Mudanças entre as edições de "Correcao cadeia certificado ITI"
(Criou página com '= Atualização crítica da cadeia de certificados do ITI = Prezados, no início do ano o ITI adicionou três novas autoridades certificadoras à sua lista de confiança, co...') |
(→Atualização crítica da cadeia de certificados do ITI) |
||
Linha 6: | Linha 6: | ||
No entanto, nessa última atualização o ITI adicionou duas novas autoridades certificadoras: | No entanto, nessa última atualização o ITI adicionou duas novas autoridades certificadoras: | ||
+ | |||
- Autoridade_Certificadora_Raiz_Brasileira_v6; | - Autoridade_Certificadora_Raiz_Brasileira_v6; | ||
+ | |||
- Autoridade_Certificadora_Raiz_Brasileira_v7. | - Autoridade_Certificadora_Raiz_Brasileira_v7. | ||
+ | |||
Estas autoridades certificadoras necessitam de um novo algoritmo de validação e a bilioteca utilizada pelo PJe para fazer a validação dos certificados não possui uma versão oficial para tratar esse novo algoritmo. Com isso quando a lista do arquivo intermediarias.zip era atualizada o PJe do tribunal parava de validar qualquer certificado. | Estas autoridades certificadoras necessitam de um novo algoritmo de validação e a bilioteca utilizada pelo PJe para fazer a validação dos certificados não possui uma versão oficial para tratar esse novo algoritmo. Com isso quando a lista do arquivo intermediarias.zip era atualizada o PJe do tribunal parava de validar qualquer certificado. | ||
Trabalhamos no CNJ para resolver esse problema e chegamos ao seguinte roteiro que foi aplicado na versão nacional: | Trabalhamos no CNJ para resolver esse problema e chegamos ao seguinte roteiro que foi aplicado na versão nacional: | ||
+ | |||
- Houve mudança na biblioteca icpbr-util e de duas das suas dependências do bouncycastle: bcprov e bcpkix. Essas alterações não possuem um pacote oficial do bouncycastle (e não estão disponíveis nos repositórios maven globais), por isso, disponibilizamos no repositório maven do CNJ (http://www.cnj.jus.br/artifactory), já padrão do sistema; | - Houve mudança na biblioteca icpbr-util e de duas das suas dependências do bouncycastle: bcprov e bcpkix. Essas alterações não possuem um pacote oficial do bouncycastle (e não estão disponíveis nos repositórios maven globais), por isso, disponibilizamos no repositório maven do CNJ (http://www.cnj.jus.br/artifactory), já padrão do sistema; | ||
− | - Atualizamos também o icpbr-util para fazer um melhor tratamento da validação dos certificados e impedir que uma nova cadeia disponibilizada no ITI que esteja com um formato desconhecido bloqueie a validação de certificados com as cadeias já existentes; | + | |
+ | - Atualizamos também o icpbr-util para fazer um melhor tratamento da validação dos certificados e impedir que uma nova cadeia disponibilizada no ITI que esteja | ||
+ | com um formato desconhecido bloqueie a validação de certificados com as cadeias já existentes; | ||
+ | |||
- Atualizamos o pom.xml do PJe para utilizar a nova versão do icpbr-util (versão 1.0.15b); | - Atualizamos o pom.xml do PJe para utilizar a nova versão do icpbr-util (versão 1.0.15b); | ||
Essas alterações serão disponibilizadas na próxima versão oficial do PJe Nacional (2.0.2.0). Enquanto isso, recomendamos fortemente que os tribunais apliquem as mesmas alterações às suas versões locais, segue o passo-a-passo: | Essas alterações serão disponibilizadas na próxima versão oficial do PJe Nacional (2.0.2.0). Enquanto isso, recomendamos fortemente que os tribunais apliquem as mesmas alterações às suas versões locais, segue o passo-a-passo: | ||
+ | |||
1. Antes de qualquer coisa, atualizar o arquivo intermediarias.zip, de acordo com o arquivo disponibilizado em (http://ftp.cnj.jus.br/pje/intermediarias.zip): | 1. Antes de qualquer coisa, atualizar o arquivo intermediarias.zip, de acordo com o arquivo disponibilizado em (http://ftp.cnj.jus.br/pje/intermediarias.zip): | ||
- https://git.cnj.jus.br/pje/pje/blob/master/pje-web/src/main/resources/META-INF/intermediarias.zip. | - https://git.cnj.jus.br/pje/pje/blob/master/pje-web/src/main/resources/META-INF/intermediarias.zip. | ||
+ | |||
2. se a versão for anterior à 2.0.1.0, é necessário aplicar os seguintes commits que estão no branch master do PJe - estas alterações são necessárias pois houve alterações críticas nas bibliotecas do bouncycastle -, identificadores dos commits: c445cc7c e bd0c6ea4: | 2. se a versão for anterior à 2.0.1.0, é necessário aplicar os seguintes commits que estão no branch master do PJe - estas alterações são necessárias pois houve alterações críticas nas bibliotecas do bouncycastle -, identificadores dos commits: c445cc7c e bd0c6ea4: | ||
