Professional Documents
Culture Documents
Agosto2006
SUMRIO
1 INTRODUO.....................................................................................................................................................4 2 PR-REQUISITOS BSICOS.............................................................................................................................4 3 CONFIGURAO DAS AUTORIDADES CERTIFICADORAS....................................................................5 3.1 AUTOMATICAMENTE ATRAVS DA PGINA INTERNET DA AUTORIDADE CERTIFICADORA..........................................................5 3.2 CONFIGURAO MANUAL...........................................................................................................................................9 4 CONFIGURAO DE LISTAS DE REVOGAO........................................................................................11 4.1 AUTOMATICAMENTE ATRAVS DA PGINA INTERNET DA AUTORIDADE CERTIFICADORA........................................................11 4.2 CONFIGURAO MANUAL. .......................................................................................................................................13 5 PROCEDIMENTOS PARA CERTIFICADO EM ARQUIVOS......................................................................14 5.1 PR-REQUISITOS.......................................................................................................................................................14 5.2 CONFIGURAO DO CERTIFICADO EM ARQUIVO.............................................................................................................14 6 PROCEDIMENTOS PARA CERTIFICADOS EM HARDWARE..................................................................16 6.1 PR-REQUISITOS.......................................................................................................................................................16 6.2 CONFIGURAO E ATIVAO.....................................................................................................................................16 6.3 ALTERAO DA SENHA PESSOAL (PIN) DO CERTIFICADO...............................................................................................19 7 CONSIDERAES FINAIS..............................................................................................................................20
1INTRODUO
EstemanualdestinaseaorientaraconfiguraodonavegadorMozilla/Firefox,para uso de certificados digitais, armazenados em arquivos que so os de nvel A1 e S1, os armazenadosemhardwarecriptogrficoquesoosdenvelA3,S3,A4eS4(tokenousmart card). OambienteoperacionalhomologadooLINUX/DEBIAN. O documento no detalhar nenhum conceito de certificao digital ou das ferramentasrelacionadas,poisestesconhecimentossoconsideradosprrequisitosparaeste manual.
2PRREQUISITOSBSICOS
ConceitosdeCertificaoDigital:AplataformadedesenvolvimentoPINHOfornece materialecursosparaaquisiodestesconhecimentos.
3CONFIGURAODASAUTORIDADESCERTIFICADORAS.
Aprimeiraconfiguraoaserexecutada,ainserodascadeiasdecertificadosdas autoridadescertificadoras,quecorrespondemaocertificadoemitido. Existemduasmaneirasdefazerestaconfigurao:Automaticamenteatravsdoportal internetdaautoridadecertificadoraouporConfiguraoManual.
3.1AutomaticamenteatravsdapginaInternetdaautoridadecertificadora
Estamaneiramaisfcileconfivel,abaixoseguemospassosparaaconfigurao: Primeiramente devese conhecer os endereos de internet (url) da autoridade certificadoraeasdemaisinformaesporelafornecidasreferentescertificaodigital. Executar/abrir o navegador Mozilla Firefox e digitar o endereo da autoridade certificadoracorrespondenteaocertificadoadquirido,quenesteexemploadaCEF(Caixa EconmicaFederal)http://icp.caixa.gov.br.
Figura1PortaldaAutoridadeCertificadoraemAgostode2006.
Emseguidaentrarnapginaquearmazenaoscertificados(estainformaoobtida comaautoridade)quenestecasoolink:CertificadosdaCAIXA.
PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR
Figura2CertificadosdaAutoridadeCertificadoraEmagostode2006.
O primeiro certificado a ser inserido o da ICPBRASIL, no haver problemas mesmo que j tenha sido inserido anteriormente, basta clicar sobre o link DigitaldaACRaizBrasileiraqueabriraseguintetela: Certificado
Figura3Recebendoocertificado.
MarcartodasasopesdeconfianaefinalidadeseclicarnobotoOK. Estepassoserrepetido,masagoraparaorestantedacadeia,quesoasAC'sdenveis inferioresaodaRaizeconformeasuahierarquia. Nesteexemploaseqnciaaseguinte: CertificadoDigitaldaACCaixa CertificadoDigitaldaACCaixaPessoaFsica Afigura3serreapresentadanosdoiscasosedeverosermarcadastodasasopes tambm. Com isto as cadeias estaro includas. E caso queira confirmar selecione o menu Editar/Preferncias(outeclasalt+E+P),queirabrirateladepreferncias.
Figura4PrefernciasdoFirefox.
