Certificados de Segurança

De Admrede

Para reforçar a segurança de acesso aos diversos serviços da rede, as máquinas que implementam esses serviços são configuradas com certificados de segurança que permitem a identificação de cada máquina exclusivamente. Para que seu computador possa se beneficiar dessa segurança, você deve configurá-lo para que reconheça esses certificados. Isso é feito pela instalação do Certificado Raiz (também chamado de Autoridade Certificadora (CA)) do Instituto de Informática. Uma vez que ele esteja instalado, seu sistema será capaz de autenticar qualquer servidor legítimo do Instituto. Isso porque os servidores usam certificados individuais gerados a partir do certificado raiz.



Tabela de conteúdo

Certificados Digitais e Autoridades Certificadoras

Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a uma entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador). Esse arquivo inclui uma assinatura digital que permite determinar que as informações nele contidas não foram adulteradas. Essa assinatura é incluída no certificado por uma entidade considerada confiável, a Autoridade Certificadora (CA), através do uso de um certificado especial denominado certificado raiz. A CA desempenha no contexto dos certificados digitais, um papel semelhante ao dos cartórios no mundo real quando autenticam um documento.

O certificado digital, após sua validação através da assinatura da autoridade certificadora confiável, oferece a garantia que você está acessando o serviço real, e não algum outro servidor que está "se passando" pelo real para capturar seus dados. Com base na autenticação do serviço que está sendo acessado, o uso do certificado permite então o estabelecimento de um canal efetivamente seguro para interação com aquele serviço, o qual empregará criptografia para proteger o sigilo dos dados trafegados entre sua máquina e aquele serviço (em especial login e senha).

Porém, quem autentica a autoridade certificadora? Quem define qual é confiável e qual não é? Efetivamente, ninguém autentica a autoridade certificadora raiz, pois ela assina o seu próprio certificado. As aplicações ou bibliotecas do sistema operacional tipicamente incluem os certificados raiz de todas as CA que seu fabricante daquele software considerou como confiáveis, e esses certificados embutidos na aplicação/sistema são utilizados então para validação dos certificados específicos apresentados por outros serviços na Internet. Mas o critério de cada fabricante não precisa ser estritamente o mesmo, levando a problemas do tipo o certificado emitido para CA X funciona no ambiente Y, mas não no ambiente Z (ex.: caso do ICP Brasil que é reconhecido no Internet Explorer, mas não nos produtos da Mozilla).

O INF possui sua própria Autoridade Certificadora, com certificado raiz próprio (auto-assinado), o qual é utilizado para assinar todos os certificados dos serviços "oficiais" oferecidos em nossa infra-estrutura. Porém, nosso certificado raiz não está incluído por padrão em nenhum software, por não sermos uma CA comercial e devido ao volume de burocracia necessário para pleitear essa inclusão em cada plataforma de software/aplicação.

Assim, antes de acessar qualquer serviço do INF de forma segura, é necessário instalar previamente certificado raiz do INF na sua plataforma de software, para que ela esteja então apta a validar efetivamente os certificados de todos os demais serviços de nossa infra-estrutura, preservando assim ao máximo a segurança dos seus dados. Esse procedimento precisa ser executado uma única vez para cada plataforma/aplicação, e apenas para o certificado raiz do INF. Uma vez instalado o certificado raiz, automaticamente todos os demais certificados do INF passarão a ser apropriadamente validados.

Recomendações para a Instalação do Certificado (IMPORTANTE)

Recomenda-se verificar algumas informações de legitimidade do certificado durante o processo de instalação. O Certificado Raiz do Instituto DEVE apresentar os seguintes detalhes:

Item Conteúdo
Data de emissão23-05-2006
Data de expiração18-05-2026
Assinatura SHA128:17:CB:F3:18:3E:66:E3:3D:02:42:34:67:A3:90:A4:2F:CE:AF:38
Assinatura MD5CA:2C:EC:FE:A3:AE:F5:9A:B2:4F:68:0D:7C:BD:04:62


Os passos para instalação do certificado são bastante simples. Ao iniciar a instalação, uma tela semelhante a esta é mostrada (neste exemplo, usando o browser Mozilla Firefox):



É importante, por questões de segurança, que você solicite visualizar detalhes do certificado e verifique se as informações são iguais às mostradas na tabela anterior. A seguinte tela é obtida clicando-se no botão "Exibir":




Instalando o Certificado

Para instalar o certificado no browser*, clique aqui e siga as instruções de instalação/importação, marcando todas as opções disponíveis (autenticação WWW, Email e Software). Ao final do processo, o certificado estará instalado (alguns browsers não apresentam qualquer mensagem de confirmação, isso é normal).

