Como gerar um certificado de Homologação [Windows + Keystore explorer 5.0.1]

1 - Solicitar um certificado
 
1.2 - Navegar no seguinte fluxo: 'Meu Certificado -> Solicitar -> Equipamento';
1.2.1 - Acionar o link 'e-Servidor A1 ' caso o seu Órgão tenha contrato com o SERPRO para emissão de certificados;
1.2.2 - Acionar o link 'Certificado de Equipamento A1 - R$ XXX,XX' caso o seu Órgão não tenha contrato com o SERPRO para emissão de certificados;
1.3 - Preencher o Formulário de Solicitação para Certificado Digital - Equipamento A1;
1.3.1 - No campo '* URL' preencher com o DNS ou Nome da aplicação. O usuário não poderá usar o caracter barra invertida "/" neste campo;
1.4 - Após finalizada a solicitação o sistema irá exibir informações detalhadas dos procedimentos adicionais que deverão ser realizados para a emissão do Certificado Digital. 
1.4.1- Envie um e-mail para criarcertificadohomologacao@serpro.gov.br com o seguinte texto: 
 

Solicito a geração de certificado digital para testes. 

Número de Referência do Pedido: <numero>

Tipo de Certificado: Equipamento A1
Ambiente da Solicitação:  
https://certificadoshom.serpro.gov.br/arserprorfbssl/
Sistema: <sistema>

 
1.4.1.1 - <numero> é o número da solicitação obtido no passo 1.4. 
1.4.1.2 - <sistema> é o nome do sistema a ser integrado com o siafi informado no campo '* URL';
 
2- Preparar o ambiente para geração do par de chaves
 
Observação: As instruções a seguir foram baseadas em um ambiente Windows com o programa Keystore Explore 5.0.1
 
Dica 1: Realize todo o processo em uma mesma máquina/servidor. 
Dica 2: Se você não tem familiaridade com este processo, crie uma senha única para informar sempre que for solicitado. 
Dica 3: Crie senhas com caracteres especiais e números.
 
2.1 - Faça o download do keyStore Explorer em http://keystore-explorer.sourceforge.net/downloads.php;
2.2 – Abra o KeyStore Explorer e selecione a opção "Create a new KeyStore":
 
 
 
2.3 – Salve a keystore com o nome do seu sistema:
 
 
2.4 - O programa irá te solicitar uma senha para este keystore:
 
 
2.5 – Observe que o Keystore (Nome da Aba) foi criado com o nome informado:
 
 
2.6 – Acione o botão de geração do par de chaves:
 
 
2.7 – Informe o algoritmo 'RSA' e o tamanho da chave '2.048':
 
 
2.8 -  Informe a versão 3, o algoritmo de assinatura 'SHA-512 with RSA', 1 ano de validade:
 
 
2.9 – Edite o Nome do certificado acionando o botão 'Edit name':
 
 
2.10 –  A única informação necessária para a Autoridade de Registro do SERPRO é o campo 'Common Name (CN):' que deverá ser preenchido com a mesma informação adicionada no campo '* URL' do Formulário de Solicitação para Certificado Digital - Equipamento A1. Os demais campos deixar em branco:
obs:  o usuário não poderá usar o caracter barra invertida "/" no CN
 
 
2.11 – Selecione 'OK' e verifique que no campo 'Name' terá apenas a informação 'CN=<sistema>':
 
 
2.12 –  Selecione 'OK' e o sistema irá solicitar um alias para o par de chaves a ser gerado. Informe a mesma informação adicionada no campo '* URL' do Formulário de Solicitação para Certificado Digital - Equipamento A1:
 
 
2.13 – Confirme e o sistema exibirá uma mensagem de sucesso na geração do par de chaves:
 
 
3- Gerar requisição para Autoridade de Registro (.CSR)
 
3.1 – Clique com o botão direito sobre a keystore e acione a opção 'Generate CSR' para gerar  a requisição a ser informada no momento da instalação do certificado no site da Autoridade de Registro 'requisicao.csr':
 
 
3.2 – Informe como parâmetros para o arquivo CSR os seguintes valores:
3.2.1 – Format: PKCS #10;
3.2.2 – Signature Algorithm: SHA-512 with RSA;
3.2.3 – Challenge: (Deixe em branco);
3.2.4 – CSR File: 'requisicao.csr'
 
 
3.3 - Após a execução do passo 3.2 será gerado o arquivo 'requisicao.csr' com o conteúdo a ser informado no site da Autoridade de Registro no momento da instalação;
 
 
3.4 - Aguarde o e-mail da Autoridade de Registro informando que o seu certificado está aprovado.
 
4 - Instalar um certificado
 
4.1 - Uma vez que a solicitação de certificado já foi aprovada por uma Autoridade de Registro (A Autoridade de Registro envia um e-mail informando a aprovação), o último passo para a obtenção do Certificado Digital é a instalação. 
4.3 - Acessar o menu "Meu Certificado ->  Baixar"
4.3.1 - Neste ponto o solicitante deverá apresentar suas credenciais de acesso e em seguida será apresentada a tela para instalação/download do seu Certificado Digital.
4.4 - Na tela de instalação do certificado, informar no único campo texto da tela o conteúdo do arquivo gerado no passo 3.2.4 'requisicao.csr' e acione o botão 'Salvar Certificado';
 
 
4.5 - O site disponibilizará um arquivo com o nome da URL informada e extensão .p7b '<sistema>.p7b'. Este arquivo contém a sua chave pública assinada e a cadeia confiável da Autoridade de Registro. Salve-o em seu computador e por segurança faça uma cópia de backup.
 
5- Preparação e Montagem do certificado digital para utilização pela aplicação cliente
 
5.1 – Converta o arquivo .p7b para o formato PEM que é reconhecido pelo KeyStore Explorer.
5.1.1 – Abra o site disponível na seguinte URL: https://www.sslshopper.com/ssl-converter.html
5.1.2 – Selecione o arquivo .p7b recebido da Autoridade de Registro, informe o tipo do arquivo 'P7B/PKCS#7' e converter para 'Standard PEM' conforme exemplo abaixo:
 
 
5.2 - No sistema KeyStore, utilize a opção "Import CA Reply" clicando com o botão direito sobre a opção "<sistema>.key" para importar a resposta da Autoridade de Registro. Selecione o arquivo convertido (*.PEM):
 
 
 
 
Apertar ok aparece esta tela:
 
 
Apertar OK. Aparece esta tela:
 
 
Tecle Sim.
 
 
5.3 - Faça a exportação do par de chaves
. Utilize a opção "Export Key Pair" clicando com o botão direito sobre a opção "sistema.key". A saída desta exportação será um arquivo (*.pfx):
 
 
 
5.4 – Forneça uma senha para a sua chave privada:
 
 
5.5 - Após gerado o arquivo (*.pfx), utilize-o para fazer a autenticação mútua entre SIAFI e o Sistema Externo.