Esta tela lista os certificados no repositório My (Personal) do usuário atual do Windows, mostrando os containers associados, e quando é o caso, a chave privada correspondente no HSM. Também é possível fazer novas associações, exibir detalhes de cada certificado e registrar um certificado para EFS (Encryption File System)
Para abrir a tela de certificados clique com o botão direito sobre o ícone do agente na bandeja do sistema. O menu do agente deverá ser mostrado; selecione a opção Certificados. Caso o agente não esteja carregado na bandeja do sistema é possível executá-lo novamente no atalho (shortcut) Start HSM Agent no menu de atalhos do Windows.
Fig. Menu Agente - Opção Certificados
Fig. Configuração Certificados - Lista de certificados do usuário corrente
Visualização
Os certificados são exibidos na coluna Emitido Para exibindo o valor de Common Name do campo Subject do certificado. Para visualizar um certificado, selecione-o na lista e em seguida clique no botão Visualizar ou dê um clique duplo sobre o certificado na lista.
Fig. Configuração Certificados - Visualização de Certificados
Associação
A associação entre uma chave privada RSA no HSM e um certificado na base de certificados do usuário no Windows (CertStore) pode ser feita na botão Associar. Esta relação entre o certificado e a chave no HSM é mantida na própria base de certificados do Windows, o que permite que APIs do Windows possam utilizar a chave privada relacionada ao certificado sem precisar conhecer detalhes da chave ou do provedor de criptografia (CSP) que guarda a chave privada correspondente àquele certificado.
Como pré-requisito do Windows para a associação entre um certificado e uma chave privada RSA é necessário que exista um container para esta chave. A opção CSP no menu do Agente pode ser usada para criação de containers.
Os containers criados manualmente poderão ter os dois slots de identificação de chave privada RSA preenchidos como:
| 1. | chaves de assinatura e de sigilo diferentes |
| 2. | chaves de assinatura e de sigilo iguais |
| 3. | somente chave de assinatura (slot de sigilo vazio) |
| 4. | somente chave de sigilo (slot de assinatura vazio) |
| 5. | sem chave alguma (ambos slots vazios) |
No processo de associação entre chave privada e um certificado o Windows define uma propriedade (flag) para o uso da chave, que pode ser siglo ou assinatura.
Durante a associação com um container criado manualmente pelo usuário o agente seta a propriedade de assinatura ou sigilo de acordo com os slots do container escolhido:
| 1. | se a mesma chave estiver nos dois slots, setar para sigilo |
| 2. | se a chave correspondente estiver só num dos slots, setar de acordo (sigilo ou assinatura), |
Fig. Containers da CSP - container com chave de usuário
Quando o agente detecta que existe uma chave privada correspondente a um certificado, mas não existe ainda um container com esta chave ele pode criar um container automaticamente, caso o usuário decida fazer uma associação. Os containers criados automaticamente terão os dois slots preenchidos com a mesma chave privada (aquela que corresponde ao certificado) e a propriedade par ao uso da chave associada é o sigilo. Os containers criados neste processo terão o nome definido como DN_<fingerprint>.
Para promover a associação selecione o certificado na lista, clique na coluna Container, serão listados aí os containers com chave privada compatível com o certificado. Escolha um dos containers e em seguida clique em Associar.
Após selecionar o container a identificação das chaves no HSM referenciadas é mostrada na coluna Meta.
Fig. Configuração Certificados - Escolha de container com chave correspondente
Fig. Configuração Certificados - Certificado associado com uma chave no HSM