MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

FAQ: Uso de e-CPF ou e-CNPJ para autenticação de aplicações

A algum tempo que atualizo e mantenho atualmente no MSDN um documento de como utilizar certificados digitais na autenticação de clientes (http://msdn.microsoft.com/pt-br/library/ee923720.aspx).

Porem, neste artigo abordamos a autenticação utilizando certificados emitidos pelo próprio cliente com uma CA seja no Windows 2003 ou no Windows 2008 (para as diferentes versões do Windows veja o link http://www.marcelosincic.com.br/blog/page/Artigos-e-Apostilas.aspx.

Recebo semanalmente perguntas e dúvidas sobre como utilizar o e-CNPJ e o e-CPF para fazer a autenticação e resolvi fazer este post em forma de FAQ das principais perguntas que recebo.

1. É necessário ter um certificado de autoridades públicas para autenticar e-CPF ou e-CNPJ?

Resposta: É necessário ter um certificado válido para instalar no seu IIS. Nos artigos acima a raiz certificadora (CA) não é válida na internet e a CRL muitas vezes está em um ambiente interno. Esta característica faz com que o browser não reconheça a CA ou não acesse a CRL e rejeite o certificado com a mensagem de erro devida. Como o browser não validou o certificado do servidor, ele não irá solicitar para o cliente o certificado dele.

2. Este certificado tem que ser emitido por uma certificadora vinculada ao ICP-Brasil (SERASA, CertiSign, CEF e outras) para autenticar e-CPF ou e-CNPJ?

Resposta: Teoricamente não, mas é preferencial. O problema de utilizar uma certificadora não vinculada a raiz do ICP-Brasil é que a autoridade não estará na lista de confiança, e mesmo podendo ser adicionada manualmente (veja questões abaixo) em alguns casos pode ocorrer a leitura parcial do certificado.

3. Eu tenho um e-CPF ou e-CNPJ e o meu servidor é certificado pela ICP-Brasil e mesmo assim não solicita o meu certificado. Porque?

Resposta: Você precisa montar a lista de autoridades certificadoras para que o certificado seja aceito e o motivo é que o ICP-Brasil não é um único emissor nem um único CA (veja questões abaixo). Para montar a lista de certificadoras aceitas verifique no documento do MSDN no inicio do post.

4. Alguns cartões ou tokens são aceitos e outros não, o que está acontecendo?

Resposta: O ICP-Brasil apresenta duas características que podem causar isso. A primeira é que a cadeia dos certificados é, por exemplo, “Autoridade Certificadora Brasileira –> Secretaria da Receita Federal (RFB) –> SERASA” e você irá precisar colocar o primeiro nível como “Autoridades Raiz Confiáveis” e as duas seguintes como “Autoridades Intermediarias Confiáveis” (veja como na continuação das perguntas).
O outro problema é que existem duas “Autoridade Certificadora Brasileira” que é o nome apenas e outras com “v1”. Ou seja, cartões e tokens emitidos antes de 2009 utilizam o certificado da primeira versão e os mais atuais da “v1” que é a mais recente. Portanto você precisará instalar os dois como raízes confiáveis.

5. Mesmo colocando os dois “Autoridade Certificadora Brasileira” na lista de confiáveis o token não aparece. Porque?

Resposta: Não é apenas a raiz que tem variações, mas também os certificados intermediários, que podem ser a “Secretaria da Fazenda”, “Receita Federal”, “SERAZA”, “CertiSign”, etc. Você precisa colocar estes como “Autoridades Intermediárias Certificadoras Confiáveis” (como encontrar todas elas veja perguntas abaixo).

6. Como incluo as raízes e intermediárias do ICP-Brasil no meu servidor?

Resposta: Abra o MMC e adicione o snap-in “Certificados” mas note que não “Usuário” e sim “Computador”. Não basta apenas dar duplo clique no arquivo “cer” para incluir, porque neste caso você estaria incluindo no usuário e não na máquina. Após incluir o snap-in clique com o botão direito nos locais e use a opção “Importar”. Veja na imagem abaixo onde deve ser incluído os certificados raízes “Autoridade Certificadora Brasileira” e os intermediários “Serasa”, “Certisign”, “RFB”, etc:

image

 

7. Onde encontro a lista com todos os certificadores e os certificados emitidos por eles?

Resposta: Utilize este endereço: http://www.iti.gov.br/twiki/bin/view/Certificacao/RepositoriodaACRaiz que contem as informações de todos os certificados existentes tanto as duas raízes quanto suas intermediárias. Note que indica quais os tipos de certificados e no caso do ICP-Brasil são A1 e A3.

