A forma de instalação do seu certificado digital depende do formato e do seu tipo:

• Token USB – consulte o manual em https://suporte.multicert.com/usb
• Smartcard - consulte o manual em https://suporte.multicert.com/cartao

As instruções seguintes são relativas às versões 2010 e 2013 do MSOutlook.

 

• Aceda ao menu "Ficheiro" (File) e selecione a opção “Opções” (Options)
• Na janela "Opções do Outlook" (Outlook options) deve selecionar à esquerda a opção “Centro de fidedignidade” (Trust Center) e, em seguida, premir o botão "Definições do Centro de fidedignidade" (Trust Center Settings...) 
• Na janela "Centro de fidedignidade” (Trust Center) deve selecionar a opção "Segurança de correio" (E-mail Security)
• Na secção "E-mail protegido" (Encrypted e-mail) deve premir o botão [Definições...] (Settings)
• Na janela "Alterar definições de segurança" (Change Security Settings) deve preencher os campos:
  • "Nome das definições de segurança" - Um nome associado à sua conta (por exemplo, o seu nome)
  • "Certificado de assinatura:" (Signing certificate) - Pressionar o botão [Escolher...] (Choose) e selecionar o seu certificado, cujo e-mail associado tem de ser o mesmo que o da conta de e-mail em que está a fazer a configuração
  • Algoritmo de Hash - SHA1
  • Certificado de codificação (Encryption certificate) - Pressionar o botão [Escolher...] (Choose) e selecionar o seu certificado. Se se tratar de um certificado digital qualificado, ele não aparecerá como opção porque não serve para cifrar informação.
  • Algoritmo de cifragem - 3DES
• Enviar estes certificados com mensagens assinadas - Assinalar esta opção de modo a enviar o seu certificado em anexo, sempre que enviar uma mensagem assinada. Assim, os destinatários dos seus e-mails assinados ficam com o seu certificado instalado (parte pública) e podem-lhe enviar mensagens cifradas utilizando o seu certificado.
• Pressionar o botão [Ok]

 

Com este passo, associou o certificado à sua conta de e-mail. Neste momento o cliente de e-mail está preparado para enviar e-mails assinados e receber e-mails cifrados quando o desejar. Para saber como enviar uma mensagem assinada/cifrada deve consultar o artigo Envio de mensagens assinadas através de cliente de e-mail.

Se obtiver o erro apresentado na janela abaixo, significa que houve uma tentativa de instalar o .NET framework, sem sucesso.

 

 

Para contornar esta situação, há duas opções possíveis. A primeira pode ser utilizada se tiver acesso à internet, a segunda se não tiver ou se por algum motivo não conseguir fazer download dos ficheiros necessários.

Primeira opção:

• acede ao "Painel de Controlo" do seu computador, a "Programas" e posteriormente "Programas e Funcionalidades"

 

 

• nesta janela, prime a opção “Ativar ou desativar funcionalidades do Windows”
• clica na opção *.NET Framework 3.5 (inclui o .NET 2.0 e o 3.0), conforme a imagem abaixo

 

 

• prime o botão "OK"
• segue as instruções padrão de instalação do pacote de atualização do *.NET Framework 3.5, aguardando pela sua instalação.

 

Segunda opção:

No caso de não conseguir obter os ficheiros necessários a partir da internet, há a necessidade do fornecimento local dos mesmos (por exemplo utilizando o CD do MS Windows).

• abra a janela da linha de comandos, com permissões de administração
• execute o comando C:\Windows\system32\dism /online /enable-feature /featurename:NetFx3 /All /source:[caminhoParaFicheiro] /limitaccess

 caminhoParaFicheiro - o caminho para o ficheiro em que tem o .NET framework - por exemplo d:\sources\sxs\

As novas hierarquias são compostas, cada uma delas por 2 certificados digitais, sendo que o certificado raiz é o mesmo nas duas hierarquias:

• certificado intermediário Multicert 001 aqui + certificado raiz/root Multicert aqui
• certificado intermediário Multicert 002 aqui + certificado raiz/root Multicert aqui

Vamos começar por importar um certificado intermediário da Multicert.

1. No Mozilla Firefox, aceda ao menu "Ferramentas", "Opções"
2. é aberto um separador com um aspecto similar ao apresentado abaixo
3. selecione a opção "Avançadas", prima o botão "Certificados" e posteriormente o botão "Ver certificados"
4. é apresentada a janela "Gestor de certificados"
5. nesta janela, selecione a aba "Autoridades e "prima o botão "Importar..."
6. selecione o certificado da autoridade de certificação intermediária Multicert CA 002- mca_002_2.cer (disponível em http://ec2pki.multicert.com/cert/mca_002_2.cer) e prima o botão "Abrir"
7. selecione as opções apresentadas na imagem abaixo e prima o botão "OK"
8. repita os passos 1 a 7 para o certificado  intermediário Multicert CA 001- mca_001_2.cer (disponível em https://pki.multicert.com/cert/MULTICERT_CA/mca_001_2.cer

 

Para importar o certificado raiz/root da Multicert, repita os passos 1 a 5 apresentado acima. Após estes passos:

1. selecione o certificado raiz da Multicert- MCRootCA.cer (disponível em http://pkiroot.multicert.com/cert/MCRootCA.cer) e prima o botão "Abrir"
2. selecione as opções apresentadas na imagem abaixo e prima o botão "OK"

Concluído este processo, a importação do certificado intermédio Multicert e o certificado raiz Multicert fica concluída.

