Para implementação da API, disponibilizamos os arquivos abaixo para apoio:

Manual para assinatura digital em PDFs

Para configurar sua assinatura digital utilizando o Certificado Pessoal da ICPEdu na ferramenta Adobe Reader, siga o passo a passo do documento abaixo:

Obs.: O procedimento está destinado aos usuários Windows.

Descrição

Este manual foi gerado para apoiar todos os operadores que estiverem utilizando ou que pretendem utilizar a plataforma de emissão de certificados digitais da ICPEdu.

As funcionalidades associadas à operação, requerem que o usuário possua conta na CAFe para autenticação federada, que a instituição a qual o usuário é filiado esteja cadastrada na ICPEdu e a conta do usuário tenha recebido permissão de operação.

O usuário poderá consultar as informações da instituição pela opção “Minha Instituição” do menu do usuário comum. Basta clicar no item de menu mencionado e visualizar no quadro as informações disponibilizadas pela instituição.

A Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu) é o serviço de certificação digital oferecido pela RNP, que provê infraestrutura pronta para a emissão de certificados digitais e chaves de segurança.

Certificado Raiz

Root para certificados emitidos na nova plataforma da Globalsign:

Certificado Intermediário

• Download da LCR atual

• Consultar LCR's antigas

Propósito

O Assinador ICPEdu tem como principal objetivo permitir que usuários ligados à rede acadêmica possam assinar documentos eletronicamente de maneira simples, segura e com validade jurídica.

Pré-requisitos:

• Instituição fazer parte da CAFe

• IDP da instituição entregar as informações necessárias

• Nome e sobrenome

• CPF

Quem pode usar?

A ferramenta é direcionada a usuários vinculados a instituições que fazem parte da rede Comunidade Acadêmica Federada (CAFe), como universidades, centros de pesquisa e demais organizações ligadas à educação e ciência.

Benefícios

• Validade Jurídica: as assinaturas realizadas pelo Assinador têm validade jurídica, o que garante a aceitação dos documentos em processos administrativos e legais.

• Segurança: utilizando a infraestrutura segura da RNP/ICPEdu, o processo de assinatura é protegido contra fraudes.

• Simplicidade: a plataforma é de fácil utilização, permitindo que os documentos sejam assinados em poucos cliques, sem necessidade de conhecimentos técnicos avançados.

Duvidas?

Caso ainda precise de apoio, fale com o nosso Service Desk através do telefone/WhatsApp: 0800 722 0216 ou e-mail: [email protected].

Encontrou algum problema neste portal?

Não encontrou o que precisa? Gostaria de adicionar algo? Por favor, não deixe de nos informar.

Envie um e-mail para o [email protected] sinalizando o erro, página ou conteúdo que precisa de alteração.

Sua colaboração é ESSENCIAL para evoluirmos cada vez.

07/2020 - Vulnerabilidade nos certificados SSL

Foi identificada uma vulnerabilidade nos certificados SSL utilizados pelos clientes do serviço Certificado Corporativo da ICPEdu, apesar de nenhum incidente ter sido notificado, ações corretivas serão necessárias a curto prazo.

Assim, do dia 8/7 até 11/7, para evitar indisponibilidade nos sistemas que utilizam esses certificados, todos os clientes do serviço devem entrar no portal da Globalsign e emitir novos certificados para substituir os que estão em uso atualmente.

Destacamos que os certificados atuais serão revogados automaticamente no dia 11/7 às 13h (horário de Brasília). Além disso, esclarecemos que:

• Os certificados afetados são apenas aqueles do tipo OV: SSL de validação organizacional;

• Ações técnicas preparatórias, como a geração de um novo CSR () e a validação do acesso ao sistema online (), já podem ser realizados a partir de hoje.

Em decorrência disso a equipe especializada está de plantão na sala de conferência para retirar dúvidas durante os próximos dias.

Sala - Plantão de Dúvidas: .

Horários - Plantão de Dúvidas:

• Quarta 8/7, das 7h às 20h

• Quinta 9/7, das 9h às 12h e das 14h às 18h

• Sexta 10/7, das 9h às 12h e das 14h às 18h

Dúvidas Gerais:

Devo reemitir ou gerar novamente um certificado?

Gerar novamente um certificado.

Houve alteração da cadeia intermediária?

Sim, somente a cadeia intermediária foi alterada, a raiz permanece a mesma, para baixar, .

Preciso gerar um novo .csr ?

A recomendação inicial da GlobalSign era que “Sim”, porém já foi aberto por eles a possibilidade de utilizar o mesmo.

Quanto tempo para o certificado ser disponibilizado após a nova geração?

Os relatos dos demais clientes é que cerca de 5 a 10 minutos.

Introdução

A emissão de certificados é feita através do portal web do serviço, no entanto, alguns passos adicionais como emissão de arquivo CSR para solicitar a emissão do certificado, e até mesmo a instalação do certificado conta com alguns detalhes que serão explorados aqui.

Certificados emitidos através deste serviço, tem como objetivo suprir a necessidade crescente das instituições por certificados que sejam automaticamente reconhecidos pelos principais browsers e aplicações comerciais, se sua necessidade se baseia nesta demanda, recomendamos que utilize o serviço de AC SSL ICPEdu.

As credenciais de acesso ao portal são fornecidas pela equipe de gestão do serviço na fase final do processo de adesão.

Sobre o CSR

Toda requisição de certificado digital é feita com base em um arquivo CSR (Certificate Signing Request), no qual constam todas as informações que serão inseridas neste certificado.

No serviço de AC SSL Corporativa da ICPEdu é possível gerar o csr normalmente usando o openssl ou IIS (Internet Information Services) do servidor onde o certificado será instalado.

Para mais detalhes sobre como gerar uma CSR, consulte nossos (em Inglês).

Com o CSR em mãos, você pode seguir para o próximo passo de emissão do certificado.

Verificador de CSR

A opção está disponível na aba SSL gerenciado em sua conta GCC. Clique no Verificador de CSR no menu à esquerda para usar a ferramenta online para depurar problemas CSR. Se você tentar fazer um pedido e CSR gerar algum problema execute-o através desta ferramenta e os possíveis erros sintáticos serão destacados (por exemplo, C = RB em vez de C = BR).

Diferentemente dos demais navegadores e do Internet Explorer, o Microsoft Edge não possui opção para instalação de certificado a partir do próprio navegador.

Porém, é possível instalar o certificado através do “Painel de Controle” nas opções de “Rede e Internet”.

Após entrar na área de “Rede e Internet”, clique em “Opções da Internet” e na janela que se abrir, vá para a aba “Conteúdo” e depois clique em "Certificados".

Na janela a seguir, clique em "Importar"

Quando o assistente de importação abrir, clique em "Avançar"

Clique em "Procurar" para localizar o certificado e depois em "Avançar".

Caso durante a procura o arquivo não apareça de imediato, selecione a opção "todos os arquivos" na janela de busca.

Na tela a seguir, digite a senha definida durante a criação do certificado e avance.

No próximo passo não é necessário alterar, basta avançar.

Em seguida, clique em "Concluir"

Por fim, clique em "Ok" para finalizar a importação.

O lembrete de senha é o conteúdo que você inseriu no momento da criação de senha na emissão do certificado. Caso esqueça, acessando essa tela você consegue verificar o lembrete para facilitar a recordação da senha escolhida.

Acesse o menu "Meu certificado" e na parte onde diz "Lembrete de senha" estará o lembrete informado.

Introdução

O Centro de Certificados GlobalSign (GlobalSign Certificate Center – GCC) é uma plataforma altamente flexível de gerenciamento de ciclo de vida do certificado baseada em nuvem. O GCC centraliza o gerenciamento de certificados para todos os tipos de certificados digitais da GlobalSign e permite o uso de vários usuários. O SSL gerenciado (MSSL) é uma solução disponibilizada no GCC.

Login na Conta

Com a sua conta de SSL gerenciado já aprovada, você pode efetuar o login no Centro de Certificados GlobalSign (GCC) e logo em seguida começar a gerenciar o ciclo de vida de seus certificados SSL. Acesse a página .

Página SSL Gerenciado

Apresentamos abaixo a imagem de tela que você verá na aba SSL GERENCIADO do GCC. Os indicadores numerados correspondem a uma referência que o ajudará a navegar e usar SSL Gerenciado. Não se esqueça de que, para solicitar certificados SSL, você deve estar na aba SSL GERENCIADO.

1. Aba Conta e Finanças – redirecionará você à página Conta e Finanças, na qual é possível gerenciar todas as informações de sua conta, assim como os créditos restantes.

2. Renovações Futuras – visualize todos os certificados que estão prestes a expirar e disponíveis para renovação. Domínios a expirar – visualize todos os domínios que estão expirando e disponíveis para renovação.

3. Aprovações Pendentes – visualize todas as solicitações que estão com aprovação pendente. Localizar e Relatar Certificados – pesquise pedidos de Certificado SSL feitos em sua conta e gerencie-os.

Para emitir um novo certificado você deve ir ao menu "Meu certificado" e "Emitir novo certificado".

Para revogar um certificado, basta acessar o menu "Meu certificado" e clicar em "Revogar certificado".

Após isso basta selecionar o motivo e clicar em "Revogar".

Pronto! O seu certificado foi revogado.

Acesse as configurações do Google Chrome

Em seguida clique em: Privacidade e Segurança > Mais > Gerenciar certificados

Na janela a seguir, clique em "Importar"

Quando o assistente de importação abrir, clique em "Avançar"

Clique em "Procurar" para localizar o certificado e depois em "Avançar".

Comece clicando em “Aplicações”, em seguida “Utilitários” e depois “Acesso às Chaves”. Na janela que abrirá, no menu navegue em “Arquivo” e clique na opção “Importar itens”

Uma vez selecionado o arquivo de certificado a ser importado, aparecerá a janela de confirmação de inclusão de certificado

Na janela exibida, conforme Figura 23, insira sua senha de administrador para autorizar as mudanças e clique em “Modificar as Chaves”

Por fim, insira a senha do certificado (ver Figura 24) e clique OK para finalizer a instalação do certificado.

A ICPEdu possui um verificador de assinaturas incorporado ao sistema. O verificador de assinaturas é uma ferramenta desenvolvida para confirmar a veracidade de assinaturas realizadas com o certificado pessoal da ICPEdu em documentos digitais.

Além disso, pela compatibilidade entre os padrões ICPEdu e ICP-Brasil, ambas as cadeias de certificação são reconhecidas. É importante ressaltar que, embora haja compatibilidade entre os padrões, o verificador de assinaturas destina-se, exclusivamente, à validação daquelas que foram feitas com certificados pessoais da ICPEdu.

Para acessar e utilizar o verificador, basta ir até à opção de menu “Verificar assinatura”, aceitar os termos de uso - o aceite será registrado nos cookies do navegador utilizado e é válido por 30 dias. Após aceites é só submeter o documento desejado, restrito ao formato PDF e com tamanho não superior à 20 (vinte) megabytes.

O verificador de assinaturas é capaz de reconhecer assinaturas (quando há) e realizar o processo de verificação de conformidade. Uma assinatura reconhecida/encontrada não significa, necessariamente, que ela é válida. O resultado da validação compreende diferentes situações encontradas durante o processo de reconhecimento e verificação. São elas:

1. Tamanho do arquivo excedido ou formato não suportado: apresentada quando o formato de arquivo não é PDF ou seu tamanho é superior ao limite de 20 (vinte) megabytes.

