如何使用 OpenSSL 生成代码签名证书的 CSR

最后更新于 22 2 月, 2024 由 Dionisie Gitlan

重要更新！

从 2023 年 6 月 1 日起，代码签名证书将采用新的安全措施。现在，所有代码签名证书都必须存储在符合特定安全标准（如 FIPS 140 Level 2、Common Criteria EAL 4+ 或同等标准）的硬件上。

因此，获取和安装证书的过程发生了变化。证书颁发机构不再支持基于浏览器的密钥生成、创建 CSR 以及在笔记本电脑或服务器上安装证书。相反，如果您选择 “令牌+发货 “作为代码签名交付方式，CA 将处理 CSR 生成。另外，如果您希望使用硬件安全模块 (HSM)，请查看下面的指南或按照 HSM 提供商的说明生成 CSR。

以下文本包含过时信息，不再适用于代码签名证书的 CSR 生成。

本指南将告诉你如何使用 OpenSSL 生成代码签名证书的证书签名请求。只要按照流程操作并熟悉命令，您就能在几分钟内直接从设备上创建 CSR 代码。唯一的先决条件是在系统中安装 OpenSSL。请按照以下步骤快速生成 CSR。

1.下载并安装 OpenSSL

如果电脑上没有安装 OpenSSL，请下载与系统兼容的OpenSSL 版本，然后将其安装到设备上。

2.从设备运行 OpenSSL

按键盘上的 Windows键+R 键，打开 Windows 设备上的 “运行 “应用程序。在出现的 “运行 “对话框中，键入cmd，然后按Enter。右键单击命令提示符图标，选择 “以管理员身份运行”，确保以管理员身份运行命令提示符。这将启动 Windows 命令提示符界面。

您还可以在任务栏上的搜索栏中输入cmd，然后选择 “命令提示符 “应用程序来访问 “命令提示符”。

打开命令提示符窗口后，可以将当前目录更改为安装 OpenSSL 的位置。为此，请使用与以下示例类似的命令并按Enter 键：

cd \OpenSSL-Win32\bin

cd \Program Files\OpenSSL-Win64\bin

3.生成私钥和 CSR

生成启动证书加密算法和指定私钥大小的唯一命令。使用以下命令生成私钥：

OpenSSL genrsa -out code_signing_key.key 3072

现在，生成 CSR 文件：

OpenSSL req -new -key code_signing_key.key -out code_signing_csr.txt

4.填写 CSR 字段所需信息

根据提示输入您的联系信息。请提供准确的最新信息。这里有一个例子。确保将详细信息替换为您的实际信息。

国家 (CN) – 输入贵公司注册地或您居住地的双字母国家代码。 Ex: US.
州或省（ST）- 输入贵公司注册所在州的名称。例如：加利福尼亚州。
所在地 (L) – 输入贵公司注册所在的城市名称。例如：圣何塞。
组织名称 (O) – 输入贵组织的正式名称，如果为个人申请 Code Singing 证书，则输入全名。 Ex: GPI Holding LLC
组织单位 (OU)– 指定贵公司申请代码签名证书的部门。例如：信息技术
通用名称 (CN)– 在此处输入贵组织的名称或全称。
电子邮件地址– 提供有效的电子邮件地址

您可以将可选的密码和组织名称字段留空，然后直接按 Enter 键。

注意： 生成私钥和 CSR 的另一种方法是将步骤 3 和步骤 4 合并为一条命令：

Openssl req -new -newkey rsa:3072 -nodes -out code_signing_csr.txt -keyout code_signing_key.key -subj "/C=US/ST=California/L=San Jose/O=GPI Holding LLC/CN=GPI Holding LLC