Changes between Initial Version and Version 1 of mail/certificadosdigitais


Ignore:
Timestamp:
07/25/11 10:50:11 (13 years ago)
Author:
lavoisier.vieira
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • mail/certificadosdigitais

    v1 v1  
     1= Utilização de Certificados Digitais no Expresso =  
     2Atualizado em 07/01/2011 baseado na revisão 3667(branch 2.2) 
     3 
     41. Introdução[[BR]] 
     51.1. Conceitos[[BR]] 
     61.2. Obtendo um Certificado Digital[[BR]] 
     7[[BR]] 
     82. Configurações na Estação de trabalho do Usuário[[BR]] 
     92.1. Configurando a máquina virtual Java[[BR]] 
     102.2. Certificados Tipo A1[[BR]] 
     112.2.1. Linux(Ubuntu)[[BR]] 
     122.2.2. Windows(Xp)[[BR]] 
     132.3. Certificados Tipo A3[[BR]] 
     14[[BR]] 
     153. Configurações no Servidor de Aplicação[[BR]] 
     163.1. Habilitando SSL no Servidor web[[BR]] 
     173.2. Verificando Permissões [[BR]] 
     183.3. Habilitando HTTPS no site do Expresso[[BR]] 
     193.4. Verificando os atributos ldap[[BR]] 
     203.4.1. Acertando Schemas do diretório[[BR]] 
     213.4.2. Configurando os atributos a serem utilizados [[BR]] 
     223.4.3. Mudando o atributo de login do Certificado[[BR]] 
     233.5. Repositório de Certificados[[BR]] 
     243.6. Atualizando a lista de certificados revogados(LCRs)[[BR]] 
     253.6.1. Configurando o Script de parâmetros de atualização[[BR]] 
     263.6.2. Configurando o arquivo de caminhos das LCRs das ACs[[BR]] 
     273.6.3. Obtendo a atualização das LCRs(Agendando periodicidade do script)[[BR]] 
     283.7. Certificados das Autoridades Certificadoras(ACs)[[BR]] 
     293.8. Configurando o(s) drivers dos dispositivos criptográficos[[BR]] 
     303.8.1. Informação de alguns dispositivos compatíveis(testados)[[BR]] 
     313.8.2. Configurando[[BR]] 
     32[[BR]] 
     334. Usando o Login [[BR]] 
     344.1. Seleção de Certificado do dispositivo(novo)[[BR]] 
     35[[BR]] 
     365. Usando a Criptografia[[BR]] 
     375.1. Compondo e Cifrando uma mensagem de e-mail[[BR]] 
     385.2. Lendo uma mensagem de e-mail Cifrada[[BR]] 
     39[[BR]] 
     406. Usando a Assinatura[[BR]] 
     416.1. Enviando e-mail assinado[[BR]] 
     426.2. Lendo e-mail assinado[[BR]] 
     43[[BR]] 
     447. Administração(novo)[[BR]] 
     457.1. ACs - Manutenção de certificados[[BR]] 
     467.2. LCRs – Lista de Certificados Revogados e Log de atualização[[BR]] 
     477.3. Visualizar configuração de uso[[BR]] 
     48[[BR]] 
     49 
     50= 1. Introdução = 
     51Este documento tem por finalidade apresentar a utilização de certificados digitais no Expresso. O objetivo principal da utilização de certificados no Expresso esta relacionado a segurança da informação, considerando as quatro premissas: [[BR]] 
     52 
     53 * Autenticação: Com quem estamos comunicando?  
     54 * Sigilo/Confidencialidade: Alguém pode ler?  
     55 * Integridade : O dado foi alterado?  
     56 * Irretratabilidade/Não repúdio : E se ele disser que não foi ele?  
     57 
     58== 1.1. Conceitos == 
     59 * Certificação Digital [ICP-Brasil]: É a atividade de reconhecimento em meio eletrônico que se caracteriza pelo estabelecimento de uma relação única, exclusiva e intransferível entre uma chave de criptografia e uma pessoa física, jurídica, máquina ou aplicação. Esse reconhecimento é inserido em um Certificado Digital, por uma Autoridade Certificadora.  
     60 
     61 * Certificado do tipo A1 [ICP-Brasil]: É o certificado em que a geração das chaves criptográficas é feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano, sendo a freqüência de publicação da LCR no máximo de 48 horas e o prazo máximo admitido para conclusão do processo de revogação de 72 horas.  
