Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Plataforma Multicanal Renovação de Certificados
Renovação de Certificados
Net24 Empresas
DI Gabinete de Desenvolvimento de Balcões e Internet
ÍNDICE
1. Ambientes _________________________________________________________________________ 1
1.1. Preparação 1
1.1.1. Internet Explorer 2 1.1.1.1 Download Root CA 2 1.1.1.2 Download Intermediate CA 7 1.1.1.3 Verificação 9 1.1.1.4 Activação/Renovação de Certificado 10
1.1.1.4.1 Configuração Específica para Internet Explorer 7 em Windows Vista 13 1.1.1.4.2 Verificação 17
1.1.2. Firefox/Netscape 18 1.1.2.1 Download Root CA 18 1.1.2.2 Download Intermediate CA 20 1.1.2.3 Verificação 20 1.1.2.4 Activação/Renovação de Certificado 20
1.1.2.4.1 Verificação 21
1.1.3. Safari 23 1.1.3.1 Download Root CA 23 1.1.3.2 Download Intermediate CA 26 1.1.3.3 Verificação 27 1.1.3.4 Activação/Renovação de Certificado 28
1.1.3.4.1 Verificação 30
DI Gabinete de Desenvolvimento de Balcões e Internet
1
1. AMBIENTES
Dadas as diferenças de comportamento dos diversos conjuntos browser/sistema operativo, descrevem-se alguns dos processos mais representativos.
Não são descritas a totalidade das combinações possíveis mas apenas as que apresentam diferenças mais significativas.
1.1. PREPARAÇÃO
Antes de proceder à Activação/Renovação do Certificado Digital pela primeira vez deve ser preparado o browser com o carregamento dos Certificados do Montepio através dos botões de [Download Root CA] e [Download Intermediate CA].
Esta acção apresenta diferenças de procedimentos que variam consoante o browser utilizado.
São descritos seguidamente os seguintes processos:
Internet Explorer (Todas as Versões);
Netscape / Firefox;
Safari (em MacOS).
DI Gabinete de Desenvolvimento de Balcões e Internet
2
1.1.1. INTERNET EXPLORER
Utilizando Internet Explorer são apresentadas na página de Activação indicações para carregamento do Certificado de Root CA na “Trusted Root Certification Authorities”, explicitamente, e para o carregamento do Certificado “Intermediate CA” deverá ser utilizada a selecção automática do sistema operativo.
A informação apresentada é a seguinte:
1.1.1.1 DOWNLOAD ROOT CA
Ao premir o botão de [Dowload Root CA] e no caso do Windows Vista surgirá de imediato:
Para prosseguir com a instalação deve ser premido o botão [Allow].
Após o que e à semelhança com os demais sistemas operativos será solicitada a acção a efectuar com o ficheiro.
De notar o aparecimento de nova janela com indicador de sinal de perigo chamando a atenção para a necessidade de verificar os dados envolvidos no carregamento.
DI Gabinete de Desenvolvimento de Balcões e Internet
3
Deve ser indicada a opção de “Abrir”, através do botão [Open].
ou
Após a selecção do botão [Open] será apresentado o conteúdo do Certificado para verificação.
De salientar, a indicação de que a autenticidade do Certificado não pode ser verificada (cruz em fundo vermelho junto ao símbolo do Certificado) conforme:
ou
Esta é a situação normal.
Na verdade, sendo um “self signed certificate”, isto é um Certificado emitido pela própria entidade que está a ser carregada, não existe carregada previamente qualquer informação que permita validar a origem deste.
Este Certificado após o correcto carregamento permitirá autenticar os demais.
Após validação, deverá seleccionar o botão de [Install Certificate...].
Na inexistência da cruz em fundo vermelho junto ao símbolo do Certificado pode-se inferir que o Certificado já está instalado (não sendo portanto necessária a sua reinstalação).
DI Gabinete de Desenvolvimento de Balcões e Internet
4
Segue-se a apresentação do painel de acolhimento:
Para prosseguir com a instalação deve ser premido o botão [Next].
No painel seguinte é solicitada a selecção da localização pretendida para o Certificado.
