Apresentação

ICPEdu é o nome da Infraestrutura de Chaves Públicas para Ensino e Pesquisa, cuja gestão e operação é feita pela Rede Nacional de Ensino e Pesquisa (RNP).

A ICPEdu possui diferentes modalidades. Este documento descreve a modalidade que corresponde ao “Certificado Pessoal”, que tem como objetivo propiciar a emissão de certificados digitais para os respectivos usuários do serviço.

Definições

Expressões e siglas utilizadas neste documento:

• AC: Autoridade Certificadora;

• AC RAIZ: Autoridade Certificadora Raiz;

• DPC: Declaração de práticas de certificação;

• Repositório web da ICPEdu: página web, disponível no site da RNP, contendo informações técnicas atualizadas sobre a infraestrutura do serviço em questão;

• ICPEdu: Infraestrutura de chaves públicas para ensino e pesquisa;

• LCR: Lista de certificados revogados;

• Organizações usuárias: qualquer instituição qualificada para utilização dos serviços avançados da RNP;

• Comitê Assessor de Gestão de Identidade: grupo responsável pelo assessoramento da RNP nas questões que envolvem políticas, padrões, requisitos, boas práticas, adesão de provedores de serviços/identidade.

Quem pode aderir

O uso deste serviço é permitido a todas as organizações usuárias da RNP e àquelas instituições que forem autorizadas, em conjunto ou em particular, pelo Comitê Assessor de Gestão de Identidade com anuência da RNP.

Quem pode solicitar o uso

O pedido de adesão ao serviço em questão deve ser realizado pelo gestor de tecnologia da informação da instituição cliente.

Após a autorização, dada mediante análise da gerência de relacionamento com cliente da RNP, o gestor de tecnologia da informação da instituição solicitante deve indicar formalmente o analista que conduzirá a homologação do serviço junto à RNP e posterior administração local.

No repositório web da ICPEdu, encontram-se detalhes sobre o processo de adesão e homologação deste serviço.

Requisitos

O bom uso do presente serviço depende, por um lado, da gestão da infraestrutura do serviço por parte da RNP e, por outro lado, da boa administração da conta da organização cliente no portal do serviço.

Além disso, a organização cliente precisa minimamente de:

• Ter uma equipe técnica local, capacitada e treinada na tecnologia envolvida, para que possa tanto fazer a gestão do serviço na instituição quanto prestar suporte a seus respectivos usuários;

• Ser um provedor de identidade da federação CAFe;

• Disponibilizar os seguintes atributos no seu provedor de identidade:

  • Nome completo do usuário;

  • CPF do usuário;

  • E-mail institucional;

  • Data de nascimento completa.

Obrigações

Constituem-se obrigações da RNP:

• Prover infraestrutura para operação do serviço em questão;

• Tratar as dúvidas, os problemas e dificuldades dos usuários do serviço.

Constituem-se obrigações das organizações clientes, de acordo com o termo de uso da CAFe:

• Associar a cada usuário um atributo de identidade com valor único e persistente, evitando que esses atributos sejam reutilizados;

• Manter atualizadas e fidedignas as informações dos usuários da instituição;

• Utilizar um serviço de autenticação de usuários seguro e confiável utilizando, no mínimo, login e senha únicos para cada usuário;

• Garantir que as contas de usuários autenticados na CAFe correspondem a pessoas físicas, não podendo existir usuários genéricos - associados a papéis e funções;

• Receber e auxiliar equipe designada pela CAFe para realização de auditoria;

• Disponibilizar publicamente, e manter atualizado, seu respectivo formulário de gestão de identidade através da página web da CAFe.

Além dos deveres mapeados na política de uso da CAFe, foram agregados para a ICPEdu:

• Garantir a validade e integridade dos dados, necessários à emissão dos certificados digitais de seus respectivos usuários;

• Manter atualizado, junto à RNP, a lista dos responsáveis pela administração local do serviço;

• Reportar à RNP todo e qualquer problema, incidente de segurança, comportamento inesperado ou má utilização local do serviço.

O desrespeito a quaisquer dessas condições levará a instituição cliente a receber punições, que podem ir desde uma simples advertência até um processo jurídico.

Custos

A princípio, não há custos diretos para os clientes deste serviço - com exceção daqueles necessários para sua implantação, manutenção e disseminação dentro da própria organização cliente.

Prioridades

Apesar dos diferentes tipos de organizações atendidas, o presente serviço trata as solicitações de uso de maneira igualitária, isto é, sem diferenciar uma ou outra. Exceto, porém, em casos nos quais a gestão do serviço receba uma indicação explícita do Comitê Assessor de Gestão de Identidade.

Considerações Finais

Na introdução deste documento, apresentou-se o que é o serviço em questão. Resta, entretanto, encerrar com uma nota sobre o que não é o presente serviço.

Este serviço não corresponde a uma solução para assinatura digital de documentos.

Contatos

Rede Nacional de Ensino e Pesquisa (RNP)

Endereço: SAS, quadra 5, lote 6, bloco H, 7º andar, Edifício IBICT 70070-914 Brasília, DF

Email: atendimento@rnp.br / Tel e whatsapp: 0800 722 0216

Descrição

Este manual foi gerado para apoiar todos os operadores que estiverem utilizando ou que pretendem utilizar a plataforma de emissão de certificados digitais da ICPEdu.

As funcionalidades associadas à operação, requerem que o usuário possua conta na CAFe para autenticação federada, que a instituição a qual o usuário é filiado esteja cadastrada na ICPEdu e a conta do usuário tenha recebido permissão de operação.

Propósito

O Assinador ICPEdu tem como principal objetivo permitir que usuários ligados à rede acadêmica possam assinar documentos eletronicamente de maneira simples, segura e com validade jurídica.

Quem pode usar?

A ferramenta é direcionada a usuários vinculados a instituições que fazem parte da rede Comunidade Acadêmica Federada (CAFe), como universidades, centros de pesquisa e demais organizações ligadas à educação e ciência.

Benefícios

• Validade Jurídica: as assinaturas realizadas pelo Assinador têm validade jurídica, o que garante a aceitação dos documentos em processos administrativos e legais.

• Segurança: utilizando a infraestrutura segura da RNP/ICPEdu, o processo de assinatura é protegido contra fraudes.

• Simplicidade: a plataforma é de fácil utilização, permitindo que os documentos sejam assinados em poucos cliques, sem necessidade de conhecimentos técnicos avançados.

• Compartilhamento fácil: após assinar, o documento pode ser compartilhado digitalmente de maneira rápida, seja por link, QR code ou WhatsApp.

• Sustentabilidade: com a assinatura digital, reduz-se o uso de papel e os custos associados à impressão e transporte de documentos físicos.

Duvidas?

Caso ainda precise de apoio, fale com o nosso Service Desk através do telefone/WhatsApp: 0800 722 0216 ou e-mail: atendimento@rnp.br.

Encontrou algum problema neste portal?

Não encontrou o que precisa? Gostaria de adicionar algo? Por favor, não deixe de nos informar.

Envie um e-mail para o atendimento@rnp.br sinalizando o erro, página ou conteúdo que precisa de alteração.

Sua colaboração é ESSENCIAL para evoluirmos cada vez.

A Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu) é o serviço de certificação digital oferecido pela RNP, que provê infraestrutura pronta para a emissão de certificados digitais e chaves de segurança.

Qual a sua dúvida?

Acesse o menu lateral e veja os guias do serviço, caso ainda precise de apoio, fale com o nosso Service Desk através do telefone/WhatsApp: 0800 722 0216 ou e-mail: atendimento@rnp.br.

Qual tipo de certificado você procura?

Encontrou algum problema neste portal?

Não encontrou o que precisa? Gostaria de adicionar algo? Por favor, não deixe de nos informar.

Envie um e-mail para o atendimento@rnp.br sinalizando o erro, página ou conteúdo que precisa de alteração.

Sua colaboração é ESSENCIAL para evoluirmos cada vez.

Acesso à plataforma

Para realizar a assinatura de documentos, deverá realizar os seguintes passos:

Acessar o sistema pelo link: https://cdd.icpedu.rnp.br/

Após acessar a página, selecione a aba "Assinar documentos" no topo da página conforme figura abaixo:

• Também é possível selecionar o botão "Assinar documentos" no centro da página conforme destacado abaixo:

Feita a autenticação via CAFe, será necessário validar os dados na plataforma

Caso os dados estejam corretos, marque o caixa “Meus dados estão corretos e desejo continuar”,

Buscando documentos para assinatura

Para assinar um documento de sua preferência, deverá:

Clicar no botão "Procurar" e selecionar o documento que deseja assinar.

