Para configurar de forma manual, siga os passos abaixo:
Dessa forma você deve preencher o formulário, fornecendo os dados da instituição e o SERPRO enviará os dados do ambiente para você inserir no arquivo de configuração (docker compose) do RAPsign.
Não é necessário que vocês possuam os dados dos certificados SSL do servidor do seu domínio (domínio.edu.br ou afins).
Não é necessário que os certificados sejam do tipo ICP-Brasil.
Passo 1. Preencher o formulário https://forms.office.com/r/CemZT8trpr do SERPRO, através do link em questão para cadastrar sua aplicação, vide exemplo:
Passo 2. Aguardar o SERPRO enviar os dados (Client ID, Secret ID e demais dados).
Passo 3. Ao receber os dados, configure as variáveis de ambiente recebidas no e-mail no Docker-compose para habilitar os respectivos provedores em nuvem para assinaturas, o arquivo de configuração deverá ficar dessa forma:
IMPORTANTE:
API_URL: <url do assinador da instituição, exemplo assinador.rnp.br>
CLIENT_ID_NEOID: <informação recebida no e-mail do serpro>
CLIENT_SECRET_NEOID: <informação recebida no e-mail serpro>
CLIENT_REDIRECT_NEOID: <url do assinador da instituição, exemplo assinador.rnp.br>
CLIENT_API_NEOID: <https://psc-neoid.estaleiro.serpro.gov.br/psc/v0/oauth>
Passo 4. Reinicie o container docker do RAPSign.
Passo 5. Agora o RapSign poderá ser utilizado com provedores em nuvem. Clique no botão da nuvem acima da listagem de certificados para configurar o certificado digital do assinante.
IMPORTANTE:
A utilização do certificado SerproID (https://serproid.serpro.gov.br/downloads/) através da instalação do driver desktop local é uma alternativa de contorno que a Serpro sugere para soluções que não suportam certificado em nuvem de forma nativa (o RAPSign já suporta de maneira nativa).
A utilização do driver desktop NÃO É SUPORTADA pelo RAPSign ainda que, eventualmente, funcione para algumas versões específicas de driver e sistema operacional, vide exemplo abaixo.
Para configurar como auto cadastro, veja a página Configurar certificado em nuvem do SERPRO no RAPSign - Auto Cadastro
A localização específica das chaves podem variar dependendo do servidor web que você está usando (por exemplo, Apache, Nginx, IIS) e do sistema operacional. Aqui estão algumas localizações comuns:
Servidores Apache
Certificado Público (.crt ou .pem):
Geralmente armazenado em /etc/ssl/certs/ ou /etc/httpd/conf/ssl.crt/.
Chave Privada (.key):
Geralmente armazenada em /etc/ssl/private/ ou /etc/httpd/conf/ssl.key/.
Arquivo de Configuração:
As configurações do SSL estão no arquivo de configuração do Apache, como /etc/httpd/conf/httpd.conf ou /etc/httpd/conf.d/ssl.conf.
Servidores Nginx
Certificado Público (.crt ou .pem):
Geralmente armazenado em /etc/ssl/certs/ ou /etc/nginx/ssl/.
Chave Privada (.key):
Geralmente armazenada em /etc/ssl/private/ ou /etc/nginx/ssl/.
Arquivo de Configuração:
As configurações do SSL estão no arquivo de configuração do Nginx, como /etc/nginx/nginx.conf ou /etc/nginx/conf.d/.
Outras Localizações
Em sistemas personalizados ou em diferentes distribuições Linux, as localizações podem variar. Algumas distribuições usam /usr/local/ssl/ ou /opt/ssl/ como diretórios padrão para armazenar certificados e chaves.
Atualmente há duas formas de configurar a ferramenta de assinaturas para utilizar seu certificado em nuvem, são elas auto cadastro ou manual.
O RapSign WEB, a partir da versão 0.3.2, possui a funcionalidade de certificados em nuvem.
Para o certificado em nuvem Serproid, existe um requisito extra da Serpro, fornecedora do certificado, que obriga a utilização de um certificado SSL ICP-Brasil para configuração do servidor que utilizará o certificado em nuvem (https://neoid.estaleiro.serpro.gov.br/documentacao/manutencao/cadastro-aplicacao).
