Tutoriais | Certificados de Segurança
Para reforçar a segurança de acesso aos diversos serviços da rede, as máquinas que implementam esses serviços são configuradas com certificados de segurança que permitem a identificação de cada máquina exclusivamente. Para que seu computador possa se beneficiar dessa segurança, você deve configurá-lo para que reconheça esses certificados. Isso é feito pela instalação do Certificado Raiz (também chamado deAutoridade Certificadora (CA)) do Instituto de Informática. Uma vez que ele esteja instalado, seu sistema será capaz de autenticar qualquer servidor legítimo do Instituto. Isso porque os servidores usam certificados individuais gerados a partir do certificado raiz.
Certificados Digitais e Autoridades Certificadoras
Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a uma entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador). Esse arquivo inclui uma assinatura digital que permite determinar que as informações nele contidas não foram adulteradas. Essa assinatura é incluída no certificado por uma entidade considerada confiável, a Autoridade Certificadora (CA), através do uso de um certificado especial denominado certificado raiz. A CA desempenha no contexto dos certificados digitais, um papel semelhante ao dos cartórios no mundo real quando autenticam um documento.
O certificado digital, após sua validação através da assinatura da autoridade certificadora confiável, oferece a garantia que você está acessando o serviço real, e não algum outro servidor que está “se passando” pelo real para capturar seus dados. Com base na autenticação do serviço que está sendo acessado, o uso do certificado permite então o estabelecimento de um canal efetivamente seguro para interação com aquele serviço, o qual empregará criptografia para proteger o sigilo dos dados trafegados entre sua máquina e aquele serviço (em especial login e senha).
Porém, quem autentica a autoridade certificadora? Quem define qual é confiável e qual não é? Efetivamente, ninguém autentica a autoridade certificadora raiz, pois ela assina o seu próprio certificado. As aplicações ou bibliotecas do sistema operacional tipicamente incluem os certificados raiz de todas as CA que seu fabricante daquele software considerou como confiáveis, e esses certificados embutidos na aplicação/sistema são utilizados então para validação dos certificados específicos apresentados por outros serviços na Internet. Mas o critério de cada fabricante não precisa ser estritamente o mesmo, levando a problemas do tipo o certificado emitido para CA X funciona no ambiente Y, mas não no ambiente Z (ex.: caso do ICP Brasil que é reconhecido no Internet Explorer, mas não nos produtos da Mozilla).
O INF possui sua própria Autoridade Certificadora, com certificado raiz próprio (auto-assinado), o qual é utilizado para assinar todos os certificados dos serviços “oficiais” oferecidos em nossa infra-estrutura. Porém, nosso certificado raiz não está incluído por padrão em nenhum software, por não sermos uma CA comercial e devido ao volume de burocracia necessário para pleitear essa inclusão em cada plataforma de software/aplicação.
Assim, antes de acessar qualquer serviço do INF de forma segura, é necessário instalar previamente certificado raiz do INF na sua plataforma de software, para que ela esteja então apta a validar efetivamente os certificados de todos os demais serviços de nossa infra-estrutura, preservando assim ao máximo a segurança dos seus dados. Esse procedimento precisa ser executado uma única vez para cada plataforma/aplicação, e apenas para o certificado raiz do INF. Uma vez instalado o certificado raiz, automaticamente todos os demais certificados do INF passarão a ser apropriadamente validados.
Recomendações para a Instalação do Certificado (IMPORTANTE)
Recomenda-se verificar algumas informações de legitimidade do certificado durante o processo de instalação. O Certificado Raiz do Instituto DEVE apresentar os seguintes detalhes:
| Item | Conteúdo |
| Data de emissão | 23-05-2006 |
| Data de expiração | 18-05-2026 |
| Assinatura SHA1 | 28:17:CB:F3:18:3E:66:E3:3D:02:42:34:67:A3:90:A4:2F:CE:AF:38 |
| Assinatura MD5 | CA:2C:EC:FE:A3:AE:F5:9A:B2:4F:68:0D:7C:BD:04:62 |
Os passos para instalação do certificado são bastante simples. Ao iniciar a instalação, uma tela semelhante a esta é mostrada (neste exemplo, usando o browser Mozilla Firefox):
É importante, por questões de segurança, que você solicite visualizar detalhes do certificado e verifique se as informações são iguais às mostradas na tabela anterior. A seguinte tela é obtida clicando-se no botão “Exibir”:
Instalando o Certificado:
Para instalar o certificado no browser*, clique aqui e siga as instruções de instalação/importação, marcando todas as opções disponíveis (autenticação WWW, Email e Software). Ao final do processo, o certificado estará instalado (alguns browsers não apresentam qualquer mensagem de confirmação, isso é normal).