     62 
     63 * Certificado do tipo A3 [ICP-Brasil]: É o certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP­Brasil. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos, sendo a freqüência de publicação da LCR no máximo de 24 horas, e o prazo máximo admitido para conclusão do processo de revogação de 36 horas.  
     64 
     65 * Assinatura Digital [CECD]: A assinatura digital é uma modalidade de assinatura eletrônica resultado de uma operação matemática que utiliza criptografia e permite aferir, com segurança, a origem e a integridade do documento.  
     66 
     67 * Criptografia/Cifragem[ICP-Brasil]: A criptografia se constitui em um conjunto de métodos e técnicas destinadas a proteger o conteúdo de uma informação, tanto em relação a modificações não autorizadas quanto a alteração de sua origem, sendo uma das técnicas que possibilitam o atendimento dos requisitos básicos de segurança da informação. A confidencialidade de um documento - texto claro - será garantida quando ele for processado por um conjunto de operações, sendo transformado em um texto cifrado. O emissor do documento envia, então, o texto cifrado, que será reprocessado pelo receptor,transformando-o, novamente, em texto claro, igual ao emitido. O conjunto de regras que determina as transformações do texto claro é chamado de algoritmo (uma seqüência de operações) e o parâmetro que determina as condições da transformação é chamado de chave. O processo inverso da Criptografia é chamado de Descriptografia ou Decifragem.  
     68 
     69== 1.2. Obtendo um Certificado Digital == 
     70 * O usuário deverá possuir um Certificado Digital, este permitirá a leitura das mensagens cifradas destinadas ao mesmo. Caso não possua um Certificado Digital de Usuário, o requerente deverá entrar em contato com uma AR(Autoridade de Registro). Esta fornecerá as informações necessárias para adquirir um Certificado Digital. Para maiores detalhes visite o site do SERPRO(http://www.serpro.gov.br/), você encontrará em “Serviços” a opção “Certificação Digital”.  
     71 
     72= 2. Configurações na Estação de trabalho do Usuário = 
     73 
     74Esquema de execução na estação de trabalho do usuário:  
     75 
     76[[BR]] 
     77[[Image(estacao.jpg,,center)]]  
     78 
     79== 2.1. Configurando a máquina virtual Java == 
     80 
     81O JRE(Java Runtime Eviroment) deve estar instalado e configurado na estação local. É recomendado o uso da JRE a partir da versão 1.6.0_10. Caso não tenha instalado, você pode baixar gratuitamente através do link http://java.sun.com/javase/downloads/index.jsp [[BR]] 
     82Existem casos em que a JRE necessita de expansão de sua memória para suportar assinatura de menagens com anexos de tamanho elevado. Para isso devemos entrar com um parâmetro de configuração de memória como segue abaixo:[[BR]] 
     83 
     84 * 1.Vá no painel de controle(*) do java(JRE) 
     85 * 2.Abrir a ferramenta Control Panel(*) da JRE através da interface gráfica como segue nas figuras adiante; 
     86 * 3.Vá na guia JAVA, Java Applet Runtime Settings e aperte no botão View.  
     87 * 4.Depois adicione no quarto parâmetro (Java Runtime Par...) o valor exatamente como segue e após isso confirme ok: -Xmx256m  
     88 
     89[[BR]] 
     90[[Image(jre_xmx.jpg,,center)]]  
     91  
     92 * (*) No Linux, você poderá abrir o Control Panel através do console digitando: ControlPanel? <enter> ou no Ubuntu no menu: Sistema, Preferências, Sun Java6 Plugin Control Panel. 
     93 * (*) No Windows, voce poderá abrir o Control Panel no menu: Iniciar, Painel de Controle(modo clássico) , Java. 
