2 utilizacao e instalacao de certificados digitais
TRANSCRIPT
![Page 1: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/1.jpg)
ESTG Segurança de Informação 2005
1
GUIA DE UTILIZAÇÃO DE CERTIFICADOS DIGITAIS NO THUNDERBIRD E NO OUTLOOK
(WINDOWS/LINUX, IE/FIREFOX)
por
João Paulo Diogo nº1392 e Renato Saturnino nº 8559 Área: Segurança de Informação
Departamento de Engenharia Informática Escola Superior de Tecnologia e Gestão
Coordenador: Engº Miguel Frade
I – INTRODUÇÃO Este trabalho, desenvolvido na cadeira de Segurança de Informação, pretende fornecer um guia prático, passo a passo, de como utilizar certificados digitais tanto no Outlook como no Thunderbird, usando, como web browsers o Internet Explorer e o Firefox, em plataforma Windows e Linux. II – CONFIGURAÇÃO DE CONTAS DE MAIL Para utilizar certificados digitais no ThunderBird é necessário realizar um determinado número de tarefas prévias das quais, a primeira será, configurar a conta de mail. II.1 – NO OUTLOOK
1. Carregar em Ferramentas Contas de correio electrónico
Figura 1
![Page 2: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/2.jpg)
ESTG Segurança de Informação 2005
2
2. Seleccionar Adicionar uma nova conta de correio electrónico e carregar em Seguinte.
Figura 2
3. Seleccionar o tipo de servidor, no nosso caso seleccionamos o POP3
que é o servidor do nosso mail, e carregar em “Seguinte >”
Figura 3
4. Preencher com a informação da conta de mail que vamos utilizar. De seguida clicar em Testar definições da conta afim de averiguar a correcta configuração do mail.
![Page 3: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/3.jpg)
ESTG Segurança de Informação 2005
3
Figura 4
5. Em mais definições podemos seleccionar a opção Deixar uma cópia das
mensagens no servidor.
Figura 5
![Page 4: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/4.jpg)
ESTG Segurança de Informação 2005
4
II.2 – NO THUNDERBIRD
1 Abrir o Thunderbird e sob o menu Ferramentas seleccionar Configurar contas.
Figura 6
2 Seguir o Assistente de contas que é iniciado seleccionando Conta de email.
Figura 7
3 Seleccionar tipo de servidor como POP e definir servidor de recepção de mensagens e de envio.
![Page 5: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/5.jpg)
ESTG Segurança de Informação 2005
5
Figura 8
4 Introduzir nome de utilizador e nome de conta
Figura 9
![Page 6: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/6.jpg)
ESTG Segurança de Informação 2005
6
5 Confirmar configurações
Figura 10
II – CRIAÇÃO DE UM CERTIFICADO DIGITAL PARA UMA CONTA DE MAIL Vamos, neste caso, mostrar os passos necessários para obter os certificados digitais pela CA Cert e instalá-los no Firefox.
1 - Aceder à página www.cacert.org e clicar sob o link Join.
Figura 11
2 - Preencher o formulário com os dados pessoais
![Page 7: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/7.jpg)
ESTG Segurança de Informação 2005
7
Figura 12
3 - Novamente em www.cacert.org clicar em Normal Login.
Figura 13
4 – Criar certificado.
Primeiro, sob Client Certificates clicar New.
Figura 14
![Page 8: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/8.jpg)
ESTG Segurança de Informação 2005
8
De seguida clicar em Create Certificate Request.
Figura 15
Por último, definir Senha Mestre
Figura 16
Figura 17
III – INSTALAÇÃO DE CERTIFICADOS III.1 – INSTALAR ROOT CERTIFICATE O primeiro passo a dar para instalar um certificado digital é instalar o certificado da própria CA (Certificate Authority), neste caso o da CA CERT. 1 - Obter o root certificate da CA em questão.
Primeiro, em Miscellaneous seleccionar Root Certificate.
![Page 9: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/9.jpg)
ESTG Segurança de Informação 2005
9
Figura 18
No caso do Internet Explorer basta clicar no primeiro link. No caso do Firefox são necessários mais alguns passos: em Root Certificate (PEM Format) clicar com o botão direito do rato e seleccionar Guardar destino como…
Figura 19
De seguida, ir a Ferramentas -> Opções -> Gerir Certificados.