8. No Internet Explorer e no Chrome funcionou logo na primeira vez e no Firefox não, o que acontece?

Resposta: O IE e o Chrome já possuem o ICP-Brasil na lista de autoridades, já o Firefox até hoje não implementou (http://br.mozdev.org/drupal/2008/07/icp-brasil-deve-ser-adicionado-ao-firefox) e é necessário fazer manualmente. No post da Mozilla ou no do ITI na pergunta anterior siga as instruções, lembrando que deve ser feito no cliente. Porem, note que o aplicativo do leitor do cartão normalmente tem a opção para fazer essa inclusão de forma automática.

9. Como leio os dados do certificado alem do “subjet” citado no artigo do MSDN?

Resposta: Utilizando o código abaixo é possivel ler os dados em uma aplicação Windows Form, basta converter o “Request.Certificate” que consta no artigo para o tipo X509Certificate2:

System.Security.Cryptography.X509Certificates.X509Store Lista =
    new System.Security.Cryptography.X509Certificates.X509Store();
Lista.Open(System.Security.Cryptography.X509Certificates.OpenFlags.IncludeArchived);
for (int Contador = 0; Contador < Lista.Certificates.Count; Contador++)
{
    System.Security.Cryptography.X509Certificates.X509Certificate2 Certificado = Lista.Certificates[Contador];
    MessageBox.Show(Certificado.ToString());
    string Dados = Certificado.Subject;
    listBox1.Items.Add(Dados);
    if (Dados.IndexOf("e-CPF") > 0 || Dados.IndexOf("e-CNPJ") > 0)
    {
        Dados = Dados.Remove(0, Dados.IndexOf(":") + 1);
        Dados = Dados.Remove(Dados.IndexOf("OU=") - 2);
        listBox1.Items.Add("e-CPF/e-CNPJ = " + Dados);
    }
}

 

Espero ter respondido as principais perguntas, e caso surjam novas vou atualizando este post.

Posted: jun 27 2010, 10:29 by msincic | Comentários (4) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: .NET | IIS | Outros

Softwares para gerencimento da SolarWinds

A SolarWinds não é uma empresa tão conhecida como a NetIQ e outras, mas possui ferramentas de gerenciamento muito boas. Já trabalhei com a ferramenta LanSurveyor que é excelente por gerar em poucos minutos um mapa de toda a rede, identificando inclusive o SO e o IOS dos dispositivos fisicos.

Porem, recentemente precisei de uma ferramenta que monitore o Exchange gerando uma tela simples para que um operador não especializado pudesse acompanhar parada nos serviços. A minha surpresa é que a SolarWinds está disponibilizando diversas ferramentas interessante de forma gratuita por meio de seu site. São ferramentas pontuais mas que ajudam bastante em situações como a minha.

Por exemplo, eles possuem a ferramenta NetFlow Configuration e Network Config Generator que permite fazer um backup da configuração de roteadores ou switchs e depois distribuir esta configuração para os outros devices da rede.

Vale a pena conferir, clique no link a seguir e desça até a categoria "Free Tools": http://www.solarwinds.com/downloads/

Posted: mai 26 2010, 09:41 by msincic | Comentários (2) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Outros

Microsoft Community Launch e Copa de Talentos

Atualização: Webcast em 1º de Maio de 2010.

Dia 01/05/2010 começam os eventos de lançamento dos produtos da Microsoft. Hoje já são mais de 60 eventos presenciais e um virtual e participarei deste ultimo. Para ver a relação completa dos presenciais entre em http://www.talentosmicrosoft.com.br/ e o que irei participar será sobre System Center Configuration Manager e Operations Manager.

 

Community Launch: Microsoft Community Day – Noite  
https://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032441751&EventCategory=4&culture=pt-BR&CountryCode=BR

Windows Server 2008 R2: Visão Geral
Palestrante: Alexandre Lopes, Consultor Senior especialista na plataforma SQL Server
SQL Server 2008 R2: Visão Geral
Palestrante: Vitor Fava, DBA com grande experiência nas áreas de Banco de Dados e Tecnologia da Informação
Visual Studio 2010 : Visão Geral
Palestrante: Agnaldo Diogo dos Santos, Possui mais de 25 anos de experiência na área
System Center: SCOM e SCCM
Palestrante: Marc
elo Sincic, Desenvolvedor desde 1989 com Clipper S'87 e Dbase III

 

Ao mesmo tempo amanhã ao meio dia inicia a Copa de Talentos, um programa de premios da Microsoft como foi o Win The 7 que participei.

Desta vez estão sendo entregues Xbox, TV de Plasma e assinaturas do TechNet e MSDN. A final do concurso será na Microsoft, em um final de semana, como aconteceu com o Win The 7.

Cadastre-se e bom jogo !!!!!

 

 

 

Posted: mar 24 2010, 14:23 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Outros

Uso de redes sociais: Vale a pena?