As novas hierarquias são compostas, cada uma delas por 2 certificados digitais, sendo que o certificado raiz é o mesmo nas duas hierarquias:

• certificado intermediário Multicert 001 aqui + certificado raiz/root Multicert aqui
• certificado intermediário Multicert 002 aqui + certificado raiz/root Multicert aqui

Vamos começar por importar o certificado intermediário da Multicert para o Internet Explorer.

1. Abra o Internet Explorer e vá a "Ferramentas” (1) > "Opções de Internet” > "Conteúdo” e carregue no botão "Certificados" (2).
   
2. na janela "Certificados”, aceda ao separador "Autoridades de Certificação intermediárias” e prima o botão "Importar"
3. é iniciado o assistente de importação de certificados digitais. Prima o botão "Seguinte"
4. prima o botão "Procurar" e selecione o ficheiro que contem o certificado intermédio a importar - mca_002_2.cer 
5. prima o botão "Seguinte"
6. para finalizar a instalação, prima o botão "Concluir"
7. quando for apresentada uma janela indicando "A importação teve êxito" significa que o processo terminou com sucesso.
   
8. repita os passos 1 a 7, importanto no passo 4 o certificado mca_001_2.cer

 

Para importar o certificado de raiz da Multicert para o Internet Explorer.

1. Abra o Internet Explorer e vá a "Ferramentas” (1) > "Opções de Internet” > "Conteúdo” e carregue no botão "Certificados" (2).
   
2. na janela "Certificados”, aceda ao separador "Autoridades de certificação de raiz fidedigna” e prima o botão "Importar"
3. é iniciado o assistente de importação de certificados digitais. Prima o botão "Seguinte"
4. prima o botão "Procurar" e selecione o ficheiro que contem o certificado de raiz a importar - MCRootCA.cer
   
5. prima o botão "Seguinte"
6. é apresentada a janela seguinte. Nessa janela, especifique que pretende colocar todos os certificados no arquivo "Autoridades de certificação de raiz fidedigna" (1)
   
7. prima o botão "Seguinte"
8. para finalizar a instalação, prima o botão "Concluir"
9. quando for apresentada uma janela indicando "A importação teve êxito" significa que o processo terminou com sucesso.
   

As novas hierarquias são compostas, cada uma delas por 2 certificados digitais, sendo que o certificado raiz é o mesmo nas duas hierarquias:

• certificado intermediário Multicert 001 aqui + certificado raiz/root Multicert aqui
• certificado intermediário Multicert 002 aqui + certificado raiz/root Multicert aqui

Vamos começar por importar o certificado intermediário da Multicert para o Keychain.

1. Aceda ao "Finder" > "Applications” > "Utilities” e abra a aplicação "Keychain Access" (1)
   
2. Execute o "Keychain Access" e aceda ao menu "File" (1) > "Import items..." (2)
   
3. na janela "Keychain Access”, selecione o ficheiro que contem o certificado intermédio a importar - mca_002_2.cer e prima o botão "Open"
   
4. repita os passos 2 a 3, selecionando o ficheiro que contem o certificado intermédio mca_001_2.cer
5. o processo está concluído.

 Para importar o certificado de raiz da Multicert para o Keychain.

1. Repita os passos 1 e 2 indicados anteriormente
2. na janela "Keychain Access”, selecione o ficheiro que contem o certificado de raiz a importar - MCRootCA.cer e prima o botão "Open"
3. é apresentada a janela seguinte. Faça duplo clique sobre “MULTICERT Root Certification Authority 01”
   
4. expanda a opção "Trust"
5. na secção “When using this certificate” selecione a opção “Always Trust”
   
6. feche a janela
7. quando solicitada, insira a password de administrador do MacOS e prima o botão "Update Settings"
   
8. é apresentada a janela seguinte.

As novas hierarquias são compostas, cada uma delas por 2 certificados digitais, sendo que o certificado raiz é o mesmo nas duas hierarquias:

• certificado intermediário Multicert 001 aqui + certificado raiz/root Multicert aqui
• certificado intermediário Multicert 002 aqui + certificado raiz/root Multicert aqui

Faça por favor download dos certificados.

Para importar os certificados intermédios da Multicert, execute o comando:

keytool -import -trustcacerts -alias intermediateCA -file <ficheiro que contem o certificado intermédio Multicert 001> -keystore keystore.jks

keytool -import -trustcacerts -alias intermediateCA -file <ficheiro que contem o certificado intermédio Multicert 002> -keystore keystore.jks

 

Para importar o certificado de raiz da Multicert, execute o comando:

keytool -import -trustcacerts -alias root -file <ficheiro que contem o certificado de raiz> -keystore keystore.jks

Para efetuar esta confirmação, deve:

1. com o seu dispositivo criptográfico ligado ao computador (se o certificado for em token USB ou cartão) aceder a https://beta.multicert.com 
2. se solicitado, inserir o PIN do seu cartão criptográfico
3. se a resposta da página for "Autenticado com sucesso", significa que a hierarquia de certificação foi corretamente instalada.

A password encontra-se disponível na carta de acompanhamento, que recebeu juntamente com o seu token USB.

 

Para conseguir usar o seu Certificado Digital no Mozilla Firefox, e apesar de já o ter instalado corretamente no seu computador e estando a vê-lo perfeitamente no Internet Explorer, vai ter de o instalar também no Mozilla Firefox.

1. Certifique-se que não tem o leitor de cartões ligado ao seu computador.
2. No Mozilla Firefox, aceda ao "Menu" e escolha "Opções" 

 

    3. Seleccione "Avançadas", carregue no separador "Certificados" e no botão "Dispositivos de Segurança"

 

 4. Na janela de Gestor de dispositivos, carregue no botão "Carregar” no lado direito.

     Na janela de "Carregar dispositivo PKCS#11” deve carregar no botão "Procurar...”

