Перейти к основному содержимому

Генерация файла-запроса на сертификат

Генерация ключа

Для подписывания пакетов рекомендуется использовать ГОСТ 34.10-2012.

Сгенерировать ключ можно как на сборочном окружении, так и из Aurora IDE в процессе создания файла запроса, который описан в документации ОС Аврора.

Чтобы сгенерировать ключ на сборочном окружении, выполните команду:

$ openssl genpkey -engine gost -algorithm gost2012_256 -pkeyopt paramset:A -aes256 -out {key}.pem

В процессе выполнения команды запрашиваются пароли для шифрования файла с закрытым ключом.

После выполнения команды ключ будет сохранён в файл {key}.pem. Персональные ключи являются приватными, и использовать их должны только сотрудники, уполномоченные подписывать релизы приложений.

Подробнее про генерацию ключа см. в документации ОС Аврора.

Генерация запроса

Сертификат можно получить как на сборочном окружении, так и из Aurora IDE. Процесс создания сертификата описан в в документации ОС Аврора.

Чтобы получить сертификат на сборочном окружении, сгенерируйте CSR — запрос на сертификат для подписывания пакетов.

Чтобы создать запрос на получение сертификата, подготовьте файл настроек запроса csr.conf, который имеет следующий вид:

[ req ]
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = v3_usr

[ req_distinguished_name ]
CN = {COMMON_NAME}

[ v3_usr ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid

{COMMON_NAME} следует заменить на уникальный идентификатор, которым могут служить:

  • доменное имя сайта компании;
  • ФИО разработчика, зарегистрировавшего аккаунт как физическое лицо в RuStore;
  • уникальный никнейм или название, позволяющее определить разработчика;

Требования к заполнению {COMMON_NAME}:

  • не более 64 символов;
  • не должна содержаться информация оскорбительного характера, нарушающая законы РФ или вводящая в заблуждение;

Если поле в запросе окажется неуникальным или не будет соответствовать требованиям, мы можем попросить сгенерировать новый запрос.

Сгенерируйте файл запроса:

openssl req -new -utf8 -batch -config csr.conf -key {key}.pem -out {csr}.pem

После выполнения команды запрос будет сохранён в файл {csr}.pem.