certificado.
−
A PC deve observar que a solicitação de certificado para AC de nível imediatamente subseqüente ao da
AC responsável somente será possível após o deferimento do seu pedido de credenciamento e a
conseqüente autorização de funcionamento no âmbito da ICP-Brasil (Critérios e Procedimentos para
Credenciamento das Entidades Integrantes da ICP-Brasil). Nesse caso, aquela AC deverá encaminhar a
solicitação de seu certificado à AC emitente por meio de seus representantes legais, utilizando o padrão
de solicitação de certificado PKCS#10.”
“7.1.2. Extensões de certificado (SEM VALIDADE POIS FOI DADA NOVA REDAÇÃO PELA
RESOLUÇÃO Nº 35, DE 21 DE OUTUBRO DE 2004)
Neste item, a PC deve descrever todas as extensões de certificado utilizadas e sua criticalidade.
A ICP-Brasil define como obrigatórias as seguintes extensões:
− “Authority Key Identifier”, não crítica: o campo keyIdentifier deve conter o hash SHA-1 da chave
pública da AC;
−
− “Key Usage”, crítica: em certificados de assinatura digital, somente os bits digitalSignature,
nonRepudiation e keyEncipherment podem estar ativados; em certificados de sigilo, somente os bits
keyEncipherment e dataEncipherment podem estar ativados;
− “Certificate Policies”, não crítica: deve conter o OID da PC correspondente e o endereço Web da
DPC da AC que emite o certificado;
−
− “CRL Distribution Points”, não crítica: deve conter o endereço na Web onde se obtém a LCR
correspondente;
−
A ICP-Brasil também define como obrigatória a extensão “Subject Alternative Name”, não crítica e com os
seguintes formatos:
Para certificado de pessoa física, 2 (dois) campos otherName, contendo:
− OID = 2.16.76.1.3.1 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do titular, no
formato ddmmaaaa; nas 11 (onze) posições subseqüentes, o Cadastro de Pessoa Física (CPF) do
titular; nas 11 (onze) posições subseqüentes, o número de inscrição do titular no PIS/PASEP; nas 11
(onze) posições subseqüentes, o número do Registro Geral - RG do titular; nas 6 (seis) posições
subseqüentes, as siglas do órgão expedidor do RG e respectiva UF.
−
− OID = 2.16.76.1.3.5 e conteúdo = nas primeiras 11 (onze) posições, o número de inscrição do Título
de Eleitor; nas 3 (três) posições subseqüentes, a Zona Eleitoral; nas 4 (quatro) posições seguintes, a
Seção; nas 22 posições subseqüentes, o município e a UF do Título de Eleitor.
Para certificado de pessoa jurídica, 3 (três) campos otherName, contendo, nesta ordem:
− OID = 2.16.76.1.3.4 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do
responsável pelo certificado, no formato ddmmaaaa; nas 11 (onze) posições subseqüentes, o Cadastro
de Pessoa Física (CPF) do responsável; nas 11 (onze) posições subseqüentes, o número de inscrição
do responsável no PIS/PASEP; nas 11 (onze) posições subseqüentes, o número do RG do
responsável; nas 6 (seis) posições subseqüentes, as siglas do órgão expedidor do RG e respectiva UF;
−
− OID = 2.16.76.1.3.2 e conteúdo = nome do responsável pelo certificado;
−
− OID = 2.16.76.1.3.3 e conteúdo = Cadastro Nacional de Pessoa Jurídica (CNPJ) da pessoa jurídica
titular do certificado.
−
O conjunto de informações definido em cada campo otherName deve ser armazenado como uma cadeia
de caracteres do tipo ASN.1 OCTET STRING.
Quando os números de CPF, PIS/PASEP, RG, CNPJ ou Título de Eleitor não estiverem disponíveis, os
campos correspondentes devem ser integralmente preenchidos com caracteres “zero”.
4