Após validar que o arquivo selecionado é o correto basta clicar no botão “Assinar selecionados”.

Verificando assinaturas

Após o carregamento, você será encaminhado para a tela abaixo.

Esta tela é dividida em 3 partes: Documentos Assinados, Assinaturas, a Prévia do documento assinado e as opções de compartilhamento e nova assinatura.

Em documentos assinados é possível:

• Selecionar os documentos para o download;

• Baixar os documentos;

• Selecionar os documentos para visualização na página.

Em Assinaturas, é possível verificar os dados de quem assinou o documento:

Ao clicar em "Mais informações" serão exibidos outros dados da assinatura como data e hora da assinatura e informações do certificado, emissor do certificado e informações do sistema de verificação.

Na Prévia do documento permite visualizar e validar o documento que foi encaminhado a ferramenta.

Por fim, é possível também baixar e compartilhar o(s) arquivo(s) encaminhados para assinatura, para possuir o arquivo ou para que outras pessoas possam assinar o documento.

Ao compartilhar, a tela abaixo será apresentada:

O compartilhamento permite que o arquivo seja acessado por QR code, via WhatsApp ou que encaminhe o link para quem for necessário.

O link é disponibilizado por até 15 dias, não sendo possível acessar o arquivo.

Para acessar a área do usuário comum no ICPEdu - e considerando que o usuário já possui o acesso via CAFe -, basta acessar o portal pessoal.icpedu.rnp.br, ir até à página inicial (opção de menu “Início”) e clicar no botão “Emitir Certificado Pessoal”. Dessa maneira, ele será redirecionado para o sistema de autenticação federada para poder preencher suas credenciais.

Ao realizar a autenticação, o usuário será redirecionado de volta para o portal, e verá, logo abaixo do menu principal, o menu de opções do usuário comum, composto por dois itens: “Meu Certificado” e “Minha Instituição”.

Para emitir o certificado pessoal, vá até à opção “Meu Certificado”. Você verá a seguinte tela ilustrada pela figura 3. Clique no botão “Emitir Certificado Pessoal”.

Para emitir o certificado pessoal, são necessários três passos:

1. Confirmar os dados de usuário;

2. Definir a senha do certificado;

3. Salvar o certificado.

É possível, ainda, cancelar a emissão a qualquer momento entre o primeiro e segundo passos, clicando no botão “Cancelar”.

Confirmação de dados

Logo após clicar no botão “Emitir Certificado Pessoal”, o usuário será redirecionado ao primeiro passo, onde deverá conferir os dados enviados ao sistema pela sua instituição e prosseguir, caso esteja tudo certo, clicando no botão “Confirmar dados”.

Definição de senha

Neste passo, o usuário deverá definir uma senha para utilizar seu certificado digital. Os campos “Senha” e “Confirmar senha” serão necessários para isso. A senha deve ter, no mínimo, 8 caracteres, e possuir, pelo menos, um número, um caractere especial, um caractere maiúsculo e um minúsculo.

Além disso, um lembrete deve ser informado, isto é, um termo ou palavra que faça o usuário se lembrar de sua senha (utilize o campo “Lembrete da senha”). O lembrete NÃO deve conter a senha do certificado, e o usuário deve confirmar que está ciente da não recuperação de sua senha marcando a caixa ao lado do campo do lembrete “Estou ciente que minha senha não pode ser recuperada”.

O usuário poderá prosseguir e finalizar a emissão clicando em “Emitir novo certificado” e confirmando a emissão ou, caso desejar retornar ao passo anterior, clicando em “Voltar”. Esta última ação fará com que o preenchimento seja perdido.

Salvar o certificado

Se o certificado for emitido com sucesso, você verá a tela conforme mostra a figura 6 a seguir. Marque a caixa “Declaro que guardarei o arquivo do certificado em local seguro” e faça o download do seu certificado no botão “Salvar certificado”. Você pode retornar ao menu “Meu Certificado” clicando no botão “Finalizar”.

Pronto! O seu certificado já foi emitido e está pronto para uso.

O lembrete de senha é o conteúdo que você inseriu no momento da criação de senha na emissão do certificado. Caso esqueça, acessando essa tela você consegue verificar o lembrete para facilitar a recordação da senha escolhida.

Acesse o menu "Meu certificado" e na parte onde diz "Lembrete de senha" estará o lembrete informado.

Para emitir um novo certificado você deve ir ao menu "Meu certificado" e "Emitir novo certificado".

Comece clicando em “Aplicações”, em seguida “Utilitários” e depois “Acesso às Chaves”. Na janela que abrirá, no menu navegue em “Arquivo” e clique na opção “Importar itens”

Uma vez selecionado o arquivo de certificado a ser importado, aparecerá a janela de confirmação de inclusão de certificado

Na janela exibida, conforme Figura 23, insira sua senha de administrador para autorizar as mudanças e clique em “Modificar as Chaves”

Por fim, insira a senha do certificado (ver Figura 24) e clique OK para finalizer a instalação do certificado.

O usuário poderá consultar as informações da instituição pela opção “Minha Instituição” do menu do usuário comum. Basta clicar no item de menu mencionado e visualizar no quadro as informações disponibilizadas pela instituição.

Para revogar um certificado, basta acessar o menu "Meu certificado" e clicar em "Revogar certificado".

Após isso basta selecionar o motivo e clicar em "Revogar".

Pronto! O seu certificado foi revogado.

O Certificado Pessoal é a sua identidade virtual gratuita, emitida online e pode ser usado para validar a identificação de usuários em diversos procedimentos digitais, como assinaturas eletrônicas, cifragem de documentos e fazer login em sistemas eletrônicos específicos.

O certificado pessoal ICPEdu pode ser usado por alunos, professores e servidores que possuem acesso à .

Pré-requisito para utilização do sistema:

• Aderir à CAFe;

• • Nome da instituição;

  • Nome e sobrenome do usuário;

  • CPF do usuário;

  • E-mail institucional;

  • Data de nascimento completa.

Fluxo de adesão

Fluxo de emissão

O certificado pessoal da ICPEdu é emitido através do portal pessoal.icpedu.rnp.br, a identificação do solicitante e validação dos seus dados de emissão, ocorre por meio do serviço federado (CAFe).

O fluxo contempla tanto as etapas no serviço ICPEdu, representando a emissão (setas 1, 7, 8 e 9), quanto na CAFe, representando a identificação e validação (setas de 2 a 6), conforme detalhamento a seguir:

1) O usuário acessa o portal e solicita o certificado digital, iniciando o processo de emissão;

2) A identificação do usuário é realizada através da federação CAFe, nessa etapa o usuário seleciona sua instituição de origem. A lista de instituições é apresentada a partir das informações mantidas pelo servidor WAYF (Where Are Your From) da RNP;

3) Uma vez selecionada a instituição, a identificação do usuário é realizada através do provedor de identidade (IDP) da instituição;

4) O IDP verifica e autentica o usuário consultando a base LDAP da instituição;

5) Validado a existência do usuário, a base LDAP retorna os metadados do usuário para o IDP, contendo o nome completo, e-mail, CPF e data de nascimento;

6) O IDP retorna ao portal fornecendo os dados recebidos da base LDAP;

7) O portal gera as chaves públicas e privadas a serem fornecidas para o usuário e com os dados recebidos do IDP, gera uma requisição de certificado e encaminha para a assinatura pelo HSM;

8) O HSM, equipamento criptográfico especializado, possui a chave privada da AC Pessoa (Autoridade Certificadora da ICPEdu) e com ela assina o certificado do usuário. A utilização do equipamento garante que a chave privada da AC nunca seja exposta;

9) Por fim, o portal empacota o certificado recebido do HSM e a chave privada gerada para o usuário em um arquivo protegido por senha no formato PKCS #12, e o disponibiliza para download pelo usuário.

Certificados AC

O Certificado Digital Pessoal já é emitido com os certificados AC embutidos. Então o download e instalação dos certificados AC não são exigências para a instalação e uso do Certificado Pessoal. Os certificados AC estão disponíveis para referência técnica:

A ICPEdu possui um verificador de assinaturas incorporado ao sistema. O verificador de assinaturas é uma ferramenta desenvolvida para confirmar a veracidade de assinaturas realizadas com o certificado pessoal da ICPEdu em documentos digitais.

Além disso, pela compatibilidade entre os padrões ICPEdu e ICP-Brasil, ambas as cadeias de certificação são reconhecidas. É importante ressaltar que, embora haja compatibilidade entre os padrões, o verificador de assinaturas destina-se, exclusivamente, à validação daquelas que foram feitas com certificados pessoais da ICPEdu.

