Uso com contas de sistema
Toda a configuração feita usando a console Dinamocon do HSM estará no escopo do usuário atual (Current User). Para configurar os parâmetros para contas de sistema, é necessário impersonificar a execução do console no Windows sob a conta em questão. Isto pode ser feito utilizando ferramentas disponibilizadas pela própria Microsoft, fabricante do sistema operacional.
As contas de sistema tratadas aqui são:
System
(ou SISTEMA), sid:S-1-5-18
LocalService
(ou SERVIÇO LOCAL), sid:S-1-5-19
NetworkService
(ou SERVIÇO DE REDE), sid:S-1-5-20
A rigor estas não são exatamente contas no Windows, mas trataremos assim para facilitar o entendimento.
Ferramentas utilizadas
Ferramenta utilizada para impersonificação:
psexec64
, da suite PSTtools fornecida pela Microsoft.Software cliente do HSM Dinamo: msi 64-bit, inclui a console de gerência GUI (Dinamocon).
Utilitário para HSM Dinamo:
hsmutil
.
Procedimento para associar um certificado em conta de sistema com uma chave no HSM
Atenção: a execução com identidade de SISTEMA dá um acesso praticamente ilimitado a todo o ambiente e pode provocar danos reais se usada de forma inapropriada. Seja bastante cauteloso no uso desta facilidade.
Instanciar um terminal
cmd
sob o perfil de uma conta de sistema do Windows. Execute o comando abaixo (conforme a conta de interesse) num terminal (powershell ou cmd) com elevação de privilégio administrativo:As contas devem ser informadas exatamente por estes nomes (em inglês) mesmo em sistemas em português; ainda que possam ser mostradas localizadas em certos utilitários (gui e cli) do Windows.
Note que estas contas não têm senha. Caso esteja sendo solicitada alguma é provável que o nome da conta esteja sendo informado incorretamente.
Ex:
O novo
cmd
startado rodará sob o perfil da conta indicada, ou seja, esta conta será o current user para qualquer aplicação executada a partir dele.Executar a console GUI de gerência do HSM a partir do terminal
cmd
.Na barra de título é exibida a conta sob a qual a console está rodando (v 4.8.0+).
Em Configuração de ambiente/MS CAPI/Containers verifique ou crie o container e indique a chave privada que será usada. Tome nota do nome do container. Para maiores informações consulte o tópico específico Conteiners.
Executar o gerenciador de certificados gui a partir do
cmd
.Localize o certificado que será associado e tome nota do hash do certificado (também chamado de fingerprint ou impressão digital). O valor de hash será utilizado adiante, tome nota. Se o certificado ainda não foi importado, é possível fazê-lo neste momento utilizando o gerenciador.
Também é possível listar os certificados executando a linha de comando:
Executar, a partir do
cmd
, o utilitário hsmutil para fazer a associação entre um certificado no cert store do Windows e uma chave no HSM:Ex. 1, para provedor CSP:
-conteiner
é um nome de conteiner de csp-keyspec
é o uso da chave no conteiner (sign ou key_exchange)
Ex. 2, para provedor CNG (cng habilitada):
-conteiner
é um nome de chave no HSM-keyspec
écng
(literal)
Para fazer um teste de assinatura via CSP/CNG é possível utilizar o hsmutil :
Ex:
Last updated