Pular para conteúdo

Cadeias PKCS#7

É possível gerar cadeias PKCS#7 para o HSM a partir da importação do certificado final na console web. As cadeias PKCS#7 são utilizadas por exemplo nas APIs do módulo Pix, para autenticação de mensagens.

A cadeia será gerada a partir dos certificados de ponta (leaf certificates) informados. O sistema irá carregar o(s) certificado(s), analisar sua estrutura, identificar a URL de distribuição da cadeia, fazer o download e em seguida gerar uma nova cadeia incluindo o(s) certificado(s) informado(s) e mais os certificados da hierarquia completa das Autoridades Certificadoras (ACs), intermediárias e raiz. O operador pode verificar a estrutura da cadeia e depois de confirmar, a importação para o HSM será feita com o nome informado.

Info

A geração de cadeias PKCS#7 está disponível a partir da versão de firmware 5.0.30 do HSM.

Importação e Geração

  1. Utilizando um navegador, conecte no IP do HSM usando https. (Ex: https://127.0.0.1). Para mais detalhes sobre a console web verifique o tópico Console HTTP.

  2. Informe suas credenciais para abrir sessão via a console web.

  3. Na divisão Partição do menu, selecione Chaves/Certificados.

  4. Na opção de Nova Chave/Objeto (ícone no canto superior direito) selecione Importar.

    Opção de importação Opção de importação
    Opção de importação

  5. No diálogo de importação em Outros, selecione o método de importação Gerador de PKCS#7.

  6. Informe o nome com o qual a cadeia será importada para o HSM. Este deverá ser o nome informado pela aplicação na API de autenticação.

  7. Use o campo de drop file para arrastar e soltar o(s) certificado(s) leaf que será(ão) utilizado na geração da cadeia. Se preferir pode clicar sobre a área de drop file e navegar pelo seu sistema de arquivos e selecionar o(s) certificado(s).

    Nota

    Múltiplos certificados podem ser informados. Se os certificados tiveram a mesma cadeia apenas uma cópia de cada certificado de AC será incluída. Os cerificados podem estar em formato PEM ou DER. Caso o arquivo informado não seja reconhecido como um certificado padrão X.509 será recusado. Se o mesmo certificado for informado mais de uma vez apenas a primeira cópia será utilizada.

    Input de certificados Input de certificados
    Input de certificados

  8. À medida que os certificados são informados é possível verificar como a cadeia está constituída. Clique sobre Cadeia PKCS#7 gerada para ver a lista dos certificados, com algumas informações resumidas, como validade e Common Name.

    A tela do diálogo pode ser rolada verticalmente, caso necessário.

  9. Opcionalmente é possível fazer o download da cadeia gerada antes de importá-la para o HSM, útil para uma análise mais detalhada do estado final do objeto.

  10. Confirme a operação de importação da cadeia gerada clicando em Importar.

    Importação da cadeia gerada Importação da cadeia gerada
    Importação da cadeia gerada

Visualização da Cadeia

  1. Na tela de listagem de chaves e objetos localize a cadeia (objeto tipo PKCS#7) e clique sobre o ícone da ação de Detalhes.

  2. No diálogo de propriedades do objeto selecione Informações da Cadeia, em seguida clique sobre Cadeia PKCS#7 para ver a lista dos certificados que compõe a cadeia, com algumas informações resumidas, como validade e Common Name.

    Detalhes da cadeia PKCS#7 Detalhes da cadeia PKCS#7
    Detalhes da cadeia PKCS#7

  3. É possível fazer o download da cadeia para uma análise mais detalhada usando seu sistema operacional. Utilize a opção Exportar.