Uma pessoa que fala muito de redes sociais é o Luciano Palma (http://lpalma.com/), que saiu da Microsoft recentemente e está se dedicando a este assunto. Mas já tive muita desconfiança, tanto que fui um dos que logo cedo cometi "orkuticidio" e fiquei quase 2 anos sem utilizar estes meios.

Desde o finalzinho de 2008 voltei a utilizar as redes mais recentes e mais "profissionalizadas", atualmente uso Twitter, Blog, LinkedIn, Facebook e Windows Live. E posso dizer que as redes sociais são importantissimas, muito do que consegui como divulgação neste ano foi por meio destas redes.

Seguem dois artigos recentes bem interessantes que todos deveriam ler.

Para quem acha que é coisa de adolescente ou gente que não tem o que fazer: http://idgnow.uol.com.br/internet/2010/02/19/usuarios-de-redes-sociais-tem-37-anos-em-media/

Para quem quer ser bem visto nelas: http://idgnow.uol.com.br/internet/2010/02/22/dez-dicas-para-uma-empresa-ter-uma-boa-presenca-nas-redes-sociais/

Posted: fev 22 2010, 11:56 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Outros

Comprando direto da China (coisas que valem a pena !!!) Case HD e Adaptador para e-Sata

A alguns dias, depois do webcast que fiz sobre Sharepoint e SQL Server 2008, o Alexandre Lopes me fez uma pergunta sobre como rodava eu máquinas virtuais, pois ele achou rápido. Na ocasião comentei sobre o notebook e até cheguei a dizer que comprei aquele modelo por causa da porta e-SATA que utilizo para o meu HD externo.

Em primeiro lugar, e-Sata ou esata (External Serial ATA), é uma porta SATA externa com a velocidade real, ou seja, de 1.5GB (Sata I) ou 3.0GB (Sata II) o que nem se compara ao USB 2.0 que é de 400 MB. Existem adaptadores para desktop que se encaixam no slot frontal da maquina onde ficaria um drive de cdrom e placas PCMCIA ou ExpressCard para notebooks.

É ai que entra a China. Existe um site obscuro mas legal e confiavel que se chama Deal Extreme (www.dealextreme.com) que vende gadgets diversos. Este site é cheio de baboseira de camelô, tem até uma barata robotizada que se alimenta de luz solar !!!!!

Porem se você consultar a parte de informatica (computer) encontrará muitos itens legais, por exemplo, o slot para portas e-Sata e o case para HD de 3.5 ou 2.5 com saida e-Sata, USB e até alguns com Fireware. Enquanto aqui em SP nos "ching lings" se vende o slot por R$ 45 e o case de 2.5 por R$ 70, no DX o preço sai por muito menos. E o melhor de tudo é que este obscuro site (a INFO acha que eles tem algum tipo de apoio do governo) não cobra frete !!!!

Veja os itens que coloquei os preços (claro que em dólar) e se divirta com o resto do DX:

 Case de HD 2.5 (notebook) - $16.33
 

Adaptador Externo para e-Sata $4.20

 

Placa ExpressCard para e-Sata $12.59

Dicas e dados para compra no Deal Extreme:

  1. Utilize como meio de pagamento o PayPal (www.paypal.com), que é do eBay e portanto é confiável. É o mesmo site que se utiliza para comprar créditos para o Skype. Cadastre o seu cartão INTERNACIONAL e eles cuidarão do pagamento, evitando transtornos.
  2. Não é necessário se cadastrar no DX já que o pagamento será feito pelo PayPal
  3. Os produtos comprados vem em embalagens ocre com a inscrição "Gift", ou seja, um presente pra você.
  4. Em alguns casos a alfandega pode implicar e abrir os pacotes e você irá receber um aviso dos correios para ir pagar o imposto, que em geral é de 50% do valor total. Porem eu já comprei headset bluetooth, cases de HD, pilha, presenter wifi e um monte de tranqueiras (opa, Gadgets é mais bonito!) e apenas uma vez tive que pagar o imposto e o motivo é que mandei vir 3 cases de HD de 3.5 e o pacote ficou grande.
  5. Compre coisas em pacotes menores, evite juntar muitas coisas e criar um pacote grande como meu exemplo acima e evite problemas com a alfandega.
  6. Calma !!!!!! Se vc acompanhar pelo site dos correios irá descobrir que chega no Brasil em cerca de 10 dias, mas os correios demoram áté 60 dias para liberar por causa da alfandega, então espere pacientemente, NÃO COMPRE NADA QUE PRECISE COM URGENCIA

IMPORTANTE: Como falei no começo já comprei muitas vezes, nem sei dizer quantas, e nunca tive problemas. Mas isso não quer dizer que você não possa ter problemas. Afinal vem tudo da China de navio...

Posted: fev 12 2010, 10:18 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Hardware | Outros
Login