cancel
Showing results for 
Search instead for 
Did you mean: 

HSM e certificados para SSL

Former Member
0 Kudos

Bom dia pessoal,

Temos um cenário onde as assinaturas de NFes são feitas via hardware pelo HSM.

Para as assinaturas, temos o certificado digital correspondente ao CNPJ emitente (instalado no hardware) e atualmente este certificado está sendo utilizado para comunicação HTTS com as SEFAZes.

Perguntas:

1 - Não queremos utilizar o mesmo certificado para assinaturas e SSL. Para isso, é necessário adquirir um novo certificado para SSL junto a algum emissor, certo?

2 - Sendo isto, o certificado tem de ser emitido gerando a request lá no Visual Admin e depois importando a resposta do certificado e, ainda, um certificado por ambiente, correto?

Obrigado.

Abs.

Accepted Solutions (1)

Accepted Solutions (1)

former_member182503
Active Contributor
0 Kudos

Ricardo,

Se você quer um certificado apenas para fazer Client Authentication na SEFAZ, você pode comprar outro certificado, até de um tipo mais simples, como o A1.

Não, não tem necessidade de gerar chave do servidor para requisição do certificado, a não ser que nesse servidor você disponibilize acesso HTTPS.

Para NF-e (comunicação https com a sefaz), não é necessario.

[]'s

former_member182114
Active Contributor
0 Kudos

Reescrevendo:

Para NF-e (comunicação https com a sefaz), não é necessario.

Toda comunicação com a Sefaz é HTTPS (SSL) utilizando certificado digital A1, porém não é necessário o certificado digital do servidor que contém IP, domain.... É utilizado o E-CNPJ.

Quanto a configuração, não tenho essa esperiência, porém pelo que entendi, quem faz a comunicação segura é o HCM e é nele que está o certificado digital provavelmente encapsulado. Pergunta: No PI você tem a configuração usando certificado ou não? Se sim, é provável que você não esteja usando o HCM e por isso tem que fazer o deploy do certificado no Visual Admin, ou o HCM lê o Visual Admin?

Pelo seguinte, ao que me lembro a comunicação segura e handshacking SSL pode ser feita a partir de um ponto da rede, como um proxy por exemplo, então a comunicação entre o cliente PI e o proxy (estou entendendo que seria o HCM ou algum software o está consumindo) é não segura e deste ponto de rede até o servidor protegida por SSL. Mas sinceramente não sei qual seu cenário. Nos dê mais detalhes.

Talvez tenha mais dúvidas que respostas.. rsss

Atenciosamente, Fernando Da Ró

former_member182503
Active Contributor
0 Kudos

Fernando,

o que eu quis dizer é que para comunicação com a SEFAZ não é necessário um certificado digital com a chave do servidor(para servidores web, por ex.).

Normalmente tentam vender este por ele ser mais caro que os demais.

Concordo que no meu post anterior ficou meio confuso...

Voltando ao questionamento do Ricardo:

1 - Não queremos utilizar o mesmo certificado para assinaturas e SSL. Para isso, é necessário adquirir um novo certificado para SSL junto a algum emissor, certo?

Sim, é necessário comprar um certificado e ele pode ser do tipo A1.

2 - Sendo isto, o certificado tem de ser emitido gerando a request lá no Visual Admin e depois importando a resposta do certificado e, ainda, um certificado por ambiente, correto?

-O certificado NÃO precisa ser baseado no "Certificate Request File" do servidor PI.

- Não precisa ser um certificado por ambiente, porém, vc tem que INSTALAR o certificado em CADA ambiente PI(ou Java onde rode a assinatura digital - JWS) que você tenha.

Exemplo: se você tem um ambiente com PI de DEV, QAS e PRD, vc deve instalar o mesmo certificado A1(por exemplo) em cada um desses ambientes, lá no Visual Admin, como mostra esta página

Clear?

[]'s

former_member182114
Active Contributor
0 Kudos

Bom dia Ricardo,

Precisamos de feedback de você, pelo seguinte.

Você comenta que usa o HSM (assinatura por hardware), nesse caso seria o certificado A3 (se não me engano), o A1 é software e é usado no assinador interno do GRC. Acredito que você esteja utilizando este para assinatura de cada NF-e.

Porém como é a comunicação com a Sefaz? Utiliza também o certificado digital do HSM ou utiliza um outro no próprio PI?