2. Não foram detectadas assinaturas: indica que não foram encontradas quaisquer assinaturas no documento enviado.

3. Cadeia de certificação não suportada: trata-se de assinatura cujo certificado não é reconhecido pelo verificador de assinaturas (padrões ICP-Brasil ou ICPEdu). Este cenário pode ser consequência de um dos itens a seguir:

• Assinatura eletrônica convencional: ferramentas de assinatura de documentos PDFs permitem a inclusão de campos de assinatura simples, podendo ser um nome, uma imagem digitalizada de uma assinatura à mão, etc. Estes campos são reconhecidos pelo verificador, porém, nenhum procedimento de validação pode ser realizado, pois, não se tratam de assinaturas digitais com certificado.

• Assinatura digital com cadeia não reconhecida pelo verificador: é o caso de haver presença de assinaturas cujo certificado não foi emitido pela ICPEdu ou ICP-Brasil.

4. Assinatura com validade indeterminada: retornado quando as informações disponíveis são insuficientes para afirmar se a assinatura está em conformidade. Este cenário decorre de uma das seguintes circunstâncias:

• Assinaturas com certificados ICP-Brasil: o verificador de assinaturas da ICPEdu reconhece assinaturas padrão ICP-Brasil. Entretanto, não dispõe de todos os parâmetros necessários para validar esta cadeia de certificação, podendo apresentar o resultado “indeterminado” para a assinatura mediante qualquer incerteza que possa encontrar durante o processo de validação. Ressalta-se, ainda, que o verificador de assinaturas foi desenvolvido para validação exclusiva de assinaturas feitas com o certificado pessoal ICPEdu.

• Assinatura corrompida: a assinatura inserida no documento foi corrompida. Isto pode ocorrer, por exemplo, caso a ferramenta de assinatura de documentos PDFs não implementem adequadamente esta funcionalidade, alterando indevidamente a assinatura e corrompendo-a. Assinaturas corrompidas, inclusive, podem comprometer as demais que estiverem presentes no documento, ainda que estas estejam válidas.

• Detecção de possível alteração após assinatura: esta situação ocorre quando o verificador identifica diferenças entre o conteúdo da assinatura e o que realmente consta no documento. Porém, não é possível identificar, de maneira assertiva, se esta modificação é oriunda de uma adulteração intencional ou se a estrutura do documento foi indevidamente alterada por uma ferramenta de assinatura de PDF. É importante salientar a possibilidade de bloquear a edição de um documento, onde uma tentativa de violação desta restrição acaba por corrompê-lo.

5. Assinatura inválida: indica que a assinatura encontrada não possui validade. Isto pode ocorrer, por exemplo, devido a um dos certificados da cadeia estar expirado ou revogado. Há de se destacar que existem ferramentas de assinatura de PDF que avisam ou mesmo impedem que uma assinatura possa ser feita caso o certificado não seja válido no momento.

6. Assinatura válida: apresentada quando a assinatura é válida. Isto significa que a cadeia de certificação foi validada e não foram encontrados problemas na assinatura. Em caso de documentos onde há bloqueio de edição, também pode ser apresentada uma mensagem indicando que não foram encontradas modificações após a assinatura.

7. Múltiplas assinaturas: um documento pode ter várias assinaturas (quando múltiplas pessoas assinam o documento). O verificador analisa cada assinatura de forma independente. Ou seja, um mesmo documento pode ter uma assinatura válida e outra assinatura inválida.

Os exemplos acima são os casos que podem ocorrer ao anexarem algum documento PDF no verificador de assinaturas do ICPEdu Pessoal. Caso ainda tenham dúvidas, favor entrar em contato com a RNP através do e-mail: [email protected]

Para acessar a área do usuário comum no ICPEdu - e considerando que o usuário já possui o acesso via CAFe -, basta acessar o portal pessoal.icpedu.rnp.br, ir até à página inicial (opção de menu “Início”) e clicar no botão “Emitir Certificado Pessoal”. Dessa maneira, ele será redirecionado para o sistema de autenticação federada para poder preencher suas credenciais.

Ao realizar a autenticação, o usuário será redirecionado de volta para o portal, e verá, logo abaixo do menu principal, o menu de opções do usuário comum, composto por dois itens: “Meu Certificado” e “Minha Instituição”.

Para emitir o certificado pessoal, vá até à opção “Meu Certificado”. Você verá a seguinte tela ilustrada pela figura 3. Clique no botão “Emitir Certificado Pessoal”.

Para emitir o certificado pessoal, são necessários três passos:

1. Confirmar os dados de usuário;

2. Definir a senha do certificado;

3. Salvar o certificado.

É possível, ainda, cancelar a emissão a qualquer momento entre o primeiro e segundo passos, clicando no botão “Cancelar”.

Confirmação de dados

Logo após clicar no botão “Emitir Certificado Pessoal”, o usuário será redirecionado ao primeiro passo, onde deverá conferir os dados enviados ao sistema pela sua instituição e prosseguir, caso esteja tudo certo, clicando no botão “Confirmar dados”.

Definição de senha

Neste passo, o usuário deverá definir uma senha para utilizar seu certificado digital. Os campos “Senha” e “Confirmar senha” serão necessários para isso. A senha deve ter, no mínimo, 8 caracteres, e possuir, pelo menos, um número, um caractere especial, um caractere maiúsculo e um minúsculo.

Além disso, um lembrete deve ser informado, isto é, um termo ou palavra que faça o usuário se lembrar de sua senha (utilize o campo “Lembrete da senha”). O lembrete NÃO deve conter a senha do certificado, e o usuário deve confirmar que está ciente da não recuperação de sua senha marcando a caixa ao lado do campo do lembrete “Estou ciente que minha senha não pode ser recuperada”.

O usuário poderá prosseguir e finalizar a emissão clicando em “Emitir novo certificado” e confirmando a emissão ou, caso desejar retornar ao passo anterior, clicando em “Voltar”. Esta última ação fará com que o preenchimento seja perdido.

