| 1 | | |
| 2 | | = Em desenvolvimento = |
| | 1 | = Utilização de Certificados Digitais no Expresso Versão 2.3 = |
| | 2 | |
| | 3 | |
| | 4 | 1. Introdução[[BR]] |
| | 5 | 1.1. Conceitos[[BR]] |
| | 6 | 1.2. Obtendo um Certificado Digital[[BR]] |
| | 7 | [[BR]] |
| | 8 | 2. Configurações na Estação de trabalho do Usuário[[BR]] |
| | 9 | 2.1. Configurando a máquina virtual Java[[BR]] |
| | 10 | 2.2. Certificados Tipo A1[[BR]] |
| | 11 | 2.2.1. Linux(Ubuntu)[[BR]] |
| | 12 | 2.2.2. Windows(Xp)[[BR]] |
| | 13 | 2.3. Certificados Tipo A3[[BR]] |
| | 14 | [[BR]] |
| | 15 | 3. Configurações no Servidor de Aplicação[[BR]] |
| | 16 | 3.1. Habilitando SSL no Servidor web[[BR]] |
| | 17 | 3.2. Verificando Permissões [[BR]] |
| | 18 | 3.3. Habilitando HTTPS no site do Expresso[[BR]] |
| | 19 | 3.4. Verificando os atributos ldap[[BR]] |
| | 20 | 3.4.1. Acertando Schemas do diretório[[BR]] |
| | 21 | 3.4.2. Configurando os atributos a serem utilizados [[BR]] |
| | 22 | 3.4.3. Mudando o atributo de login do Certificado[[BR]] |
| | 23 | 3.5. Repositório de Certificados[[BR]] |
| | 24 | 3.6. Atualizando a lista de certificados revogados(LCRs)[[BR]] |
| | 25 | 3.6.1. Configurando o Script de parâmetros de atualização[[BR]] |
| | 26 | 3.6.2. Configurando o arquivo de caminhos das LCRs das ACs[[BR]] |
| | 27 | 3.6.3. Obtendo a atualização das LCRs(Agendando periodicidade do script)[[BR]] |
| | 28 | 3.7. Certificados das Autoridades Certificadoras(ACs)[[BR]] |
| | 29 | 3.8. Configurando o(s) drivers dos dispositivos criptográficos[[BR]] |
| | 30 | 3.8.1. Informação de alguns dispositivos compatíveis(testados)[[BR]] |
| | 31 | 3.8.2. Configurando[[BR]] |
| | 32 | [[BR]] |
| | 33 | 4. Usando o Login [[BR]] |
| | 34 | 4.1. Seleção de Certificado do dispositivo(novo)[[BR]] |
| | 35 | [[BR]] |
| | 36 | 5. Usando a Criptografia[[BR]] |
| | 37 | 5.1. Compondo e Cifrando uma mensagem de e-mail[[BR]] |
| | 38 | 5.2. Lendo uma mensagem de e-mail Cifrada[[BR]] |
| | 39 | [[BR]] |
| | 40 | 6. Usando a Assinatura[[BR]] |
| | 41 | 6.1. Enviando e-mail assinado[[BR]] |
| | 42 | 6.2. Lendo e-mail assinado[[BR]] |
| | 43 | [[BR]] |
| | 44 | 7. Administração(novo)[[BR]] |
| | 45 | 7.1. ACs - Manutenção de certificados[[BR]] |
| | 46 | 7.2. LCRs – Lista de Certificados Revogados e Log de atualização[[BR]] |
| | 47 | 7.3. Visualizar configuração de uso[[BR]] |
| | 48 | [[BR]] |
| | 49 | |
| | 50 | = 1. Introdução = |
| | 51 | Este documento tem por finalidade apresentar a utilização de certificados digitais no Expresso. O objetivo principal da utilização de certificados no Expresso esta relacionado a segurança da informação, considerando as quatro premissas: [[BR]] |
| | 52 | |
| | 53 | * Autenticação: Com quem estamos comunicando? |
| | 54 | * Sigilo/Confidencialidade: Alguém pode ler? |
| | 55 | * Integridade : O dado foi alterado? |
| | 56 | * Irretratabilidade/Não repúdio : E se ele disser que não foi ele? |
| | 57 | |
| | 58 | == 1.1. Conceitos == |
| | 59 | * Certificação Digital [ICP-Brasil]: É a atividade de reconhecimento em meio eletrônico que se caracteriza pelo estabelecimento de uma relação única, exclusiva e intransferível entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação. Esse reconhecimento é inserido em um Certificado Digital, por uma Autoridade Certificadora. |
| | 60 | |
| | 61 | * Certificado do tipo A1 [ICP-Brasil]: É o certificado em que a geração das chaves criptográficas é feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano, sendo a freqüência de publicação da LCR no máximo de 48 horas e o prazo máximo admitido para conclusão do processo de revogação de 72 horas. |
| | 62 | |
| | 63 | * Certificado do tipo A3 [ICP-Brasil]: É o certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICPBrasil. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos, sendo a freqüência de publicação da LCR no máximo de 24 horas, e o prazo máximo admitido para conclusão do processo de revogação de 36 horas. |
| | 64 | |
| | 65 | * Assinatura Digital [CECD]: A assinatura digital é uma modalidade de assinatura eletrônica resultado de uma operação matemática que utiliza criptografia e permite aferir, com segurança, a origem e a integridade do documento. |
| | 66 | |
