CERTIFICADOS DE LA FNMT
Proceso de solicitud, instalación, uso y copia de seguridad en Windows Vista
En este artículo:
¿Qué es un certificado digital?
Solicitud del certificado de la FNMT-RCM
Acreditación de la identidad en una Oficina de Registro
Descarga e instalación del certificado digital
Copia de seguridad del certificado de la FNMT
Uso en línea del certificado digital
Importación del certificado de la FNMT
Solicitud del certificado de la FNMT-RCM
Acreditación de la identidad en una Oficina de Registro
Descarga e instalación del certificado digital
Copia de seguridad del certificado de la FNMT
Uso en línea del certificado digital
Importación del certificado de la FNMT
Un certificado digital es un documento electrónico que puede ayudarte a identificar al propietario de un sitio web y a tomar decisiones sobre la confianza que merece el sitio con respecto a la información personal o financiera. Los certificados son emitidos por entidades emisoras de certificados cuya responsabilidad es confirmar la identidad de la organización o del propietario del sitio web. Por tanto, es como un documento de Identidad que te permite identificarte, firmar y cifrar electrónicamente documentos y mensajes. Sus principales aplicaciones son:
• Autentificar la identidad del usuario, de forma electrónica, ante terceros.
• Realizar trámites electrónicos ante la Agencia Tributaria, la Seguridad Social, las Cámaras y otros organismos oficiales.
• Trabajar con facturas electrónicas.
• Firmar digitalmente correo electrónico y todo tipo de documentos.
• Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.
• Realizar trámites electrónicos ante la Agencia Tributaria, la Seguridad Social, las Cámaras y otros organismos oficiales.
• Trabajar con facturas electrónicas.
• Firmar digitalmente correo electrónico y todo tipo de documentos.
• Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.
Existen muy diversos tipos de certificados digitales, los cuales proporcionan la identificación y el cifrado del sitio web que permiten garantizar conexiones seguras. Uno de los más importantes para poder comunicarnos de forma segura con los organismos públicos, como la Agencia Tributaria, la Seguridad Social, y otros organismos de la Administración Central, Local o Autonómica, es el certificado emitido por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT) que son certificados de la Clase 2 CA. En este artículo explico, de forma detallada, todo el procedimiento que debes seguir en Windows Vista con Internet Explorer 7 para obtener y utilizar un certificado de la FNMT. Debes tener en cuenta que la parte del proceso de obtención del certificado, hasta que pueda ser utilizado, debe realizarse en el mismo equipo y en el mismo navegador. Una vez ya esté en uso, puedes exportarlo como copia de seguridad y utilizarlo en otros equipos y navegadores. Podemos dividir todo el proceso en varios capítulos:
• Solicitud
• Registro
• Descarga e instalación
• Exportación
• Uso
• Importación
• Registro
• Descarga e instalación
• Exportación
• Uso
• Importación
Para obtener el certificado necesario y poder utilizar los servicios de firma digital, primero debes solicitarlo en la página web de la Fábrica Nacional de Moneda y Timbre, www.cert.fnmt.es
Antes que nada, es importante partir desde una configuración predeterminada de seguridad en IE7. De forma predeterminada, Internet Explorer está configurado para proporcionar un nivel de seguridad que puede protegerte de las amenazas más corrientes cuando se explora Internet, como spyware u otros tipos de código malintencionado. Esta configuración puede ayudarte a protegerte de amenazas de seguridad conocidas, como sitios web que instalan complementos u otros programas sin tu conocimiento. No obstante, para poder llevar a cabo todo el proceso de solicitud e instalación de las claves pública y privada en el sitio web de la FNMT sin ningún tipo de complicaciones, debes otorgarle al sitio un nivel de seguridad adecuado que te evite problemas. Para adoptar esta configuración de seguridad, sigue estos pasos:
• Abre Internet Explorer 7, y pulsa en Herramientas > Opciones de Internet > Seguridad.
• Pulsa en Sitios de Confianza.
• Desplaza el control deslizante hacia abajo hasta seleccionar nivel Bajo.
• Pulsa en el botón Sitios.
• En la parte inferior, desmarca la opción Requerir comprobación del servidor (https://) para todos los sitios de la zona.
• En el cuadro de texto Agregar este sitio Web a la zona agrega las siguientes direcciones URL:
• Pulsa en Sitios de Confianza.
• Desplaza el control deslizante hacia abajo hasta seleccionar nivel Bajo.
• Pulsa en el botón Sitios.
• En la parte inferior, desmarca la opción Requerir comprobación del servidor (https://) para todos los sitios de la zona.
• En el cuadro de texto Agregar este sitio Web a la zona agrega las siguientes direcciones URL:
pulsando en Agregar para cada dirección URL. Por último, pulsa en Cerrar.
• Pulsa ahora en Nivel personalizado y habilita las siguientes opciones de configuración para esta URL:
• Pulsa ahora en Nivel personalizado y habilita las siguientes opciones de configuración para esta URL:
1. Descargar los controles ActiveX firmados.
2. Descargar los controles ActiveX sin firmar.
3. Ejecutar controles y complementos de ActiveX.
4. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
5. Permitir que todos los controles activeX no usados anteriormente se ejecuten sin preguntar.
6. Permitir scriptlets.
7. Preguntar automáticamente si se debe usar un control activeX.
2. Descargar los controles ActiveX sin firmar.
3. Ejecutar controles y complementos de ActiveX.
4. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
5. Permitir que todos los controles activeX no usados anteriormente se ejecuten sin preguntar.
6. Permitir scriptlets.
7. Preguntar automáticamente si se debe usar un control activeX.
• Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes aceptar.
• Pulsa, a continuación, en el icono Internet de la pestaña Seguridad.
• Desplaza el control deslizante hacia abajo, hasta seleccionar nivel Medio.
• Pulsa en Nivel personalizado y habilita la siguiente opción de configuración para esta URL:
• Pulsa, a continuación, en el icono Internet de la pestaña Seguridad.
• Desplaza el control deslizante hacia abajo, hasta seleccionar nivel Medio.
• Pulsa en Nivel personalizado y habilita la siguiente opción de configuración para esta URL:
- Inicializar y generar scripts de los controles de activeX no marcados como seguros para scripts.
• Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes aceptar.
• Pulsa, a continuación, en la pestaña Opciones avanzadas
• En el cuadro Configuración, accede al apartado Examinar y desmarca la casilla de verificación Habilitar extensiones de explorador de terceros.
• Por último, pulsa Aplicar y Aceptar.
• Cierra Internet Explorer para que se apliquen los cambios
Nota: es muy importante desactivar cualquier antivirus, firewall de terceros y cualquier otro programa de seguridad (antispyware, antimalware...) que esté iniciado, antes de proceder a la solicitud del certificado.
A partir de este momento, ya puedes solicitar tu certificado personal: inicia Internet Explorer 7 y accede a la citada página web, www.cert.fnmt.es, y pulsa en Obtenga el CERTIFICADO de usuario en la parte superior de la misma. Antes de iniciar el proceso de solicitud, es conveniente leerse la Declaración de Prácticas de Certificación.
A continuación, pulsa en Solicitud vía internet de su Certificado y se mostrará la página para que introduzcas tu NIF, tal como se muestra en esta imagen:
A continuación, pulsa en Solicitud vía internet de su Certificado y se mostrará la página para que introduzcas tu NIF, tal como se muestra en esta imagen:
Introduce tu NIF en la casilla y pulsa en Enviar petición. Es posible que en este momento te aparezca la Barra de información de IE7, o en su lugar, una advertencia de seguridad en pantalla para la ejecución de un control activeX, como puedes ver en la figura siguiente. Se trata del control Cliente de inspección a Servicios de Certificate Server, X509 Enrollment WebClassFactory de Microsoft:
Si te aparece esta advertencia, pulsa en Ejecutar. Seguidamente, te aparecerá en pantalla un cuadro de confirmación de acceso web. Pulsa en Sí:
Al final de este proceso, obtendrás un código que deberás presentar al acreditar tu identidad en la fase de registro. Guarda este número en un lugar seguro o imprime la página.
Con el código de solicitud obtenido en el paso anterior, deberás personarte físicamente en una oficina de registro para acreditar tu identidad, por ejemplo en cualquier delegación de la Agencia Tributaria. La documentación a presentar será:
• el DNI o tarjeta de residencia (NIE)
• el código de solicitud del certificado
• el código de solicitud del certificado
En la Oficina de Registro te validarán el código y deberás firmar por triplicado el documento de "Solicitud de Certificado". Si dispones de una dirección de correo electrónico válida, puedes facilitarla para que te envíen la confirmación de solicitud. Una vez recibida la confirmación (que suele ser al cabo de unas 24-48 horas) de que se ha procesado correctamente la solicitud, ya puedes descargar el certificado digital desde el sitio web.
