装过程中会用到它。
按照以下步骤,你就可以在 Mac 上创建证书签名请求,并获得符合你需要的有效证书。
最后步骤
在 Mac 上生成证书签名请求并提交给 CA 后,CA 会在交付证书前检查你的身份和业务凭证。 签署代码签名证书可能需要 1 到 3 个工作日。 获得必要的文件后,就可以将它们安装到系统中。