RESOLUÇÃO CG ICP-BRASIL N° 211, DE 31 DE OUTUBRO DE 2024
Dispõe sobre os tipos de certificados digitais
emitidos no âmbito da Infraestrutura de Chaves
Públicas Brasileira - ICP-Brasil.
O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES PÚBLICAS BRASILEIRA, no uso
das atribuições que lhe confere o art. 6°, §1°, inc. IV, da Resolução CG ICP-Brasil n° 190, de 18 de maio de
2021 (Regimento Interno), torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES
PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4° da Medida Provisória n° 2.200-
2, de 24 de agosto de 2001, em reunião ordinária, realizada em sessão presencial em 31 de outubro de
2024, resolveu:
Art. 1° Esta Resolução dispõe sobre os tipos de certificados digitais emitidos no âmbito da Infraestrutura
de Chaves Públicas Brasileira - ICP-Brasil.
Art. 2° Ficam criados os seguintes tipos de certificado digital no âmbito da ICP-Brasil:
I certificado digital de selo eletrônico em software - SE-S;
II certificado digital de selo eletrônico em hardware - SE-H;
III - certificado digital de aplicações específicas em software - AE-S; e
IV - certificado digital de aplicações específicas em hardware - AE-H.
Art. 3° Ficam extintos os seguintes tipos de certificado digital no âmbito da ICP-Brasil:
I certificado de assinatura dos tipos A1 e A2; e
II certificado de sigilo dos tipos S1, S2, S3 e S4.
Art. Fica vedado o uso de certificado digital de selo eletrônico com propósito de assinatura como
manifestação de vontade de pessoa jurídica.
Art. Fica vedada a emissão de certificados digitais destinados à assinatura de código (Code siging) na
Infraestrutura de Chaves Públicas Brasileira ICP-Brasil.
Parágrafo único. Certificados para assinatura de código emitidos até a data de publicação desta Resolução
permanecem vigentes até a data de expiração.
Art. 6° Fica dispensada a aderência aos requisitos de princípios e critérios Webtrust Baseline Code
Signing e SSL/TLS, para suas respectivas cadeias de certificação.
Art. 7° Ficam extintos os seguintes OIDs (Object Identifier) da extensão "Subject Alternative Name" do
certificado digital:
I - OID = 2.16.76.1.3.5 e conteúdo = nas primeiras 12 (doze) posições, o número de inscrição do Título de
Eleitor; nas 3 (três) posições subsequentes, a Zona Eleitoral; nas 4 (quatro) posições seguintes, a Seção;
nas 22 (vinte e duas) posições subsequentes, o município e a UF do Título de Eleitor.
II OID = 2.16.76.1.3.9 e conteúdo = nas primeiras 11 (onze) posições, o número de Registro de Identi-
dade Civil.
III OID = 2.16.76.1.3.11 e conteúdo = nas primeiras 10 (dez) posições, o cadastro único do servidor
público da ativa e militares da União constante no Sistema de Gestão de Pessoal (SIGEPE) mantido pelo
Ministério do Planejamento ou nos sistemas correlatos, no âmbito da esfera estadual e do Distrito Fede-
ral, e nos Sistemas de Gestão de Pessoal das Forças Armadas.
IV OID = 2.16.76.1.3.4 e conteúdo = nas primeiras 8 (oito) posições, a data de nascimento do responsável
pelo certificado, no formato ddmmaaaa; nas 11 (onze) posições subsequentes, o Cadastro de Pessoa Física
(CPF) do responsável; nas 11 (onze) posições subsequentes, o número de Identificação Social NIS (PIS,
PASEP ou CI); nas 15 (quinze) posições subsequentes, o número do RG do responsável; nas 10 (dez) posi-
ções subsequentes, as siglas do órgão expedidor do RG e respectiva UF;
V OID = 2.16.76.1.3.2 e conteúdo = nome do responsável pelo certificado;
Art. Fica implementado o campo serialNumber (OID 2.5.4.5) no Distinguished Name do titular do
certificado digital de pessoa física, contendo o CPF, e de selo eletrônico, contendo CNPJ, a fim de garantir
a unicidade de nome.