     94 
     95 
     96== 2.2. Certificados Tipo A1 == 
     97 
     98Para certificados do tipo A1(em forma de arquivo), deve-se ter o cuidado de tê-lo instalado na estação. A instalação deve ser executada a partir do gerenciador de certificados do SO como segue no exemplo abaixo: [[BR]] 
     99 
     100 * 1.Abrir a ferramenta Control Panel da JRE instalada no sistema; 
     101 * 2.Ir para a aba Security e clicar no botão “Certificates...”; 
     102 * 3.Na caixa de seleção “Certificate Type:”, selecionar o item Client Authentication; 
     103 * 4.Clicar no botão “Import”, selecionar o arquivo tipo “p12” e seguir as demais instruções;  
     104 
     105=== 2.2.1. Linux(Ubuntu) === 
     106 
     107 * Sistema → Preferências → Sun Java6 Plugin Control Panel  
     108  
     109[[BR]] 
     110[[Image(control_panel_ubuntu.jpg,,center)]]  
     111 
     112=== 2.2.2. Windows(Xp) === 
     113 
     114 * Iniciar → Painel de Controle(modo classico) → Java  
     115  
     116[[BR]] 
     117[[Image(control_panel_windows.jpg,,center)]]  
     118 
     119== 2.3. Certificados Tipo A3 == 
     120 
     121[[BR]] 
     122[[Image(token_epass2000.jpg,,center)]] 
     123 
     124Para usar certificados do tipo A3(tokens e smartcards), o expresso implementa a leitura deste sem a necessidade de configurações adicionais. Deve-se apenas atentar para a compatibilidade do dispositivo e a configuração de caminho das LIBs na estação local – ver item 3.7 deste guia.[[BR]] 
     125 
     126= 3. Configurações no Servidor de Aplicação = 
     127 
     128== 3.1. Habilitando SSL no Servidor web == 
     129O apache deve estar configurado para utilizar https. Para isso certifique-se que o parâmetro “SSLVerifyClient” está como  “none” em /etc/apache2/sites-available/default_ssl 
     130 
     131== 3.2. Verificando Permissões == 
     132Certifique-se que o usuário apache(www-data) é dono e tem permissões de leitura e escrita sobre as pastas temp e crls localizadas em /var/www/expresso/security 
     133 
     134== 3.3. Habilitando HTTPS no site do Expresso == 
     135 * 1.Entre no SETUP do Expresso(ex: http://expresso.gov.br/setup); 
     136 * 2.Logue na sessão “Header Admin Login”; 
     137 * 3.Habilite a opção “Usar HTTPS no Site inteiro”; 
     138 * 4.Habilite a opção “Usar Certificado Digital (para identificar o usuario no processo de login)?”; 
     139 * 5.Habilite a opção “Habilitar Assinar/Criptografar digitalmente?”; 
     140 * 6.Defina como preferir o parâmetro de “Número máximo de destinatários para uma mensagem cifrada”. 
     141 
     142[[BR]] 
     143[[Image(setup_https.jpg,,center)]] 
     144 
     145 
     146== 3.4. Verificando os atributos ldap == 
     147=== 3.4.1. Acertando Schemas do diretório === 
     148Verificar o schema phpgwaccount.schema, que deverá conter o novo atributo cryptpassword: [[BR]] 
     149 
     150attributetype ( 1.3.6.1.4.1.9554.70 NAME 'cryptpassword' DESC 'cryp password' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15) [[BR]] 
     151 
     152O atributo userCertificate também é utilizado, mas já se encontra disponível por padrão no core.schema. [[BR]] 
     153Estes esquemas estão disponíveis em : doc-expressolivre/debian/arqs-conf/etc/ldap/schema e devem ser carregados no ldap a ser utilizado pelo expresso. [[BR]] 
     154 
     155=== 3.4.2. Configurando os atributos a serem utilizados === 
     156Em casos em que já exista um ldap previamente utilizado pela empresa, pode ocorrer que os atributos do ldap que controlam usuários não sejam os mesmos utilizados pelo Expresso. Para tanto fora disponibilizada a possibilidade de customização destes atributos. [[BR]] 
     157No SETUP, modo administrador(conforme a figura do item anterior), você deve informar qual o atributo controla a expiração de senhas: [[BR]] 
     158 
     159* 1.Na opção "Nome do atributo no ldap para controle de expiração da senhas" informe: phpgwlastpasswdchange 
     160* 2.Na opção "Classe ldap utilizada para identificar os usuários" informe: person.  
     161 
     162Esta customização deu-se necessária em função por exemplo da utilização do Fedora DS como base ldap, onde existe a possibilidade do próprio diretório controlar expiração e política de senhas de usuários.  
     163 
     164=== 3.4.3. Mudando o atributo de login do Certificado === 
     165 
     166O Expresso deverá usar como ID de usuário algum atributo pertencente ao Certificado. Para isso é possível alterar o atributo do certificado digital que será usado para efetuar o logon no Expresso. Isso é limitado a lista de atributos presentes no Certificado Digital como e-mail, RG, CPF, Titulo e outros.  
