Como Importar o Novo Certificado da ICP-Brasil

O sistema Windows distribui hoje automaticamente o certificado raiz da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), emitido em 2002, sendo ele o único sistema operacional que faz esta distribuição.

No ano passado a ICP-Brasil emitiu uma nova versão do certificado raiz, chamado “Autoridade Certificadora Raiz Brasileira v1” (veja imagem abaixo). Este certificado ainda não é distribuido automaticamente pelo Windows, nem por nenhum outro sistema operacional e ou browser disponivel no mercado. A Microsoft vem trabalhando junto ao Instituto Nacional de Tecnologia da Informação (ITI) para que isto seja feito o mais rapidamente possível, e acreditamos que em breve esta distribuição também estará ocorrendo de forma automática como já é feita com o primeiro certificado raiz, de forma que o usuário não mais receba um alerta de segurança informando que os certificados emitidos sob a nova raiz não são confiáveis.

Enquanto esta distribuição não é operacionalizada, o usuário deverá importar o novo certificado no seu sistema.  Esta importação pode ser feita manualmente pelo usuário, ou de forma automática em ambientes corporativos que usem o Active Directory.

Importação no Sistema Operacional Windows Vista e ou Windows 7

Quando você importa um certificado raiz no Windows Vista e ou Windows 7, e não especifica para onde o certificado deve ser importado, o sistema por default vai importar o certificado como sendo de uma autoridade certificadora intermediária e não de uma raiz. Isto é uma proteção colocada no sistema para evitar que o usuário coloque certificados de autoridades raiz de forma não-intencional.

Para fazer a importação para o local correto, durante o wizard de importação é necessário especificar que ele deve ser importado como certificado raiz ao invés de deixar o Windows automaticamente selecionar o tipo de certificado. Para isto siga os passos abaixo:

1. Obtenha o certificado da Autoridade Certificadora Raiz Brasileira v1, fazendo o download a partir do site https://acraiz.icpbrasil.gov.br/ICP-Brasil.crt e selecionando “Open / Abrir”.

2. Após abrir o certificado, clique em “Install Certificate / Instalar Certificado"

3. Clique em "Next / Avançar"

4. Aqui o passo importante. Procure e selecione "Trusted Root Certification Authorities / Autoridades de Certificação Raiz Confiáveis" e clique em avançar.

5. Clique em “Finish / Concluir”

Usuários Corporativos

Usuários corporativos que usem o Active Directory podem importar automaticamente o certificado raiz para todos os sistemas que sejam parte da floresta. Para isto siga os passos abaixo:

1. Faça o download do certificado raiz, e depois copie o arquivo para um controlador de domínio qualquer do sua floresta Active Directory.

2. Faça o logon neste controlador de domínio privilégios de Enterprise Administrator.

3. Abra o prompt de comandos, digite o comando certutil –dspublish icp-brasil.crt RootCA e pressione Enter.

Pronto. Todos os computadores rodando o sistema Windows 2000 ou mais recente e que estejam ligados ao AD passarão a confiar no certificado.

Comments

• Anonymous
  January 01, 2003
  Luciano, ao fazer a importação a autoridade certificadora será confiada por todas as aplicações que utilizam a API de criptografia (CryptoAPI) do Windows. Isto inclui o Internet Explorer e demais aplicações da Microsoft, além da maioria das aplicações feitas para Windows, como os browsers Safari e o Chrome. Para os demais browsers, você terá que verificar com os respectivos fabricantes. - Fernando Cima

• Anonymous
  September 24, 2009
  Ao importar o certificado conforme especificado acima ele passa a valer para todos os navegadores ou só para IE? Onde encontro instruções de como instalar em outras plataformas?

• Anonymous
  October 20, 2009
  Bom dia, estamos com um problema em algumas NFes (não todas, apenas algumas exceções). Ao abrir o documento fiscal eletrônico no visualizador SPED, nos falta as informações da última aba "Certificado Digital", onde apenas informa que o certificado não seria válido, apesar da NFe contar como válida na consulta online (site) e também é válida ao verificar assinatura digital. Precisamos das informações dessa aba, e não gostaríamos de ter de sempre efetuar a consulta online (indicação do suporte 0800) pois devido à futura obrigatoriedade, seria muito trabalhoso. Segundo as áreas técnicas das empresas emissoras dessas NFes, apenas a nossa empresa apresenta este problema ao visualizar esses documentos. Seria alguma configuração nas nossas máquinas? Como podemos fazer para que isso funcione? Ficamos no aguardo.