تحديث مهم!
ابتداءً من 1 يونيو 2023، سيتم تطبيق إجراء أمني جديد لشهادات توقيع الأكواد البرمجية. يجب الآن تخزين جميع شهادات توقيع الكود على أجهزة تفي بمعايير أمان محددة مثل FIPS 140 المستوى 2 أو المعايير المشتركة EAL 4+ أو ما يعادلها.
ونتيجة لذلك، تغيرت عملية الحصول على الشهادات وتثبيتها. لم تعد المراجع المصدِّقة تدعم إنشاء المفاتيح المستندة إلى المستعرض، وإنشاء سجلات CSRs، وتثبيت الشهادات على أجهزة الكمبيوتر المحمولة أو الخوادم. وبدلاً من ذلك، إذا اخترت الرمز المميز + الشحن كطريقة تسليم توقيع الرمز الخاص بك، فسيتولى المرجع المصدق (CA) إنشاء المسؤولية الاجتماعية للشركات. وبدلاً من ذلك، إذا كنت تفضل استخدام وحدة أمان الأجهزة (HSM)، فراجع الأدلة أدناه أو اتبع تعليمات موفر وحدة أمان الأجهزة (HSM) لإنشاء المسؤولية الاجتماعية للشركات.
- إنشاء وتصديق YubiKey 5 FIPS CSR
- Luna Network Attached Network HSM v7.x: دليل المسؤولية الاجتماعية للشركات والتصديق
يحتوي النص التالي على معلومات قديمة، لم تعد قابلة للتطبيق على إنشاء CSR لشهادات توقيع الكود.
بدءًا من 1 يونيو 2021، يجب على مقدمي طلبات شهادات توقيع الشفرات البرمجية الالتزام بمتطلبات خط الأساس لتوقيع الشفرات البرمجية لمنتدى المستعرضين/المراجع المصدقة (CA/Browser Forum Code Signing Baseline)، والتي تتطلب ألا يقل طول مفتاح RSA عن 3072 بت. للحصول على أمان أفضل، نوصي بإنشاء طلب توقيع شهادة (CSR) بمفتاح 4096 بت.
هناك العديد من الطرق لإنشاء CSR لشهادة توقيع الرمز البرمجي، وفي هذه المقالة، سنوضح لك كيفية إنشاء CSR باستخدام الأمر CertReq في Windows.
إنشاء CSR باستخدام certreq
لاستخدام الأمر “certreq”، يجب عليك أولاً إنشاء ملف “request.inf” باستخدام محرر نصوص مثل Notepad. اتبع الإرشادات أدناه لإنشاء ملف request.inf وإنشاء CSR لشهادة توقيع الرمز الخاص بك.
بناء ملف request.inf
الطلب.إنف يجب أن يحتوي الملف على “تفاصيل الموضوع” المطلوبة لتضمينها في CSR. بعد إنشاء ملف request.inf، يمكنك إنشاء CSR باستخدامه.
انسخ المحتويات أدناه في مستند نصي واحفظها باسم “request.inf”. يجب عليك استبدال سطر “الموضوع” فقط ليشمل تفاصيل شركتك.
[NewRequest]
تغيير إلى رمز البلد(C)، والاسم الشائع(CN)، واسم الشركة(O)، واسم المنطقة(L)، واسم الولاية/المقاطعة(S)
الموضوع = “CN = اسم شركتك، O = اسم شركتك، L = المدينة، S = الولاية، C = الولايات المتحدة”
مواصفات المفتاح = 1
طول المفتاح = 4096
قابل للتصدير = TRUE
مجموعة مفاتيح الماكينة = FALSE
SMIME = False
الأرشيف الخاص بالمفتاح الخاص = FALSE
محمي من قبل المستخدم = FALSE
استخدام مجموعة المفاتيح الموجودة = FALSE
اسم الموفر = “Microsoft RSA SChannel Cryptography ProviderName = “Microsoft RSA SChannel Cryptography Provider”
نوع الموفر = 12
نوع الطلب = PKCS10
استخدام المفتاح = 0xa0
خوارزمية التجزئة = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.3.6.1.5.5.7.3.3.3؛ وهذا لتوقيع الرمز
توليد CSR عبر ملف request.inf
بمجرد حفظ ملف request.inf، يمكنك استخدام موجه أوامر Windows لإنشاء CSR عن طريق إدخال الأمر التالي:
CERTREQ - طلب جديد.inf codesign.csr
بعد تشغيل هذا الأمر، سيتم إنشاء CSR جديد وحفظه كملف باسم “codesign.csr”. يمكنك بعد ذلك إرسال CSR هذا إلى المرجع المصدق المرجعي المصدق (CA) لطلب شهادة توقيع الرمز.
الخطوات النهائية
بمجرد استلامك لشهادة توقيع الرمز الخاص بك، يجب عليك تثبيتها على نفس جهاز الكمبيوتر. قم بتشغيل الأمر التالي:
certreq -accept certificate.crt
بعد تثبيت الشهادة، يمكنك تصديرها إلى ملف PFX. قد تختلف عملية تصدير الشهادة اعتماداً على نظام التشغيل وبرنامجك المحدد. بشكل عام، يمكنك تصدير الشهادة عن طريق فتح مدير الشهادات وتحديد الشهادة واختيار تصديرها كملف PFX.
بمجرد أن تقوم بتصدير الشهادة إلى ملف PFX، يمكنك استخدامها لتوقيع الكود الخاص بك والتأكد من صحته.
وفِّر 10% على شهادات SSL عند الطلب اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10
