Assinatura Digital
de Contratos de Câmbio Banrisul
Utilização dos certificados digitais para a
Assinatura de Contratos de Câmbio Banrisul.
Manual Descritivo
Índice
1. Introdução
1.1. Objetivo.
1.2. Escopo.
1.3. Definições, Siglas e Abreviaturas.
2. Descrição Geral.
3. Identificação do Ambiente Operacional.
3.1. Sistema Operacional.
3.2. Versão do Navegador.
3.3. Segurança no Navegador.
4. Procedimentos necessários.
4.1. Driver do Cartão ou token.
4.2. Driver da Leitora do Cartão.
4.3. Origem do Certificado.
4.4. Tipos de Certificados.
4.5. Cadeia de Certificados da AC.
4.6. Cadeia de Certificados do Componente.
4.7. Teste de reconhecimento do Cartão e/ou token pelo Windows.
4.7.1. Utilizando o Internet Explorer (navegador obrigatório).
4.7.2. Utilizando o utilitário de gerenciamento de certificados
disponíveis no Windows.
4.8. A instalação do Componente de Assinatura Digital.
4.8.1. A instalação direta pelo site do Banrisul.
4.8.2. A instalação administrativa utilizando o aplicativo de
instalação.
4.9. Assinatura do Contrato de Câmbio.
Especificação do Manual Descritivo
1. Introdução
1.1. Objetivo
Neste documento serão definidos os passos necessários para
utilização dos certificados digitais para a Assinatura de Contratos de
Câmbio.
1.2. Escopo
Esta especificação descreve os passos necessários, utilização e
gerenciamento das informações do projeto “Infraestrutura de
Certificados Digitais Banrisul”.
1.3. Definições, Siglas e Abreviaturas
Não se aplica.
Abreviatura
Descrição
ICP-Brasil
Órgão brasileiro que regulamenta e controla as
empresas autorizadas à emitir certificados digitais.
AC
Autoridade Certificadora (authority certification)
responsável pela emissão do certificado digital.
CSP
Provedor de Serviços de criptografia
(Cryptographic Service Provider) responsável por
criptografar as informações gravadas no dispositivo
cartão/token.
Cartão ou
Token
Dispositivo de armazenamento contendo uma
região de armazenamento de informações
Drivers
Aplicativos desenvolvidos especificamente para um
dispositivo (hardware) para que o Windows possa
utilizá-lo.
UAC
User Account Control é uma infraestrutura de
tecnologia e segurança introduzida nos sistemas
operacionais da Microsoft Windows Vista, Windows
Server 2008 e Windows 7 ou superior . Sua função
é aumentar a segurança do Microsoft Windows
limitando as modificações de sistema aos usuários
do grupo administrador.
EvalCryptoCom Componente de Assinatura Digital
AR
Autoridade registradora de certificados digitais *
*O Banrisul é uma AR e registra o certificado digital no próprio cartão
de conta corrente com chip Banrisul.
2. Descrição Geral
Objetivo: Este documento descreverá as verificações necessárias da
estrutura de hardware e software para a utilização dos certificados
digitais para assinatura dos contratos de câmbio.
CONSIDERAÇÃO IMPORTANTE:
Toda esta instalação DEVE SER executada como Administrador
Local da máquina, principalmente para as versões mais
atualizadas do Windows (Vista, WIN7 e Win8), pois somente este
usuário gravará as informações de forma correta e dará direitos
aos demais usuários.
Esta é uma restrição do Windows (UAC) e NÃO do componente
de assinatura.
3. Identificação do Ambiente Operacional
3.1. Sistema Operacional
Objetivo: Apresentar a dependência dos componentes físicos para
acesso ao certificado digital.
Ter a certeza que o usuário esta trabalhando com um Sistema
Operacional compatível com a aplicação.
Identificar a versão do Sistema Operacional do computador em que o
usuário está utilizando.
Os seguintes sistemas operacionais são compatíveis com a aplicação:
.Microsoft Windows XP SP3 32bits e 64bits
.Microsoft Windows Vista 32bits e 64bits
.Microsoft Windows 7 32bits e 64bits
Verificar a versão do Windows: Acessar o Windows Explorer e
selecionar a opção “Computador”. Com botão direito, selecionar a
opção “Propriedades”.
