Utilizando Certificados Digitais

Marcelo Sincic
Microsoft MCT-MCITP-MCPD-MCTS-MCDBA-MCSA
Outubro 2009
Tecnologias
Neste documento utilizamos o Windows Server 2008 com as features de Web Server e
Certificate Authority.
Sumrio
Instalar uma certificadora digital para certificar o nosso servidor web e os usurios com o
objetivo de utilizar certificados digitais para criptografia e autenticidade, tanto na comunicao
quanto na autenticao dos clientes.
Contedo
Introduo
Argumentos para utilizarmos certificados
Como funciona a estrutura PKI
Parte 1: Configurando um servidor para utilizar certificados do cliente na autenticao
Parte 2: Emitindo e certificando o IIS
Parte 3: Emitindo e certificando o usurio
Dicas
Concluso
Referncias + Tpicos Relacionados
Sobre o Autor
lntroduo
Atualmente todos esto preocupados com a segurana e autenticidade de documentos e
relacionamentos eletrnicos, uma vez que muitos usurios utilizam a internet para enviar
documentos, consultar processos e realizar transaes financeiras, fiscais e, recentemente,
legais. Cada vez mais notamos que pedir o nome do usurio e uma senha no a forma ideal
de garantirmos a autenticidade, e intuies como bancos utilizam quatro ou cinco mtodos de
validaes adicionais alem do clssico "user-pass.
Neste ponto que surgem as chaves criptogrficas, armazenadas em certificados digitais, que
garantem a identidade de uma empresa, pessoa fsica ou um site na internet. Para termos uma
idia da importncia e necessidade desta tecnologia, desde o ano passado algumas transaes
no site da Receita Federal s podem ser feitas por quem tem um certificado, bem como o FINEP
para universitrios que queiram financiamento, sistemas de exportao baseados no SISCOMEX,
e muitos outros.
O certificado um arquivo de pouco mais de 1Kb que contem uma chave criptogrfica e dados
de seu proprietrio. No caso do programa ICP-Brasil, os dados gravados so Nome, CPF, RG,
etc.
O programa ICP-Brasil (Infraestrutura de Chaves Publicas, sigla em portugus para a tecnologia
PKI, ou, Public Key Infrastructure) juntamente com seus agregados de identificao, o e-CPF e o
e-CNPJ, que respectivamente identificam uma pessoa fsica e uma jurdica. Uma observao
importante: a tecnologia real se chama PKI, o ICP-Brasil uma srie de medidas legais,
tcnicas e normas que possibilitaram o surgimento de verses virtuais de nossos CPFs e CNPJs.
Por exemplo, para ter um e-CPF ou um e-CNPJ necessrio comparecer a um posto do SERASA
com seus documentos, alem do pagamento e do pedido j efetuado na internet, para verificar
os dados e deixar sua assinatura devidamente registrada. S aps a conferncia dos
documentos que enviam o documento eletrnico.
Page 1 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
A utilizao deste mtodo de autenticao e segurana ainda baixa, em primeiro lugar porque
o custo relativamente alto para o usurio final, que pode variar entre o modelo A1 que custa
em torno de R$ 100,00 e chegando ao kit do modelo A3 em R$ 700,00. Outro problema que
os usurios em geral ainda no se deram conta do risco que existe no uso da internet sem o
certificado nas duas pontas e as empresas ainda podem se esquivar de responsabilidades por
utilizar mltiplos mtodos de segurana.
Neste artigo veremos agora como se pode utilizar certificados digitais, sejam os emitidos pelo
ICP-Brasil ou utilizando o modelo PKI j disponvel no Windows Server desde a verso 2000.
Tambm abordaremos como emitir certificados para nossos usurios sem que eles tenham o
custo de comprar um.
importante notar que neste artigo estaremos focando o Windows 2008, mas em meu site voc
poder ler tambm o artigo baseado no Windows 2003, com as mesmas funcionalidades
abordadas.
