O RapSign WEB, a partir da versão 0.3.2, possui a funcionalidade de certificados em nuvem.
Para o certificado em nuvem Serproid, existe um requisito extra da Serpro, fornecedora do certificado, que obriga a utilização de um certificado SSL ICP-Brasil para configuração do servidor que utilizará o certificado em nuvem (https://neoid.estaleiro.serpro.gov.br/documentacao/manutencao/cadastro-aplicacao).
Para realizar a configuração em nuvem do SERPRO no RAPsign, siga os passos abaixo:
Auto cadastro – Essa é a forma em que você fornece os dados e a própria aplicação gera os dados do ambiente para você inserir no seu arquivo de configuração(docker-compose) do RAPsign.
Pré-requisitos:
É necessário que vocês possuam os dados de certificados SSL do servidor do seu domínio (domínio.edu.br ou afins). Aqui estão algumas orientações de como localizar esses dados: https://ajuda.rnp.br/diplomas-digitais/passo-a-passo/obter-chaves-privada-e-publica-do-certificado-ssl-icp-brasil
É necessário que os certificados sejam do tipo ICP-Brasil.
Caso vocês utilizem o serviço ICPEdu da RNP, ele não é do tipo ICP-Brasil.
A seguir, segue o passo a passo para habilitar a opção em nuvem via AUTO CADASTRO:
Passo 1. Altere o arquivo de configuração(docker-compose), na seção rapsign, como mostrado na imagem abaixo e inicialize o container docker com a variável de ambiente IS_SETUP como “true”.
Passo 2. Ao acessar, o seu RAPsign web, a tela de setup será mostrada, basta selecionar o seu provedor:
Passo 3. No passo seguinte, aparecerá o ambiente de Auto cadastramento, e os dados em questão serão solicitados.
Nome: nome do responsável pela integração;
Descrição: descrição da integração;
E-mail: e-mail do responsável pela integração.
URLs de redirecionamento (a partir da v0.3.19): URLs em que o sistema será hospedado (apenas para o NEOID). É possível cadastrar mais de uma URL separando-as por vírgulas. No caso do cadastro de mais de uma URL, o redirecionamento será realizado para a URL configurada na variável CLIENT_REDIRECT_NEOID (ver ítem 8), desde que a URL tenha sido cadastrada.
Host da aplicação: Domínio em que o site será hospedado, o qual foi permitido no cadastro do certificado (apenas para o Serproid).
Aud: https://psc-neoid.estaleiro.serpro.gov.br/psc/v0/oauth
Certificado SSL ICP-Brasil com chave privada RSA: A chave privada do certificado SSL da aplicação. O RapSign usará essa chave para assinar os dados preenchidos acima no formato JWS (apenas para o NEOID). (Consulte aqui) para mais informações de como obter essa chave).
Certificado SSL ICP-Brasil PEM: A chave pública do certificado SSL da aplicação. O RapSign usará essa chave para assinar os dados preenchidos acima no formato JWS. (Consulte aqui).
Passo 4. Os dados preenchidos deverão ficar dessa forma:
Passo 5. Ao finalizar o cadastro serão gerados um Client ID e uma elas comporão, junto com outras informações as variáveis de ambiente que você incluirá no arquivo de configuração (Docker-compose) em passos posteriores, assim clique em VISUALIZAR VARIÁVEIS DE AMBIENTE.
Passo 6. Na tela a seguir será mostrada as variáveis de ambiente incluindo o Client ID e Client secret, copie essas variáveis pois elas serão utilizadas para configurar o RAPSign. (As infomações ficarão salvas no seu navegador por alguns minutos na aba Envs do menu).
Passo 7. Configure as variáveis de ambiente copiadas no passo anterior no Docker-compose para habilitar os respectivos provedores em nuvem para assinaturas, o arquivo de configuração deverá ficar dessa forma:
IMPORTANTE:
API_URL: <url do assinador da instituição, exemplo assinador.rnp.br>
CLIENT_ID_NEOID: <informação recebida no e-mail do serpro>
CLIENT_SECRET_NEOID: <informação recebida no e-mail serpro>
CLIENT_REDIRECT_NEOID: <url do assinador da instituição, exemplo assinador.rnp.br>
CLIENT_API_NEOID: <https://psc-neoid.estaleiro.serpro.gov.br/psc/v0/oauth>
Passo 8. Por fim, remova a variável de ambiente IS_SETUP e reinicie o container docker do RAPSign.
Passo 9. Agora o RapSign poderá ser utilizado com provedores em nuvem. Clique no botão da nuvem acima da listagem de certificados para configurar o certificado digital do assinante.
Para configurar de forma manual, veja a página Configurar o certificado em nuvem do SERPRO no RAPSign - Manual.