DI Gabinete de Desenvolvimento de Balcões e Internet
5
Neste caso é fundamental que o mesmo seja guardado na “Trusted Root Certification Authorities” de forma a indicar ao browser que este Certificado é de confiança e que pode ser utilizado para validar outros Certificados emitidos pela mesma entidade.
Sendo necessário seleccionar “Place all certificates on the following Store”.
Para o efeito e após a selecção do botão [Browse…] surgirá:
Da lista apresentada deve ser escolhido a opção de “Trusted Root Certification Authorities”.
Seguir-se-á um novo painel de confirmação para a acção a efectuar, conforme:
DI Gabinete de Desenvolvimento de Balcões e Internet
6
Após a indicação através do botão de [Finish], e porque se trata de um “self signed certificate”, isto é, sem possibilidade de verificação por informação previamente carregada, e porque será carregado na lista de Certificados de confiança do browser, será exibido um painel de aviso com os detalhes da acção pretendida para verificação do utilizador:
ou
Onde deverá surgir:
Isued to: Montepio Geral - Root CA
Fingerprint ou Thumbprint (SHA1): 272F 7FFC C4C8 23E9 36D8 8978 46F0 6FE8 E1C8 D512
Caso o processo seja efectuado correctamente será apresentado o resultado:
DI Gabinete de Desenvolvimento de Balcões e Internet
7
1.1.1.2 DOWNLOAD INTERMEDIATE CA
O processo de carregamento do “Intermediate CA” é similar ao anterior.
Ao premir o botão de [Intermediate Root CA] será solicitado a acção a efectuar com o ficheiro:
Deve ser indicada a opção “Open”, através do botão [Open].
Será então apresentado o conteúdo do Certificado.
Como este Certificado é emitido pelo “Root CA” que foi previamente carregado, já é possível a garantir a autenticidade do mesmo, pelo que não deverá ser apresentado qualquer tipo de alerta, surgindo:
Como no caso anterior, este Certificado deverá ser instalado no browser pelo botão de [Install Certificate...].
Após o painel de acolhimento deverá ser escolhida a opção “Automatically select the certificate store based on the type of certificate” (a opção apresentada em default pelo browser).
DI Gabinete de Desenvolvimento de Balcões e Internet
8
Após confirmação dos dados da acção e se o processo tiver decorrido convenientemente deverá ser apresentado um alerta de sucesso.
DI Gabinete de Desenvolvimento de Balcões e Internet
9
1.1.1.3 VERIFICAÇÃO
Em caso de dúvida poder-se-á verificar se os Certificados estão correctamente carregados.
Para o efeito, há que aceder às opções do browser: Tools > Internet Options > Content > Certificates.
Onde na “Trusted Root Certification Authorities” será apresentada uma lista que deverá conter um Certificado com a indicação.
Issued To: Montepio Geral – Root CA
DI Gabinete de Desenvolvimento de Balcões e Internet
10
Na “Intermediate Certification Authorities” será apresentada uma lista onde deverá existir um Certificado com a indicação
Issued To: Montepio Geral – Multicanal
1.1.1.4 ACTIVAÇÃO/RENOVAÇÃO DE CERTIFICADO
O browser Internet Explorer necessita do acesso a um componente do sistema operativo de forma a efectuar o carregamento do Certificado Digital.
Por razões de segurança, nas versões mais recentes deste browser, a utilização deste componente vem desactivada por omissão.
Neste caso é necessário proceder à respectiva activação antes de prosseguir.
DI Gabinete de Desenvolvimento de Balcões e Internet
11
Ao entrar na opção “Gestão Multicanal” > “Certificado Digital”, dependendo da versão do browser, deverá ser apresentada a seguinte informação:
De notar o aparecimento de uma barra informativa amarela – a “Information Bar” – no topo da página.
É também apresentado um “pop-up” de alerta para o facto da barra informativa ter sido apresentada.
Esta janela em “pop-up” é meramente informativa e destina-se a chamar a atenção para a presença da barra informativa no topo da página uma vez que a mesma é pouco evidente e pode facilmente passar despercebida.
