Pular para conteúdo

Conteiners

Esta tela permite a gerência de containers MS CAP.

O container, dentro do conceito definido pela Microsoft para o padrão MS CAPI (Microsoft Cryptography API), é o local (físico ou virtual) onde podem ser encontradas as chaves privadas. Cada container poder ter uma ou duas chaves privadas RSA especializadas; no caso de duas chaves, uma é para assinatura e outra é para sigilo (normalmente criptografia de chave simétrica).

Estão listados na tabela os containers reconhecido pelo Provider MSCAPI do HSM.

Containers Containers

Containers

Containers

A interface permite criar, editar e remover os containers. Para adicionar ou remover containers utilize os botões Adicionar e Deletar. O nome da chave RSA em cada container deve ser selecionado na lista aberta ao clicar nos campos Chave de Assinatura e Chave de encriptação na linha correspondente ao nome do container.

Para criar um novo container escolha o nome e em seguida escolha as chaves de assinatura e encriptação que farão parte do container. Ao clicar sobre a coluna de chave será exibido uma lista com as chaves RSA disponíveis para o usuário. A conexão com o HSM deve estar funcionando OK para o uso desta opções.

Os containers podem ser criados sem chaves, com uma ou com duas chaves.

Para editar um container já existente basta clicar sobre o mesmo e o modo de edição é ativado. Pressionar F2 faz iniciar a edição do nome do container selecionado. Finalize com Enter (salva as mudanças) ou Esc (descarta as mudanças).

Fisicamente o container da CSP do Provider MS CAPI Dinamo é uma entrada na seção Containers do arquivo de configuração da CSP. Cada container é identificado numa linha com duas entradas de nome de chave, separados por ;. Cada chave tem o formato <id usuario>/<id chave> ou apenas <id chave>. Notar que a string <id usuario>/<id chave> deve ter um tamanho máximo de 32 caracteres.

Associação de Certificados

Para utilizar um certificado no windows é necessário a associação de um container com um certificado, isso é criado automaticamente ao entrar na tabela de certificados. Não sendo mais necessário para o usuário criar e associar manualmente os containers. Esta relação entre o certificado e a chave no HSM é mantida na própria base de certificados do sistema operacional, o que permite que APIs do Windows possam utilizar a chave privada relacionada ao certificado sem precisar conhecer detalhes da chave ou do provedor de criptografia (CSP) que guarda a chave privada correspondente àquele certificado.

Os containers criados manualmente poderão ter os dois slots de identificação de chave privada RSA preenchidos como:

  1. Chaves de assinatura e de sigilo diferentes
  2. Chaves de assinatura e de sigilo iguais
  3. Somente chave de assinatura (slot de sigilo vazio)
  4. Somente chave de sigilo (slot de assinatura vazio)
  5. Sem chave alguma (ambos slots vazios)

No processo de associação entre chave privada e um certificado o Windows define uma propriedade (flag) para o uso da chave, que pode ser siglo ou assinatura.

Durante a associação com um container criado manualmente pelo usuário a console seta a propriedade de assinatura ou sigilo de acordo com os slots do container escolhido:

  1. Se a mesma chave estiver nos dois slots, setar para sigilo
  2. Se a chave correspondente estiver só num dos slots, setar de acordo (sigilo ou assinatura).

Para promover a associação de maneira manual é necessário usar a Crypto API, mas para criar os containers e associar automaticamente basta ir para a tabela de Certificados dentro da opção Certificados no HSM na tela inicial.

Tabela de certificados Tabela de certificados

Tabela de certificados