Como gerar um certificado de Homologação [Windows + Keystore explorer 5.0.1]

Publicado em 20/04/2020 12h18 Atualizado em 19/06/2023 11h45

O guia abaixo é exclusivo para a geração de certificados digitais de homologação, para permitir que órgãos validem funcionalmente a integração de seus sistemas com o Novo SIAFI - Homologação Externa.

1 - Solicitar um certificado

1.1 - Acessar o site: https://certificadoshom.serpro.gov.br/arssl/;

1.2 - Navegar no seguinte fluxo: 'Meu Certificado -> Solicitar -> Equipamento';

1.2.1 - Acionar o link 'e-Servidor A1 ' caso o seu Órgão tenha contrato com o SERPRO para emissão de certificados;

1.2.2 - Acionar o link 'Certificado de Equipamento A1 - R$ XXX,XX' caso o seu Órgão não tenha contrato com o SERPRO para emissão de certificados;

1.3 - Preencher o Formulário de Solicitação para Certificado Digital - Equipamento A1;

1.3.1 - No campo '* URL' preencher com o DNS ou Nome da aplicação. O usuário não poderá usar o caractere barra invertida "/" neste campo;

1.4 - Após finalizada a solicitação o sistema irá exibir informações detalhadas dos procedimentos adicionais que deverão ser realizados para a emissão do Certificado Digital.

1.4.1- Envie um e-mail para lista-certificado-siafiweb@serpro.gov.br com o seguinte texto:

Solicito a geração de certificado digital para testes. Número de Referência do Pedido: <numero>
Tipo de Certificado: Equipamento A1
Ambiente da Solicitação: https://certificadoshom.serpro.gov.br/arserprorfbssl/
Sistema: <sistema>
Funcionalidade: ex. Restabelecer Compromisso, Estornar Compromisso, ...
Órgão SIAFI: ex. 12801 TRIBUNAL REGIONAL FEDERAL - 1A REGIAO

1.4.1.1 - <numero> é o número da solicitação obtido no passo 1.4.

1.4.1.2 - <sistema> é o nome do sistema a ser integrado com o siafi informado no campo '* URL';

2- Preparar o ambiente para geração do par de chaves

Observação: As instruções a seguir foram baseadas em um ambiente Windows com o programa Keystore Explore 5.0.1

Dica 1: Realize todo o processo em uma mesma máquina/servidor.

Dica 2: Se você não tem familiaridade com este processo, crie uma senha única para informar sempre que for solicitado.

Dica 3: Crie senhas com caracteres especiais e números.

2.1 - Faça o download do keyStore Explorer em https://keystore-explorer.org/downloads.html;

2.2 – Abra o KeyStore Explorer e selecione a opção "Create a new KeyStore":

2.3 – Salve a keystore com o nome do seu sistema:

2.4 - O programa irá te solicitar uma senha para este keystore:

2.5 – Observe que o Keystore (Nome da Aba) foi criado com o nome informado:

2.6 – Acione o botão de geração do par de chaves:

2.7 – Informe o algoritmo 'RSA' e o tamanho da chave '2.048':

2.8 - Informe a versão 3, o algoritmo de assinatura 'SHA-512 with RSA', 1 ano de validade:

2.9 – Edite o Nome do certificado acionando o botão 'Edit name':

2.10 – A única informação necessária para a Autoridade de Registro do SERPRO é o campo 'Common Name (CN):' que deverá ser preenchido com a mesma informação adicionada no campo '* URL' do Formulário de Solicitação para Certificado Digital - Equipamento A1. Os demais campos deixar em branco:

obs: o usuário não poderá usar o caracter barra invertida "/" no CN

2.11 – Selecione 'OK' e verifique que no campo 'Name' terá apenas a informação 'CN=<sistema>':

2.12 – Selecione 'OK' e o sistema irá solicitar um alias para o par de chaves a ser gerado. Informe a mesma informação adicionada no campo '* URL' do Formulário de Solicitação para Certificado Digital - Equipamento A1:

2.13 – Confirme e o sistema exibirá uma mensagem de sucesso na geração do par de chaves:

3- Gerar requisição para Autoridade de Registro (.CSR)

3.1 – Clique com o botão direito sobre a keystore e acione a opção 'Generate CSR' para gerar a requisição a ser informada no momento da instalação do certificado no site da Autoridade de Registro 'requisicao.csr':

3.2 – Informe como parâmetros para o arquivo CSR os seguintes valores:

3.2.1 – Format: PKCS #10;

3.2.2 – Signature Algorithm: SHA-512 with RSA;

3.2.3 – Challenge: (Deixe em branco);

3.2.4 – CSR File: 'requisicao.csr'

3.3 - Após a execução do passo 3.2 será gerado o arquivo 'requisicao.csr' com o conteúdo a ser informado no site da Autoridade de Registro no momento da instalação;

3.4 - Aguarde o e-mail da Autoridade de Registro informando que o seu certificado está aprovado.

4 - Instalar um certificado

4.1 - Uma vez que a solicitação de certificado já foi aprovada por uma Autoridade de Registro (A Autoridade de Registro envia um e-mail informando a aprovação), o último passo para a obtenção do Certificado Digital é a instalação.

4.2 - Acessar o site: https://certificadoshom.serpro.gov.br/arssl/;

4.3 - Acessar o menu "Meu Certificado -> Baixar"

4.3.1 - Neste ponto o solicitante deverá apresentar suas credenciais de acesso e em seguida será apresentada a tela para instalação/download do seu Certificado Digital.

4.4 - Na tela de instalação do certificado, informar no único campo texto da tela o conteúdo do arquivo gerado no passo 3.2.4 'requisicao.csr' e acione o botão 'Salvar Certificado';

4.5 - O site disponibilizará um arquivo com o nome da URL informada e extensão .p7b '<sistema>.p7b'. Este arquivo contém a sua chave pública assinada e a cadeia confiável da Autoridade de Registro. Salve-o em seu computador e por segurança faça uma cópia de backup.

5- Preparação e Montagem do certificado digital para utilização pela aplicação cliente

5.1 – Converta o arquivo .p7b para o formato PEM que é reconhecido pelo KeyStore Explorer.

5.1.1 – Abra o site disponível na seguinte URL: https://www.sslshopper.com/ssl-converter.html

5.1.2 – Selecione o arquivo .p7b recebido da Autoridade de Registro, informe o tipo do arquivo 'P7B/PKCS#7' e converter para 'Standard PEM' conforme exemplo abaixo:

5.2 - No sistema KeyStore, utilize a opção "Import CA Reply" clicando com o botão direito sobre a opção "<sistema>.key" para importar a resposta da Autoridade de Registro. Selecione o arquivo convertido (*.PEM):