Este “pop-up” só não será apresentado se o utilizador tiver optado anteriormente por seleccionar a opção de “Don’t show this message again” numa anterior sessão do browser.
Em ambos os casos é visível a presença da barra amarela no topo da página.
Esta informa o utilizador que a página em causa está a tentar executar o componente do sistema operativo necessário ao processo de Activação/Renovação de Certificado.
Sendo este componente necessário à efectivação do processo, será necessário que o utilizador proceda à autorização efectiva da execução do mesmo.
Pelo que, deverá premir a barra informativa amarela conforme a informação aí presente, ao que será apresentada a uma lista de opções possíveis:
DI Gabinete de Desenvolvimento de Balcões e Internet
12
O utilizador poderá optar por consultar as opções “What’s the Risk?” e “More Information” para obter informação adicional sobre as questões de segurança associadas a esta acção.
Deverá finalmente ser seleccionada a opção de “Run ActiveX Control”, autorizando a execução do processo de renovação.
Será pedida a confirmação da intenção do utilizador:
Função da versão de browser poderá ter diferentes aspectos:
Windows Vista:
Windows pré Vista:
O Utilizador deverá seleccionar o botão [Run] permitindo que o ActiveX seja executado.
Após a autorização da execução do ActiveX a página de Activação/Renovação de Certificado Digital poderá ser utilizada normalmente.
Após a introdução do PIN Montepio24 será pedida a confirmação ao utilizador para a criação do Pedido de Certificado.
O utilizador deverá permitir a execução seleccionando o botão [Yes].
Após a emissão do Certificado Digital de Cliente será apresentado o ecrã de confirmação:
DI Gabinete de Desenvolvimento de Balcões e Internet
13
Por se tratar de uma operação de segurança será ainda apresentado um painel com informação ao utilizador:
Que deverá ser confirmada com o botão [Yes], ficando assim completado o processo.
Na página de finalização deste processo será ainda apresentada informação para execução de cópia de segurança do Certificado de Cliente em conformidade com o browser utilizado, apresentando-se seguidamente e a título de exemplo:
1.1.1.4.1 CONFIGURAÇÃO ESPECÍFICA PARA INTERNET EXPLORER 7 EM WINDOWS VISTA
O browser Internet Explorer necessita do acesso a um componente do sistema operativo de forma a efectuar o carregamento do Certificado Digital.
DI Gabinete de Desenvolvimento de Balcões e Internet
14
Por razões de segurança, a sua utilização apenas é permitida mediante caracterização própria. De forma a facilitar este processo basta declarar o Site como de Confiança para o utilizador.
Se não for dada a autorização não será possível efectuar a activação do Certificado conforme:
Antes de proceder ao Pedido/Activação do Certificado Digital de Cliente há que nomear o Site do Net24 do Montepio como um Site de Confiança.
Para o efeito aquando em sessão no Net24, o Cliente deverá seleccionar a opção de Internet Options > Tab “Security” > Opção “Trusted Sites” > Botão de [Sites].
Se em sessão verificar o predefinido {https://net24.montepio.pt} em “Add this website to the zone:” (se não for este o caso o Cliente deverá inscrever o indicado).
Carregar de seguida no botão [Add].
Adicionalmente, deverá ser executada a mesma acção para os endereços {http://www.montepio.pt} e {https://net24cert.montepio.pt}:
DI Gabinete de Desenvolvimento de Balcões e Internet
15
Os registos criados deverão constar da lista de “Websites” confiáveis em conformidade com:
Seguidamente pressionar o botão [Close] e [Ok] no “pop-up” das “Internet Options”.
Já será possível o Pedido/Activação do Certificado Digital de Cliente.
Após a introdução do código PIN Montepio24 será pedida a confirmação ao utilizador para a criação do Pedido de Certificado.
O utilizador deverá permitir a execução premindo [Yes] ou [Sim].
Após a emissão do Certificado Digital de Cliente será apresentado o ecrã de confirmação:
O utilizador deverá permitir a instalação premindo o botão [Ok].