Figura5GerenciadordeCertificadosDestaqueparaasautoridadesincludasdaICPBRASIL
3.2ConfiguraoManual
Para a configurao manual preciso dos arquivos(.cer) dos certificados das autoridades,quedeveroestaremumdiretrioacessvel,estesarquivosdevemserfornecidos pelaautoridadecertificadoraoudisponibilizadosemumendereo/siteinternet. Oprimeiropassoexecutar/abrironavegadorMozillaFirefox. Selecione o menu Editar/Preferncias (ou teclas alt+E+P), que abrir a tela de preferncias.
Figura6PrefernciasdoFirefox.
10
Figura7Gerenciadordecertificadosnaabaautoridades.
Figura8Arquivosdecertificados.
Sernecessriorepetiratarefaparacadaarquivo,conformeahierarquia,partindoda RAIZemarcartodasaopesdeconfianaefinalidades,conformeatelaabaixo:
Figura9Recebendoocertificado.
4CONFIGURAODELISTASDEREVOGAO.
Umprocedimentoimportanteparaousodoscertificadosvalidadosporautoridades certificadoras,aconfiguraodalistadecertificadosrevogados,quegarantiravalidadedo certificado para cada autoridade. Para configurao das autoridades existem duas formas conformesegue:
4.1Automaticamenteatravsdapginainternetdaautoridadecertificadora
Estamaneiraamaisfcileintuitiva,bastaseguirospassosseguintes: SeguindoopadroaprimeiralistadeverseradaRAIZdaICPBRASILque se encontranoendereo:http://acraiz.icpbrasil.gov.br/
Figura10PortaldaAutoridadeCertificadoraRaizdaICPBRASILemFevereirode2007.
Noquadroesquerdoencontraseolinkparaalistadecertificadosrevogados(LCR
Download).
12 Bastaclicarnolinkqueirapresentaratelaabaixo:
Figura11StatusdaimportaodaCRL
Figura12OpesparaatualizaoautomticadaCRL.
AssinalaraopoAtivareclicarnobotoOK.Istofarcomquealistasejaatualizada automaticamente,desdequehajaconexointernet,quandoonavegadorexecutado. Depois preciso conhecer o endereo internet da autoridade certificadora, que armazenaaslistasdecertificadosrevogados. Digitaroendereodaautoridadecertificadoracorrespondente,quenesteexemploa daCEF(CaixaEconmicaFederal)https://pf.icp.caixa.gov.br/asp/repositorio.asp Procuraroslinks:
LCRdaACCAIXA LCRdaACCAIXAPessoaFsica
PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR
13 Clicaremcadaumdoslinkseomesmoprocedimentodasfiguras11e12deverser seguido para cada um dos links, podero haver mais nveis de autoridades conforme o certificado.
4.2ConfiguraoManual.
Na configurao manual preciso conhecer o endereo exato para a lista de certificadosrevogados,poristooitem4.1omaisrecomendado,principalmentequandose utilizaoproxyparaacessoainternet. Seguiroitem3.2atafigura6.,depoisclicarnaabaSeguranaeemseguidaclicarna opoRevogaesqueapresentaratelaabaixo:
Figura13GerenciadordeCRL(listadecertificadosrevogados)
ClicarentonobotoImportar...queexibiratelaseguinte:
Figura14ImportarListasdeRevogaodeCertificado
Informaroendereocompletodalista,sendoqueaprimeiradeveserobrigatoriamente aRAIZdaICPBRASIL(http://acraiz.icpbrasil.gov.br/LCRacraiz.crl). Executar o mesmo passo para todas as autoridades conforme a hierarquia do certificado.
PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR
14
5PROCEDIMENTOSPARACERTIFICADOEMARQUIVOS.
AsaplicaesWEBqueutilizamcertificadosdigitaispessoais,podemexigirumcerto nveldeseguranaqueemalgunscasospodesersupridoporumcertificadodenvelA1ouS1 enestescasosexplicaremoscomofazerasuaconfiguraonoMozillaFirefox.
5.1Prrequisitos.
Completaroitem3.1ou3.2. AdquirirocertificadoouexportlonoformatoPKCS12.
5.2Configuraodocertificadoemarquivo.
Executar/abrironavegadorMozillaFirefox. Selecionar o menu Editar/Preferncias (ou teclas alt+E+P), que abririr a tela de preferncias.
Figura15PrefernciasdoFirefox.
Na seqncia devese clicar no cone Avanado e depois na aba Segurana, em seguidaclicarnaopoCertificados,queapresentarateladoGerenciadordeCertificados, depoisclicarnaabaSeusCertificadoseatelaseguinteaparecer:
15
Figura16GerenciadordecertificadosDestaqueparaSeuscertificados.
