Portugal national ID card certification chain is quite interesting and complex.

There are 2 root certificates. ECRaizEstado.crt is signed by Baltimore CyberTrust Root, that can be downloaded from https://www.digicert.com/CACerts/BaltimoreCyberTrustRoot.crt.

Serial Number: 120050507 (0x727d34b)
Issuer: C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Validity
Not Before: Sep 9 17:40:12 2015 GMT
Not After : Sep 30 17:39:11 2022 GMT
Subject: C=PT, O=SCEE, CN=ECRaizEstado

New Root certificate starting from April 2020 is ECRaizEstado002 which is already selfsigned root certificate.

Both are described at https://www.scee.gov.pt/rep/certificados/

Just in case verify that you have the right main root. Do it with following command after converting these certificates to pem format.

$ openssl x509 -in ECRaizEstado.crt -out ECRaizEstado.crt.pem -inform DER -outform PEM
$ openssl x509 -in BaltimoreCyberTrustRoot.crt -out BaltimoreCyberTrustRoot.crt.pem -inform DER -outform PEM
$ openssl verify -CAfile BaltimoreCyberTrustRoot.crt.pem ECRaizEstado.crt.pem
ECRaizEstado.crt.pem: OK

Now there are 6 different intermediate certificates out of which 1 is already expired as of writing current documentation. These can be downloaded from. https://pki.cartaodecidadao.pt/publico/certificado/cc_ec_cidadao/

  • CN = Cartão de Cidadão 002, OU = ECEstado, O = SCEE – Sistema de Certificação Electrónica do Estado, C = PT. 30/05/2013 – 30/05/2025
  • CN = Cartão de Cidadão 003, OU = ECEstado, O = SCEE – Sistema de Certificação Electrónica do Estado, C = PT. 22/04/2014 – 22/04/2026
  • CN = Cartão de Cidadão 004, OU = ECEstado, O = SCEE – Sistema de Certificação Electrónica do Estado, C = PT 15/09/2017 – 15/09/2029
  • CN = Cartão de Cidadão 005, OU = ECEstado, O = SCEE – Sistema de Certificação Electrónica do Estado, C = PT 19/07/2019 – 09/06/2030
  • CN = Cartão de Cidadão 006, OU = ECEstado, O = SCEE – Sistema de Certificação Electrónica do Estado, C = PT 20/03/2020 – 20/03/2034

These 6 intermediate root certificates have signed following CA-s that can be downloaded from https://pki.cartaodecidadao.pt/publico/certificado/cc_ec_cidadao_autenticacao/. There are also some expired certificates but you do not need these as these are not valid anymore.

C = PT, O = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0009 10/07/2014 – 08/09/2020
C = PT, O = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0010 04/06/2015 – 03/08/2021
C = PT, O = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0011 27/07/2016 – 26/09/2022
C = PT, O = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0012 28/06/2017 – 28/08/2023
C = PT, O = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0013 17/08/2017 – 17/08/2029
C = PT, O = Instituto dos Registos e do Notariado I.P., OU = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0014 01/03/2018 – 01/03/2030
C = PT, O = Instituto dos Registos e do Notariado I.P., OU = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0015 27/06/2018 – 27/06/2030
C = PT, O = Instituto dos Registos e do Notariado I.P., OU = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0016 14/05/2019 – 14/05/2031
C = PT, O = Instituto dos Registos e do Notariado I.P., OU = Cartão de Cidadão, OU = subECEstado, CN = EC de Autenticação do Cartão de Cidadão 0017 06/02/2020 – 06/02/2032

Now compile all if this CyberTrust root, 2x root certificates, 5x intermediate certificates and 9x card signing certificates into one PEM file, configure their CRL-s or OCSP and you are ready to start login people to your site with portugal Cartão de Cidadão using the guide at https://eideasy.com/e-id-client-certificate-identification-in-apache2/

If you need any help then drop an e-mail to info@eideasy.com and we will come to assist.

Categories: e-ID

0 Comments

Leave a Reply