El Blog de Enrique Cortés

martes, 21 de septiembre de 2010




¿Qué es un certificado digital?


Un certificado digital es un documento electrónico que puede ayudarte a identificar al propietario de un sitio web y a tomar decisiones sobre la confianza que merece el sitio con respecto a la información personal o financiera. Los certificados son emitidos por entidades emisoras de certificados cuya responsabilidad es confirmar la identidad de la organización o del propietario del sitio web. Por tanto, es como un documento de Identidad que te permite identificarte, firmar y cifrar electrónicamente documentos y mensajes. Sus principales aplicaciones son:


• Autentificar la identidad del usuario, de forma electrónica, ante terceros.
• Realizar trámites electrónicos ante la Agencia Tributaria, la Seguridad Social, las Cámaras y otros organismos oficiales.
• Trabajar con facturas electrónicas.
• Firmar digitalmente correo electrónico y todo tipo de documentos.
• Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

Existen muy diversos tipos de certificados digitales, los cuales proporcionan la identificación y el cifrado del sitio web que permiten garantizar conexiones seguras. Uno de los más importantes para poder comunicarnos de forma segura con los organismos públicos, como la Agencia Tributaria, la Seguridad Social, y otros organismos de la Administración Central, Local o Autonómica, es el certificado emitido por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM) que son certificados de la Clase 2 CA. En este artículo explico, de forma detallada, todo el procedimiento que debes seguir en Windows 7 con Windows Internet Explorer 8 ó 9 para obtener y utilizar un certificado de la FNMT. Debes tener en cuenta que la parte del proceso de obtención del certificado, hasta que pueda ser utilizado, debe realizarse en el mismo equipo y en el mismo navegador, es decir, los procesos de solicitud e instalación del certificado. Una vez ya esté listo para ser utilizado, puedes exportarlo como copia de seguridad y usarlo en otros equipos con otros sistemas y navegadores.

Podemos dividir todo el proceso en varios capítulos:

• Configuración
• Solicitud
• Registro
• Descarga e instalación
• Exportación
• Importación
• Uso en línea
Antes de iniciar los procesos de solicitud, descarga e instalación del certificado de la FNMT en Windows 7, es necesario preparar el entorno operativo para evitar cualquier complicación imprevista, es decir tomar las medidas de seguridad idóneas que nos eviten problemas y errores. Seguiremos este proceso de configuración:

A) Actualización del Sistema Operativo
Antes que nada, es importante tener el sistema actualizado con las últimas actualizaciones de seguridad de Microsoft. Aunque tengas Windows 7 configurado para recibir e instalar automáticamente dichas actualizaciones, no está de más echar un vistazo: accede al apartado Windows Update (Inicio > Todos los programas > Windows Update) y pulsa en Buscar actualizaciones. Cuando termine la búsqueda, descarga e instala las actualizaciones de seguridad recomendadas. Si es necesario, reinicia el sistema (Figura 1):

(Figura 1)



B) Desinstalación de IE9 Beta

Si tienes instalada cualquier versión preliminar de Internet Explorer 9 (IE9 Beta ó IE9 RC) es totalmente aconsejable desinstalarla para llevar a cabo los procesos de solicitud e instalación del certificado digital, que deben realizarse en una versión estable del navegador. Aunque podría funcionar con IE9 Beta, no es nada recomendable. La versión beta de Internet Explorer 9 es un software que todavía está en fase de desarrollo. El término "beta" significa que el software todavía está siendo sometido a pruebas y no se aconseja instalar en sistemas de producción. Lógicamente, los certificados digitales se instalan en sistemas de producción.

Para desinstalar IE9 Beta en Windows 7 sigue estos pasos:

1. Pulsa en el botón Inicio.
2. Escribe Programas en el cuadro de búsqueda y, a continuación, pulsa en Programas y características
del Panel de control.
3. Pulsa en
Ver actualizaciones instaladas.
4.
Pulsa con el botón secundario en Windows Internet Explorer 9 y, a continuación, pulsa en Desinstalar (Figura 2). Cuando aparezca la pregunta, haz clic en .
5. Por último, reinicia el sistema para finalizar el proceso de desinstalación de Internet Explorer 9 y restaurar la versión anterior de Internet Explorer.

Al reiniciar el sistema, obtendrás de nuevo la versión estable de Internet Explorer 8.