 

 

Em Windows selecione o ficheiro C:\Windows\System32\eTPKCS11.dll

Em MacOS, o ficheiro encontra-se em /usr/local/lib/libidprimepkcs11.0.dylib

1. Vá ao “Painel de Controlo” > "Programas” >  "Programas e Funcionalidades” e procure o “Safenet Authentication Client”
2. Verifique qual a versão instalada. Faça download do ficheiro de instalação da mesma versão do sw que tem instalado:
   1. Safenet 8.1

   2.  Safenet 8.2

3. Descomprima o software, utilizando a password que lhe foi fornecida na carta de acompanhamento que recebeu com o seu Token USB, execute o ficheiro e selecione a opção “Reparar”
4. Se o problema persistir, siga as instruções da FAQ que se segue.

 

Por vezes, quando tenta utilizar o seu Certificado Digital para se autenticar perante um website ou para assinar dados, este pode não estar a ser apresentado como uma opção de seleção no Internet Explorer, ou programa que esteja a utilizar, mesmo tendo o seu smartcard inserido no leitor de cartões ou o token USB inserido na porta USB do seu computador.

1. Abra o Internet Explorer e vá a "Ferramentas” (1) > "Opções de Internet” > "Conteúdo” e carregue no botão "Certificados" (2).
2. Se na janela "Certificados”, no separador "Pessoal” (1), não for apresentado o nome do detentor (2) e a data de expiração do Certificado (3), como exemplificado na imagem ao lado, deve:
   1. Certificado em token USB – validar se está a utilizar uma porta USB que funciona bem, ou confirmar se o token USB está bem inserido numa porta USB.
3. Se continuar a não ver o seu Certificado deve:
   1. verificar se junto ao relógio do seu computador tem um círculo branco com um "S" vermelho no centro
   2. se não tiver, no seu Windows ir a "Iniciar”, escolher "Todos os programas” e selecionar a opção "SafeNet” >"Safenet Authentication Client”
4. Se o seu Certificado continuar a não aparecer, é possível que não tenha o software relativo ao seu token criptográfico corretamente instalado. Para o instalar novamente deve:
   1. No Windows, vá ao "Painel de Controlo” > "Adicionar ou Remover Programas” / "Programas e Funcionalidades”
   2. Selecione o software Safenet authentication Client Tool, da Safenet, e carregue em desinstalar
   3. Reinicie o seu computador
   4. Siga as instruções disponíveis em https://suporte.multicert.com/usb
5. Se no separador "Pessoal” da janela de "Certificados” é apresentado o nome do detentor e a data de expiração do Certificado:
   1. Verifique se o seu Certificado ainda está válido, ou seja, se a data apresentada é anterior à data atual. Se o seu Certificado já tiver expirado vai ter de o Renovar.
   2. Faça duplo clique sobre o nome do detentor do Certificado para abrir a janela de detalhes do "Certificado”. Carregue no separador "Caminho de certificação" (1) e verifique se tem três níveis tal como ilustrado na figura ao lado:
      1. Baltimore CyberTrust Root (3)
      2. MULTICERT –Entidade de Certificação 001 ou MULTICERT - Entidade de Certificação 002 (4)
      3. Nome do detentor do Certificado (5)
   3. Se apenas apresentar o nome do detentor do Certificado, vai ter de instalar os dois Certificados em falta. Para tal:
      1. Aceda a http://pki.multicert.com/cert/MULTICERT_CA/mca_001.cer ou http://pki.multicert.com/cert/MULTICERT_CA/mca_002.cer . O download do Certificado vai iniciar automaticamente. Para o instalar no Internet Explorer faça duplo clique sobre o ficheiro que fez download, prima o botão "Abrir” e, por último, carregue no botão "Instalar certificado…”.
      2. O download do Certificado vai iniciar automaticamente. Para o instalar no Internet Explorer faça duplo clique sobre o ficheiro que fez download, prima o botão "Abrir” e, por último, carregue no botão "Instalar certificado…”

A forma de instalação do seu certificado digital depende do formato em que lhe foi fornecido e do seu tipo:

• Token USB – consulte o manual em https://suporte.multicert.com/usb
• Ficheiro
  • Certificado SSL/TLS – Consulte o manual: Recebi um email com o meu certificado SSL/TLS em anexo, e agora? Como se instala o Certificado SSL/TLS?
  • Outro tipo de certificado digital - Consulte o manual: Recebi um e/mail com o meu certificado de Aplicação/Fatura eletrónica/Code signing em anexo. E agora? Como posso começar a usar?

A password encontra-se disponível na carta de acompanhamento, que recebeu juntamente com o seu smartcard.

Para conseguir usar o seu Certificado Digital no Mozilla Firefox, e apesar de já o ter instalado corretamente no seu computador e estando a vê-lo perfeitamente no Internet Explorer, vai ter de o instalar também no Mozilla Firefox.

1.  Certifique-se que não tem o leitor de cartões ligado ao seu computador.
2. No Mozilla Firefox, aceda ao "Menu" e escolha "Opções".

3. Selecione "Avançadas”, carregue no separador “Certificados” e no botão "Dispositivos de Segurança".

 

4. Na janela de Gestor de dispositivos, carregue no botão "Carregar” no lado direito.

    Na janela de "Carregar dispositivo PKCS#11” deve carregar no botão "Procurar...”

 

 

Se o seu Certificado foi emitido até 14/07/2017

Selecione o ficheiro C:\Program Files\Gemalto\Classic Client\BIN\gclib.dll ou C:\Program Files (x86)\Gemalto\Classic Client\BIN\gclib.dll.