Art. 9° O anexo da Resolução CG ICP-Brasil n° 178, de 20 de outubro de 2020, DOC-ICP-03, passa a vigorar
com as seguintes alterações:
“2.2.2.1.2 a solicitação de credenciamento deve estar separada por propósito de uso de
chave, quais sejam:
i. autenticação de aplicações específicas;
ii. assinatura de documentos e proteção de e-mail (S/MIME) e garantia de origem e
integridade; e
iii. assinatura de carimbo do tempo (TimeStamping).” (NR)
Art. 10. O anexo da Resolução CG ICP-Brasil n° 179, de 20 de outubro de 2020, DOC-ICP-04, passa a vigorar
com as seguintes alterações:
“1.1.5 São 10 (dez) os tipos de certificados digitais para usuários finais da ICP-Brasil:
A3
A4
SE-S
SE-H
T3
T4
AE-S
AE-H
A CF-e-SAT
OM-BR
1.1.6 Certificados do tipo A3 e A4 são certificados de assinatura e devem ser emitidos
exclusivamente para pessoas físicas.
1.1.7 Certificados do tipo SE-S e SE-H são certificados de selo eletrônico, respectivamente
em software e em hardware, e devem ser emitidos apenas para pessoas jurídicas.
1.1.8 Certificados do tipo T3 e T4 somente devem ser emitidos para equipamentos das
Autoridades de Carimbo do Tempo - ACTs credenciadas na ICP-Brasil. Os certificados do
tipo T3 e T4 estão associados aos mesmos requisitos de segurança, exceto pelo tamanho
das chaves criptográficas utilizadas.
1.1.9 Certificados do tipo AE-S e AE-H são certificados de aplicações específicas,
respectivamente em software e em hardware, e devem ser emitidos pelas ACs para
equipamentos, servidores, aplicações e dispositivos IOT.
1.1.10 Certificados do tipo A CF-e-SAT devem ser emitidos apenas para equipamentos
integrantes do Sistema de Autenticação e Transmissão do Cupom Fiscal Eletrônico - SAT-
CF-e, seguindo a regulamentação do CONFAZ.
1.1.11 Certificados do tipo Objeto Metrológico - OM-BR devem ser emitidos apenas para
equipamentos metrológicos regulados pelo Inmetro.
1.1.12 Outros tipos de certificado, além dos anteriormente relacionados, podem ser
propostos para a apreciação do Comitê Gestor da ICP-Brasil CG ICP-Brasil. As propostas
serão analisadas quanto à conformidade com as normas específicas da ICP-Brasil e, quando
aprovadas, serão acrescidas aos tipos de certificados aceitos pela ICP-Brasil.
1.2Nome do documento e identificação
1.2.1 Neste item deve ser identificada a PC e indicado, no mínimo, o tipo de certificado a
que está associada. Exemplo: “Política de Certificado de Assinatura Digital, tipo A3, do(a)
<nome da instituição>”. O OID (Object Identifier) da PC deve também ser incluído neste
item.
1.2.2 No âmbito da ICP-Brasil, os OIDs das PCs serão atribuídos na conclusão do processo
de credenciamento da AC, conforme a Tabela 3 a seguir:
Tabela 3 - OID de PC na ICP-Brasil
Tipo de Certificado
OID
A3
2.16.76.1.2.3.n
A4
2.16.76.1.2.4.n
SE-S
2.16.76.1.2.201.n
SE-H
2.16.76.1.2.202.n
T3
2.16.76.1.2.303.n
T4
2.16.76.1.2.304.n
AE-S
2.16.76.1.2.401.n
AE-H
2.16.76.1.2.402.n
A CF-e-SAT
2.16.76.1.2.500.n
OM-BR
2.16.76.1.2.550.n
1.3 Participantes da ICP-Brasil
............................................................................................
