Pular para conteúdo

Certificados no HSM

A configuração de certificados define a interação entre as chaves privadas no HSM e os certificados conhecidos pelo Windows.

Aplicações Windows normalmente interagem apenas com os certificados. Os provedores de serviços criptográficos (CSPs - Cryptographic Services Providers) fazem a interface e estes certificados e os dispositivos que armazenam as chaves privada (como HSMs e tokens usb), portanto é importante entender como está o ambiente, e saber por exemplo se determinada chave privada no HSM tem o respectivo certificado reconhecido pelo Windows.

Pela forma como funciona a arquitetura do sistema Windows o fato de ter a chave e o certificado carregados no HSM não o tornam automaticamente disponíveis para as aplicações. A console gráfica procurar deixar o máximo de passos automatizados mas alguma intervenção do usuário pode ser necessária.

A configuração feita via console gráfica fica no escopo (perfil) do usuário, e portanto válida e reconhecida somente para as aplicações executando sob o perfil do usuário corrente.

Para usar as configurações da opção Certificados é necessário se conectar ao HSM. Se não houver uma conta de usuário de HSM já configurada a console irá solicitar uma.

Após conectar com o HSM a console irá exibir na parte superior direita as seguintres informações:

  1. Status de conexão com nuvem da Dinamo Networks
  2. Status da telemetria
  3. Modelo
  4. Número serial
  5. Versão de firmware
  6. Status da gerência remota
  7. Endereço IP
  8. Nome do usuário (do HSM)

Aviso

A integração com a nuvem é opcional e não interfere com a operação normal do HSM. Caso não esteja usando a telemetria para a nuvem, pode ignorar as mensagens de aviso relacionadas na barra de titulo.

As opções de configuração de ambiente estão agrupadas em abas:

  1. Certificados
  2. Abrir Console HTTP
  3. Abrir Certificados do Windows
  4. Abrir Console de Nuvem

As demais opções são ações diretas:

  1. Tela Inicial
  2. Sair

Ao carregar as configurações de Usuários e Certificados a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente.

Certificados

Tabela de certificados Tabela de certificados

Tabela de certificados

O gerenciamento das relações entre chaves privada, certificados e provedores é feito através das opções abaixo.

Para importar um arquivo de certificado PKCS#12 (.pfx) para o HSM use o botão Importar. Selecione o arquivo e informe um nome e a senha. O nome será usado para identificar a chave no HSM, o certificado terá o mesmo nome da chave sufixado com _cer. Quando um arquivo PKCS#12 é importado, o certificado é automaticamente associado ao provedor de serviços criptográficos (CSP) do HSM.

Caso o HSM esteja configurado para telemetria com o serviço de nuvem da Dinamo Networks, é possível visualizar o relatório de uso dos certificados diretamente no site de serviços. O botão Relatório de uso abre uma nova janela (default browser) na página do relatório de uso dos certificados. Pode ser necessário efetuar o login para visualizar o relatório.

Relatório de certificados - nuvem

Relatório de certificados - nuvem

Para emitir um certificado diretamente com uma Autoridade Certificadora (AC) use o botão Emitir via AC e selecione a AC. Cada AC tem sua própria política de documentos e procedimentos necessários para emitir um certificado a partir de uma chave no HSM, portanto este processo deve iniciar por um contato prévio com a AC. Verifique na versão instalada da console gráfica quais ACs estão disponíveis.

No botão atualizar a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente. Este varredura também é feita sempre que a opção Certificados é selecionada na tela principal.

As colunas da tabela de certificados podem ser redimensionadas, reposicionadas e ordenadas.

O campo de procura faz uma busca textual nas linhas da tabela, é sensível a maiúsculas e minúsculas e permite uso de wildcards com *.

Colunas:

  1. Emitido para
  2. HSM
  3. Windows
  4. Nuvem
  5. Data de expiração
  6. Chave privada no HSM
  7. Chave privada na Nuvem
  8. Provedor da chave
  9. Container
  10. Impressão digital

As ações na tabela são acionadas num menu pop up via botão direito do mouse. Conforme o status, para cada certificado são disponíveis as seguintes opções:

  1. Abrir
  2. Habilitar
  3. Desabilitar
  4. Habilitar todos
  5. Desabilitar todos
  6. Upload para a nuvem
  7. Mudar para provedor em HSM
  8. Mudar para provedor em nuvem

Menu pop up com ações disponíveis Menu pop up com ações disponíveis

Menu pop up com ações disponíveis

Abrir Console HTTP

O botão Abrir console HTTP abre uma nova janela (default browser) com a tela inicial de login da console HTTP do HSM. Para mais detalhes sobre a console consulte o tópico Console HTTP.

Login Console HTTP Login Console HTTP

Login Console HTTP

Abrir Certificados do Windows

Gerenciador de Certificados do Windows

Gerenciador de Certificados do Windows

Abrir Console de Nuvem

Exibe a conta atualmente configurada e conectada com o serviço de nuvem da Dinamo Networks. É possível trocar a conta ou fechar a sessão.

Para interromper o envio de telemetria do HSM para o serviço de nuvem da Dinamo Networks, use o botão Desvincular HSM da nuvem.

Para importar certificados que estejam na nuvem para o HSM use o botão Importar certificados. Somente é importado o certificado, não a chave privada.

Aviso

A integração com a nuvem é opcional e não interfere com a operação normal do HSM.

Login Dinamo Cloud

Login Dinamo Cloud