Em MacOS, o ficheiro encontra-se em /usr/lib/ClassicClient/libgclib.dylib

 

Se foi o seu Certificado foi emitido após 14/07/2017

Em Windows selecione o ficheiro C:\Windows\System32\eTPKCS11.dll

Em MacOS, o ficheiro encontra-se em /usr/local/lib/libeTPkcs11.dylib

Por vezes, quando tenta utilizar o seu Certificado Digital para se autenticar perante um website ou para assinar dados, este pode não estar a ser apresentado como uma opção de seleção no Internet Explorer, ou programa que esteja a utilizar, mesmo tendo o seu smartcard inserido no leitor de cartões ou o token USB inserido na porta USB do seu computador.

1. Abra o Internet Explorer e vá a "Ferramentas” (1) > "Opções de Internet” > "Conteúdo” e carregue no botão "Certificados" (2).
2. Se na janela "Certificados”, no separador "Pessoal” (1), não for apresentado o nome do detentor (2) e a data de expiração do Certificado (3), como exemplificado na imagem ao lado, deve:
   1. Certificado em smartcard - validar se o cartão criptográfico está bem inserido no leitor, ou se o leitor de cartões está corretamente conectado ao computador.
   2. Certificado em token USB – validar se está a utilizar uma porta USB que funciona bem, ou confirmar se o token USB está bem inserido numa porta USB.
3. Se continuar a não ver o seu Certificado deve:
   1. no seu Windows ir a "Iniciar”, escolher "Todos os programas” e selecionar a opção "Gemalto” >"Classic Client ToolBox”
   2. no lado esquerdo da janela selecionar a secção "Conteúdo do Cartão”
   3. no canto superior direito inserir o PIN de utilizador (user PIN) do cartão e carregar no botão "Login”
   4. no canto inferior direito, carregar no botão "Registrar tudo”
   5. verificar se o seu Certificado já é apresentado no Internet Explorer
4. Se o seu Certificado continuar a não aparecer, é possível que não tenha o software relativo ao seu token criptográfico corretamente instalado. Para o instalar novamente deve:
   1. No Windows, vá ao "Painel de Controlo” > "Adicionar ou Remover Programas” / "Programas e Funcionalidades”
   2. Selecione o software Classic Client 6.1 Patch 3, e carregue em desinstalar
   3. Reinicie o seu computador
   4. Siga as instruções disponíveis em https://suporte.multicert.com/cartao
5. Se no separador "Pessoal” da janela de "Certificados” é apresentado o nome do detentor e a data de expiração do Certificado:
   1. Verifique se o seu Certificado ainda está válido, ou seja, se a data apresentada é anterior à data atual. Se o seu Certificado já tiver expirado vai ter de o Renovar.
   2. Faça duplo clique sobre o nome do detentor do Certificado para abrir a janela de detalhes do "Certificado”. Carregue no separador "Caminho de certificação" (1) e verifique se tem três níveis tal como ilustrado na figura ao lado:
      1. Baltimore CyberTrust Root (3)
      2. MULTICERT –Entidade de Certificação 001 ou MULTICERT - Entidade de Certificação 002 (4)
      3. Nome do detentor do Certificado (5)
   3. Se apenas apresentar o nome do detentor do Certificado, vai ter de instalar os dois Certificados em falta. Para tal:
      1. Aceda a http://pki.multicert.com/cert/MULTICERT_CA/mca_001.cer ou http://pki.multicert.com/cert/MULTICERT_CA/mca_002.cer . O download do Certificado vai iniciar automaticamente. Para o instalar no Internet Explorer faça duplo clique sobre o ficheiro que fez download, prima o botão "Abrir” e, por último, carregue no botão "Instalar certificado…”.
      2. O download do Certificado vai iniciar automaticamente. Para o instalar no Internet Explorer faça duplo clique sobre o ficheiro que fez download, prima o botão "Abrir” e, por último, carregue no botão "Instalar certificado…”

 

A forma de instalação do seu certificado digital depende do formato em que lhe foi fornecido e do seu tipo:

• Smartcard - consulte o manual em https://suporte.multicert.com/cartao
• Ficheiro
  • Certificado SSL/TLS – Consulte o manual em Recebi um e/mail com o meu certificado SSL/TLS em anexo, e agora? Como se instala o Certificado SSL/TLS?
  • Outro tipo de certificado digital - Consulte o manual em Recebi um e/mail com o meu certificado de Aplicação/Fatura eletrónica/Code signing em anexo. E agora? Como posso começar a usar?

O leitor de cartões que adquiriu é plug & play, no entanto, para que o seu cartão possa ser usado, tem de instalar o software de utilização do mesmo.

Para que o seu leitor funcione corretamente com o seu:

• Cartão de Cidadão - deve obter e instalar o sw disponível aqui
• Cartão Multicert - deve obter e instalar o sw disponível mais abaixo nesta mesma página (a password de descompressão do sw foi fornecida na carta que acompanhava o seu cartão)

Dependendo do seu servidor web, a forma de instalação poderá variar. Selecione qual o seu servidor web:

1. IIS6
   1. NoInternet Information Server  (IIS) carregue com o botão direito do rato sobre o site para o qual deseja associar o Certificado (1) e selecione "Properties" (2).
   2. Na janela de propriedades carregue no separador “Directory Security" (1) e, na secção de “Secure Communications", clique no botão "Server Certificate…" (2).
   3. Vai aparecer a janela do Wizard, onde deve selecionar "Process the pending request and install the certificate’" (1) e carregar em “Next>” (2).
   4. Em “Path and file name” (1) indique qual a diretoria onde guardou o Certificado enviado pela Multicert e carregue no botão “Next>” (2).
   5. No campo de porta a utilizar para SSL (1) digite a porta escolhida, que normalmente, é a 443. Prima o botão “Next>” (2).
   6. De seguida são apresentados os parâmetros do Certificado escolhido para instalar. Se os dados estiverem corretos carregue no botão “Next>” (1) e, na janela seguinte, prima o botão “Finish” para concluir a instalação do Certificado TLS/SSL.  