Argumentos para utiIizarmos certificados
Para entender os tipos de certificados e o que est por trs de toda esta tecnologia PKI
devemos, em primeiro lugar, abordar a questo do custo e tipo dos certificados. Quando
falamos em tipos de certificados na verdade nos referimos a como chegaram at o cliente e
como o cliente o usa fisicamente, e no o certificado em s mesmo.
O certificado do modelo A1 consiste em um arquivo que contem duas chaves, uma pblica e
outra privada J o modelo A3 o conhecido "smartcard, que agora bancos como Ita e
Bradesco passaram a distribuir aos seus clientes. A utilizao dos cartes A3 tem seu custo mais
elevado em razo do leitor que necessrio adquirir. Algumas empresas vendem o kit A3, como
a Itautec, contendo o carto, a mdia com o arquivo, o leitor de smartcard que conectado na
USB e uma visita tcnica para instalao. Como o A1 apenas distribudo com uma mdia
simples, pode-se encontr-lo ao preo de R$ 150,00 no site do SERASA, CertSign e outros. O A3
tambm pode ser comprado nos mesmos lugares ao preo mdio de R$ 400,00. Mas neste caso
a leitora no est includa. Como em qualquer negociao possvel procurar a "concorrncia,
j que os certificados so vendidos por diversas empresas alem destas citadas.
O segundo argumento para utilizao dos certificados pessoais que ns, usurios, ainda no
nos demos conta do real perigo oferecido pela certificao como utilizada atualmente. Para
entendermos este risco veja a Figura 1, lado esquerdo. Podemos notar que o modelo tradicional,
apenas o servidor da empresa possui a chave de autenticao (vide Nota 1), portanto ele
quem diz ser. Fazemos isto por utilizar uma chave criptogrfica para montar um servidor SSL
(https), que nada mais do que ter certeza de que aquele servidor realmente pertence a sua
empresa, por isso chamado de "Digital Signature (Assinatura Digital). Mas quem garante que
"voc realmente quem diz ser?
Page 2 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 1 - Utilizaes padro de certificados
Nota 1 - Chaves Pblicas e Privadas
A chave pblica (Public Key) aquela que apenas o emissor possui, enquanto a chave privada
(Private Key) trocada com todos os que acessam o site. Esse modelo chamado de
assimtrico, j que a utilizao da chave pblica para criptografar o faz com o algoritmo que
apenas a privada consegue abrir, e vice-versa. Ou seja, com a chave publica lemos o que foi
criptografado com a chave privada, mas no conseguimos alterar, uma vez que apenas a
privada consegue abrir o que a pblica criptografou, garantindo que o dono do certificado ele
mesmo, pois uma chave "falsificada no conseguiria abrir a assinatura digital no documento ou
no site.
Na figura 1 do lado direito notamos que com o certificado do usurio a recproca passa a ser
verdadeira, tanto o usurio quando o servidor so confiveis e autnticos.
Anteriormente a nica garantia que um banco ou uma empresa tem em relao quem est
logando em uma pgina privada ocorre atravs de identificadores, como por exemplo um
nmero de agncia e conta, para os sites de banco, ou ento um endereo de email para
demais sites.
Esses mtodos eram facilmente burlados, por exemplo, algum utilizando um trojan descobria o
que voc digitou e poderia utilizar esses dados para acessa a sua conta. Ento comearam nos
bancos os irritantes mtodos fsicos, carto com cdigos, letras que mudam de posio, teclado
que se movimenta na tela, nmero de confirmao grafado no carto e outros que muitas vezes
nos fazem desistir da transao.
Como funciona a estrutura PKl
Ento agora que j entendemos que certificados digitais s nos ajudam, como funciona a
tecnologia PKI?
A Figura 2 demonstra como ele funciona e suas vantagens em uma aplicao corporativa, onde
apenas quem possui um certificado emitido pela empresa consegue o acesso. Este processo
chamado de "no repdio.
Claro que aqui estamos apenas alistando um exemplo de aplicao, sendo que os certificados
so emitidos pela prpria empresa e no utilizando o modelo e-CPF/e-CNPJ que so emitidos
pelo SERPRO, SERASA ou outra credenciada.
