Site Meter Como Importar o Novo Certificado da ICP-Brasil - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Como Importar o Novo Certificado da ICP-Brasil

Como Importar o Novo Certificado da ICP-Brasil

  • Comments 3
  • Likes

O sistema Windows distribui hoje automaticamente o certificado raiz da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), emitido em 2002, sendo ele o único sistema operacional que faz esta distribuição.

No ano passado a ICP-Brasil emitiu uma nova versão do certificado raiz, chamado “Autoridade Certificadora Raiz Brasileira v1” (veja imagem abaixo). Este certificado ainda não é distribuido automaticamente pelo Windows, nem por nenhum outro sistema operacional e ou browser disponivel no mercado. A Microsoft vem trabalhando junto ao Instituto Nacional de Tecnologia da Informação (ITI) para que isto seja feito o mais rapidamente possível, e acreditamos que em breve esta distribuição também estará ocorrendo de forma automática como já é feita com o primeiro certificado raiz, de forma que o usuário não mais receba um alerta de segurança informando que os certificados emitidos sob a nova raiz não são confiáveis.

Enquanto esta distribuição não é operacionalizada, o usuário deverá importar o novo certificado no seu sistema.  Esta importação pode ser feita manualmente pelo usuário, ou de forma automática em ambientes corporativos que usem o Active Directory.

Importação no Sistema Operacional Windows Vista e ou Windows 7

Quando você importa um certificado raiz no Windows Vista e ou Windows 7, e não especifica para onde o certificado deve ser importado, o sistema por default vai importar o certificado como sendo de uma autoridade certificadora intermediária e não de uma raiz. Isto é uma proteção colocada no sistema para evitar que o usuário coloque certificados de autoridades raiz de forma não-intencional.

Para fazer a importação para o local correto, durante o wizard de importação é necessário especificar que ele deve ser importado como certificado raiz ao invés de deixar o Windows automaticamente selecionar o tipo de certificado. Para isto siga os passos abaixo:

1. Obtenha o certificado da Autoridade Certificadora Raiz Brasileira v1, fazendo o download a partir do site http://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e selecionando “Open / Abrir”.

2. Após abrir o certificado, clique em “Install Certificate / Instalar Certificado"

clip_image002

3. Clique em "Next / Avançar"

clip_image003

4. Aqui o passo importante. Procure e selecione "Trusted Root Certification Authorities / Autoridades de Certificação Raiz Confiáveis" e clique em avançar.

clip_image004

5. Clique em “Finish / Concluir”

clip_image005

Usuários Corporativos

Usuários corporativos que usem o Active Directory podem importar automaticamente o certificado raiz para todos os sistemas que sejam parte da floresta. Para isto siga os passos abaixo:

1. Faça o download do certificado raiz, e depois copie o arquivo para um controlador de domínio qualquer do sua floresta Active Directory.

2. Faça o logon neste controlador de domínio privilégios de Enterprise Administrator.

3. Abra o prompt de comandos, digite o comando certutil –dspublish icp-brasil.crt RootCA e pressione Enter.

Pronto. Todos os computadores rodando o sistema Windows 2000 ou mais recente e que estejam ligados ao AD passarão a confiar no certificado.

Comments
  • Ao importar o certificado conforme especificado acima ele passa a valer para todos os navegadores ou só para IE?

    Onde encontro instruções de como instalar em outras plataformas?

  • Luciano, ao fazer a importação a autoridade certificadora será confiada por todas as aplicações que utilizam a API de criptografia (CryptoAPI) do Windows. Isto inclui o Internet Explorer e demais aplicações da Microsoft, além da maioria das aplicações feitas para Windows, como os browsers Safari e o Chrome.

    Para os demais browsers, você terá que verificar com os respectivos fabricantes. - Fernando Cima

  • Bom dia, estamos com um problema em algumas NFes (não todas, apenas algumas exceções).

    Ao abrir o documento fiscal eletrônico no visualizador SPED, nos falta as informações da última aba "Certificado Digital", onde apenas informa que o certificado não seria válido, apesar da NFe contar como válida na consulta online (site) e também é válida ao verificar assinatura digital.

    Precisamos das informações dessa aba, e não gostaríamos de ter de sempre efetuar a consulta online (indicação do suporte 0800) pois devido à futura obrigatoriedade, seria muito trabalhoso.

    Segundo as áreas técnicas das empresas emissoras dessas NFes, apenas a nossa empresa apresenta este problema ao visualizar esses documentos. Seria alguma configuração nas nossas máquinas? Como podemos fazer para que isso funcione?

    Ficamos no aguardo.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment