Como gerenciar certificados digitais em diferentes navegadores da web

Os certificados digitais Eles se tornaram essenciais para identificar usuários em sites eletrônicos, assinar documentos, autenticar-se em intranets corporativas ou validar conexões seguras. No entanto, muitas pessoas não sabem onde eles estão, como visualizá-los ou o que fazer quando o navegador não os disponibiliza. Neste guia prático, reunimos tudo o que você precisa para gerenciá-los em um só lugar. diferentes navegadores e sistemas.

Vamos ver, passo a passo, como localizar, importar e verificar certificados em Windows e macOS, quais configurações tocar no Chrome, Internet Explorer/Edge e Adobe Acrobat Leitor e como implantar autoridades de certificação em dispositivos ChromeOS gerenciadoTambém incluímos requisitos típicos que alguns locais públicos ainda exigem, juntamente com uma observação sobre compatibilidade com dispositivos móveis para que você não seja pego de surpresa.

O que é um certificado digital e para que serve?

Un certificado digital É um arquivo que vincula sua identidade a uma chave criptográfica para proteger comunicações e assinaturas. Isso permite que você realize procedimentos administrativos, autentique-se em serviços, validar sites ou assinar documentos com plena validade jurídica. Isso não é o mesmo que uma assinatura digital: o certificado verifica a identidade, enquanto a assinatura é usada para selar documentos de forma verificável.

Lá certificados de pessoa física, proxy, servidor, CA intermediária ou raiz, e cada uma desempenha um papel na cadeia de confiança. Entender qual tipo você instalou e onde ele reside (computador, navegador ou token/DNIe) é fundamental para que o navegador o proponha quando apropriado.

Em navegadores como Chrome ou Firefox, a validação de sites HTTPS e a seleção de certificados de cliente dependem de armazenamentos de certificados. autoridades de certificação (CA). Ao instalar uma nova CA raiz ou intermediária, ou importar seu certificado pessoal, certifique-se de colocá-lo no repositório correto para evitar erros de confiança.

Além dos certificados de usuário, muitos aplicativos e páginas exigem que seu computador confie em um Concreto CA (por exemplo, de uma entidade ou empresa pública). Essa confiança é alcançada instalando a CA no repositório apropriado e, se aplicável, permitindo a integração com o sistema operacional ou com o próprio repositório do programa.

Onde estão e como visualizar os certificados em cada sistema?

Antes de importar qualquer coisa é bom saber onde verificar o que está instalado. Tanto no Windows quanto no macOS, há ferramentas nativas para explorar certificados de usuário, computador e CA.

Windows

No Windows, abra o Gerenciador de certificados Usando Windows + R, digite "certmgr.msc". Isso abrirá um console onde você pode revisar certificados pessoais, certificados de outras pessoas e autoridades raiz ou intermediárias.

1. No painel esquerdo vá para Equipe → Certificados para ver as credenciais do usuário usadas para autenticação ou assinatura.
2. Explorar Autoridades de Certificação Raiz Confiáveis e, se aplicável, intermediários para verificar a cadeia de confiança instalada.
3. Clique duas vezes em um certificado para visualizá-lo emissor, expiração e usos permitido.

Se você precisar importar uma cópia do seu certificado pessoal para o Chrome no Windows, lembre-se de que o Chrome usa o Loja do Windows, então a importação é feita pelo próprio sistema. Abaixo você verá o assistente de importação passo a passo.

MacOS

No macOS, os certificados são gerenciados com Keychain Access. Abra-o no Spotlight (cmd + Espaço) e digite seu nome para iniciá-lo. Este utilitário centraliza as credenciais do sistema e do usuário.

1. Na barra lateral escolha Login o Sistema dependendo do tipo de certificado que você deseja revisar.
2. Use o filtro superior «Certificados» para mostrar apenas este tipo de elementos.
3. Clique duas vezes para ver detalhes como entidade emissora e data de validade. Isso confirma que é o certificado correto.

Se você precisar de novos certificados para procedimentos ou assinaturas, certifique-se de instalá-los no chaveiro correto (usuário ou sistema), dependendo de quem deve usá-los e das permissões necessárias.