Page 3 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 2 - Modelo bsico com acesso utilizando certificados
Detalhando melhor os principais componentes PKI, podemos destacar 4 servios principais:
CA (Autorizada de Certificao) que emite os certificados. As certificadoras so bem conhecidas
empresas que mantm um banco de dados com os certificados emitidos, bem como o CRL
atualizado. Nem sempre se utiliza a CA para emisso de certificados e sim um subordinado.
Subordinate CA (Autoridade de Certificao Subordinada) que tambm emite os certificados,
mas utilizando uma "corrente ligada a CA raiz. Este modelo utilizado pela maior parte das
certificadoras conhecidas, como a VeriSign, CertSign e outras. No Brasil, como exemplo, o
SERASA emite certificados SSL que so subordinados a GlobalSign. O motivo muito simples,
as "certificadoras confiveis j esto pr-configuradas nos sistemas operacionais, como pode
ser visto na figura 3. Esta lista uma parte na encontrada no Internet Explorer ao entrar em
"Opes-Conteudo-Certificados e o SERASA no consta na lista, obviamente porque uma
empresa que no conhecida fora do Brasil para ser includa, por isso utilizar um secundrio de
outra j cadastrada.
Page 4 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 3 - Internet Explorer 8
CRL (Certificate Revogation List) um servidor mantido pela CA ou subordinada e que mantm
uma lista dos certificados que foram revogados ou cancelados. Esta lista nos protege contra o
mau uso ou desvio do certificado para outros fins. A Verisign a alguns anos atrs teve que
noticiar que havia emitido dois certificados para a Microsoft quando na verdade os solicitantes
utilizaram documentos falsos. A soluo neste caso revogar os certificados e public-lo na
CRL.
Certificado Digital, por fim, um arquivo que contem as chaves pblica e privada. A chave
privada s conhecida do proprietrio e da CA que a emitiu. A chave pblica conhecida por
todos os que se comunicam com o proprietrio da chave. O modelo de criptografia utilizado
assimtrico, o proprietrio utiliza a chave privada para criptografar suas mensagens e a chave
pblica contm o algoritmo para descriptografar. O inverso na comunicao ocorre quando o
destinatrio envia para o proprietrio utilizando a chave pblica para criptografar, garantindo
que apenas o proprietrio conseguir descriptografar, uma vez que ele o nico que tem a
chave inversa, neste caso a privada. O certificado contm um importante dado dentro dele
chamado de "subject, onde consta os dados de quem o proprietrio da chave e outros dados
que a certificadora queira incluir como mostra a figura 4.
Page 5 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 4 - Subject do certificado
Parte l. Configurando um servidor para utiIizar certificados do
cIiente na autenticao
Agora que j temos um bom panorama do porque os certificados so importantes e como sua
infraestrutura foi planejada vamos configurar o IIS para utilizar os certificados. Utilizaremos
uma certificadora baseada no Windows 2008 para a emisso, j que para podermos fazer o
processo de autenticao por certificados precisamos que o servidor IIS esteja com SSL
habilitado. O meu servidor j est certificado e abordaremos como este processo foi feito
adiante. Utilizarei neste exemplo um certificado prprio emitido pelo Windows 2008, mas o
processo o mesmo para o e-CPF/e-CNPF, apenas ao invs de utilizar um servidor prprio
utilizaria um do ICP Brasil.
Talvez voc se pergunte porque utilizar uma certificadora prpria se o ICP-Brasil j existe para
isso, mas lembre-se de que no inicio do artigo foi comentado que os certificados e-CPF/e-CNPJ
so pagos, e com preos bastante elevados por sinal.
Nota
Lembre-se que Autoridade Certificadora (CA) quem emite o certificado, arquiva e mantm a
lista de revogao (CRL). Se o CA interna ou da internet como as mais conhecidas e do ICP-
Brasil no faz diferena no uso de PKI e certificados digitais.
Outra questo como fazer o mesmo processo em servidores, como o Apache, por exemplo.