2. IIS7

   1. No Windows, vá a “Iniciar” > “Programas” > “Ferramentas de Administração” e escolha a opção “Gestor de Serviços de Internet” paraabrir o Internet Information Server (IIS)
   2. No separador da esquerda, em “Connections”, clique no servidor correspondente (1) e no separador central faça duplo-clique em “Server Certificates” (2).
   3. No separador da direita, em Actions, carregue em “Create Certificate Request” (1).
   4. Na janela "Complete Certificate Request" (1) indique o local onde o Certificado se encontra guardado e, no campo de "Friendly name” (2), atribua-lhe um nome amigável para que o possa identificar facilmente. Carregue em "OK” (3).
   5. No separador da esquerda, em "Connections", selecione o servidor correspondente (1) e o site onde pretende instalar o certificado (2).
   6. No separador da direita, em "Actions", carregue em "Bindings" (1).
   7. Na janela "Site Bindings" é onde vai associar o Certificado ao website. Clique no botão "Add" (1), preencha os seguintes campos e, no final, carregue em "OK” (6):
      1. Em "Type” (2) selecione "https”
      2. Em "IP Address” (3) preencha o IP do seu site ou deixe como "All Unassigned”
      3. Em "Port” (4) insira a porta para a conexão SSL deste site (a porta padrão para SSL é a 443)
      4. Em "SSL Certificate” (5) selecione o Certificado que acabou de ser instalado no servidor (visível através do friendly name que atribuiu)
   8. O seu certificado foi instalado e configurado com sucesso. Reinicie o servidor IIS para completar a instalação.
   9. Na janela de “Cryptographic Service Provider Properties”, no campo “Cryptographic Service Provider” (1) deve escolher “Microsoft RSA Schannel Cryptographic Provider” e 2048 bits como tamanho das chaves no campo “Bit length” (2). No final carregue em “Next” (3).
   10. Por fim deve definir o nome para o pedido de Certificado, assim como escolher onde é que o pretende guardar e carregar em “Finish” (1) para finalizar a geração do CSR.

3. IIS8

   1. No Windows, vá a "Iniciar” > "Programas” > "Ferramentas de Administração” e escolha a opção "Gestor de Serviços de Internet” para abrir o Internet Information Server (IIS8).
   2. No separador da esquerda, em “Connections”, clique no servidor correspondente (1) e no separador central faça duplo-clique em “Server Certificates” (2).
   3. No separador da direita, em “Actions”, carregue em “Create Certificate Request” (1).
   4. Na janela "Complete Certificate Request" indique o local onde o Certificado se encontra guardado (1) e, no campo de "Friendly name” (2), atribua-lhe um nome amigável para que o possa identificar facilmente. Carregue em "OK” (3).
   5. No separador da esquerda, em "Connections", selecione o servidor correspondente (1) e o site onde pretende instalar o certificado (2).
   6. No separador da direita, em "Actions", carregue em "Bindings" (1).
      
   7. Na janela "Site Bindings" é onde vai associar o Certificado ao website. Clique no botão "Add"(1), preencha os seguintes campos e, no final, carregue em "OK” (7):
      1. Em "Type” (2) selecione "https”
      2. Em "IP Address” (3) preencha o IP do seu site ou deixe como "All Unassigned”
      3. Em "Port” (4) insira a porta para a conexão SSl deste site (a porta padrão para SSL é a 443)
      4. Em "Host name” (5) defina o nome do site
      5. Em "SSL Certificate” (6) selecione o Certificado que acabou de ser instalado no servidor (visível através do friendly name que atribuiu)
   8. O seu certificado foi instalado e configurado com sucesso. Reinicie o servidor IIS para completar a instalação.

Em anexo ao e-mail que recebeu é enviado um ficheiro .zip, que contem: a parte pública do seu certificado digital de aplicação e a cadeia de certificação.

Para obter um ficheiro .p12 ou .pfx que precisará, para poder instalar o certificado onde desejar, deve:

• Reunir os três ficheiros que recebeu por e-mail e a chave privada que gerou quando gerou o ficheiro .csr que carregou na interface web da Multicert (ficheiro .key)
• Se ainda não tiver a aplicação OpenSSL instalada, faça download da aplicação openssl a partir de https://slproweb.com/products/Win32OpenSSL.html e instale-a
• Criar um novo documento de texto
• Conforme o que tenha recebido, abrir o ficheiro "MULTICERT - Entidade de Certificacao 002.cer" ou “TSCA001.cer”, com o Wordpad ou com o vi e, no final, acrescente uma linha. Gravar com o nome cadeia.pem
• Conforme o que tenha recebido, abrir o ficheiro "Baltimore CyberTrust Root.cer" ou “MULTICERT-Root.cer”, com o Wordpad ou vi
• Conforme o que tenha recebido, copiar o conteúdo do ficheiro "Baltimore CyberTrust Root.cer" ou “MULTICERT-Root.cer” para o final do cadeia.pem e gravar
• Executar o seguinte comando, substituindo os nomes ficheiro.key e ficheiro.cer pelos nomes dos seus ficheiros: openssl pkcs12 -export -inkey ficheiro.key -in ficheiro.cer -out ficheiro.p12 -certfile cadeia.pem
• Caso necessite, gravar o ficheiro.p12 como ficheiro.pfx.

Em anexo ao e-mail que recebeu é enviado um ficheiro .ZIP, que contém: a parte pública do seu certificado digital de aplicação e a cadeia de certificação.