(Figura 2)


Cuando el certificado personal de la FNMT se haya instalado correctamente y esté en perfectas condiciones de uso, podrás volver a instalar, si lo deseas, la versión Beta de Internet Explorer 9.



C) Instalación del Hotfix 2078942 de Microsoft


Es absolutamente necesario instalar esta actualización de Microsoft en Windows 7 antes de proceder a la solicitud del certificado de la FNMT. Sin esta actualización es más que probable que se produzca un error. El problema, que no es específico de la FNMT, afecta a todos los equipos con Windows 7 que incluyan un mecanismo de "enrollment". Como consecuencia, el control de solicitud de certificados (CertEnroll) no funciona con Internet Explorer 8 en equipos que ejecutan Windows 7 cuando se incluye en un elemento FRAME o IFRAME en la página web, que es el caso de la página de la FNMT. Tienes más información sobre este problema en el blog de desarrolladores MSDN de Microsoft:


Para resolver esta situación, instala el hotfix 322891 relacionado con el artículo de la Knowledge Base 2078942 de Microsoft, mientras la entidad de certificación (FNMT) no actualice sus páginas teniendo en cuenta ciertas recomendaciones (tal como se indica en el blog de MSDN), y mientras Microsoft no lo incluya en el próximo service pack para Windows 7:

Sigue este procedimiento para instalar el Hotfix 322891:

1. Pulsa en el siguiente enlace para solicitar el citado Hotfix:
2. Acepta los términos de la licencia que aparecen en pantalla
3. Elige el paquete adecuado para instalar según tu versión de Windows 7. Las opciones son:

**Windows 7/WindowsServer 2008 R2 (x86) – Para Windows 7 de 32 bits
**Windows 7/WindowsServer 2008 R2 (x64) – Para Windows 7 de 64 bits
**Windows 7/WindowsServer 2008 R2 (ia64) – Para Arquitectura Intel (Intel Itanium) de 64 bits

Seguramente, el sistema detectará la versión de tu sistema operativo y te ofrecerá la opción directamente.
4. Propociona tu dirección de correo electrónico, escribe los 6 caracteres que se muestran en la imagen, y pulsa en Solicitar revisión.
5. Microsoft te enviará un email con el enlace para descargar el paquete. En dicho correo también se te enviará una contraseña para poder instalarlo. En la mayoría de los casos, se recibe el mensaje antes de que pasen cinco minutos. Sin embargo, debido a irregularidades en algunos sistemas de entrega de correo electrónico esta recepción puede retrasarse. El correo será enviado por la cuenta "hotfix@microsoft.com". Si estás usando algún tipo de filtro de correo no deseado, se recomienda que agregues el dominio "hotfix@microsoft.com” y “microsoft.com” a la lista de elementos de correo electrónicos seguros. Esto evitará que tu correo sea enviado a la carpeta de correo electrónico no deseado.
6. Una vez recibido el correo electrónico, descarga el hotfix en el Escritorio.
7. Crea una carpeta nueva llamada Hotfix_322891, y ejecuta el Hotfix para descomprimir los archivos en ella, utilizando la contraseña que te han enviado en el correo electrónico.
8. Por último, ejecuta el archivo MSU que se halla en la carpeta para instalar la revisión. No es necesario reiniciar (Figura 3):


(Figura 3)



D) Instalación de las librerías CAPICOM

CAPICOM
es un control ActiveX o una librería (según el caso) de Microsoft que proporciona una interfaz COM para Microsoft CryptoAPI (también llamada Cryptographic Application Programming Interface). CAPICOM permite usar un conjunto de funciones de CryptoAPI para permitir a los desarrolladores de aplicaciones incorporar de forma sencilla la funcionalidad de firma digital y encriptación en sus aplicaciones. Debido a que utiliza COM, los desarrolladores de aplicaciones pueden acceder a esta funcionalidad en una serie de entornos de programación tales como Microsoft Visual Basic, Visual Basic Script, Active Server Pages (ASP), Microsoft JScript, C + +, Delphi, Java, PHP y otros.

CAPICOM se puede empaquetar como un control ActiveX, para ser instalado en los navegadores y permitir a los desarrolladores Web utilizarla en aplicaciones basadas en Web (ASP, PHP, etc.). Además, CAPICOM cuenta con un SDK (kit de desarrollo de software o Software Development Kit) con las librerías necesarias para que sea usado por lenguajes de programación para desarrollar aplicaciones de escritorio.