Salvar o certificado

Se o certificado for emitido com sucesso, você verá a tela conforme mostra a figura 6 a seguir. Marque a caixa “Declaro que guardarei o arquivo do certificado em local seguro” e faça o download do seu certificado no botão “Salvar certificado”. Você pode retornar ao menu “Meu Certificado” clicando no botão “Finalizar”.

Pronto! O seu certificado já foi emitido e está pronto para uso.

A área de relatórios é responsável por exibir dados referentes às atividades envolvendo certificados da instituição (as emissões, expirações e revogações de certificados da instituição).

Esta área é composta pelos seguintes itens:

Área de totais

Mostra a quantidade de certificados emitidos, expirados, revogados e ativos ao final de um período especificado.

Gráfico de atividade por período

Gráfico de linha que mostra, dentro do intervalo especificado, ao longo dos dias que compõem este intervalo, os eventos relacionados aos certificados, ou seja, quantos certificados foram emitidos, expirados, revogados e permaneceram ativos em cada dia do período especificado.

Gráfico de certificados emitidos por faixa etária e afiliação educacional

Mostram, respectivamente, quantos certificados emitidos no período especificado são de pessoas que correspondem às faixas etárias do gráfico e quais os seus tipos de afiliação educacional. O gráfico por afiliação educacional NÃO ficará disponível se a instituição não disponibilizar esta informação via CAFe.

Lista de operadores ativos

São os operadores da instituição ativos no sistema. É permitido um máximo de três operadores por instituição.

Consultar atividades do relatório por período especificado

Dentro da área de relatórios, na parte superior à direita, o usuário poderá filtrar o período de consulta informando, para tanto, duas datas (início e fim) que correspondam ao intervalo desejado. Se nenhum intervalo for especificado, o sistema inserirá, por padrão, o período correspondente ao mês corrente no momento da consulta.

Basta clicar em cada um dos campos e, no widget de calendário, escolher a data desejada conforme figura 5. Ao selecionar uma data, automaticamente o sistema atualiza a consulta com base nos novos parâmetros

Em caso de dúvidas, favor procurar o atendimento da RNP através do e-mail [email protected].

No menu “Certificados” é exibida a listagem de todos os certificados emitidos até o momento pelos usuários da instituição a qual você é vinculado.

Na listagem de certificados, são exibidas as informações de e-mail do emissor, as datas de emissão, expiração e o estado do certificado (ativo, revogado ou expirado), conforme ilustrado na figura 6.

Além disso, nessa tela também é possível navegar e filtrar os resultados e, por fim, comandar instruções como revogação, download e visualização de histórico de certificados de um determinado usuário.

Filtrar por termo de busca

Tomando a figura 6 como ponto de partida, para filtrar os resultados por um termo de busca (nesse caso, por nome ou e-mail), basta digitar no campo logo acima da tabela o termo desejado e clicar no botão com o ícone de lupa para iniciar a pesquisa. O resultado retornado corresponderá à busca com o termo digitado.

Filtrar por situação

É possível utilizar o filtro da caixa de seleção ao lado do campo de busca por termos, onde existem os estados possíveis de um certificado (ativo, expirado e revogado). Tomando a figura 6 como exemplo, basta clicar na caixa de seleção (cujo rótulo é “Filtrar por situação”, conforme figura abaixo) e escolher um dos estados para ativar o filtro. Se um filtro por situação estiver aplicado e o usuário escolher a mesma opção novamente (o filtro ativo), o filtro será limpo e a pesquisa retornará ao modo padrão.

Revogar certificados de usuários

Para revogar o certificado de um usuário, primeiramente, este certificado deve estar ativo, ou a ação não poderá ser realizada. Se estiver, basta ir até à coluna “Ações” da tabela e navegar até a linha que corresponda ao usuário cujo certificado deverá ser revogado. Depois, basta clicar no terceiro ícone da esquerda para a direita e, na janela pop-up que surgir conforme figura 8, selecionar o motivo da revogação, inserir o código de segurança e confirmar a operação clicando no botão “Revogar”.

Baixar certificado de usuários

Para baixar o certificado de um usuário, basta ir até à coluna “Ações” da tabela (ver figura 6) e navegar até a linha do usuário desejado. Depois, basta clicar no ícone do meio para baixar o certificado.

Consultar histórico rápido

O histórico rápido é a visualização dos últimos 5 (cinco) eventos de certificado relacionados a um usuário específico, isto é, verificar as ações de emissão, expiração e revogação relacionadas ao certificado de um usuário.

Para obter o histórico rápido de um usuário, basta ir até à coluna “Ações” da tabela (ver figura 6) e navegar até a linha do usuário desejado. Depois, basta clicar no ícone em forma de olho e, em seguida, na janela pop-up que surgir, consultar na tabela os eventos associados ao certificado do usuário, como mostra a figura 9.

Consultar histórico completo

A figura 9 da seção anterior mostra a janela pop-up para consultar o histórico rápido dos certificados de um usuário. Para consultar o histórico completo, basta clicar no botão “Ver todos” no canto inferior direito. O usuário será redirecionado para uma página dedicada à consulta de histórico de certificados.

A figura 10 mostra a página de consulta completa do histórico de um certificado, havendo um campo de busca por termo (neste caso, por usuário autor do evento) e outros dois para um intervalo de datas específicas. O usuário, poderá realizar uma busca por termo e data.

Em caso de dúvidas, favor procurar o atendimento da RNP através do e-mail [email protected].

Após emitir um certificado, você pode consulta-lo para verificar o status atual ou baixa-lo, para isso, acesse o sistema, vá em "SSL Gerenciado" e depois "Localizar e reportar certificados".

Digite o número da sua solicitação e clique em "Pesquisar".

Para realizar o download, clique em "Obter certificado".

Nessa tela você também pode realizar uma reemissão ou revogação do certificado.

Comece abrindo a janela de configurações do navegador.

Procure pelas configurações avançadas, vá para a aba “Certificados” e depois clique em "Ver certificados".