+ | |||
- https://git.cnj.jus.br/pje/pje/commit/c445cc7c; e | - https://git.cnj.jus.br/pje/pje/commit/c445cc7c; e | ||
+ | |||
- https://git.cnj.jus.br/pje/pje/commit/bd0c6ea4 | - https://git.cnj.jus.br/pje/pje/commit/bd0c6ea4 | ||
+ | |||
3. atualizar o pom.xml do PJe, onde estiver: | 3. atualizar o pom.xml do PJe, onde estiver: | ||
+ | |||
<dependency> | <dependency> | ||
+ | |||
<groupId>br.jus.cnj</groupId> | <groupId>br.jus.cnj</groupId> | ||
+ | |||
<artifactId>icpbr-util</artifactId> | <artifactId>icpbr-util</artifactId> | ||
+ | |||
<version>1.0.14</version> | <version>1.0.14</version> | ||
+ | |||
</dependency> | </dependency> | ||
Linha 35: | Linha 52: | ||
<dependency> | <dependency> | ||
+ | |||
<groupId>br.jus.cnj</groupId> | <groupId>br.jus.cnj</groupId> | ||
+ | |||
<artifactId>icpbr-util</artifactId> | <artifactId>icpbr-util</artifactId> | ||
+ | |||
<version>1.0.15b</version> | <version>1.0.15b</version> | ||
+ | |||
</dependency> | </dependency> | ||
+ | |||
4. Fazer o build do PJe e subir a aplicaçção. | 4. Fazer o build do PJe e subir a aplicaçção. | ||
Linha 44: | Linha 66: | ||
Como verificar se as alterações funcionaram? | Como verificar se as alterações funcionaram? | ||
+ | |||
- Para identificar se as alterações funcionando, tente fazer o login com um certificado digital. | - Para identificar se as alterações funcionando, tente fazer o login com um certificado digital. |
Edição das 17h33min de 17 de janeiro de 2019
Atualização crítica da cadeia de certificados do ITI
Prezados,
no início do ano o ITI adicionou três novas autoridades certificadoras à sua lista de confiança, com isso o CNJ disponibilizou um novo documento com a lista completa dessas autoridades certificadoras no arquivo intermediarias.zip, que pode ser obtido no endereço: http://ftp.cnj.jus.br/pje/intermediarias.zip.
No entanto, nessa última atualização o ITI adicionou duas novas autoridades certificadoras:
- Autoridade_Certificadora_Raiz_Brasileira_v6;
- Autoridade_Certificadora_Raiz_Brasileira_v7.
Estas autoridades certificadoras necessitam de um novo algoritmo de validação e a bilioteca utilizada pelo PJe para fazer a validação dos certificados não possui uma versão oficial para tratar esse novo algoritmo. Com isso quando a lista do arquivo intermediarias.zip era atualizada o PJe do tribunal parava de validar qualquer certificado.
Trabalhamos no CNJ para resolver esse problema e chegamos ao seguinte roteiro que foi aplicado na versão nacional:
- Houve mudança na biblioteca icpbr-util e de duas das suas dependências do bouncycastle: bcprov e bcpkix. Essas alterações não possuem um pacote oficial do bouncycastle (e não estão disponíveis nos repositórios maven globais), por isso, disponibilizamos no repositório maven do CNJ (http://www.cnj.jus.br/artifactory), já padrão do sistema;
- Atualizamos também o icpbr-util para fazer um melhor tratamento da validação dos certificados e impedir que uma nova cadeia disponibilizada no ITI que esteja com um formato desconhecido bloqueie a validação de certificados com as cadeias já existentes;
- Atualizamos o pom.xml do PJe para utilizar a nova versão do icpbr-util (versão 1.0.15b);
Essas alterações serão disponibilizadas na próxima versão oficial do PJe Nacional (2.0.2.0). Enquanto isso, recomendamos fortemente que os tribunais apliquem as mesmas alterações às suas versões locais, segue o passo-a-passo:
1. Antes de qualquer coisa, atualizar o arquivo intermediarias.zip, de acordo com o arquivo disponibilizado em (http://ftp.cnj.jus.br/pje/intermediarias.zip):
- https://git.cnj.jus.br/pje/pje/blob/master/pje-web/src/main/resources/META-INF/intermediarias.zip.
2. se a versão for anterior à 2.0.1.0, é necessário aplicar os seguintes commits que estão no branch master do PJe - estas alterações são necessárias pois houve alterações críticas nas bibliotecas do bouncycastle -, identificadores dos commits: c445cc7c e bd0c6ea4:
- https://git.cnj.jus.br/pje/pje/commit/c445cc7c; e
- https://git.cnj.jus.br/pje/pje/commit/bd0c6ea4
3. atualizar o pom.xml do PJe, onde estiver:
<dependency>
<groupId>br.jus.cnj</groupId>
<artifactId>icpbr-util</artifactId>
<version>1.0.14</version>
</dependency>
Para:
<dependency>
<groupId>br.jus.cnj</groupId>
<artifactId>icpbr-util</artifactId>
<version>1.0.15b</version>
</dependency>
4. Fazer o build do PJe e subir a aplicaçção.
Como verificar se as alterações funcionaram?
- Para identificar se as alterações funcionando, tente fazer o login com um certificado digital.