Antes que nada, es importante que las opciones de seguridad de IE7 no se hayan modificado desde que se realizó la solicitud. Accede a la página web de la FNMT, www.cert.fnmt.es y pulsa en Obtenga el CERTIFICADO de usuario en la parte superior de la misma. A continuación, pulsa en Descarga de su Certificado de Usuario. En el formulario que aparece, escribe el NIF y el código de solicitud ya validado y pulsa en Enviar petición, tal como se aprecia en la imagen:
Al cabo de unos instantes, si no hay ningún problema, se descargarán e instalarán de forma automática dos certificados:
• certificado FNMT Clase 2 CA, que se instala en el almacén Entidades de certificación raíz de confianza
• certificado personal a tu nombre, de la FNMT, que se instala en el almacén Personal
• certificado personal a tu nombre, de la FNMT, que se instala en el almacén Personal
y te aparecerá la página conforme se ha instalado con éxito tu certificado:
Para comprobar que ambos certificados se han instalado de forma correcta en IE7, accede al menú Herramientas > Opciones de Internet > Contenido > Certificados. En la pestaña Personal, observa que aparece tu certificado instalado. Pulsa en Ver y observa, en la pestaña General, que aparece el dibujo de una llave con el enunciado Tiene una clave privada correspondiente a este certificado. Seguidamente, pulsa en la pestaña Entidades de certificación raíz de confianza, y entre las entidades de confianza debe aparecerte el certificado de la FNMT Clase 2 CA.
Si todo esto es correcto, ya sólo te queda comprobar que funcione el certificado vía online, y crear una copia de seguridad del mismo.
Nota: La sola instalación del certificado de la FNMT de forma automática NO ES SUFICIENTE SEGURIDAD para el usuario. Es necesario que protejas la clave privada mediante contraseña para que sólo tú puedas acceder a tu información privada a través de Internet. Si no proteges el certificado, cualquiera podrá utilizarlo en tu nombre. Para protegerlo antes de su uso, debes realizar una exportación del mismo, en un archivo de copia de seguridad, y acto seguido volverlo a importar a IE7. En este proceso exportación/importación la clave privada se protege mediante una contraseña. Para saber cómo hacerlo, lee los apartados Copia de seguridad del certificado de la FNMT e Importación del certificado de la FNMT de este artículo.
Ahora bien, también es posible que en este proceso de descarga e instalación del certificado, se pueda presentar algún problema. En principio, es necesario que no se hayan modificado las opciones de seguridad del navegador. Pero aun así es posible que el control activeX necesario para que se descargue e instale el certificado no funcione. En este caso, después de pulsar en Enviar petición, se cargará igualmente la página con el mensaje "certificado descargado" como si se hubiera instalado con éxito, pero no te aparecerá el certificado como instalado en el almacén Personal de certificados, y si te fijas en la barra de estado de IE7 puedes ver un signo amarillo de error. Si haces doble clic en el triángulo amarillo se abrirá una ventana emergente con los datos del error:
"El componente ActiveX no puede crear el objeto: 'X509Enrollment.CX509Enrollment'"
Esto ocurre cuando Windows Script Host no es capaz de generar el certificado mediante el control mencionado, debido quizá a algún tipo de incompatibilidad. En este caso, lo que puede funcionar perfectamente es utilizar una aplicación de Microsoft para "engañar" al sitio web como si te estuvieras conectando con IE6 y no con IE7; me estoy refiriendo a User Agent String Utility. Esta utilidad abre una ventana de Internet Explorer 7 configurando su identidad a los sitios Web como si fuera Internet Explorer 6. Para llevar a cabo este método, en el caso que te aparezca este error con el control activeX, sigue estos pasos:
1. Debes configurar las opciones de seguridad de IE7 en la zona de Internet, y no en la zona de Sitios de confianza como anteriormente, para lo cual, sigue este orden:
• Abre Internet Explorer 7, y ve a Herramientas > Opciones de Internet > Seguridad.
• Pulsa en Sitios de Confianza.
• Pulsa en el botón Sitios
• Selecciona la dirección URL que agregaste anteriormente y pulsa en Quitar y en Cerrar.
• Pulsa ahora en la zona Internet.
• Desplaza el control deslizante hacia abajo hasta seleccionar nivel Medio.
• Quita la marca de la casilla Habilitar modo protegido.
• Pulsa ahora en Nivel personalizado y habilita las siguientes opciones de configuración para esta URL:
• Pulsa en Sitios de Confianza.
• Pulsa en el botón Sitios
• Selecciona la dirección URL que agregaste anteriormente y pulsa en Quitar y en Cerrar.
• Pulsa ahora en la zona Internet.
• Desplaza el control deslizante hacia abajo hasta seleccionar nivel Medio.
• Quita la marca de la casilla Habilitar modo protegido.
• Pulsa ahora en Nivel personalizado y habilita las siguientes opciones de configuración para esta URL:
1. Descargar los controles ActiveX firmados.
2. Descargar los controles ActiveX sin firmar.
3. Ejecutar controles y complementos de ActiveX.
4. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
5. Permitir que todos los controles activeX no usados anteriormente se ejecuten sin preguntar.
6. Permitir scriptlets.
2. Descargar los controles ActiveX sin firmar.
3. Ejecutar controles y complementos de ActiveX.
4. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
5. Permitir que todos los controles activeX no usados anteriormente se ejecuten sin preguntar.
6. Permitir scriptlets.
• Pulsa en Aceptar, te aparecerá un mensaje de confirmación que debes aceptar.
• Pulsa Aplicar y Aceptar para cerrar la ventana. Te aparecerá la barra de Información advirtiéndote de que "La configuración de seguridad actual pone a su equipo en peligro". No hagas caso de esta advertencia.
• Cierra Internet Explorer.
• Pulsa Aplicar y Aceptar para cerrar la ventana. Te aparecerá la barra de Información advirtiéndote de que "La configuración de seguridad actual pone a su equipo en peligro". No hagas caso de esta advertencia.
• Cierra Internet Explorer.
2. Descárgate al Escritorio la aplicación User Agent String Utility. Una vez descargada, ejecuta el archivo UASutility-v2-x86.msi para instalar el programa. A continuación, ejecuta el siguiente comando desde el menú Inicio > ejecutar:
%programfiles%\Microsoft User Agent String Utility\UAS
En la ventana que aparecerá, pulsa en Change Settings. Se ejecutará Internet Explorer 7 como si fuera IE6. Escribe la dirección de la página web de la FNMT (www.cert.fnmt.es) en la barra de direcciones y pulsa Enter.
3. Sigue ahora los mismos pasos que expliqué anteriormente: pulsa en Obtenga el CERTIFICADO de usuario en la parte superior de la página. A continuación, pulsa en Descarga de su Certificado de Usuario. En el formulario que aparece, escribe el NIF y el código de solicitud validado y pulsa en Enviar petición. Después del proceso, comprueba que esta vez sí se ha instalado el certificado con éxito y que aparece en el almacén Personal de certificados.
4. A continuación, es necesario establecer de nuevo el nivel predeterminado de seguridad de IE7. Para ello, pulsa en Herramientas > Opciones de Internet > Seguridad > Zona Internet. Marca la casilla de verificacción Habilitar modo protegido y pulsa en Restablecer todas las zonas al nivel predeterminado. Finalmente, pulsa Aplicar y Aceptar.
Una vez instalado el certificado y verificado que se halla en el almacén Personal, es muy conveniente realizar una copia de seguridad del mismo. De esta forma, podrás instalarlo en cualquier otro equipo y otra versión de Internet Explorer, o volverlo a instalar si te ves obligado a formatear el sistema. Para realizar la exportación, sigue este procedimiento:
1. Pulsa en Iniciar, y en Iniciar búsqueda escribe certmgr.msc y pulsa Enter.
2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
3. En el Administrador de Certificados de Usuario, pulsa en Personal > Certificados. En el panel de la derecha, aparecerá tu certificado de la FNMT, tal como muestra la imagen siguiente:
2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
3. En el Administrador de Certificados de Usuario, pulsa en Personal > Certificados. En el panel de la derecha, aparecerá tu certificado de la FNMT, tal como muestra la imagen siguiente:
4. Selecciona el certificado y pulsa en el menú Acción > Todas las tareas > Exportar.
5. En el Asistente para exportación de certificados, pulsa Siguiente y marca la opción Exportar la clave privada, tal como muestra la figura:
5. En el Asistente para exportación de certificados, pulsa Siguiente y marca la opción Exportar la clave privada, tal como muestra la figura:
6. En la siguiente pantalla, elige el formato de exportación: Intercambio de información personal: PKCS #12 (.PFX). Seguramente aparecerá ya marcada esta opción por defecto al tratarse de un certificado con una clave privada exportable. De las tres casillas que siguen, marca únicamente Exportar todas las propiedades extendidas. Pulsa Siguiente.