| | 67 | * Criptografia/Cifragem[ICP-Brasil]: A criptografia se constitui em um conjunto de métodos e técnicas destinadas a proteger o conteúdo de uma informação, tanto em relação a modificações não autorizadas quanto a alteração de sua origem, sendo uma das técnicas que possibilitam o atendimento dos requisitos básicos de segurança da informação. A confidencialidade de um documento - texto claro - será garantida quando ele for processado por um conjunto de operações, sendo transformado em um texto cifrado. O emissor do documento envia, então, o texto cifrado, que será reprocessado pelo receptor,transformando-o, novamente, em texto claro, igual ao emitido. O conjunto de regras que determina as transformações do texto claro é chamado de algoritmo (uma seqüência de operações) e o parâmetro que determina as condições da transformação é chamado de chave. O processo inverso da Criptografia é chamado de Descriptografia ou Decifragem. |
| | 68 | |
| | 69 | == 1.2. Obtendo um Certificado Digital == |
| | 70 | * O usuário deverá possuir um Certificado Digital, este permitirá a leitura das mensagens cifradas destinadas ao mesmo. Caso não possua um Certificado Digital de Usuário, o requerente deverá entrar em contato com uma AR(Autoridade de Registro). Esta fornecerá as informações necessárias para adquirir um Certificado Digital. Para maiores detalhes visite o site do SERPRO(http://www.serpro.gov.br/), você encontrará em “Serviços” a opção “Certificação Digital”. |
| | 71 | |
| | 72 | = 2. Configurações na Estação de trabalho do Usuário = |
| | 73 | |
| | 74 | Esquema de execução na estação de trabalho do usuário: |
| | 75 | |
| | 76 | [[BR]] |
| | 77 | [[Image(estacao.jpg,,center)]] |
| | 78 | |
| | 79 | == 2.1. Configurando a máquina virtual Java == |
| | 80 | |
| | 81 | O JRE(Java Runtime Eviroment) deve estar instalado e configurado na estação local. É recomendado o uso da JRE a partir da versão 1.6.0_10. Caso não tenha instalado, você pode baixar gratuitamente através do link http://java.sun.com/javase/downloads/index.jsp [[BR]] |
| | 82 | Existem casos em que a JRE necessita de expansão de sua memória para suportar assinatura de menagens com anexos de tamanho elevado. Para isso devemos entrar com um parâmetro de configuração de memória como segue abaixo:[[BR]] |
| | 83 | |
| | 84 | * 1.Vá no painel de controle(*) do java(JRE) |
| | 85 | * 2.Abrir a ferramenta Control Panel(*) da JRE através da interface gráfica como segue nas figuras adiante; |
| | 86 | * 3.Vá na guia JAVA, Java Applet Runtime Settings e aperte no botão View. |
| | 87 | * 4.Depois adicione no quarto parâmetro (Java Runtime Par...) o valor exatamente como segue e após isso confirme ok: -Xmx256m |
| | 88 | |
| | 89 | [[BR]] |
| | 90 | [[Image(jre_xmx.jpg,,center)]] |
| | 91 | |
| | 92 | * (*) No Linux, você poderá abrir o Control Panel através do console digitando: ControlPanel? <enter> ou no Ubuntu no menu: Sistema, Preferências, Sun Java6 Plugin Control Panel. |
| | 93 | * (*) No Windows, voce poderá abrir o Control Panel no menu: Iniciar, Painel de Controle(modo clássico) , Java. |
| | 94 | |
| | 95 | |
| | 96 | == 2.2. Certificados Tipo A1 == |
| | 97 | |
| | 98 | Para certificados do tipo A1(em forma de arquivo), deve-se ter o cuidado de tê-lo instalado na estação. A instalação deve ser executada a partir do gerenciador de certificados do SO como segue no exemplo abaixo: [[BR]] |
| | 99 | |
| | 100 | * 1.Abrir a ferramenta Control Panel da JRE instalada no sistema; |
| | 101 | * 2.Ir para a aba Security e clicar no botão “Certificates...”; |
| | 102 | * 3.Na caixa de seleção “Certificate Type:”, selecionar o item Client Authentication; |
| | 103 | * 4.Clicar no botão “Import”, selecionar o arquivo tipo “p12” e seguir as demais instruções; |
| | 104 | |
| | 105 | === 2.2.1. Linux(Ubuntu) === |
| | 106 | |
| | 107 | * Sistema → Preferências → Sun Java6 Plugin Control Panel |
| | 108 | |
| | 109 | [[BR]] |
| | 110 | [[Image(control_panel_ubuntu.jpg,,center)]] |
| | 111 | |
| | 112 | === 2.2.2. Windows(Xp) === |
| | 113 | |
| | 114 | * Iniciar → Painel de Controle(modo classico) → Java |
| | 115 | |
| | 116 | [[BR]] |
| | 117 | [[Image(control_panel_windows.jpg,,center)]] |
| | 118 | |
| | 119 | == 2.3. Certificados Tipo A3 == |
| | 120 | |
| | 121 | [[BR]] |
| | 122 | [[Image(token_epass2000.jpg,,center)]] |
| | 123 | |