Na tela que se abrir, clique em "Importar" e selecione o certificado.

Em seguida informe a senha utilizada para criptografar o certificado e clique em "OK".

Por fim, o sistema vai retornar uma mensagem de exito.

Acesso à plataforma

Para realizar a assinatura de documentos, deverá realizar os seguintes passos:

Acessar o sistema pelo link: https://cdd.icpedu.rnp.br/

Após acessar a página, selecione a aba "Assinar documentos" no topo da página conforme figura abaixo:

Os atributos são os dados necessários para a emissão dos certificados por uma instituição. São fornecidos pelo seu provedor de identidade e devem estar mapeados corretamente para evitar inconsistências e/ou erros no processo de emissão de certificados.

Verificar atributos com dados de usuário

Para verificar se o mapeamento foi feito de forma correta, deve-se verificar os atributos mapeados pela instituição e conferir se eles correspondem ao esperado (por exemplo, se o atributo “CPF” foi mapeado para o campo “CPF” da plataforma).

Isto só será possível caso o mapeamento de atributos tenha sido realizado.

O Certificado Pessoal é a sua identidade virtual gratuita, emitida online e pode ser usado para validar a identificação de usuários em diversos procedimentos digitais, como assinaturas eletrônicas, cifragem de documentos e fazer login em sistemas eletrônicos específicos.

O certificado pessoal ICPEdu pode ser usado por alunos, professores e servidores que possuem acesso à Comunidade Acadêmica Federada (CAFe).

Pré-requisito para utilização do sistema:

• Aderir à CAFe;

• Que o provedor de identidade (em inglês, IDP) da instituição forneça os atributos essenciais ():

  • Nome da instituição;

  • Nome e sobrenome do usuário;

  • CPF do usuário;
• Ter um usuário com perfil de operação para gerenciar as configurações e certificados emitidos pela instituição:

Fluxo de adesão

Fluxo de emissão

O certificado pessoal da ICPEdu é emitido através do portal pessoal.icpedu.rnp.br, a identificação do solicitante e validação dos seus dados de emissão, ocorre por meio do serviço federado (CAFe).

O fluxo contempla tanto as etapas no serviço ICPEdu, representando a emissão (setas 1, 7, 8 e 9), quanto na CAFe, representando a identificação e validação (setas de 2 a 6), conforme detalhamento a seguir:

1) O usuário acessa o portal e solicita o certificado digital, iniciando o processo de emissão;

2) A identificação do usuário é realizada através da federação CAFe, nessa etapa o usuário seleciona sua instituição de origem. A lista de instituições é apresentada a partir das informações mantidas pelo servidor WAYF (Where Are Your From) da RNP;

3) Uma vez selecionada a instituição, a identificação do usuário é realizada através do provedor de identidade (IDP) da instituição;

4) O IDP verifica e autentica o usuário consultando a base LDAP da instituição;

5) Validado a existência do usuário, a base LDAP retorna os metadados do usuário para o IDP, contendo o nome completo, e-mail, CPF e data de nascimento;

6) O IDP retorna ao portal fornecendo os dados recebidos da base LDAP;

7) O portal gera as chaves públicas e privadas a serem fornecidas para o usuário e com os dados recebidos do IDP, gera uma requisição de certificado e encaminha para a assinatura pelo HSM;

8) O HSM, equipamento criptográfico especializado, possui a chave privada da AC Pessoa (Autoridade Certificadora da ICPEdu) e com ela assina o certificado do usuário. A utilização do equipamento garante que a chave privada da AC nunca seja exposta;

9) Por fim, o portal empacota o certificado recebido do HSM e a chave privada gerada para o usuário em um arquivo protegido por senha no formato PKCS #12, e o disponibiliza para download pelo usuário.

Certificados AC

O Certificado Digital Pessoal já é emitido com os certificados AC embutidos. Então o download e instalação dos certificados AC não são exigências para a instalação e uso do Certificado Pessoal. Os certificados AC estão disponíveis para referência técnica:

Apresentação

ICPEdu é o nome da Infraestrutura de Chaves Públicas para Ensino e Pesquisa, cuja gestão e operação é feita pela Rede Nacional de Ensino e Pesquisa (RNP).

A ICPEdu possui diferentes modalidades. Este documento descreve a modalidade que corresponde ao “Certificado Pessoal”, que tem como objetivo propiciar a emissão de certificados digitais para os respectivos usuários do serviço.

Definições

Expressões e siglas utilizadas neste documento:

• AC: Autoridade Certificadora;

• AC RAIZ: Autoridade Certificadora Raiz;

• DPC: Declaração de práticas de certificação;

• Repositório web da ICPEdu: página web, disponível no site da RNP, contendo informações técnicas atualizadas sobre a infraestrutura do serviço em questão;

Quem pode aderir

O uso deste serviço é permitido a todas as organizações usuárias da RNP e àquelas instituições que forem autorizadas, em conjunto ou em particular, pelo Comitê Assessor de Gestão de Identidade com anuência da RNP.

Quem pode solicitar o uso

O pedido de adesão ao serviço em questão deve ser realizado pelo gestor de tecnologia da informação da instituição cliente.

Após a autorização, dada mediante análise da gerência de relacionamento com cliente da RNP, o gestor de tecnologia da informação da instituição solicitante deve indicar formalmente o analista que conduzirá a homologação do serviço junto à RNP e posterior administração local.

No repositório web da ICPEdu, encontram-se detalhes sobre o processo de adesão e homologação deste serviço.

Requisitos

O bom uso do presente serviço depende, por um lado, da gestão da infraestrutura do serviço por parte da RNP e, por outro lado, da boa administração da conta da organização cliente no portal do serviço.