Para acessar e utilizar o verificador, basta ir até à opção de menu “Verificar assinatura”, aceitar os termos de uso - o aceite será registrado nos cookies do navegador utilizado e é válido por 30 dias. Após aceites é só submeter o documento desejado, restrito ao formato PDF e com tamanho não superior à 20 (vinte) megabytes.

O verificador de assinaturas é capaz de reconhecer assinaturas (quando há) e realizar o processo de verificação de conformidade. Uma assinatura reconhecida/encontrada não significa, necessariamente, que ela é válida. O resultado da validação compreende diferentes situações encontradas durante o processo de reconhecimento e verificação. São elas:

1. Tamanho do arquivo excedido ou formato não suportado: apresentada quando o formato de arquivo não é PDF ou seu tamanho é superior ao limite de 20 (vinte) megabytes.

2. Não foram detectadas assinaturas: indica que não foram encontradas quaisquer assinaturas no documento enviado.

3. Cadeia de certificação não suportada: trata-se de assinatura cujo certificado não é reconhecido pelo verificador de assinaturas (padrões ICP-Brasil ou ICPEdu). Este cenário pode ser consequência de um dos itens a seguir:

• Assinatura eletrônica convencional: ferramentas de assinatura de documentos PDFs permitem a inclusão de campos de assinatura simples, podendo ser um nome, uma imagem digitalizada de uma assinatura à mão, etc. Estes campos são reconhecidos pelo verificador, porém, nenhum procedimento de validação pode ser realizado, pois, não se tratam de assinaturas digitais com certificado.

• Assinatura digital com cadeia não reconhecida pelo verificador: é o caso de haver presença de assinaturas cujo certificado não foi emitido pela ICPEdu ou ICP-Brasil.

4. Assinatura com validade indeterminada: retornado quando as informações disponíveis são insuficientes para afirmar se a assinatura está em conformidade. Este cenário decorre de uma das seguintes circunstâncias:

• Assinaturas com certificados ICP-Brasil: o verificador de assinaturas da ICPEdu reconhece assinaturas padrão ICP-Brasil. Entretanto, não dispõe de todos os parâmetros necessários para validar esta cadeia de certificação, podendo apresentar o resultado “indeterminado” para a assinatura mediante qualquer incerteza que possa encontrar durante o processo de validação. Ressalta-se, ainda, que o verificador de assinaturas foi desenvolvido para validação exclusiva de assinaturas feitas com o certificado pessoal ICPEdu.

• Assinatura corrompida: a assinatura inserida no documento foi corrompida. Isto pode ocorrer, por exemplo, caso a ferramenta de assinatura de documentos PDFs não implementem adequadamente esta funcionalidade, alterando indevidamente a assinatura e corrompendo-a. Assinaturas corrompidas, inclusive, podem comprometer as demais que estiverem presentes no documento, ainda que estas estejam válidas.

• Detecção de possível alteração após assinatura: esta situação ocorre quando o verificador identifica diferenças entre o conteúdo da assinatura e o que realmente consta no documento. Porém, não é possível identificar, de maneira assertiva, se esta modificação é oriunda de uma adulteração intencional ou se a estrutura do documento foi indevidamente alterada por uma ferramenta de assinatura de PDF. É importante salientar a possibilidade de bloquear a edição de um documento, onde uma tentativa de violação desta restrição acaba por corrompê-lo.

5. Assinatura inválida: indica que a assinatura encontrada não possui validade. Isto pode ocorrer, por exemplo, devido a um dos certificados da cadeia estar expirado ou revogado. Há de se destacar que existem ferramentas de assinatura de PDF que avisam ou mesmo impedem que uma assinatura possa ser feita caso o certificado não seja válido no momento.

6. Assinatura válida: apresentada quando a assinatura é válida. Isto significa que a cadeia de certificação foi validada e não foram encontrados problemas na assinatura. Em caso de documentos onde há bloqueio de edição, também pode ser apresentada uma mensagem indicando que não foram encontradas modificações após a assinatura.

7. Múltiplas assinaturas: um documento pode ter várias assinaturas (quando múltiplas pessoas assinam o documento). O verificador analisa cada assinatura de forma independente. Ou seja, um mesmo documento pode ter uma assinatura válida e outra assinatura inválida.

Os exemplos acima são os casos que podem ocorrer ao anexarem algum documento PDF no verificador de assinaturas do ICPEdu Pessoal. Caso ainda tenham dúvidas, favor entrar em contato com a RNP através do e-mail: atendimento@rnp.br

• Download da LCR atual

• Consultar LCR's antigas

Apresentação

ICPEdu é o nome da Infraestrutura de Chaves Públicas para Ensino e Pesquisa, cuja gestão e operação é feita pela Rede Nacional de Ensino e Pesquisa (RNP).

A ICPEdu possui diferentes modalidades. Este documento descreve a modalidade que corresponde ao “Certificado Corporativo”, que tem como objetivo propiciar a emissão de certificados SSL para as instituições clientes do serviço.

Definições

Expressões e siglas utilizadas neste documento:

• AC: Autoridade Certificadora;

• AC RAIZ: Autoridade Certificadora Raiz;

• Repositório web da ICPEdu: página web, disponível no site da RNP, contendo informações técnicas atualizadas sobre a infraestrutura do serviço em questão;

• ICPEdu: Infraestrutura de chaves públicas para ensino e pesquisa;

• Organizações usuárias: qualquer instituição qualificada para utilização dos serviços avançados da RNP;

• SSL: Secure Socket Layer

• Comitê Assessor de Gestão de Identidade: grupo responsável pelo assessoramento da RNP nas questões que envolvem políticas, padrões, requisitos, boas práticas, adesão de provedores de serviços/identidade.

Quem pode aderir?

O uso deste serviço é permitido a todas as organizações usuárias da RNP e àquelas instituições que forem autorizadas, em conjunto ou em particular, pelo Comitê Assessor de Gestão de Identidade com anuência da RNP.

Quem pode solicitar o uso?

O pedido de adesão ao serviço em questão deve ser realizado pelo gestor de tecnologia da informação da instituição cliente.

Após a autorização, dada mediante análise da gerência de relacionamento com cliente da RNP, o dirigente máximo da instituição solicitante deve indicar formalmente a pessoa que se tornará o responsável pelo ICPEdu - Certificado Corporativo. É reconhecida como responsável pelo ICPEdu - Certificado Corporativo da organização a pessoa nomeada pelo reitor ou responsável legal por meio de uma carta de declaração enviada a RNP.

No repositório web da ICPEdu, encontram-se orientações sobre o processo de adesão ao serviço e o modelo de carta de declaração que deve ser preenchido, assinado pelo reitor ou responsável legal da organização e enviado à RNP.

Requisitos

O bom uso do presente serviço depende, por um lado, da gestão da infraestrutura de chaves públicas por parte da GlobalSign e sua parceira com a RNP, por outro lado, da boa administração da organização cliente.

Além disso, a organização cliente precisa minimamente de uma pessoa que tenha vínculo legal com a instituição, que seja capacitada e treinada na tecnologia envolvida e assim sendo capaz de fazer a gestão do serviço na instituição e prestar suporte a seus respectivos usuários quando necessário.

Obrigações

Constituem-se obrigações da ICPEdu - Certificado Corporativo:

• Prover infraestrutura para operação do serviço em questão;

• Tratar as dúvidas, os problemas e dificuldades dos usuários do serviço.

• Gerenciar e manter o contrato de parceria entre a RNP, no âmbito da ICPEdu, e a GlobalSign.

As organizações que fazem uso deste serviço poderão utilizá-lo para auxiliar nas diferentes atividades fins a que elas se destinam. Constituem-se obrigações das organizações usuárias:

• Garantir a validade e integridade dos dados, necessários à emissão dos certificados digitais de seus respectivos usuários;

• Manter atualizado, junto à RNP, a lista dos responsáveis pela administração local do serviço;

• Reportar à RNP todo e qualquer problema, incidente de segurança, comportamento inesperado ou má utilização local do serviço.

O desrespeito a quaisquer dessas condições levará a instituição cliente a receber punições, que podem ir desde uma simples advertência até um processo jurídico.

Custos

A princípio, não há custos diretos para os clientes deste serviço - com exceção daqueles necessários para sua implantação, manutenção e disseminação dentro da própria organização cliente.

Prioridades

Apesar dos diferentes tipos de organizações atendidas, o presente serviço trata as solicitações de uso de maneira igualitária, isto é, sem diferenciar uma ou outra. Exceto, porém, em casos nos quais a gestão do serviço receba uma indicação explícita do Comitê Assessor de Gestão de Identidade.

