Certificados

¿Qué importancia tiene la certificación para el ecosistema Open?

El ecosistema Open Insurance Brasil recurre a las cadenas de certificados y al protocolo TLS para garantizar la confidencialidad, autenticación e integridad del canal de comunicación utilizado por las APIs de las instituciones participantes, así como de los clientes de cada uno de los participantes. Además, se requiere el certificado para:

  • Autenticar las aplicaciones a través de oAuth 2.0 mTLS o privatekeyjwt;

  • Realizar la firma de payload utilizando JWS;

  • Autenticar y presentar un canal seguro al usuario final cuando utilice los servicios proporcionados por la entidad participante.

¿Qué certificados debo obtener por entorno?

Para realizar una conexión mTLS, se necesitan 3 certificados. Son:

  • Producción

    • Server Certificate (EV, OV y SAN)

    • Client Certificate (BrCAC - Transport)

    • Signature Certificate (BrSEAL)

  • Sandbox

    • Server Certificate (EV, OV y SAN)

    • Client Certificate (BrCAC - Transport)

    • Signature Certificate (BrSEAL)

¿Cómo adquirir los certificados BrCAC y BrSEAL?

Los certificados deben ser emitidos por una Autoridad de Certificación aprobada por ICP-Brasil. A continuación, se indican algunos de los que se pueden contactar:

ACs

Canal de ventas

CERTISIGN

comercial@certisign.com.br

SERASA EXPERIAN

https://serasa.certificadodigital.com.br/ecommerce-corporativo/icp-brasil/

SERPRO

https://www.loja.serpro.gov.br/certificacao/

SOLUTI

https://idtech.soluti.com.br/open-insurance

VALID

https://www.validcertificadora.com.br/

Cada participante debe ponerse en contacto con la Autoridad de Certificación de su preferencia y solicitar los certificados digitales necesarios para Open Insurance, de acuerdo con los documentos de seguridad exigidos en la Normativa sobre certificados de Open Insurance Brasil (en Portugués).

¿Cómo crear una Declaración de Software?

Para registrarse en los certificados BrCAC y BrSEAL, debe haber creado una Declaración de software para su organización. Para hacerlo, siga estos pasos: 1. En el Directorio, acceda a su organización;
2. Vaya a Declarações de Software y haga clic en Declarações de novo software;
3. En la ventana que se abre, rellene los campos del formulario tal y como se detalla en la página 3 del Guía de creación de la declaración de software.

La plataforma del Directorio de Participantes está en portugués, por eso todos los campos están descritos en el mismo idioma.

¿Cómo registrar los certificados BrCAC en el Directorio de Participantes?

Los certificados tienen la opción de registrarse para los entornos Sandbox y Producción. Elija cuál desea registrar y siga los pasos:

Sandbox
1. En el Directorio, vaya al menú Organização;
2. Vaya a Declarações de Software y seleccione la declaración que desee;
3. Acceda a Certificados > Novo Certificado;
novo certificado
4. Seleccione la opción BRCAC_2022 y haga clic en Continuar;
5. En el siguiente paso, seleccione Geração automática de configuração;
6. Termine de rellenar los campos y descargue los ficheros brcac.cnf y brcac.sh. Verifique la definición de los atributos en la sección 5.2.2.1 del Portal del Desarrollador (en portugués);
7. Edite el archivo brcac.cnf con información idéntica a la del Directorio en la página Detalles de la Organización. He aquí un ejemplo utilizando OpenSSL:
openssl
8. Edite el archivo brcac.sh para que haga referencia a la ruta del archivo brcac.cnf;
9. Ejecute el archivo brcac.sh a través de la línea de comandos para generar el par CSR y KEY;
10. En el Directorio, seleccione la opción Carregar CSR/PEM, localice el brcac.csr generado y haga clic en Continuar;
11. Espere a que se cargue el archivo y haga clic en Feito.

El certificado generado en el entorno Sandbox del Directorio Participante es autofirmado y necesario para el flujo de certificación FAPI con Open ID.

Producción
1. En el Directorio, vaya al menú Organização;
2. Vaya a Declarações de Software y seleccione la declaración deseada;
3. Acceda a Certificados > Novo Certificado; +. 4. Seleccione la opción EXTERNAL BRCAC y haga clic en Continuar;
5. En la opción Gerar CSR, haga clic en Continuar. El EXTERNAL BRCAC es emitido por la autoridad de certificación, por lo tanto, no hay proceso de generación de certificado.
6. Seleccione la opción Carregar CSR/PEM y localice el fichero CSR o PEM emitido por la autoridad de certificación;
7. Haga clic en Continuar;
8. Espere a que se cargue el archivo y haga clic en Feito.

¿Cómo registrar los certificados BrSEAL en el Directorio de Participantes?

Los certificados tienen la opción de registrarse para los entornos Sandbox y Producción. Elija cuál desea registrar y siga los pasos:

Sandbox
1. En el Directorio, vaya al menú Organização;
2. Vaya a Certificados de Organização > Novo Certificado;
brseal novo
3. En la ventana que se abre, seleccione la opción BRSEAL en el campo Select Certificate Type;
4. En el siguiente paso, seleccione Geração automática de configuração;
5. Termine de rellenar los campos y descargue los ficheros brseal.cnf y brseal.sh;
Verifique la definición de los atributos en la sección 5.2.3.1 del Portal del Desarrollador (en portugués);
6. Edite el archivo brseal.cnf con información idéntica a la del Directorio en la página Detalles de la Organización. He aquí un ejemplo utilizando OpenSSL:
openssl
7. Edite el archivo brseal.sh para que haga referencia a la ruta del archivo brseal.cnf;
8. Ejecute el archivo brseal.sh a través de la línea de comandos para generar el par CSR y KEY;
9. En el Directorio, seleccione la opción Carregar CSR/PEM, localice el brseal.csr generado y haga clic en Continuar;
10. Espere a que se cargue el archivo y haga clic en Feito.