7. En el siguiente cuadro, escribe una contraseña para la clave privada y pulsa Siguiente.
8. A continuación, especifica una ruta y un nombre de archivo para la copia de seguridad, como muestra la figura:
8. A continuación, especifica una ruta y un nombre de archivo para la copia de seguridad, como muestra la figura:
9. Pulsa en Siguiente y en Finalizar. La exportación ya se ha completado. Es muy importante guardar esta copia en un lugar seguro, como un disquete, o una unidad de almacenamiento.
La utilización del certificado de la FNMT en línea es muy sencillo. Como ya he mencioando, antes de utilizar el certificado digital es necesario protegerlo mediante contraseña, utilizando para ello la exportación y la importación, ya que la simple instalación automática no protege la clave privada. Accede a un sitio web seguro de la Administración, o de la Seguridad Social, por ejemplo, para solicitar una información o descargar un archivo que requiera certificado digital. En primer lugar aparecerá una ventana emergente solicitando identificación mediante firma digital, tal como muestra la imagen:
Elige el certificado, si tienes más de uno, y pulsa Aceptar. A continuación, te solicitará permiso para usar la clave privada. Pulsa en Conceder permiso y escribe la contraseña de la clave privada:
Pulsa Aceptar, e inmediatamente tendrás acceso a tu información confidencial.
Para incorporar un certificado personal expedido por la FNMT a un equipo nuevo, y que tienes guardado en una copia de seguridad, debes proceder de la siguiente manera:
1. Pulsa en Iniciar. En la casilla Iniciar búsqueda escribe certmgr.msc y pulsa Enter.
2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
3. En el Administrador de Certificados de Usuario, selecciona la carpeta Personal y pulsa en Acción > Todas las tareas > Importar. Se ejecutará el Asistente para importación de certificados. Pulsa Siguiente.
4. En Nombre de archivo, pulsa en Examinar y localiza la ruta donde tienes el archivo de copia de seguridad. En la parte inferior de la ventana, elige el formato de archivo: Intercambio de información personal (*.pfx;*.p12) y localiza en la carpeta la copia del certificado. Pulsa Siguiente:
2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
3. En el Administrador de Certificados de Usuario, selecciona la carpeta Personal y pulsa en Acción > Todas las tareas > Importar. Se ejecutará el Asistente para importación de certificados. Pulsa Siguiente.
4. En Nombre de archivo, pulsa en Examinar y localiza la ruta donde tienes el archivo de copia de seguridad. En la parte inferior de la ventana, elige el formato de archivo: Intercambio de información personal (*.pfx;*.p12) y localiza en la carpeta la copia del certificado. Pulsa Siguiente:
5. En el siguiente cuadro debes escribir la contraseña de la clave privada (la misma que pusiste al realizar la copia de seguridad), marca las tres casillas de verificación y pulsa Siguiente:
• Habilitar protección segura de clave privada
• Marcar esta clave como exportable
• Incluir todas las propiedades extendidas
• Marcar esta clave como exportable
• Incluir todas las propiedades extendidas
6. A continuación, elige Colocar todos los certificados en el siguiente almacén. Pulsa en Examinar y elige el almacén Personal. Pulsa en Siguiente y en Finalizar.
7. Inmediatamente te aparecerá un cuadro de diálogo para crear un elemento protegido mediante CryptoAPI, cuyo nivel de seguridad por defecto es medio.
7. Inmediatamente te aparecerá un cuadro de diálogo para crear un elemento protegido mediante CryptoAPI, cuyo nivel de seguridad por defecto es medio.
8. Pulsa en Nivel de seguridad y elige el nivel Alto para establecer una contraseña. Esto es muy importante para que nadie pueda acceder a datos confidenciales usando tu certificado. Pulsa Siguiente y establece una contraseña para el elemento protegido:
Por último, pulsa en Finalizar y en Aceptar. La importación del certificado con su clave privada se habrá completado de forma correcta:
Relacionados:
• Descripción de certificados digitales
• Introducción a Firma de código
• Descripción de firma digital y código de firma en Word 2002 y versiones posteriores
• Un certificado no se puede inscribir y no recibe un mensaje de error de Windows Vista
• Cuando utiliza el Asistente para importación de certificados para instalar un certificado en Windows Vista se puede bloquear el proceso Rundll32.exe
• No puede ver información de certificado en Internet Explorer 7 o Administrador de certificados después de importar correctamente un certificado en Windows Vista
• Introducción a Firma de código
• Descripción de firma digital y código de firma en Word 2002 y versiones posteriores
• Un certificado no se puede inscribir y no recibe un mensaje de error de Windows Vista
• Cuando utiliza el Asistente para importación de certificados para instalar un certificado en Windows Vista se puede bloquear el proceso Rundll32.exe
• No puede ver información de certificado en Internet Explorer 7 o Administrador de certificados después de importar correctamente un certificado en Windows Vista
74 comentarios:
Enrique
Excelente trabajo este relativo a los certificados 2 CA.
Llevaba dos semanas perdido y sin obtener resultados en los e-mails que me enviaban de la FNMT. Les sugiero que cualquier problema que tengan con el windows vista dirijan la respuesta a tu blog.
Un cordial saludo.
Antonio Bueno
Gracias. Eso mismo les dije yo a los de la delegación de Hacienda cuando me dijeron que muchos usuarios tenían problemas para instalar un certificado de la FNMT en Windows Vista.
Saludos.
Hola Enrique.
Yo también he recibido varios e-mails de la F.N.M.T, pero no podia ser. Finalmente he conseguido todo el proceso de principio a final sin ningún problema con Windows Vista. Ya he enviado mi primer correo firmado. Todo bien.
Excelente blog.
Muchas gracias Enrique
Un fraternal saludo,
Jesús Izquierdo Fernández
Hola:
Pienso que has hecho un gran trabajo con este blog, pero esq no consigo descargarmelo siendo tus pasos. Me sale la advertencia de "El componente ActiveX no puede crear el objeto: 'X509Enrollment.CX509Enrollment'". Realizo todos los pasos que dices a continuación para simular el IE6, y cuando intento descargarme el certificado me sale una advertencia diciendome Error al intentar descargar el certificado. Estoy ya desesperada a ver si pudieras ayudarme que tengo que darme de alta de un servicio antes de 15 días y es que no hay forma de instalarlo.
Muchas gracias por adelantado.
Hola, Cris.
¿En qué parte del proceso aparece el error "Error al intentar descargar el certificado"?
¿Has realizado ya los pasos de solicitud (obteniendo el código),y la acreditación física en la Oficina de registro?
En otras palabras, ¿Tienes ya el código en tu poder y sólo te falta descargar el certificado?
A parte de conocer estos datos, realiza lo siguiente:
- Elimina archivos temporales de Internet, las cookies y el Historial de navegación.
- Cierra todos los programas que tengas abiertos (los que aparecen al lado del reloj) incluido el antivirus y cualquier otro programa de seguridad
- Deshabilita las barras de herramientas de terceros (Google, Yahoo!, etc) y el resto de complementos de Internet Explorer (Herramientas > Opciones de Internet > Programas > Administrar complementos)
- Ahora, vuelve a seguir los pasos de mi artículo desde el principio.
este material me parece excelente, felicidades ma ayudo de mucho, estaba buscando informacion como esta pero en este blog esta bastante completa
A mi me ocurre lo mismo que a Cris.
Al final de todo el proceso, me sale la pantalla diciendo que el certificado se ha descargado y un pop-up con el mensaje: "Error al intentar descargar el certificado".
Alguna idea? Cris, pudiste solucionarlo?
He hecho todo lo que comentas Enrique, y no hya forma.