Para verificar se o certificado foi corretamente instalado, abra a página do Webmail do Instituto e verifique se aparecerá uma janela de diálogo sobre certificados, caso ela NÃO apareça, significa que o browser já está sendo autenticado pelo certificado raiz.
OBS: Esse procedimento instalará o certificado apenas no browser. Se o certificado tiver sido instalado pelo Internet Explorer, a configuração automaticamente será aplicada ao Outlook Express.
Linux
1. Faça o download do script de instalação;
2. No terminal, execute o seguinte comando:
| sh <caminho_completo_do_arquivo> |
ex: “sh /home/jlennon/Desktop/certificado.sh”
O script acrescentará nos arquivos de certificados de cada programa(previamente instalado) o certificado do instituto.
Obs.: É necessário que esteja instalado o pacote “certutils”
MacOS
(por Diogo Campos da Silva)
1. Faça o download do Certificado de Segurança do Instituto e abra-o utilizando o aplicativo Keychain Access (clique secundário -> Open With -> Keychain Access).
2. Na janela do Keychain Access, clique em Always Trust.
Smartphones Nokia (S.O. Symbian)
(por Prof. Heuser)
O certificado exigido pelo Symbian (.cer) possui uma extensão diferente do certificado padrão do Instituto (.crt). Faça o download do Certificado de Segurança através do seu aparelho.
Para verificar se a instalação foi correta, vá em: Menu > Ferramentas > Configs > Geral > Segurança > Gerenc. Certificado > Certificados de autoridade. Se estiver correto, o nome que deve aparecer é”CA Raiz do II UFRGS”.
Windows Modo Automático (Vista, 7, 8 e 10)
Este executável, instalará o certificado Raiz do II, sem a necessidade de realizar os passos manuais.
Com o certificado instalado o mesmo permitirá acesso acesso ao serviço como Webmail, Wireless, E-Mail de forma transparente e sem erros quanto a certificado
Navegue até o link do Certificado do Instituto de Informática e realize o download e a instalação do mesmo.
Para verificar se a instalação foi bem sucedida abra seu navegador Internet Explorer (obrigatório) e outro navegador de sua preferência e digite a página do nosso Webmail.
Os dois navegadores, devem abrir a página sem qualquer erro de certificado.
Obs: Informe a Administração da rede, se algo não der certo.
Windows Vista, 7, 8 e 10
Navege até o link do Certificado do Instituto de Informática e realize o download do mesmo. O tipo de arquivo será automaticamente detectado pelo navegador que iniciará o processo de instalação do certificado.
| Importante: Para integração do certificado aos serviços do windows (ex. rede wireless) e aplicações da MS (Internet Explorer, Outlook) é necessário realizar (ou repetir) o procedimento usando obrigatoriamente o navegador Internet Explorer, mesmo que este não seja o seu navegador padrão. |
| Importante: No Vista deve-se escolher explicitamente o local de armazenamento do certificado, e instalá-lo como uma Autoridade de Certificação Raiz Confiável. |
| Importante: No Windows 8 aparecerá uma tela questionando se o certificado deverá ser instalado para o usuário atual ou para qualquer usuário da máquina conforme a figura abaixo. Caso não saiba o que selecionar, deixe apenas para o usuário atual. |
As imagens abaixo mostram os principais passos da instalação:
Caso tenha dificuldades, acesse nosso vídeo-tutorial
Programas que Usam o Certificado Raiz
O certificado é reconhecido tanto por navegadores Web (Internet Explorer, Firefox) quanto por leitores de email (Microsoft Outlook, Thunderbird). Na plataforma Microsoft o certificado é instalado em nível de sistema, de modo que tanto o Internet Explorer quanto o Outlook o reconhecerão. Entretanto, se você estiver usando o browser Firefox nessa plataforma, será necessário instalar o certificado duas vezes: uma pelo Firefox e outra pelo Internet Explorer.