Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux

Quando o fabricante não tem parceria com a Autoridade Certificadora (CA - certificate authoraty), o certificado A1 da AC-Raiz não vem incorporado em sua estrutura. Neste caso há a necessidade da incorporação manual deste certificado para evitar a mensagem falso-positivo: "O certificado de segurança do site não é confiável".

[ Hits: 49.820 ]

Por: Ricardo Brito do Nascimento em 14/12/2010 | Blog: http://brito.blog.incolume.com.br


Configuração



Primeiro, para obter o certificate filename, o arquivo do certificado, o mais indicado é pegá-lo no sítio oficial da CA.

No caso do ICP-Brasil, o certificado se encontra disponível em:
openssl x509 -inform der -in CertificadoACRaiz.crt -out ICP-Brasil.pem

Mas também é possível obtê-lo diretamente do sítio visitado:
  1. Acesse o sítio no qual aparece a mensagem falso-positivo;
  2. Clique no cadeado que aparece na barra de navegação;
  3. Na caixa informações de segurança, clique no botão informações do certificado;
  4. Selecione a aba Detalhes;
  5. Na caixa Hierarquia de certificados, selecione ICP-Brasil;
  6. Após selecionado ICP-Brasil, clique no botão Exportar no final da caixa;
  7. Salve o arquivo no local desejado.

De posse do certificado raiz do ICP-Brasil, execute os seguintes comandos:

certutil -d sql:$HOME/.pki/nssdb -L
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI


Esta é a saída porque ainda não há certificados importados.

certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n ICP-Brasil -i ICP-Brasil.pem
$ certutil -d sql:$HOME/.pki/nssdb -L

Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI

ICP-Brasil C,,


Observe que agora aparece o ICP-Brasil na lista de certificados.

certutil -d sql:$HOME/.pki/nssdb -L -n ICP-Brasil
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4 (0x4)
Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption
Issuer: "CN=Autoridade Certificadora Raiz Brasileira,ST=DF,L=Brasilia
,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Br
asil,C=BR"
Validity:
Not Before: Fri Nov 30 12:58:00 2001
Not After : Wed Nov 30 23:59:00 2011
Subject: "CN=Autoridade Certificadora Raiz Brasileira,ST=DF,L=Brasili
a,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-B
rasil,C=BR"
Subject Public Key Info:
Public Key Algorithm: PKCS #1 RSA Encryption
RSA Public Key:
Modulus:
c0:f3:2e:77:05:ff:86:f9:be:52:1d:9b:fe:54:00:70:
75:40:8a:c6:a6:68:b9:16:76:4c:0f:f7:f4:bf:b4:e2:
88:81:1a:cb:e8:ec:be:64:81:a5:39:47:5d:ea:e6:2d:
93:d3:1a:ff:7a:54:a6:07:1f:34:08:f4:bd:89:b9:82:
cc:a3:42:8f:5e:9a:c7:3e:c7:a9:b8:55:6c:24:f6:2a:
8c:65:20:8a:e4:44:24:02:af:d4:b7:89:fb:2a:e2:c4:
d7:e8:1d:7e:dc:1d:22:0c:5f:52:c3:ed:e0:2c:8d:ad:
8e:74:41:5e:7b:28:cd:94:4f:cc:79:ae:b9:b3:12:3a:
fb:4c:80:86:a5:25:00:97:68:15:a9:ee:b1:6a:28:be:
6e:66:11:d5:0a:e6:59:a0:52:00:6e:7d:2e:b9:2b:8e:
b6:2d:6d:18:45:6e:85:03:7b:50:ca:fb:a4:fc:b3:92:
fa:93:c7:3c:a2:4a:5b:1e:96:bd:bd:e3:33:b4:35:42:
f6:c3:c9:eb:43:16:5e:1e:9a:9d:52:a8:d5:47:0b:71:
b5:11:c8:47:8d:bd:99:de:55:12:80:01:4e:a8:bb:07:
63:0e:fc:25:b1:a2:b2:74:52:b0:79:dd:13:a1:0e:3b:
6e:65:0a:81:c9:be:c1:5d:de:4d:19:37:e9:43:a7:4f
Exponent: 65537 (0x10001)
Signed Extensions:
Name: Certificate Policies
Data:
Policy Name: OID.2.16.76.1.1.0
Policy Qualifier Name: PKIX CPS Pointer Qualifier
Policy Qualifier Data: "http://acraiz.icpbrasil.gov.br/DP
Cacraiz.pdf"

Name: CRL Distribution Points
URI: "http://acraiz.icpbrasil.gov.br/LCRacraiz.crl"

Name: Certificate Subject Key ID
Data:
8a:fa:f1:57:84:11:13:35:90:42:fa:57:49:54:69:0d:
a4:c4:f0:37

Name: Certificate Basic Constraints
Critical: True
Data: Is a CA with no maximum path length.

