Este artigo é um pouco mais direcionado para profissionais de TI (equipe de suporte helpdesk) em ambientes corporativos, para ajuda na solução de um problema relacionado ao uso de certificados digitais no formato A1 em alguns sites governamentais, mais especificamente em máquinas que possuem politicas de segurança via gpo, protheus ou outros recursos e técnicas de segurança (cyber security).
Durante a pandemia de covid-19 muitas empresas passaram a utilizar com mais frequência os certificados digitais (modelos A1, A3 e token) para validar documentações via internet. Porém, diversos sites tem sistemas diferentes de validação de certificados e tive problemas com alguns que não reconheciam os certificados que estavam instalados no computador.
Segue abaixo um breve resumo do caso, qual a dificuldade encontrada, a causa raiz do problema e a solução.
Problema:
O usuário não consegue realizar assinatura de documentos com
certificado digital A1 em alguns sites. Apresenta mensagem de "certificado não encontrado".
Causa do problema:
Alguns sites governamentais (alguns exemplos: https://www.empresafacil.pr.gov.br ; http://www.jucepar.pr.gov.br ; https://neoenergia.portaldeassinaturas.com.br ; https://www.simplifica.es.gov.br) só reconhecem os certificados digitais quando são instalados na máquina sem uma senha obrigatória. A política de segurança em equipamentos de algumas empresas (computadores que utilizam configurações de domínio de rede) não permite instalar certificados A1 sem a obrigação de cadastrar uma senha. O uso de senhas seguras e altamente recomendado do ponto de vista de segurança da informação, mas neste caso especifico, possivelmente por um mal uso de configurações, desenvolvimento e tecnologia por parte dos responsáveis dos sites, o sistema deles não funciona com certificados que utilizam senha de utilização.
Solução:
1a opção: Realizar ajuste na política para permitir a opção de usar
senha ou não na instalação de certificados A1.
O recurso do Windows para realizar alterações de politica na máquina local é o gpedit.msc, basta executá-lo como administrador e então navegar pelo caminho:
Configurações do computador > Configurações do Windows > Configurações de
segurança > Políticas locais > Opções de segurança >
"Criptografia do sistema: forçar proteção de chave forte para chaves do
usuário armazenadas no computador".
Em seguida selecionar essa opção: "o usuário é consultado quando a chave é usada pela primeira vez".
Fazer isso permite que o certificado digital seja instalado
sem a necessidade de utilizar uma senha obrigatória e os sites passam a reconhecer o
certificado que foi instalado.
2a opção (plano B): Se não for possível alterar essas configurações de forma definitiva no ambiente corporativo, uma alternativa seria retirar o computador do domínio para poder realizar a alteração da politica de segurança conforme mostrado na 1a opção, e criar um usuário local padrão no Windows. Com esse usuário criado e logado no Windows, realizar a instalação do certificado sem senha, e sempre que for necessário utilizar algum desses sites, fazer por meio deste usuário local do Windows.
Espero ter ajudado, deixem seus comentários se desejarem e até a próxima.
Comentários
Postar um comentário