0
1
0
1
1
0
1
0

Assinatura Digital, Autenticação e Criptografia. > blog > O que é uma requisição de certificado digital e como é feita?

O que é uma requisição de certificado digital e como é feita?

O que é uma requisição de certificado digital e como é feita?

A requisição de certificado digital é um procedimento feito para se obter um certificado digital junto a uma Autoridade Certificadora (AC) para uma entidade final, como por exemplo, o certificado e-CPF, certificado e-CNPJ  ou mesmo um certificado de TLS/SSL para um serviço WEB.

Certificados digitais emitidos no Brasil

No Brasil o crescente número de emissões de certificados digitais se deve a novas demandas de aplicações e serviços públicos quem implementam a infraestrutura de chaves públicas brasileira, também conhecida como ICP Brasil.

Quantidade Certificado Emitidos Pela ICP-Brasil segundo o ITI

Figura 1: Certificado emitidos pela ICP-Brasil. Fonte ITI

Com a crescente emissão de certificados digitais, aumenta também a quantidade de pessoas com dúvidas, tais como, como é o procedimento de emissão, quais informações eu preciso fornecer? Com esse artigo espera-se responder tais questões.

Como é o procedimento de requisição de certificado digital ?

Este processo geralmente é executado de duas maneiras:

A primeira consiste na emissão de certificados pessoa física ou e-CPF  onde o requerente vai até uma Entidade de Registro (AR) credenciada pela AC e apresenta os documentos necessários. O certificado pode ser gerado em um cartão criptográfico, também conhecido como smartcard, utilizando equipamentos da própria AR. Este método possui várias vantagens para o requerente, que deve se preocupar apenas com a sua documentação, não precisando se preocupar com detalhes técnicos.

O segundo procedimento é aplicado aos certificados destinados a serviços, como serviços WEB e serviços de processamento de imagem para compensação bancária, entre outros. Neste caso, além de providenciar a documentação necessária, o responsável pela solicitação deve executar um procedimento um pouco mais complicado, que é constituído de forma geral pelos seguintes passos:

  1. A geração do par de chaves.
  2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request).
  3. A solicitação do certificado é enviada a autoridade certificadora através de um arquivo CSR.
  4. Após o recebimento do arquivo do certificado, associação do certificado recebido com a chave privada RSA gerada no primeiro passo.

Após a execução deste procedimento, você ainda terá que configurar o serviço para utilizar este certificado.

Agora, vamos falar um pouco mais sobre este processo, a CSR e as dificuldades que talvez você possa encontrar.

Quais as informações em uma CSR?

Uma CSR (Certificate signing request) contém um conjunto mínimo de informações que permita a AC gerar o certificado para o requerente. Estas informações são:

  1. A identificação do requerente, que é composta por vários campos, como o:

CN (Common Name): Nome de uma pessoa, empresa, aplicação ou URL.

O (Organization): Nome da organização.

OU (Organizational Unit): Departamento ou setor da empresa.

L (Locality): Sua cidade.

S (State): Nome do estado ou província.

C (Country): Sigla do país com 2 caracteres.

  1. A chave pública.
  2. Assinatura da requisição, feita com a chave privada parceira da chave pública.

Dificuldades

São inúmeras as dificuldades enfrentadas pelo usuário ao se gerar uma requisição de certificado, que gera várias dúvidas, como:

  1. Quais os valores corretos para os campos do nome do requerente para a aplicação?
  2. Qual o tipo e o tamanho apropriado das chaves para a aplicação?
  3. Qual algoritmo utilizar para a assinatura?
  4. Qual o formato de CSR arquivo da CSR?
  5. Qual o conjunto de caracteres a utilizar? Podemos utilizar caracteres especiais, cedilha e acentos?
  6. Qual repositório de chaves utilizar?
  7. Qual ferramenta utilizar?
  8. A CSR gerada está de acordo com as normas brasileiras e as políticas de certificação da AC?
  9. Como instalar a cadeia de certificados? Ou mesmo, o que é uma cadeia de certificados?

Configurando o OpenSSL

Figura 2 – Configurando o OpenSSL.

Estas dúvidas se somam as dificuldades inerentes das ferramentas de software utilizadas para a geração do par de chaves e da requisição como:

  1. Métodos genéricos difíceis para o usuário leigo, como utilizados nas ferramentas OpenSSL (figura 1) e Java KeyTool.
  2. Métodos específicos para as aplicações.
  3. Métodos específicos para HSM (Hardware Security Module).

Gerando A CSR Com O OpenSSL

Figura 3 – Gerando a CSR com o OpenSSL.

Algumas respostas

Dependendo da autoridade certificadora que emite o certificado ou do uso a que o mesmo se destina, as questões levantadas aqui podem mudar de resposta, contudo algumas regras gerais são válidas para certificados emitidos pelas AC brasileiras, como as CSRs devem ser geradas com chaves de tamanho de 2048 bits e algoritmo de assinatura sha256WithRSAEncryption.

Também, prefira utilizar um HSM para a guarda das chaves, pois este provê o melhor nível de segurança para as chaves e consequentemente para a sua organização.

Concluindo

Antes de gerar uma CSR, procure informar-se sobre quais as necessidades da aplicação que utilizará o certificado e quais as exigências da AC para a emissão do certificado. Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor as suas necessidades e que facilite o teu trabalho pois existem diversos sistemas que podem auxiliá-lo em todo o processo de geração dos certificados digitais.

__

E-VAL Tecnologia oferece soluções de assinatura digitalautenticação e criptografia de forma segura, ágil e eficiente para o Mercado Financeiro. Todas as nossas soluções são focadas em garantir acesso seguro às informações, otimizar processos e reduzir custos. Saiba mais sobre tudo que podemos fazer por você e pela sua empresa, acessando: www.evaltec.com.br.