![Page 10: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/10.jpg)
ESTG Segurança de Informação 2005
10
Figura 20
Em autoridades clicar em Importar e seleccionar o ficheiro criado no passo anterior.
Figura 21
![Page 11: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/11.jpg)
ESTG Segurança de Informação 2005
11
Figura 22
III.2 – INSTALAR CERTIFICADO DIGITAL NO WEB BROWSER O Internet Explorer e o Outlook usam o mesmo sítio para armazenar os certificados (Microsoft Crypto API). Por outro lado, o Firefox e o Thunderbird guardam os certificados em sítios distintos um do outro. Mais à frente vamos ver como instalar um certificado digital no Outlook pelo que seria desprovido de interesse estar a efectuar aqui o mesmo processo para o Internet Explorer. Assim vamos ver apenas como instalar o certificado digital no Firefox. 1 – Seleccionar o certificado pretendido Em primeiro lugar ver certificados da nossa conta em
Client Certificates -> View;
Figura 22
De seguida, clicar no certificado pretendido.
![Page 12: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/12.jpg)
ESTG Segurança de Informação 2005
12
Por último clicar no link click here.
Figura 23
2 - Confirmar que o certificado digital foi instalado no web browser.
Figura 24
3 – Guardar Certificado. Como já foi referido anteriormente o Firefox e o Thunderbird não guardam os certificados no mesmo sítio. Por isso vamos guardar em disco o nosso certificado para que mais à frente o possamos importar para o Thunderbird.
Em primeiro lugar devemos seleccionar o certificado em questão e clicar em guardar, introduzindo depois uma chave de segurança.
![Page 13: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/13.jpg)
ESTG Segurança de Informação 2005
13
Figura 25
De seguida definir uma sanha para o certificado.
Figura 26
Tendo assim a nossa chave privada arquivada.
Figura 27
III.3 – INSTALAR CERTIFICADOS NO OUTLOOK E NO THUNDERBIRD III.3.1 – NO OUTLOOK
1. Carregar em Ferramentas Opções
![Page 14: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/14.jpg)
ESTG Segurança de Informação 2005
14
Figura 28
2. Nas opções seleccionar Segurança e carregar no botão Importar/exportar…
Figura 29
3. Na secção Importar ID digital, carregar em Procurar e seleccionar a
chave.
![Page 15: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/15.jpg)
ESTG Segurança de Informação 2005
15
Figura 30
4. Seleccionar chave.
Figura 31
5. Colocar “Palavra-passe” e atribuir um nome à ID digital.
![Page 16: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/16.jpg)
ESTG Segurança de Informação 2005
16
Figura 32
6. No menu da Figura 9, carregar no botão Definições
Figura 33
![Page 17: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/17.jpg)
ESTG Segurança de Informação 2005
17
7. No menu definições, carregar nos botões Escolher, e escolher o
Certificado de assinatura e o Certificado de encriptação. Também é possível escolher o algoritmo a usar.
Figura 34
8. Ao carregar no botão Escolher, deverá aparecer o certificado que
escolhemos anteriormente, quando escolhemos a chave. Caso não apareça é só fechar o Outlook e voltar a abrir que depois já aparece.
Figura 35
![Page 18: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/18.jpg)
ESTG Segurança de Informação 2005
18
9. Na figura 35, pode-se sempre carregar em Ver certificado e confirmar a autenticidade do certificado respectivo.
Figura 36
III.3.2 – NO THUNDERBIRD 1 – Importar o certificado.
Em Ferramentas -> Opções -> Gerir Certificados importar o certificado que guardamos no ponto anterior.
Figura 37
![Page 19: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/19.jpg)
ESTG Segurança de Informação 2005
19
De seguida, introduzir a senha usada para cifrar.
Figura 37
Temos então o nosso certificado instalado.
Figura 38
De seguida em Ferramentas -> Contas vamos definir o certificado que acabamos de importar como sendo o usado para assinar e para cifrar.
Figura 39
![Page 20: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/20.jpg)
ESTG Segurança de Informação 2005
20
Figura 40
Figura 41
IV – UTILIZAÇÃO DOS CERTIFICADOS IV.1 – NO OUTLOOK
Para enviar uma mensagem assinada ou cifrada deve-se seleccionar os ícones que se encontram assinalados na figura seguinte, sendo o da esquerda para assinar e o da direita para cifrar a mensagem.
Figura 42
A primeira mensagem a ser enviada deve ser assinada, pois ao fazê-lo estamos a enviar a nossa chave pública ao receptor.
![Page 21: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/21.jpg)
ESTG Segurança de Informação 2005
21
IV.1.1 - Envio de um mail com “Assinatura digital”.
1. No menu principal do Outlook, carregar em Nova para criar uma nova mensagem de correio a enviar.
Figura 43
2. De seguida abre-se uma nova janela, onde se preenche a mensagem/e-mail a enviar. Para a mensagem ir com assinatura digital, não esquecer de carregar no ícone da “Assinatura digital”. No fim da mensagem estar preenchida, carregar no botão “Enviar”.
Figura 44
![Page 22: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/22.jpg)
ESTG Segurança de Informação 2005
22
3. Recepção de mail assinado:
Figura 45
4. Confirmação da validade da assinatura digital. Ao carregar no ícone da “Assinatura digital”, aparece a figura que está em baixo, e onde se pode verificar se a assinatura é válida.
Figura 46
![Page 23: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/23.jpg)
ESTG Segurança de Informação 2005
23
Ao carregarmos no botão “Detalhes…” da figura acima podemos ver as várias camadas de segurança, como mostra na figura seguinte.
Figura 47
![Page 24: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/24.jpg)
ESTG Segurança de Informação 2005
24
IV.1.2 - Envio de um mail com “Encriptação de mensagem”.
Para o envio de uma mensagem cifrada é necessário ter a chave pública da pessoa a quem vamos enviar a mensagem. Na figura seguinte é possível ver-se esse erro:
Figura 48
1. Para o envio da mensagem cifrada o sistema é idêntico ao envio de uma
mensagem assinada, sendo a única diferença ter que seleccionar o ícone de Encriptação mensagem.
Figura 49
![Page 25: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/25.jpg)
ESTG Segurança de Informação 2005
25
2. Recepção do mail cifrado:
Figura 50
3. Ao carregar no ícone da Encriptação mensagem, aparece a figura que está em baixo, e onde se pode verificar se a cifragem foi bem sucedida.
Figura 51
![Page 26: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/26.jpg)
ESTG Segurança de Informação 2005
26
IV.1.3 – Visualização dos mails no menu principal do Outlook.
Os mails assinados conseguem ver-se logo do lado direito sem ser preciso fazer duplo click. Os mails cifrados isso já não é possível e é preciso fazer duplo click para ver o conteúdo do mail. Nas figuras seguintes pode visualizar-se esse facto.
Figura do menu principal do Outlook seleccionando o mail assinado:
Figura 52
Figura do menu principal do Outlook seleccionando o mail cifrado:
Figura 53
![Page 27: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/27.jpg)
ESTG Segurança de Informação 2005
27
IV.1.4 – Editar fidedignidade dos mails.
Quando se recebe um mail assinado e aparece nos detalhes da assinatura válida este triângulo da figura seguinte. É necessário editar a fidedignidade.
Figura 54
Figura 55
Após editarmos a fidedignidade como é visível na figura anterior, já não aparece o triângulo e passa a ser visível como na figura seguinte:
![Page 28: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/28.jpg)
ESTG Segurança de Informação 2005
28
Figura 56
IV.2 – NO THUNDERBIRD
Para enviar uma mensagem assinada ou cifrada deve-se utilizar o Menu S/MIME conforme é mostrado na figura.
Figura 57
Como foi exposto anteriormente para se poder enviar uma mensagem cifrada para alguém, teremos de ter a sua chave pública. Para isso, é necessário que a pessoa a quem queremos enviar a nossa mensagem nos tenha enviado previamente uma mensagem assinada (que contêm a sua chave pública).
![Page 29: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/29.jpg)
ESTG Segurança de Informação 2005
29
Figura 58
Clicando no ícone que representa uma lapiseira na figura anterior podemos verificar a assinatura digital que acabamos de receber.