Desta forma, será apresentada a versão do sistema operacional.
Verificar a versão do navegador: clicar sobre a opção Ajuda –
Sobre o Internet Explorer, conforme exemplo abaixo.
A versão do navegador será apresentada:
4.3.3. Segurança no Navegador
Objetivo: Ter a certeza que o site do Banrisul é considerado como
site seguro no navegador.
Abrir o navegador “Internet Explorer”, na mesma barra “Ajuda”, e
escolha o sub-menu “Ferramentas” e Opções da Internet.
No formulário que abrir, escolha a aba “Segurança” e selecione o
ícone “Sites Confiáveis”.
Por padrão, do navegador “Internet Explorer”, colocar o botão de
segurança na posição “médio”. Evite alterar a opção, ao mesmo que
seja indicado pelo administrador da rede do cliente.
Clique no botão “Sites”, que aparece à direita logo e abaixo dos
ícones.
Em seguida será exibido a tela de cadastramento de
“Sites Confiáveis”.
Adicione o endereço do site do Banrisul
https://ww7.banrisul.com.br.
Selecione a opção “Exigir verificação do servidor (https:) para
todos os site desta zona”
Clique sobre o botão “Adicionar”.
4. Procedimentos necessários
4.1. Driver do Cartão ou token
Objetivo: Ter a certeza que o driver de acesso ao cartão esteja
instalado.
Também conhecido como CSP (Cryptographic Service Provider), este
driver é diferente para cada fornecedor de cartão e/ou token, pois
define como as informações serão gravadas nele.
Cada Autoridade Certificadora (AC) pode utilizar um ou mais CSP´s
diferentes, pois depende da compra de lotes de cartões feito aos
fornecedores fabricantes destes dispositivos. Ora pode comprar do
fornecedor “X”, ora do fornecedor “Y”. Cada um fornece seu CSP.
4.2. Driver da Leitora do Cartão
Objetivo: Ter a certeza que o driver da leitora do cartão esteja
instalado.
Aqui estamos falando da parte de software que fará com que o
Windows entenda que há um novo dispositivo de leitor de cartões.
NÃO É O MESMO DRIVER DO CSP. São drivers diferentes.
Gerenciador de dispositivos
Os dispositivos do tipo Token normalmente são conectados nas
portas USB. Estes dispositivos tem sua funcionalidade de leitura
semelhante a um pendrive, mas seu funcionamento é totalmente
diferente. Alguns necessitam de instalação de CSP. Outros, o próprio
Windows interpreta automaticamente.
4.3. Origem do Certificado
Objetivo: Ter certeza que o certificado utilizado no cartão, token ou
outro dispositivo seja ICP-Brasil.
Neste caso, o certificado deve ter sido emitido por uma das AC
credenciadas, como CertSign, Serasa, Receita Federal, Caixa
Econômica, entre outras.
Veja estrutura completa no link http://www.iti.gov.br/icp-brasil
4.4 Tipos de Certificados
Objetivo: Saber o tipo de certificado utilizado pelo usuário assinante.
Na ICP-Brasil estão previstos oito tipos de certificado. São duas séries
de certificados, com quatro tipos cada. A série A (A1, A2, A3 e 4)
reúne os certificados de assinatura digital, utilizados na confirmação
de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e
em documentos eletrônicos com verificação da integridade de suas
informações. A série S (S1, S2, S3 e S4) reúne os certificados de
sigilo, que são utilizados na codificação de documentos, de bases de
dados, de mensagens e de outras informações eletrônicas sigilosas.
Os oito tipos são diferenciados pelo uso, pelo nível de segurança e
pela validade.
Nos certificados do tipo A1 e S1, as chaves privadas ficam
armazenadas no próprio computador do usuário. Nos tipos A2, A3,
A4, S2, S3 e S4, as chaves privadas e as informações referentes ao
seu certificado ficam armazenadas em um hardware criptográfico –
cartão inteligente (smart card) ou cartão de memória (token USB ou
pen drive). Para acessar essas informações você usará uma senha
pessoal determinada no momento da compra.
Os certificados mais comuns são:
A1: de menor nível de segurança, é gerado e armazenado no
computador do usuário. Os dados são protegidos por uma senha de
acesso. Somente com essa senha é possível acessar, mover e copiar
a chave privada a ele associada, e
A3: de nível de segurança médio a alto, é gerado e armazenado em
um hardware criptográfico, que pode ser um cartão inteligente ou um
token. Apenas o detentor da senha de acesso pode utilizar a chave
privada, e as informações não podem ser copiadas ou reproduzidas.