     167Para efetuar a troca proceda da seguinte forma: [[BR]] 
     168 
     169 * 1.Edite o arquivo /security/vercert.php 
     170 * 2.Vá até alinha de retorno da função(atualmente na rev.3667 é a linha 90, retornando CPF): [[BR]] 
     171   // Retorna o CPF para usar como uid.[[BR]] 
     172   return $dados_do_certificado['2.16.76.1.3.1']['CPF']; [[BR]] 
     173 
     174 * 3.Modifique o retorno para um dos parâmetros exemplo apresentados em seguida: 
     175 * 4.Salve o arquivo e teste o logon; 
     176 
     177==== Alguns valores possíveis: ==== 
     178 
     179 * return $dados_do_certificado['2.16.76.1.3.1']['CPF']; // CPF   
     180 * return $dados_do_certificado['2.16.76.1.3.1'][NIS];   // NIS 
     181 * return $dados_do_certificado['2.16.76.1.3.1'][RG];    // RG 
     182 * return $dados_do_certificado[EMAIL];                  // Email completo USUARIO@DOMINIO. Ex: raimundo.fulando@expressolivre.org 
     183 * return substr($dados_do_certificado[EMAIL],0,strpos($dados_do_certificado[EMAIL],'@'));  // Apenas o USUARIO do email. Ex: raymundo.fulano 
     184 
     185== 3.5. Repositório de Certificados == 
     186 
     187Para poder receber mensagens cifradas é necessário que o destinatário tenha um certificado digital cadastrado no Banco de Dados do Expresso. Apenas dessa forma os demais usuários poderão enviar mensagens cifradas para este. Um método de incluir seu certificado no banco de dados do Expresso é enviando uma mensagem assinada digitalmente(pode ser de você para você mesmo) . No momento em que esta mensagem for lida pelo destinatário, o expresso grava o certificado do emitente em seu BD. Outro modo de disponibilizar o seu certificado(chave pública) no BD é efetuar o login com certificado, pois neste momento, estando validado o certificado ocorre automaticamente o cadastramento do certificado no repositório.  
     188A tabela phpgw_certificados é responsável por armazenar os certificados públicos e deverá estar criada no banco de dados. Certifique-se de sua existência. 
     189 
     190== 3.6. Atualizando a lista de certificados revogados(LCRs) == 
     191Para toda requisição de logon, assinatura ou cifragem, a estação(usuário) requere ao servidor a validação dos certificados envolvidos na operação. No lado servidor, existe toda uma estrutura capaz de validar os certificados dos usuários para completar as operações. Alguns itens dessa   estrutura necessitam estar atualizados mais constante. Podemos citar [[BR]] 
     192 
     193 * Lista de certificados revogados de cada AC(Atualizado a cada hora); 
     194 * Certificados de ACs(Autoridades Certificadoras) (Atualizado raramente); 
     195 * Certificados públicos de usuários armazenados em no Diretório e BD(Atualizado conforme demanda(logon ou assinatura); 
     196 
     197==== DICA: Podemos visualizar com detalhes as atualizações das LCRs através da ferramenta de Administração de Certificados - para detalhes veja o item 7.2 deste guia. ==== 
     198 
     199=== 3.6.1. Configurando o Script de parâmetros de atualização === 
     200É no arquivo crl_admin_confg.py (script pyton) localizado na pasta /security/crl_admin/ que poderemos configurar os parametros abaixo: [[BR]] 
     201 
     202 * Path do arquivo crl_admin.conf: Este arquivo contém as URLs de download das LCRs. arquivo='/var/www/expresso/security/crl_admin/crl_admin.conf'  
     203 * Path do arquivo crls.log: Esse arquivo contém os logs do processo de atualização das LCRs através da cron. log='/var/www/expresso/logs/arquivo_crls.log' 
     204 * Path do arquivo todos.cer: Esse arquivo contém a cadeia dos certificados das Acs. CAfile='/var/www/expresso/security/cas/todos.cer'  
     205 
     206==== DICA: Podemos visualizar essas configurações através da ferramenta de Administração de Certificados - para detalhes veja o item 7.3 deste guia. ==== 
     207 
     208=== 3.6.2. Configurando o arquivo de caminhos das LCRs das ACs === 
     209 
     210Periodicamente as ACs disponibilizam(via suas URLs) a lista de certificados revogados(LCR) atualizada para download. Essa lista traz todos os certificados emitidos por aquela AC que por ventura foram revogados(invalidados). Para todas as ACs incluídas no arquivo de certificados deve-se ter o cuidado de incluir o link de download de sua LCR correspondente no arquivo: /seguranca/crl_admin/crl_admin.conf [[BR]] 
     211 
     212Nesse arquivo devemos especificar dois parâmetros: A URL para download da LCR da AC e o caminho onde o arquivo da LCR deverá ser gravado separados por ponto e virgula. O exemplo abaixo traz três LCRs. [[BR]] 
     213 
     214http://ccd.serpro.gov.br/lcr/serproacfv1.crl;/var/www/expresso/security/crls/ [[BR]] 
     215http://acraiz.icpbrasil.gov.br/LCRacraiz.crl;/var/www/expresso/security/crls/ [[BR]] 
     216http://www.receita.fazenda.gov.br/acsrf/acsrfv1.crl;/var/www/expresso/security/crls/ [[BR]] 
     217 
     218==== DICA: Podemos também visualizar o conteúdo desse arquivo através da ferramenta de Administração de Certificados - para detalhes veja o item 7.2 deste guia. ==== 
     219 
     220=== 3.6.3. Obtendo a atualização das LCRs(Agendando periodicidade do script) === 
     221A atualização das LCRs é automática e feita através da cron que baixa a(s) LCR(s) conforme tempo configurado.  