| | 124 | Para usar certificados do tipo A3(tokens e smartcards), o expresso implementa a leitura deste sem a necessidade de configurações adicionais. Deve-se apenas atentar para a compatibilidade do dispositivo e a configuração de caminho das LIBs na estação local – ver item 3.7 deste guia.[[BR]] |
| | 125 | |
| | 126 | = 3. Configurações no Servidor de Aplicação = |
| | 127 | |
| | 128 | == 3.1. Habilitando SSL no Servidor web == |
| | 129 | O apache deve estar configurado para utilizar https. Para isso certifique-se que o parâmetro “SSLVerifyClient” está como “none” em /etc/apache2/sites-available/default_ssl |
| | 130 | |
| | 131 | == 3.2. Verificando Permissões == |
| | 132 | Certifique-se que o usuário apache(www-data) é dono e tem permissões de leitura e escrita sobre as pastas temp e crls localizadas em /var/www/expresso/security |
| | 133 | |
| | 134 | == 3.3. Habilitando a Certificação Digital do Expresso == |
| | 135 | |
| | 136 | |
| | 137 | 1.Entre no SETUP do Expresso(ex: http://expresso.gov.br/setup); [[br]] |
| | 138 | 2.Logue na sessão “Header Admin Login”; [[br]] |
| | 139 | 3.Habilite a opção “Usar HTTPS no Site inteiro”; [[br]] |
| | 140 | 4.Habilite a opção “Usar Certificado Digital (para identificar o usuario no processo de login)?”; [[br]] |
| | 141 | 5.'''Defina o atributo do diretório referente ao CPF do usuário'''. Essa informação é requisito para acesso via certificado digital de cada usuário. Detalhes no item 3.4.3.; [[br]] |
| | 142 | 6.Habilite a opção “Habilitar Assinar/Criptografar digitalmente?”; [[br]] |
| | 143 | 7.Defina como preferir o parâmetro de “Número máximo de destinatários para uma mensagem cifrada”. [[br]] |
| | 144 | |
| | 145 | [[BR]] |
| | 146 | [[Image(setup_https.jpg,,center)]] |
| | 147 | |
| | 148 | |
| | 149 | == 3.4. Verificando os atributos ldap == |
| | 150 | === 3.4.1. Acertando Schemas do diretório === |
| | 151 | Verificar o schema phpgwaccount.schema, que deverá conter o novo atributo cryptpassword: [[BR]] |
| | 152 | |
| | 153 | attributetype ( 1.3.6.1.4.1.9554.70 NAME 'cryptpassword' DESC 'cryp password' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15) [[BR]] |
| | 154 | |
| | 155 | O atributo userCertificate também é utilizado, mas já se encontra disponível por padrão no core.schema. [[BR]] |
| | 156 | Estes esquemas estão disponíveis em : doc-expressolivre/debian/arqs-conf/etc/ldap/schema e devem ser carregados no ldap a ser utilizado pelo expresso. [[BR]] |
| | 157 | |
| | 158 | === 3.4.2. Configurando os atributos a serem utilizados === |
| | 159 | Em casos em que já exista um ldap previamente utilizado pela empresa, pode ocorrer que os atributos do ldap que controlam usuários não sejam os mesmos utilizados pelo Expresso. Para tanto fora disponibilizada a possibilidade de customização destes atributos. [[BR]] |
| | 160 | No SETUP, modo administrador(conforme a figura do item anterior), você deve informar qual o atributo controla a expiração de senhas: [[BR]] |
| | 161 | |
| | 162 | * 1.Na opção "Nome do atributo no ldap para controle de expiração da senhas" informe: phpgwlastpasswdchange |
| | 163 | * 2.Na opção "Classe ldap utilizada para identificar os usuários" informe: person. |
| | 164 | |
| | 165 | Esta customização deu-se necessária em função por exemplo da utilização do Fedora DS como base ldap, onde existe a possibilidade do próprio diretório controlar expiração e política de senhas de usuários. |
| | 166 | |
| | 167 | === 3.4.3. Associando a conta do usuário ao seu Certificado Digital === |
| | 168 | |
| | 169 | Como sabemos o CPF é um atributo obrigatório nos Certificados Digitais padão ICP-Brasil. [[br]] |
| | 170 | É através desse atributo que o Expresso liga o Certificado Digital(token) do usuário a sua conta(no diretório), permitindo assim o Logon no Expresso. [[br]] |
| | 171 | O schema padrão do Expresso no diretório já traz o atributo CPF porém, outros atributos podem ser usados - desde de que contenham como conteúdo o número do CPF dos usuários. [[br]] |
| | 172 | Caso o parâmetro fique vazio, o expresso assume o UID do usuário como valor padrão para comparar com o CPF do certificado. [[br]] |
| | 173 | Caso seu expresso use outro atributo para armazenar o CPF, este deve ser especificado no campo(item 3.3.5.). [[br]] |