DI Gabinete de Desenvolvimento de Balcões e Internet
16
Por se tratar de uma operação de segurança será ainda apresentado um painel com informação ao utilizador:
Deverá ser confirmado com o botão [Yes] ou [Sim], ficando finalizado o processo.
Na página de finalização será ainda apresentada informação para execução de cópia de segurança do Certificado Digital de Cliente, apresentando-se seguidamente e a título de exemplo:
Após a instalação do Certificado Digital, será sempre opção do Cliente a reversão da situação criada quanto à nomeação do Site do Net24 do Montepio como um Site de Confiança, a qual é possível seguindo os mesmos passos idênticos aos anteriormente identificados:
Opção de Internet Options > Tab “Security” > Opção “Trusted Sites” > Botão de [Sites].
DI Gabinete de Desenvolvimento de Balcões e Internet
17
Deverá seleccionar as opções/linhas correspondentes a {https://net24.montepio.pt}, {https://net24cert.montepio.pt} e {http://www.montepio.pt} carregando de seguida no botão de [Remove].
1.1.1.4.2 VERIFICAÇÃO
Para confirmar a existência do Certificado Digital de Cliente na base de dados de Certificados Digitais do browser, após o carregamento do Certificado Digital de Cliente poderão ser utilizadas as opções de Menu do browser: Tools > Internet Options > Content > Certificates
Na página (ou Tab) “Personal” será identificado:
Na lista apresentada verifique que é apresentado Certificado pessoal pretendido, de entre o conjunto de Certificados que já tenham sido carregados no browser.
Poderá ser utilizado o botão [View] para verificar o conteúdo do Certificado.
DI Gabinete de Desenvolvimento de Balcões e Internet
18
1.1.2. FIREFOX/NETSCAPE
Ao aceder á página de Activação/Renovação de Certificado Digital com um browser baseado em Mozilla (Netscape/Firefox) serão dadas indicações para o carregamento do Certificado sem indicação de qualquer capacidade adicional
A informação apresentada é a seguinte:
1.1.2.1 DOWNLOAD ROOT CA
Ao premir o botão de [Dowload Root CA] será apresentado um aviso que está prestes a inserir no browser o Certificado Digital.
Neste painel pode ainda ser indicada qualquer capacidade adicional para este Certificado (não sendo necessária nenhuma capacidade adicional para estes Certificados).
Deverá ser utilizado o botão [View – Examine CA Certificate] para verificar os detalhes do Certificado.
ou
DI Gabinete de Desenvolvimento de Balcões e Internet
19
No caso do Certificado “Root CA” os detalhes do Certificado que devem ser verificados são:
Isued to: Montepio Geral - Root CA
Fingerprint (SHA1): 27:2F:7F:FC:C4:C8:23:E9:36:D8:89:78:46:F0:6F:E8:E1:C8:D5:12
Serial Number: 4B:93:65:E5:9C:9F:03:B8:46:39:8F:DD:04:56:44:37
Após o que retornando ao inicial, há que premir em [OK] sendo carregado o Certificado no browser.
Se for concluído com sucesso, não é dada qualquer informação do resultado do processo.
DI Gabinete de Desenvolvimento de Balcões e Internet
20
Nota: Se já tiverem sido anteriormente carregados estes Certificados, será apresentada a respectiva informação;
ou
1.1.2.2 DOWNLOAD INTERMEDIATE CA
O carregamento do “Intermediate CA” deve ser efectuado da mesma forma que o anterior.
Os detalhes que devem ser verificados para este Certificado são:
Isued to: Montepio Geral - Multicanal
SHA1 Fingerprint: D5:3A:FC:29:04:43:9F:66:B3:18:FC:CE:03:18:C2:75:D1:BA:23:4D
Serial Number: 61:3E:89:EF:00:00:00:00:00:02
1.1.2.3 VERIFICAÇÃO
Em caso de dúvida poder-se-á verificar se os Certificados estão correctamente carregados.
No browser seleccionar as opções: Tools > Options > Advanced > Encryption View Certificates > Authorities.
Na coluna “Certificate Name” devem estar disponíveis os dois Certificados de “Montepio Geral”.
