Emitir Certificado

emitir-certificado

POST <base_url>/webservice/emitir-certificado

Inicia a emissão do Certificado Digital.

Path Parameters

Name	Type	Description
Accept	string	application/json

Cookies

Name	Type	Description
PHPSESSID*	String	Retornado na abertura de sessão

Request Body

Name	Type	Description
solicitacao*	string	Número do usuário
mensagem*	string	mensagem JSON para o Servidor
nonce1*	string	Nonce calculado pelo Cliente
hmac*	string	Hmac calculado pelo Cliente

200

Os dados devem ser enviados como form-data.

Este serviço requer autenticação hmac com sessão.

O conteúdo do parâmetro mensagem deverá estar no formato JSON com os seguintes itens:

1. tipo : Deverá ser enviado o formato desejado PEM (somente certificado) ou P7B/PKCS7 (cadeia completa).

2. token : Caso o certificado seja do tipo A3 ou A4 deverá ser enviado o nome do token ou HSM em que está sendo emitido o certificado.

3. computador : Nome do computador que está fazendo a requisição.

4. sistema_operacional : Dados do sistema operacional do computador que está fazendo a requisição.

5. versao : Detalhes da aplicação de emissão (versão e informações).

6. interfaces : Lista de interfaces (array)

   1. nome

   2. ip

   3. mac

7. app : Parâmetro obrigatório somente para certificados do tipo A3 e A4. *Caso a key fique em hardcoded poderá ser armazenada somente o hash sha256 da key no código fonte da aplicação de emissão.

   1. appid : Identificador da aplicação (Fornecido pela AC SOLUTI).

   2. token : Token para autenticação e autorização da aplicação de emissão do token. Exemplo: token = sha256(appid || sha256(key) || sha256(csr) || nonce)

   3. nonce : O número nonce deve ser composto por uma parte pseudoaleatória com 4 (quatro) números concatenada com o timestamp (Unix Timestamp sem microssegundos).

8. csr : Certificate signing request (formato PKCS#10).

9. digitalterm_signature : Parâmetro obrigatório somente para solicitações do tipo Termo Digital (Resolução N°136 ITI). O hash recebido na chave digitalterm_hash no serviço Validar dados da emissão deve ser assinado no padrão PKCS#1 v1.5. PEM.

10. url_emissor : URL do emissor que está realizando a emissão do certificado. Parâmetro obrigatório somente para solicitações onde o Produto está com a emissão restrita ativa. Exemplo: meu-emissor.com.br

A emissão de Certificados A3 e A4 é possível somente com emissores credenciados pela AC SOLUTI.

Código de exemplo

Primeiramente vamos iniciar a sessão:

PHP

<?php

    $baseUrl = "https://arsolutihom.acsoluti.com.br";
   
    //Setando o código da solicitação (Número do usuário)
    $solicitacao = "113D2008243B64AE 33954432000190";

    //Setando a mensagem de abertura de sessão
    $mensagem = json_encode(array("session" => "_Sinerg_HMAC_Session_Request_"));

    //Setando a senha de emissão do Certificado Digital
    $senhaEmissao = "96acdian22";

    //Setando o nonce do Cliente
    $nonce1 = rand(1000, 9999) . time();

    //Montando o hkey
    //Hmac sem sessão
    $hkey = hash("sha256", $nonce1 . $senhaEmissao);
    
    //Montando o hmac
    $hmac = hash("sha256", $hkey . $mensagem);

    require_once 'HTTP/Request2.php';
    $request = new HTTP_Request2();
    $request->setUrl($baseUrl . "/webservice/emitir-certificado");
    $request->setMethod(HTTP_Request2::METHOD_POST);
    $request->setHeader(array(
        'Accept' => 'application/json'
    ));

    $request->addPostParameter(array(
        'solicitacao' => $solicitacao,
        'mensagem' => $mensagem,
        'hmac' => $hmac,
        'nonce1' => $nonce1
    ));

    $response = $request->send();
    
    $body = json_decode($response->getBody(),true);
    
    //Armazenando o nonce calculado pelo Servidor
    $nonce2 = $body["nonce2"];
   
    //Armazenando o cookies
    $cookies = $response->getCookies()[0]["value"];
    
    echo $response->getBody();

Guarde o cookies recebido, você irá envia-lo em todas as requisições após a abertura de sessão (nas requisições que precisa de hmac com sessão).

Resposta esperada

{
    "nonce2": "47641598469706",
    "mensagem": {
        "session": "_Sinerg_HMAC_Session_Response_"
    },
    "hmac": "df77696dcc42d30578a2068e9e252d4c10ca47a615640566b1e00cac6660aa2a"
}

Guarde o nonce1 enviado e ononce2 recebido, você irá utiliza-los em todas as requisições após a abertura de sessão (nas requisições que precisa de hmac com sessão).