| | 174 | Dessa forma, podemos dizer que é obrigatório o preenchimento do atributo referente ao CPF no cadastro dos usuários para que este possa efetuar logon com Certificado Digital.[[br]][[br]] |
| | 175 | |
| | 176 | Para efetuar a configuração proceda como segue abaixo: [[br]] |
| | 177 | |
| | 178 | 1. No SETUP; [[br]] |
| | 179 | 1.1. Habilitar as opções descritas no item 3.3(Habilitando a Certificação Digital no Expresso); [[br]][[br]] |
| | 180 | 2. Na Administração [[br]] |
| | 181 | 2.1. Informar no cadastro do usuário seu CPF(valor do atributo definido no item 3.3.5); [[br]][[br]] |
| | 182 | 3. O usuário: Deverá cadastrar seu próprio Certificado através das preferencias ; [[br]] |
| | 183 | 3.1. Logar no Expresso sem certificado(logon normal); [[br]] |
| | 184 | 3.2. Acolher o certificado em "Minhas Preferências", “Cadastre seu Certificado Digital” conforme ilustrado abaixo: [[br]] |
| | 185 | |
| | 186 | |
| | 187 | === Minhas preferências: === |
| | 188 | [[BR]] |
| | 189 | [[Image(cadastra_certificado-1-adm.png,,center)]] |
| | 190 | [[BR]] |
| | 191 | |
| | 192 | |
| | 193 | === Entrar com o PIN do token: === |
| | 194 | [[BR]] |
| | 195 | [[Image(cadastra_certificado-2-PIN.png,,center)]] |
| | 196 | [[BR]] |
| | 197 | |
| | 198 | |
| | 199 | === Selecionar o Certificado do Token e confirmar: === |
| | 200 | [[BR]] |
| | 201 | [[Image(cadastra_certificado-3-seleCert.png,,center)]] |
| | 202 | [[BR]][[br]] |
| | 203 | [[Image(cadastra_certificado-4-confirma.png,,center)]] |
| | 204 | [[BR]] |
| | 205 | |
| | 206 | Pronto, o logon já pode ser feito com o certificado Digital; [[br]][[br]] |
| | 207 | |
| | 208 | |
| | 209 | == 3.5. Repositório de Certificados == |
| | 210 | |
| | 211 | Para poder receber mensagens cifradas é necessário que o destinatário tenha um certificado digital cadastrado no Banco de Dados do Expresso. Apenas dessa forma os demais usuários poderão enviar mensagens cifradas para este. Um método de incluir seu certificado no banco de dados do Expresso é enviando uma mensagem assinada digitalmente(pode ser de você para você mesmo) . No momento em que esta mensagem for lida pelo destinatário, o expresso grava o certificado do emitente em seu BD. Outro modo de disponibilizar o seu certificado(chave pública) no BD é efetuar o login com certificado, pois neste momento, estando validado o certificado ocorre automaticamente o cadastramento do certificado no repositório. |
| | 212 | A tabela phpgw_certificados é responsável por armazenar os certificados públicos e deverá estar criada no banco de dados. Certifique-se de sua existência. |
| | 213 | |
| | 214 | == 3.6. Atualizando a lista de certificados revogados(LCRs) == |
| | 215 | Para toda requisição de logon, assinatura ou cifragem, a estação(usuário) requere ao servidor a validação dos certificados envolvidos na operação. No lado servidor, existe toda uma estrutura capaz de validar os certificados dos usuários para completar as operações. Alguns itens dessa estrutura necessitam estar atualizados mais constante. Podemos citar [[BR]] |
| | 216 | |
| | 217 | * Lista de certificados revogados de cada AC(Atualizado a cada hora); |
| | 218 | * Certificados de ACs(Autoridades Certificadoras) (Atualizado raramente); |
| | 219 | * Certificados públicos de usuários armazenados em no Diretório e BD(Atualizado conforme demanda(logon ou assinatura); |
| | 220 | |
| | 221 | ==== DICA: Podemos visualizar com detalhes as atualizações das LCRs através da ferramenta de Administração de Certificados - para detalhes veja o item 7.2 deste guia. ==== |
| | 222 | |
| | 223 | === 3.6.1. Configurando o Script de parâmetros de atualização === |
| | 224 | É no arquivo crl_admin_confg.py (script pyton) localizado na pasta /security/crl_admin/ que poderemos configurar os parametros abaixo: [[BR]] |
| | 225 | |
| | 226 | * Path do arquivo crl_admin.conf: Este arquivo contém as URLs de download das LCRs. arquivo='/var/www/expresso/security/crl_admin/crl_admin.conf' |
| | 227 | * Path do arquivo crls.log: Esse arquivo contém os logs do processo de atualização das LCRs através da cron. log='/var/www/expresso/logs/arquivo_crls.log' |
| | 228 | * Path do arquivo todos.cer: Esse arquivo contém a cadeia dos certificados das Acs. CAfile='/var/www/expresso/security/cas/todos.cer' |
| | 229 | |