Figura 59
Automaticamente a chave pública que acabamos de receber será instalada como poderemos ver no Gerenciador de Certificados em De outras pessoas.
Figura 60
![Page 30: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/30.jpg)
ESTG Segurança de Informação 2005
30
Se tentarmos enviar um mail cifrado para um endereço de que não possuímos a chave pública, obteremos a seguinte mensagem de erro:
Figura 61
V – CRL E OSCP
Existem dois métodos para manter o nosso mail actualizado no que diz respeito à revogação dos certificados digitais. A mais antiga delas é o CRL (Certificate Revocation List) que consiste em obter, periodicamente, da CA a lista dos certificados que foram revogados. A segunda, e mais recente, é o OSCP (Online Certificate Status Protocol) que mantêm essa lista actualizada online.
V.1 – NO OUTLOOK
Para configurar o CRL no Outlook podemos fazê-lo através do Internet Explorer em Opções de Internet > Avançadas. Seleccionando as opções Verificar existência de revogação de certificados.
Figura 62
![Page 31: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/31.jpg)
ESTG Segurança de Informação 2005
31
No site da CA (no nosso caso CACert) fazer o download da lista CRL (Miscellaneous > CRL).
V.2 – NO FIREFOX
Esta opção apenas está disponível na versão 1.5 Beta. Em Tools > Options > Privacy. Para configurar a RCL clicar em Revocation Lists e importar a lista da CA em questão.
Figura 63
Para configurar o OCSP clicar em Verification e preencher os campos como é mostrado na figura de baixo.
Figura 62
![Page 32: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/32.jpg)
ESTG Segurança de Informação 2005
32
VI – Onde são guardados os certificados.
Os certificados são guardados no ficheiro “certmgr.msc” que está em “C:\WINDOWS\system32”, como é possível ver na figura seguinte:
Figura 63
Abrindo é possível ver os certificados adicionados, estando estes organizados por directorias:
Figura 64
![Page 33: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/33.jpg)
ESTG Segurança de Informação 2005
33
VII - Conversão de formatos com o OpenSSL
Para a conversão do formato PFX para PEM fizemos os seguintes passos:
1. Download e instalação do OpenSSL para Win32 http://gnuwin32.sourceforge.net/packages/openssl.htm.
2. Criamos a pasta c:\certs e copiamos a “chave.pfx” para lá.
Figura 65
3. Abrimos o OpenSSL que está na pasta da figura seguinte:
Figura 66
![Page 34: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/34.jpg)
ESTG Segurança de Informação 2005
34
4. Inserimos o comando Openssl que está na figura seguinte para converter o formato:
Comando: openssl pkcs12 -in c:\certs\chave.pfx -out c:\certs\teste.pem –nodes
Figura 67
5. Na figura em cima quando é pedida a password, temos de introduzir a password que introduzimos para exportar o certificado para o ficheiro .pfx. Após a introdução da password deve aparecer “MAC verified OK”.
6. Depois é só verificarmos que o ficheiro “teste.pem” foi criado, como podemos ver na figura seguinte:
Figura 68
![Page 35: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/35.jpg)
ESTG Segurança de Informação 2005
35
7. Podemos sempre abrir o ficheiro “teste.pm” com um bloco de notas e verificar a “sua informação”.
Vimos que contém uma “Private Key”, um “Certificate” e que diz respeito ao e-mail “[email protected]”. Essa informação pode ser visível na figura seguinte:
Figura 69
![Page 36: 2 Utilizacao e Instalacao de Certificados Digitais](https://reader034.vdocuments.mx/reader034/viewer/2022052506/5571f7e649795991698c3c5c/html5/thumbnails/36.jpg)
ESTG Segurança de Informação 2005
36
Para a conversão do formato PEM para DER:
Os passos são idênticos mudando apenas o comando aplicado, sendo este:
Comando: openssl x509 -in c:\certs\teste.pem –inform PEM -out c:\certs\teste.der –outform DER
Figura 70
Depois é só ir verificar se foi criado o ficheiro “teste.der”. Podemos ver isso na figura seguinte:
Figura 71