Usuários e certificados
A configuração de certificados define a interação entre as chaves privadas no HSM e os certificados conhecidos pelo Windows.
Aplicações Windows normalmente interagem apenas com os certificados. Os provedores de serviços criptográficos (CSPs - Cryptographic Services Providers) fazem a interface e estes certificados e os dispositivos que armazenam as chaves privada (como HSMs e tokens usb), portanto é importante entender como está o ambiente, e saber por exemplo se determinada chave privada no HSM tem o respectivo certificado reconhecido pelo Windows.
Pela forma como funciona a arquitetura do sistema Windows o fato de ter a chave e o certificado carregados no HSM não o tornam automaticamente disponíveis para as aplicações. A console gráfica procurar deixar o máximo de passos automatizados mas alguma intervenção do usuário pode ser necessária.
A configuração feita via console gráfica fica no escopo (perfil) do usuário, e portanto válida e reconhecida somente para as aplicações executando sob o perfil do usuário corrente.
Para usar as configurações da opção Certificados é necessário se conectar ao HSM. Se não houver uma conta de usuário de HSM já configurada a console irá solicitar uma.
Após conectar com o HSM a console irá exibir uma barra de status, uma barra de título e um menu lateral. Na barra de status (parte inferior) é exibida a versão da console. Na barra de título são exibidos as informações de status de conexão com nuvem da Dinamo Networks, um aviso sobre a telemetria do HSM com a nuvem, o número serial do HSM, o endereço IP e a versão de firmware.
A integração com a nuvem é opcional e não interfere com a operação normal do HSM. Caso não esteja usando a telemetria para a nuvem, pode ignorar as mensagens de aviso relacionadas na barra de titulo.
As opções de configuração de ambiente estão agrupadas em abas:
As demais opções são ações diretas:
Tela Inicial
Sair
Ao carregar as configurações de Usuários e Certificados a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente.
Usuários do HSM
Define qual usuário do HSM está sendo utilizado no acesso; o nome é exibido no topo da página.
Caso o usuário atualmente configurado tenha permissão será possível criar novos usuário no HSM (botão Criar usuário). Este operação não troca a configuração atual.
É possível compartilhar a partição corrente com outros usuários do HSM (botão Compartilhar). Se tiver permissão de listagem poderá escolher de uma lista, senão deverá digitar o nome do usuário com quem quer compartilhar a partição.
Uma vez compartilhada a partição, todos os certificados e chaves estarão disponíveis para o(s) usuário(s) selecionado(s).
Para trocar o usuário corrente do HSM use o botão Trocar usuário. Se tiver permissão de listagem poderá escolher de uma lista, senão deverá digitar o nome do novo usuário.
Para alterar a senha do usuário do HSM corrente use o botão Trocar senha e digite a nova senha.
Administradores do HSM não tem permissão para alterar senhas de outros usuários. Somente o próprio usuário pode alterar sua senha. Não há opção de recuperação de senhas em caso de perda. Isto é um recurso de segurança e requisito exigido por normas de homologação.
Certificados
O gerenciamento das relações entre chaves privada, certificados e provedores é feito através das opções abaixo.
Para importar um arquivo de certificado PKCS#12 (.pfx
) para o HSM use o botão Importar. Selecione o arquivo e informe um nome e a senha. O nome será usado para identificar a chave no HSM, o certificado terá o mesmo nome da chave sufixado com _cer
. Quando um arquivo PKCS#12 é importado, o certificado é automaticamente associado ao provedor de serviços criptográficos (CSP) do HSM.
Caso o HSM esteja configurado para telemetria com o serviço de nuvem da Dinamo Networks, é possível visualizar o relatório de uso dos certificados diretamente no site de serviços. O botão Relatório de uso abre uma nova janela (default browser) na página do relatório de uso dos certificados. Pode ser necessário efetuar o login para visualizar o relatório.
Para emitir um certificado diretamente com uma Autoridade Certificadora (AC) use o botão Emitir via AC e selecione a AC. Cada AC tem sua própria política de documentos e procedimentos necessários para emitir um certificado a partir de uma chave no HSM, portanto este processo deve iniciar por um contato prévio com a AC. Verifique na versão instalada da console gráfica quais ACs estão disponíveis.
No botão atualizar a console irá fazer uma varredura do ambiente e buscar possíveis relações entre chaves privadas e certificados que possam ser configuradas automaticamente. Este varredura também é feita sempre que a opção Certificados é selecionada na tela principal.
As colunas da tabela de certificados podem ser redimensionadas, reposicionadas e ordenadas.
O campo de procura faz uma busca textual nas linhas da tabela, é sensível a maiúsculas e minúsculas e permite uso de wildcards com *
.
Colunas:
Emitido para:
HSM:
Windows:
Nuvem:
Data de expiração:
Chave privada no HSM:
Chave privada na Nuvem:
Provedor da chave:
Container:
Impressão digital:
As ações na tabela são acionadas num menu pop up via botão direito do mouse. Conforme o status, para cada certificado são disponíveis as seguintes opções:
Abrir:
Habilitar:
Desabilitar:
Habilitar todos:
Desabilitar todos:
Upload para a nuvem:
Mudar para provedor em HSM:
Mudar para provedor em nuvem:
Backup
Realiza operação de backup (cópia de segurança) da base o HSM. O usuário atual deve ter a permissão necessária. Selecione o arquivo destino e informe a senha de proteção. Um backup pode ser realizado sem interromper a operação do HSM.
A restauração de backup também requer permissão. O restore só é processado e efetivado após um reboot no HSM.
A restauração de backup sobrescreve completamente a base do HSM. Após a operação, a SVMK (smart cards ou senha de ativação) de ativação do HSM será aquela que estava configurada no HSM quando o backup foi gerado.
Dinamo Super Cloud
Exibe a conta atualmente configurada e conectada com o serviço de nuvem da Dinamo Networks. É possível trocar a conta ou fechar a sessão.
Para interromper o envio de telemetria do HSM para o serviço de nuvem da Dinamo Networks, use o botão Desvincular HSM da nuvem.
Para importar certificados que estejam na nuvem para o HSM use o botão Importar certificados. Somente é importado o certificado, não a chave privada.
A integração com a nuvem é opcional e não interfere com a operação normal do HSM.
Abrir console HTTP
O botão Abrir console HTTP abre uma nova janela (default browser) com a tela inicial de login da console HTTP do HSM. Para mais detalhes sobre a console consulte o tópico Console HTTP.
Atualizado