Qualquer servidor web permite o uso de certificados para SSL, mas obviamente no to
simples quanto no IIS. Quanto a emisso de certificados, tocamos no calcanhar de aquiles, j
que emisso de certificados no Linux bem mais complexo do que no Windows Server, mas
tambm pode ser feito. Contudo, no vamos abordar esse tema nesse artigo.
Voltando ao IIS, veja na Figura 5 que para utilizar a opo "Require client certificate
necessrio tambm ter o servidor certificado. Caso no possua o seu servidor com SSL poder
utilizar a opo "Accept client certificate que no exige, apenas permite o uso de certificados
pelo cliente, no garantindo assim um bom mtodo de autenticao.
Page 6 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 5 - Habilitando o uso de certificados no IIS
A Figura 6 demonstra o que acontece ao tentar acessar um servidor certificado e com
obrigatoriedade de certificado pelo cliente. O erro "403.7 obviamente pode ser redirecionado
para uma pgina de erro customizada que informe ao usurio que ele precisa comprar um
certificado e a lista de onde isto pode ser feito, por exemplo.
Nota
No tente tratar este erro por try-catch pois a aceitao e leitura do certificado feita
diretamente pelo IIS, e neste caso a aplicao nem inicializada.
Figura 6 - Acesso proibido por falta de um certificado
Aps instalar o certificado para o meu usurio, Figura 7, uma lista dos certificados que eu
possuo na maquina mostrada, permitindo que eu escolha qual utilizar. Esta lista s aparece
caso o usurio solicite ou se existirem mltiplos certificados.
Page 7 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 7 - Certificado sendo solicitado ao usurio
Parte 1.1: Utilizando os dados do certificado
O prximo passo ler os dados do certificado para validar o usurio, e isto mostrado na
Figura 8, onde est listado o contedo do "subject com os dados utilizados quando comprei o
certificado. Para extrair estes dados foi utilizado o cdigo da Listagem 1, que extremamente
simples.
Figura 8 - Acesso permitido e os dados do certificado exibidos
Listagem 1. Cdigo ASP para ler os dados do certificado
Vale lembrar que neste certificado o subject o email do cliente, mas isto configurvel,
portanto o subject de um e-CPF ser o numero do documento.
<u1Ml>
<800Y>
<u1>8em-vndo <,u1>
<x=8equest.C1entCert1cate.Subectx>
<,800Y><,u1Ml>
HTML
Page 8 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Parte 2. mitindo e certificando o ll5
A grande sacada que o Windows Server desde a verso 2000 j possuem certificadoras !!!!
Portanto, esquea o custo e a dificuldade, voc mesmo pode criar a certificadora, certificar o seu
site e seus usurios, precisando para isso ter apenas um servidor e o CD de instalao na mo.
Para instalar o servio de certificao no seu Windows 2008 utilize o mtodo normal de
instalao de componentes: Server Manager -> Roles -> Add Roles...
Escolha na lista a opo "Certificate Authority. Na tela de configurao do componente
selecione "Standalone Certification Authoriry e informe os dados de sua empresa, mas note que
existe a opo para validade dos certificados. Se escolher a validade muito baixa seus usurios
estaro sempre tendo que renov-lo. Por outro lado, certificados com tempo muito longo podem
ter problemas de "vazamento por parte do usurio. Utilize um perodo como 1 ou 2 anos que
o padro utilizado hoje nos certificados comerciais.
Aps a instalao o papel de certificados aparece na console, conforme a Figura 9.
Figura 9 - Roles CA instalada

Para certificar o IIS utilizando os seus prprios certificados o processo o mesmo que utilizar
um certificador comercial. Abra o gerenciador do IIS, abra propriedades do seu site no painel de
aes (Figura 10), clique em "Create Certificate Request.
Page 9 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 10 - Configurando a segurana
Preencha agora os dados do seu site, conforme mostra a Figura 11
Importante
Na opo "Common Name coloque o nome do seu domnio na internet, *.seudominio.com.br,
pois se fizer diferente disto no momento em que seu site for aberto ocorrer um erro
informando que o certificado no pertence ao seu site.