Download da Hierarquia de Certificados AC
4.5. Cadeia de Certificados da AC
Objetivo: Ter a certeza que toda a Cadeia de certificados da AC,
fornecedor do certificado, esteja instalada corretamente.
Algumas AC´s NÃO INCLUEM no cartão ou token, toda a cadeia de
certificados necessários para a utilização do certificado. Assim, pode
ser que mesmo conseguindo ler do cartão, o certificado pode estar
inválido pela falta da cadeia completa.
Nas versões atuais do Windows, há um serviço automático de
atualização das cadeias de certificados, executando a atualização
conforme programado, mas alguns administradores de rede podem
desabilitar esta funcionalidade por norma de segurança da TI.
Assim haverá a necessidade de verificar se a cadeia está atualizada
de acordo com as instruções da AC emissora do certificado.
Normalmente no site da AC existe um procedimento para atualização
correta desta cadeia.
4.6. Cadeia de Certificados do Componente
Objetivo: Ter a certeza que toda a Cadeia de certificados do
Componente de Assinatura esteja instalada corretamente.
Para garantir a segurança de procedência dos aplicativos de
assinatura necessários para o processo, o componente de assinatura
também é assinado digitalmente e deve ter sua assinatura validada.
Para isto, a estrutura de certificados abaixo deve estar disponível:
Esta estrutura pode ser acessado pelo utilitário de Gerenciamento de
Certificados “certmgr.msc”, responsável por apresentar a lista de
certificados instalados no computador.
A primeira estrutura a ser verificada é o Certificado Raiz da “Global
Sign” que deve estar instalado no grupo de certificados
“Autoridades de certificação de raiz” -> “Certificados”.
A segunda estrutura a ser verificada é o Certificado Intermediário
“Global Sign Domain Validation CA – G2”
que deve estar instalado no grupo de certificados “Autoridades de
certificação Intermediária” -> “Certificados”.
4.7. Teste de reconhecimento do Cartão e/ou token pelo
Windows
Objetivo: Testar se o Windows esta acessando o cartão e/ou token,
podendo ler o certificado.
Para executar estes passos, tenha a certeza que os passos anteriores
foram executados corretamente.
Para isto, podemos fazer estes testes:
4.7.1 Utilizando o Internet Explorer.
Abra o Internet Explorer e utilize o menu “Ferramentas -> Opções
de Internet -> Aba “Conteúdo”.
Tem o botão “Certificados” que deve mostrar o certificado disponível
no cartão. Se o certificado não aparece na lista, repita os três
primeiros passos.
Um teste simples de atualização de leitura pode ser executado
removendo o cartão da leitora e teclar “F5” para atualizar esta
tela. Se o certificado “desaparecer”, o Windows esta lendo
corretamente a leitora, o driver do cartão e o certificado nele
contido.
Ao colocar o cartão novamente, aperte “F5” e o Windows deverá reler
o certificado e mostrá-lo na tela.
Obs.: Algumas versões do Sistema Operacional, mesmo removendo o
cartão da leitora, podem manter em “cache” as informações de tela,
ou seja, mesmo removendo da leitora o cartão, pode ser que o
certificado fique aparecendo, mesmo após telar “F5”. Neste caso, se
clicar “duas vezes” sobre o certificado mostrado, provavelmente,
pedirá que insira o cartão na leitura para mostrar corretamente.
O procedimento semelhante pode ser feito com o token.
4.7.2 Utilizando o utilitário de gerenciamento de certificados
disponíveis no Windows.
Utilize o menu do Windows “Iniciar
Executar” digite
“certmgr.msc” e pressione “enter”.
Este utilitário apresentará uma tela semelhante a tela apresentada
pelo Internet Explorer descrito acima.
Acesse, na tela da direita, a pasta “Pessoal
Certificados”.
O certificado disponível no cartão deve aparecer na tela da direita.
Um teste simples de atualização de leitura pode ser executado
removendo o cartão da leitora e teclar “F5” para atualizar esta tela.