¿Pero qué tipo de certificado utilizas en Windows Vista para firmar ese documento?¿Has importado a Vista el mismo certificado digital que utilizas en Windows XP?¿Se trata de un certificado de la FNMT?¿Aparece ese certificado en el almacén Personal de certificados en Windows Vista?¿Cuál es el error que aparece *exactamente*?
hola enrique hice todo cuanto escribiste, que por cierto magnifica tu explicacion, pero cuando ya logro entrar en los boletines electricos, me dice q elija el ceertificado y demas y entro pero al pagina me sale en blanco y pone pagina lista, no puedo hacer mas
USO XP, hice todo como dijiste correctamente y me deja entrar en aplicacion de gestion , son boletines electricos, el certificado es de FNMT, q ya consegui el codigo y mi jefe fue a la oficina a firmarlo, al dia siguiente ya podiamos descargarlo, hasta ahi todo bien gracias a tu ayuda, pero cuando entro en aplicación de gestion instaladores autorizados con certificado le doy y me sale pues que pide permiso para usar el certificado hasta ahi bien acepto y me lleva a la pagina, pero no sale nada la pagina esta en blanco y pone q la pagina esta lista sin embargo no hay nada
Respuesta para "anónimo": el certificado funciona perfectamente online, por tanto, todo el proceso se realizó correctamente. El hecho de que no se cargue la página solicitada con certificado puede ser problema de la aplicación web, o cualquier otro problema del sitio. No es problema del certificado.
Saludos.
Hola a todos,
voy a intentar explicarme un poco mejor.
Hace un año me descargue el certificado digital de FNMT en un ordenador con Windows XP y todo me funcionaba correctamente.
Este verano me compre un portátil y por supuesto ya traía Windows Vista, entonces exporte el certificado digital al nuevo ordenador y todo se realizo correctamente. Podía acceder a las mismas páginas con el certificado y por ejemplo, me podía descargar la vida laboral. El problema es cuando quiero utilizar el certificado digital para firmar documentos, por ejemplo, en la Junta de Andalucía se pueden presentar las solicitudes telematicamente con el certificado digital, entonces con el certificado puedo acceder a la web y me reconoce, pero cuando intento firmar los documentos para enviarlo es cuando tengo el problema. El error exacto no te lo puedo dar ahora mismo pero es un error de acceso a un fichero de Internet Explorer que no se puede editar. Voy a intentar reproducir el error y te lo paso. No se si es que no tengo autorización, por el tema de autorizaciones de Windows Vista o si es que tengo que instalar algo.
Muchas gracias por tu ayuda.
Respuesta para Gank: es importante saber exactamente cuál es el error y en qué momento se produce.
decirte que mi problema con la pagina en blanco de los certifcados electricos esta resuelto, pensén en java y lo descargue, y ole! lo consegui ya puedo entrar sin problemas. de todas formas muchas gracias por tu ayuda
hola Enrique, enhorabuena por tu trabajo llegarás lejos. Tengo Windows Vista. Bueno, tengo muchos problemas, hice todo el procedimiento que indicabas, fui a descargarlo con Internet Explorer 6 y me sale siempre VBscript:error al descargar el certicado. Hice todo cuanto pude, deshabilite todo, borre historiales y demás cookies y nada. Que hago? necesito muchas cosas para ya. Por otra parte, si lo intento con Firefox, sale una ventana para descargarlo, acepto y dice que no se puede cargar porque no poseo la clave privada emitida en el momento de la solicitud. Que opinas? gracias
Enrique.
Esta es la segunda vez que realizo la renovación del certificado digital a través de internet.
Tras muchas trabas, al final realizo todo el proceso con el ie7, y con unos cuantos ajustes que te debo a tí, logro terminar el proceso, y veo la famosa pantalla de "ya tiene usted instalado el certificado". Efectivamente, cuando voy a mirar en las preferencias del ie7 observo mi certificado en "personal" y el mensajito de "you have a private key that corresponds to this certificate", también.
Sin embargo cuando acto seguido intento exportarlo, no me deja exportarlo con las claves privadas, con lo cual el certificado no me sirve para usarlo en ningún otro sitio.
Ya he googleado un poco y te puedo decir que no tiene que ver ni con persmisos de carpetas , ni con exportar dos certificados a la vez. Lo único parecido que he encontrado es relativo a una cosa en el w2k, donde se dice que cuando se sobreescribe un perfil de usuiaro administrador por otro, estas ocsas pueden pasar, pero esto no es mi caso.
Muchas gracias de antemano.
PD: en mi caso además, necesito el certificado para la declaración de la renta y no voy a poder estar en españa para renovar el certificado en esa época, ouch!!
Respuesta para "Anónimo": si tienes Windows Vista, ¿Cómo dices que descargaste el certificado con IE6? Windows Vista viene con IE7. El error de VBscript puede ser debido a algún complemento que tengas instalado. Es importante deshabilitar las extensiones de explorador de terceros (menú Herramientas > Opciones de Internet > Opciones avanzadas), y posiblemente tengas que deshabilitar también uno a uno los complementos (menú Herramientas > Opciones de Internet > Programas > Administrar complementos). Con Firefox no podrás instalar el certificado, si lo solicitaste con IE7. El certificado digital solamente puede instalarse en el mismo navegador desde el que se realizó la solicitud.
Saludos.
Respuesta para JoeZ99: "...no me deja exportarlo con las claves privadas...". ¿Cuál es el mensaje de error exacto que aparece al intentar exportar el certificado? Consulta el Visor de sucesos y observa si aparece algún evento relacionado con este problema, Si existe, es posible que aparezca el código de error 0x80090016; en tal caso, consulta el siguiente artículo y sigue los pasos para resolverlo:
http://support.microsoft.com/kb/939616/en-us
Llevo muchos años usando el certificado de la FNMT para Hacienda, ya lo he renovado varias veces.
Desde Windows Vista lo puedo utilizar para leer información de la Agencia Tributaria relativa a mis declaraciones ya presentadas, y funciona.
Pero no puedo presentar declaraciones nuevas, me da un error que dice "Su certificado no ha permitido ralizar una firma válida".
Lo exporto (con la clave privada), lo instalo en otro equipo con Windows XP y ya puedo firmar sin problemas.
¿Qué pued estar pasando?
Saludos cordiales, y gracias por este blog y por este hilo.
Ricardo
Respuesta para Ricardo: es posible que existan propósitos no permitidos para los certificados. Prueba lo siguiente: accede a tu certificado de la FNMT en Internet Explorer (Herramientas > Opciones de Internet > Contenido > Certificados > Almacén Personal). Haz doble clic sobre tu certificado y pulsa en la ficha Detalles y a continuación en Modificar Propiedades.... Marca Habilitar todos los propósitos para este certificado. Realiza la misma operación para el certificado FNMT Clase 2 CA que se halla en el almacén Entidades Emisoras raíz de confianza. Reinicia Internet Explorer.
Saludos.
De M.José: Hola Enrique, escribi ayer diciendote que seguí tus pasos y me descargué el programa que simula IE6, tengo el W.Vista. Bueno yo ya estoy desesperada. He hecho todo todo cuanto has dicho. Lo tengo todo deshabilitado, antivirus incluido. Hoy tambien he probado con deshabilitar las extensiones de explorador de terceros y es verdad que ya no dice error VBscript. Ahora es simplemete: Ha ocurrido un error tratando de descargar su certificado. Que puede estar pasando? Puedo anular este certificado y pedir otro? me han dicho que solicitarlo y descargarlo con Firefox no hay ningún problema de este tipo. Gracias
Respuesta a M.José: "...Puedo anular este certificado y pedir otro?..."
Sí, es posible hacer una nueva solicitud de certificado, obteniendo un nuevo código de solicitud (con IE7 en Windows Vista), pero creo que debes personarte primero en la oficina de registro para anular la primera solicitud (que ahora está pendiente). En el mensaje "Ha ocurrido un error tratando de descargar su certificado" sería bueno conocer más datos del error.
Saludos.
Comprobado: todas los propósitos estaban habilitados en los dos casos.
Por otra parte, he comprobado también que si deshabilito el Control de Cuentas de Usuario del Vista sigo teniendo los mismos problemas.
Gracias de todos modos, y recibe un cordial saludo.
Ricardo
Enrique.
Gracias por tu rapida respuesta.
He investigado un poco mas a fondo , y tengo nuevos datos.
Cuando eliges las propiedades del certificado, en el certmgr.msc (o en el ie7), aparece todo correctamente, y la ultima frase es:
"You have a private key that corresponds to this certificate"
El error del que me hablas, no me aparece cuando intento exportar el certificado, sino cuando intento acceder a una pagina que me pida el certificado. Yo hago esa prueba cuando intento entrar a la seguridad social. Voy a oficina virtual -> servicios con certificado -> el ie7 me pide que seleccione un certificado y selecciono el mio -> despues de un rato, el ie7 me dice que no puede mostrarme la pagina -> en el visor de sucesos me aparece el mensaje:
"
....
Event Source: Schannel
...