Page 10 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 11 - Resumo dos dados do certificado
Aps completar os dados ser gerado um arquivo texto com o contedo criptografado do que
voc informou, conforme a Figura 12.
Page 11 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 12 - Arquivo gerado com os dados
O contedo deste arquivo ser a sua chave privada, como mostra a Listagem 2.
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST----
Listagem 2. Arquivo certreq.txt
Por mais incrvel que parea neste emaranhado de letras e nmeros esto gravados os dados
que foram informados no IIS na tela de configurao.
O prximo passo utilizar a pgina da certificadora para emitir o certificado para servidor.
Utilize a url http://localhost/certsrv
1
para acessar a certificadora como na Figura 13.
Page 12 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 13 - Certificadora Windows 2008 baseada em web
Escolha a opo "Request a certificate -> "Advanced certificate request -> "Submit a
certificate request by using a base-64-encoded .. Na caixa de texto cole o contedo do arquivo
texto ou ento use o link para encontrar o arquivo certreq. No final receber uma tela de
confirmao de pedido encaminhado e avisa que necessrio o administrador liberar o seu
certificado. Estes passos esto nas Figuras 14, 15 e 16.
Figura 14 - Escolha do tipo de certificado
Page 13 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 15 - Opo por formulrio ou envio de arquivo PKCS
Figura 16 - Formulario para pedido de certificado com PKCS
Esta liberao feita na ferramenta "Active Directory Certificate Authority nas ferramentas
administrativas do certificador. Ao abrir v rvore "Pending Requests e o certificado estar
listado, bastando clicar com o boto direito e escolher Issue (Aprovar) ou Reject (Rejeitar).
Feito a aprovao o certificado est disponvel como na Figura 17, onde esto listados os
certificados emitidos. Para revogar um certificado voc poder clicar em qualquer um destes e
escolher Revoke (Revogar), que ele ir passar a constar na lista CRL vista anteriormente.
Figura 17 - Liberando os certificados na ferramenta de administrao da certificadora
Agora volte na pgina onde o certificado foi solicitado e escolha a opo "View status of pending
request. Seu certificado j est aguardando para ser copiado, como mostra a Figura 13. Basta
clicar e salv-lo em um local apropriado.
Page 14 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 18 - Recebendo o certificado aps a liberao
Nota
O certificado que voc acabou de baixar (arquivo cer) no contem a chave privada, apenas a
chave pblica. A chave privada so os dados que geraram o arquivo texto PKCS no IIS e precisa
agora ser complementado pela chave pblica gerada e guardada no arquivo cer.
ATENO: No adianta ter uma cpia do arquivo cer e tentar utiliz-lo novamente. Veremos a
frente como fazer backup do certificado completo (chaves pblicas+privada).
Com o arquivo do certificado em mos, vamos terminar o processo no IIS. Volte no seu web site
e utilizando o painel de aes do lado direito, Figura 19, escolha a opo "Complete Certificate
Request. Lembre-se conforme a note acima que neste momento que se far a ligao entre a
chave privada do IIS com a chave pblica enviada pelo CA.
Figura 19 - Completar o processo de instalao do certificado emitido para o servidor
IIS
O prximo passo consiste em configurar o site para utilizar certificados. Para isso siga ao site
como na Figura 20 e clique em "SSL Settings.
Page 15 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 20 - Tela de configurao do Site
Na Figura 21 podemos adicionar a porta que ser utilizada para o SSL, a porta padro 443, e
na Figura 22 podemos escolher o certificado que ir ser usado na criptografia dos dados.
Figura 21 - Opes de binding do certificado ao site
Page 16 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 22 - Associando o certificado instalado porta correspondente do Site
Nota
Uma interessante alterao no IIS 7 que agora podemos ter para um mesmo site vrios
certificados diferentes, um para cada porta SSL, o que permite por exemplo, o site certificar na
porta X o usurio utilizando o certificado do ICP-Brasil e na porta Y um certificado com nossa
prpria CA.
