Acessando o Processo Judicial Eletrônico (PJe) do TRT4 com Certificado Digital

Introdução

Recentemente, duas clientes contactaram o suporte técnico devido à dificuldades de acessar o TRT4 com certificado digital.

Alguns sites utilizam a tecnologia Java para realizar a autenticação através de Certificados Digitais, como o Banrisul e órgãos governamentais (TRT, TJRS, entre outros).

Devido à recente política de fim de suporte a plugins NPAPI, adotada pelo Google Chrome à partir da versão 45 do navegador (e seguida posteriormente por outros navegadores, como o Mozilla Firefox), o Java tornou-se incompatível com novas versões dos principais navegadores do mercado. [1]

Solução de Problemas

Como alternativa ao fim de suporte a plugins NPAPI, alguns órgãos (como o TRT) adotaram o uso de versões portáteis do navegador Mozilla Firefox (“navegador PJe”, no caso do TRT), na qual utilizam uma versão anterior do navegador que ainda possuía compatibilidade com o plugin Java.

O navegador PJe é disponibilizado como um arquivo executável. Após o download, basta seguir as instruções do instalador para instalá-lo. Caso tenha dúvidas quanto a instalação do navegador PJe, a própria Wiki do PJe possuí instruções de como instalá-lo em seu computador.

Porém, durante o início do ano de 2018, o TRT retirou do Processo Judicial Eletrônico (PJe) a possibilidade de autenticar-se com o plugin Java nativo do navegador (de fato, o TRT informou com antecedência que esta opção seria removida à qualquer momento). Agora, é obrigatória a instalação do Shodo ou PJeOffice para usuários que realizam a autenticação através de certificados digitais.

O Shodo e o PJeOffice são executados em segundo plano como um aplicativo Java independente (ao invés de ser executado diretamente através do navegador como um plugin), e permite o acesso através de Certificados Digitais em novas versões de navegadores. Não é necessário instalar ambos, visto que cumprem a mesma função.

Porém, em ambas as clientes (de escritórios diferentes, com sistemas operacionais e provedores de Internet diferentes), não consegui fazer o Shodo funcionar. Testei com diversas versões do Java 8, com diferentes navegadores (Internet Explorer, Mozilla Firefox, Google Chrome) e do Shodo (versão executável para Windows e a versão Java multiplataforma), além de seguir diversos tutoriais oficiais (inclusive do TRT4) para instalação e configuração do Shodo.

O Shodo é extremamente instável. Apesar do Assinador-AC RS ser instável, ele ao menos funciona, o que não é o caso do Shodo, que é um verdadeiro descaso do TRT com advogados de todo o país.

  • O Shodo possui uma interface gráfica Web que não permite configuração avançadas de detecção do token/certificados. É comum ele exibir “N/A” em todos os campos da página de diagnóstico do programa (https://127.0.0.1:9000), ainda que o token seja detectado normalmente pelo SafeSign. É necessário abrir e fechar o programa várias vezes e rezar para que ele identifique o token.
  • Mesmo quando o Shodo identifica o token, ao realizar o teste de assinatura na página de diagnóstico do programa, ao digitar um texto e tentar codificá-lo, o Shodo exibe uma mensagem de erro interna 500.
  • Mesmo quando o Shodo está em execução e identifica o token, ao tentar acessar o PJe através do Shodo, a página do TRT4 informa que o Shodo não encontra-se em execução no sistema (possivelmente devido ao teste de assinatura falhar).
  • A página de Logs do Shodo não é carregada na página de diagnósticos do programa. O Shodo melhorou neste aspecto com o lançamento da versão 1.0.9, porém, é necessário acessar a página de Logs várias vezes até que, aleatoriamente, o Log seja exibido.
  • O Shodo executa uma instância de servidor web Tomcat que, além de consumir recursos consideráveis do sistema, abre diversas brechas de segurança que podem ser exploradas.