Importar e gerenciar certificados no Google Chrome (Windows)

Para importar seu certificado para o Chrome no Windows, você precisa de um cópia válida do mesmo. Deve ser um arquivo .pfx ou .p12 (ícone de um envelope aberto com um certificado e uma chave), que contém o certificado e sua chave privada. Um arquivo .cer sem uma chave privada não pode ser usado para assinar ou autenticar como usuário.

Abra o Chrome e vá para Configurações → Privacidade e segurança → Segurança → Gerenciar certificados. No canto superior esquerdo, vá em “Seus Certificados” e, se aparecer, selecione Gerenciar certificados importados do Windows para trabalhar com o sistema warehouse.

Na guia Pessoal Clique em "Importar" para iniciar o "Assistente de importação". Este assistente guiará você pelas etapas necessárias para deixar tudo pronto.

1. Clique em seguinte e clique em "Procurar" para localizar seu arquivo .pfx ou .p12. No menu suspenso da caixa de diálogo, selecione "Compartilhamento de informações pessoais» para que o .pfx/.p12 apareça.
2. Se a sua cópia tiver uma senha, digite-a. Marque também a caixa Marque esta chave como exportável para poder fazer um backup no futuro.
3. Escolher "Selecionar automaticamente o armazenamento de certificados" e continue com “Próximo” até “Concluir”.

Se tudo correr bem, você verá a mensagem de sucesso e o certificado aparecerá pronto no Aba pessoalA partir de agora, quando um site solicitar autenticação, o Chrome exibirá a janela para selecionar o certificado apropriado.

Se o seu arquivo fosse um .cer sem chave privada, ele será instalado em "Outras pessoas" e não será válido para assinatura ou para procedimentos em escritórios como o AEAT. Nesse caso, você não poderá renovar ou exportar corretamente: será necessário solicitar uma novo certificado ao fornecedor.

Configurar o Internet Explorer/Edge para seleção de certificado

Alguns sites e serviços ainda dependem da integração clássica do Windows com o Internet Explorer/Edge. Se o certificado não for solicitado ao acessar um site com autenticação e você quiser o seletor aparece, ajuste esse comportamento nas opções de segurança.

Ir para Ferramentas → Opções da Internet → Segurança → Internet e toque em "Nível personalizado". Na categoria correspondente, selecione a opção Desativar em "Não solicitar a seleção do certificado do cliente quando houver um ou nenhum certificado." Isso fará com que o navegador solicitará confirmação mesmo que haja apenas um certificado válido.

Esta configuração é muito útil quando você tem vários certificados ou quando precisa controlar qual identidade apresentar a um sede eletronica ou um portal corporativo. Se você tiver ambientes de 64 bits com dependências mais antigas, lembre-se de que muitos sites exigem o uso Internet Explorer de 32 bits junto com Java de 32 bits.

Configurar e confiar em certificados no Adobe Acrobat Reader

Para validar assinaturas em PDFs, o Adobe Acrobat Reader pode contar com o Loja do Windows ou use seu próprio repositório de certificados confiável. Dependendo do caso, você se interessará por uma opção ou outra para que ele reconheça as cadeias de confiança como válidas.

Usando o Windows Certificate Store com a Adobe

Primeiro, instale o CA raiz que emitiu o certificado usado para assinar os documentos. Baixe o certificado da autoridade correspondente e abra-o clicando duas vezes para iniciar o assistente do Windows.

1. Na guia "Detalhes" verifica os atributos (emissor, impressão digital, uso) para confirmar que é o certificado correto.
2. imprensa "Instalar certificado" e depois “Próximo”.
3. Escolher "Examinar" e selecione a loja "Emissores Confiáveis" Raiz Autoridades Certificadoras).
4. Siga em frente com "Próximo" para a tela final e pressione “Concluir”.
5. Sendo um CA raizO Windows solicitará sua confirmação. Aceite com "Sim".

Em seguida, abra o Adobe Reader e vá para Editar → Preferências. Em "Segurança" clique em "Preferências Avançadas" e vá até a aba Integração do Windows. Verifique a opção Validando assinaturas para que a Adobe confie no armazenamento do sistema ao validar PDFs assinados.