| | 230 | ==== DICA: Podemos visualizar essas configurações através da ferramenta de Administração de Certificados - para detalhes veja o item 7.3 deste guia. ==== |
| | 231 | |
| | 232 | === 3.6.2. Configurando o arquivo de caminhos das LCRs das ACs === |
| | 233 | |
| | 234 | Periodicamente as ACs disponibilizam(via suas URLs) a lista de certificados revogados(LCR) atualizada para download. Essa lista traz todos os certificados emitidos por aquela AC que por ventura foram revogados(invalidados). Para todas as ACs incluídas no arquivo de certificados deve-se ter o cuidado de incluir o link de download de sua LCR correspondente no arquivo: /seguranca/crl_admin/crl_admin.conf [[BR]] |
| | 235 | |
| | 236 | Nesse arquivo devemos especificar dois parâmetros: A URL para download da LCR da AC e o caminho onde o arquivo da LCR deverá ser gravado separados por ponto e virgula. O exemplo abaixo traz três LCRs. [[BR]] |
| | 237 | |
| | 238 | http://ccd.serpro.gov.br/lcr/serproacfv1.crl;/var/www/expresso/security/crls/ [[BR]] |
| | 239 | http://acraiz.icpbrasil.gov.br/LCRacraiz.crl;/var/www/expresso/security/crls/ [[BR]] |
| | 240 | http://www.receita.fazenda.gov.br/acsrf/acsrfv1.crl;/var/www/expresso/security/crls/ [[BR]] |
| | 241 | |
| | 242 | ==== DICA: Podemos também visualizar o conteúdo desse arquivo através da ferramenta de Administração de Certificados - para detalhes veja o item 7.2 deste guia. ==== |
| | 243 | |
| | 244 | === 3.6.3. Obtendo a atualização das LCRs(Agendando periodicidade do script) === |
| | 245 | A atualização das LCRs é automática e feita através da cron que baixa a(s) LCR(s) conforme tempo configurado. |
| | 246 | |
| | 247 | * Atualização periódica dessa lista: edite a crontab do usuario www-data(usuário do apache), adicionando a linha abaixo( uma única linha): [[BR]] |
| | 248 | |
| | 249 | */20 * * * * /var/www/expresso/security/crl_admin/crl_admin.py |
| | 250 | |
| | 251 | * Obter uma primeira versão da lista de certificados revogados, executando os comandos abaixo(verificar se o diretório home é o mesmo(/var/www/expresso)): [[BR]] |
| | 252 | |
| | 253 | su - www-data cronwget http://ccd.serpro.gov.br/lcr/serproacfv1.crl -O /var/www/expresso/security/crls/serproacfv1.crl |
| | 254 | |
| | 255 | ==== DICA: Após feitas todas configurações de atualização de LCRs, é possível forçar uma atualização através da ferramenta de Administração de Certificados - para detalhes veja o item 7.2 deste guia, em “executar atualização de LCRs”. ==== |
| | 256 | |
| | 257 | == 3.7. Certificados das Autoridades Certificadoras(ACs) == |
| | 258 | Para que o Certificado do usuário seja aceito pelo servidor, é necessário que toda cadeia de Certificados de sua AC esteja pré-instalada no servidor, dessa forma será possível a verificação de seu certificado bem como de toda esta cadeia. O Arquivo que contém essa cadeia de certificados é semelhante ao do apache. Com isso, pode-se compartilhar o mesmo arquivo, associa-lo através de links ou usar de modo separado como preferir. O Exemplo a seguir refere-se a inclusão da cadeia de certificados da AC SERPRO, permitindo assim que todo certificado de usuário pertencente a essa AC possa ser verificado. O administrador do Expresso poderá incluir nesse mesmo arquivo – conforme política da empresa - as cadeias de certificados das ACs que forem necessárias. A seguir exemplifica a geração desse arquivo: |
| | 259 | |
| | 260 | ==== DICA: Vale lembrar que essa operação pode ser realizada através da ferramenta de Administração de Certificados - para detalhes veja o item 7.1 deste guia. ==== |
| | 261 | |
| | 262 | * Baixando a cadeia: Baixe os certificados através do link abaixo. Clique o botão direito do mouse e vá em salvar como: |
| | 263 | https://ccd.serpro.gov.br/serproacf/ |
| | 264 | |
| | 265 | * Convertendo Certificados do formato DER para PEN: Você observará que dentre os arquivos baixados, o arquivo de Certificado da ICP-Brasil(CertificadoACRaiz.crt) está no formato DER. Esse arquivo deverá ser convertido para formato PEM como segue abaixo: [[BR]] |
| | 266 | cd/security/cas [[BR]] |
| | 267 | openssl x509 -in CertificadoACRaiz.crt -inform DER -out CertificadoACRaiz.pem -outform PEM [[BR]] |
| | 268 | |
| | 269 | * Gerando e/ou atualizando o arquivo de certificados das ACs: Agora podemos criar e/ou adicionar os três arquivos da cadeia em um só(todos.cer) que será usado pelo Expresso: |