El certificado generado en el entorno Sandbox del Directorio Participante es autofirmado y necesario para el flujo de certificación FAPI con Open ID.

Producción
1. En el Directorio, vaya al menú Organização;
3. Acceda a Certificados de Organização > Novo Certificado;
4. Seleccione la opción BRSEAL EXTERNAL y haga clic en Continuar;
5. En la opción Gerar CSR y haga clic en Continuar;
El EXTERNAL BRCAC es emitido por la autoridad de certificación, por lo tanto, no hay proceso de generación de certificado.
6. Seleccione la opción Carregar CSR/PEM y localice el fichero CSR o PEM emitido por la autoridad de certificación;
7. Haga clic en Continuar;
8. Espere a que se cargue el archivo y haga clic en Feito.

¿Cómo obtener la clave pública (KID) de BRSEAL?

Cuando se realiza el registro del certificado BrSEAL en el Directorio de Participantes, se devuelve automáticamente el ID de la clave única (KID).

¿Cómo cargar el certificado en el Add-on de Sensedia?

  1. Vaya al menú Certificates, elija el tipo de certificado, ya sea BrCAC o BrSEAL y haga clic en Submit Certificate;

  2. Confirme el entorno en el que desea presentar el certificado;

  3. Introduzca el KID y cargue los archivos .key y .PEM;

  4. Si el entorno está realmente correcto, confirme la carga. Una vez enviado el certificado, se creará automáticamente un ticket en Zendesk para que nuestro equipo realice la operación.

¿Cómo emitir los certificados en la cadena correcta?

El Estándar de Certificados de Open Insurance Brasil especifica las cadenas para cada tipo de certificado, siendo: * Certificado del servidor: debe enviarse con la cadena intermedia, según el punto 7.4.2. del RFC5246. * Certificado de cliente (BrCAC - Transporte): debe enviarse con la cadena intermedia según los puntos 7.4.2 y 7.4.6 del RFC5246 y ser emitido a través de la cadena V10,además de contener obligatoriamente los atributos:

Distinguished Name:
  • businessCategory (OID 2.5.4.15): Tipo de categoría empresarial, debe contener: "Private Organization" o "Government Entity" o "Business Entity" o "Non-Commercial Entity";

  • jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3): BR;

  • serialNumber (OID 2.5.4.5): CNPJ;

  • countryName (OID 2.5.4.6): BR;

  • organizationName (OID 2.5.4.10): Nombre de la empresa;

  • StateOrProvinceName (OID 2.5.4.8): Unidad de la Federación de la dirección física del titular del certificado;

  • localityName (OID 2.5.4.7): Ciudad de la dirección física del titular del certificado;

  • organizationIdentifier (OID 2.5.4.97): Código de participante asociado al CNPJ que figura en el servicio de directorio de Open Insurance Brasil;

    • Para los certificados emitidos hasta el 31 de agosto de 2022: organizationalUnitName (OID 2.5.4.11): Código de participante asociado al CNPJ que figura en el servicio de Directorio de Open Insurance Brasil;

  • UID (OID 0.9.2342.19200300.100.1.1): ID de la declaración de software generada por el servicio de Directorio de Open Insurance Brasil;

  • commonName (OID 2.5.4.3): FQDN o Wildcard.

Certificate Extensions:
  • keyUsage: critical,digitalSignature,keyEncipherment

  • extendedKeyUsage: clientAuth

Subject Alternative Name:

*dNSName: FQDN o Wildcard

  • Certificado de firma (BrSEAL): debe ser emitido a través de la cadena V5, y contener obligatoriamente los siguientes atributos:

Distinguished Name:
  • UID (OID 0.9.2342.19200300.100.1.1): Código de participante asociado al CNPJ que figura en el servicio de directorio de Open Insurance Brasil;

  • countryName (OID 2.5.4.6): BR;

  • organizationName (OID 2.5.4.10): ICP-Brasil;

  • organizationalUnitName (OID 2.5.4.11): Nombre de la autoridad de certificación;

  • organizationalUnitName (OID 2.5.4.11): El CNPJ de la Autoridad de Registro;

  • organizationalUnitName (OID 2.5.4.11): Tipo de identificación utilizada (presencial, videoconferencia o certificado digital);

  • commonName (OID 2.5.4.3): Nombre de la empresa.

Certificate Extensions:
  • keyUsage: critical,digitalSignature,nonRepudiation

Subject Alternative Name:
  • otherName (OID 2.16.76.1.3.2 - ICP-Brasil): Nombre del responsable del certificado;

  • otherName (OID 2.16.76.1.3.3 - ICP-Brasil): Registro Nacional de Personas Jurídicas (CNPJ) de la persona jurídica titular del certificado;

  • otherName (OID 2.16.76.1.3.4 - ICP-Brasil): Entidad jurídica responsable del titular del certificado (fecha de nacimiento, CPF, PIS/PASEP/CI, RG);

  • otherName (OID 2.16.76.1.3.7 - ICP-Brasil): Número del Registro Específico del INSS (CEI) de la persona jurídica titular del certificado.

¿Cómo registrar un certificado en Sensedia API Platform?

Vaya a Security > Certificates y siga los pasos:
1. En la pantalla de certificados, haga clic en el icono + para introducir un nuevo registro; 2. Rellena los campos: * Name * Certificate Body * Private Key * Certificate Chain

Si lo necesita, consulte la especificación de los campos de este contenido (en Portugués).

3.Después de rellenar los campos, haga clic en Save. Se le redirigirá a la pantalla en la que aparecen los certificados registrados.

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]