Certificados no HSM
A configuração de certificados define a interação entre as chaves privadas no HSM e os certificados conhecidos pelo Windows.
Aplicações Windows normalmente interagem apenas com os certificados. Os provedores de serviços criptográficos (CSPs - Cryptographic Services Providers) fazem a interface e estes certificados e os dispositivos que armazenam as chaves privada (como HSMs e tokens usb), portanto é importante entender como está o ambiente, e saber por exemplo se determinada chave privada no HSM tem o respectivo certificado reconhecido pelo Windows.
Pela forma como funciona a arquitetura do sistema Windows o fato de ter a chave e o certificado carregados no HSM não o tornam automaticamente disponíveis para as aplicações. A console gráfica procurar deixar o máximo de passos automatizados mas alguma intervenção do usuário pode ser necessária.
A configuração feita via console gráfica fica no escopo (perfil) do usuário, e portanto válida e reconhecida somente para as aplicações executando sob o perfil do usuário corrente.
Para usar as configurações da opção Certificados é necessário se conectar ao HSM. Se não houver uma conta de usuário de HSM já configurada a console irá solicitar uma.
Após conectar com o HSM a console irá exibir na parte superior direita as seguintres informações:
- Status de conexão com nuvem da Dinamo Networks
- Status da telemetria
- Modelo
- Número serial
- Versão de firmware
- Status da gerência remota
- Endereço IP
- Nome do usuário (do HSM)
Aviso
A integração com a nuvem é opcional e não interfere com a operação normal do HSM. Caso não esteja usando a telemetria para a nuvem, pode ignorar as mensagens de aviso relacionadas na barra de titulo.
As opções de configuração de ambiente estão agrupadas em abas:
As demais opções são ações diretas:
- Tela Inicial
- Sair
Ao carregar as configurações de Usuários e Certificados a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente.
Certificados
O gerenciamento das relações entre chaves privada, certificados e provedores é feito através das opções abaixo.
Para importar um arquivo de certificado PKCS#12 (.pfx
) para o HSM use o botão Importar. Selecione o arquivo e informe um nome e a senha. O nome será usado para identificar a chave no HSM, o certificado terá o mesmo nome da chave sufixado com _cer
. Quando um arquivo PKCS#12 é importado, o certificado é automaticamente associado ao provedor de serviços criptográficos (CSP) do HSM.
Caso o HSM esteja configurado para telemetria com o serviço de nuvem da Dinamo Networks, é possível visualizar o relatório de uso dos certificados diretamente no site de serviços. O botão Relatório de uso abre uma nova janela (default browser) na página do relatório de uso dos certificados. Pode ser necessário efetuar o login para visualizar o relatório.
Para emitir um certificado diretamente com uma Autoridade Certificadora (AC) use o botão Emitir via AC e selecione a AC. Cada AC tem sua própria política de documentos e procedimentos necessários para emitir um certificado a partir de uma chave no HSM, portanto este processo deve iniciar por um contato prévio com a AC. Verifique na versão instalada da console gráfica quais ACs estão disponíveis.
No botão atualizar a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente. Este varredura também é feita sempre que a opção Certificados é selecionada na tela principal.
As colunas da tabela de certificados podem ser redimensionadas, reposicionadas e ordenadas.
O campo de procura faz uma busca textual nas linhas da tabela, é sensível a maiúsculas e minúsculas e permite uso de wildcards com *
.
Colunas:
- Emitido para
- HSM
- Windows
- Nuvem
- Data de expiração
- Chave privada no HSM
- Chave privada na Nuvem
- Provedor da chave
- Container
- Impressão digital
As ações na tabela são acionadas num menu pop up via botão direito do mouse. Conforme o status, para cada certificado são disponíveis as seguintes opções:
- Abrir
- Habilitar
- Desabilitar
- Habilitar todos
- Desabilitar todos
- Upload para a nuvem
- Mudar para provedor em HSM
- Mudar para provedor em nuvem
Abrir Console HTTP
O botão Abrir console HTTP abre uma nova janela (default browser) com a tela inicial de login da console HTTP do HSM. Para mais detalhes sobre a console consulte o tópico Console HTTP.
Abrir Certificados do Windows
Abrir Console de Nuvem
Exibe a conta atualmente configurada e conectada com o serviço de nuvem da Dinamo Networks. É possível trocar a conta ou fechar a sessão.
Para interromper o envio de telemetria do HSM para o serviço de nuvem da Dinamo Networks, use o botão Desvincular HSM da nuvem.
Para importar certificados que estejam na nuvem para o HSM use o botão Importar certificados. Somente é importado o certificado, não a chave privada.
Aviso
A integração com a nuvem é opcional e não interfere com a operação normal do HSM.