A configuração da CSP (Cryptographic Service Provider) pode ser feita através da interface de configuração do agente.
Os parâmetros da CSP são mantidos em arquivo de configuração (.ini). As configurações feitas com esta interface serão colocadas no escopo do perfil do usuário, portanto válidas e reconhecidas somente para as aplicações executando sob o perfil do usuário corrente.
Não há necessidade de perfil administrativo ou elevação de privilégio para o usuário setar ou editar os parâmetros da CSP. As configurações da CSP são as mesmas para aplicações de 32 e 64 bits.
Para editar a configuração clique com o botão direito sobre o ícone do agente do HSM na bandeja do sistema. O menu do agente deverá ser mostrado; selecione a opção CSP. Caso o agente não esteja carregado na bandeja do sistema é possível executá-lo novamente no atalho (shortcut) Start HSM Agent no menu de atalhos do Windows.
Fig. Menu Agente - Opção CSP
Nota: para mais informações sobre a configuração na opção Cliente do menu do agente consulte o tópico Configuração da Biblioteca .
As opção de configurações da CSP são detalhadas a seguir.
Fig. Configuração Cliente HSM - Parâmetros Cryptographic Service Provider (CSP)
IP
Este campo é usado para informar o endereço de um HSM específico.
Nota: Caso o balanceamento de carga esteja habilitado na configurações Cliente o campo fica desabilitado e a mensagem Balanceamento habilitado é exibida.
Fig. Configuração Cliente HSM - Parâmetros (CSP) com balanceamento de carga habilitado no menu Cliente
Usuário
Identificação do usuário do HSM que será usado para estabelecer sessão com o HSM.
Senha
Senha da credencial do usuário do HSM que será usado para estabelecer sessão com o HSM.
Importante: É possível deixar em branco os valores de identificação de usuário e senha, e informar estes campos cada vez que a CSP abrir uma sessão com o HSM. Neste caso a opção Autenticação interativa deve ser habilitada e o agente precisa estar ativo. Vide detalhes abaixo em Autenticação interativa.
A senha é mantida cifrada numa chave compartilhada com a CSP.
Nível de log
O sistema de log da CSP tem 3 níveis de log:
| 1. | Apenas erros |
| 2. | Depuração |
| 3. | Desabilitado |
O nível de informação logada em arquivo aumente dos níveis 1 até 2. No nível Desabilitado nenhum log em arquivo é gerado. No nível de Depuração além de irem para o arquivo de log os registros também são enviados para a porta de depuração do sistema (DEBUG PORT).
Durante o operação normal da aplicação o log é desabilitado ou setado para Apenas erros, pois os aquivos gerados podem ser bastante grande. Aumente o nível de log quando precisar gerar mais informação para depuração de problemas ou para o pessoal suporte.
Arquivo de log
Os arquivo de log são gerados individualmente para cada processo que carrega a biblioteca; cada processo gera um arquivo de log que tem a identificação do processo (Process ID ou PID) no nome do arquivo. Por exemplo, para um nome arquivo de log informado como tacndcsp.log os arquivos gerados seriam da forma tacndlib_<PID>.log, como por exemplo tacndcsp_6524.log, tacndcsp_8351.log, etc.
Na configuração default os arquivos de log são criados numa sub pasta de perfil de usuário, em AppData\Local\DinamoNetworks\log. É possível abrir diretamente a pasta de log configurada usando a tecla F7; esta opção também está no menu de sistema da interface.
Fig. Configuração CSP - Menu de sistema
Timeout
O tempo (em segundos) que a CSP vai aguardar para estabelecer conexão com o HSM antes de retornar erro para a aplicação.
Teste
O botão Teste pode ser usado para verificar a conexão com o HSM, incluindo a autenticação da credencial informada. O teste é realizado com as configurações salvas, e não necessariamente com os parâmetros mostrados na interface.
Quando algum dos parâmetros é modificado, a configuração deve ser salva antes de se executar um teste.
Containers
Exibe a tela para edição de containers. Veja mais detalhes no tópico Containers.
Caso não seja possível ou desejável cadastrar usuário e senha é possível habilitar a Autenticação Interativa, o que fará a CSP solicitar autenticação sempre que ela for inicializada por meio da chamada MSCAPI CryptAcquireContext. A credencial é gerenciada pelo agente do HSM num processo separado da aplicação chamadora e num ambiente de Safe Desktop, portanto é necessário que o agente esteja ativo para a autenticação interativa funcionar corretamente.
Quando esta opção é habilitada os campos de usuário e senha são desabilitados e a mensagem Autenticação Interativa é exibida no lugar.
Fig. Configuração CSP - Autenticação interativa
Fig. Configuração CSP - Autenticação interativa em Safe Desktop
Modo SPB
Modo SPB: A CSP possui compatibilidade com as regras de operação do Sistema de Pagamentos Brasileiro (SPB). Quando Modo SPB está ativado, os seguintes parâmetros são alterados:
| 1. | Vetor de inicialização: quando uma 3DES chave é criada ou importada, o vetor de inicialização é sempre carregado com os oito primeiros bytes da chave. |
| 2. | Padding: não é realizada nenhuma operação de padding, neste caso os blocos a serem cifrados/decifrados devem ser múltiplos do tamanho do bloco do algoritmo 3DES (8 bytes). |
O arquivo de configuração da CSP é mantido numa sub pasta de perfil de usuário em AppData\Roaming\DinamoNetworks\dinamo_hsm_csp.ini .
Aplicações podem usar uma versão específica de configuração da CSP se mantiverem uma instância do arquivo dinamo_hsm_csp.ini na pasta local da aplicação. A CSP sempre irá procurar o arquivo .ini na pasta atual antes de procurar no perfil do usuário.
Escopo por conta de usuário e por conta de sistema
Usando a interface do agente o escopo é sempre por usuário. Para definir um escopo de sistema é preciso criar o arquivo dn_csp_config_bag.ini na pasta onde a conta do sistema (system account) resolve a variável de ambiente %APPDATA%.
A seguir exemplos de caminho onde a conta local de sistema (system account) normalmente resolve o path %APPDATA% e procura pelo arquivo de configuração:
Win 2003 en-us: 'C:\Documents and Settings\Default User\Application Data\DinamoNetworks\dn_csp_config_bag.ini'
Win 7 64-bit: 'C:\windows\system32\config\systemprofile\AppData\Roaming\DinamoNetworks\dn_csp_config_bag.ini'
Win 2008 64-bit: 'C:\Windows\system32\config\systemprofile\AppData\Roaming\DinamoNetworks\dn_csp_config_bag.ini'
Win 2012: 'C:\Windows\system32\config\systemprofile\AppData\Roaming\DinamoNetworks\dn_csp_config_bag.ini'
Você pode configurar todos os parâmetros usando sua conta de usuário e então copiar o arquivo da sua pasta %APPDATA% para a pasta %APPDATA% da conta do sistema.