Description:
A fatal error occurred when attempting to access the SSL client credential private key. The error code returned from the cryptographic module is 0x80090016.
"
ahora bien ese error no me sale cuando intento exportar el certificado tanto usando el snap-in del ie7 , como usando el certmgr.msc , como usando el "workaround" que tan amablemente me indicaste (usando el mmc ), cuando ejecuto all task->export, al exportar no me deja marcar la casilla de radio que indica que quiero exportar mis claves, y el mensaje explicativo es:
"Note: the associated private key cannot be found. Only the certificate can be exported". Incidentalmente te dire que siempre pasa mucho tiempo desde que pulso "exportar" hasta que me salta el asistente.
Otra cosa que no se si ayudara es que tengo varios "certificate store" altamente sospechosos (los nombres estan escritos en caracteres chinos) . me pregunto si quitarlos mejoraria la situacion.
Muchas gracias otra vez desde la habana!!
Enrique.
Ya resolvi el problema, aunque de otro modo distinto. Te lo pongo aqui por si alguien se encuentra con lo mismo:
Sintomas
- No se puede exportar el certificado de la fnmt con las claves privadas con la utilidad de exportacion de certificado, ni con el snap-in del iexplorer. El sistema indica que "no se han podido encontrar las claves privadas del certificado" y por eso no las puede exportar
- Cuando se intenta acceder con el ie7 a un sitio que requiera el certificado (http://www.seg-social.es), despues de seleccionar el certificado la conexion se corta. En ese momento surge en el event log el siguiente mensaje de error: Event Source: Schannel
Event ID: 36870
Description: A fatal error occurred when attempting to access the SSL client credential private key. The error code returned from the cryptographic module is 0x80090016.
- al mostrar el certifiado y sus propiedades, se indica que "el usuario tiene las llaves privadas para este certificado
Este error procede de un cambio de permisos en las carpetas que guardan la informacion criptografica, y se soluciona aqui:
http://support.microsoft.com/kb/943358/en-us
Bueno, pues eso, espero que le sirva a alguien. Un saludo.
Hola, JoeZ. Me alegro que hayas solucionado el problema. Efectivamente, el código de error que aparece en el Visor de sucesos es el 0x80090016, tal como te dije en mi otro mensaje, y la solución de Microsoft estaba referida a Windows Vista. La solución que has implementado (KB943358)está referida a Windows XP. No sé si es que tu sistema es Windows XP, o es que te ha funcionado esta solución en Windows Vista. De todas formas, me alegro que lo hayas solucionado.
Saludos.
Enrique.
Tengo WindowsXP. La verdad es que durante todo este tiempo estaba tan obnubilado que ni me fije en esas "sutilezas" ;-)
Bueno, bien esta lo que bien acaba. Ademas, ahi queda en los comentarios para que google lo indexe y si a alguien mas le pasa, no tenga que pasar por la preocupacion que yo pase.
Un saludo, otra vez!
Antes de nada, mi felicitación por este trabajo tan impresionante de soporte en el tema de certificados.
Yo he sido incapaz de renovar el mío que está a punto de caducar. Solicité la renovación y tengo el código con el que -teóricamente- puedo descargarlo. El caso es que obtengo un mensaje de que el certificado se ha descargado e instalado correctamente en Internet Explorer, pero luego no aparece en ningún lado (ni en "personal" ni en "otras personas"). Utilizo Windows Vista y el IE 7.
¿Alguna idea?
Gracias por adelantado
Miguel
Respuesta para Miguel: Supongo que tienes Windows Vista. ¿Has seguido los pasos de mi artículo? Es importante que sea el mismo sistema operativo, el mismo navegador, con las mismas opciones de seguridad (o sea, todo igual) que cuando se solicitó y se obtubo el código. Deshabilita las extensiones de explorador de terceros (desde Opciones de Internet > Opciones avanzadas) y reinicia IE7. Si esto tampoco funciona, prueba a utilizar la herramienta User Agent String Utility tal como explico en el artículo.
Saludos.
¡Hola Enrique!... pues vas a tener que darle cursillos porque esta mañana me han comentado -desde una página que no me lo reconocía- que es que el Vista no los reconoce, que no puede con el mismo. Yo llevo casi un mes y pico dándole vueltas a la instalación, pero sin éxito. Un buen amigo me ha enviado tu blog y mañana, tranquila, lo intentaré de nuevo. Ahora bien, me gustaría preguntarte: yo lo tengo en la pestaña "personal" y el otro en la pestaña "entidad certificados raiz"... ¿he de borrarlo todo y comenzar el proceso de nuevo?...
Muchas gracias por compartir este proceso.
Respuesta a María Reyes: "¿he de borrarlo todo y comenzar el proceso de nuevo?"
A ver, en principio, no. Si cada certificado aparece correctamente en su almacén de certificados (tu certificado personal en el almacén Personal, y el certificado de la FNMT Clase 2 CA en el almacén de certificados raíz de confianza)habrá que mirar por qué no funcionan. Primero observa todos los datos de tu certificado personal: que esté correcto y aparezca el enunciado "Tiene una clave privada correspondiengte a este certificado". Por otra parte, es importante saber qué ocurre exactamente cuando se utiliza el certificado online, en un sitio web seguro, y no es posible acceder a la información confidencial. También es posible que el problema no esté en tu certificado, sino en el sitio web.
Saludos.
Hola de nuevo.
Ya he reproducido el error.
Mi problema era el siguiente: mediante el certificado FNMT consigo autentificarme en la web del empleado de la Junta pero cuando intento firmar algún documento me da el siguiente error:
No tiene autorización para acceder al fichero siguiente:
c:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\TELVENTSING.DLL
Tengo Windows Vista e Internet Explorer 7.0
Espero que ahora tengas todos los datos Enrique y muchas gracias por la respuesta.
Respuesta a "gank": el archivo telventsign.dll es instalado precisamente por el equipo telemático de la Junta de Andalucía para poder firmar documentos mediante certificado digital. Se trata de una librería que es el Componente-Cliente Firma. Es necesario tener instalado en el equipo el plug-in de java. Tienes más información sobre este tema y esa librería en este archivo pdf: https://ws024.juntadeandalucia.es/plutonDescargas/1_042_ti-20-1074-mpf-001.pdf. Lo que no puedo asegurarte es que Windows Vista sea compatible o no con la aplicación web que utiliza la Junta de Andalucía para firmar documentos con certificado digital.
Saludos.
Muchas gracias por la respuesta.
Me he puesto en contacto con el servicio de incidencias de la Junta y me han confirmado tu suposición, es decir, el servicio de firma electronica no es compatible con Windows Vista.
Hasta la proxima duda.
Pues de verdad que lo siento. Tendrán que actualizar la aplicación para que se pueda usar en Windows Vista.
Saludos.
Ayer mismo firmé una solicitud de la Junta de Andalucía con un certificado digital de la FNMT, desde un portátil con Windows Vista Business. Tuve que usar Internet Explorer porque fue imposible hacerlo con Mozilla Firefox. Pero, ya véis, firmar, se puede. (y también me apareció el telvent en el escritorio, por cierto).
Saludos
Pedro
Hoy me ha pasado lo mismo....intentaba echar una solicitud para oposiciones a la Junta y...mi Windows Vista no admite el archivo "telventsing.dll". Vuestro foro me ha ayudado mucho. Gracias a todos. Mañana iré a casa de mi hermana a terminar los trámites!! Jajaja
Hola Enrique.
Estoy volviendome loco con un problema que, en breve, será acuciante para mi. Tengo que presentar ciertas declaraciones a Hacienda, estoy en el extranjero con mi nuevo portatil con Vista e IE 7.0, y me traje mi certificado para poder hacerlo todo desde aquí, y...
... el problema que experimento es el mismo que ya tuvo Ricardo, por lo que leo en el blog, pero que no leo que se encontrase solución. Yo he seguido todos los pasos de tu artículo, luego importo mi certificado, y entro en la página de la AEAT sin problemas... pero al intentar enviar una declaración, me sale el siguiente error:
"Su certificado no ha permitido realizar una firma válida. Si puede impórtelo (si lo tiene exportado como fichero .pfx o .p12) o entre en su ordenador con el usuario que descargó el certificado."
De nuevo, he estado utilizando este certificado sin problemas durante años en XP con IE 6.
¿Alguna sugerencia???? Soy informático, acostumbrado a pegarme con este tipo de "sapos" de muy difícil resolución, pero con este se me están acabando los recursos :-/
Gracias! Juanjo
Hola de nuevo, Enrique.
