Blog

Configuração de certificados A3 via PKCS#11 Para utilização do certificado

Para utilização do certificado digital no formato A3 é necessário a configuração do leitor. Para tal, siga os passos abaixo de acordo com o modelo do leitor.

Importante

  • O dispositivo deve estar corretamente instalado e configurado no computador do cliente;
  • O certificado deve estar válido e presente na leitura (quando for cartão) ou conectado ao computador para efetuar os testes;
  • As instruções abaixo se aplicam ao Windows, para uso no Linux ou MAC é necessário obter os procedimentos de uso do PKCS11;
  • Não há suporte a instalação, configuração, testes do certificado A3, o uso das APIs pressupõe que o dispositivo esteja devidamente instalado e funcionando de forma compatível com o Java, considere o uso da MsCapi.

Alternativas

  • No Windows é possível utilizar certificados A3 através da MsCapi, ela utiliza o driver do próprio Windows na comunicação, o que simplifica o processo. Para tal use Java 7 ou superior no servidor no cliente.

Configurações de Leitores/Smartcard

Estes dispositivos permitem o uso de diferentes cartões, não se faz necessário uma configuração por cartão, basta somente instalar e configurar a leitura de cartões inteligentes (Smartcards).

Importante

  • Para os testes finais será necessário colocar um cartão válido na leitura;
  • Cada cartão pode ter uma senha (PIN) diferente;
  • Alguns servidores exigem que sejam colocados todos os certificados da cadeia de certificação no cartão, se necessário entre em contato com o fornecedor do certificado.

Gemalto USB

A configuração do dispositivo será:
name = SmartCard
library = c:/windows/system32/cmP11.dll

Leitor Perto

A configuração do dispositivo será:

name = SmartCard
library = c:/windows/system32/aetpkss1.dll

Tokens

Se parecem com Pendrivers, ou como a própria chave do Maker. Abaixo algumas instruções para modelos conhecidos.

eToken pro Aladdin

É necessário instalar os drivers do dispositivo através do CD de instalação que o acompanha. Será necessário também a instalação do software PKIClient que pode ser obtido num dos sites abaixo:
http://serasa.certificadodigital.com.br/ajuda/instalacao/outros-downloads-token-usb-somente-a3/
http://www.isecurity.info/downloads.aspx

Para configurar o eToken Pro Aladdin é necessário informar o número do Slot onde se encontra o certificado no dispositivo. Para obter o número do Slot utilize o PKCS11Explorer, ou algum outro utilitário que esteja disponível. A configuração do dispositivo será:

name = eToken
slot = 2
library = c:\WINDOWS\system32\eTPKCS11.dll

iKey2032 da Safenet

Instale o driver do token, a DLL deste dispositivo fica no seguinte local “C:/Windows/system32/dkck201.dll”. A configuração do dispositivo será:

name = Safenetikey2032
library = c:/windows/system32/dkck201.dll

Testando as configurações

Para certificar-se que a aplicação Java consegue ler/acessar o certificado A3 com as configurações informadas, execute os seguintes procedimentos:

  1. Abra o Prompt de comandos (Windows -> Iniciar -> Executar: cmd.exe);
  2. Navegue para a pasta do Webrun através do comando CD (change dir)
    (C:\Program Files (x86)\Softwell Solutions\Maker 3.6\Webrun 3.6);
  3. Depois navegue para a pasta do Java (.\java\jre\bin);
  4. Na pasta do Java execute o seguinte comando:

    keytool.exe -list -keystore NONE -storetype PKCS11 -providerClass sun.security.pkcs11.SunPKCS11 -providerArg C:\l2s-a3-config.cfg -storepass senha

  5. Observe a saída do Prompt de Comando por respostas de erro, ou listagem de certificados;
    1. Caso apareça um erro revise as configurações;
    2. Se o certificado for listado, as configurações estão corretas.

Referências

  1. http://wiki.ncryptoki.com/Known-PKCS-11-modules.ashx
  2. http://javacardforum.com/
  3. https://github.com/OpenSC/OpenSC/wiki/Aladdin-eToken-PRO
  4. http://en.wikipedia.org/wiki/PKCS_11
  5. https://github.com/OpenSC/OpenSC/wiki

Drivers

  1. http://www.certisign.com.br/atendimento-suporte/downloads/leitoras/
  2. http://www.certisign.com.br/atendimento-suporte/downloads/tokens
  3. http://www.nonus.com.br/Prod_Smartnonus.php#.VUvEXyFVhBc

Software para testes do PKCS11

  1. http://pkcs11interop.net/
  2. Cryptoki Explorer – http://www.ncryptoki.com/download.aspx
  3. https://www.cryptsoft.com/pkcs11doc/
  4. http://www.projetusinformatica.com.br/downloads/PKCS11Explorer100.zip
  5. http://www.projetusinformatica.com.br/wiki/index.php/AplicativoPKCS11Explorer

Leave a comment