     222 
     223 * Atualização periódica dessa lista: edite a crontab do usuario www-data(usuário do apache), adicionando a linha abaixo( uma única linha): [[BR]] 
     224 
     225*/20 * * * * /var/www/expresso/security/crl_admin/crl_admin.py  
     226 
     227 * Obter uma primeira versão da lista de certificados revogados, executando os comandos abaixo(verificar se o diretório home é o mesmo(/var/www/expresso)): [[BR]] 
     228 
     229su - www-data cronwget http://ccd.serpro.gov.br/lcr/serproacfv1.crl -O /var/www/expresso/security/crls/serproacfv1.crl  
     230 
     231==== DICA: Após feitas todas configurações de atualização de LCRs, é possível forçar uma atualização   através da ferramenta de Administração de Certificados - para detalhes veja o item 7.2 deste guia, em “executar atualização de LCRs”. ==== 
     232 
     233== 3.7. Certificados das Autoridades Certificadoras(ACs) == 
     234Para que o Certificado do usuário seja aceito pelo servidor, é necessário que toda cadeia de Certificados de sua AC esteja pré-instalada no servidor, dessa forma será possível a verificação de seu certificado bem como de toda esta cadeia. O Arquivo que contém essa cadeia de certificados é semelhante ao do apache. Com isso, pode-se compartilhar o mesmo arquivo, associa-lo através de links ou usar de modo separado como preferir. O Exemplo a seguir refere-se a inclusão da cadeia de certificados da AC SERPRO, permitindo assim que todo certificado de usuário pertencente a essa AC possa ser verificado. O administrador do Expresso poderá incluir nesse mesmo arquivo – conforme política da empresa - as cadeias de certificados das ACs que forem necessárias. A seguir exemplifica a geração desse arquivo:  
     235 
     236==== DICA: Vale lembrar que essa operação pode ser realizada através da ferramenta de Administração de Certificados - para detalhes veja o item 7.1 deste guia. ==== 
     237 
     238 * Baixando a cadeia: Baixe os certificados através do link abaixo. Clique o botão direito do mouse e vá em salvar como: 
     239https://ccd.serpro.gov.br/serproacf/  
     240 
     241 * Convertendo Certificados do formato DER para PEN: Você observará que dentre os arquivos baixados, o arquivo de Certificado da ICP-Brasil(CertificadoACRaiz.crt) está no formato DER. Esse arquivo deverá ser convertido para formato PEM como segue abaixo: [[BR]] 
     242cd/security/cas [[BR]] 
     243openssl x509 -in CertificadoACRaiz.crt -inform DER -out CertificadoACRaiz.pem -outform PEM [[BR]] 
     244 
     245 * Gerando e/ou atualizando o arquivo de certificados das ACs: Agora podemos criar e/ou adicionar os três arquivos da cadeia em um só(todos.cer) que será usado pelo Expresso:  
     246cat CertificadoACRaiz.pem serprov1.crt serproacfv1.crt >> todos.cer [[BR]] 
     247 
     248 * Editar o arquivo “/var/www/expresso/security/classes/Verifica_Certificado_conf.php” e alterar o parâmetro GLOBALS['CAs'] colocando o caminho do arquivo que contém a cadeia dos certificados das autoridades certificadoras(pode ser mesmo arquivo utilizado pelo apache).  