Considerações Finais

Na introdução deste documento, apresentou-se o que é o serviço em questão. Resta, entretanto, encerrar com uma nota sobre o que não é o presente serviço.

Este serviço não trata da emissão de certificados para pessoas, tampouco se destina para fornecimento de certificados para outras Autoridades Certificadoras.

Contatos

A minha instituição de ensino não aparece na lista disponibilizada na tela de autenticação da federação CAFe, não poderei emitir o certificado?

No momento não. Para que você possa emitir um certificado é necessário que sua instituição esteja registrada na federação CAFe e que ela possua um operador cadastrado no portal de Certificado Pessoal.

Usuário esqueceu a senha da federação CAFe.

O usuário deve entrar em contato com sua instituição de ensino para buscar mais informações de como recuperar a senha utilizada na federação CAFe.

Sou afiliado a uma instituição de ensino registrada na federação CAFe e desejo solicitar perfil de operador para passar a permitir que os demais usuários afiliados à instituição possam emitir certificado, como faço?

Acesse a opção de menu “Sobre" e, no tópico “Certificado Pessoal”, clique no link “Solicitar perfil de operador”. Os administradores do ICPEdu receberão e-mail informação a sua solicitação para análise dos seus dados e, estando corretos, seu acesso como operador será aprovado.

Problemas ao tentar emitir certificado, pois os dados vindo do IDP estão com problemas.

Algumas vezes os dados dos usuários tem problemas nos provedores de identidade. O sistema tem como pré-requisito alguns dados que são obrigatórios mas que às vezes o provedor de identidade não fornece. Alguns exemplos podem ser o CPF que está zerado, nome, sobrenome e etc. Então o recomendado é entrar em contato com a instituição de ensino e seu provedor de identidade para verificar quais dados estão com problemas.

Quais atributos de login da (CAFe) precisam ser fornecidos para gerar um certificado?

• Nome da instituição;

• Nome;

• Sobrenome;

• CPF;

• E-mail;

• Data de nascimento.

Como verificar se os atributos necessários estão sendo fornecidos?

Os usuários podem checar através do link abaixo:

Tenho dados errados no meu certificado, como corrigir?

Os dados fornecidos para geração do certificado são encaminhados pela própria instituição do usuário através do login federado (CAFe). Nesse caso, o usuário deverá entrar em contato com os responsáveis pelo cadastro na instituição e solicitar a correção.

Situações em que podem ocorrer problema na geração do certificado:

A instituição não está disponibilizando informação obrigatória:

• Nome da instituição;

• Nome;

• Sobrenome;

• CPF do usuário;

• E-mail institucional;

• Data de nascimento completa.

Alguns dados obrigatórios estão fora do padrão esperado:

• Os campos CN e SN devem conter SOMENTE letras (NÃO deve conter, por exemplo, números, pontuações e símbolos);

• Data de nascimento no formato yyyymmdd - onde yyyy é o ano (4 dígitos), mm é o mês (dois dígitos) e dd é o dia (dois dígitos). Exemplo: 20200301 (1 de março de 2020);

• O CPF deve ser um número válido.

O que é o arquivo PKCS#12 ou .p12 que eu recebo ao fazer o download do “certificado”?

Este é um “keystore”, que deve ser guardado com segurança, no qual são armazenado os seguintes dados:

• Chave privada cifrada com a senha que o usuário definiu no momento de emissão do certificado;

• Certificado contendo a chave pública e dados que vinculam uma pessoa real com esse certificado, como o nome, cpf, email e etc;

• Certificado da Autoridade Certificadora ICPEdu (AC ICPEdu);

• Certificado da AC Raiz ICPEDU.

Esses certificados das autoridades certificadoras servem para montar a cadeia de confiança no repositório local, a fim de garantir confiança nas assinaturas, verificações e autenticações.

Por que deve colocar senha no arquivo (do certificado) que faz download?

• Essa senha é utilizada para cifrar a chave privada que vem junto com o certificado.

• Se alguém tiver acesso a sua chave (e a senha), poderá “assinar digitalmente” documentos como se fosse você. Assim, deve-se guardar com muito cuidado essa senha, para que outra pessoa não tenha acesso a ela.

Esqueci minha chave privada (senha) do certificado, posso recuperar?

Não é possível recuperar a chave do certificado, ao gerar o certificado, o usuário precisa dar ciência sobre essa impossibilidade de recuperação.

O usuário terá que gerar um novo certificado na plataforma e gerar uma nova senha, o certificado anterior será revogado automaticamente e incluído na LCR (Lista de Certificados Revogados).

Ao emitir o certificado aparece uma mensagem que o meu outro certificado será revogado. O que isso quer dizer?

Quando o usuário tenta emitir um novo certificado com outro já existente e ainda válido, o certificado antigo deve ser revogado. Ou seja, se ele informa que um outro certificado será revogado, é porque já existe um certificado válido. Ai emitir um novo, o antigo será invalidado e mais nenhuma assinatura ou autenticação poderá ser feita com o mesmo (certificado antigo).

O que acontece ao revogar um certificado?

Ao revogar um certificado, o usuário estará invalidando-o para uso em qualquer operação. Ou seja, não conseguirá usá-lo mais para assinar e nem autenticar em qualquer sistema. O usuário deve emitir um novo. Tudo que foi feito com o certificado antigo não perderá a validade. Por exemplo, se um documento foi assinado com o certificado antigo, a assinatura digital continuará válida. No entanto, não poderá fazer mais nenhum uso do certificado antigo.

O certificado revogado pode continuar sendo utilizado?

Não poderá ser utilizado para mais nada. Talvez possa ser utilizado para fins de auditoria e conferência da chave pública, mas não para novas assinaturas e autenticação.

Por quanto tempo vale o certificado pessoal ICPEdu?

O certificado emitido pelo serviço ICPEdu tem validade de 1 ano. Ou seja, depois desse um ano esse certificado fica expirado e não poderá mais utilizado.

O certificado expirado pode continuar sendo utilizado?

Não poderá ser utilizado para mais nada. O certificado expirado tem o mesmo status do certificado revogado, com a diferença de que passou o prazo de 1 ano de uso. Quando estiver próximo de expirar, recomendamos que emita um novo certificado. Um novo certificado pode ser emitido a qualquer momento (mas invalidando o anterior, caso ainda não expirado).

Qual tamanho de chave devo utilizar para criar o certificado?

No atual momento isso não importa. Caso o usuário deseja aumentar o nível de segurança do seu certificado, deve emitir com o maior tamanho possível. Caso isso não faça tanta diferença, deve-se manter o valor padrão. (No momento esse valor padrão é 2048).

Faz diferença criar uma chave com 2048 ou 4096?

Quanto maior o tamanho da chave, mais seguro. Ou seja, mais difícil é de quebrar e recuperar a chave de maneira maliciosa.

O serviço armazena os certificados emitidos?

O serviço não armazena os certificados, após a geração o usuário deve baixar e salvar o certificado.

Quem pode utilizar o serviço?

O serviço pode ser utilizado por usuários da CAFe: alunos, professores, pesquisadores, funcionários, dentre outros, porém o uso pode ser delimitado pela própria instituição.

O que é código de segurança?

Toda vez que o operador vai realizar alguma operação, ele precisa informar um código. Isso é necessário para certificar que quem está executando a operação é realmente o operador (para evitar, por exemplo, que caso o operador tenha deixado a sessão aberta, alguém realize alguma operação em nome do operador).

Esqueceu o código de segurança.

Autenticado no sistema por meio do acesso federado, basta clicar no ícone de usuário (no topo do cabeçalho da página à direita) e ir em “Recuperar Código de Segurança”. Irá receber um email com instruções para redefinição de código de segurança.

Como mudo meu código de segurança?

Autenticado no sistema, por meio do acesso federado, basta clicar no ícone de usuário (no topo do cabeçalho da página à direita) e ir em “Alterar Código de Segurança”.

Apareceu a mensagem “Código de segurança bloqueado temporariamente”, o que significa?

Após errar 5 vezes o código de segurança, o sistema bloqueia o uso do código pelo período de 30 minutos dentro dos quais não será possível realizar nenhuma operação que exija o código.

Caso realmente tenha esquecido o código de segurança, utilize a opção “Recuperar Código de Segurança”.

Esqueceu o e-mail do perfil de operador?

Entre em contato com algum administrador do sistema para verificar seu perfil e alterar seus dados.

Como operador, eu consigo baixar o certificado de outros usuários?