Agora iremos gerar o par de chaves, gerar CSR, assinar o conteúdo da chave digitalterm_hash e enviar para o Sistema de AR:

PHP

<?php

    $baseUrl = "https://arsolutihom.acsoluti.com.br";
   
   //Definindo as propriedades do par de chaves e do CSR
   $config = array(
        "key" =>  array(
            "digest_alg" => "sha512",
            "private_key_bits" => 2048,
            "private_key_type" => OPENSSL_KEYTYPE_RSA,
        ),
        "csr" => array(
            "digest_alg" => "sha256"
        ),
        "dn" => array(
            "countryName" => "BR",
            "stateOrProvinceName" => "Goias",
            "localityName" => "Goiania",
            "organizationName" => "SOLUT",
            "organizationalUnitName" => "SOLUTI",
            "commonName" => "EMISSAO CERTIIFCADO SOLUTI",
            "emailAddress" => "soluti@soluti.com.br"
        ),
    );
    
    //Criando o par de chaves
    $parDeChaves = openssl_pkey_new($config["key"]);

    //Extraindo a chave privada
    openssl_pkey_export($parDeChaves, $chavePrivada);

    //Criando arquivo com o conteúdo da chave privada (.pem)
    file_put_contents("chavePrivada.pem", $chavePrivada);
    
    //Gerando o CSR
    $csr = openssl_csr_new($config["dn"], $chavePrivada, $config["csr"]);

    //Criando arquivo com o conteúdo do CSR (.pem)
    openssl_csr_export_to_file($csr, "csr.pem");
    $csr = file_get_contents("csr.pem");
    unlink("csr.pem");

    //Convertendo o valor da chave digitalterm_hash para binário
    //Valor obtido na resposta do serviço valida-dados-emissao
    $digitalterm_hash = "302f300b060960864801650304020104208ff977daa2d88ca9519401d0a7c2136dbbba105b5240ae801b04d9f26305432b"; 
    file_put_contents("digitalterm_signature.txt", hex2bin($digitalterm_hash));

    //Realizando a assinatura e salvando o resultando em um arquivo (.der)
    exec('openssl rsautl -sign -inkey chavePrivada.pem -in digitalterm_signature.txt -out assinatura_pkcs1.der');
    unlink("digitalterm_signature.txt");
    
    //Recuperandos os bytes da assinatura
    $bytesAssinatura = file_get_contents("assinatura_pkcs1.der");
    unlink("assinatura_pkcs1.der");

    //Encodando a assinatura em base64
    $assinaturabase64 = base64_encode($bytesAssinatura);

    //Formatando a assinatura
    $assinaturaFormatada = "";
    $strLen = strlen($assinaturabase64);

    for ($i = 0; $i < $strLen; $i++) {
        if ($i != 0 && $i % 64 == 0) {
            $assinaturaFormatada .= "\n";
        }
        $assinaturaFormatada .= $assinaturabase64 [$i];
    }
    
   $digitalterm_signature = "-----BEGIN PKCS1-----\n" . $assinaturaFormatada . "\n-----END PKCS1-----";

   //Setando o código da solicitação (Número do usuário)
   $solicitacao = "113D2008243B64AE 33954432000190";

   //Valor opcional
   $url_emissor = "meu-emissor.com.br";

   //Setando a mensagem
   $mensagem = json_encode(
        array(
            "tipo" => "PKCS7",
            "computador" => "Servidor de emissão A1",
            "sistema_operacional" => "Linux Ubuntu S.O.",
            "versao" => "Soluti AC v1.1.0",
            "interfaces" => array(
                array(
                    "nome" => "Realtek RLT8899 (Wlan0)",
                    "ip" => "192.168.1.2",
                    "mac" => "10-20-30-40-50-AB"
                )
            ),
            "csr" => $csr,
            "digitalterm_signature" => $digitalterm_signature,
            "url_emissor" => $url_emissor //URL do emissor. Exemplo: meu-emissor.com.br
        )
    );
    
   //Setando a senha de emissão do Certificado Digital
   $senhaEmissao = "96acdian22";

   //Setando o nonce do Cliente
   //Valor calculado na requisição do emitir-certificado na abertura de sessão
   $nonce1 = "75791598477127";

   //Setando o nonce do Servidor
   //Valor obtido na resposta do emitir-certificado na abertura de sessão
   $nonce2 = "90511598477132";

   //Setando o cookies
   //Valor obtido na resposta do serviço emitir-certificado na abertura de sessão
   $cookie = "ce4s2d5otfubcif7eb9odep475";

   //Setando o número da mensagem
   //Primeira mensagem enviada após a abertura de sessão
   $contador = 1;

   //Montando o hkey
   //Hmac com sessão
   $hkey = hash("sha256", $nonce1 . $senhaEmissao . $contador . $nonce2);

   //Montando o hmac
   $hmac = hash("sha256", $hkey . $mensagem);
  
   require_once 'HTTP/Request2.php';
   $request = new HTTP_Request2();
   $request->setUrl($baseUrl . "/webservice/emitir-certificado");
   $request->setMethod(HTTP_Request2::METHOD_POST);
   $request->addCookie("PHPSESSID", $cookie);
   $request->setHeader(array(
       'Accept' => 'application/json'
   ));

   $request->addPostParameter(array(
       'solicitacao' => $solicitacao,
       'mensagem' => $mensagem,
       'hmac' => $hmac,
       'nonce1' => $nonce1
   ));

   $response = $request->send();
   echo $response->getBody();

Guarde o valor da variável $chavePrivada, ele será necessário para montar o arquivo pfx após a recuperação do certificado.

Esse conteúdo deve ser guardado criptografado, com elevado grau de segurança. Qualquer vazamento ou utilização indevida, o certificado deverá ser revogado.

Resposta esperada

{
    "mensagem": {
        "obs": "Requisição de emissão iniciada",
        "datetime": "Wed, 26 Aug 2020 18:29:38 -0300",
        "contador": 1
    },
    "hmac": "46caf6c5dcccf8116683bd3a47f2a34c2bb5c07b08fe54be52e6f7a3d2e2a677"
}

Aguarde 30 segundos realize uma nova requisição ao serviço valida-dados-emissao. Quando o mesmo retornar o valor 2 na chave status, iremos consumir o serviço para recuperar o certificado.

Recuperar Certificado