Isso no era possvel no IIS at a verso 6, cada site utiliza um nico certificado de CA.
Parte 3. mitindo e certificando o usurio
Terminada a certificao do servidor precisamos certificar os usurios. Como a configurao do
servidor exige certificados para acesso ao site o processo de certificao do usurio se tornou
imprescindvel e no apenas recomendado como anteriormente.
Para emisso instrua o usurio a acessar a certificadora pelo mesmo link utilizado para emitir o
certificado do IIS, descrito na Figura 13. Processa com a opo de solicitao e no tipo de
certificado escolha novamente "Advanced certificate request e na tela seguinte a opo para
submit de formulrio, onde o usurio ir preencher os dados e receber a informao para
aguardar a liberao.
V ferramenta "Active Directory Certificate Authority como descrito anteriormente e libere o
certificado. Instrua o usurio a retornar ao site da certificadora e escolher a segunda opo para
receber o certificado como mostra a Figura 18. Ao clicar em "Install Certificate o certificado
automaticamente instalado na mquina do usurio, diferente do processo quando para o
servidor que o certificado apenas copiado.
Aps este processo o usurio j possui os certificados instalado na mquinas, como pode ser
visto na tela do prprio IE (Tools -> Content -> Certificates) como na Figura 23 e 24.
Figura 23 - Opes do IE
Page 17 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 24 - Certificado do usurio instalado
Concludo este processo o usurio j ir conseguir acessar o seu site de forma autenticada e
ser possvel suas pginas com o cdigo apresentado anteriormente identificar o usurio e ler os
dados que foram preenchidos no formulrio da certificadora, que pode ser acessada localmente
ou mesmo pela internet se o seu servidor estiver publicado.
Dicas
Dica 1: Lembre-se de fazer backup do "System State periodicamente. No Windows 2008
tambem possvel fazer backup clicando na ferramenta "Active Directory Certificate
Autoritycom o boto direito e escolher Backup. Isso importante porque perder a certificadora
causa a perda tambm da CRL (Certificate Revogation List) que ir impedir que mesmo os
certificados J EMITIDOS sejam utilizados.
Dica 2: Este ponto e o abaixo tem a ver com o mesmo problema. Se a sua certificadora for
interna ir aparecer na tela o aviso de que o computador do usurio no confia no seu
certificador, por este no ser um daqueles autorizados internacionalmente comentados no inicio.
Neste caso voc pode importar o "Chain que o certificado da autoridade certificadora. Para
isso acesse a pgina web da CA e escolha a opo "Download a CA certificate conforme a
Figura 25.
Page 18 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 25 - Download do certificado do CA
Agora envei este certificado ao cliente, lembrando que no h perigo j que no arquivo CER no
existe a chave privada. Clique no arquivo CER do certificado e escolha a opo "Import. Ao
fazer isso abrir o wizard de importao e voc ir colocar o certificado no repositrio de
certificadoras confiveis, como a Figura 26 abaixo demonstra.
Page 19 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 26 - Registrando a CA no computador cliente
Dica 3: Se o seu site est na internet e voc precisa acabar com o erro comum "Certificate
revogation List not accessible altere o caminho do arquivos CRL que os certificados utilizam.
Isso simples de ser feito, mas importantssimo. Clique na ferramenta de configurao do
certificador e pea propriedades. Note na Figura 27 que possvel alterar o local onde a CRL
ser distribuda.
Alterando este valor procure os arquivos de extenso CRM no diretrio "Windows\System32
\CertSrv\CertEnroll do servidor e copie estes para o seu servidor web.
Page 20 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 27 - Alterando o caminho do CRL
Dica 4: Quando o usurio no ter acesso ao formulrio pelo site e quem ir emitir ser o
administrador, como fazer para instalar no usurio?
Neste caso voc poder fazer todo o processo de uma maquina na sua rede interna. A sequencia
a mesma da citada na parte 3. Ao ter o certificado emitido na maquina interna, basta voc
exportar o certificado utilizando o padro PKCS. Veja na Figura 23 e 24 e entre nas opes do
IE, escolha o certificado e utilize o boto "Export.