Figura17Confirmaodeimportao.
16
6PROCEDIMENTOSPARACERTIFICADOSEMHARDWARE
Oscertificadosdigitaisarmazenadosemhardware(nveisA2,A3,A4,S2,S3eS4), garantemummaiornveldeseguranapoisutilizamdispositivosdehardwareesoexigidos emmuitasaplicaesWEB. Neste item ser orientada a Configurao deste tipo de certificadonoMozillaFirefox.
6.1Prrequisitos
mozillaopensc
6.2ConfiguraoeAtivao.
FechartodasasjanelasounavegadoresMozillaFirefoxAbertos. Comtodososprrequisitosvalidados,certificarsedequeaLeitoradeSmartCardou Tokenestejaconectadoaocomputador,enocasodoSmartCardqueomesmoestejainserido naLeitora. Execute/AbranovamenteoMozillaFirefox. ParaativarainstalaoselecionaromenuEditar/Preferncias(outeclasalt+E+P),que abrir a tela de preferncias, neste momento o navegador ir procurar e configurar automaticamente o certificado, o que pode demorar alguns segundos conforme o equipamentoeainstalao,emdeterminadasversesouinstalaesoprocessonofeito
17 automaticamente e neste caso ser necessrio configurar conforme ser explicado na seqncia.
Figura18PrefernciasdoFirefox.
18 Seocertificadoforlistadocomonafigura14,oMozillaFirefoxesthabilitadopara trabalharcomocertificadoeacessarasaplicaesquenecessitemdecertificadodigital. Casoocertificadonoconstenalista,porquenofoireconhecido,poisodispositivo deleituranofoicarregadodeformaautomtica,enestecasosernecessrioocarregamento manual. Primeiramente devese certificar de que o carto esteja na leitora ou o token conectado. Paracarregamentomanual,aindanateladafigura14,clicarnoboto carregar que abriratelaabaixo:
Figura20CarregardispositivoPKCS#11
Nestatelainformaro Nomedomdulo, poderserqualquernomequeseconsiga identificarfacilmente,comoporexemplo:Minhaleitora,eemseguidainformaroNomedo arquivo do mdulo, que dever ser: /usr/lib/opensc/openscpkcs11.so ou ento, clicar no botoProcurar...parainformarodiretrio(conformeafigura16).aformamaisprticae tambmparacasosondeoarquivoopenscpkcs11.sonoestejanodiretrio/usr/lib/opensc.
19
Figura21Seleododispositivodesegurana.
Nestemomentoocertificadoserlidoecarregado,oquepodelevarumcertotempo dependendodoequipamento.Apsistoocertificadodeverserlistadocomonafigura14,ea partirdestemomentooMozillaFirefoxestarhabilitadoparausodocertificadodigital. AtualmenteoMozillaFirefoxnopodeserutilizadoemparalelocomThunderbird para uso do SmartCard, pois o primeiro programa que fizer a leitura do certificado, ir bloquearaleituraparaooutro,masnoimpediroseufuncionamento.Portantohavendo interesseemseutilizarocertificadoemambos,aexecuodeverseremseparado.Emcaso deassinarecriptografaremailsThunderbirdeutilizaroFirefoxparaacessarpginasqueno necessitemdecertificadodigital,nohaverproblemas.
6.3Alteraodasenhapessoal(PIN)docertificado.
Atravsdainterfacedonavegador,possvelefetuaramudanadasenhapessoaldo smartcard/token. Com medida de segurana e recomendado que a mesma seja alterada periodicamente. Paraisto,estandoconfiguradoconformeoitemanterior,abraonavegadoreexecuteos procedimentosdasfiguras18e19.Atelaapresentadadeverseraseguinte:
20
Figura22.GerenciadordeDispositivosdesegurana.
NotequeobotoModificarsenhadeverestarhabilitado. Cliquenestebotoparafazeramudanadesenha,aseguintetelaserapresentada:
Figura23ModificarasenhaPIN.
InformeentoasenhaPINondeestescritoSenhamestraatualeemseguidaaNova senhaeaConfirmaodaSenha.
7CONSIDERAESFINAIS.
AhomologaodestemanualfoifeitacomousodeumaleitorahomologadapelaICP BRASILatravsoLEALaboratriodeEnsaioseAuditoria(http://www.lea.gov.br/)masas instrues devem funcionar para os dispositivos suportados pelo OPENCT (http://www.openscproject.org/openct/).
PLATAFORMA DE DESENVOLVIMENTO PINHO PARAN - CELEPAR