Uma forma consagrada de confirmar o bom funcionamento de um certificado digital da ICP-Brasil é via acesso aos serviços eCac da Receita Federal.
Para fazer esse teste, comece visitando a página da Receita em www.receita.fazenda.gov.br e em seguida clique sobre o botão de fundo branco com a legenda "Certificado Digital" que se encontra no canto superior direito da página de entrada, conforme ilustrado abaixo.
Se o computador estiver devidamente configurado com o software de suporte para o dispositivo em que o certificado digital se encontra, será pedida em seguida a senha PIN do certificado. No Mozilla Firefox, essa senha é chamada de "Senha Mestra"; em outros navegadores, o pedido da senha será feito pelo software de suporte instalado, que pode variar de um computador para outro e de um modelo de dispositivo para outro.
Em algumas situações pode ser necessário escolher um certificado específico entre vários (por exemplo, se houver dois ou mais conectados ao seu computador ao mesmo tempo).
A primeira ilustração da esquerda mostra a situação típica quando se usa o Mozilla Firefox.
Preencha a senha PIN associada ao seu certificado digital. Caso a senha não tenha sido solicitada, pode ser que o computador em uso não tenha acesso ao software de suporte necessário para seu dispositivo de certificado digital. Consulte a empresa responsável por seu dispositivo de certificado digital (cartão com "chip" ou "token" digital). Muitas vezes essa empresa será uma das ACs (Autoridades Certificadoras) da ICP-Brasil ou estará ligada a uma destas via convênio ou terceirização.
Se por acaso você quer ou precisa tentar instalar o software de suporte ao seu dispositivo de certificado digital por sua própria conta e risco, sem a assistência da empresa que emitiu seu certificado (o que não é recomendado), confira a informação ao final desta página.
Não se preocupe se for mostrada uma janela similar à ilustrada abaixo. Ela é basicamente informativa e não indica problemas de adequação ou validade do certificado. Você pode deixar a opção de "Memorizar esta decisão" marcada se usa sempre o mesmo certificado nesse computador e navegador.
Quando o computador, o certificado e a senha PIN são ambos adequados e corretamente configurados para a consulta aos serviços eCac, estes são disponibilizados imediatamente em seguida, como ilustrado abaixo.
Suas opções são explicadas mais adiante. Mas se tem pressa, você pode simplesmente instalar a cadeia da ICP-Brasil em seu navegador, reiniciar o computador e tentar novamente. Sem tem muita pressa e não precisa usar o Mozilla Firefox, experimente então executar este programa e abrir novo navegador (um que não esteja em uso neste momento) para fazer nova tentativa. Ou execute o programa, reinicie seu computador e tente novamente.
Se, pelo contrário, a senha PIN não tiver sido digitada corretamente, ou o certificado for inválido por qualquer motivo, o resultado é uma mensagem de erro 403, indicando falha de autenticação.
A mensagem de erro mostrada em janeiro de 2014 recomenda a instalação dos três certificados da cadeia de autenticação empregada pelo sítio da Receita Federal.
De fato, a autenticação só é possível quando o navegador tem acesso a esses três certificados:
Todos estes certificados e muitos outros podem ser encontrados a partir do repositório do ITI
Mas na prática é mais conveniente simplesmente instalar a cadeia completa da ICP-Brasil, através da opção "Atualização de Navegadores" que se encontra encostada à margem esquerda da página.
Se usa vários navegadores, você pode achar conveniente instalar a cadeia várias vezes, uma vez para cada navegador. Ou, pelo menos, instale-a separadamente para o Mozilla Firefox (que não usa o repositório de certificados de autenticação do Windows) e para o Internet Explorer ou para o Google Chrome (que usam o repositório do Windows).