Name: Certificate Key Usage
Critical: True
Usages: Certificate Signing
CRL Signing

Signature Algorithm: PKCS #1 SHA-1 With RSA Encryption
Signature:
19:03:97:35:53:f8:60:22:1e:8e:72:02:c0:7e:22:60:
15:6a:6f:98:36:56:aa:55:77:d3:f6:c7:16:98:fc:88:
1a:1b:25:29:b9:b8:3a:6d:ed:38:ab:62:1d:54:c5:ed:
df:41:a1:a5:62:32:5e:fb:dc:dd:fa:2c:cf:45:b0:6a:
5c:f5:50:03:7e:04:5d:cc:24:e2:aa:56:b9:fd:61:1e:
b8:96:7d:da:f1:f0:07:2a:4a:aa:fa:0a:e4:05:c1:2a:
fb:e4:5a:2c:4b:39:70:0c:00:da:ef:49:93:ef:06:63:
02:64:21:9d:9c:76:c4:9e:b0:7d:69:53:f5:54:1f:4b:
ff:c9:61:e2:1c:ec:5b:9e:d8:93:4b:77:4d:14:39:23:
0c:6a:22:bf:b7:bf:5e:9c:a3:47:10:0d:9f:ba:91:f7:
bc:48:a0:7f:91:21:e1:b5:40:37:95:68:86:b4:e6:e8:
c6:39:df:1e:d7:41:96:6b:d4:c1:3b:6b:9e:65:14:49:
d2:79:3d:2e:9a:53:80:8d:1d:a6:01:bb:d2:33:95:f9:
a1:26:4d:ae:67:ad:77:3c:93:8f:67:e5:08:cf:02:0b:
b3:0b:69:bd:24:91:d9:e0:44:89:54:04:61:c5:d7:f4:
b9:9e:63:db:2b:ef:40:e3:ab:1d:df:7a:2a:2b:c9:fc
Fingerprint (MD5):
96:89:7D:61:D1:55:2B:27:E2:5A:39:B4:2A:6C:44:6F
Fingerprint (SHA1):
8E:FD:CA:BC:93:E6:1E:92:5D:4D:1D:ED:18:1A:43:20:A4:67:A1:39

Certificate Trust Flags:
SSL Flags:
Valid CA
Trusted CA


Agora realize o logoff e um novo logon, e pronto!

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Utilizando o NSS
   3. Configuração
   4. Desfecho
Outros artigos deste autor

Formatando exibição de datas no Linux

Configurando proxy no shell

Vim com corretor ortográfico em pt_BR/es_ES/en_US

Encapsulamento de Apache com chroot

Clonagem de Hardware Hotline em Software Livre

Leitura recomendada

Implementando segurança no SSH

Snort + ACID + MySQL no Slackware

Gateway autenticado com Apache, Iptables e CGI em shell

Linux - Permissões de acesso especiais

Segurança no SSH via plugins da PAM

  
Comentários
[1] Comentário enviado por alefesampaio em 15/12/2010 - 09:15h

So tenho Uma coisa para dizer... Ótimo Artigo bem Elaborado.... Sobre tudo Com uma ótica legal...!!!

[2] Comentário enviado por rbn_jesus em 15/12/2010 - 16:59h

Obrigado alefesampaio!!!


[3] Comentário enviado por fernandoborges em 17/12/2010 - 13:06h

Parabéns pelo artigo.

[4] Comentário enviado por rbn_jesus em 20/12/2010 - 14:46h

Obrigado fernandoborges!

[5] Comentário enviado por premoli em 20/01/2011 - 14:24h

Isso quer dizer que vou poder voltar a passar SMS via web da Vivo novamente! Viva o linux!!!

[6] Comentário enviado por thiagoxcampos em 21/02/2015 - 13:51h


Excelente Artigo. Foi muito útil.

Vlw.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts