Certificados

¿Qué importancia tiene la certificación para el ecosistema Open?

El ecosistema Open Finance Brasil recurre a las cadenas de certificados y al protocolo TLS para garantizar la confidencialidad, autenticación e integridad del canal de comunicación utilizado por las APIs de las instituciones participantes, así como de los clientes de cada uno de los participantes. Además, se requiere el certificado para:

  • Autenticar las aplicaciones a través de oAuth 2.0 mTLS o privatekeyjwt;

  • Realizar la firma de payload utilizando JWS;

  • Autenticar y presentar un canal seguro al usuario final cuando utilice los servicios proporcionados por la entidad participante.

¿Qué certificados debo obtener por entorno?

Para realizar una conexión MTLs, se necesitan 3 certificados. Son:

  • Producción

    • Server Certificate (EV, OV y SAN)

    • Client Certificate (BrCAC - Transport)

    • Signature Certificate (BrSEAL)

  • Sandbox

    • Server Certificate (EV, OV y SAN)

    • Client Certificate (BrCAC - Transport)

    • Signature Certificate (BrSEAL)

En el entorno Sandbox, los certificados BrCAC y BrSEAL son generados manualmente por Sensedia y firmados en el Directorio Central.

¿Cómo adquirir los certificados BrCAC y BrSEAL?

Los certificados deben ser emitidos por una Autoridad de Certificación aprobada por ICP-Brasil. A continuación, se indican algunos de los que se pueden contactar:

ACs Canal de ventas

CERTISIGN

comercial@certisign.com.br

SERASA EXPERIAN

https://serasa.certificadodigital.com.br/ecommerce-corporativo/icp-brasil/

SERPRO

https://www.validcertificadora.com.br/

SERPRO

https://www.loja.serpro.gov.br/certificacao/

Cada participante debe ponerse en contacto con la Autoridad de Certificación de su preferencia y solicitar los certificados digitales necesarios para Open Finance, de acuerdo con los documentos de seguridad exigidos en la Normativa sobre certificados de Open Finance Brasil (en Portugués).

¿Cómo registrar los certificados en el Directorio Central?

BrCAC
  1. En el Directorio, vaya a Organisations > Software Statement > Certificates;

  2. En esta página, haga clic en el botón New Certificate y registre el certificado.

BrSEAL
  1. En el Directorio, vaya a Organisations > Organisation Certificates;

  2. En esta página, haga clic en el botón New Organisation Certificate y registre el certificado.

Para registrar BrCAC, debe haber creado un Software Statement para su organización. Si aún no lo ha hecho, siga los pasos siguientes:
1. En el Directorio, vaya a Organisations > Software Statements y haga clic en New Software Statement;
2. En esta pantalla, complete los campos del formulario como se especifica en la página 76 de la Guía de funcionamiento del directorio central (en Portugués).

¿Cómo obtener la clave pública (KID) de BRSEAL?

Cuando se realiza el registro del certificado BrSEAL en el Directorio Central, se devuelve automáticamente el ID de la clave única (KID).

¿Cómo emitir el certificado para que funcione en Sandbox?

El certificado generado en el entorno Sandbox del Directorio de Participantes es autofirmado y necesario para el flujo de certificación FAPI con Open ID. Para emitirlo, siga los pasos:

  1. Dentro del entorno del sandbox del Directorio, inicie sesión en su organización;

  2. En el área Software Statement, seleccione la declaración deseada. Si aún no tiene una declaración de software, tendrá que crear una, como se explica en el tema anterior;

  3. Haga clic en el botón New Certificate > Select Certificate Type, seleccione la opción BRCAC y haga clic en Continue;

  4. A continuación, descargue el archivo brcac.cnf y brcac.sh;

  5. Edite el archivo brcac.cnf con información idéntica a la del Directorio en la página de Detalles de la Organización. Este es un ejemplo utilizando OpenSSL:
    openssl

  6. Edite el archivo brcac.sh para hacer referencia a la ruta del archivo brcac.cnf;

  7. Ejecute brcac.sh a través del prompt de comandos para generar el par CSR y KEY;

  8. En el Directorio, seleccione la opción Upload CSR/PEM y localice el brcac.csr generado y pulse el botón Continue;

  9. Espere a que el archivo se cargue y luego haga clic en Done;

  10. Vaya a Certificates > Actions, haga clic en la flecha de descarga y guarde el <fichero>.pem en una carpeta local.

Para emitir el certificado BrSEAL, descargue los archivos brseal.cnf y brseal.sh y siga las mismas instrucciones.

¿Cómo cargar el certificado en el Add-on de Sensedia?

  1. Vaya al menú Certificates, elija el tipo de certificado, ya sea BrCAC o BrSEAL y haga clic en Submit Certificate;

  2. Confirme el entorno en el que desea presentar el certificado;

  3. Introduzca el KID y cargue los archivos .PEM y .key;

  4. Si el entorno está realmente correcto, confirme la carga.

Una vez enviado el certificado, se creará automáticamente un ticket en Zendesk para que nuestro equipo realice la operación.

¿Cómo emitir los certificados en la cadena correcta?

El Estándar de Certificados de Open Finance Brasil especifica las cadenas para cada tipo de certificado, siendo:

  • Certificado del servidor: debe enviarse con la cadena intermedia, según el punto 7.4.2. del RFC5246.

  • Certificado de cliente (BrCAC - Transporte): debe ser emitido a través de la cadena V10, y contener obligatoriamente los atributos:

Distinguished Name:
  • businessCategory (OID 2.5.4.15): Tipo de categoría empresarial, debe contener: "Private Organization" o "Government Entity" o "Business Entity" o "Non-Commercial Entity";

  • jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3): BR;

  • serialNumber (OID 2.5.4.5): CNPJ;

  • countryName (OID 2.5.4.6): BR;

  • organizationName (OID 2.5.4.10): Nombre de la empresa;

  • StateOrProvinceName (OID 2.5.4.8): Unidad de la Federación de la dirección física del titular del certificado;

  • localityName (OID 2.5.4.7): Ciudad de la dirección física del titular del certificado;

  • organizationIdentifier (OID 2.5.4.97): Código de participante asociado al CNPJ que figura en el servicio de directorio de Open Finance Brasil;

    • Para los certificados emitidos hasta el 31 de agosto de 2022: organizationalUnitName (OID 2.5.4.11): Código de participante asociado al CNPJ que figura en el servicio de Directorio de Open Finance Brasil;

  • UID (OID 0.9.2342.19200300.100.1.1): ID de la declaración de software generada por el servicio de Directorio de Open Finance Brasil;

  • commonName (OID 2.5.4.3): FQDN o Wildcard.

Certificate Extensions:
  • keyUsage: critical,digitalSignature,keyEncipherment

  • extendedKeyUsage: clientAuth

Subject Alternative Name:

*dNSName: FQDN o Wildcard

  • Certificado de firma (BrSEAL): debe ser emitido a través de la cadena V10, y contener obligatoriamente los siguientes atributos:

Distinguished Name:
  • UID (OID 0.9.2342.19200300.100.1.1): Código de participante asociado al CNPJ que figura en el servicio de directorio de Open Finance Brasil;

  • countryName (OID 2.5.4.6): BR;

  • organizationName (OID 2.5.4.10): ICP-Brasil;

  • organizationalUnitName (OID 2.5.4.11): Nombre de la autoridad de certificación;

  • organizationalUnitName (OID 2.5.4.11): El CNPJ de la Autoridad de Registro;

  • organizationalUnitName (OID 2.5.4.11): Tipo de identificación utilizada (presencial, videoconferencia o certificado digital);

  • commonName (OID 2.5.4.3): Nombre de la empresa.

Certificate Extensions:
  • keyUsage: critical,digitalSignature,nonRepudiation

Subject Alternative Name:
  • otherName (OID 2.16.76.1.3.2 - ICP-Brasil): Nombre del responsable del certificado;

  • otherName (OID 2.16.76.1.3.3 - ICP-Brasil): Registro Nacional de Personas Jurídicas (CNPJ) de la persona jurídica titular del certificado;

  • otherName (OID 2.16.76.1.3.4 - ICP-Brasil): Entidad jurídica responsable del titular del certificado (fecha de nacimiento, CPF, PIS/PASEP/CI, RG);

  • otherName (OID 2.16.76.1.3.7 - ICP-Brasil): Número del Registro Específico del INSS (CEI) de la persona jurídica titular del certificado.

¿Cómo se registra un certificado en Sensedia API Platform?

Vaya a Security > Certificates y siga los pasos:

  1. En la pantalla de certificados, haga clic en el icono + para introducir un nuevo registro;

  2. Rellena los campos:

    • Name

    • Certificate Body

    • Private Key

    • Certificate Chain

Si lo necesita, consulte la especificación de los campos de este contenido (en Portugués).

3.Después de rellenar los campos, haga clic en Save. Se le redirigirá a la pantalla en la que aparecen los certificados registrados.

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]