Use a loja própria do Acrobat Reader

O Acrobat Reader tem um loja própria de confiança e depende dela por padrão. Se preferir gerenciar internamente, importe a CA emissora diretamente para o programa para que ele reconheça as assinaturas emitidas por essa cadeia como válidas.

1. Faça o download do certificado raiz da autoridade emissora correspondente.
2. Abra o Adobe Acrobat Reader. Em versões anteriores, vá para Avançado → Gerenciar identidades confiáveis; nas versões modernas, vá para Documentos → Gerenciar identidades confiáveis.
3. imprensa "Adicionar contato" e então “Procurar” para selecionar o certificado baixado.
4. Na janela, selecione o contato recém-importadoOs certificados contidos no arquivo serão exibidos.
5. escolher Certificado de Autoridade Certificadora e clique em "Confiar". Marque a caixa "Assinaturas e como raiz de confiança" e aceitar.
6. Terminar com "Importar" e "Aceitar". A partir de agora, o Acrobat validará assinaturas que dependem dessa CA.

A escolha da loja do Windows ou da loja do Acrobat depende do seu ambiente: em organizações que já dependem de uma CA de nível de sistema, a integração com o Windows Simplifica a manutenção; se você precisar controlar cada trust da Adobe, o armazenamento integrado lhe dará autonomia.

Implantando certificados no ChromeOS com o Google Console

Em ambientes gerenciados, você pode distribuir um CA Corporativo para permitir que dispositivos ChromeOS confiem na sua rede e nos seus aplicativos. Essa implantação é feita no Console de administração do Google, carregando a autoridade como um certificado confiável.

Recomendações anteriores: realizar esta operação no fase inicial implantação para garantir que os usuários acessem os sites sem interrupções. Tenha em mente que Formatos LDAP:// não são compatíveis e você pode adicionar no máximo 50 certificados por unidade organizacional.

Para configurar o AC, vá para Certificados no console. Se você quiser aplicá-lo a todos os usuários e navegadores registrados, mantenha o nível organizacional superior; caso contrário, escolha um unidade organizacional secundária. Em seguida, clique em “Criar certificado”.

1. Atribuir um nome ao certificado.
2. Clique em carregar e selecione um arquivo PEM, CRT ou CER. Somente suportado um certificado por arquivo; será rejeitado se contiver mais de um certificado ou nenhum certificado. Certificados codificados em DER não são aceitos.
3. Em "Autoridade de Certificação", escolha qual Plataformas será usado como CA.
4. Guarda con "Adicionar".

Para implantar o certificado em dispositivos, use um Wi-Fi aberto para convidadosOs dispositivos ChromeOS serão autenticados no Google e receberão o certificado TLS/SSL. O certificado será aplicado a todos os dispositivos ChromeOS registrados no domínio principal.

Truque de administrador: force a mudança para a rede de produção limitando a rede de convidados (tempo de sessão ou acesso à Internet) ou redirecionando para uma página que indicar a mudança Rede Wi-Fi após o download do certificado.

Pára Como verificar a que o CA foi aplicado em um dispositivo ChromeOS gerenciado, siga estes passos no próprio computador:

1. Aberto chrome: // settings.
2. À esquerda, digite Privacidade e segurança.
3. Clique em Segurança.
4. Role para Configuração avançada.
5. Selecione Gerenciar certificados.
6. Verifique se o aparece Autoridade de Certificação que você acabou de adicionar.

Requisitos típicos para escritórios eletrônicos e boas práticas

Alguns locais continuam a exigir configurações muito específicas para identificação e assinaturaEmbora muitas estejam passando por modernização, é útil estar ciente desses requisitos ao trabalhar com plataformas legadas.

Sistemas operacionais que foram historicamente aceitos incluem Windows XP, Vista, 7, 8 e 8.1, bem como o Ubuntu 8–10 (32 bits). Nesses ambientes, o suporte a navegadores, Java e módulos criptográficos fez a diferença.