Para obter um ficheiro .p12 ou .PFX, de forma a poder instalar o certificado onde desejar, deve:

• Reuna os três ficheiros que recebeu por e-mail e a chave privada que gerou quando gerou o ficheiro .CSR que carregou na interface web da Multicert (ficheiro .KEY)
• Se ainda não tiver a aplicação OpenSSL instalada, faça download a partir de https://slproweb.com/products/Win32OpenSSL.html e instale-a
• Crie um novo documento de texto
• Abra o ficheiro "MULTICERT - Entidade de Certificacao 002.cer", com o Wordpad ou com o VI e, no final, acrescente uma linha. Gravar com o nome cadeia.pem
• Abra o ficheiro "Baltimore CyberTrust Root.cer", com o Wordpad ou VI
• Copie o conteúdo do ficheiro "Baltimore CyberTrust Root.cer" para o final do cadeia.pem e grave-o
• Execute o seguinte comando, substituindo os nomes key e ficheiro.cer pelos nomes dos seus ficheiros: openssl pkcs12 -export -inkey ficheiro.key -in ficheiro.cer -out ficheiro.p12 -certfile cadeia.pem
• Caso necessite, grave o ficheiro.p12 como ficheiro.pfx.

Deve dar os passos abaixo indicados, que dependem do servidor web que utilizar:

Apache

1. editar o ficheiro de configuração do seu servidor web. O mais comum, pensamos que seja, necessitar de editar um virtualHost. Genericamente, um VirtualHost poderá ter o aspeto seguinte:
   DocumentRoot /var/www/html2
   ServerName www.exemplo.pt
   SSLEngine on
   SSLCertificateFile /path/to/MTCXXXXXXXXXR.cer (o seu novo certificado)
   SSLCertificateKeyFile /path/to/chaveprivada.key (não necessita de substituir a chave privada)
   SSLCertificateChainFile /path/to/MCA002.cer
2. substitua a linha 
   SSLCertificateFile /path/to/MTCXXXXXXXXXR.cer
    para incluir o caminho para a o seu novo certificado, que lhe enviamos por email
3. caso o seu certificado intermédio não seja MCA002.cer substitua a linha que contem o caminho para o certificado intermédio da Multicert, para SSLCertificateChainFile /path/to/MCA002.cer  para incluir o caminho para o certificado da Multicert, com o nome MCA002.cer, que lhe enviamos por email.

 

IIS

1. precisará de uma ferramenta auxiliar, o OpenSSL.  Pode efetuar, gratuitamente o download desta ferramenta a partir de: https://slproweb.com/products/Win32OpenSSL.html
2. Após o download da ferramenta, deve instalá-la. Por omissão, será criada a pasta c:\OpenSSL
3. Deve agora exportar o certificado que tem neste momento instalado no seu servidor web, obtendo assim um ficheiro .pfx
4. Separar a chave privada do certificado anterior:
   1. copiar o ficheiro que obteve no passo 3 para a pasta "c:\OpenSSL\bin"
   2. ir para a pasta "c:\OpenSSL\bin"
   3. executar o comando (não deve copiar e colar o comando, deve escrevê-lo) Openssl pkcs12 –in certificadoAntigo.pfx –nocerts –nodes –out chaveprivada.key
5. Juntar a chave privada do certificado ao certificado que lhe enviamos agora:
   1. copiar o ficheiro que contem o certificado novo, que lhe foi enviado recentemente para a pasta "c:\OpenSSLbin"
   2. executar o comando  Openssl pkcs12 –export –inkey chaveprivada.key –in certificadoNovo.cer –out certificadoNovo.pfx
   3. Importar o novo certificado para o servidor web e associá-lo ao seu site.

Nota: Caso ocorra um erro a executar os comandos indicados anteriormente, na directoria c:\openssl\bin execute o seguinte comando Openssl:  set OPENSSL_CONF=c:\OpenSSL\bin\openssl.cfg

 

Apenas é possível exportar certificados digitais em ficheiro. Se tiver o seu certificado num Token USB ou num smartcard a exportação não é possível

Efectue os seguintes passos:

• escolha a opção Ferramentas -> Opções de Internet -> Conteúdo -> Certificados -> Pessoal ou Tools -> Internet Options -> Content -> Certificates -> Personal e selecione o seu certificado
  
  
• selecione Exportar -> Exportar a chave privada
  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• Inclua todos os certificados no caminho de certificação ou Include all certificates in the certification path

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• introduza uma password e um nome para o ficheiro.
• guardar o ficheiro num local seguro

Após recolher o seu certificado digital, que obteve através da opção "Download" na secção "Suporte criptográfico", deve verificar a sua correta instalação:

