重要更新!
从 2023 年 6 月 1 日起,代码签名证书将采用新的安全措施。 现在,所有代码签名证书都必须存储在符合特定安全标准(如 FIPS 140 Level 2、Common Criteria EAL 4+ 或同等标准)的硬件上。
因此,获取和安装证书的过程发生了变化。 证书颁发机构不再支持基于浏览器的密钥生成、创建 CSR 以及在笔记本电脑或服务器上安装证书。 相反,如果您选择 “令牌+发货 “作为代码签名交付方式,CA 将处理 CSR 生成。 另外,如果您希望使用硬件安全模块 (HSM),请查看下面的指南或按照 HSM 提供商的说明生成 CSR。
以下文本包含过时信息,不再适用于代码签名证书的 CSR 生成。
在本指南中,我们将指导你通过 Microsoft Windows 上的 MMC 生成代码签名证书的证书签名请求。 如果您在执行这些步骤时遇到任何困难,我们建议您联系 Microsoft 支持部门寻求进一步帮助。
请记住,生成 CSR 需要为 Windows 计算机创建一个唯一的密钥对。 确保公钥和私钥文件的安全至关重要。 丢失其中任何一个都会导致代码签名证书和配对密钥不匹配。 在这种情况下,您必须更换新的证书。
通过 MMC 生成代码签名证书的 CSR
只要认真遵守以下说明,就能确保无缝生成 CSR 并保持证书的完整性。
步骤 1. 在 MMC 中添加插件
- 在 Windows 设备上,单击 “开始”。
- 在搜索程序和文件字段中,键入:mmc
- 单击 “文件 “,然后单击 “添加/删除插件“。
- 从可用快显列表中选择证书,然后单击添加。
- 选择计算机账户,然后单击下一步。
- 选择本地计算机(此控制面板正在运行的计算机),然后单击完成。
- 在“添加/删除插件“窗口中,单击 “确定“。
- 保存这些控制台设置,以备将来使用。
步骤 2. 启动证书注册
- 转到 MMC 快照,然后右键单击 “个人“文件夹。
- 选择所有任务 > 高级操作 > 创建自定义请求。
- 在 CSR 生成向导中点击下一步。
- 选择 “不执行注册策略继续“,然后单击 “下一步“。
- 在 PKCS # 10 窗口单击 “下一步“。
- 从详细信息下拉菜单中选择属性
步骤 3. 提供所需信息
- 输入您喜欢的友好名称。
- 选择 “主题 “选项卡,在 “主题名称:类型:”字段中添加生成 CSR 所需的以下名称值(CN、O、OU、S、L 和 C)。
- CN 代表通用名称(Common Name)–证书将颁发给的注册组织名称或个人全名。
- O 代表组织– 证书所属的注册组织名称。 如果公司或部门名称包含特殊字符,如 &、@ 或任何其他需要使用 shift 键的符号,请在注册证书时拼出该符号或将其省略。 例如,如果名称是 “AB & C 公司”,则应输入 “ABC 公司 “或 “AB 和 C 公司”。
- OU 代表 组织单位 – 组织 内负责证书注册的部门。
- S 代表州– 组织注册所在的州或省。 请勿缩写州名或省名,如佛罗里达州(Florida),而不是 FL。
- L 代表所在地– 公司注册所在的城市。
- C – 代表国家 – 公司注册地的双字母国家代码。
步骤 4. 选择私钥大小和散列算法
- 单击 “私钥“选项卡,然后单击 “密钥选项 “下拉菜单,选择密钥 大小,再选中 “使私钥可导出 “选项,然后单击 “确定“。
- 注:所有代码签名证书的密钥大小必须为 3072 位或 4096 位。
- 单击 “选择散列算法“下拉菜单,在 “散列算法“下选择sha256,然后单击 “确定“。
步骤 5. 保存 CSR 文件
- 单击下一步 ,然后单击浏览。
- 将 CSR 文件保存在首选位置。 输入文件名,单击保存, 然后完成。
- 您将在保存的位置找到 CSR 文件。 您可以用它来申请代码签名证书。 默认情况下,Windows 会将其保存在 C:\Windows\System32 中。
最后一步
向 CA 提交 CSR 代码并通过验证后,证书颁发机构将向您颁发代码签名证书,您就可以用它来签署您的软件了。