De esta forma, con CAPICOM podremos implementar la utilidad de uso de certificados digitales en nuestras aplicaciones casi sin esfuerzo, pues todas las funciones necerias para el acceso a estos certificados ya están implementadas y listas para ser usadas.

Sin embargo, en Windows 7, CAPICOM no hubiera sido necesario instalarlo, ya que todas las funciones desempeñadas por CAPICOM pueden ser sustituidas por .NET Framework, que ya se instala mediente Windows Update. El problema viene cuando todavía muchas aplicaciones Web que trabajan con certificados digitales, llaman a CAPICOM, y si estas librerías no están instaladas, se producen errores con los certificados. Por esta razón, aconsejo instalar CAPICOM en Windows 7 de forma independiente a .NET Framework.

Para instalar y poder utilizar CAPICOM, sigue estos pasos:

1. Descarga el ejecutable CAPICOM 2.1.0.2 desde este enlace

2. Desactiva el Control de Cuentas de Usuario (UAC). Para ello, desde el menú Inicio, escribe msconfig en el cuadro de búsqueda y, a continuación, pulsa en msconfig.exe. En el cuadro de Configuración del sistema pulsa en la pestaña Herramientas y marca Cambiar configuración de UAC. Pulsa en Iniciar y se abrirá la ventana de configuración de UAC. Sitúa el control deslizante abajo de todo (No notificarme nunca) y pulsa Aceptar. No reinicies el sistema todavía.

3. Ejecuta el archivo Capicom_2.1.0.2_FNMT_RCM descargado para instalar la aplicación, y reinicia el sistema (Figura 4).

4. Después de reiniciar, registra la librería Capicom.dll, de la siguiente manera: desde el menú Inicio, escribe el siguiente comando en el cuadro de búsqueda y, a continuación, pulsa Enter:

**a) en Windows 7 de 32 bits: regsvr32 %windir%\System32\capicom.dll
**b) en Windows 7 de 64 bits: regsvr32 %windir%\SysWOW64\capicom.dll

Finalmente, aparecerá un mensaje de confirmación que debes aceptar. De esta forma, tendremos disponible CAPICOM y se podrá utilizar para firmar datos y código digitalmente, comprobar firmas digitales, proteger la privacidad de datos, hacer hash de datos y cifrar y descifrar datos, entre otras aplicaciones.


(Figura 4)



E) Instalación/Actualización de los certificados raíz en Internet Explorer
La FNMT-RCM pertenece a los Miembros del Programa de certificados Raíz de Windows (Programa creado por Microsoft). Debido al cambio en la forma de trabajo de Microsoft con los certificados raíz de las entidades de certificación y a la creación del mencionado programa, los certificados raíz han pasado a instalarse a través de actualizaciones de seguridad. A partir de Windows Vista, y por tanto también en Windows 7, los certificados emitidos por las Entidades de certificación raíz de confianza se instalan de forma automática en el explorador de Internet al acceder online a las citadas entidades.
Cuando visitas un sitio Web seguro (HTTPS usando SSL), o lees un correo electrónico seguro, o descargas un control ActiveX firmado digitalmente, y se encuentra un nuevo certificado raíz en el sitio, el software de verificación de cadena de certificados de Windows comprueba la Actualización de Microsoft y si aparece ese certificado raíz, se descarga e instala en el navegador de forma automática y transparente para el usuario (Figura 5).
No obstante, se recomienda que los sistemas que ejecutan Windows cliente en entornos desconectados (por ejemplo, cuando el mecanismo de actualización automática no funciona, ya que la conectividad a Microsoft Update no está disponible) instalen el paquete de actualización de certificados raíz. El paquete de actualización se instalará en Windows Vista y Windows 7 como una solución en entornos desconectados, pero no se recomienda en sistemas que tienen conectividad de red con Microsoft Update.
Se puede descargar e instalar la última actualización de esta lista (22 de octubre de 2010) desde este enlace:

Más información sobre el Programa de Miembros de Certificados Raíz:


(Figura 5)



