Boa tarde pessoal,
Queria um auxílio para entender um pouco mais sobre certificações digitais.
O cenário é: um cliente externo vai precisar acessar nossa base de dados, e nós precisamos garantir que é ele mesmo quem está acessando (pois não são informações públicas).
A solução que pensei foi construir um web service, que vai receber um certificado digital para permitir a conexão. Se válido, prossigo para acessar a base (na verdade, o web service vai acessar um outro sistema interno, já desenvolvido, e ele é que vai retornar os dados).
Até já tive contato com certificados antes, mas sei só o trivial (criei um sistema para comunicar com o web Service da Receita, o Infoconv, mas já recebi um arquivo .cer com o certificado). Nunca li nada sobre comprar um, e nosso cliente pediu um auxílio nisso, pois eles também não tem conhecimento nenhum.
Então, estou passeando aqui no site do ITI, e também no Serpro e Certisign, que tem algumas informações interessantes.
Mas ainda não entendi que tipo de certificado adquirir. Vi que existem três certificados, sendo que os dois primeiros são utilizados para acesso na Receita:
[list]e-cpf[/list]
[list]e-cnpj[/list]
[list]e-equipamento[/list]
E que existem 8 tipos de certificados (classificados em duas séries):
[list]Assinatura Digital: A1, A2, A3 e A4[/list]
[list]Sigilo: S1, S2, S3 e S4[/list]
Lendo descrições nos sites que citei, e tomando como base o exemplo do Infoconv, entendi que meu cliente precisaria adquirir um certificado e-equipamento, que só existe do tipo A1. Após isso, o sistema deles vai enviar para o meu Web Service, que vai validar e permitir ou não a comunicação.
É por aí ou estou viajando? No segundo caso, poderiam me indicar mais alguns artigos que expliquem os tipos de certificados?
Obrigada.
(Obs: eu não sei exatamente aonde colocar esse tópico, espero que aqui seja apropriado)