Apenas o certificado juntamente com sua chave pública, sem a chave privada do usuário.

Como operador, eu consigo revogar os certificados da minha organização?

Sim, é possível revogar o certificado de qualquer usuário da sua organização especificando o motivo.

Para que serve o mapeador de atributos?

Serve para verificar se os dados vindos de seu IDP estão de forma correta e estão sendo ligados aos campos certos, como por exemplo, se a data de nascimento está no campo correto. Caso tenha dúvidas. Consulte o responsável na sua instituição em relação a como o provedor de identidade está configurado.

Tentei acessar o sistema e apareceu uma mensagem informando que minha conta foi desativada, o que significa?

Algum administrador do sistema revogou o seu acesso a plataforma. Com uma conta desativada você não pode realizar login, logo não é possível realizar o papel de operador, e também não mais recebe e-mails do sistema. Entre em contato com o administrador para esclarecimentos.

Quantos Operadores cada instituição pode ter?

O portal permite apenas o cadastro de um operador por organização.

Após emitir uma LCR não é mostrado um link para download. Onde posso realizar esse procedimento?

Na opção de menu “Relatórios” na aba “Baixar LCR Vigente” tem a opção “Baixar”.

O que acontece quando desativo um operador?

Esse usuário não conseguirá realizar login no sistema e nem receberá e-mails enquanto estiver desativado.

É possível registrar um operador para uma instituição que não está presente na interface? Se não, é possível cadastrar uma nova instituição?

Não é possível registrar um operador em uma instituição que não estiver presente e, também não é possível cadastrar uma nova instituição no sistema. Para estar presente na interface, a instituição precisa fazer parte da federação CAFe.

É possível realizar download de uma LCR anterior a atual?

Sim, na opção de menu “Relatórios” na aba “Baixar Outros LCRs”. Basta selecionar uma data de início e uma data de fim para ter acesso a todas as LCRs emitidas naquele período.

Como administrador, eu consigo baixar o certificado de outros usuários?

Apenas a parte pública com sua chave pública do certificado, sem a chave privada do usuário.

Na tela de ”Certificados” ao clicar no e-mail do usuário emissor aparece “Resumo dos Certificados” e diz que o usuário tem X certificados e que possui certificado “ativo”, o que isso significa?

Significa que o usuário já emitiu X certificados no sistema e que o último certificado emitido pelo usuário está ativo no momento, já que só é possível ter um certificado ativo por vez. Se o usuário não estivesse “ativo”, significaria que o último certificado emitido no sistema também já havia sido expirado ou revogado.

Estou com problemas no meu acesso federado, é possível realizar autenticação local?

Erro ao tentar assinar um documento "Não foi possível resgatar os CAs do provedor" ou erros semelhantes.

O certificado ICPEdu não é reconhecido por padrão pelos sistemas, isso faz com que haja necessidade de importação manual da sua cadeia validadora, ou seja, os certificados Raiz e intermediário, esta importação deve ser realizada pela instituição em seu sistema de assinatura digital.

Ao anexar o documento no verificador de assinaturas, foi informado que o documento foi modificado após assinatura ou o arquivo está corrompido.

A melhor opção é refazer as assinatura de preferência no Adobe ou Foxit. Esses programas geralmente já bloqueiam modificações após realização de assinaturas.

Os atributos são os dados necessários para a emissão dos certificados por uma instituição. São fornecidos pelo seu provedor de identidade e devem estar mapeados corretamente para evitar inconsistências e/ou erros no processo de emissão de certificados.

Verificar atributos com dados de usuário

Para verificar se o mapeamento foi feito de forma correta, deve-se verificar os atributos mapeados pela instituição e conferir se eles correspondem ao esperado (por exemplo, se o atributo “CPF” foi mapeado para o campo “CPF” da plataforma).

Isto só será possível caso o mapeamento de atributos tenha sido realizado.

Mapear e editar atributos

O mapeamento de atributos é necessário para que a emissão dos certificados seja possível. O usuário operador poderá editar os atributos de tal maneira que possa associar atributos vindos do provedor de identidade com os campos obrigatórios (e opcionais) para emissão do certificado no serviço ICPEdu.

Na figura 12 é possível ver que a tela de edição de atributos possui 4 (quatro) seções diferentes, identificados a seguir:

• Atributos utilizados para emissão do certificado: esta é a seção onde os atributos podem ser mapeados.

• Atributos para composição do nome do usuário: esta seção corresponde ao mapeamento dos atributos que contém as informações necessárias para formar o nome completo das pessoas da instituição (caso informação de nome e sobrenome venham em atributos distintos do Shibboleth).

• Verificar atributos: similar à seção anterior, onde os dados podem ser verificados também nesta seção da tela;

• Configurar e-mail de suporte: seção onde é possível adicionar um e-mail para facilitar o contato e suporte aos usuários da instituição na plataforma (consultar seções a seguir).

Para editar/mapear atributos, basta clicar na primeira seção “Atributos utilizados para emissão do certificado”. Ao expandir o conteúdo, é possível ver que uma série de campos estão disponíveis para preenchimento, sendo alguns deles obrigatórios (ID do IDP, EPPN, CPF, e-mail e data de nascimento).

Voltando à figura 12, à direita, há uma lista de atributos que o provedor de identidade fornece. Para associar um atributo a um campo, basta ir até o atributo desejado, copiá-lo (este atributo normalmente começará com “Shib-“) e colar o valor no campo correspondente. A figura 13 ilustra alguns atributos mapeados.

No exemplo, o atributo “Shib-Identity-Provider” foi mapeado para o campo “Id da IDP”. Isto fará com que o valor deste atributo proveniente do IDP seja automaticamente associado com o campo para o qual o atributo foi mapeado no ICPEdu.

O mapeamento é feito de forma similar na seção “Atributos para composição do nome do usuário” - neste caso, é feita a indicação do(s) atributo(s) que comporão o nome do usuário no serviço, conforme exemplo da figura 14.

Configurar e-mail de suporte

Esta opção é útil quando se deseja facilitar o contato e o suporte aos usuários da instituição na plataforma ICPEdu. Para adicionar um e-mail de suporte, basta digitá-lo no respectivo campo na seção "Configurar e-mail de suporte", conforme figura 15.

Em caso de dúvidas, favor procurar o atendimento da RNP através do e-mail atendimento@rnp.br.

Acesse as configurações do Google Chrome

Em seguida clique em: Privacidade e Segurança > Mais > Gerenciar certificados

Na janela a seguir, clique em "Importar"

Quando o assistente de importação abrir, clique em "Avançar"

Clique em "Procurar" para localizar o certificado e depois em "Avançar".

Caso durante a procura o arquivo não apareça de imediato, selecione a opção "todos os arquivos" na janela de busca.

Na tela a seguir, digite a senha definida durante a criação do certificado e avance.

No próximo passo não é necessário alterar, basta avançar.

Em seguida, clique em "Concluir"

Por fim, clique em "Ok" para finalizar a importação.

Diferentemente dos demais navegadores e do Internet Explorer, o Microsoft Edge não possui opção para instalação de certificado a partir do próprio navegador.

Porém, é possível instalar o certificado através do “Painel de Controle” nas opções de “Rede e Internet”.

Após entrar na área de “Rede e Internet”, clique em “Opções da Internet” e na janela que se abrir, vá para a aba “Conteúdo” e depois clique em "Certificados".

Na janela a seguir, clique em "Importar"

Quando o assistente de importação abrir, clique em "Avançar"

Clique em "Procurar" para localizar o certificado e depois em "Avançar".

Caso durante a procura o arquivo não apareça de imediato, selecione a opção "todos os arquivos" na janela de busca.

Na tela a seguir, digite a senha definida durante a criação do certificado e avance.

No próximo passo não é necessário alterar, basta avançar.

Em seguida, clique em "Concluir"

Por fim, clique em "Ok" para finalizar a importação.

Comece abrindo a janela de configurações do navegador.

Procure pelas configurações avançadas, vá para a aba “Certificados” e depois clique em "Ver certificados".

Na tela que se abrir, clique em "Importar" e selecione o certificado.

Em seguida informe a senha utilizada para criptografar o certificado e clique em "OK".

Por fim, o sistema vai retornar uma mensagem de exito.

Introdução

A emissão de certificados é feita através do portal web do serviço, no entanto, alguns passos adicionais como emissão de arquivo CSR para solicitar a emissão do certificado, e até mesmo a instalação do certificado conta com alguns detalhes que serão explorados aqui.

Certificados emitidos através deste serviço, tem como objetivo suprir a necessidade crescente das instituições por certificados que sejam automaticamente reconhecidos pelos principais browsers e aplicações comerciais, se sua necessidade se baseia nesta demanda, recomendamos que utilize o serviço de AC SSL ICPEdu.