     249 
     250 
     251== 3.8. Configurando o(s) drivers dos dispositivos criptográficos == 
     252=== 3.8.1. Informação de alguns dispositivos compatíveis(testados) === 
     253 
     254ePass2000 Token – VERDE e PRETO  [[BR]] 
     255Ambiente: LINUX / WINDOWS  [[BR]] 
     256Fabricante/Driver: http://www.pronova.com.br  [[BR]] 
     257Localização da API(linux/Windows):  [[BR]] 
     258/usr/lib/libeps_p11.so  [[BR]] 
     259%SystemRoot%/system32/ngp11v211.dll  [[BR]] 
     260 
     261Safenet ikey 2032 [[BR]] 
     262Ambiente: WINDOWS [[BR]] 
     263FabricanteDriver:  [[BR]] 
     264http://loja.certificadodigital.com.br/Serasa/Token%20(somente%20A3)/D162 [[BR]] 
     265http://www.safenet-inc.com/support-downloads/ikey-drivers/ [[BR]] 
     266Localização da API(linux/Windows):  [[BR]] 
     267/%SystemRoot%/system32/dkck201.dll  [[BR]] 
     268 
     269SmartCard GemPC TWIN Reder [[BR]] 
     270Ambiente: WIN XP  [[BR]] 
     271Fabricante/Driver: [[BR]] 
     272Leitora: http://support.gemalto.com/fileadmin/user_upload/drivers/GemPCUSB-SL/GemCCIDen-us_32.msi [[BR]] 
     273Localização da API:  [[BR]] 
     274%Program Files%/Gemplus/GemSafe Libraries/BIN/gclib.dll [[BR]] 
     275 
     276 
     277=== 3.8.2. Configurando === 
     278 
     279O Expresso disponibiliza na sua administração uma opção para configuração de caminhos para os aquivos que contém a API dos tokens. Para windows seria o caso dos arquvios DLLs e já no LINUX os arquivos SO. O fato do ambiente do cliente ser heterogêneo – tipos de SO, caminhos diferentes nas instalações dos programas, linguagens do SO, letras de unidades, etc – levou a parametrização para o caminho da API em nivel de administração. Observe abaixo os procedimentos para essa configuração. 
     280 
     281 * Entre no expresso como administrador; 
     282 * Vá até a Administração do Expresso, Configuração do Servidor, Segurança; 
     283 * Entrar com o caminho da API(DLL) no formato NOMEDODISPOSITIVO;CAMINHO. Observe os exemplos de casos logo após a figura abaixo. 
     284 
     285[[BR]] 
     286[[Image(config_path_libs.jpg,,center)]] 
     287 
     288OBS: Lembre de colocar as barras(/) conforme os exemplos, mesmo para ambientes Windows.  
     289 
     290 * Caso 1: Exemplo da configuração para uma estação de usuários que usa WinXP em Inglês e smartcard GemPcTwin. O Nome(GemPcTwinXPEng) para a configuração é livre, neste caso foi adotada essa nomeclatura para indentificar dispositivo, SO, linguagem. [[BR]] 
     291Parametro: [[BR]] 
     292GemPcTwinXPEng;c:/Program Files/Gemplus/GemSafe Libraries/BIN/gclib.dll [[BR]] 
     293 
     294 * Caso 2: Parecido com o caso 1, porem a linguagem do SO é português. [[BR]] 
     295Parametro: [[BR]] 
     296GemPcTwinXPPor;c:/Arquivos de Programas/Gemplus/GemSafe Libraries/BIN/gclib.dll [[BR]] 
     297 
     298 * Caso 3: Neste caso estamos usando o Token ePass2000-Verde no SO linux. Veja como parametrizamos. [[BR]] 
     299Parametro: [[BR]] 
     300ePass2000Ubuntu;/usr/lib/libepsng_p11.so [[BR]] 
     301 
     302Ao Logar com o Smartcard ou Token, o expresso varrerá na estação local todos os caminhos cadastrados na administração(item anterior) até achar um dispositivo válido. 