Se o certificado “desaparecer”, o Windows esta lendo corretamente
a leitora, o driver do cartão e o certificado nele contido.
Ao colocar o cartão novamente, aperte “F5” e o Windows deverá reler
o certificado e mostrá-lo na tela.
Os.: Algumas versões do Sistema Operacional, mesmo removendo o
cartão da leitora, podem manter em “cache” as informações de tela,
ou seja, mesmo removendo da leitora o cartão, pode ser que o
certificado fique aparecendo, mesmo após telar “F5”. Neste caso, se
clicar “duas vezes” sobre o certificado mostrado, provavelmente
pedirá que insira o cartão na leitura para mostrar corretamente.
O procedimento semelhante pode ser feito com o token.
4.8. A instalação do Componente de Assinatura Digital
Objetivo: Instalar o componente de assinatura.
Se todos os componentes anteriores estão configurados orretamente.
Podemos fazer de duas formas:
4.8.1. A instalação direta pelo site do Banrisul
Quando o usuário abre a página para assinar um contrato, a própria
aplicação (site) verifica se existem todos os componentes necessários
do assinador digital “EvalCryptoCom”.
Não existindo o componente, o navegador “Internet Explorer”
apresenta a mensagem de instalação:
Quando o usuário clica sobre a mensagem apresentada, a opção de
“Instalar este Complemento para Todos os Usuários deste
Computador” é apresentada.
É importante confirmar se a Cadeia de Certificados do componente,
indicada no passo 4.6, foi instalada corretamente. Caso não tenha
sido, a mensagem abaixo é apresentada:
Note que o texto “E-VAL (editor não verificado)”, indicando que
mesmo que instalado, este componente não é válido para o
navegador. Assim não será possível assinar documentos.
Se a Cadeia de Certificados do Componente esta correta, a tela
abaixo é apresentada:
Clicando no botão “Mais opções”, um conjunto de opções é
apresentado:
Selecione a opção “Sempre instalar software proveniente de “EVAL TECNO...””.
Após a confirmação, o componente é automaticamente instalado no
navegador para sua utilização.
Neste caso, não é adicionado qualquer parâmetro de configuração do
componente, ficando desativado qualquer log de execução.
4.8.2 A instalação administrativa utilizando o aplicativo de
instalação.
Este procedimento pode ser baixado do site do Banrisul para a
execução do aplicativo de instalação, tanto para a versão 32bits
quanto para 64bits.
Site Banrisul > Para sua Empresa > Câmbio > Assinatura
Digital de contrato de Câmbio > Links Relacionados
Após a instalação, devemos verificar:
a. A criação do diretório de parâmetros e log localizado em
“C:\evallog”.
b. Neste diretório ficam os arquivos de parâmetros “config.xml” e os
log gerados durante as tentativas de assinaturas .
c. Os logs somente são gerados se no arquivo de configuração
“config.xml” estiver ativada a flag de geração de log, conforme
manual específico.
d. Quaisquer erros gerados serão gravados nos logs, se estes
estiverem ativos.
Estrutura do arquivo “config.xml” .
Estrutura do arquivo “config.xml”
<config>
<interface>
<titulo></titulo>
<texto></texto>
<caminho></caminho>
</interface>
<comunicacao>
<proxy></proxy>
<tsa></tsa>
</comunicacao>
<log>
<dir>C:\\eValLog\\</dir>
Diretório de localização
<error>1</error>
Ativa o registro de erros
<alert>1</alert>
Ativa o registro de alertas
<info>1</info>
Ativa o registro de informações
<debug>1</debug>
Ativa o registro de todos os comandos
executados.
</log>
</config
4.9. Assinatura do Contrato de Câmbio
Uma vez realizadas com sucessos as etapas anteriores, o usuário
deverá testar a assinatura de um contrato de câmbio.
Devemos lembrar que deverá existir uma procuração e uma alçada
válida para este usuário/empresa, registradas no Banrisul, para que a
assinatura funcione corretamente.
Outro fator importante a ser destacado: A pessoa que assina o
contrato de câmbio com o certificado ICP-Brasil deve ser a mesma
que entra no Office Banking (mesmo CPF).
Para mais informações referente a certificação digital e baixa
da cadeia de certificados, consulte o site do Banrisul, menu
Para Sua Empresa >Certificado Digital > Arquivos
Relacionados > Links relacionados