1. Abra o Internet Explorer e vá a "Ferramentas” (1) > "Opções de Internet” > "Conteúdo” e carregue no botão "Certificados" (2).
2. se na janela "Certificados”, no separador "Pessoal” (1), não for apresentado o nome do detentor (2) e a data de expiração do Certificado (3), como exemplificado na imagem ao lado, o seu certificado não ficou corretamente instalado, pelo que deve repetir a recolha (no mesmo Internet Explorer em que preencheu o formulário web de pedido de certificado digital) e caso a situação se mantenha, deve contatar a Multicert
3. Se no separador "Pessoal” da janela de "Certificados” é apresentado o nome do detentor e a data de expiração do Certificado:
   1. Verifique se o seu Certificado ainda está válido, ou seja, se a data apresentada é anterior à data atual. Se o seu Certificado já tiver expirado vai ter de o Renovar.
   2. Faça duplo clique sobre o nome do detentor do Certificado para abrir a janela de detalhes do "Certificado”. Carregue no separador "Caminho de certificação" (1) e verifique se tem três níveis tal como ilustrado na figura ao lado:
      1. Baltimore CyberTrust Root (3)
      2. MULTICERT –Entidade de Certificação 001 ou MULTICERT - Entidade de Certificação 002 (4)
      3. Nome do detentor do Certificado (5)
   3. Se apenas apresentar o nome do detentor do Certificado, vai ter de instalar os dois Certificados em falta. Para tal:
      1. Aceda a http://pki.multicert.com/cert/MULTICERT_CA/mca_002.cer . O download do Certificado vai iniciar automaticamente. Para o instalar no Internet Explorer faça duplo clique sobre o ficheiro que fez download, prima o botão "Abrir” e, por último, carregue no botão "Instalar certificado…”.
      2. O download do Certificado vai iniciar automaticamente. Para o instalar no Internet Explorer faça duplo clique sobre o ficheiro que fez download, prima o botão "Abrir” e, por último, carregue no botão "Instalar certificado…”

Tranquilize os seus utilizadores, usando o Selo de Site Seguro da Multicert

 

O Selo de Site Seguro Multicert é um selo de confiança que, como nosso cliente de certificados TLS/SSL, pode usar no seu website. Carregando na imagem do selo, o seu cliente tem acesso a uma página com informações sobre o certificado que está a ser usado no seu site, aumentando a segurança e confiança na utilização dos seus serviços.

O link relativo ao seu certificado foi enviado no email de aviso de emissão de certificado digital TLS/SSL.

Imagens do Site Seguro MULTICERT:

Imagem	Descrição	Formatos disponíveis
	Selo Site Seguro - horizontal a cores	PNG e TIF
	Selo Site Seguro - horizontal a preto e branco	PNG
	Selo Site Seguro - quadrado a cores	PNG e TIF
	Selo Site Seguro - quadrado a preto e branco	PNG e TIF

                  

 

Para importar o seu certificado a partir de um ficheiro com a extensão p12, deve:

• fazer duplo clique sobre o ficheiro que contem o certificado digital (formato .p12 ou .pfx)
• conforme a imagem apresentada abaixo, é aberto o "Assistente para Importar Certificados"

 

• por uma questão de segurança, deve selecionar a opção "Utilizador Atual" e premir o botão "Seguinte"
• na janela seguinte deve voltar a premir o botão "Seguinte"
• é apresentada a seguinte janela, em que 
  • lhe é solicitada a Palavra-passe. Esta palavra-passe é o PIN que recebeu por SMS, com o remetente "MULTICERT"
  • deve assinalar a opção "Marcar esta chave como exportável se desejar exportar numa altura posterior a sua chave privada." Se não a assinalar, então não mais conseguirá exportar a chave privada e deverá guardar sempre o ficheiro p12 que está neste momento a instalar
  • premir o botão "Seguinte"

• na janela seguinte, em "Arquivo de certificados" deve selecionar a opção "Seleccionar automaticamente o arquivo de certificados, com base no tipo de certificado" e premir o botão "Seguinte"
• finalize a instalação premindo o botão "Concluir"

 

• No Mozilla Firefox, aceda ao menu "Ferramentas", "Opções"

 

• é aberto um separador com um aspecto similar ao apresentado abaixo
• selecione a opção "Avançadas", prima o botão "Certificados" e posteriormente o botão "Ver certificados"

 

• é então apresentada a janela "Gestor de certificados"
• nesta janela, prima o botão "Importar..." e selecione o seu ficheiro p12 (que lhe foi fornecido por email, zipado)

 

 

• a palavra-passe solicitada é o PIN que recebeu por SMS

Para o IIS aceitar como válidos todos os certificados emitidos pela Multicert, deve instalar no IIS a antiga hierarquia de certificação da Multicert e também a nova.

A nova hierarquia é composta por 2 certificados digitais:

• certificado intermediário MULTICERT Certification Authority 002, disponível  aqui
• certificado raiz/root MULTICERT Root Certification Authority 01, disponível aqui.

Faça por favor download dos certificados.

Da antiga cadeia, basta fazer download do certificado intermediário "MULTICERT - Entidade de Certificação 001", que está disponível aqui.

Vejamos agora como importar o certificado intermediário "MULTICERT Certification Authority 002".

•   Executar a consola Microsoft Management Console: premir as teclas Windows+R e escrever mmc   

• Aceder a “File” -> “Add/Remove Snap-in…”
  

   

• Selecionar “Certificates”, premir o botão “Add >”, premir o botão “OK”

 

• dependendo do sistema operativo utilizado selecionar as opções abaixo indicadas:
  • Windows Server versões 2008 e 2012 escolher “My user account” + botão “Finish”
  • Windows Server 2003 escolher “Computer Account” + botão “Finish”
• na janela “Console Root”, expandir “Certificates – Current User” -> “Intermediate Certification Authorities” -> “Certificates”
• premir com o botão direito do rato e selecionar “All Tasks” -> “Import”
• 
  
  
  
  
  
  
  
  
  
  
  

• É iniciado o assistente de importação do Windows. Para instalar o certificado intermédio,
  • premir o botão "Next"
  • Premir o botão “Browse…” (1)
  • selecionar o certificado intermédio “mca_002_2.cer” (2)
  • premir o botão “Open” (3)
• 
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  

• assegurar que está selecionada a opção “Place all certificates in the following store” (Certificate store: Intermediate Certification Authorities) (1)

• premir o botão “Next”.

