Gerenciamento de certificados da Camerfirma
Visão geral
Neste tutorial você aprende a se integrar com a RA API do Redtrust para emitir e renovar certificados da Camerfirma: autenticar sua aplicação, gerar o par de chaves e o CSR no servidor, e concluir a emissão.
Este tutorial é voltado para desenvolvedores de parceiros da Redtrust com capacidade para emitir certificados da Camerfirma. Para acompanhá-lo, você precisa ter conhecimentos básicos sobre API HTTP e autenticação com token bearer.
Ao final deste tutorial, você terá emitido um certificado da Camerfirma armazenado no servidor Redtrust.
Antes de começar
Você precisa das seguintes informações fornecidas pelo cliente Redtrust:
- Endereço IP ou nome do host do servidor Redtrust.
- A porta utilizada para acessar o serviço (o valor padrão é
8082). - As credenciais do usuário de aplicação para o serviço.
- (Opcional) Nome do domínio.
Se você usar o fluxo de redirecionamento HMAC, também precisará de:
- Uma URL de redirecionamento para onde o Redtrust envia o token temporário após a autenticação. Um administrador deve registrá-la no Redtrust antes de você começar.
Etapa 1: Obtenha um token de acesso
A RA API suporta dois métodos de autenticação. Escolha o que se adapta à sua integração.
- Login direto
- Redirecionamento HMAC
Use esta opção para integrações servidor a servidor e testes com Postman.
Envie uma solicitação POST para /raapi/v1/auth/login com seu nome de usuário, senha e, se aplicável, o nome do domínio. A resposta contém um accessToken e um refreshToken.
Inclua o accessToken como Bearer token em todas as solicitações seguintes e prossiga para a Etapa 2.
Use esta opção quando os usuários se autenticarem por meio da interface web do Redtrust.
Redirecione o navegador do usuário para:
https://SEU_IP_REDTRUST:PORTA/authclient/auth/loginrequest?Consumer=RA_API&Domain=SEU_DOMÍNIO&RedirectUrl=URL_REDIRECIONAMENTO×tamp=TIMESTAMP&partner=NOME_PARCEIRO&hmac=ASSINATURA_HMAC
Onde:
SEU_IP_REDTRUSTé o endereço IP ou o nome do host do seu servidor Redtrust.PORTAé a porta de acesso ao serviço (padrão8082).SEU_DOMÍNIOé o domínio dos usuários (opcional).URL_REDIRECIONAMENTOé a URL para a qual o usuário é redirecionado após a autenticação. ApliqueUrlEncode.TIMESTAMPé o timestamp no formato UNIX.NOME_PARCEIROé o nome da aplicação cliente em maiúsculas.ASSINATURA_HMACé a assinatura HMAC-SHA256 gerada com a chave compartilhada.
Quando a autenticação é concluída, o Redtrust redireciona o usuário para a sua URL com um token temporário no parâmetro tkn. Troque-o por um token de acesso enviando uma solicitação POST para /authapi/v1/login_by_temp_token com o valor de tkn no campo temporalToken. A resposta contém o accessToken.
Inclua o accessToken como Bearer token em todas as solicitações seguintes e prossiga para a Etapa 2.
Etapa 2: Emita o certificado
A emissão é realizada em duas chamadas consecutivas.
1. Crie o CSR
Chame POST /raapi/v1/csr/create com os dados do titular. Inclua "provider": "CAMERFIRMA":
{
"dn": [
{ "attribute": "cn", "value": "NOME_TITULAR" }
],
"hashType": "SHA384",
"keyLength": 2048,
"keyType": "RSA",
"provider": "CAMERFIRMA"
}
Onde NOME_TITULAR é o nome completo do titular do certificado.
O Redtrust gera o par de chaves no servidor e retorna o CSR junto com um requestCode. Salve o requestCode — você vai precisar dele na próxima etapa.
Para a lista completa de campos do body, consulte a referência da RA API.
2. Finalize a emissão
Chame PUT /raapi/v1/csr/finalize com o requestCode obtido na etapa anterior. A resposta contém o idCertificate e o thumbprint do certificado emitido, que fica armazenado no Redtrust.
Etapa 3: Renove um certificado
O fluxo de renovação é idêntico ao de emissão. A única diferença é que você deve incluir o thumbprint do certificado existente no campo thumbprintToRenew da chamada a POST /raapi/v1/csr/create. O novo certificado substitui o anterior e preserva sua configuração e associações.
Resumo
Você concluiu o fluxo de integração com a Camerfirma por meio da RA API: autenticou sua aplicação, gerou o par de chaves e o CSR no servidor Redtrust e finalizou a emissão. O certificado está armazenado no Redtrust e disponível para uso.
Próximas etapas
- Referência de endpoints da RA API — documentação completa de todos os endpoints, campos e exemplos
- Integração com a Camerfirma