Ao clicar no Export ser executa o "Certificate Export Wizard, onde voc dever exportar a
chave privada junto com o certificado, como mostra a Figura 28 abaixo.
Page 21 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 28 - Exportando certificados
Note na Figura 29 que as opes "Include all... e "Export extend... devem estar checados para
que funcione o certificado, mas cuidado para no escolher a opo que deleta a chave privada,
seno o certificado da mquina interna estar invlido aps o processo de exportao.
Figura 29 - Opes de exportao do certificado
Para finalizar defina uma senha para o arquivo PFX que ser gerado. Esta senha ser importante
para o usurio instalar em sua mquina o certificado.
Por fim, observe na Figura 30 o processo do usurio destino. Basta que ele d duplo clique
sobre o certificado e na tela do wizard de importao utilizar o ultimo dos trs checkbox
habilitados.
Page 22 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 30 - Importando o certificado no cliente
Nota
Caso no wizard de importao voc escolha a opo "Enable strong protection o usurio ir ter
que digitar uma senha, um PIN, todas as vezes em que o certificado for utilizado.
A opo "Mark key as exportable no aconselhvel, j que isso permitiria que o usurio
externo exporte o certificado e instale em outras mquinas.
Dica 5: Caso queira me certificar que realmente tenha sido o usurio que acessou e assinou
digitalmente um documento, o que devo guardar?
Neste caso voc pode acessar as propriedades do certificado e ler o Thumbprint que um
identificador nico de um certificado, como mostra a Figura 31 abaixo.
Page 23 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
Figura 31 - Propriedades do certificado (Thumbprint)
ConcIuses
Neste artigo abordamos o que so os certificados digitais, como funcionam, a estrutura que
existe para funcionamento e sua utilizao no servidor web. Vale a pena lembrar novamente
que o e-CPF/e-CNPJ so certificados e que o ICP-Brasil nada mais do que uma certificadora,
portanto todos os exemplos aqui so vlidos. Inclusive o modo como administramos a
solicitao, a liberao e a instalao dos certificados a mesma utilizada pelas certificadoras
comercias, apenas com interfaces mais elaboradas.
A utilizao dos certificados digitais simples mas poderosa permitindo autenticao segura do
usurio.
Vemos que a segurana ganha com o processo muito maior que o custo envolvido,
principalmente quando lembramos que uma fraude utilizando o nome de outra pessoa
responsabilidade do site e no do cliente que foi fraudado segundo o Cdigo do Consumidor.
Referncias + Tpicos ReIacionados
http://www.icpbrasil.gov.br/
2
Site oficial do ICP Brasil (Infra-estrutura Chaves Pblicas).
http://www.certisign.com.br/home
3
Page 24 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx
2011 Microsoft. Todos os direitos reservados.
Uma das mais importantes certificadoras mundiais, que vende o e-CPF e o e-CNPJ.
5obre o autor
Marcelo Sincic (ms@avancoinformatica.com.br) certificado Microsoft como
MCT, MCITP, MCPD, MCTS, MCSA, MCDBA, MCAD, pela IBM como CLP Domino 6.5 e pela SUN
como Java Trainer. Atualmente como consultor e instrutor ministrando treinamentos em .NET e
plataforma Microsoft, mas desenvolvedor desde 1989 com Clipper S87 e Dbase III rodando
Novell 2.1. Bons tempos aqueles...
Recebeu o prmio Latin American MCT Awards no MCT Summit 2009 e o prmio IT HERO da
equipe Microsoft Technet Brasil em reconhecimento a projeto desenvolvido.
TabeIa de Ligaes
1
http://localhost/certsrv
2
http://www.icpbrasil.gov.br/
3
http://www.certisign.com.br/home
Contedo da Comunidade

Page 25 of 25 MSDN & TechNet
02/12/2011 http://msdn.microsoft.com/pt-br/library/ee923720(d=printer).aspx