1.1.2.4 ACTIVAÇÃO/RENOVAÇÃO DE CERTIFICADO
Antes de prosseguir com a Activação/Renovação de Certificado, deverá garantir que os Certificados de CA do Montepio já estão carregados para que estes possam ser utilizados para validar o carregamento do Certificado de Cliente.
Poderá verificar esta situação conforme descrito no procedimento “Verificar CA”.
Seleccione o nível de segurança pretendido:
Durante o processo de geração do pedido de Certificado Digital será apresentada a informação:
Deverá aguardar enquanto a geração do pedido de Certificado Digital é executada, o respectivo pedido é enviado para o Servidor do Net24 e este retornará o novo Certificado Digital.
DI Gabinete de Desenvolvimento de Balcões e Internet
21
Este processo pode demorar alguns minutos.
Após a emissão do novo Certificado Digital será apresentada a seguinte informação:
Deverá ser confirmada a instalação do novo Certificado Digital premindo o botão [Ok].
Após o que será apresentado um novo pop-up a assinalando que o Certificado Digital foi correctamente carregado na base de dados de Certificados Digitais do Firefox/Netscape, conforme:
Após premir o botão de [Ok] deverá ser apresentada a seguinte informação sobre a manutenção do Certificado Digital.
1.1.2.4.1 VERIFICAÇÃO
Para confirmar a existência do Certificado Digital de Cliente na base de dados de Certificados Digitais do browser, após o carregamento do Certificado Digital de Cliente poderá utilizar as opções de Menu do browser: Tools > Options > Advanced
DI Gabinete de Desenvolvimento de Balcões e Internet
22
Seleccione a página (ou Tab) “View Certificates”
ou
Na lista apresentada verifique que é apresentado o agrupamento “Caixa Económica Montepio Geral”.
Neste deve aparecer o conjunto de Certificados detidos pelo Utilizador/Cliente e que já tenham sido carregados no browser.
Poderá utilizar o botão [View] para verificar o conteúdo do Certificado.
Poderá ser feito duplo clique em cada um deles para verificação do respectivo conteúdo.
DI Gabinete de Desenvolvimento de Balcões e Internet
23
1.1.3. SAFARI
Ao aceder á página de Activação/Renovação de Certificado Digital com o browser Safari serão dadas indicações para carregamento dos Certificados nas respectivas localizações:
A informação apresentada é a seguinte:
1.1.3.1 DOWNLOAD ROOT CA
Ao premir o botão de [Download Root CA] será descarregado o ficheiro “RootCA.crt” para o desktop (ou outra localização configurada no browser).
Após o que deve proceder-se à sua gravação na “KeyChain” do sistema operativo. Para isso deverá ser feito duplo clique sobre o ficheiro recebido.
DI Gabinete de Desenvolvimento de Balcões e Internet
24
Ao faze-lo será lançada a aplicação “KeyChainAcces.app” e apresentadas as opções para carregamento do Certificado:
No caso do Certificado “RootCA.crt” deverá ser seleccionada a KeyChain: “X509Anchors”.
DI Gabinete de Desenvolvimento de Balcões e Internet
25
Deverão ser verificados os detalhes do Certificado através da opção/botão [View Certificates].
É apresentada a indicação que o Certificado não pode ser validado com a informação existente na base de dados de Certificados.
Por se tratar de um “Self Signed Certificate” não existe informação previamente carregada que possa validar a autenticidade deste Certificado.
Nestes casos a verificação da sua autenticidade deve ser feita manualmente por comparação da informação apresentada pelo browser com a informação disponível para validação.
Os detalhes que devem ser verificados para este Certificado são:
Isued to: Montepio Geral - Root CA
Fingerprint (SHA1): 27:2F:7F:FC:C4:C8:23:E9:36:D8:89:78:46:F0:6F:E8:E1:C8:D5:12
Serial Number: 4B:93:65:E5:9C:9F:03:B8:46:39:8F:DD:04:56:44:37
DI Gabinete de Desenvolvimento de Balcões e Internet
26
A importação para a KeyChain X509Anchors obriga à identificação do Administrador do sistema.