1.4 Usabilidade do Certificado
1.4.1 ...................................................................................
............................................................................................
1.4.1.4 Certificados do tipo A3 e A4 serão utilizados em aplicações como confirmação de
identidade e assinatura de documentos eletrônicos com verificação da integridade de suas
informações.
1.4.1.5 Certificados do tipo SE-S e SE-H serão utilizados para garantir origem e integridade
de um documento eletrônico, servindo de prova da emissão do documento por uma pessoa
jurídica.
1.4.1.6 Certificados do tipo T3 e T4 serão utilizados em aplicações mantidas por
Autoridades de Carimbo do Tempo credenciadas na ICP-Brasil para assinatura de carimbos
do tempo.
.......................................................................................................
1.4.1.9 Certificados do tipo AE-S e AE-H serão utilizados em equipamentos, servidores,
aplicações e dispositivos IOT, entre entidades dentro de um ecossistema fechado, onde as
autenticações são mútuas e limitadas aos intervenientes conhecidos.
1.4.2 ..............................................................................................
1.4.2.1 É proibido o uso do certificado de aplicações específicas com a finalidade de
autenticação de servidor (SSL/TLS) destinado ao reconhecimento confiável pelos
navegadores de internet (browsers).
1.4.2.2 É proibido o uso do certificado de selo eletrônico para assinatura digital com o
propósito de manifestação de vontade.
1.4.2.3. Neste item devem ser relacionadas, quando cabível, outras aplicações para as quais
existem restrições ou proibições para o uso desses certificados.
1.5 Política de Administração
.......................................................................................................
6.1.1.8 ...........................................................................................
Tabela 4 Mídias Armazenadoras de Chaves Criptográficas
Tipo de Certificado
Mídia Armazenadora de Chave Criptográfica
(Requisitos Mínimos)
SE-S e AE-S
Repositório protegido por senha e/ou
identificação biométrica, cifrado por software na
forma definida acima
.
A3, A4, SE-H, T3, T4, AE-H e
OM-BR
Hardware
criptográfico, homologado junto à
ICP
-Brasil ou com certificação INMETRO.
A CF-e-SAT
Hardware criptográfico
.
OM-BR
Hardware criptográfico, homologado junto à
ICP
-Brasil ou com certificação INMETRO.
..............................................................................................
6.3.2.3....................................................................................
Tabela 6 – Períodos de Validade dos Certificados
Tipo de Certificado
Período Máximo de Validade do Certificado
(em anos)
1
5
A4 e T4
11 (para cadeias hierárquicas completas em
Curvas Elípticas)
6 (para as demais hierarquias)
5
10
6.4 Dados de Ativação
..............................................................................................
7.1.2 Extensões de certificado
7.1.2.1 Neste item, a PC deve descrever todas as extensões de certificado utilizadas e sua
criticalidade, conforme especificado na Tabela de Perfis de Certificado e LCR, Anexo I deste
documento.
7.1.2.2 Os campos otherName devem estar de acordo com as seguintes especificações:
a) o conjunto de informações definido em cada campo otherName deve ser armazenado
como uma cadeia de caracteres do tipo ASN.1 OCTET STRING ou PRINTABLE STRING;
b) quando os números de CPF, NIS (PIS, PASEP ou CI), RG, CNPJ, CNO ou CAEPF não
estiverem disponíveis, os campos correspondentes devem ser integralmente preenchidos
com caracteres "zero";
c) se o número do RG não estiver disponível, não se deve preencher o campo de órgão
emissor e UF;
d) quando a identificação profissional não estiver disponível, não deverá ser inserido o
campo (OID) correspondente, exceto nos casos de certificado digital cuja titularidade foi
validada pela AR de conselho de classe profissional;
e) todas as informações de tamanho variável referentes a números, tais como RG, devem
ser preenchidas com caracteres "zero" a sua esquerda para que seja completado seu
máximo tamanho possível;
f) as 10 (dez) posições das informações sobre órgão emissor do RG e UF referem-se ao
tamanho máximo, devendo ser utilizadas apenas as posições necessárias ao seu
armazenamento, da esquerda para a direita;
g) apenas os caracteres de A a Z, de 0 a 9, observado o disposto no item 7.1.5.2, poderão
ser utilizados, não sendo permitidos os demais caracteres especiais;
h) quando o número da inscrição estadual e o número da inscrição municipal da pessoa
jurídica emissora do CF-e-SAT não estiverem disponíveis não precisam ser preenchidos.
7.1.2.3 Campos otherName adicionais, contendo informações específicas e forma de
preenchimento e armazenamento definidas pela AC, poderão ser utilizados com OID
atribuídos ou aprovados pela AC Raiz.
7.1.2.4 Os outros campos que compõem a extensão "Subject Alternative Name" poderão
ser utilizados, na forma e com os propósitos definidos na RFC 5280.
7.1.2.5 Todas as informações utilizadas para preenchimento dos campos do certificado
devem ser verificadas.
7.1.3......................................................................................
..............................................................................................
7.1.4 Formatos de nome
7.1.4.1 O nome do titular do certificado, constante do campo Subject”, deverá adotar o
Distinguished Name” (DN) do padrão ITU X.500/ISO 9594, conforme especificado na
Tabela de Perfis de Certificado e LCR, Anexo I deste documento.
7.1.4.2 Será escrito o nome até o limite do tamanho do campo disponível, vedada a
abreviatura.
7.1.5 Restrições de nome
................................................................................................
7.2 Perfil de LCR
................................................................................................
7.2.2 Extensões de LCR e de suas entradas
7.2.2.1 Neste item, a PC deve descrever todas as extensões de LCR utilizadas e sua
criticalidade, conforme especificado na Tabela de Perfis de Certificado e LCR, Anexo I deste
documento.
7.3 Perfil de OCSP
.................................................................................................
...............................................................................................
Anexo I
Tabela de Perfis de Certificado e LCR
1 Detalhamento dos campos e extensões dos Certificados de Assinatura Digital para Pessoa
Física
Campo Valor Presença
Criticalidade
Comentário
1. Versão
3 (0x2)
O -
2. Número de
Série
Número inteiro, longo, positivo, único
para cada AC, não sequencial, não
podendo exceder a 20 octetos
O -
3. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
O -
DOC-ICP-01.01
Campo Valor Presença
Criticalidade
Comentário
criptográficos da ICP-Brasil
4. Emissor
C = BR
O = ICP-Brasil
OU = <CN da cadeia vinculada à
emissora>
CN = <Nome da AC Emitente>
O -
5. Período de
Validade
não antes
AAAAMMDDHHMMSSZ
O -
Formato do tipo Time,
conforme RFC5280
não depois
AAAAMMDDHHMMSSZ
6. Titular
C = BR
O = ICP-Brasil
CN = <Nome Civil>
serialNumber = <número CPF>
O -
Outros atributos poderão
ser utilizados na forma e
propósitos definidos
conforme RFC5280.
OID 2.5.4.5
serialNumber,
conforme
ETSI EN 319 412-
2 V2.3.1
(2023-09).
7. Informações da
Chave Pública do
Titular
-
7.1. Algoritmo
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
DOC-ICP-01.01
7.2. Chave
Pública
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
DOC-ICP-01.01
8. Extensões
X.509v3
- -
Outros campos de extensão
poderão ser
utilizados na
forma e propósitos
definidos conforme
RFC5280.
8.1. Authority
Key Identifier
Hash 160 bits SHA-1 da chave pública
da AC que emite o certificado
O não-crítica
8.2. Subject
Key Identifier
Hash 160 bits SHA-1 da chave pública
da AC titular do certificado
O não-crítica
8.3. Key Usage
digitalSignature
O
crítica
keyEncipherment
P
nonRepudiation
P
8.4. Certificate
Policies
PolicyIdentifier especificando o OID da
PC correspondente ao certificado
O não-crítica
Campo Valor Presença
Criticalidade
Comentário
Policyqualifiers OID 1.3.6.1.5.5.7.2.1
cPSuri: URI do endereço web da DPC
da AC emitente
8.5. Subject
Alternative
Name
OID = 2.16.76.1.3.1 e conteúdo = nas
primeiras 8 (oito) posições, a data de
nascimento do titular, no formato
ddmmaaa; nas 11 (onze) posições
subsequentes, o Cadastro de Pessoa
Física (CPF) do titular; nas 11 (onze)
posições subsequentes, o Número de
Identificação Social
NIS (PIS, PASEP
ou CI); nas 15 (quinze) posições
subsequentes, o número do Registro
Geral (RG) do titular; nas 10 (dez)
posições subsequentes, as siglas do
órgão expedidor do RG e respectiva UF
O* não-crítica
(*) A obrigatoriedade com
restrição implica
recomendação de
manutenção desse
otherName
de forma
provisória, até 31/12/2028,
com o propósito de
possibilitar que todas as
aplicações possam ser
ajustadas para obtenção
dessa informação pelo
atributo
serialNumber
(OID 2.5.4.5),
do campo
DN do titular. Após
31/12/2028
, fica opcional o
uso desse otherName.
OID = 2.16.76.1.3.6 e conteúdo = nas 12
(doze) posições o número do Cadastro
Específico do INSS (CEI) da pessoa
física titular do certificado
P não-crítica
Outros otherNames podem
ser utilizados, conforme
definido no ADE-ICP-
04.01.
8.6. Basic
Constraints
cA = False
O crítica
8.7. Extended
Key Usage
Client authentication OID =
1.3.6.1.5.5.7.3.2
O
não-crítica
E-mail protection OID =
1.3.6.1.5.5.7.3.4
P
8.8. CRL
Distribution
Points
DistributionPointName do tipo URI
contendo HTTP URL do serviço de LCR
da AC emissora desse certificado
O
não-crítica
Deve conter mais de uma
entrada para endereços
onde se obtém a LCR.
reasons
N
cRLIssuer
N
8.9. Authority
Information
Access
id-ad-caIssuer do tipo URI contendo
HTTP URL para recuperação da cadeia
de certificação desse certificado
O
não-crítica
id-ad-ocsp do tipo URI contendo HTTP
URL com o respectivo endereço do
respondedor OCSP para esse certificado
P
9. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
DOC-ICP-01.01
10. Valor da
Assinatura
Cálculo da assinatura digital dos campos
básicos do certificado (bit string).
O
2 Detalhamento dos campos e extensões dos Certificados de Selo Eletrônico para Pessoa
Jurídica
Campo Valor Presença
Criticalidade
Comentário/Referência
1. Versão
3 (0x2)
O -
2. Número de
Série
Número inteiro, longo, positivo, único
para cada AC, não sequencial, não
podendo exceder a 20 octetos.
O -
3. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil.
O -
DOC-ICP-01.01
4. Emissor
C = BR
O = ICP-Brasil
OU = <CN da cadeia vinculada à
emissora>
CN = <Nome da AC Emitente>
O -
5. Período de
Validade
não antes
AAAAMMDDHHMMSSZ
O -
Formato do tipo Time,
conforme RFC5280
não depois
AAAAMMDDHHMMSSZ
6. Titular
C = BR
O = ICP-Brasil
CN = <Razão Social>
serialNumber = <número CNPJ>
O -
Outros atributos poderão ser
utilizados na forma e
propósitos definidos
conforme RFC5280.