Além disso, a organização cliente precisa minimamente de:

• Ter uma equipe técnica local, capacitada e treinada na tecnologia envolvida, para que possa tanto fazer a gestão do serviço na instituição quanto prestar suporte a seus respectivos usuários;

• Ser um provedor de identidade da federação CAFe;

• Disponibilizar os seguintes atributos no seu provedor de identidade:

Obrigações

Constituem-se obrigações da RNP:

• Prover infraestrutura para operação do serviço em questão;

• Tratar as dúvidas, os problemas e dificuldades dos usuários do serviço.

Constituem-se obrigações das organizações clientes, de acordo com o termo de uso da CAFe:

• Associar a cada usuário um atributo de identidade com valor único e persistente, evitando que esses atributos sejam reutilizados;

• Manter atualizadas e fidedignas as informações dos usuários da instituição;

• Utilizar um serviço de autenticação de usuários seguro e confiável utilizando, no mínimo, login e senha únicos para cada usuário;

Além dos deveres mapeados na política de uso da CAFe, foram agregados para a ICPEdu:

• Garantir a validade e integridade dos dados, necessários à emissão dos certificados digitais de seus respectivos usuários;

• Manter atualizado, junto à RNP, a lista dos responsáveis pela administração local do serviço;

• Reportar à RNP todo e qualquer problema, incidente de segurança, comportamento inesperado ou má utilização local do serviço.

O desrespeito a quaisquer dessas condições levará a instituição cliente a receber punições, que podem ir desde uma simples advertência até um processo jurídico.

Custos

A princípio, não há custos diretos para os clientes deste serviço - com exceção daqueles necessários para sua implantação, manutenção e disseminação dentro da própria organização cliente.

Prioridades

Apesar dos diferentes tipos de organizações atendidas, o presente serviço trata as solicitações de uso de maneira igualitária, isto é, sem diferenciar uma ou outra. Exceto, porém, em casos nos quais a gestão do serviço receba uma indicação explícita do Comitê Assessor de Gestão de Identidade.

Considerações Finais

Na introdução deste documento, apresentou-se o que é o serviço em questão. Resta, entretanto, encerrar com uma nota sobre o que não é o presente serviço.

Este serviço não corresponde a uma solução para assinatura digital de documentos.

Contatos

Rede Nacional de Ensino e Pesquisa (RNP)

Endereço: SAS, quadra 5, lote 6, bloco H, 7º andar, Edifício IBICT 70070-914 Brasília, DF

Email: [email protected] / Tel e whatsapp: 0800 722 0216

Esta modalidade permite às instituições clientes emitirem gratuitamente certificados digitais qualificados pela GlobalSign, uma das maiores autoridades certificadoras do mundo. Isso fortalece a confiança dos usuários, que têm a garantia de estar fazendo negócios com uma instituição idônea. Esses certificados iniciam:

• O cadeado de segurança dos browsers;

• A conexão segura "https";

• A exibição da identidade corporativa.

• O principal motivador do Certificado Corporativo é a crescente necessidade de certificados digitais automaticamente reconhecidos pelos browsers e aplicações.

Como funciona

Cada instituição nomeia um responsável que fará a gestão dos certificados emitidos. Essa nomeação é feita pelo reitor ou representante legal da instituição, por meio da carta de adesão ao serviço. O documento de adesão permite:

• Solicitar a substituição ou adição de novos responsáveis pela abertura de chamado;

• Enviar novos documentos de nomeação e revogação;

• Acessar o portal de gerenciamento de certificados GlobalSign pela URL:

• Gerenciar os certificados para os domínios vinculados a sua instituição.

Outros benefícios

• Compatibilidade universal com browsers, aparelhos celulares e dispositivos móveis em geral;

• Certificados emitidos com validade de um, dois ou três anos;

• Um único certificado protege a versão www e a versão não-www do domínio;

• Realiza a proteção de páginas individuais ou de múltiplas páginas com o Wildcard ou Subject Alternative Names (SANs);

Processo de adesão

O processo de adesão ao certificado corporativo é simples e deve ser iniciado junto ao Service Desk da RNP.

Em resumo:

• A instituição informa o interesse ao serviço enviando um e-mail para o [email protected].

• O Service Desk avalia a viabilidade da adesão, neste ponto temos dois cenários

  • Para instituições credenciadas: Seguimos para o próximo passo da adesão.

Nesta página você irá encontrar informações sobre o serviço de Certificado Corporativo da ICPEdu, mas caso ainda tenha algum problema ou dúvida, fale com o nosso Service Desk.

Telefone/WhatsApp: 0800 722 0216 E-mail: [email protected]

O que é o Certificado Corporativa?

A Certificado Corporativa é uma das modalidades da Infraestrutura de Chaves Públicas para Ensino e Pesquisa (ICPEdu) e disponibiliza meios para que as instituições cliente desta modalidade emitam certificados SSL com a cadeia de certificação publicada automaticamente nos principais browsers e aplicativos comerciais, assim, eliminando a famosa mensagem "Esta conexão não é confiável".

Perfis

Os perfis contêm informações únicas da empresa e seu próprio conjunto de domínios. O status de Perfil aparecerá na parte inferior do bloco Perfil e poderá ter o seguinte status:

• OV - Habilitação em andamento

Apresentação

ICPEdu é o nome da Infraestrutura de Chaves Públicas para Ensino e Pesquisa, cuja gestão e operação é feita pela Rede Nacional de Ensino e Pesquisa (RNP).

A ICPEdu possui diferentes modalidades. Este documento descreve a modalidade que corresponde ao “Certificado Corporativo”, que tem como objetivo propiciar a emissão de certificados SSL para as instituições clientes do serviço.

Acesse o portal do ICPEdu () e acesse com o usuário cadastrado durante o processo de adesão.

Acesse a aba "SSL Gerenciado", localize a sua instituição e clique em "Solicitar Certificado".

Na tela a seguir insira o seu CSR (caso tenha alguma dúvida sobre o CSR consulte o artigo ) e clique em Verificar este CSR.

Valide se todas as informações de seu CSR estão de acordo e clique em continuar.

Observação: A opção "Enviar o Nome Comum da IntranetSSL, é apenas para emissão de certificados para Intranet e esta modalidade não está contemplada no acordo de parceria entre a RNP e a GlobalSign. Deste modo, não é permitido sua utilização.

A minha instituição de ensino não aparece na lista disponibilizada na tela de autenticação da federação CAFe, não poderei emitir o certificado?

No momento não. Para que você possa emitir um certificado é necessário que sua instituição esteja registrada na federação CAFe e que ela possua um operador cadastrado no portal de Certificado Pessoal.

Usuário esqueceu a senha da federação CAFe.

O usuário deve entrar em contato com sua instituição de ensino para buscar mais informações de como recuperar a senha utilizada na federação CAFe.

Sou afiliado a uma instituição de ensino registrada na federação CAFe e desejo solicitar perfil de operador para passar a permitir que os demais usuários afiliados à instituição possam emitir certificado, como faço?

Acesse a opção de menu “Sobre" e, no tópico “Certificado Pessoal”, clique no link “Solicitar perfil de operador”. Os administradores do ICPEdu receberão e-mail informação a sua solicitação para análise dos seus dados e, estando corretos, seu acesso como operador será aprovado.

Problemas ao tentar emitir certificado, pois os dados vindo do IDP estão com problemas.

Algumas vezes os dados dos usuários tem problemas nos provedores de identidade. O sistema tem como pré-requisito alguns dados que são obrigatórios mas que às vezes o provedor de identidade não fornece. Alguns exemplos podem ser o CPF que está zerado, nome, sobrenome e etc. Então o recomendado é entrar em contato com a instituição de ensino e seu provedor de identidade para verificar quais dados estão com problemas.

Quais atributos de login da (CAFe) precisam ser fornecidos para gerar um certificado?

• Nome da instituição;

• Nome;

• Sobrenome;

• CPF;

Como verificar se os atributos necessários estão sendo fornecidos?

Os usuários podem checar através do link abaixo:

Tenho dados errados no meu certificado, como corrigir?

Os dados fornecidos para geração do certificado são encaminhados pela própria instituição do usuário através do login federado (CAFe). Nesse caso, o usuário deverá entrar em contato com os responsáveis pelo cadastro na instituição e solicitar a correção.

Situações em que podem ocorrer problema na geração do certificado:

A instituição não está disponibilizando informação obrigatória:

• Nome da instituição;

• Nome;

• Sobrenome;

• CPF do usuário;

Alguns dados obrigatórios estão fora do padrão esperado:

• Os campos CN e SN devem conter SOMENTE letras (NÃO deve conter, por exemplo, números, pontuações e símbolos);

• Data de nascimento no formato yyyymmdd - onde yyyy é o ano (4 dígitos), mm é o mês (dois dígitos) e dd é o dia (dois dígitos). Exemplo: 20200301 (1 de março de 2020);

• O CPF deve ser um número válido.

O que é o arquivo PKCS#12 ou .p12 que eu recebo ao fazer o download do “certificado”?

Este é um “keystore”, que deve ser guardado com segurança, no qual são armazenado os seguintes dados:

• Chave privada cifrada com a senha que o usuário definiu no momento de emissão do certificado;

• Certificado contendo a chave pública e dados que vinculam uma pessoa real com esse certificado, como o nome, cpf, email e etc;

• Certificado da Autoridade Certificadora ICPEdu (AC ICPEdu);

• Certificado da AC Raiz ICPEDU.

Esses certificados das autoridades certificadoras servem para montar a cadeia de confiança no repositório local, a fim de garantir confiança nas assinaturas, verificações e autenticações.

Por que deve colocar senha no arquivo (do certificado) que faz download?

• Essa senha é utilizada para cifrar a chave privada que vem junto com o certificado.

• Se alguém tiver acesso a sua chave (e a senha), poderá “assinar digitalmente” documentos como se fosse você. Assim, deve-se guardar com muito cuidado essa senha, para que outra pessoa não tenha acesso a ela.

Esqueci minha chave privada (senha) do certificado, posso recuperar?

Não é possível recuperar a chave do certificado, ao gerar o certificado, o usuário precisa dar ciência sobre essa impossibilidade de recuperação.

O usuário terá que gerar um novo certificado na plataforma e gerar uma nova senha, o certificado anterior será revogado automaticamente e incluído na LCR (Lista de Certificados Revogados).

Ao emitir o certificado aparece uma mensagem que o meu outro certificado será revogado. O que isso quer dizer?

Quando o usuário tenta emitir um novo certificado com outro já existente e ainda válido, o certificado antigo deve ser revogado. Ou seja, se ele informa que um outro certificado será revogado, é porque já existe um certificado válido. Ai emitir um novo, o antigo será invalidado e mais nenhuma assinatura ou autenticação poderá ser feita com o mesmo (certificado antigo).

O que acontece ao revogar um certificado?

Ao revogar um certificado, o usuário estará invalidando-o para uso em qualquer operação. Ou seja, não conseguirá usá-lo mais para assinar e nem autenticar em qualquer sistema. O usuário deve emitir um novo. Tudo que foi feito com o certificado antigo não perderá a validade. Por exemplo, se um documento foi assinado com o certificado antigo, a assinatura digital continuará válida. No entanto, não poderá fazer mais nenhum uso do certificado antigo.

O certificado revogado pode continuar sendo utilizado?

Não poderá ser utilizado para mais nada. Talvez possa ser utilizado para fins de auditoria e conferência da chave pública, mas não para novas assinaturas e autenticação.

Por quanto tempo vale o certificado pessoal ICPEdu?

O certificado emitido pelo serviço ICPEdu tem validade de 1 ano. Ou seja, depois desse um ano esse certificado fica expirado e não poderá mais utilizado.

O certificado expirado pode continuar sendo utilizado?