Quanto aos navegadores, as versões de Internet Explorer 7–11, Firefox (3.6 a 42) e Chrome (11 a 44). Se você estiver trabalhando com um computador de 64 bits e um site mais antigo, poderá ser solicitado a iniciar Internet Explorer de 32 bits e usar Java de 32 bits.

Muitos gabinetes da Administração Geral do Estado validam através do plataforma @firma. Para a primeira conexão, foi necessário instalar o Certificado Red.esSe você for usar o DNIe, precisará do módulo criptográfico específicos e que tenham Java em versões suportadas (por exemplo, 1.6.0.30 a 1.8.0.45). Não se esqueça de habilitar JavaScript no navegador.

Além disso, pode ser necessário incluir determinados URLs em "Sites confiáveis» do navegador, como http://sede.red.gob.es e https://sede.red.gob.es. E, se a sede exigir, habilite o assinatura de arquivo no navegador para poder enviar solicitações com assinatura eletrônica.

Navegadores e notas móveis suportados

Para navegar e autenticar com um certificado em sites HTTPS, eles geralmente são compatíveis Microsoft Edge, Internet Explorer, Mozilla Firefox, Google Chrome, Opera e Safari. Observe que alguns recursos não estão presentes ou são limitados em versões móveis desses navegadores.

Se precisar usar seu certificado em um telefone, consulte a documentação específica do seu sistema e navegador. Em muitos casos, a melhor experiência para assinatura e autenticação Isso continua ocorrendo em desktops, especialmente quando módulos criptográficos, DNIe ou dependências como Java estão envolvidos em sites legados.

Visualizar, exportar e boas práticas de custódia

Revisar regularmente seus certificados ajuda a evitar surpresas. expiração ou devido à falta de confiança em novas cadeias. No Windows, use certmgr.msc; no macOS, Acesso às Chaves. Verifique o emissor, o uso, as datas e as impressões digitais para verificar se correspondem a sua identidade e a finalidade pretendida.

Ao exportar ou importar, tente manter uma cópia protegido por senha e marque a chave como exportável se você planeja migrações futuras entre computadores. Evite enviar PFX/P12 por e-mail não criptografado e controle quem tem acesso a ele. chave privada, pois é o elemento mais sensível de todo o processo.

Se você detectar que a cópia que você tem é uma simples .cer e o navegador não permite assinar ou autenticar, não perca tempo: solicite uma novo certificado ao provedor, seguindo seu procedimento de verificação de identidade, e mantém uma cópia de segurança completa em um meio seguro desde o início.

Instalar e confiar em uma autoridade de certificação raiz (CA)

Às vezes, para que seu navegador ou Adobe confiem em assinaturas ou conexões internas, você precisará instalar o Emissão de CA raizO procedimento típico no Windows é abrir o arquivo CA, verificar seus atributos em "Detalhes" e usar "Instalar certificado" para colocá-lo no repositório "Emissores Confiáveis". Conclua o assistente e confirme o prompt de segurança.

Depois que a CA estiver instalada, você pode decidir se o Adobe Reader confia nela. Loja do Windows (ativando "Validando assinaturas" na integração do Windows) ou se preferir importá-lo diretamente para o próprio armazenamento do Acrobat ("Gerenciando identidades confiáveis → Adicionar contato → Confiar). Dessa forma, você evitará avisos de assinatura inválida em seus documentos.

Se você trabalha em uma organização que usa o ChromeOS, distribua a CA do Console do Google carregando um arquivo PEM/CRT/CER com um único certificado (não DER). Lembre-se dos limites de 50 certificados por UO e que LDAP:// não são suportados. Implante com Wi-Fi para Convidados e valide em "Gerenciar Certificados" no dispositivo.

Com tudo isso, você terá os casos mais frequentes bem cobertos: visualização de certificados instalados, importação no Chrome (Windows), ajuste de seleção no Internet Explorer/Edge, integração com a Adobe e implantação de CAs para dispositivos gerenciados. O segredo é colocar cada elemento no repositório correto, revisar a cadeia de confiança e manter backups seguros para não ser pego de surpresa quando mais precisar.