Neste cenário você poderia estar com:

HSM (A3 para cada empresa, 1 eCNPJ por matriz) assinando cada NF-e com este

PI (A1 com 1 eCNPJ qualquer) garantindo comunicação segura entre PI x Sefaz.

Atenciosamente, Fernando Da Ró

Former Member
0 Kudos

Bom dia pessoal,

Os certificados que temos hoje são A1 (por um problema da data de expiração estar próxima, foi adquirido outro A1 para que não parasse a produção por certificado expirado).

Estes certificados estão instalados no HSM e fazendo a assinatura das NFes.

Para comunicar com a SEFAZ, um destes dois certificados também está instalado no Visual Admin para que os Communication Channels utilizem ele para estabelecer a comunicação segura.

A idéia, no futuro próximo (que será antes de expirar novamente estes certificados) é:

- Adquirir, como o Fernando falou, um certificado A3 para fazer a assinatura das NFes e este ser instalado no HSM

- Para o Visual Admin, um certificado para SSL para fazer a comunicação.

Era essa dúvida que queria tirar para que não seja comprado um certificado errado, pois é outro setor da empresa que cuida destes assuntos.

E como vocês falaram, não é necessário gerar um certificado por ambiente...

Abs.,

henrique_pinto
Active Contributor
0 Kudos

Ricardo,

dentro do certificado digital, existe, entre outras informacoes, dois campos que dizem para que usos aquele certificado digital pode ser usado (o chamado "usage type") . Os campos são o "Key Usage" e o "Enhanced Key Usage".

No caso de NFe, vc precisa ter basicamente 2 usage types ativos no certificado:

- Digital Signature

- Client Authentication

(nao tenho certeza se o usage type "Key Encipherment" precisa existir pro SSL, favor confirmar com o proprio fornecedor de segurança).

Além desses usage types, a outra informacao que tem que constar é o CNPJ no parametro "2.16.76.1.3.3" do campo "Other Name" (ou "Subject Alternative Name"). Os digitos do CNPJ estao em hexadecimal (ASCII), depois dos 2 primeiros digitos de controle.

That's it. Você não precisa de nenhuma outra informação adicional para que o certificado seja "NFe compliant".

Como prática de mercado, criou-se um modelo de certificado que inclui isso tudo e que chamam de "certificado NFe".

Como o José Nunes falou, algumas certificadoras tentam empurrar o de servidor por ser mais caro, mas não é de maneira alguma necessário.

Quanto ao tipo (A1 ou A3), de fato, há hoje uma incompatibilidade de certs A3 para o Key Store do J2EE.

Na verdade, nao é nem incompatibilidade. As grandes certificadoras todas desenvolveram aplicações para integrar seus certs A3 com os sistemas operacionais mais usados no mercado, através de APIs dos OSs. Porém, nunca desenvolveram aplicações para integrar seus certificados A3 com o Key Store do SAP. Acho que valeria a pena também um push inicial dos clientes para que eles tenham interesse em desenvolver algo nessa linha.

Anyway, entendo sim que é indesejável trocar o certificado todo ano (no caso do A1), ainda mais quando falando de HSM. Por isso, faz todo o sentido querer separar a assinatura do SSL e requisitar certificados independentes. Basta seguir na linha que eu falei acima, e solicitar:

- para a assinatura: para cada filial (i.e. cada CNPJ), um certificado com o key usage type "Digital Signature" e o CNPJ da filial em questão no campo Other Name, parametro "2.16.76.1.3.3". Esse certificado pode ser do tipo A3, caso você use assinatura digital por HSM; caso use assinatura SAP (Java ou ABAP), precisa ser do tipo A1;

- para o SSL: um único certificado com o key usage type "Client Authentication" (e talvez "Key Encipherment", confirme com a certificadora) e o CNPJ de alguma empresa/filial do grupo/empresa (pode ser qualquer um, pois o "transportador" nao precisa ser o "emissor" da Nota). Esse certificado precisa ser do tipo A1, pois vai ser instalado no Key Store do SAP J2EE.

Abs,

Henrique.

Former Member
0 Kudos

Entendi...

Obrigado pelas explicações detalhadas.

É por este caminho que teremos que seguir:

- Certificado A3 para o HSM

- Certificado A1 para o SSL no key storage

Obrigado a todos pela ajuda.

Abs.

Answers (0)