     303 
     304 
     305= 4. Usando o Login = 
     306O processo de login, se caracteriza por armazenamento da password do usuário criptografada pela própria chave do usuário no sistema de diretórios, processo este denominado "acolhimento do certificado". [[BR]] 
     307 
     308[[BR]] 
     309[[Image(login_certificado.jpg,,center)]] 
     310 
     311Ao clicar no link "Usar o meu certificado Digital para Logar" da pagina inicial do Expresso será solicitado ao usuário a sanha de seu dispositivo criptográfico(PIN), sera exibida a lista de certificados do dispositivo para seleção como mostrado a seguir: [[BR]] 
     312 
     313== 4.1. Seleção de Certificado do dispositivo(novo) == 
     314 
     315Após digitado o PIN – como os demais softwares que fazem uso de certificação digital – o expresso apresentará a lista de certificados presentes no dispositivo, basta selecionar o certificado desejado e clicar em selecionar. Vale lembrar que esse procedimento vale para qualquer operação(logon, leitura de mensagem cifrada ou assinatura) que necessite de acesso ao certificado do dispositivo criptográfico. 
     316 
     317[[BR]] 
     318[[Image(selecao_certificado.jpg,,center)]] 
     319 
     320= 5. Usando a Criptografia = 
     321 
     322Atendidos os requisitos de estação e servidor, os clientes já poderão utilizar a funcionalidade.  Para isso basta habilitar nas preferências do usuário. [[BR]] 
     323 
     324 * Preferências do usuário(ExpressoMail) [[BR]] 
     325O usuário deverá habilitar a assinatura digital através de suas preferências pessoais. Observe abaixo:  
     326 
     327[[BR]] 
     328[[Image(param_assinatura_cifragem.jpg,,center)]] 
     329 
     330 * Possibilitar assinar e criptografar digitalmente a mensagem: Essa opção habilita a opção de assinatura e criptografia das mensagens. 
     331 
     332 * Sempre criptografar a mensagem: Essa opção pode ser habilitada para trazer a caixa(checkbox) de seleção para cifragem de mensagens já marcada na tela de composição dos e-mails. Isso sugere que todas as mensagens criadas serão cifradas porém(naturalmente) com a possibilidade de desmarca-la.  
     333 
     334== 5.1. Compondo e Cifrando uma mensagem de e-mail == 
     335Uma vez habilitada a opção de cifragem nas preferências de e-mail do usuário, a caixa de seleção para assinatura de mensagens ficará disponível para a criação de novas mensagens no ExpressoMail.  
     336 
     337[[BR]] 
     338[[Image(cifrando_mensagem.jpg,,center)]] 
     339 
     340== 5.2. Lendo uma mensagem de e-mail Cifrada == 
     341Como você pode observar na figura a seguir, as mensagens cifradas são acompanhadas de um ícone(cadeado) indicador. Certifique-se de estar com o token inserido(necessário acesso a chave privada), ao clicar na mensagem cifrada, seu PIN será requisitado para em seguida sua mensagem ser exibida. 
     342 
     343[[BR]] 
     344[[Image(lendo_cifrada.jpg,,center)]]  
     345 
     346= 6. Usando a Assinatura = 
     347== 6.1. Enviando e-mail assinado == 
     348Certifique-se que o token inserido e após compôr a mensagem marque a opção "Assinar Digitalmente a Mensagem", clique em enviar e confirme o PIN do token. Serão executados os procedimentos de validação do certificado no lado servidor e caso nenhum erro seja encontrado a mensagem será enviada. 
     349 
     350[[BR]] 
     351[[Image(assinando_mensagem.jpg,,center)]]  
     352 
     353== 6.2. Lendo e-mail assinado == 
     354O e-mail assinado fica listado com um ícone(envelope ou caneta), conforme figura abaixo. Ao abrir este e-mail é feita toda validação deste certificado, isto é, igualdade nome do e-mail e certificado, cadeia de certificados, revogação e período de validade. [[BR]] 
     355 
     356[[BR]] 
     357[[Image(lendo_assinada.jpg,,center)]]  
     358 
     359Caso alguma verificação da assinatura resulte em desconfiança, o expresso irá notificar o usuário da existência desta ocorrência, emitindo uma mensagem na cor vermelha.  
     360Ainda é possível ver os dados resumidos do certificado (público) do usuário clicando-se no ícone da carta e em detalhes clicando no link "Mais", conforme mostrado na figura abaixo.  
     361 
     362[[BR]] 
     363[[Image(exibindo_detalhes_certificado.jpg,,center)]]  
     364 
     365= 7. Administração = 
     366 
     367 * Através das ferramentas de administração da certificação digital do Expresso podemos executar algumas tarefas que antes só eram possíveis via intervenção pelo através do shell no servidor: 
     368 * Manutenção de certificados das Acs(Autoridades Certificadoras); 
     369 * Consulta do histórico de atualizações das LCRs(Lista de certificados revogados); 
     370 * Execução imediata de atualização das LCRs; 
     371 *  Visualização das configurações atuais; 
     372 
     373Para acessar essa administração, logue como administrador e vá no menu de “Administração”, em seguida escolha a opção “Informações de ACs e LCRs”. 