1.1.3.2 DOWNLOAD INTERMEDIATE CA
O processo de carregamento do Certificado “Intermediate CA” é semelhante ao anterior.
Deverá ser premido o botão de [Download Intermediate CA].
Será então descarregado o ficheiro InterCA.crt
Deverá ser feito duplo clique para efectuar o carregamento do Certificado acabado de obter para a KeyChain.
Deverá ser verificada a autenticidade do Certificado “InterCA.crt”.
Os detalhes que devem ser verificados para este Certificado são:
Isued to: Montepio Geral - Multicanal
SHA1 Fingerprint: D5:3A:FC:29:04:43:9F:66:B3:18:FC:CE:03:18:C2:75:D1:BA:23:4D
Serial Number: 61:3E:89:EF:00:00:00:00:00:02
DI Gabinete de Desenvolvimento de Balcões e Internet
27
Neste caso não é obrigatória a indicação X509Anchors podendo ser utilizada KeyChain “login” para a importação.
1.1.3.3 VERIFICAÇÃO
Em caso de dúvida poder-se-á sempre verificar se os Certificados estão correctamente carregados.
Para isso, deverá utilizar a aplicação KeyChain: Finder > Applications > Utilities > Keychain Access.app
Deverá seleccionar a KeyChain “X509Anchors”.
Nesta deverá estar disponível o Certificado “Montepio Geral – Root CA”.
Poderá fazer duplo clique para aceder aos detalhes do Certificado.
Seleccione a KeyChain que utilizou para armazenar o Certificado “InterCA.crt”. Por omissão será utilizado a KeyChain “login”.
Nesta deverá estar disponível o Certificado “Montepio Geral – Multicanal”.
DI Gabinete de Desenvolvimento de Balcões e Internet
28
Poderá fazer duplo clique para aceder aos detalhes do Certificado.
1.1.3.4 ACTIVAÇÃO/RENOVAÇÃO DE CERTIFICADO
Antes de prosseguir com a Activação/Renovação de Certificado, deverá ser garantido que os Certificados de CA do Montepio já estão carregados para que estes possam ser utilizados para validar o carregamento do Certificado de Cliente.
Poderá verificar esta situação conforme descrito no procedimento “Verificar CA”.
Seleccione o nível de segurança pretendido.
Após a inserção do PIN Montepio24 deverá aguardar enquanto a geração do pedido de Certificado Digital é executada, o respectivo pedido é enviado para o Servidor do Montepio e este retornará o novo Certificado Digital.
Este processo pode demorar alguns minutos.
DI Gabinete de Desenvolvimento de Balcões e Internet
29
Após a emissão do novo Certificado Digital será apresentada a seguinte informação:
A qual deverá ser confirmada premindo o botão [Ok], permitindo desta forma a instalação do novo Certificado Digital.
Será descarregado o ficheiro “net24Clientecert.cer no desktop (ou outra localização configurada no browser).
Após o que deve-se proceder à sua gravação na “KeyChain” do sistema operativo.
Para isso deverá ser feito duplo clique sobre o ficheiro acabado de receber.
Ao faze-lo será lançada a aplicação “KeyChainAcces.app” e apresentadas as opções para carregamento do Certificado:
No browser estará visível a página com indicações sobre a manutenção do Certificado.
DI Gabinete de Desenvolvimento de Balcões e Internet
30
Alternativamente ao indicado, poderá salvar-se o Certificado para ficheiro a partir da “KeyChainAcces.app” utilizando a opção “File > Export...” após seleccionar o Certificado Digital de Cliente.
1.1.3.4.1 VERIFICAÇÃO
Em caso de dúvida poder-se-á sempre verificar se os Certificados estão correctamente carregados.
Para o efeito, deverá ser utilizada a aplicação KeyChain: Finder > Applications > Utilities > Keychain Access.app
Seleccione a KeyChain que utilizou para armazenar o Certificado “InterCA.crt”.
Por omissão será utilizado a KeyChain “login”. Nesta deverá estar disponível o Certificado com a identificação do Cliente.
Poderá fazer duplo clique para aceder aos detalhes do Certificado.