A requisição é o caminho para se obter um certificado digital junto a uma Autoridade Certificadora (AC) para uma entidade final, como por exemplo, o certificado e-CPF, certificado e-CNPJ ou mesmo um certificado de TLS/SSL para um serviço WEB.
Certificados digitais emitidos no Brasil
No Brasil o crescente número de emissões de certificados digitais se deve a novas demandas de aplicações e serviços públicos que implementam a infraestrutura de chaves públicas brasileira, também conhecida como ICP Brasil.
Com a crescente emissão de certificados digitais, aumenta também a quantidade de pessoas com dúvidas, por exemplo: como é o procedimento de emissão e quais informações é preciso fornecer?
Com esse artigo vamos responder tais questões.
Como é o procedimento de Requisição de Certificado Digital?
Este processo geralmente é executado de duas maneiras:
A primeira consiste na emissão de certificados pessoa física ou e-CPF, onde o requerente vai até uma Entidade de Registro (AR) credenciada pela AC e apresenta os documentos necessários.
O certificado pode ser gerado em um cartão criptográfico, também conhecido como smartcard, utilizando equipamentos da própria AR. Este método possui várias vantagens para o requerente, que deve se preocupar apenas com a sua documentação, não precisando cuidar de detalhes técnicos.
O segundo procedimento é aplicado aos certificados destinados a serviços, como WEB ou processamento de imagem para compensação bancária por exemplo.
Dessa forma, além de providenciar a documentação necessária, o responsável pela solicitação deve executar um procedimento um pouco mais complicado, que geralmente é constituído pelos seguintes passos:
- A criação do par de chaves;
- A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);
- O envio da solicitação de certificado à autoridade certificadora através de um arquivo CSR;
- A associação do certificado recebido com a chave privada RSA gerada no primeiro passo.
Posteriormente à execução deste procedimento, você ainda terá que configurar o serviço para utilizar este certificado.
Agora vamos falar um pouco mais sobre este processo, a CSR e as dificuldades que talvez você possa encontrar.
Quais as informações em uma CSR gerado através de uma Requisição de Certificado Digital?
Uma CSR (Certificate signing request) contém um conjunto mínimo de informações que permite à AC gerar o certificado para o requerente. Estas informações são:
- A identificação do requerente;
- A chave pública;
- Assinatura da requisição, feita com a chave privada parceira da chave pública.
A identificação do requerente é composta por vários campos:
- CN (Common Name): nome de uma pessoa, empresa, aplicação ou URL;
- O (Organization): nome da organização;
- OU (Organizational Unit): departamento ou setor da empresa;
- L (Locality): sua cidade;
- S (State): nome do estado ou província;
- C (Country): sigla do país com 2 caracteres.
Desafios
São inúmeras as dificuldades enfrentadas pelo usuário ao se gerar uma requisição de certificado, o que gera várias dúvidas, como:
- Quais os valores corretos para os campos do nome do requerente para a aplicação?
- Qual o tipo e o tamanho apropriado das chaves para a aplicação?
- Qual algoritmo utilizar para a assinatura?
- Qual o formato de CSR arquivo da CSR?
- Qual o conjunto de caracteres a utilizar? Podemos utilizar caracteres especiais, cedilha e acentos?
- Qual repositório de chaves utilizar?
- Qual ferramenta utilizar?
- A CSR gerada está de acordo com as normas brasileiras e as políticas de certificação da AC?
- Como instalar a cadeia de certificados? Ou mesmo, o que é uma cadeia de certificados?
Essas dúvidas se somam às dificuldades inerentes das ferramentas de software utilizadas para a geração do par de chaves e da requisição como:
- Métodos genéricos difíceis para o usuário leigo, como utilizados nas ferramentas OpenSSL e Java KeyTool;
- Métodos específicos para as aplicações;
- Métodos específicos para HSM (Hardware Security Module).
Algumas respostas
Dependendo da autoridade certificadora que emite o certificado, ou do uso a que o mesmo se destina, as questões levantadas aqui podem mudar de resposta.
Entretanto, algumas regras gerais são válidas para certificados emitidos pelas AC brasileiras: CSRs devem ser geradas com chaves de tamanho de 2048 bits e algoritmo de assinatura sha256WithRSAEncryption.
Também prefira utilizar um HSM para a guarda das chaves, pois ele provê o melhor nível de segurança.
Antes de gerar uma CSR, procure se informar sobre quais as necessidades da aplicação que utilizará o certificado e quais as exigências da AC para a emissão dele.
Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilita o teu trabalho, pois existem diversos sistemas que podem te auxiliar em todo o processo de geração dos certificados digitais.
Sobre a Eval
Com uma trajetória de liderança e inovação que remonta a 2004, a Eval não apenas acompanha as tendências tecnológicas, mas também estamos em uma busca incessante para trazer novidades oferecendo soluções e serviços que fazem a diferença na vida das pessoas.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança de informações sensíveis e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