     374 
     375[[BR]] 
     376[[Image(admin_certificacao.jpg,,center)]]  
     377 
     378== 7.1. ACs - Manutenção de certificados == 
     379 
     380A falta da cadeia de certificados de uma ACs – ou pelo menos um componente desta - ocasionará a impossibilidade de verificação do certificado do usuário pertencente aquela cadeia, impedindo uma operação de assinatura, cifragem ou logon.[[BR]] 
     381Vimos no item 3.7 deste guia - Certificados das Autoridades Certificadoras(ACs) – como adicionar certificados de ACs para uso no expresso manualmente via linha de comando. Essa ferramenta substitui esse tipo de intervenção, permitindo através de uma só interface a consulta, inclusão e exclusão de certificados de ACs. [[BR]] 
     382 
     383 * Para acessar a lista de ACS configuradas clique em Acs (Autoridades Certificadoras). Nesta tela são exibidos os certificados contidos no arquivo /security/cas/todos.cer( arquivo com certificados da ACs), e as cadeias de verificação das ACs contidas no mesmo(caixa superior e caixa inferior, respectivamente). 
     384 * Clique em um dos botões “Voltar” para retorna a tela de opções. 
     385 * Certificados de uma AC  pode ser removido do arquivo clicando no link “x”,em vermelho.  
     386 * Certificados de novas ACs podem ser adicionados ao arquivo. Selecione um arquivo contendo os certificados( pem, der, cer, pfx ou p7b), e clique no botão adicionar. O arquivo será processado, e listados os certificados - adicionados ao arquivo todos.cer. Os novos certificados serão exibidos na caixa superior e mostrados na caixa inferior também conforme exemplo abaixo: 
     387 
     388[[BR]] 
     389[[Image(acs.jpg,,center)]]  
     390 
     391Para obter informações adicionais sobre o certificado de determinada AC, clique no nome da mesma, na caixa inferior. Será exibida a tela:[[BR]] 
     392 
     393[[BR]] 
     394[[Image(acs_detalhes.jpg,,center)]]  
     395 
     396== 7.2. LCRs – Lista de Certificados Revogados e Log de atualização == 
     397 
     398Fortuitamente alguns certificados necessitam ser revogados -  seja por extravio do dispositivo, expiração do certificado, etc – e esse processo é feito junto a AC que disponibiliza atualizações constantes de suas listas de certificados revogados para download. O Expresso, conforme visto no item 3.6 deste guia, atualiza periodicamente sua lista local de certificados revogados. [[BR]] 
     399 
     400 * Para verificar o status das LCRs configuradas vá em LCRs( Lista de certificado revogados) 
     401 * Para comandar uma atualização “imediata” das LCRs clique no botão “Executar atualização das LCRs”, localizado no rodapé da caixa superior.  
     402 
     403[[BR]] 
     404[[Image(acs_atualiza_lcr.jpg,,center)]]  
     405 
     406Neste ultimo quadro podemos visualizar o LOG do download e verificação de integridade e assinatura do arquivo de LCR de cada AC. Esse arquivo de LOG está disponível em /var/www/expresso/logs/arquivo_crls.log [[BR]] 
     407O download de cada LCR é realizado baseando-se no arquivo de configuração de LCRs encontrado na pasta: /security/crl_admin/crl_admin.conf - conforme configurado no item 3.6.2 deste guia. 
     408ATENÇÃO: Problemas de download ou verificação das LCRs poderão ser detectado visualizando este LOG. [[BR]] 
     409 
     410== 7.3. Visualizar configuração de uso == 
     411 
     412As configurações para verificação de certificados - apresentados no item 3.7 deste guia - podem ser visualizados nesse menu, basta clicar em Visualizar Configuração em Uso. Será exibida a tela:[[BR]] 
     413 
     414[[BR]] 
     415[[Image(acs_visualiza_config.jpg,,center)]]  
     416 
     417Esta tela mostra as configurações em uso pelo Expresso para efetuar todas as operações que envolvem Certificados Digitais. Estas informações são de conteúdo do arquivo /security/classes/Verfica_Certificado_conf.php.[[BR]]