Felizmente, o TRT passou a oferecer como alternativa, além do Shodo, o PJeOffice, que cumpre sua principal função com maestria, além de oferecer recursos que o Shodo não oferece (como assinatura off-line) e uma interface de configuração intuitiva e, ao mesmo tempo, avançada. Você pode obter o instalador do PJeOffice para Windows, Mac OS e Linux na Wiki do PJe.

Assim como o navegador PJe, o PJeOffice é distribuído como instalador executável (para Windows). Basta executar o arquivo baixado e seguir os passos do instalador para instalar o programa. Caso tenha dúvidas quanto a instalação do PJeOffice, a própria Wiki do PJe possuí instruções de como instalá-lo em seu computador.

Porém, antes de instalá-lo, recomendo fortemente que você remova o Shodo do computador, para evitar conflitos. Você pode desinstalá-lo seguindo os passos a seguir:

  1. Você pode desinstalá-lo através do Painel de Controle > Programas e Recursos.
  2. Procure por Shodo na lista de Programas e Recursos.
  3. Selecione o Shodo e dê dois cliques (ou clique no botão Desinstalar no topo da lista) para iniciar o desinstalador.
  4. Siga as instruções do desinstalador para efetuar a desinstalação do Shodo.

Caso você tenha instalado a versão multiplataforma (Java) do Shodo:

  1. Abra o Painel de Controle > Java. Para que o ícone Java seja exibido, você precisa alterar a exibição para ícones grandes no canto superior direito da janela.
  2. Na aba Geral, clique no botão Exibir.
  3. Será exibida a janela Visualizador de Cache Java. 
  4. Clique no ícone X vermelho na linha da tabela referente ao Shodo. Caso o ícone X não esteja sendo exibido, arraste a barra de rolagem horizontal para a direita.

O PJeOffice será configurado para iniciar automaticamente com o sistema por padrão, porém, este comportamento poderá afetar o funcionamento de outros assinadores (como o Assinador AC-RS, do TJRS). Neste caso, você poderá desabilitá-lo da inicialização através do Autoruns, ou lembrar-se de fechá-lo antes de acessar portais que utilizem autenticação através de certificados digitais para evitar possíveis conflitos.

Configuração do PJeOffice

Após a instalação do PJeOffice, basta acessar o PJe do TRT4, alterar o modo de operação de Shodo (padrão) para PJeOffice e clicar no botão “Certificado Digital” para efetuar a autenticação.

Os certificados digitais disponíveis no sistema deverão ser exibidos conforme a janela abaixo:

Caso o certificado não esteja sendo exibido pelo Utilitário de administração do token do SafeSign ou do seu fornecedor do token (disponível no Menu iniciar), verifique se o Token encontra-se conectado ao computador e, caso o modelo do token seja o G&D StarSign CUT, que ele emite uma luz laranja ao ser conectado à porta USB do computador.

Utilitário de administração de token (SafeSign)

No caso do notebook de uma das minhas clientes, ao reiniciar o computador, o token deixa de ser identificado pelo sistema (apesar de emitir a luz laranja). Ao adicionar o token, o Gerenciador de Dispositivos (Abra o Menu iniciar e digite devmgmt.msc) deve atualizar a lista de dispositivos.

Ao adicionar um controle, a lista no Gerenciador de Dispositivos é atualizada.Se ao adicionar o dispositivo a lista atualize mas mostre um ponto de interrogação amarelo Ponto de Exclamação Gerenciador de Dispositivos do Windows XP, isso significa que o token possa estar conectado a uma porta USB que não forneça energia suficiente a ele (caso você use Windows XP, poderá ser necessário instalar o driver do token, além do SafeSign, para que o token seja reconhecido pelo sistema – contacte a revenda que você adquiriu o token caso precise de ajuda para instalação do driver). Caso use computador de mesa, recomendo fortemente que você conecte o token nas portas USB traseiras da placa-mãe: as portas frontais podem queimar o token caso o técnico que as tenha instalado tenha conectado os pólos invertidos na placa-mãe do computador.

Caso o token esteja sendo reconhecido normalmente pelo Utilitário de administração de token do SafeSign ou do fornecedor do token, você pode configurar o PJeOffice manualmente, para que ele possa identificar o certificado digital presente em seu token [1]:

  1. Clique com o botão direito do mouse no ícone do PJeOffice localizado no SystemTray (Fica no canto inferior direito ao lado do Relógio, conforme a imagem abaixo).
  2. Clique no item de menu “Configuração de Certificado“.
  3. O aplicativo irá​ exibir a janela abaixo, clique no botão “Carregar providers disponíveis“.
  4. Após o processamento o aplicativo irá exibir uma lista de providers disponíveis para utilização, selecione dentre as opções o certificado que deseja utilizar e clique em “OK“.
  5. Caso não apareca nenhum provider disponível para o seu sistema operacional clique na aba PKCS11.
  6. Clique no botão Adicionar.
  7. Navegue até a pasta C:\WINDOWS\system32\ e localize o arquivo do módulo SafeSign. Neste caso, o arquivo aetpkss1.dll. Selecione-o e clique em Abrir.
  8. Clique na aba Avançado e selecione o provider do SafeSign. O certificado digital deverá ser exibido normalmente na lista.

Conclusão

Caso você continue tendo problemas para acessar o Processo Judicial Eletrônico (PJe) do TRT4, você pode postar sua dúvida no campo de Comentários deste post (tentarei ajudar na medida do possível) ou, caso não possa esperar, ofereço suporte pago para instalação e configuração do token e do acesso através da NetHouse Informática.

Referências

  1. PjeOffice. PJe.
Anúncios

Acessando o Novo Portal do Processo Eletrônico do TJRS com Certificado Digital

Índice

  1. Introdução
  2. Solução de problemas
    1. Nenhum certificado é exibido pelo Assinador-AC RS
    2. Ao selecionar o certificado, o Assinador-AC RS libera o campo Senha porém, ao digitá-la, recebo a mensagem “PIN inválido”
    3. Página exibe “Falha ao verificar sua assinatura digital” após digitar o PIN corretamente
  3. Conclusão
  4. Referências

Introdução

Recentemente, uma cliente contactou o suporte técnico devido à dificuldades de acessar o Novo Portal de Processo Eletrônico do TJRS com certificado digital.

Continuar lendo “Acessando o Novo Portal do Processo Eletrônico do TJRS com Certificado Digital”

Download e configuração do SafeSign (Windows/Linux)

Índice

  1. Introdução
  2. Download do SafeSign
  3. Instalação do SafeSign (Windows)
    1. Atualizando o SafeSign IC 3.0.4x para uma nova versão
  4. Instalação do SafeSign (Ubuntu)
  5. Configuração do SafeSign no navegador Mozilla Firefox/Thunderbird (Windows/Ubuntu)
    1. Configuração simplificada do SafeSign
    2. Configuração manual do SafeSign
    3. Verificando o certificado no Mozilla Firefox/Thunderbird
  6. Limitações Conhecidas
  7. Referências

Introdução

O SafeSign é o programa responsável por detectar o certificado digital presente no Token/Cartão inteligente, registrando-os através do serviço de Propagação de Certificados da Microsoft. [1]

Porém, é difícil encontrar versões atualizadas do SafeSign devido à forma como novas versões são distribuídas (cada certificadora digital disponibiliza versões diferentes do SafeSign para download, provavelmente devido a contratos de licenciamento com a A.E.T. Europe, fornecedora do SafeSign).

Algumas certificadoras digitais oferecem versões legadas do SafeSign (comumente a versão 3.0.45). Porém, versões legadas do SafeSign não possuem suporte a novos modelos de cartões inteligentes e possuem incompatibilidade com novas versões do sistema operacional Windows (por exemplo, o Windows 10 possui compatibilidade oficial apenas com o SafeSign 3.0.112 ou superior), assim como possuem problemas conhecidos ao acessar páginas da Internet que utilizam certificados digitais e/ou ao assinar e descriptografar documentos/mensagens através do certificado digital. [1]

2. Download do SafeSign

A versão 3.0.112 (versão mais atualizada no momento que escrevo este post) pode ser encontrada no site da certificadora digital Pronova. Além de disponibilizar downloads para Windows, há versões do SafeSign IC disponíveis para o Mac OS e Linux (Ubuntu).

2.1 Download do SafeSign para Windows XP/Server 2003 R2

Note que a Microsoft encerrou o suporte para o Windows XP em 8 de abril de 2014. Isso significa que não haverá atualizações de segurança ou suporte técnico para o sistema operacional Windows XP. O suporte para Windows Server 2003 R2 foi encerrado em 14 de Julho de 2015. Seguindo a política de término de suporte (estendido) da Microsoft, o Windows XP e Windows Server 2003 são suportados até o SafeSign Identity Client Standard version 3.0.101. [1]

As certificadoras digitais Safeweb e a Certmidia ainda oferecem a versão 3.0.101 para download através de suas páginas oficiais de suporte. Você pode encontrá-lo nos seguintes links:

Versões anteriores do sistema operacional Windows (2000, NT e 98/ME) não são suportadas. [1]

3. Instalação do SafeSign (Windows)

O SafeSign é distribuído como um instalador executável. Basta executá-lo para efetuar a instalação. É recomendado instalar o Firefox antes de instalar o SafeSign, para que o instalador possa detectá-lo e efetuar a integração automática do SafeSign com o Mozilla Firefox. Caso você tenha instalado o Firefox após o SafeSign, leia a seção 5, que possui instruções de como efetuar a configuração do Mozilla Firefox após a instalação do SafeSign.

Apesar de ser possível instalar o SafeSign 32-bit em sistemas 64-bit, ele não funcionará. [1]

3.1 Atualizando o SafeSign IC 3.0.4x para uma nova versão

Caso alguns cartões não estejam funcionando no Internet Explorer (devido a certificados não estarem sendo registrados) após atualizar o SafeSign IC (64-bit) de uma versão anterior (como a 3.0.40 ou 3.0.45), este problema pode estar relacionado a chaves de registros antigas não serem removidas durante a atualização. Para certificar-se que chaves de registros antigas não estão sendo utilizadas, limpe a chave de registro relacionada ao SafeSign em
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards antes de instalar uma nova versão. [1]

4. Instalação do SafeSign (Ubuntu)

Atualmente, o SafeSign possui suporte oficial ao Linux apenas para a distribuição Ubuntu 12.04/14.04. É recomendado o uso da versão LTS da distribuição (visto que elas recebem majoritariamente apenas atualizações de segurança), para evitar que atualizações de funcionalidades em pacotes quebrem a funcionalidade do SafeSign.

Os pacotes de instalação são do tipo .deb. Em princípio, todas as
funcionalidades da versão para Windows são suportadas pela versão Linux. [5]

Apesar de não detalhar passo-a-passo a instalação do SafeSign nesse post (devido a não utilizá-lo no dia-a-dia), a Valid Certificadora Digital disponibilizou um tutorial de instalação do SafeSign para o Ubuntu 12.04 LTS. Há também um tutorial de instalação (não-oficial) para o Ubuntu 16.04 LTS (na qual algumas funcionalidades do Tokenadmin não estarão disponíveis) escrito pelo Bruno Kussler, que pode ser encontrado no JusBrasil.

Recomenda-se usar o driver nativo dos smarts cards CCID incluído no Linux,
em vez de instalar drivers fornecidos por fabricantes. [5]

5. Configuração do SafeSign no navegador Mozilla Firefox/Thunderbird (Windows/Ubuntu)

Apesar do SafeSign suportar o Firefox Quantum, para acesso a sistemas governamentais, recomendo fortemente que você adote o Firefox ESR. O Firefox ESR é uma versão de suporte estendido do Mozilla Firefox. Atualmente, ela encontra-se na versão 52.0, enquanto o Firefox encontra-se na versão 58.0 (Quantum). A versão ESR recebe apenas atualizações de segurança, novas funcionalidades são lançadas apenas em novas compilações do Firefox ESR que levam, em média, 1 ano para serem lançadas – evita dores de cabeça devido a atualizações do Firefox quebrarem o acesso a sites/serviços governamentais, ao mesmo tempo que dá tempo ao governo para atualizarem seus sistemas à medida que novas versões do Firefox são lançadas durante este período.

Durante a instalação, o SafeSign IC para Windows detecta a instalação do Mozilla Firefox e exibe uma janela que possibilita que você instale o provedor de certificados digitais da SafeSign automaticamente no navegador (configuração automatizada/simplificada).

O TRT3 disponibilizou dois roteiros: a configuração automatizada/simplificada do SafeSign IC no Firefox (caso você tenha instalado o Firefox após a instalação do SafeSign) e a configuração manual, ambas disponíveis para Windows e Ubuntu, descritas abaixo:

5.1 Configuração simplificada do SafeSign no Mozilla Firefox (Windows/Ubuntu)

As instruções a seguir devem ser executadas com o Mozilla Firefox fechado. [3]

Se você está utilizando o Mozilla Firefox neste momento, por favor salve ou imprima esta página; ou acesse com outro navegador. [3]

Fechar todas as abas e todas as janelas do Mozilla Firefox, mesmo aquelas abertas em outros sites. [3]

Para configurar o SafeSign IC de forma simplificada/automática:

 Windows [3]:

  1. Clicar no menu Iniciar do Windows.
  2. Clicar na opção Todos os Programas.
  3. Clicar no item SafeSign Standard.
  4. Clicar no item Administração de token.
(Reprodução)

 Ubuntu [5]:

  1. Para executar o Safesign no Ubuntu, que é exibido como Tokenadmin (Utilitário de
    administração de token), você acessa o Painel Inicial e o seleciona a partir de
    aplicações, ou então pode abrir um terminal e digite tokenadmin.

Será aberta a janela Utilitário de administração de token.

  1. Clicar no menu Integração.
  2. Clicar no item Instalar o SafeSign no Firefox…

Será aberta a janela Instalador do Firefox.

  1. Clicar no item Firefox.
  2. Clicar no botão Instalar.

Será mostrada a mensagem de sucesso.

Clicar no botão OK.

Clicar no botão Fechar para fechar a janela ‘Instalador do Firefox’.

Após realizar as configurações apresentadas nesta página, se não estiver conseguindo acessar o sistema, por favor realize a Configuração manual do SafeSign.

5.2 Configuração manual do SafeSign (Windows/Linux)

Para realizar a configuração manual do SafeSign no Windows/Linux [3]:

 Firefox Quantum

Apesar do SafeSign suportar o Firefox Quantum, para acesso a sistemas governamentais, recomendo fortemente que você adote o Firefox ESR.

  1. Clicar no ícone Menu.
  2. Clicar no ícone Opções.

Para acessar as opções do navegador, você também pode pressionar a tecla [Alt] para exibir a barra de menus no topo da janela. No menu, clique em Ferramentas > Opções.

  1. Clicar no painel Privacidade e Segurança.
  2. Na seção Certificados, clicar no botão Dispositivos de segurança.

 

 Firefox ESR e Thunderbird

  1. Clicar no ícone Menu.
  2. Clicar no ícone Opções.

Para acessar as opções do navegador, você também pode pressionar a tecla [Alt] para exibir a barra de menus no topo da janela. No menu, clique em Ferramentas > Opções.

