Requisição de certificado digital em hospitais

Confira neste artigo

A certificação digital possibilitou ao setor de saúde garantir a autenticidade e a validade jurídica de documentos no meio eletrônico.

Com a integração do certificado a um sistema de prontuário eletrônico, o médico pode realizar, por exemplo, a autorização de um procedimento a partir de sua assinatura digital.

Sem dúvidas, a eficiência operacional é um dos maiores benefícios da medida, ainda mais quando consideramos as deficiências do setor, que podem ser bastante reduzidas com mais celeridade no atendimento aos pacientes.

Mas como obter o certificado digital? A requisição é o caminho para se obter um certificado digital junto a uma Autoridade Certificadora (AC) para uma entidade final, como por exemplo, o certificado e-CPF, certificado e-CNPJ  ou mesmo um certificado de TLS/SSL para um serviço WEB.

Certificados digitais emitidos no Brasil

No Brasil, o crescente número de emissões de certificados digitais se deve a novas demandas de aplicações e serviços públicos que implementam a infraestrutura de chaves públicas brasileira, também conhecida como ICP Brasil.

Com a crescente emissão de certificados digitais, aumenta também a quantidade de pessoas com dúvidas, por exemplo: como é o procedimento de emissão e quais informações é preciso fornecer? Com esse artigo vamos responder tais questões.

Como é o procedimento de requisição de certificado digital?

Este processo geralmente é executado de duas maneiras:

A primeira consiste na emissão de certificados pessoa física ou e-CPF, onde o requerente vai até uma Entidade de Registro (AR) credenciada pela AC e apresenta os documentos necessários.

O certificado pode ser gerado em um cartão criptográfico, também conhecido como smartcard, utilizando equipamentos da própria AR. Este método possui várias vantagens para o requerente, que deve se preocupar apenas com a sua documentação, não precisando cuidar de detalhes técnicos.

O segundo procedimento é aplicado aos certificados destinados a serviços, como WEB ou processamento de imagem para compensação bancária por exemplo.

Dessa forma, além de providenciar a documentação necessária, o responsável pela solicitação deve executar um procedimento um pouco mais complicado, que geralmente é constituído pelos seguintes passos:

1.A criação do par de chaves;

2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);

3.O envio da solicitação de certificado à autoridade certificadora através de um arquivo CSR;

4.A associação do certificado recebido com a chave privada RSA gerada no primeiro passo.

Posteriormente à execução deste procedimento, você ainda terá que configurar o serviço para utilizar este certificado.

Agora vamos falar um pouco mais sobre este processo, a CSR e as dificuldades que talvez você possa encontrar.

Quais as informações em uma CSR?

Uma CSR (Certificate signing request) contém um conjunto mínimo de informações que permite à AC gerar o certificado para o requerente. Estas informações são:

1.A identificação do requerente;

2. A chave pública;

3. Assinatura da requisição, feita com a chave privada parceira da chave pública.

A identificação do requerente é composta por vários campos:

  • CN (Common Name): nome de uma pessoa, empresa, aplicação ou URL;
  • O (Organization): nome da organização;
  • OU (Organizational Unit): departamento ou setor da empresa;
  • L (Locality): sua cidade;
  • S (State): nome do estado ou província;
  • C (Country): sigla do país com 2 caracteres.

 

Dificuldades

São inúmeras as dificuldades enfrentadas pelo usuário ao se gerar uma requisição de certificado, o que gera várias dúvidas, como:

  1. Quais os valores corretos para os campos do nome do requerente para a aplicação?
  2. Qual o tipo e o tamanho apropriado das chaves para a aplicação?
  3. Qual algoritmo utilizar para a assinatura?
  4. Qual o formato de CSR arquivo da CSR?
  5. Qual o conjunto de caracteres a utilizar? Podemos utilizar caracteres especiais, cedilha e acentos?
  6. Qual repositório de chaves utilizar?
  7. Qual ferramenta utilizar?
  8. A CSR gerada está de acordo com as normas brasileiras e as políticas de certificação da AC?
  9. Como instalar a cadeia de certificados? Ou mesmo, o que é uma cadeia de certificados?

Essas dúvidas se somam às dificuldades inerentes das ferramentas de software utilizadas para a geração do par de chaves e da requisição como:

  1. Métodos genéricos difíceis para o usuário leigo, como utilizados nas ferramentas OpenSSL e Java KeyTool;
  2. Métodos específicos para as aplicações;
  3. Métodos específicos para HSM (Hardware Security Module).

Algumas respostas

Dependendo da autoridade certificadora que emite o certificado, ou do uso a que o mesmo se destina, as questões levantadas aqui podem mudar de resposta.

Entretanto, algumas regras gerais são válidas para certificados emitidos pelas AC brasileiras: CSRs devem ser geradas com chaves de tamanho de 2048 bits e algoritmo de assinatura sha256WithRSAEncryption. Também prefira utilizar um HSM para a guarda das chaves, pois ele provê o melhor nível de segurança.

Concluindo

 Antes de gerar uma CSR, procure se informar sobre quais as necessidades da aplicação que utilizará o certificado e quais as exigências da AC para a emissão dele. Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilita o teu trabalho, pois existem diversos sistemas que podem te auxiliar em todo o processo de geração dos certificados digitais.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Sobre o(s) autor(es):

Autor