A configuração de certificados define a interação entre as chaves privadas no HSM e os certificados conhecidos pelo Windows.

Aplicações Windows normalmente interagem apenas com os certificados. Os provedores de serviços criptográficos (CSPs - Cryptographic Services Providers) fazem a interface e estes certificados e os dispositivos que armazenam as chaves privada (como HSMs e tokens usb), portanto é importante entender como está o ambiente, e saber por exemplo se determinada chave privada no HSM tem o respectivo certificado reconhecido pelo Windows.

Pela forma como funciona a arquitetura do sistema Windows o fato de ter a chave e o certificado carregados no HSM não o tornam automaticamente disponíveis para as aplicações. A console gráfica procurar deixar o máximo de passos automatizados mas alguma intervenção do usuário pode ser necessária.

A configuração feita via console gráfica fica no escopo (perfil) do usuário, e portanto válida e reconhecida somente para as aplicações executando sob o perfil do usuário corrente.

Para usar as configurações da opção Certificados é necessário se conectar ao HSM. Se não houver uma conta de usuário de HSM já configurada a console irá solicitar uma.

Após conectar com o HSM a console irá exibir uma barra de status, uma barra de título e um menu lateral. Na barra de status (parte inferior) é exibida a versão da console. Na barra de título são exibidos as informações de status de conexão com nuvem da Dinamo Networks, um aviso sobre a telemetria do HSM com a nuvem, o número serial do HSM, o endereço IP e a versão de firmware.

As opções de configuração de ambiente estão agrupadas em abas:

1. Usuários do HSM

2. Certificados

3. Backup

4. Dinamo Super Cloud

5. Abrir Console HTTP

As demais opções são ações diretas:

1. Tela Inicial

2. Sair

Ao carregar as configurações de Usuários e Certificados a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente.

Usuários do HSM

Define qual usuário do HSM está sendo utilizado no acesso; o nome é exibido no topo da página.

Caso o usuário atualmente configurado tenha permissão será possível criar novos usuário no HSM (botão Criar usuário). Este operação não troca a configuração atual.

É possível compartilhar a partição corrente com outros usuários do HSM (botão Compartilhar). Se tiver permissão de listagem poderá escolher de uma lista, senão deverá digitar o nome do usuário com quem quer compartilhar a partição.

Para trocar o usuário corrente do HSM use o botão Trocar usuário. Se tiver permissão de listagem poderá escolher de uma lista, senão deverá digitar o nome do novo usuário.

Para alterar a senha do usuário do HSM corrente use o botão Trocar senha e digite a nova senha.

Certificados

O gerenciamento das relações entre chaves privada, certificados e provedores é feito através das opções abaixo.

Para importar um arquivo de certificado PKCS#12 (.pfx) para o HSM use o botão Importar. Selecione o arquivo e informe um nome e a senha. O nome será usado para identificar a chave no HSM, o certificado terá o mesmo nome da chave sufixado com _cer. Quando um arquivo PKCS#12 é importado, o certificado é automaticamente associado ao provedor de serviços criptográficos (CSP) do HSM.

Caso o HSM esteja configurado para telemetria com o serviço de nuvem da Dinamo Networks, é possível visualizar o relatório de uso dos certificados diretamente no site de serviços. O botão Relatório de uso abre uma nova janela (default browser) na página do relatório de uso dos certificados. Pode ser necessário efetuar o login para visualizar o relatório.

Para emitir um certificado diretamente com uma Autoridade Certificadora (AC) use o botão Emitir via AC e selecione a AC. Cada AC tem sua própria política de documentos e procedimentos necessários para emitir um certificado a partir de uma chave no HSM, portanto este processo deve iniciar por um contato prévio com a AC. Verifique na versão instalada da console gráfica quais ACs estão disponíveis.

No botão atualizar a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente. Este varredura também é feita sempre que a opção Certificados é selecionada na tela principal.

As colunas da tabela de certificados podem ser redimensionadas, reposicionadas e ordenadas.

O campo de procura faz uma busca textual nas linhas da tabela, é sensível a maiúsculas e minúsculas e permite uso de wildcards com *.

Colunas:

1. Emitido para:

2. HSM:

3. Windows:

4. Nuvem:

5. Data de expiração:

6. Chave privada no HSM:

7. Chave privada na Nuvem:

8. Provedor da chave:

9. Container:

10. Impressão digital:

As ações na tabela são acionadas num menu pop up via botão direito do mouse. Conforme o status, para cada certificado são disponíveis as seguintes opções:

1. Abrir:

2. Habilitar:

3. Desabilitar:

4. Habilitar todos:

5. Desabilitar todos:

6. Upload para a nuvem:

7. Mudar para provedor em HSM:

8. Mudar para provedor em nuvem:

Backup

Realiza operação de backup (cópia de segurança) da base o HSM. O usuário atual deve ter a permissão necessária. Selecione o arquivo destino e informe a senha de proteção. Um backup pode ser realizado sem interromper a operação do HSM.

A restauração de backup também requer permissão. O restore só é processado e efetivado após um reboot no HSM.

Dinamo Super Cloud

Exibe a conta atualmente configurada e conectada com o serviço de nuvem da Dinamo Networks. É possível trocar a conta ou fechar a sessão.

Para interromper o envio de telemetria do HSM para o serviço de nuvem da Dinamo Networks, use o botão Desvincular HSM da nuvem.

Para importar certificados que estejam na nuvem para o HSM use o botão Importar certificados. Somente é importado o certificado, não a chave privada.

Abrir console HTTP

O botão Abrir console HTTP abre uma nova janela (default browser) com a tela inicial de login da console HTTP do HSM. Para mais detalhes sobre a console consulte o tópico Console HTTP.