Não poderá ser utilizado para mais nada. O certificado expirado tem o mesmo status do certificado revogado, com a diferença de que passou o prazo de 1 ano de uso. Quando estiver próximo de expirar, recomendamos que emita um novo certificado. Um novo certificado pode ser emitido a qualquer momento (mas invalidando o anterior, caso ainda não expirado).

Qual tamanho de chave devo utilizar para criar o certificado?

No atual momento isso não importa. Caso o usuário deseja aumentar o nível de segurança do seu certificado, deve emitir com o maior tamanho possível. Caso isso não faça tanta diferença, deve-se manter o valor padrão. (No momento esse valor padrão é 2048).

Faz diferença criar uma chave com 2048 ou 4096?

Quanto maior o tamanho da chave, mais seguro. Ou seja, mais difícil é de quebrar e recuperar a chave de maneira maliciosa.

O serviço armazena os certificados emitidos?

O serviço não armazena os certificados, após a geração o usuário deve baixar e salvar o certificado.

Quem pode utilizar o serviço?

O serviço pode ser utilizado por usuários da CAFe: alunos, professores, pesquisadores, funcionários, dentre outros, porém o uso pode ser delimitado pela própria instituição.

O que é código de segurança?

Toda vez que o operador vai realizar alguma operação, ele precisa informar um código. Isso é necessário para certificar que quem está executando a operação é realmente o operador (para evitar, por exemplo, que caso o operador tenha deixado a sessão aberta, alguém realize alguma operação em nome do operador).

Esqueceu o código de segurança.

Autenticado no sistema por meio do acesso federado, basta clicar no ícone de usuário (no topo do cabeçalho da página à direita) e ir em “Recuperar Código de Segurança”. Irá receber um email com instruções para redefinição de código de segurança.

Como mudo meu código de segurança?

Autenticado no sistema, por meio do acesso federado, basta clicar no ícone de usuário (no topo do cabeçalho da página à direita) e ir em “Alterar Código de Segurança”.

Apareceu a mensagem “Código de segurança bloqueado temporariamente”, o que significa?

Após errar 5 vezes o código de segurança, o sistema bloqueia o uso do código pelo período de 30 minutos dentro dos quais não será possível realizar nenhuma operação que exija o código.

Caso realmente tenha esquecido o código de segurança, utilize a opção “Recuperar Código de Segurança”.

Esqueceu o e-mail do perfil de operador?

Entre em contato com algum administrador do sistema para verificar seu perfil e alterar seus dados.

Como operador, eu consigo baixar o certificado de outros usuários?

Apenas o certificado juntamente com sua chave pública, sem a chave privada do usuário.

Como operador, eu consigo revogar os certificados da minha organização?

Sim, é possível revogar o certificado de qualquer usuário da sua organização especificando o motivo.

Para que serve o mapeador de atributos?

Serve para verificar se os dados vindos de seu IDP estão de forma correta e estão sendo ligados aos campos certos, como por exemplo, se a data de nascimento está no campo correto. Caso tenha dúvidas. Consulte o responsável na sua instituição em relação a como o provedor de identidade está configurado.

Tentei acessar o sistema e apareceu uma mensagem informando que minha conta foi desativada, o que significa?

Algum administrador do sistema revogou o seu acesso a plataforma. Com uma conta desativada você não pode realizar login, logo não é possível realizar o papel de operador, e também não mais recebe e-mails do sistema. Entre em contato com o administrador para esclarecimentos.

Quantos Operadores cada instituição pode ter?

O portal permite apenas o cadastro de um operador por organização.

Após emitir uma LCR não é mostrado um link para download. Onde posso realizar esse procedimento?

Na opção de menu “Relatórios” na aba “Baixar LCR Vigente” tem a opção “Baixar”.

O que acontece quando desativo um operador?

Esse usuário não conseguirá realizar login no sistema e nem receberá e-mails enquanto estiver desativado.

É possível registrar um operador para uma instituição que não está presente na interface? Se não, é possível cadastrar uma nova instituição?

Não é possível registrar um operador em uma instituição que não estiver presente e, também não é possível cadastrar uma nova instituição no sistema. Para estar presente na interface, a instituição precisa fazer parte da federação CAFe.

É possível realizar download de uma LCR anterior a atual?

Sim, na opção de menu “Relatórios” na aba “Baixar Outros LCRs”. Basta selecionar uma data de início e uma data de fim para ter acesso a todas as LCRs emitidas naquele período.

Como administrador, eu consigo baixar o certificado de outros usuários?

Apenas a parte pública com sua chave pública do certificado, sem a chave privada do usuário.

Na tela de ”Certificados” ao clicar no e-mail do usuário emissor aparece “Resumo dos Certificados” e diz que o usuário tem X certificados e que possui certificado “ativo”, o que isso significa?

Significa que o usuário já emitiu X certificados no sistema e que o último certificado emitido pelo usuário está ativo no momento, já que só é possível ter um certificado ativo por vez. Se o usuário não estivesse “ativo”, significaria que o último certificado emitido no sistema também já havia sido expirado ou revogado.

Estou com problemas no meu acesso federado, é possível realizar autenticação local?

Sim, exclusivamente para usuários com perfil de administrador é possível acessar a URL e acessar a área de administração através do seu e-mail e código de segurança.

Erro ao tentar assinar um documento "Não foi possível resgatar os CAs do provedor" ou erros semelhantes.

O certificado ICPEdu não é reconhecido por padrão pelos sistemas, isso faz com que haja necessidade de importação manual da sua cadeia validadora, ou seja, os certificados Raiz e intermediário, esta importação deve ser realizada pela instituição em seu sistema de assinatura digital.

Certificados Raiz e intermediário:

Ao anexar o documento no verificador de assinaturas, foi informado que o documento foi modificado após assinatura ou o arquivo está corrompido.

A melhor opção é refazer as assinatura de preferência no Adobe ou Foxit. Esses programas geralmente já bloqueiam modificações após realização de assinaturas.