Uma das Autoridades Certificadoras da ICP-Brasil, a Certisign, disponibiliza em sua página de downloads de hierarquias de certificação um programa executável que instala a cadeia da ICP-Brasil no repositório do Windows (procure por "Hierarquia Completa ICP-Brasil" e clique em "Acesse Agora"; ou se preferir, use este link direto. Observe porém que não podemos assumir qualquer responsabilidade pela adequação, atualização, confiabilidade ou segurança desse programa executável; use-o por sua conta e risco, e prefira os procedimentos do ITI descritos acima se não se sente confortável com essa escolha.
A instalação da cadeia não é demorada, mas o efeito só é sentido depois que cada navegador for reiniciado (pois enquanto houver pelo menos uma janela aberta de um navegador, a cadeia de autenticação desse navegador não é conferida novamente para constatar atualizações).
Naturalmente, reiniciar o computador após a instalação da cadeia da ICP-Brasil também garante que a cadeia será percebida daí em diante.
Durante este teste de acesso ao eCac da Receita Federal, pode acontecer de você ser solicitado a confirmar qual certificado deseja usar para a sua autenticação enquanto pessoa física.
Clicar em "Ok" é suficiente, mas neste momento você tem a oportunidade clicar em "Informações do Certificado" para conferir as informações específicas do seu certificado pessoal, que lhe identifica enquanto pessoa física e que também precisa remeter à cadeia de certificação da ICP-Brasil.
Observe que neste exemplo a validade do certificado pessoal é de três anos. Isso é normal. Até o momento, todos os certificados pessoais autenticados junto à ICP-Brasil tem validade máxima de três anos.
Clicando em "Caminho de Certificação" você pode conferir qual cadeia de autenticação é usada pelo seu certificado pessoal.
Observe que neste exemplo a cadeia também termina em uma AC Raiz Brasileira da ICP-Brasil (a v1), da mesma forma que o sítio do eCac da Receita Federal se autentica por uma cadeia de certificados que termina na AC Raiz Brasileira da ICP-Brasil v2.
Isso é normal e esperado; todos os certificados válidos perante a ICP-Brasil devem remeter em última análise a alguma das AC Raiz Brasileiras atualmente em uso (que são, em janeiro de 2014, as AC Raiz Brasileiras v1, v2 e v3). Isso é verdade para certificados que autenticam pessoas físicas, e também é verdade para certificados que identificam sítios da Internet.
Para que seu certificado pessoal seja devidamente reconhecido pelo seu navegador, é necessário que também essa cadeia de autenticação esteja disponível para seu computador.
Se já instalou a cadeia completa da ICP-Brasil, você não precisa se preocupar; esta cadeia faz parte daquela.
Como indicado acima, para qualquer uso do certificado digital, alé da cadeia de autenticação da ICP-Brasil també é necessário ter instalados em seu computador os programas de suporte do seu dispositivo de certificado digital (driver do dispositivo e gestor de certificado).
A instalação desses programas não deve ser tentada sem a supervisão ou participação de um técnico qualificado. No entanto, em reconhecimento à realidade de que há quem precise desta informação, repasso aqui o que sei sobre onde encontrar tais programas.
Em primeiro lugar, especificamente para certificados emitidos pela empresa Certisign existe uma ferramenta, o AIC - Assistente de Instalação Certisign - que muitas vezes facilita a instalação destes dois componentes. Em janeiro de 2014 o AIC podia ser baixado via http://www.certisign.com.br/atendimento-suporte/downloads/aic - mas não é aconselhável usá-lo em certificados emitidos por outras empresas. Seja cauteloso.
Para as demais situações, existem vários repositórios desse tipo de programas. Alguns podem mudar de endereço ou mesmo deixar de existir ao longo do tempo, mas a melhor relação que tenho neste momento é esta:
É recomendável reiniciar o computador imediatamente após a instalação de qualquer um desses programas.
Versão de 2013-Jan-10. Favor informar sugestões de mudança ou melhoria para luis@dantas.com ; uma versão deste documento pode ser baixada em formato Word a partir do sítio do TRT-PR.