| | 270 | cat CertificadoACRaiz.pem serprov1.crt serproacfv1.crt >> todos.cer [[BR]] |
| | 271 | |
| | 272 | * Editar o arquivo “/var/www/expresso/security/classes/Verifica_Certificado_conf.php” e alterar o parâmetro GLOBALS['CAs'] colocando o caminho do arquivo que contém a cadeia dos certificados das autoridades certificadoras(pode ser mesmo arquivo utilizado pelo apache). |
| | 273 | |
| | 274 | |
| | 275 | == 3.8. Configurando o(s) drivers dos dispositivos criptográficos == |
| | 276 | === 3.8.1. Informação de alguns dispositivos compatíveis(testados) === |
| | 277 | |
| | 278 | ePass2000 Token – VERDE e PRETO [[BR]] |
| | 279 | Ambiente: LINUX / WINDOWS [[BR]] |
| | 280 | Fabricante/Driver: http://www.pronova.com.br [[BR]] |
| | 281 | Localização da API(linux/Windows): [[BR]] |
| | 282 | /usr/lib/libeps_p11.so [[BR]] |
| | 283 | %SystemRoot%/system32/ngp11v211.dll [[BR]] |
| | 284 | |
| | 285 | Safenet ikey 2032 [[BR]] |
| | 286 | Ambiente: WINDOWS [[BR]] |
| | 287 | FabricanteDriver: [[BR]] |
| | 288 | http://loja.certificadodigital.com.br/Serasa/Token%20(somente%20A3)/D162 [[BR]] |
| | 289 | http://www.safenet-inc.com/support-downloads/ikey-drivers/ [[BR]] |
| | 290 | Localização da API(linux/Windows): [[BR]] |
| | 291 | /%SystemRoot%/system32/dkck201.dll [[BR]] |
| | 292 | |
| | 293 | SmartCard GemPC TWIN Reder [[BR]] |
| | 294 | Ambiente: WIN XP [[BR]] |
| | 295 | Fabricante/Driver: [[BR]] |
| | 296 | Leitora: http://support.gemalto.com/fileadmin/user_upload/drivers/GemPCUSB-SL/GemCCIDen-us_32.msi [[BR]] |
| | 297 | Localização da API: [[BR]] |
| | 298 | %Program Files%/Gemplus/GemSafe Libraries/BIN/gclib.dll [[BR]] |
| | 299 | |
| | 300 | |
| | 301 | === 3.8.2. Configurando === |
| | 302 | |
| | 303 | O Expresso disponibiliza na sua administração uma opção para configuração de caminhos para os aquivos que contém a API dos tokens. Para windows seria o caso dos arquvios DLLs e já no LINUX os arquivos SO. O fato do ambiente do cliente ser heterogêneo – tipos de SO, caminhos diferentes nas instalações dos programas, linguagens do SO, letras de unidades, etc – levou a parametrização para o caminho da API em nivel de administração. Observe abaixo os procedimentos para essa configuração. |
| | 304 | |
| | 305 | * Entre no expresso como administrador; |
| | 306 | * Vá até a Administração do Expresso, Configuração do Servidor, Segurança; |
| | 307 | * Entrar com o caminho da API(DLL) no formato NOMEDODISPOSITIVO;CAMINHO. Observe os exemplos de casos logo após a figura abaixo. |
| | 308 | |
| | 309 | [[BR]] |
| | 310 | [[Image(config_path_libs.jpg,,center)]] |
| | 311 | |
| | 312 | OBS: Lembre de colocar as barras(/) conforme os exemplos, mesmo para ambientes Windows. |
| | 313 | |
| | 314 | * Caso 1: Exemplo da configuração para uma estação de usuários que usa WinXP em Inglês e smartcard GemPcTwin. O Nome(GemPcTwinXPEng) para a configuração é livre, neste caso foi adotada essa nomeclatura para indentificar dispositivo, SO, linguagem. [[BR]] |
| | 315 | Parametro: [[BR]] |
| | 316 | GemPcTwinXPEng;c:/Program Files/Gemplus/GemSafe Libraries/BIN/gclib.dll [[BR]] |
| | 317 | |
| | 318 | * Caso 2: Parecido com o caso 1, porem a linguagem do SO é português. [[BR]] |
| | 319 | Parametro: [[BR]] |
| | 320 | GemPcTwinXPPor;c:/Arquivos de Programas/Gemplus/GemSafe Libraries/BIN/gclib.dll [[BR]] |
| | 321 | |
| | 322 | * Caso 3: Neste caso estamos usando o Token ePass2000-Verde no SO linux. Veja como parametrizamos. [[BR]] |
| | 323 | Parametro: [[BR]] |
| | 324 | ePass2000Ubuntu;/usr/lib/libepsng_p11.so [[BR]] |
| | 325 | |
| | 326 | Ao Logar com o Smartcard ou Token, o expresso varrerá na estação local todos os caminhos cadastrados na administração(item anterior) até achar um dispositivo válido. |
| | 327 | |
| | 328 | |
| | 329 | = 4. Usando o Login = |
| | 330 | O processo de login, se caracteriza por armazenamento da password do usuário criptografada pela própria chave do usuário no sistema de diretórios, processo este denominado "acolhimento do certificado". [[BR]] |
| | 331 | |
| | 332 | [[BR]] |
| | 333 | [[Image(login_certificado.jpg,,center)]] |
| | 334 | |
| | 335 | Ao clicar no link "Usar o meu certificado Digital para Logar" da pagina inicial do Expresso será solicitado ao usuário a sanha de seu dispositivo criptográfico(PIN), sera exibida a lista de certificados do dispositivo para seleção como mostrado a seguir: [[BR]] |