ETSI EN 319 412-
3 V1.3.1
(2023-09).
7. Informações da
Chave Pública do
Titular
-
7.1. Algoritmo
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
DOC-ICP-01.01
7.2. Chave
Pública
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os
padrões e algoritmos
criptográficos da ICP-Brasil
O -
DOC-ICP-01.01
8. Extensões
X.509v3
- -
Outros campos de extensão
poderão ser utilizados na
forma e propósitos definidos
conforme RFC5280.
8.1. Authority
Key Identifier
Hash 160 bits SHA-1 da chave
pública da AC que emite o certificado
O não-crítica
Campo Valor Presença
Criticalidade
Comentário/Referência
8.2. Subject Key
Identifier
Hash 160 bits SHA-1 da chave
pública da AC titular do certificado
O não-crítica
8.3. Key Usage
digitalSignature
O
crítica
keyEncipherment
P
nonRepudiation
P
8.4. Certificate
Policies
PolicyIdentifier especificando o OID
da PC correspondente ao certificado
O não-crítica
Policyqualifiers OID 1.3.6.1.5.5.7.2.1
cPSuri: URI do endereço web da
DPC da AC emitente
8.5. Subject
Alternative
Name
OID = 2.16.76.1.3.3 e conteúdo = nas
14 (quatorze) posões o número do
Cadastro Nacional de Pessoa Jurídica
(CNPJ) da pessoa jurídica titular do
certificado
O* não-crítica
(*) A obrigatoriedade com
restrição implica
recomendação de
manutenção desse
otherName
de forma
provisória, até 31/12/2028,
com o propósito de
possibilitar que todas as
aplicações possam ser
ajustadas para obtenção
dessa informação pelo
atributo
serialNumber (OID
2.5.4.5),
do campo DN do
titular. Após 31/12/2028
, fica
opcional o uso desse
otherName.
Outros otherNames
podem
ser utilizados, conforme
definido no ADE-ICP-04.01.
8.6. Basic
Constraints
cA = False
O crítica
8.7. Extended
Key Usage
Client authentication OID =
1.3.6.1.5.5.7.3.2
O
não-crítica
E-mail protection OID =
1.3.6.1.5.5.7.3.4
P
8.8. CRL
Distribution
Points
DistributionPointName do tipo URI
contendo HTTP URL do serviço de
LCR da AC emissora desse certificado
O
não-crítica
Deve conter mais de uma
entrada para endereços onde
se obtém a LCR.
reasons
N
cRLIssuer
N
8.9. Authority
Information
Access
id-ad-caIssuer do tipo URI contendo
HTTP URL para recuperação da
cadeia de certificação desse
certificado
O não-crítica
Campo Valor Presença
Criticalidade
Comentário/Referência
id-ad-ocsp do tipo URI contendo
HTTP URL com o respectivo
endereço do respondedor OCSP para
esse certificado
P
9. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil DOC-
ICP-01.01
O -
DOC-ICP-01.01
10. Valor da
Assinatura
Cálculo da assinatura digital dos
campos básicos do certificado (bit
string).