Antes de que me pudiera contestar nadie, la propia Agencia Tributaria lo ha hecho de forma totalmente acertada. Adjunto su correo que, siguiendolo paso a paso, ha conseguido que resolviese mi cuestión. De forma que espero ayude a otr@s en el futuro.
Saludos,
Juanjo
--------------
Para que su certificado de usuario funcione correctamente en Windows Vista es necesario que realice algunas configuraciones en su navegador.
La opción "Habilitar modo protegido", activada por defecto en Windows Vista, impide que el certificado de usuario funcione correctamente en la página web de la AEAT. Para que no aparezca este error, siga las instrucciones que le facilitamos a continuación.
Pinche en "Herramientas", "Opciones de Internet" en el menú de su navegador (en IE 7 el botón "Herramientas" puede estar situado en la parte derecha del navegador).
Seleccione la pestaña "Seguridad" y marque el icono "Sitios de confianza", el tercero de los cuatro que aparecen en la ventana de la parte superior.
Cuando seleccione el icono "Sitios de confianza", se habilitará el botón "Sitios" un poco más abajo a la derecha. Pinche en ese botón y escriba lo siguiente en el apartado "Agregar este sitio web a la zona de": https://*.aeat.es.
Después pinche en el botón "Agregar" para que esta dirección pase a la ventana inferior ("Sitios web"). La casilla "Requerir comprobación del servidor (https:) para todos los sitios de esta zona" debe estar marcada. Pinche en "Cerrar".
De vuelta en la pestaña "Seguridad", aún con el icono "Sitios de confianza" marcado, desmarque la casilla "Habilitar modo protegido (...)" que aparece en la parte inferior de esta pestaña y por último pinche en el botón "Restablecer todas las zonas al nivel predeterminado".
Para terminar, pinche en "Aplicar" y "Aceptar". Para que el cambio sea efectivo es necesario que cierre todas las páginas de Internet Explorer.
Cuando abra de nuevo Internet Explorer, compruebe si el problema se ha solucionado. Si no es así, por favor facilítenos un teléfono y horario para que podamos contactar con Ud.
Atentamente,
AEAT
Hola a todos. Me pasa algo curioso: en mi ordenador tengo el W. Vista y hoy he intentado sellar mi tarjeta de desempleo y... "acceso denegado al archivo telventsign". Es muy raro porque la úlmima vez sellé desde mi ordenador sin ningún problema, y ahora no puedo. Alguien sabe algo más sobre el tema?. Alguna solución? Gracias a todos!!
Enrique:
He renovado mi certificado con IE7 en Windows Vista. Al exportarlo para hacer una copia de seguridad con clave privada no marqué "Exportar todas las propiedades extendidas" (aun no conocia tu blog). Luego lo importé en otro ordenador.
Mis preguntas: ¿Puedes explicar en que consiste esa opción, que diferencia hay entre marcarla o no, que problemas puede dar no marcarla? Es por si merece la pena hacer otra exportación/importación.
Gracias
Respuesta a Manu: No te preocupes. En el caso concreto de importación/exportación de certificados digitales con clave privada, el sistema ya incluye, por defecto, las propiedades extendidas, es decir, todas las que tenga el certificado. En el caso de otro tipo de certificados, para otros propósitos, y sobre todo cuando se exportan varios conjuntamente a un archivos, sí que es importante especificar si se incluirán las propiedades extendidas. En este caso, ya lo hace el sistema.
Saludos.
Esta Página es Genial me ayudado para solucionar mis problemas con Windows Vista e IE7. Gracias a todos.
Para Enrique:
Tenía el problema al descargar el certificado e instalé el software de emulación de IE6 y tampoco me funcionó, pero volví a hacerlo con la versión 7 y funcionó! No se como pero me lo descargó, no sé si al instalar el software de emulación agregó alguna DLL.
Para Juanjo:
Después de descargar el certificado me daba el error que ciertamente se soluciona con las indicaciones de la carta que has agregado en los comentarios. Gracias.
Ciao
Alberto
hola tengo un problema con mi certificado digital el cual lo tengo copiado en un CD de seguridad y quiero instalarlo en mi ordenador portatil con XP, los pasos que siguo son los siguientes, propiedades-contenidos-certificados-importar- y es aqui en donde mi certificado se instala en otras personas y no se instala en personal que en donde deberia hacerlo cuando lo instalo en otro ordenador fijo que tengo se instala bien pero en el portatil no me lo hace. ¿cual será el problema de configuración del portatil?
Cuando hiciste la exportación de ese certificado, ¿Hiciste la exportación de varios certificados (y no uno sólo) en un archivo único de copia?
Los certificados que se hallan en el almacén Personal de certificados, correctamente instalados, tienen una clave privada y única para cada certificado. Si se exportan varios certificados conjuntamente a un archivo .pfx, no se exportan las claves privadas, por lo que al importarlos a un nuevo navegador, se importan sin la clave privada, y van a parar al almacén Otras personas.
Comprueba las propiedades de ese certificado importado, y en la ficha General > Ver, comprueba si aparece Tiene una clave privada correspondiente a este certificado...
Si no aparece este texto, es que no se exportó correctamente como certificado personal. No hagas una importación directamente desde el CD. Cópialo primero al disco duro y comprueba en sus propiedades que no aparezca como archivo bloqueado en la pestaña General.
ME CAGO HASTA EN MI VIDA!!!!
llevo todo el dia intentando prensentar la declaracion del IVA, primero el IE7 no me abria las paginas de AEAT, luego el firefox no me aceptaba la clave de la firma, despues podia acceder desde firefox, pero no me dejaba presentar las declaraciones, hasta que encontre esta pagina que explican lo de poner la pagina de aeat en sitios de confianza... me deja presentar la declaracion, y en la pagina siguiente me pone que presente la declaracion fuera de plazo... eran 21/4 00:03 hs
joer, me pase 3 minutos de lo permitido... ahora multa y llevar la declaracion en persona... MIERDA
Magnifica ayuda con el certificado, no obstante añado esta direccion para si alguien tiene mas problemas y aqui tambien esta bien la explicacion.-
gracias a todos
Aqui otra explicacion del certificado y sus problemas
Excelente blog, Carlos. Muchas gracias de antenamo.
Al exportar de XP a VISTA el certificado digital lo hacía correctamente pero a la hora de enviar la declaración online, es decir, al conectarme a la AEAT, desde el PADRE, me daba error.
PASO 1. A la hora de exportarlo en XP hacerlo CON CLAVE PRIVADA (te la inventas en el momento, yo puse ABCDE). Cuando lo importes en VISTA y te la solicite, lógicamente utilizas la misma.
PASO 2. A la hora de importar en VISTA el certificado digital, el problema lo he solucionado siguiendo estos pasos que Juanjo publicó más arriba:
Para que su certificado de usuario funcione correctamente en Windows Vista es necesario que realice algunas configuraciones en su navegador.
La opción "Habilitar modo protegido", activada por defecto en Windows Vista, impide que el certificado de usuario funcione correctamente en la página web de la AEAT. Para que no aparezca este error, siga las instrucciones que le facilitamos a continuación.
Pinche en "Herramientas", "Opciones de Internet" en el menú de su navegador (en IE 7 el botón "Herramientas" puede estar situado en la parte derecha del navegador).
Seleccione la pestaña "Seguridad" y marque el icono "Sitios de confianza", el tercero de los cuatro que aparecen en la ventana de la parte superior.
Cuando seleccione el icono "Sitios de confianza", se habilitará el botón "Sitios" un poco más abajo a la derecha. Pinche en ese botón y escriba lo siguiente en el apartado "Agregar este sitio web a la zona de": https://*.aeat.es.
Después pinche en el botón "Agregar" para que esta dirección pase a la ventana inferior ("Sitios web"). La casilla "Requerir comprobación del servidor (https:) para todos los sitios de esta zona" debe estar marcada. Pinche en "Cerrar".
De vuelta en la pestaña "Seguridad", aún con el icono "Sitios de confianza" marcado, desmarque la casilla "Habilitar modo protegido (...)" que aparece en la parte inferior de esta pestaña y por último pinche en el botón "Restablecer todas las zonas al nivel predeterminado".
Para terminar, pinche en "Aplicar" y "Aceptar". Para que el cambio sea efectivo es necesario que cierre todas las páginas de Internet Explorer.
Cuando abra de nuevo Internet Explorer, compruebe si el problema se ha solucionado. Si no es así, por favor facilítenos un teléfono y horario para que podamos contactar con Ud.
Atentamente,
AEAT
Excelente el blog y de mucha ayuda.
Yo exporté el certificado de otro ordenador y al importarlo en el nuevo me salió el mensaje de importación correcta. Lo veo con el administrador de certificados, pero no con las herramientas del explorer y por tanto este no lo encuentra al acceder a las páginas.
En las propiedades, no aparece el mensaje que comentas de "Tiene una clave privada" ni en el instalado, ni en el fichero, pero no puedo hacer otra exportación. ¿tengo alguna otra opción?
Gracias de antemano.
Alberto
Hola, Alberto. Posiblemente el proceso de exportación (o de importación posteriormente)no se realizó correctamente, con lo cual no se guardó la clave privada. Un certificado digital con clave privada debe aparecer en el almacén Personal, tanto en Certificados como a través del navegador. Lo ideal sería volverlo a exportar, pero si esto no es posible, tendrás que solicitar uno nuevo.
Hola,
Perdona mi español.Soy Belga y uso inglés por informática.
Ayudo una amiga que uso la presentación telemática por internet por la declaración correspondiente al modelo 214 de los impuestos sobre el patrimonio y sobre la renta de NO RESIDENTES. Uso Windows XP y el Certificado de Usuario de la FNMT, sin problema.
Ha comprado un nuevo ordenador con Windows Vista (Home Premium) y Internet Explorer 7.
Ha importado a Vista el mismo certificado digital que utiliza en XP, de su copia de seguridad.
La importación se ha completo correctamente. (‘Tiene una clave privada correspondiente a este certificado”).
PROBLEMA
Experimenta el mismo problema que JUANJO (11 de marzo de 2008) al intentar de enviar una declaración con Vista y IE 7.
(He despachado su declaración 2008 con el ordenador con XP, como uno solución provisoria).
PREGUNTA 1
El correo de la AEAT adjunto por Juanjo resuelve aparentemente el problema.
En nuestro caso (presentar y pagar el impuesto) es posible de comprobar si funciona con IE7, en su ordenador, sin pagar los impuestos un secunda vez!?.
PREGUNTA 2
Solicitud del Certificado de la FNMT (Windows Vista Y/O Internet Explorer 7).
He encontrado tres distinta versión. CUÁL ES CORRECTO?
1. El Blog de Enrique Cortés (31 de octubre de 2007) – Certificados de la FNMT;
2. Certificados de la FNMT – Octubre 2007 – Enrique Cortés;
3. FAQ 1334 – FNMT – Usuarios de Windows Vista y/o Internet Explorer 7.
Versión 2
- no manda de agregar los sitios https://apuc.cert.fnmt.es y https://apus.cert.fnmt.es;
- no manda de habilitar la opción 7 :”Preguntar automáticamente si se debe usar un control activeX;
- no incluye los otros pasos (Internet/opción avanzadas) que vienen después la opción 7 en la versión 1, más arriba.
Versión 3
- no manda de “desplazar el control deslizante hacia abajo hasta seleccionar nivel MEDIO, como en la versión 1;
- no manda de desmarcar la casilla de verificación “Habilitar extensiones de explorador de terceros”, en opciones avanzados/configuración/examinar, como en la versión 1.
PREGUNTA 3
Partiendo de cero y siguiendo al pie de la letra la guía por la solicitud del certificado de la FNMT en el Blog de Enrique.
Cuando habilito la opción de configuración “Inicializar y generar scripts de los controles de ActiveX no marcados como seguros para scripts” en el Nivel personalizado, veo eso opción cambiar en color rojo (en ambas Enrique y FNMT versión).
Aparece el mensaje “El nivel de configuración de seguridad pone a su equipo en peligro”.
¿Hago algo mal ¿ Qué? (soy en Vista IE 7, no en XP EI 6)
Gracias por su ayuda…y felicitación a los campeones!
Xavier
xavier.dereppe@pandora.be
>"...En nuestro caso (presentar y pagar el impuesto) es posible de comprobar si funciona con IE7, en su ordenador, sin pagar los impuestos un secunda vez!?...
Me imagino que sí se podrá comprobar si funciona, sin tener que volver a pagar. En todo caso, no pulses en "confirnmar el pago".
>"...“El nivel de configuración de seguridad pone a su equipo en peligro”
Sí, ese efecto es normal, por la configuración de seguridad de IE7.
hola Enrrique tu blog es la asistencia ferrari por usar un simil.
ayer descargue el certificado de la aeat sin ningun contratiempo y hoy e intentado firmar un formulario de la AT y me sale un ventana que dice lo siguiente:su certificado no a permitido realizar una fima valida.Si puede importlo(si lo tiene exportado como fichero pfx o p 12)o entre en su ordenador con el usuario que descargo el certificado. lo exporte para la copia de seguridad y el usuario es el mismo que lo descargo
Es posible que la configuración de seguridad del navegador no sea la adecuada, o que falte algún componente (activeX) necesario para poder generar la firma electrónica. Sigue estos pasos para intentar resolverlo:
1. Agrega a la zona de Sitios deconfianza de IE7, la página web desde la que estás intentando renovar el certificado. Si se trata de un certificado de la FNMT, sigue *al pie de la letra* los pasos que describo en al apartado "Solicitud del certificado de la FNMT-RCM" de este artículo, para agregar sitios a la zona de confianza y establecer una configuración correcta:
http://ekort.blogspot.com/2007/10/certificados-de-la-fnmt-proceso-de_31.html
2. Descárgate el componente CAPICOM para windows desde este enlace:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6
Una vez descargado, instala el paquete ejecutando el archivo *capicom_dc_sdk.msi*
3. Desde el menú Inicio > Ejecutar, escribe "cmd" (sin comillas) y pulsa Aceptar. En la consola de comandos, escribe la siguiente instrucción y pulsa Enter:
copy "%programfiles%\Microsoft CAPICOM 2.1.0.2 SDK\Lib\X86\capicom.dll" "%windir%\system32"
4. A continuación, desde el menú Inicio > Ejecutar, registra la librería *capicom.dll*, de esta forma:
Inicio > Ejecutar > regsvr32 CAPICOM.DLL
5. Reinicia Internet Explorer 7 y comprueba si funciona ahora el certificado para la firma digital.
ola, q tal a ver si me pudiese solucionar este problemilla.
he instalado el certificado digital de la fnmt, pero no me aparece en personal sino solo en raiz de confianza, e comprobado con la pagina del ceres y me sale como activo pero no lo tengo en la carpeta personal, utilizo w.vista e IE, saludos
Mil gracias!
Hola Enrique, he descargado mi certificado correctamente con mozilla firefox 3.0.3, tengo instalado Plug-in java JRE 1.4, Los componentes necesarios han sido verificados, he intentado realizar una solicitud online en la página de las residencias del tiempo libre de La Junta de Andalucía, realizo todo el proceso correctamente y al final la página antes de entrar en la solicitud me responde con el siguiente error:
Error General
La sesión del navegador no es válida o se ha excedido el límite de inactividad.
Gracias por hacernos la vida en internet más facil.
Saludos. Miguel
Hola, Enrique, muy útil tu blog, salvo para mí que lo he encontrado tarde. Mi problema es que a mi el certificado personal me aparece en la pestaña "otras personas", no me solicitó contraseña cuando lo guardé y cuando intento usarlo en la oficina virtual me aparece una ventana en la que me pide que elija certificado pero no aparece ninguno! y por tanto no puedo usarlo. No recuerdo ningún error cuando lo guardé. Pero no sé que más hacer. Por cierto, tengo Windows Vista.
Soy el anonimo de antes, resulta que en la página de aeat me aparece:
INFORMACIÓN TÉCNICA
FECHA: 319 2008
HORA: 20:33:30
CODIGO_ERROR_1: A87CICS5
CODIGO_ERROR_2: 84.122.127.14
CODIGO_ERROR_3: ES31ANAL
CODIGO_ERROR_4: ****
CODIGO_ERROR_5: ****
CODIGO_ERROR_6: AWBA
CODIGO_ERROR_7: 00000029
CODIGO_ERROR_8: 00000702
CODIGO_ERROR_9: 00000004
CODIGO_ERROR_10: 00000000
CODIGO_ERROR_11: 00000000
Por si sirve para algo. He intentado exportarlo desde mi copia a "personal" pero no aparece. No sé cual es el problema.
El certificado digital debe aparecer correctamente instalado en el almacén Personal, mientras no sea así no podrás utilizarlo. Tendrás que volver a instalar o importar tu certificado personal en Windows Vista, pero solo, no junto con otros certificados. Durante el proceso de importación debes establecer la contraseña para la clave privada. Sin clave privada no se guardará en el almacén Personal. Sigue al pie de la letra los pasos que te indico en el apartado Importación del certificado de la FNMT
Hola, Enrique acabo de leer como hacer lo del certificado 2CA, pero no hay manera, hago todo lo que dices, descargo el certificado, se descarga ien pero cuando mmiro en opciones de internet:Contenido:certificados,consta en Entidades de certificacion raiz de confianza, pero no en Personal ni en Otras Personas.¿como hago para que se descargue el certificado personal a mi nombre de la FNMT? ya no se como hacerlo porque se descarga o primero pero esto no. Gracias.
