13. Carregando certificados emitidos por autoridade de certificação em Produção

Owned by Renan Amorim Costa (Unlicensed)
Last updated: 03/07/2023
3 min read

Esta seção explica as etapas para importar certificados que foram emitidos por uma autoridade de certificação e para uso exclusivo em ambiente de Produção do Diretório.

Requisitos

Apos a emissão de um Certificado de transporte ou assinatura junto a alguma AC credenciada pelo ICP Brasil será necessário inseri-lo no Diretório de participantes ao nível da organização, para BRSEALs, ou ao nível do Software Statements, para BRCACs.

 

A adição de certificados no diretório deve ser feita sempre com a opção EXTERNAL BRCAC ou EXTERNAL BRSEAL, já que os certificados são gerados pela cadeia do ICP Brasil, externa ao PKI diretório.

 

Ao adicionar o certificado no diretório duas validações serão feitas.

 

O diretório irá validar que o certificado foi assinado por uma das ACs credenciadas ao Open Finance Brasil, cuja lista completa pode ser encontrada na documentação de segurança. – É possível executar essa consulta avaliando se o issuer do certificado está na lista citada, que pode ser obtido utilizando a ferramenta openssl com o seguinte commando: openssl - openssl x509 -in brcac.pem -noout -issuer

 

O diretório irá validar que o certificado possui UID em seu subject igual ao UID so Software Statement no caso do BRCAC, ou igual ao Organisation ID no caso do BRSEAL – É possível executar essa consulta avaliando se o UID do subject é igual ao UID apresentado no diretório, que pode ser obtido utilizando a ferramenta openssl com o seguinte commando: openssl x509 -in brcac.pem -noout -subject

Etapa 1: Carregando Certificado de Transporte

Requisitos

1. Necessário ter criado uma Criando um Software Statements para sua organização.

 

2. No Diretório, selecione a sua organização e Selecione o menu Software Statements .

 

3. Na tela Software Statement , clique no botão New Certificate.

 

4. Na janela New Certificate, na caixa de seleção Select Certificate Type selecione a opção EXTERNAL BRCAC e clique no botão Continue.

 

5. No passo seguinte, em Generate CSR, clique no botão Continue.

 

6. Na opção Upload CSR/PEM, localize o arquivo em formato .cer ou .pem do certificado gerado junto a AC. Para essa etapa garanta que nenhuma chave privada, arquivo em formato .key, será adicionada sob risco de exposição de credenciais.

 

7. Aguarde o carregamento do arquivo para o Diretório e no passo seguinte clique no botão Done.

 

8. Uma nova entrada será fornecida na tela de certificados. Certifique que o novo certificado se encontra adicionado.

 

Etapa 2: Carregando Certificado de Assinatura

Requisitos

1. No Diretório, selecione a sua organização e no menu lateral clique em Organisations Certificate.

 

2. Na janela New Organisations Certificate, na caixa de seleção Select Certificate Type selecione a opção BRSEAL EXTERNAL e clique no botão Continue.

 

3. No passo seguinte, em Generate CSR, clique no botão Continue.

 

4. Na opção Upload CSR/PEM, localize o <arquivo>.csr e clique no botão Continue.

 

5. Aguarde o carregamento do arquivo para o Diretório e no passo seguinte clique no botão Done.

 

6. Na tela anterior em Organisation Certificates, vá até actions e clique na seta de download. Salve o <arquivo>.pem em uma pasta local.