F) Configuración de seguridad en Internet Explorer 8
Para empezar, es importante partir desde una configuración predeterminada de seguridad en IE8. De forma predeterminada, Internet Explorer está configurado para proporcionar un nivel de seguridad que puede protegerte de las amenazas más corrientes cuando se explora Internet, como spyware u otros tipos de código malintencionado. Esta configuración puede ayudarte a protegerte de amenazas de seguridad conocidas, como sitios web que instalan complementos u otros programas sin tu conocimiento. No obstante, para poder llevar a cabo todo el proceso de solicitud e instalación de las claves pública y privada en el sitio web de la FNMT sin ningún tipo de complicaciones, debes otorgarle al sitio un nivel de seguridad adecuado que te evite problemas. Para adoptar esta configuración especial de Internet Explorer, sigue este proceso completo:


1. Desactiva el Control de Cuentas de Usuario (UAC) si está activado. Para ello, desde el menú Inicio, escribe msconfig en el cuadro de búsqueda y, a continuación, pulsa en msconfig.exe. En el cuadro de Configuración del sistema pulsa en la pestaña Herramientas y marca Cambiar configuración de UAC. Pulsa en Iniciar y se abrirá la ventana de configuración de UAC. Sitúa el control deslizante abajo de todo (No notificarme nunca) y pulsa Aceptar (Figura 6). Ahora debes reiniciar el sistema para implementar los cambios.


(Figura 6)


2. Restablece la configuración predeterminada de IE8, con lo cual éste volverá al estado en el que se encontraba cuando se instaló en el equipo por primera vez. Para llevarlo a cabo sigue estos pasos:

1. Cierra todas las ventanas de Internet Explorer y del Explorador de Windows que tengas abiertas.
2. Abre Internet Explorer.
3. Pulsa en el menú Herramientas y, a continuación, en Opciones de Internet.
4. Pulsa en la pestaña Opciones avanzadas y, a continuación, en Restablecer.
5. Selecciona la casilla Eliminar configuración personal si deseas quitar datos del historial de exploración, de proveedores de búsquedas y de aceleradores, de páginas principales y de filtrado InPrivate.
6. En el cuadro de diálogo Restablecer configuración de Internet Explorer, pulsa en Restablecer.
7. Cuando Internet Explorer termine de restaurar los valores predeterminados, pulsa en Cerrar y, a continuación, en Aceptar.
8. Cierra Internet Explorer. Los cambios surtirán efecto la próxima vez que abras Internet Explorer.

Para más información sobre el restablecimiento de la configuración original de IE8, puedes consultar el siguiente artículo:


3.
Establece la configuración de seguridad específica para el sitio Web. Abre Internet Explorer 8 y pulsa en Herramientas > Opciones de Internet > Seguridad.

• Pulsa en Sitios de Confianza.
• Desplaza el control deslizante hacia abajo hasta seleccionar nivel Bajo.
• Pulsa en el botón Sitios.
• En la parte inferior, desmarca la opción Requerir comprobación del servidor (https://) para todos los sitios de la zona.
• En el cuadro de texto Agregar este sitio Web a la zona agrega las siguientes direcciones URL:



pulsando en Agregar para cada dirección URL. Por último, pulsa en Cerrar.

• Pulsa ahora en Nivel personalizado y habilita las siguientes opciones de configuración para estas URLs en el apartado Controles y complementos de ActiveX:

1. Comportamiento de binarios y de scripts
2. Descargar los controles ActiveX firmados.
3. Descargar los controles ActiveX sin firmar.
4. Ejecutar controles y complementos de ActiveX.
5. Generar scripts de los controles ActiveX marcados como seguros para scripts.
6. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
7. Pedir intervención del usuario automática para controles ActiveX

8.
Permitir que todos los controles ActiveX no usados anteriormente se ejecuten sin preguntar.

9.
Permitir scriptlets.


• Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes aceptar.
• Pulsa, a continuación, en el icono Internet de la pestaña Seguridad.
• Desplaza el control deslizante hacia abajo, hasta seleccionar nivel Medio.
• Pulsa en Nivel personalizado y busca en el apartado Controles y complementos de ActiveX la opción:


Inicializar y generar scripts de los controles de activeX no marcados como seguros para scripts. Marca esta opción en Preguntar.

• Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes aceptar.
• Pulsa, a continuación, en la pestaña
Opciones avanzadas
• En el cuadro Configuración, accede al apartado Examinar y desmarca la casilla de verificación Habilitar extensiones de explorador de terceros.
• Por último, pulsa Aplicar y Aceptar.
• Cierra Internet Explorer para que se apliquen los cambios



A partir de este momento, ya puedes solicitar tu certificado personal. Para obtener el certificado necesario y poder utilizar los servicios de firma digital, debes solicitarlo en la página web de la Fábrica Nacional de Moneda y Timbre, www.cert.fnmt.es
Inicia Internet Explorer 8 y accede a la citada página web, www.cert.fnmt.es, y pulsa en Obtenga el CERTIFICADO de usuario en la parte superior derecha de la misma. Antes de iniciar el proceso de solicitud, es conveniente leerse la Declaración de Prácticas de Certificación.

Nota:
es muy importante desactivar cualquier antivirus, firewall de terceros y cualquier otro programa de seguridad (antispyware, antimalware, antipop-ups...) que esté iniciado, antes de proceder a la solicitud del certificado. Desactiva estos programas desde la bandeja de sistema (al lado del reloj).


A continuación, pulsa en Solicitud vía internet de su Certificado y se mostrará la página para que introduzcas tu NIF, tal como se muestra en esta imagen (Figura 7):


(Figura 7)


Introduce tu NIF en la casilla y pulsa en Enviar petición. Automáticamente, te aparecerá en pantalla un mensaje de confirmación de acceso web para realizar una operación de certificado digital en tu nombre, tal como aparece en la imagen (Figura 8):


(Figura 8)


Pulsa en Sí. Te aparecerá inmediatamente el código de la solicitud. Imprime esta página, o en su defecto apunta este código, y guárdalo en lugar seguro. Lo necesitarás para acabar de cumplimentar la solicitud en la oficina de registro, y también para la descarga de tu certificado una vez se haya generado.



Acreditación de la identidad en una Oficina de Registro

Con el código de solicitud obtenido en el paso anterior, deberás personarte físicamente en una oficina de registro para acreditar tu identidad, por ejemplo en cualquier delegación de la Agencia Tributaria. La documentación a presentar será:


• el DNI o tarjeta de residencia (NIE)
• el código de solicitud del certificado

En la Oficina de Registro te validarán el código y deberás firmar por triplicado el documento de "Solicitud de Certificado". Si dispones de una dirección de correo electrónico válida, puedes facilitarla para que te envíen la confirmación de solicitud. Una vez recibida la confirmación (que suele ser al cabo de unas 24-48 horas) de que se ha procesado correctamente la solicitud, ya puedes descargar el certificado digital desde el sitio web.



Descarga e instalación del certificado digital

Antes que nada, es muy importante asegurarse que la configuración del sistema y de seguridad de IE8 no se haya modificado desde que se realizó la solicitud. Accede de nuevo a la página web de la FNMT,
www.cert.fnmt.es, y pulsa en Obtenga el CERTIFICADO de usuario en la parte superior derecha de la misma. A continuación, pulsa en Descarga de su Certificado de Usuario. En el formulario que aparece, escribe el NIF y el código de solicitud ya validado y pulsa en Enviar petición, tal como se aprecia en la imagen (Figura 9):


(Figura 9)


Al cabo de unos instantes, si no hay ningún problema, se descargarán e instalarán de forma automática dos certificados:

• Certificado AC RAIZ FNMT-RCM, que se instala en el almacén Entidades de certificación raíz de confianza
• Certificado personal a tu nombre, de la FNMT, que se instala en el almacén Personal

y te aparecerá la página conforme se ha instalado con éxito tu certificado (Figura 10):


(Figura 10)


Para comprobar que ambos certificados se han instalado de forma correcta en IE8, accede al menú Herramientas > Opciones de Internet > Contenido > Certificados. En la pestaña Personal, observa que aparece tu certificado instalado. Pulsa en Ver y observa, en la pestaña General, que aparece el dibujo de una llave con el enunciado Tiene una clave privada correspondiente a este certificado. Pulsa ahora en Aceptar para cerrar la ventana, y pulsa en Opciones avanzadas. En esta ventana, marca todos los propósitos que aparecen disponibles para este certificado digital, y de nuevo pulsa Aceptar.
Seguidamente, pulsa en la pestaña Entidades de certificación raíz de confianza, y entre las entidades de confianza debe aparecerte el certificado AC RAIZ FNMT-RCM (o bien FNMT Clase 2 CA). Selecciónalo y pulsa en Opciones avanzadas. En esta ventana, marca todos los propósitos que aparecen disponibles para este certificado digital, y de nuevo pulsa en Aceptar y Cerrar.

