- 9. Certificados Digitais
9.3. Instalação do Certificado Digital Cliente - 9.2. Qual tipo de certificado e de quem adquirir?
« Anterior - 9.4. Instalação do Certificado Digital da Cadeia do WS
Próximo »
9.3. Instalação do Certificado Digital Cliente
Após a aquisição do certificado digital, o próximo passo é a instalação do mesmo no equipamento que será utilizado, seguindo as orientações do fornecedor do certificado digital.
A DLL acessa o repositório de certificados digitais da conta do usuário corrente do Windows, assim, o certificado digital deve ser instalado para cada usuário que vai utilizar a DLL.
O repositório de certificados digitais do usuário corrente pode ser acessado através do Internet Explorer, na aba pessoal (MY) do menu Ferramentas/opções da internet/conteúdo/certificados.
Requisitos de Validade do Certificado Digital
Certificado Digital ICP-BR
O certificado digital deve ser um certificado digital de Pessoa Jurídica emitido por Autoridade Certificadora credenciado ao ICP-BR.
Validade do Certificado Digital
A DLL só trabalha com certificados digitais que estão dentro do período de validade. Assim, os certificados digitais que não se encontram dentro do período de validade não serão utilizados. Algumas AC emitem certificados digitais com data de início de validade futura, neste caso o certificado digital só vai ser mostrado a partir da data e hora que constar como data de início de validade, da mesma forma os certificados digitais expirados não serão mostrados.
Repositório de Certificado Digital
A DLL pesquisa o repositório de certificados digitais do usuário corrente, isto é, somente os certificados digitais instalados no repositório de certificados digitais do logon do usuário estarão disponíveis. Caso a aplicação seja um serviço windows ou seja executada como um serviço (aplicação ASP), pode ser necessária a instalação do certificado digital no repositório local machine e uma versão diferente da DLL.
Ambiente com autenticação de usuário em servidor de domínio
O certificado digital deve ser instalado no equipamento local, a instalação em um servidor de domínio ou o logon com autenticação no domínio pode provocar erro e mal-funcionamento da DLL.
Cadeia de Certificados da AC emissora confiável
O certificado digital só é considerado válido se todos os certificados da cadeia forem considerados válidos, o que vale dizer que pelo menos o certificado digital da Autoridade Certificadora Raiz do ICP-BR deve existir no repositório de AC Raiz confiáveis, em algumas versões do Windows ainda é necessário a existência dos certificados digitais da AC intermediária e da AC emissora do certificado digital também.
Certificado Digital com chave privada
Quando falamos de certificado digital válido, estamos falando de um certificado digital com chave privada. Já aconteceu do desenvolvedor receber o certificado digital do cliente, que mesmo após a instalação não aparecia na aba pessoal do repositório de certificados digitais por não possuir a chave privada. A tentativa de uso deste certificado digital resulta em erro de falta de chave privada. A chave pública do certificado digital não tem a chave privada e tem a extensão cer, assim caso receba um arquivo com esta extensão, solicite um arquivo com extensão pfx.
Também é possível verificar se o certificado digital tem chave privada ou não pela sua propriedade na opção Ferramentas/Opções da Internet/Conteúdo/Certificados/Exibir do menu do Internet Explorer:
Um certificado digital não instalado corretamente pode causar problemas na autenticação nos Web Services da NF-e e no pior caso, pode prejudicar o processo de assinatura digital.
O problema mais comum é a falta de instalação dos certificados digitais da cadeia do certificado digital da AC emissora do certificado digital que em geral provoca o seguinte erro na consumo do Web Service:
HTTP status 403: Forbidden
5001 - Erro: Falha na conexão: [Falha na solicitação com status HTTP 403: Forbidden.]
5001 - Erro: Falha na conexão: [The request failed with HTTP status 403: Forbidden.]
A verificação da correta instalação do certificado digital do cliente pode ser feita como segue:
- abrir o Internet Explorer;
- clicar em Opções da Internet no item Ferramentas do menu;
- clicar no botão Certificados da aba Conteúdo;
- selecionar o certificado digital na aba pessoal e clicar no botão Exibir, se o certificado não existir nesta aba é necessário instalar o certificado digital novamente;
- verificar se o status do certificado é válido e a cadeia de certificados está completa com 4 certificados digitais na aba Caminho de certificação;
Exemplo de Certificado Digital que AC emissora do Certificado Digital não confiável:
Este caso ocorre quando o certificado digital da AC Emissora do Certificado Digital não está instalado no CSP do Windows, para solucionar o problema é necessário instalar a cadeia certificados digitais do AC emissora do certificado digital.
Exemplo de Certificado Digital que AC Raiz não confiável:
Este caso ocorre quando o certificado digital da AC Raiz da ICP-BR não se está instalado no CSP do Windows, para solucionar o problema é necessário instalar o certificado digital de forma dirigida.
Exemplo de Certificado Digital corretamente instalado:
- 9.3. Instalação do Certificado Digital Cliente
9. Certificados Digitais - « Anterior
9.2. Qual tipo de certificado e de quem adquirir? - Próximo »
9.4. Instalação do Certificado Digital da Cadeia do WS