• 
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  

 

• para finalizar a instalação premir o botão “Finish”
• aguardar pela mensagem de “The import was successful”. Premir “OK”
• verficar que o certificado “MULTICERT Certification Authority 002” está instalado, na store “Intermediate Certification Authorities”.
  • 

 

 

 

 

 

• premir o botão “Next” (2)

 

Para importar o certificado de raiz "MULTICERT Root Certification Authority 01":

• Executar a consola Microsoft Management Console: premir as teclas Windows+R e escrever mmc   
• Selecionar “Certificates”, premir o botão “Add >”, premir o botão “OK”

• 
  
  
  
  
  
  
  
  
  
  
  
  
  
  

   

• Aceder a “File” -> “Add/Remove Snap-in…”

 

• dependendo do sistema operativo utilizado selecionar as opções abaixo indicadas:
  • Windows Server versões 2008 e 2012 escolher “My user account” + botão “Finish”
  • Windows Server 2003 escolher “Computer Account” + botão “Finish”
• na janela “Console Root”, expandir “Certificates – Current User” -> “Trusted Root Certification Authorities” -> “Certificates”
• premir com o botão direito do rato e selecionar “All Tasks” -> “Import”
  • 
    
    
    
    
    
    
    
    
    
    
    

• É iniciado o assistente de importação do Windows. Para instalar o certificado de raiz,
  • premir o botão "Next"
  • Premir o botão “Browse…” (1)
  • selecionar o certificado de raiz “MCRootCA.cer” (2)
  • premir o botão “Open” (3)
• 
  
  
  
  
  
  
  
  
  
  
  
  
  
  
• premir o botão “Next”.
• assegurar que está selecionada a opção “Place all certificates in the following store” (Certificate store: Certificate store: Trusted Root Certification Authorities) (1)
• premir o botão "Next" 
  • 
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    

 

• para finalizar a instalação premir o botão “Finish”
• caso seja apresentada a imagem abaixo, deve verificar-se se as atualizações de segurança estão em dia. Se não estiverem, deve escolher-se a opção “No”, atualizar o sistema operativo e repetir o processo de importação
  • 
• após a atualização, aguardar pela mensagem de “The import was successful” e premir “OK”
• verficar que o certificado “MULTICERT Root Certification Authority 01” está instalado, na store “Trusted Root Certification Authorities”
• para aplicar a configuração efetuada, reiniciar o servidor IIS
• premir a tecla Windows+R
• escrever "IISReset" e premir o botão "OK" 
• aguardar que o serviço reinicie

 

 

Recomendamos que estes passos sejam executados previamente num servidor de testes, para validar que a configuração efetuada não impacta negativamente nenhum serviço de produção!

Para o Apache aceitar como válidos todos os certificados emitidos pela Mutlicert, deve instalar no Apache a antiga hierarquia de certificação da Multicert e também a nova.

A nova hierarquia é composta por 2 certificados digitais:

• certificado intermediário MULTICERT Certification Authority 002, disponível  aqui
• certificado raiz/root MULTICERT Root Certification Authority 01, disponível aqui.

Faça por favor download dos certificados.

Da antiga cadeia, basta fazer download do certificado intermediário "MULTICERT - Entidade de Certificação 001", que está disponível aqui.

 

Configurar o Apache

Vejamos agora como configurar o Apache para aceitar as cadeias de certificação que têm no topo o "MULTICERT - Entidade de Certificação 001".

• ir para a pasta em que guardou os certificados digitais de que fez download nos passos anteriores
• criar o ficheiro CAfile.cer, que conterá as duas cadeias; executando os seguintes comandos

  • cat MCRootCA.cer >> CAfile.cer

  • cat mca_001_2.cer >> CAfile.cer

  • cat mca_002_2.cer >> CAfile.cer

• o diretório e o nome do ficheiro de configuração variam de servidor para servidor, dependendo do tipo da interface utilizada para a administração do servidor. É necessário editar o ficheiro de configuração do Apache:
  • o ficheiro de configuração habitualmente tem o nome de http.conf ou apache2.conf e está localizado em /etc/httpd/ ou /etc/apache2/  . Se não conseguir encontrá-lo, poderá ser pesquisado, usando o comando  grep -i -r "SSLCertificateFile" /etc/httpd/
  • editar a secção <VirtualHost> do site que estamos a configurar

<VirtualHost 192.168.0.1:443>

DocumentRoot /var/www/html2

ServerName www.exemplo.com

SSLEngine on

SSLCertificateFile /path/to/MTCXXXXXXXXX.cer

SSLCertificateKeyFile /path/to/chavepriv_certificado.key

SSLCertificateChainFile /path/to/Chainfile.cer

SSLCACertificateFile /path/to/CAfile.cer

</VirtualHost> 

•  na secção acima apresentada
  • na linha SSLCertificateFile deve inserir-se o caminho para o certificado folha, o que adquiriram
  • na linha SSLCertificateKeyFile deve inserir-se o caminho para a chave privada que gerou associada ao .csr que enviou para a Multicert, aquando da emissão do vosso certificado digital
  • na linha SSLCertificateChainFile deve inserir-se o caminho para a cadeia de certificação do certificado SSL do site que está a ser configurado 
  • na linha SSLCACertificateFile deve inserir-se o caminho para o ficheiro CAfile.cer criado nos passos anteriores

 

Testar a configuração realizada

Recomendamos testar primeiro a configuração antes de reiniciar o servidor Apache, por forma a validar eventuais erros de configuração.

Digite o seguinte comando: 

apachectl configtest

Reiniciar o Apache

Digitar os seguintes comandos:

apachectl stop

apachectl start

 

Após o servidor reiniciar, a nova cadeia de certificação da Multicert deverá estar instalado com sucesso.

Recomendamos que execute primeiros estes passos num servidor de testes, para validar que a configuração efetuada não impacta negativamente nenhum serviço de produção!