Si todo esto es correcto, ya sólo te queda comprobar que funcione el certificado vía online, y crear una copia de seguridad del mismo.

Nota: La sola instalación del certificado de la FNMT de forma automática NO ES SUFICIENTE SEGURIDAD para el usuario. Es necesario que protejas la clave privada mediante contraseña para que sólo tú puedas acceder a tu información privada a través de Internet. Si no proteges el certificado, cualquiera podrá utilizarlo en tu nombre. Para protegerlo antes de su uso, debes realizar una exportación del mismo, en un archivo de copia de seguridad, y acto seguido volverlo a importar al navegador. En este proceso exportación/importación la clave privada se protege mediante una contraseña. Para saber cómo hacerlo, lee los apartados Copia de seguridad del certificado de la FNMT e Importación del certificado de la FNMT de este artículo.


Restablecimiento de la seguridad en el sistema e Internet Explorer


Una vez descargado el certificado de la FNMT, y comprobado que se halla correctamente instalado en el almacén Personal de certificados, es necesario revertir la configuración de seguridad de Internet Explorer a los niveles recomendados:

En primer lugar, vuelve a activar el Control de Cuentas de Usuario (UAC) deshaciendo los pasos anteriores y reinicia el sistema para implementar los cambios.

Abre Internet Explorer y restablece la seguridad predeterminada: pulsa en Herramientas > Opciones de Internet > Seguridad, y haz clic en Restablecer todas las zonas al nivel predeterminado. Pulsa Aplicar y Aceptar para cerrar el cuadro de diálogo.

Activa de nuevo los programas que habías deshabilitado anteriormente desde la bandeja de sistema, especialmente los programas de protección contra software no deseado y de protección antivirus.




Copia de seguridad del certificado de la FNMT

Una vez instalado el certificado y verificado que se halla en el almacén Personal, es necesario realizar una copia de seguridad del mismo. De esta forma, cuando realices de nuevo la importación de este archivo de copia de seguridad al navegador, habrás protegido el certificado y su clave privada asociada mediante contrtaseña, para que sólo tú puedas utilizarlo. Además, con este archivo de exportación podrás instalarlo en cualquier otro equipo y en cualquier otra versión de Internet Explorer, o volverlo a instalar si te ves obligado a formatear el sistema. Para realizar la exportación, sigue este procedimiento:

1. Pulsa en Inicio. En el cuadro de búsqueda escribe certmgr.msc y pulsa Enter.
2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
3. En el Administrador de Certificados de Usuario, pulsa en Personal > Certificados. En el panel de la derecha, aparecerá tu certificado de la FNMT, tal como muestra la imagen siguiente (Figura 11):



(Figura 11)


4. Selecciona el certificado y pulsa en el menú Acción > Todas las tareas > Exportar.
5. En el Asistente para exportación de certificados, pulsa Siguiente y marca la opción Exportar la clave privada, tal como muestra la figura (Figura 12):



(Figura 12)


De forma predeterminada, la protección de alto nivel (también conocida como iteration count) está habilitada en el Asistente para exportación de certificados cuando se exporta un certificado con su clave privada asociada. La protección segura no es compatible con algunos programas, por lo que deberás desactivar la casilla Permitir protección segura si utilizas la clave privada con algún programa que no sea compatible con la protección segura.

6. En la siguiente pantalla, elige el formato de exportación: Intercambio de información personal: PKCS #12 (.PFX). Seguramente aparecerá ya marcada esta opción por defecto al tratarse de un certificado con una clave privada exportable. De las tres casillas que siguen, marca únicamente Exportar todas las propiedades extendidas (Figura 13). Pulsa Siguiente:


(Figura 13)



7. En el siguiente cuadro, escribe una contraseña para la clave privada, confírmala y pulsa Siguiente.
8. A continuación, especifica una ruta y un nombre de archivo para la copia de seguridad, como muestra la imagen (Figura 14):



(Figura 14)


9. Pulsa en Siguiente y en Finalizar. La exportación ya se ha completado. Es muy importante guardar esta copia en un lugar seguro, como un disquete, o una unidad de almacenamiento.