As credenciais de acesso ao portal são fornecidas pela equipe de gestão do serviço na fase final do processo de adesão.

Sobre o CSR

Toda requisição de certificado digital é feita com base em um arquivo CSR (Certificate Signing Request), no qual constam todas as informações que serão inseridas neste certificado.

No serviço de AC SSL Corporativa da ICPEdu é possível gerar o csr normalmente usando o openssl ou IIS (Internet Information Services) do servidor onde o certificado será instalado.

Para mais detalhes sobre como gerar uma CSR, consulte nossos (em Inglês).

Com o CSR em mãos, você pode seguir para o próximo passo de emissão do certificado.

Verificador de CSR

A opção está disponível na aba SSL gerenciado em sua conta GCC. Clique no Verificador de CSR no menu à esquerda para usar a ferramenta online para depurar problemas CSR. Se você tentar fazer um pedido e CSR gerar algum problema execute-o através desta ferramenta e os possíveis erros sintáticos serão destacados (por exemplo, C = RB em vez de C = BR).

Certificado Raiz

Certificado Intermediário

Para certificados emitidos a partir do dia 27/11/2020 (ICPEdu):

Para certificados emitidos a partir do dia 07/07/2020 a 26/11/2020 (GlobalSign RSA OV SSL CA 2018):

Para mais detalhes, visite a página .

Manual para assinatura digital em PDFs

Para configurar sua assinatura digital utilizando o Certificado Pessoal da ICPEdu na ferramenta Adobe Reader, siga o passo a passo do documento abaixo:

Obs.: O procedimento está destinado aos usuários Windows.

Acesse o portal do ICPEdu () e acesse com o usuário cadastrado durante o processo de adesão.

Acesse a aba "SSL Gerenciado", localize a sua instituição e clique em "Solicitar Certificado".

Na tela a seguir insira o seu CSR (caso tenha alguma dúvida sobre o CSR consulte o artigo ) e clique em Verificar este CSR.

Valide se todas as informações de seu CSR estão de acordo e clique em continuar.

Observação: A opção "Enviar o Nome Comum da IntranetSSL, é apenas para emissão de certificados para Intranet e esta modalidade não está contemplada no acordo de parceria entre a RNP e a GlobalSign. Deste modo, não é permitido sua utilização.

No próximo passo de configuração do produto, preencha da seguinte forma:

• Produtos: OrganizationSSL

• Inserir código promocional: Não

• Tipo de certificado SSL: Selecionar de acordo com a necessidade

• Algoritmo de assinatura: SHA256

• Período de validade: Selecionar de acordo com a necessidade

• Adicione SANs específicos: Selecionar de acordo com a necessidade

• Você está fazendo uma troca a partir de um concorrente: Não

• Você está renovando um certificado: Selecionar de acordo com a necessidade

• Personalizar data de inicio e término: Sem datas personalizadas

Após preencher os campos acima, clique em continuar e na tela de contato que será apresentada você deve selecionar o usuário cadastrado e depois "Preenchimento automático", com isso o sistema vai preencher o formulário automaticamente, por fim, clique em continuar.

Na etapa seguinte, valide as informações da organização e clique em continuar, caso identifique qualquer irregularidade, entre em contato com o Service Desk da RNP.

No passo "pagamento" não é necessário realizar nenhuma alteração, basta clicar em "Continuar".

Na tela final de confirmação, revise os dados inseridos, concorde com o acordo do assinante no final da página e clique em concluir.

Por fim o sistema informará alguns detalhes sobre a conclusão da emissão.

Pronto o seu certificado foi emitido, para consulta-lo ou baixar veja o próximo guia.

07/2020 - Vulnerabilidade nos certificados SSL

Foi identificada uma vulnerabilidade nos certificados SSL utilizados pelos clientes do serviço Certificado Corporativo da ICPEdu, apesar de nenhum incidente ter sido notificado, ações corretivas serão necessárias a curto prazo.

Assim, do dia 8/7 até 11/7, para evitar indisponibilidade nos sistemas que utilizam esses certificados, todos os clientes do serviço devem entrar no portal da Globalsign e emitir novos certificados para substituir os que estão em uso atualmente.

Destacamos que os certificados atuais serão revogados automaticamente no dia 11/7 às 13h (horário de Brasília). Além disso, esclarecemos que:

• Os certificados afetados são apenas aqueles do tipo OV: SSL de validação organizacional;

• Ações técnicas preparatórias, como a geração de um novo CSR () e a validação do acesso ao sistema online (), já podem ser realizados a partir de hoje.

Em decorrência disso a equipe especializada está de plantão na sala de conferência para retirar dúvidas durante os próximos dias.

Sala - Plantão de Dúvidas: .

Horários - Plantão de Dúvidas:

• Quarta 8/7, das 7h às 20h

• Quinta 9/7, das 9h às 12h e das 14h às 18h

• Sexta 10/7, das 9h às 12h e das 14h às 18h

Dúvidas Gerais:

Devo reemitir ou gerar novamente um certificado?

Gerar novamente um certificado.

Houve alteração da cadeia intermediária?

Preciso gerar um novo .csr ?

A recomendação inicial da GlobalSign era que “Sim”, porém já foi aberto por eles a possibilidade de utilizar o mesmo.

Quanto tempo para o certificado ser disponibilizado após a nova geração?

Os relatos dos demais clientes é que cerca de 5 a 10 minutos.

Nesta página você irá encontrar informações sobre o serviço de Certificado Corporativo da ICPEdu, mas caso ainda tenha algum problema ou dúvida, fale com o nosso Service Desk.

Telefone/WhatsApp: 0800 722 0216 E-mail: atendimento@rnp.br

O que é o Certificado Corporativa?

A Certificado Corporativa é uma das modalidades da Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu) e disponibiliza meios para que as instituições cliente desta modalidade emitam certificados SSL com a cadeia de certificação publicada automaticamente nos principais browsers e aplicativos comerciais, assim, eliminando a famosa mensagem "Esta conexão não é confiável".

Para possibilitar a emissão de certificados com estas características, foi fechado um acordo entre a RNP e a GlobalSign onde RNP é responsável por ofertar o serviço de forma mais simplificada, menos burocratizada possível e gratuita, tendo a GlobalSign como um parceiro chave na prestação deste serviço.

Pra que preciso de certificados SSL automaticamente reconhecido pelos browsers?

Certificados SSL são comumente utilizados em servidores de hospedagem web para proteção de sites através da criptografia da comunicação entre cliente e servidor, além de ser uma garantia a mais de que a página realmente pertence a quem ela diz pertencer, ou seja, é questão de segurança básica o uso de certificados SSL.

Se você se encaixa em algum dos casos abaixo, você definitivamente precisa aderir ao serviço de Certificado Corporativa da ICPEdu:

• Você precisa garantir a segurança dos seus serviços de email ou similares;

• Você precisa garantir a segurança dos seus serviços web com autenticação e área restrita (usuário e senha);

• Você precisa garantir a segurança dos dados transportados entre cliente e servidor (pois eles são privados ou confidenciais);

• Você precisa passar mais credibilidade e profissionalismo aos seus usuários e parceiros?

Se acessamos uma página web e temos a mensagem "Esta conexão não é confiável" (imagem abaixo), ela tira um pouco da credibilidade daquela página além de acender uma fagulha de desconfiança pois aquele site pode ter sido comprometido, não ser de fato quem ele diz ser ou foi mesmo descuido e descaso da equipe técnica que fez uso de um certificado auto-assinado, que qualquer um pode criar um igual. Se você não quer que esta impressão seja passada aos usuários dos seus serviços web, você definitivamente precisa aderir ao serviço de Certificado Corporativa da ICPEdu.

Como funciona o serviço?

No documento de adesão a esta modalidade o reitor ou representante máximo da instituição/organização deverá apontar um responsável pela instituição frente ao serviço, após concluir o processo de adesão este responsável receberá as credenciais de acesso ao portal de gerenciamento de certificados por e-mail, por medidas de segurança, o primeiro passo deve ser alterar a senha de acesso ao portal.

Tudo referente ao gerenciamento dos certificados é feito diretamente no portal web pelo responsável ou técnicos da instituição. O portal permite que os usuários façam a emissão, reemissão (ou renovação) e revogação de certificados para todos os domínios sob a responsabilidade da instituição, nenhuma destas ações envolvem a RNP ou a GlobalSign, todas são executadas diretamente pelos usuários.