Para verificar se o certificado foi corretamente instalado, abra a página do Webmail do Instituto e verifique se aparecerá uma janela de diálogo sobre certificados, caso ela NÃO apareça, significa que o browser já está sendo autenticado pelo certificado raiz.

* Esse procedimento instalará o certificado apenas no browser. Se o certificado tiver sido instalado pelo Internet Explorer, a configuração automaticamente será aplicada ao Outlook Express.



Linux

sh <caminho_completo_do_arquivo>
ex.: "sh /home/jlennon/Desktop/certificado.sh"

O script acrescentará nos arquivos de certificados de cada programa(previamente instalado) o certificado do instituto.

Obs.: É necessário que esteja instalado o pacote "certutils"

MacOS X

(Thanks Diogo Campos da Silva)



  • 2. Na janela do Keychain Access, clique em Always Trust.




Smartphones Nokia (S.O. Symbian)

(Thanks Prof. Heuser)

O certificado que está na página da Administração da Rede está em formato diferente (.crt) daquele exigido pelo Symbian (.cer). Faça o download do Certificado de Segurança através do seu aparelho.

Para verificar se a instalação foi correta, vá em: Menu > Ferramentas > Configs > Geral > Segurança > Gerenc. Certificado > Certificados de autoridade.

Lá deve aparecer "CA Raiz do II UFRGS".



Windows Vista, 7 e 8

Navege até o link do Certificado do Instituto de Informática e realize o download do mesmo. O tipo de arquivo será automaticamente detectado pelo navegador que iniciará o processo de instalação do certificado.

Importante: Para integração do certificado aos serviços do windows (ex. rede wireless) e aplicações da MS (Internet Explorer, Outlook) é necessário realizar (ou repetir) o procedimento usando obrigatoriamente o navegador Internet Explorer, mesmo que este não seja o seu navegador padrão.
Importante: No Vista deve-se escolher explicitamente o local de armazenamento do certificado, e instalá-lo como uma Autoridade de Certificação Raiz Confiável.
Importante: No Windows 8 aparecerá uma tela questionando se o certificado deverá ser instalado para o usuário atual ou para qualquer usuário da máquina conforme a figura abaixo. Caso não saiba o que selecionar, deixe apenas para o usuário atual.


As imagens abaixo mostram os principais passos da instalação:





Caso tenha dificuldades, acesse nosso vídeo-tutorial.


Windows XP

Importante: Para integração do certificado aos serviços do windows (ex. rede wireless) e aplicações da MS (Internet Explorer, Outlook) é necessário realizar (ou repetir) o procedimento usando obrigatoriamente o navegador Internet Explorer, mesmo que este não seja o seu navegador padrão.

Navege até o link do Certificado do Instituto de Informática e realize o download do mesmo. O tipo de arquivo será automaticamente detectado pelo navegador que iniciará o processo de instalação do certificado.

As imagens abaixo, mostram os principais passos da instalação utilizando o Internet Explorer. Para um exemplo usando o Firefox consulte a seção #Instalando o Certificado.






Programas que Usam o Certificado Raiz

O certificado é reconhecido tanto por navegadores Web (Internet Explorer, Firefox) quanto por leitores de email (Microsoft Outlook, Thunderbird). Na plataforma Microsoft o certificado é instalado em nível de sistema, de modo que tanto o Internet Explorer quanto o Outlook o reconhecerão. Entretanto, se você estiver usando o browser Firefox nessa plataforma, será necessário instalar o certificado duas vezes: uma pelo Firefox e outra pelo Internet Explorer.

Ferramentas pessoais