Nota sobre los formatos de archivo de los certificados: Las operaciones de importación y exportación de certificados admiten cuatro formatos de archivo:
1. Intercambio de información personal (PKCS #12). El formato Intercambio de información personal (PFX, también denominado PKCS #12) admite el almacenamiento seguro de certificados, claves privadas y todos los certificados en una ruta de certificación. El formato PKCS #12 es el único formato de archivo que se puede usar para exportar un certificado y su clave privada.
2. Estándar de sintaxis de cifrado de mensajes (PKCS #7). El formato PKCS #7 admite el almacenamiento de certificados y todos los certificados en la ruta de certificación.
3. DER binario codificado X.509. El formato de reglas de codificación distinguible (DER) admite el almacenamiento de un certificado único. Este formato no admite el almacenamiento de la clave privada o la ruta de certificación.
4. X.509 codificado base 64. El formato Base64 admite el almacenamiento de un certificado único. Este formato no admite el almacenamiento de la clave privada o la ruta de certificación.




Para incorporar un certificado personal expedido por la FNMT a un equipo nuevo, y que tienes guardado en una copia de seguridad, debes proceder de la siguiente manera:
1. Pulsa en Inicio. En el cuadro de búsqueda escribe certmgr.msc y pulsa Enter.
2.
Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
3.
En el Administrador de Certificados de Usuario, selecciona la carpeta Personal y pulsa en Acción > Todas las tareas > Importar. Se ejecutará el Asistente para importación de certificados. Pulsa Siguiente.
4. En Nombre de archivo, pulsa en Examinar y localiza la ruta donde tienes el archivo de copia de seguridad. En la parte inferior de la ventana, elige el formato de archivo: Intercambio de información personal (*.pfx;*.p12) y localiza en la carpeta la copia del certificado. Pulsa Siguiente (Figura 15):



(Figura 15)


5. En el siguiente cuadro de diálogo, debes escribir la contraseña de la clave privada (la misma que pusiste al realizar la copia de seguridad) y marca las tres casillas de verificación:

• Habilitar protección segura de clave privada
• Marcar esta clave como exportable
• Incluir todas las propiedades extendidas

Pulsa Siguiente (Figura 16):


(Figura 16)


6. A continuación, elige Colocar todos los certificados en el siguiente almacén. Pulsa en Examinar y elige el almacén Personal. Pulsa en Siguiente y en Finalizar.
7. Inmediatamente te aparecerá un cuadro de diálogo para crear un elemento protegido mediante CryptoAPI, cuyo nivel de seguridad por defecto es medio (Figura 17):



(Figura 17)


8. Pulsa en Nivel de seguridad y elige el nivel Alto para establecer una contraseña. Esto es muy importante para que nadie pueda acceder a datos confidenciales usando tu certificado. Pulsa Siguiente y establece una contraseña para el elemento protegido (Figura 18):


(Figura 18)


9. Por último, pulsa en Finalizar y en Aceptar. La importación del certificado con su clave privada se habrá completado de forma correcta (Figura 19):


(Figura 19)




La utilización del certificado de la FNMT en línea es muy sencillo. Como ya he mencionado, antes de utilizar el certificado digital es necesario protegerlo mediante contraseña, utilizando para ello la exportación y la importación, ya que la simple instalación automática no protege la clave privada. Accede a un sitio web seguro de la Administración, o de la Seguridad Social, por ejemplo, para solicitar una información o descargar un archivo que requiera certificado digital. En primer lugar aparecerá una ventana emergente solicitando identificación mediante firma digital, tal como muestra la imagen siguiente (Figura 20):


(Figura 20)


Elige el certificado, si tienes más de uno, y pulsa Aceptar. A continuación, te solicitará permiso para usar la clave privada. Pulsa en Conceder permiso y escribe la contraseña de la clave privada (Figura 21):


(Figura 21)


Pulsa Aceptar, e inmediatamente tendrás acceso a tu información confidencial.







Nota: todo lo comentado en este artículo, con la consiguiente obtención y uso del certificado de la FNMT, se ha llevado a cabo en un equipo de sobremesa con Windows 7 Ultimate RTM 64 bits e Internet Explorer 8. Todo este proceso será igualmente válido, en principio, para Internet Explorer 9 cuando sea lanzada la versión final (RTW). La información de este artículo se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

*

*

*

No hay comentarios: