Configuração de certificados A3 via PKCS#11 Para utilização do certificado
Para utilização do certificado digital no formato A3 é necessário a configuração do leitor. Para tal, siga os passos abaixo de acordo com o modelo do leitor.
Importante
- O dispositivo deve estar corretamente instalado e configurado no computador do cliente;
- O certificado deve estar válido e presente na leitura (quando for cartão) ou conectado ao computador para efetuar os testes;
- As instruções abaixo se aplicam ao Windows, para uso no Linux ou MAC é necessário obter os procedimentos de uso do PKCS11;
- Não há suporte a instalação, configuração, testes do certificado A3, o uso das APIs pressupõe que o dispositivo esteja devidamente instalado e funcionando de forma compatível com o Java, considere o uso da MsCapi.
Alternativas
- No Windows é possível utilizar certificados A3 através da MsCapi, ela utiliza o driver do próprio Windows na comunicação, o que simplifica o processo. Para tal use Java 7 ou superior no servidor no cliente.
Configurações de Leitores/Smartcard
Estes dispositivos permitem o uso de diferentes cartões, não se faz necessário uma configuração por cartão, basta somente instalar e configurar a leitura de cartões inteligentes (Smartcards).
Importante
- Para os testes finais será necessário colocar um cartão válido na leitura;
- Cada cartão pode ter uma senha (PIN) diferente;
- Alguns servidores exigem que sejam colocados todos os certificados da cadeia de certificação no cartão, se necessário entre em contato com o fornecedor do certificado.
Gemalto USB
A configuração do dispositivo será:
name = SmartCard
library = c:/windows/system32/cmP11.dll
Leitor Perto
A configuração do dispositivo será:
name = SmartCard
library = c:/windows/system32/aetpkss1.dll
Tokens
Se parecem com Pendrivers, ou como a própria chave do Maker. Abaixo algumas instruções para modelos conhecidos.
eToken pro Aladdin
É necessário instalar os drivers do dispositivo através do CD de instalação que o acompanha. Será necessário também a instalação do software PKIClient que pode ser obtido num dos sites abaixo:
http://serasa.certificadodigital.com.br/ajuda/instalacao/outros-downloads-token-usb-somente-a3/
http://www.isecurity.info/downloads.aspx
Para configurar o eToken Pro Aladdin é necessário informar o número do Slot onde se encontra o certificado no dispositivo. Para obter o número do Slot utilize o PKCS11Explorer, ou algum outro utilitário que esteja disponível. A configuração do dispositivo será:
name = eToken
slot = 2
library = c:\WINDOWS\system32\eTPKCS11.dll
iKey2032 da Safenet
Instale o driver do token, a DLL deste dispositivo fica no seguinte local “C:/Windows/system32/dkck201.dll”. A configuração do dispositivo será:
name = Safenetikey2032
library = c:/windows/system32/dkck201.dll
Testando as configurações
Para certificar-se que a aplicação Java consegue ler/acessar o certificado A3 com as configurações informadas, execute os seguintes procedimentos:
- Abra o Prompt de comandos (Windows -> Iniciar -> Executar: cmd.exe);
- Navegue para a pasta do Webrun através do comando CD (change dir)
(C:\Program Files (x86)\Softwell Solutions\Maker 3.6\Webrun 3.6); - Depois navegue para a pasta do Java (.\java\jre\bin);
- Na pasta do Java execute o seguinte comando:
keytool.exe -list -keystore NONE -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg C:\l2s-a3-config.cfg -storepass senha
- Observe a saída do Prompt de Comando por respostas de erro, ou listagem de certificados;
- Caso apareça um erro revise as configurações;
- Se o certificado for listado, as configurações estão corretas.
Referências
- http://wiki.ncryptoki.com/Known-PKCS-11-modules.ashx
- http://javacardforum.com/
- https://github.com/OpenSC/OpenSC/wiki/Aladdin-eToken-PRO
- http://en.wikipedia.org/wiki/PKCS_11
- https://github.com/OpenSC/OpenSC/wiki
Drivers
- http://www.certisign.com.br/atendimento-suporte/downloads/leitoras/
- http://www.certisign.com.br/atendimento-suporte/downloads/tokens
- http://www.nonus.com.br/Prod_Smartnonus.php#.VUvEXyFVhBc
Software para testes do PKCS11
- http://pkcs11interop.net/
- Cryptoki Explorer – http://www.ncryptoki.com/download.aspx
- https://www.cryptsoft.com/pkcs11doc/
- http://www.projetusinformatica.com.br/downloads/PKCS11Explorer100.zip
- http://www.projetusinformatica.com.br/wiki/index.php/AplicativoPKCS11Explorer