O
3 Certificado de Equipamento de Carimbo do Tempo
Campo Valor Presença
Criticalidade Comentário
1. Versão
3 (0x2)
O -
2. Número de
Série
Número inteiro, longo, positivo, único
para cada AC, não sequencial, não
podendo exceder a 20 octetos
O -
3. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
Ver DOC-ICP-01.01
4. Emissor
C = BR
O = ICP-Brasil
OU = <CN da cadeia vinculada à
emissora>
CN = <Nome da AC Emitente>
O -
5. Período de
Validade
não antes
AAAAMMDDHHMMSSZ
O -
Formato do tipo Time,
conforme RFC5280
não depois
AAAAMMDDHHMMSSZ
6. Titular
C = BR
O = ICP-Brasil
OU = <Nome da Autoridade de
Carimbo do Tempo>
CN = <Nome do Servidor de
Carimbo do Tempo (incluindo o serial
do SCT)>
O -
7. Informações da
Chave Pública do
Titular
-
7.1. Algoritmo
Conforme regulamento editado por
instrução normativa da AC Raiz que
O -
Ver DOC-ICP-01.01
Campo Valor Presença
Criticalidade Comentário
defina os padrões e algoritmos
criptográficos da ICP-Brasil
7.2. Chave
Pública
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
Ver DOC-ICP-01.01
8. Extensões
X.509v3
- -
8.1. Authority
Key Identifier
Hash 160 bits SHA-1 da chave
pública da AC que emite o certificado
O não-crítica
8.2. Key Usage
digitalSignature
O
crítica
keyEncipherment
N
nonRepudiation
P
8.3. Certificate
Policies
PolicyIdentifier especificando o OID
da PC correspondente ao certificado
O não-crítica
Policyqualifiers OID 1.3.6.1.5.5.7.2.1
cPSuri: URI do endereço web da
DPC da AC emitente
8.4. Subject
Alternative
Name
OID = 2.16.76.1.3.3 e conteúdo = nas
14 (quatorze) posições o número do
Cadastro Nacional de Pessoa Jurídica
(CNPJ) da pessoa jurídica titular do
certificado
P não-crítica
8.5. Basic
Constraints
cA = False
O crítica
8.6. Extended
Key Usage
KeyPurposeID OID =
1.3.6.1.5.5.7.3.8
O crítica
8.7. CRL
Distribution
Points
DistributionPointName do tipo URI
contendo HTTP URL do serviço de
LCR da AC emissora desse certificado
O
não-crítica
reasons
N
cRLIssuer
N
8.8. Authority
Information
Access
id-ad-caIssuer do tipo URI contendo
HTTP URL para recuperação da
cadeia de certificação desse
certificado
O
não-crítica
id-ad-ocsp do tipo URI contendo
HTTP URL com o respectivo endereço
do respondedor OCSP para esse
certificado
P
8.9. Subject
Key Identifier
Hash 160 bits SHA-1 da chave pública
da AC titular do certificado
O o-crítica
Campo Valor Presença
Criticalidade Comentário
9. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
Ver DOC-ICP-01.01
10. Valor da
Assinatura
Cálculo da assinatura digital dos
campos básicos do certificado (bit
string).
O
4 Certificado de Aplicações Específicas
Campo Valor Presença
Criticalidade
Comentário
1. Versão
3 (0x2)
O -
2. Número de Série
Número inteiro, longo, positivo, único
para cada AC, não sequencial, não
podendo exceder a 20 octetos
O -
3. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
Ver DOC-ICP-01.01
4. Emissor
C = BR
O = ICP-Brasil
CN = <Nome da AC Emitente>
O -
5. Período de
Validade
não antes
AAAAMMDDHHMMSSZ
O -
Formato do tipo Time,
conforme RFC5280
não depois
AAAAMMDDHHMMSSZ
6. Titular
C = BR
O
= nome do titular do certificado em
certificado de pessoa física; em um
certificado de pessoa jurídica, deverá
conter o nome empresarial constante
do Cadastro Nacional de Pessoa
Jurídica (CNPJ)
ST
= unidade da federação do endereço
físico do titular do certificado
L = cidade do endereço físico do titular
Business Category (OID 2.5.4.15)
=
tipo de categoria comercial, devendo
conter:
“Private Organization” ou
“Government Entity” ou “Business
Entity” ou “Non-Commercial Entity”
SERIALNUMBER (OID 2.5.4.5)
=
CPF ou CNPJ, conforme o tipo de
pessoa
O -
Outros atributos poderão
ser
utilizados na forma e
propósitos definidos
conforme RFC5280.