| | 336 | |
| | 337 | == 4.1. Seleção de Certificado do dispositivo(novo) == |
| | 338 | |
| | 339 | Após digitado o PIN – como os demais softwares que fazem uso de certificação digital – o expresso apresentará a lista de certificados presentes no dispositivo, basta selecionar o certificado desejado e clicar em selecionar. Vale lembrar que esse procedimento vale para qualquer operação(logon, leitura de mensagem cifrada ou assinatura) que necessite de acesso ao certificado do dispositivo criptográfico. |
| | 340 | |
| | 341 | [[BR]] |
| | 342 | [[Image(selecao_certificado.jpg,,center)]] |
| | 343 | |
| | 344 | = 5. Usando a Criptografia = |
| | 345 | |
| | 346 | Atendidos os requisitos de estação e servidor, os clientes já poderão utilizar a funcionalidade. Para isso basta habilitar nas preferências do usuário. [[BR]] |
| | 347 | |
| | 348 | * Preferências do usuário(ExpressoMail) [[BR]] |
| | 349 | O usuário deverá habilitar a assinatura digital através de suas preferências pessoais. Observe abaixo: |
| | 350 | |
| | 351 | [[BR]] |
| | 352 | [[Image(param_assinatura_cifragem.jpg,,center)]] |
| | 353 | |
| | 354 | * Possibilitar assinar e criptografar digitalmente a mensagem: Essa opção habilita a opção de assinatura e criptografia das mensagens. |
| | 355 | |
| | 356 | * Sempre criptografar a mensagem: Essa opção pode ser habilitada para trazer a caixa(checkbox) de seleção para cifragem de mensagens já marcada na tela de composição dos e-mails. Isso sugere que todas as mensagens criadas serão cifradas porém(naturalmente) com a possibilidade de desmarca-la. |
| | 357 | |
| | 358 | == 5.1. Compondo e Cifrando uma mensagem de e-mail == |
| | 359 | Uma vez habilitada a opção de cifragem nas preferências de e-mail do usuário, a caixa de seleção para assinatura de mensagens ficará disponível para a criação de novas mensagens no ExpressoMail. |
| | 360 | |
| | 361 | [[BR]] |
| | 362 | [[Image(cifrando_mensagem.jpg,,center)]] |
| | 363 | |
| | 364 | == 5.2. Lendo uma mensagem de e-mail Cifrada == |
| | 365 | Como você pode observar na figura a seguir, as mensagens cifradas são acompanhadas de um ícone(cadeado) indicador. Certifique-se de estar com o token inserido(necessário acesso a chave privada), ao clicar na mensagem cifrada, seu PIN será requisitado para em seguida sua mensagem ser exibida. |
| | 366 | |
| | 367 | [[BR]] |
| | 368 | [[Image(lendo_cifrada.jpg,,center)]] |
| | 369 | |
| | 370 | = 6. Usando a Assinatura = |
| | 371 | == 6.1. Enviando e-mail assinado == |
| | 372 | Certifique-se que o token inserido e após compôr a mensagem marque a opção "Assinar Digitalmente a Mensagem", clique em enviar e confirme o PIN do token. Serão executados os procedimentos de validação do certificado no lado servidor e caso nenhum erro seja encontrado a mensagem será enviada. |
| | 373 | |
| | 374 | [[BR]] |
| | 375 | [[Image(assinando_mensagem.jpg,,center)]] |
| | 376 | |
| | 377 | == 6.2. Lendo e-mail assinado == |
| | 378 | O e-mail assinado fica listado com um ícone(envelope ou caneta), conforme figura abaixo. Ao abrir este e-mail é feita toda validação deste certificado, isto é, igualdade nome do e-mail e certificado, cadeia de certificados, revogação e período de validade. [[BR]] |
| | 379 | |
| | 380 | [[BR]] |
| | 381 | [[Image(lendo_assinada.jpg,,center)]] |
| | 382 | |
| | 383 | Caso alguma verificação da assinatura resulte em desconfiança, o expresso irá notificar o usuário da existência desta ocorrência, emitindo uma mensagem na cor vermelha. |
| | 384 | Ainda é possível ver os dados resumidos do certificado (público) do usuário clicando-se no ícone da carta e em detalhes clicando no link "Mais", conforme mostrado na figura abaixo. |
| | 385 | |
| | 386 | [[BR]] |
| | 387 | [[Image(exibindo_detalhes_certificado.jpg,,center)]] |
| | 388 | |
| | 389 | = 7. Administração = |
| | 390 | |
| | 391 | * Através das ferramentas de administração da certificação digital do Expresso podemos executar algumas tarefas que antes só eram possíveis via intervenção pelo através do shell no servidor: |
| | 392 | * Manutenção de certificados das Acs(Autoridades Certificadoras); |
| | 393 | * Consulta do histórico de atualizações das LCRs(Lista de certificados revogados); |