Para realizar a configuração em nuvem do SERPRO no RAPsign, siga os passos abaixo:
Auto cadastro – Essa é a forma em que você fornece os dados e a própria aplicação gera os dados do ambiente para você inserir no seu arquivo de configuração(docker-compose) do RAPsign.
Pré-requisitos:
É necessário que vocês possuam os dados de certificados SSL do servidor do seu domínio (domínio.edu.br ou afins). Aqui estão algumas orientações de como localizar esses dados: https://ajuda.rnp.br/diplomas-digitais/passo-a-passo/obter-chaves-privada-e-publica-do-certificado-ssl-icp-brasil
É necessário que os certificados sejam do tipo ICP-Brasil.
Caso vocês utilizem o serviço ICPEdu da RNP, ele não é do tipo ICP-Brasil.
A seguir, segue o passo a passo para habilitar a opção em nuvem via AUTO CADASTRO:
Passo 1. Altere o arquivo de configuração(docker-compose), na seção rapsign, como mostrado na imagem abaixo e inicialize o container docker com a variável de ambiente IS_SETUP como “true”.
Passo 2. Ao acessar, o seu RAPsign web, a tela de setup será mostrada, basta selecionar o seu provedor:
Passo 3. No passo seguinte, aparecerá o ambiente de Auto cadastramento, e os dados em questão serão solicitados.
Nome: nome do responsável pela integração;
Descrição: descrição da integração;
E-mail: e-mail do responsável pela integração.
URLs de redirecionamento (a partir da v0.3.19): URLs em que o sistema será hospedado (apenas para o NEOID). É possível cadastrar mais de uma URL separando-as por vírgulas. No caso do cadastro de mais de uma URL, o redirecionamento será realizado para a URL configurada na variável CLIENT_REDIRECT_NEOID (ver ítem 8), desde que a URL tenha sido cadastrada.
Host da aplicação: Domínio em que o site será hospedado, o qual foi permitido no cadastro do certificado (apenas para o Serproid).
Aud: https://psc-neoid.estaleiro.serpro.gov.br/psc/v0/oauth
Certificado SSL ICP-Brasil com chave privada RSA: A chave privada do certificado SSL da aplicação. O RapSign usará essa chave para assinar os dados preenchidos acima no formato JWS (apenas para o NEOID). (Consulte aqui) para mais informações de como obter essa chave).
Certificado SSL ICP-Brasil PEM: A chave pública do certificado SSL da aplicação. O RapSign usará essa chave para assinar os dados preenchidos acima no formato JWS. (Consulte aqui).
Passo 4. Os dados preenchidos deverão ficar dessa forma:
Passo 5. Ao finalizar o cadastro serão gerados um Client ID e uma elas comporão, junto com outras informações as variáveis de ambiente que você incluirá no arquivo de configuração (Docker-compose) em passos posteriores, assim clique em VISUALIZAR VARIÁVEIS DE AMBIENTE.
Passo 6. Na tela a seguir será mostrada as variáveis de ambiente incluindo o Client ID e Client secret, copie essas variáveis pois elas serão utilizadas para configurar o RAPSign. (As infomações ficarão salvas no seu navegador por alguns minutos na aba Envs do menu).
Passo 7. Configure as variáveis de ambiente copiadas no passo anterior no Docker-compose para habilitar os respectivos provedores em nuvem para assinaturas, o arquivo de configuração deverá ficar dessa forma:
IMPORTANTE:
API_URL: <url do assinador da instituição, exemplo assinador.rnp.br>
CLIENT_ID_NEOID: <informação recebida no e-mail do serpro>
CLIENT_SECRET_NEOID: <informação recebida no e-mail serpro>
CLIENT_REDIRECT_NEOID: <url do assinador da instituição, exemplo assinador.rnp.br>
CLIENT_API_NEOID: <https://psc-neoid.estaleiro.serpro.gov.br/psc/v0/oauth>
Passo 8. Por fim, remova a variável de ambiente IS_SETUP e reinicie o container docker do RAPSign.
Passo 9. Agora o RapSign poderá ser utilizado com provedores em nuvem. Clique no botão da nuvem acima da listagem de certificados para configurar o certificado digital do assinante.
Para configurar de forma manual, veja a página Configurar o certificado em nuvem do SERPRO no RAPSign - Manual.