Vale ressaltar que somente é permitida a emissão de certificados para os domínios comprovadamente sob a responsabilidade da instituição.

Cada instituição pode ter no máximo 3 usuários simultâneos no portal web, contabilizando o responsável.

Quais os requisitos para minha instituição aderir?

O único pré-requisito para adesão a esta modalidade da ICPEdu é a instituição ser credenciada a utilizar os serviços da RNP, ou seja, se a instituição já utiliza algum dos serviços da RNP ela pode iniciar o processo de adesão junto ao Service Desk.

Caso a instituição não seja credenciada a utilizar os serviços da RNP, o processo de credenciamento pode ser iniciado.

Nenhum outro pré-requisito é necessário para adesão ao serviço assim como não é necessária a aquisição de equipamentos e nem adequação da infra por parte da instituição, toda infra necessária é fornecida pela RNP.

Qual o custo de adesão e uso do serviço para a minha instituição?

Não existe custo na adesão e no uso da modalidade Certificado Corporativa da ICPEdu para instituições credenciadas da RNP, todos os custos são absorvidos pela a RNP e não são repassados aos clientes.

Como faço para aderir a modalidade de Certificado Corporativa?

Entre em contato com o Service Desk da RNP para iniciar o processo e verificar a viabilidade da adesão.

Qual o custo para emissão de certificados?

Não existe custo para as instituições credenciadas da RNP, todos os custos são absorvidos pela a RNP e não são repassados aos clientes, sendo assim, a emissão de certificados é totalmente gratuita para as instituições.

Posso emitir certificados para qualquer domínio?

Não, cada instituição poderá emitir certificados somente para domínios, e seus respectivos subdomínios, registrados em nome da própria instituição ou daqueles que ela é comprovadamente a responsável por manter.

Domínios de terceiros não serão habilitados para emissão de certificados.

Quais as características dos certificados que posso emitir?

A modalidade Certificado Corporativa da ICPEdu permite a emissão de certificados SSL comumente utilizados em servidores para proteção de websites através de criptografia dos dados e consequentemente a privacidade destes dados.

Esta modalidade permite a emissão de certificados SSL com validade de 1, 2 ou 3 anos, estes podendo ser de dois tipos distintos:

• Standard SSL: É o certificado SSL padrão emitido para proteger um domínio ou subdomínio específico, por exemplo wiki.rnp.br, mail.rnp.br e mconf.rnp.br. O Standard SSL normalmente protege um domínio específico (também chamado de CN e Common Name), no entanto, quando houver a necessidade de se proteger mais de um domínio ou subdomínio recomenda-se o uso de SANs (Subject Alternative Names).

• Wildcard SSL: É o certificados emitido para proteger todos subdomínios de primeiro nível de um determinado domínio, o wildcard *.rnp.br, por exemplo, está apto a proteger todos os subdomínios de primeiro nível de rnp.br como wiki.rnp.br, mail.rnp.br e primeiro.rnp.br, mas não protege o próprio domínio rnp.br e nem domínios de segundo, terceiro ou mais níveis como segundo.primeiro.rnp.br, www.mail.rnp.br e www.wiki.rnp.br.

Por questões de segurança o uso de certificados wildcard não é recomendado, embora em alguns cenários e ambientes ele é a única solução.

Recomendamos que sempre que possível substituir o uso de certificados wildcard por Standard SSL + SANs (Subject Alternative Names).

Quais tipos de certificados estão incluídos no serviço e quais não estão?

A Certificado Corporativa tem como objetivo o fornecimento de certificados SSL automaticamente reconhecidos nos principais browsers e aplicativos comerciais, todos os certificados SSL (Standard e Wildcard) emitidos já são contemplados no acordo/contrato firmado entre a RNP e a GlobalSign, no entanto, o acordo contempla apenas os certificados SSL e não outros tipos de certificados como aqueles destinados a assinatura de código fonte e certificados pessoais para assinatura de documentos ou e-mails. (Para saber mais sobre emissão de certificados pessoais entenda como funciona a modalidade AC Pessoas da ICPEdu).

Certificados SSL são mais comumente utilizados em servidores que hospedam páginas web como serviços de e-mail e portais que possuam qualquer tipo de dados que precisem de proteção e criptográfica da comunicação entre cliente e servidor.

Em resumo, a Certificado Corporativa contempla exclusivamente os certificados emitidos através da aba Managed SSL do portal web, se você tem necessidade de emissão de algum outro tipo de certificado, favor entrar em contato conosco através do e-mail atendimento@rnp.br.

Perfis

Os perfis contêm informações únicas da empresa e seu próprio conjunto de domínios. O status de Perfil aparecerá na parte inferior do bloco Perfil e poderá ter o seguinte status:

• OV - Habilitação em andamento

• OV - Disponível

• OV - Inválido

Editar Perfil

Passe o cursor do mouse sobre o botão Outras Ações no bloco Perfil e selecione Editar Perfil para corrigir detalhes no seu perfil. Observe que se o seu perfil estiver ativo, esta ação suspenderá o PERFIL até que nosso departamento de verificação tenha validado a nova informação e realize a reativação. As alterações não são retroativas.

Domínio

O conceito por trás do SSL gerenciado é a emissão instantânea e o gerenciamento simplificado de certificados para todos os domínios pertencentes à uma conta.

Adicionar Domínio

1. Clique em Adicionar Domínio Novo para adicionar um novo domínio ao perfil.

2. Insira o Ponto de Contato para a solicitação do domínio.

• Método de validação manual – Nossa equipe de verificação será alertada quando um novo domínio for adicionado a seu perfil. Você pode monitorar o status da solicitação de seu novo domínio na página Histórico de Solicitações de Domínio, no painel de navegação à esquerda.

4. Confirmar Detalhes: Confirme as informações da solicitação e conclua o pedido.

Renovação de Domínios

Você pode visualizar uma lista dos domínios que estão por vencer (90 dias antes do vencimento) clicando em Visualizar no bloco Domínios Vencendo na tela inicial SSL Gerenciado. Para fins de notificação, o bloco aparecerá dinamicamente em laranja ou vermelho e exibirá o número de domínios que expirarão em breve.

Gerenciar Domínios

Clique no ícone Gerenciar domínios no bloco de perfil para excluir, definir permissões, renovar e verificar e visualizar status de todos os domínios para um perfil. Uma breve descrição das opções de gerenciamento de domínio são apresentadas abaixo

1. Remover: Clique no ícone Remover para excluir um domínio que não seja mais necessário.

2. Permissões: Clique no ícone Permissões para mostrar uma lista de todos os usuários para aquele domínio.

Especifique quais permissões cada usuário terá ao marcar as caixas apropriadas:

• Efetuar Requerimentos: o usuário pode fazer solicitações para um domínio em particular.

• Aprovar Requerimentos: o usuário pode aprovar pedidos feitos por ele ou outros usuários para um domínio em particular.

• Revogar certificados: o usuário pode revogar certificados emitidos para um domínio em particular.

3. Renovar: Clique no ícone Renovar para renovar os domínios que estão expirando (a opção de renovação está disponível até 90 dias antes da expiração).

4. Verificar: Clique no ícone Verificar para verificar um domínio enviado com TXT de DNS ou Método de validação baseado em HTTP.

Manuais de uso

Esta modalidade permite às instituições clientes emitirem gratuitamente certificados digitais qualificados pela GlobalSign, uma das maiores autoridades certificadoras do mundo. Isso fortalece a confiança dos usuários, que têm a garantia de estar fazendo negócios com uma instituição idônea. Esses certificados iniciam:

• O cadeado de segurança dos browsers;

• A conexão segura "https";

• A exibição da identidade corporativa.

• O principal motivador do Certificado Corporativo é a crescente necessidade de certificados digitais automaticamente reconhecidos pelos browsers e aplicações.

Como funciona

Cada instituição nomeia um responsável que fará a gestão dos certificados emitidos. Essa nomeação é feita pelo reitor ou representante legal da instituição, por meio da carta de adesão ao serviço. O documento de adesão permite:

• Solicitar a substituição ou adição de novos responsáveis pela abertura de chamado;

• Enviar novos documentos de nomeação e revogação;

• Gerenciar os certificados para os domínios vinculados a sua instituição.

Outros benefícios

• Compatibilidade universal com browsers, aparelhos celulares e dispositivos móveis em geral;

• Certificados emitidos com validade de um, dois ou três anos;

• Um único certificado protege a versão www e a versão não-www do domínio;

• Realiza a proteção de páginas individuais ou de múltiplas páginas com o Wildcard ou Subject Alternative Names (SANs);

• Segurança SSL de 2048 bits: todos os dados enviados pela internet se beneficiam dos mais altos níveis de proteção disponível (Raiz de 2048 bits).