| | 394 | * Execução imediata de atualização das LCRs; |
| | 395 | * Visualização das configurações atuais; |
| | 396 | |
| | 397 | Para acessar essa administração, logue como administrador e vá no menu de “Administração”, em seguida escolha a opção “Informações de ACs e LCRs”. |
| | 398 | |
| | 399 | [[BR]] |
| | 400 | [[Image(admin_certificacao.jpg,,center)]] |
| | 401 | |
| | 402 | == 7.1. ACs - Manutenção de certificados == |
| | 403 | |
| | 404 | A falta da cadeia de certificados de uma ACs – ou pelo menos um componente desta - ocasionará a impossibilidade de verificação do certificado do usuário pertencente aquela cadeia, impedindo uma operação de assinatura, cifragem ou logon.[[BR]] |
| | 405 | Vimos no item 3.7 deste guia - Certificados das Autoridades Certificadoras(ACs) – como adicionar certificados de ACs para uso no expresso manualmente via linha de comando. Essa ferramenta substitui esse tipo de intervenção, permitindo através de uma só interface a consulta, inclusão e exclusão de certificados de ACs. [[BR]] |
| | 406 | |
| | 407 | * Para acessar a lista de ACS configuradas clique em Acs (Autoridades Certificadoras). Nesta tela são exibidos os certificados contidos no arquivo /security/cas/todos.cer( arquivo com certificados da ACs), e as cadeias de verificação das ACs contidas no mesmo(caixa superior e caixa inferior, respectivamente). |
| | 408 | * Clique em um dos botões “Voltar” para retorna a tela de opções. |
| | 409 | * Certificados de uma AC pode ser removido do arquivo clicando no link “x”,em vermelho. |
| | 410 | * Certificados de novas ACs podem ser adicionados ao arquivo. Selecione um arquivo contendo os certificados( pem, der, cer, pfx ou p7b), e clique no botão adicionar. O arquivo será processado, e listados os certificados - adicionados ao arquivo todos.cer. Os novos certificados serão exibidos na caixa superior e mostrados na caixa inferior também conforme exemplo abaixo: |
| | 411 | |
| | 412 | [[BR]] |
| | 413 | [[Image(acs.jpg,,center)]] |
| | 414 | |
| | 415 | Para obter informações adicionais sobre o certificado de determinada AC, clique no nome da mesma, na caixa inferior. Será exibida a tela:[[BR]] |
| | 416 | |
| | 417 | [[BR]] |
| | 418 | [[Image(acs_detalhes.jpg,,center)]] |
| | 419 | |
| | 420 | == 7.2. LCRs – Lista de Certificados Revogados e Log de atualização == |
| | 421 | |
| | 422 | Fortuitamente alguns certificados necessitam ser revogados - seja por extravio do dispositivo, expiração do certificado, etc – e esse processo é feito junto a AC que disponibiliza atualizações constantes de suas listas de certificados revogados para download. O Expresso, conforme visto no item 3.6 deste guia, atualiza periodicamente sua lista local de certificados revogados. [[BR]] |
| | 423 | |
| | 424 | * Para verificar o status das LCRs configuradas vá em LCRs( Lista de certificado revogados) |
| | 425 | * Para comandar uma atualização “imediata” das LCRs clique no botão “Executar atualização das LCRs”, localizado no rodapé da caixa superior. |
| | 426 | |
| | 427 | [[BR]] |
| | 428 | [[Image(acs_atualiza_lcr.jpg,,center)]] |
| | 429 | |
| | 430 | Neste ultimo quadro podemos visualizar o LOG do download e verificação de integridade e assinatura do arquivo de LCR de cada AC. Esse arquivo de LOG está disponível em /var/www/expresso/logs/arquivo_crls.log [[BR]] |
| | 431 | O download de cada LCR é realizado baseando-se no arquivo de configuração de LCRs encontrado na pasta: /security/crl_admin/crl_admin.conf - conforme configurado no item 3.6.2 deste guia. |
| | 432 | ATENÇÃO: Problemas de download ou verificação das LCRs poderão ser detectado visualizando este LOG. [[BR]] |
| | 433 | |
| | 434 | == 7.3. Visualizar configuração de uso == |
| | 435 | |
| | 436 | As configurações para verificação de certificados - apresentados no item 3.7 deste guia - podem ser visualizados nesse menu, basta clicar em Visualizar Configuração em Uso. Será exibida a tela:[[BR]] |
| | 437 | |
| | 438 | [[BR]] |
| | 439 | [[Image(acs_visualiza_config.jpg,,center)]] |
| | 440 | |
| | 441 | Esta tela mostra as configurações em uso pelo Expresso para efetuar todas as operações que envolvem Certificados Digitais. Estas informações são de conteúdo do arquivo /security/classes/Verfica_Certificado_conf.php.[[BR]] |