Hola, Eva. Te digo lo mismo que dije anteriormente a otro usuario: "El certificado digital debe aparecer correctamente instalado en el almacén Personal, mientras no sea así no podrás utilizarlo. Tendrás que volver a instalar o importar tu certificado personal en Windows Vista, pero solo, no junto con otros certificados. Durante el proceso de importación debes establecer la contraseña para la clave privada. Sin clave privada no se guardará en el almacén Personal. Sigue al pie de la letra los pasos que te indico en el apartado Importación del certificado de la FNMT".
A aquellos que usan MOZILLA/NETSCAPE y han tenido problemas con TELVENT INTERACTIVA (el famoso fichero telventsing.dll):
1.- INSTALAR EL PLUG-IN DE LA MÁQUINA DE JAVA MÁS RECOMENDADA PARA LAS FIRMAS DIGITALES (ES LA MÁS ESTABLE):
En mi opinión, la más estable para la firma electrónica es la 1.4.2_19:
https://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/ViewProductDetail-Start?ProductRef=j2re-1.4.2_19-oth-JPR@CDS-CDS_Developer
NOTA: quitar actualizaciones automáticas, o inmediatamente “te mete” la última.
2.- INSTALACIÓN DE LAS LIBRERÍAS NECESARIAS PARA PODER REALIZAR FIRMA ELECTRÓNICA EN NAVEGADORES NETSCAPE Y MOZILLA EN WINDOWS:
Es necesario tener ademas instalados en el equipo 2 ficheros JSS (librerías Java Security Service). Los pasos para instalar ambos son:
a.- Descargar el fichero jss33.jar (por ejemplo de http://www.juntadeandalucia.es/economiayhacienda/ov/general/requisitos/firmaWindows.htm )
b.- Copiar el fichero jss33.jar en el directorio "\lib\ext" del plug-in de JAVA activo en el navegador (que es el que acabamos de instalar en el paso 1). NOTA: El plug-in de Java se instala normalmente por defecto en el directorio de windows:
“C:\Archivos de programa\Java\j2re1.4.X\”. Por lo tanto, deberemos copiar el fichero jss33.jar en el directorio:
“C:\Archivos de programa\Java\j2re1.4.2\lib\ext”
c.- Descargar el fichero jss3.zip (por ejemplo de http://www.juntadeandalucia.es/economiayhacienda/ov/general/requisitos/firmaWindows.htm )
d.- Copiar todos los ficheros incluidos en el archivo comprimido jss3.zip en un directorio incluido en el java.library.path. NOTA: Directorios muy comunes a los que accede el path son por ejemplo:
“C:\winnt\system32\”
“C:\windows\system32”
e.- Cerrar todas las ventanas abiertas del navegador para actualización
Buenos días.
Ante todo, me quito el sombrero ante sus conocimientos. Y ahora viene la petición de ayuda: yo el problema lo tengo al firmar una operación, en este caso en la web del Tesoro Público. El certificado me lo reconoce, me permite acceso a las zonas de operaciones pero al firmar una de ellas sale ventana de "Iniciliazar: error inesperado" y después ventana de "Internet Explorer dejó de funcionar". Ando desesperado desde que he instalado el certificado en Vista.
Gracias anticipadas y un saludo.
Hola, Jorge,
Es posible que la configuración de seguridad del navegador no sea la adecuada, o que falte algún componente (activeX) necesario para poder generar la firma electrónica. Sigue estos pasos para intentar resolverlo:
1. Descárgate el componente CAPICOM para windows desde este enlace:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6
Una vez descargado, instala el paquete ejecutando el archivo *capicom_dc_sdk.msi*
2. Desde el menú Inicio > Ejecutar, escribe "cmd" (sin comillas) y pulsa Aceptar. En la consola de comandos, escribe la siguiente instrucción y pulsa Enter:
copy "%programfiles%\Microsoft CAPICOM 2.1.0.2 SDK\Lib\X86\capicom.dll" "%windir%\system32"
3. A continuación, desde el menú Inicio > Ejecutar, registra la librería *capicom.dll*, de esta forma:
Inicio > Ejecutar > regsvr32 CAPICOM.DLL
4. Reinicia Internet Explorer 7 y comprueba si funciona ahora el certificado para la firma digital.
Yo tuve problemas con el certificado en el Vista -que anulé- cargando el XP. Una vez esto, solicité el certificado, que me es reconocido en cualquier página oficial. Peeerooooo, cuando en operaciones con el Tesoro, debo firmar.... ¡que si quieres arroz!, me descargué el Java -siguiendo las instrucciones del pdf, ¡pero ni por esas!. No hay forma de poder firmar.
Saludos, MR.
Hola Enrique.
Llevo unos días intentando renovar mi certificado de la FNMT, desde IE 7 y WIndows Vista. He enviado la petición y tengo el código para descargar el certificado, pero no hay manera.
He seguido tus indicaciones y he utilizado el MS UAS, pero obtengo una ventana que indica 'Ha ocurrido un error tratando de descargar el certificado'.
Mirando el código fuente de la pág. web vemos que dicho mensaje se produce cuando falla alguna de las siguientes llamadas:
Enroll.acceptPKCS7("MIIFaQYJKoZIhvcNAQcCoIIFWjC ...
ó
Enroll.acceptPKCS7("MIIFa....
Cuando el sistema NO es W95, tenemos que ... object id='Enroll' classid='clsid:127698e4-e730-4e5c-a2b1-21490a70c8a1' codebase='http://www.cert.fnmt.es/content/pages_std/ficheros_apps_usuarios/xenroll.cab' ...
Dicho cab contiene la dll xenroll.dll. ¿Puede haber alguna incompatibilidad entre dicha dll y algún servicio de Windows Vista??
Saludos
Estimado Enrique:
He conseguido entrar con mi certificado en la junta de andalucia para sellar pero cuando voy a confirmar me sale una ventana que dice: cargando applet... y a continuacion me sale una ventana donde se supone que tengo que elegir mi certificado de los que tengo en el ordenador. Cual es mi sorpresa cuando veo que solo sale el certificado de mi padre y no el mio. ¿Por qué, si anterior mente me a detectado el mio y salen todos mis datos ?
Enrique, he exportado un certificado 2ca de un pc con xp, y al intentar instalarlo en un portatil con vista, me lo instala en el almacen otras personas a pesar de que selecciono almacen personal, y no me deja quitarlos de este almacen otras personas, ni me deja instalarlo en el almacen personal.
Hola. Si no se instala en el almacén Personal puede ser por varios motivos:
a) porque el certificado no tiene una clave privada asociada.
b) porque se exportó junto a otros certificados
c) porque no se importa con el formato correcto.
Soluciona cualquiera de estos problemas y tiene que funcionar.
Hola! Mirando en internet como solucionar mi problema con el certificado he llegado a este blog.
Te comento. Hace meses tuve que formatear mi PC e hice una copia de seguridad de mi certificado. Ahora necesito volver a instalarlo y siguiendo tus pasos y los del asistente me quedo en el primero, porque al examinar el archivo y adjuntarlo (pfx) me dice que el tipo de archivo no es reconocible. Y eso que pensé que el problema iba a ser recordar la clave..no se si el blog está aun activo. Podrías ayudarme??? Gracias. Ana.
Hola, Ana.
¿El certificado que deseas importar tiene extensión .PFX?
Si es así, es posible que la exportación no se hiciera correctamente, o bien se ha dañado el archivo. Sigue al pie de la letra los pasos que indico en el apartado Importación del certificado. Si sigue dando el mismo error, la única solución es exportarlo de nuevo (si es posible), o pedir un certificado nuevo.
Hola Enrique, gracias por tus aclaracion!
Aún así a mi no me funciona la descarga y sospecho que es porque después de realizar la petición creo que volví a dejar como estavan las opciones de seguridad. Para descargarlo he vuelto a modificarlas pero siempre al final me da el mensaje " Se ha producido un error al descargar el certificado".
Que se te ocurre que pueda hacer? Es mejor volver a hacer la solicitud (no modificar la segurudad) y anular la actual?
Vuélvete a leer el artículo y sigue al pie de la letra las indicaciones que doy para descargar el certificado digital.
Publicar un comentario en la entrada