Campo Valor Presença
Criticalidade
Comentário
Jurisdiction Country Name (OID:
1.3.6.1.4.1.311.60.2.1.3) = BR
CN
= se presente, este campo deve
conter um único nome de domínio
pertencente ou controlado pelo titular
7. Informações da
Chave Pública do
Titular
-
7.1. Algoritmo
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
Ver DOC-ICP-01.01
7.2. Chave
Pública
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
Ver DOC-ICP-01.01
8. Extensões
X.509v3
- -
Outros campos de extensão
poderão ser utilizados na
forma e propósitos
definidos conforme
RFC5280.
8.1. Authority
Key Identifier
Hash 160 bits SHA-1 da chave
pública da AC que emite o certificado
O não-crítica
8.2. Key Usage
digitalSignature
O
crítica
keyEncipherment
P
nonRepudiation
N
8.3. Certificate
Policies
PolicyIdentifier especificando o OID
da PC correspondente ao certificado
O não-crítica
Policyqualifiers OID 1.3.6.1.5.5.7.2.1
cPSuri: URI do endereço web da DPC
da AC emitente
8.4. Subject
Alternative
Name
Campo dNSName, contendo um ou
mais domínios pertencentes ou
controlados pelo titular, conforme
RFC5280
O não-crítica
8.5. Basic
Constraints
cA = False
O crítica
8.6. Extended
Key Usage
id-kp-serverAuth OID =
1.3.6.1.5.5.7.3.1
P*
crítica
* Ao menos um propósito
deve estar ativado.
id-kp-clientAuth OID =
1.3.6.1.5.5.7.3.2
P*
8.7. CRL
Distribution
Points
DistributionPointName do tipo URI
contendo HTTP URL do serviço de
LCR da AC emissora desse certificado
O
não-crítica
reasons
N
Campo Valor Presença
Criticalidade
Comentário
cRLIssuer
N
8.8. Authority
Information
Access
id-ad-caIssuer do tipo URI contendo
HTTP URL para recuperação da cadeia
de certificação desse certificado
O
não-crítica
id-ad-ocsp do tipo URI contendo
HTTP URL com o respectivo endereço
do respondedor OCSP para esse
certificado
P
9. Algoritmo de
Assinatura
Conforme regulamento editado por
instrução normativa da AC Raiz que
defina os padrões e algoritmos
criptográficos da ICP-Brasil
O -
Ver DOC-ICP-01.01
10. Valor da
Assinatura
Cálculo da assinatura digital dos
campos básicos do certificado (
bit
string).
O
5 Certificado de Equipamento OM-BR Perfil meramente exemplificativo, visto que o
regulamento é dado pelo Inmetro (NIT-Dmtic-008)
Campo Valor Presença Criticalidade Comentário
1. Versão
3 (0x2)
O -
2. Número de
Série
Número inteiro, longo, positivo, único
para cada AC, não sequencial, não
podendo exceder a 20 octetos
O -
3. Algoritmo de
Assinatura
Conforme regulamento dado pelo
Inmetro.
O -
Ve r N IT-DMTIC-008:
disponível em
https://www.gov.br/inmet
ro/pt-
br/assuntos/certificacao-
digital/NITDmtic008.pdf
4. Emissor
C = BR
O = ICP-Brasil
OU = <CN da cadeia vinculada à
emissora>
CN = <Nome da AC Emitente>
O -
5. Período de
Validade
não antes
AAAAMMDDHHMMSSZ
O -
Formato do tipo Time,
conforme RFC5280
não depois
AAAAMMDDHHMMSSZ
6. Titular
C = BR
O = ICP-Brasil
SERIALNUMBER (OID 2.5.4.5) =
número de identificação do
equipamento OMBR
CN = <Razão Social>
O -
Ve r N IT-DMTIC-008:
disponível em
https://www.gov.br/inmet
ro/pt-
br/assuntos/certificacao-
digital/NITDmtic008.pdf