  1. Clicar no painel Avançado.
  2. Clicar na aba Certificados.
  3. Clicar no botão Dispositivos de segurança.

  Firefox ESR e Quantum e Thunderbird

Será aberta a janela Gerenciador de dispositivos.

Verificar se já existe um dispositivo na lista com o campo Caminho igual a:

C:\Windows\System32\aetpkss1.dll

Se o dispositivo ainda não existe, siga os passos a seguir [3][4]:

  1. Clicar no botão Carregar.

Será aberta a janela Carregar dispositivo PKCS#11.

  1. No campo Nome do arquivo do módulo, digite o nome do módulo (para nosso exemplo: SafeSign) ou do dispositivo e clique no botão Procurar….
  2. Navegue até a pasta C:\WINDOWS\system32\ e localize o arquivo do módulo SafeSign. Neste caso, o arquivo aetpkss1.dll. Selecione-o e clique em Abrir.No Linux (Ubuntu), navegue até a pasta /usr/lib e localize o arquivo libaetpkss.so.3. Selecione-o e clique em Abrir. [6]
  3. Clicar no botão OK.

O novo módulo irá aparecer na lista de dispositivos da janela Gerenciador de dispositivos.

Caso seja exibida a mensagem Não foi possível adicionar o módulo, verifique se você selecionou o arquivo DLL correto.

5.3 Verificando o certificado no Mozilla Firefox/Thunderbird

Para verificar a existência do certificado no Mozilla Firefox [4]:

  1. Insira o cartão na leitora ou o token na entrada USB e abra o navegador Firefox/Thunderbird.
  2. Clique no ícone Menu, Opções… e selecione a opção Privacidade e Segurança (Firefox Quantum) ou Avançado (Firefox ESR/Thunderbird). Consulte a seção 3.2 desse post para mais informações.
  3. Navegue até a seção Certificados (Firefox Quantum) ou clique na aba Certificados (Firefox ESR/Thunderbird).
  4. Clique no botão Certificados.
  5. Digite a senha (PIN) do cartão ou token e clique em OK.
  6. Clique na aba Seus certificados, e verifique se o seu certificado é exibido.
  7. Clique OK para fechar a janela e novamente em OK para sair da janela Opções.

6. Limitações conhecidas

  • A autenticação Web com o Microsoft Edge não funciona. Você obterá o diálogo de seleção de certificado, mas não o diálogo de digitação do PIN. Isso acontece devido ao fato que o novo navegador é um Universal Windows App, sempre sendo executado em uma sandbox parcial que não funciona com arquivos DLL não autorizados (externos). Para autenticação Web, por favor, use o Internet Explorer 11. [1]
  • No Mac OS, o suporte do Safesign é somente para biblioteca PKCS#11, portanto o uso do certificado será SOMENTE através do navegador Mozilla Firefox. O middleware Safesign não oferece suporte ao Módulo TokenD, portanto, não é possível usar certificado digital no Safari, no Mail ou em qualquer aplicação que use o módulo TokenD. [2]
  • Nota-se que os eventos de remoção e reinserção não são detectados (por
    exemplo, no tokenadmin ou em aplicações Mozilla), quando o token USB ou
    a leitora de cartão são inseridos ou removidos após a aplicação iniciada. [5]
  • Não é possível configurar uma conexão VPN Microsoft no Windows 10 (com qualquer cartão). [1]

Referências

  1. SafeSign Identity ClientStandard 3.0.112. Release Notes for Windows. A.E.T. Europe B.V.
  2. Download (Tokens). Pronova.
  3. Configurar Gerenciador do Cartão ou Token no Mozilla Firefox. TRT3.
  4. Como configurar o Mozilla Firefox para utilizar o Certificado Digital. DKX – Contabilidade.
  5. Manual de Instalação do SafeSign para Linux. Valid Certificadora Digital.
  6. Como instalar o Token G&D no Ubuntu 16.04 LTS (e derivados). Bruno Kussler, JusBrasil.