Processo de adesão

O processo de adesão ao certificado corporativo é simples e deve ser iniciado junto ao Service Desk da RNP.

Em resumo:

• A instituição informa o interesse ao serviço enviando um e-mail para o atendimento@rnp.br.

• O Service Desk avalia a viabilidade da adesão, neste ponto temos dois cenários

  • Para instituições credenciadas: Seguimos para o próximo passo da adesão.

  • Para instituições que ainda não são credenciadas: A gerência de relacionamento com o cliente será envolvida para realização do processo de credenciamento junto à RNP.

• A instituição preenche os formulários de adesão e informa os analistas responsáveis pelo sistema.

• A instituição é cadastrada no portal do serviço, neste ponto precisamos aguardar a aprovação da GlobalSign (fornecedor).

• Caso esteja tudo certo, a adesão é finalizada e a instituição está apta para emitir os certificados, em caso de problemas, o Service Desk entra em contato com o cliente para correção e seguimento no processo.

A área de relatórios é responsável por exibir dados referentes às atividades envolvendo certificados da instituição (as emissões, expirações e revogações de certificados da instituição).

Esta área é composta pelos seguintes itens:

Área de totais

Mostra a quantidade de certificados emitidos, expirados, revogados e ativos ao final de um período especificado.

Gráfico de atividade por período

Gráfico de linha que mostra, dentro do intervalo especificado, ao longo dos dias que compõem este intervalo, os eventos relacionados aos certificados, ou seja, quantos certificados foram emitidos, expirados, revogados e permaneceram ativos em cada dia do período especificado.

Gráfico de certificados emitidos por faixa etária e afiliação educacional

Mostram, respectivamente, quantos certificados emitidos no período especificado são de pessoas que correspondem às faixas etárias do gráfico e quais os seus tipos de afiliação educacional. O gráfico por afiliação educacional NÃO ficará disponível se a instituição não disponibilizar esta informação via CAFe.

Lista de operadores ativos

São os operadores da instituição ativos no sistema. É permitido um máximo de três operadores por instituição.

Consultar atividades do relatório por período especificado

Dentro da área de relatórios, na parte superior à direita, o usuário poderá filtrar o período de consulta informando, para tanto, duas datas (início e fim) que correspondam ao intervalo desejado. Se nenhum intervalo for especificado, o sistema inserirá, por padrão, o período correspondente ao mês corrente no momento da consulta.

Basta clicar em cada um dos campos e, no widget de calendário, escolher a data desejada conforme figura 5. Ao selecionar uma data, automaticamente o sistema atualiza a consulta com base nos novos parâmetros

Em caso de dúvidas, favor procurar o atendimento da RNP através do e-mail atendimento@rnp.br.

No menu “Certificados” é exibida a listagem de todos os certificados emitidos até o momento pelos usuários da instituição a qual você é vinculado.

Na listagem de certificados, são exibidas as informações de e-mail do emissor, as datas de emissão, expiração e o estado do certificado (ativo, revogado ou expirado), conforme ilustrado na figura 6.

Além disso, nessa tela também é possível navegar e filtrar os resultados e, por fim, comandar instruções como revogação, download e visualização de histórico de certificados de um determinado usuário.

Filtrar por termo de busca

Tomando a figura 6 como ponto de partida, para filtrar os resultados por um termo de busca (nesse caso, por nome ou e-mail), basta digitar no campo logo acima da tabela o termo desejado e clicar no botão com o ícone de lupa para iniciar a pesquisa. O resultado retornado corresponderá à busca com o termo digitado.

Filtrar por situação

É possível utilizar o filtro da caixa de seleção ao lado do campo de busca por termos, onde existem os estados possíveis de um certificado (ativo, expirado e revogado). Tomando a figura 6 como exemplo, basta clicar na caixa de seleção (cujo rótulo é “Filtrar por situação”, conforme figura abaixo) e escolher um dos estados para ativar o filtro. Se um filtro por situação estiver aplicado e o usuário escolher a mesma opção novamente (o filtro ativo), o filtro será limpo e a pesquisa retornará ao modo padrão.

Revogar certificados de usuários

Para revogar o certificado de um usuário, primeiramente, este certificado deve estar ativo, ou a ação não poderá ser realizada. Se estiver, basta ir até à coluna “Ações” da tabela e navegar até a linha que corresponda ao usuário cujo certificado deverá ser revogado. Depois, basta clicar no terceiro ícone da esquerda para a direita e, na janela pop-up que surgir conforme figura 8, selecionar o motivo da revogação, inserir o código de segurança e confirmar a operação clicando no botão “Revogar”.

Baixar certificado de usuários

Para baixar o certificado de um usuário, basta ir até à coluna “Ações” da tabela (ver figura 6) e navegar até a linha do usuário desejado. Depois, basta clicar no ícone do meio para baixar o certificado.

Consultar histórico rápido

O histórico rápido é a visualização dos últimos 5 (cinco) eventos de certificado relacionados a um usuário específico, isto é, verificar as ações de emissão, expiração e revogação relacionadas ao certificado de um usuário.

Para obter o histórico rápido de um usuário, basta ir até à coluna “Ações” da tabela (ver figura 6) e navegar até a linha do usuário desejado. Depois, basta clicar no ícone em forma de olho e, em seguida, na janela pop-up que surgir, consultar na tabela os eventos associados ao certificado do usuário, como mostra a figura 9.

Consultar histórico completo

A figura 9 da seção anterior mostra a janela pop-up para consultar o histórico rápido dos certificados de um usuário. Para consultar o histórico completo, basta clicar no botão “Ver todos” no canto inferior direito. O usuário será redirecionado para uma página dedicada à consulta de histórico de certificados.

A figura 10 mostra a página de consulta completa do histórico de um certificado, havendo um campo de busca por termo (neste caso, por usuário autor do evento) e outros dois para um intervalo de datas específicas. O usuário, poderá realizar uma busca por termo e data.

Em caso de dúvidas, favor procurar o atendimento da RNP através do e-mail atendimento@rnp.br.

Após emitir um certificado, você pode consulta-lo para verificar o status atual ou baixa-lo, para isso, acesse o sistema, vá em "SSL Gerenciado" e depois "Localizar e reportar certificados".

Digite o número da sua solicitação e clique em "Pesquisar".

Para realizar o download, clique em "Obter certificado".

Nessa tela você também pode realizar uma reemissão ou revogação do certificado.

Introdução

O Centro de Certificados GlobalSign (GlobalSign Certificate Center – GCC) é uma plataforma altamente flexível de gerenciamento de ciclo de vida do certificado baseada em nuvem. O GCC centraliza o gerenciamento de certificados para todos os tipos de certificados digitais da GlobalSign e permite o uso de vários usuários. O SSL gerenciado (MSSL) é uma solução disponibilizada no GCC.

Login na Conta

Com a sua conta de SSL gerenciado já aprovada, você pode efetuar o login no Centro de Certificados GlobalSign (GCC) e logo em seguida começar a gerenciar o ciclo de vida de seus certificados SSL. Acesse a página .

Página SSL Gerenciado

Apresentamos abaixo a imagem de tela que você verá na aba SSL GERENCIADO do GCC. Os indicadores numerados correspondem a uma referência que o ajudará a navegar e usar SSL Gerenciado. Não se esqueça de que, para solicitar certificados SSL, você deve estar na aba SSL GERENCIADO.

1. Aba Conta e Finanças – redirecionará você à página Conta e Finanças, na qual é possível gerenciar todas as informações de sua conta.

2. Renovações Futuras – visualize todos os certificados que estão prestes a expirar e disponíveis para renovação. Domínios a expirar – visualize todos os domínios que estão expirando e disponíveis para renovação.

3. Aprovações Pendentes – visualize todas as solicitações que estão com aprovação pendente. Localizar e Relatar Certificados – pesquise pedidos de Certificado SSL feitos em sua conta e gerencie-os.

4. Localizar e Relatar Domínios – lista de todos os domínios, perfis e seu nível de habilitação. Visualizar Licença de Uso de SAN – visualize e relate Nomes Alternativos do Assunto emitidos.

5. Solicitar Certificado – solicite certificados SSL através dos perfis pré-validados. Adicionar Domínio Novo – envie um domínio a ser associado a um perfil específico.

6. Gerenciar Domínios – gerencie os domínios associados a um perfil específico.

7. Outras Ações – acesse outras ações, incluindo Editar Perfil, Editar Página de Requerimentos Públicos e Fazer Upgrade do nível de habilitação.