Servicios de Certificación de la Fábrica Nacional de Moneda y Timbre: Certificadosde clase 2 CA

• Autor: José Luis Ferrer Gomila
• Cargo: Profesor Titular de Ingeniería Telemática
• Páginas: 70-81

En esta sección se presenta el servicio de certificados de Clase 2 CA que proporciona la Fábrica Nacional de Moneda y Timbre (FNMT)[1]. Empezare-mos con las características y requisitos técnicos para poder ser usuarios de este servicio, y posteriormente describiremos la operativa para obtener este tipo de certificados.En apartados siguientes se abordará la descripción de servicios relacionados, como son la revocación y renovación de los certificados. Finalmente se presentará la opción de utilizar la tarjeta inteligente de la FNMT como soporte para almacenar la clave privada de firma del usuario.

1. Características y requisitos técnicos

   El tipo de registro para este tipo de certificados es presencial. Esto significa, como se detallará más adelante, que en una etapa del proceso de obten-ción del certificado, el usuario deberá personarse en una oficina de la Administración Pública (de las que se expondrán algunos ejemplos). Esta identifica-ción presencial, que a priori parece contradictoria con la electronificación de la Administración, es indispensable para realizar una vinculación de una clave pública de verificación de firma digital con la identidad del usuario poseedor del par de claves.

   El par de claves de criptografía asimétrica las genera el propio usuario a través de su navegador (el cual debe cumplir unas condiciones técnicas que se expondrán a continuación). El par de claves generado servirá tanto a efectos de firma digital como para conseguir la confidencialidad de las comunicaciones (en otros certificados que expide la FNMT se genera un par de claves específico para cada servicio). No se imponen restricciones para la longitud mínima de la clave, y ésta, como primera opción, queda almacenada en el disco duro del ordenador del usuario. Los programas de gestión del servicio de certificación son de tipo comercial.

   Por lo que ser refiere a los requisitos técnicos del navegador que debe utilizar el usuario, la FNMT permite el uso de los siguientes navegadores (a efectos del correcto funcionamiento de este tipo de certificados):

   · Netscape Navigator versión 4.06 o posterior, a excepción de la versión 4.60, versiones 6.0 y posteriores, que se ejecuten sobre un sistema operativo de al menos 32 bits.

   · Microsoft Internet Explorer versión 4 o posterior sobre Win32 (Windows 95 - Windows 98 - Windows NT - Windows 2000 - Windows Me). Los usuarios de Microsoft Internet Explorer cuyo nombre o apellidos contengan la letra 'Ñ', deberán solicitar el certificado con la Versión 5.0 de Internet Explorer.

2. Obtención de Certificados: Proceso general

   Los pasos que deben seguirse para obtener y poder utilizar un certificado de Clase 2 CA son los siguientes:

   1. Descarga del Certificado Raíz de la FNMT para Clase 2 CA

   2. Solicitud del Certificado de usuario vía web

   3. Acreditación de la identidad en las Oficinas de Registro

   4. Descarga del Certificado

   5. Copia de seguridad

   1. Obtención del certificado raíz clase 2 CA de la FNMT

      Para poder realizar la verificación de las firmas digitales es necesario disponer del certificado de clave pública del firmante. Y a su vez, para poder verificar la validez del certificado es necesaria la clave pública de la autoridad de certificación. Los navegadores convencionales llevan incorporadas las claves públicas (a través de un autocertificado) de autoridades de ámbito internacional. No es el caso de la FNMT, y por ello es necesario como paso previo a todo el proceso de firma digital, obtener el autocertificado de la FNMT. A continuación se describe el procedimiento para obtenerlo.

      Desde la página http://www.cert.fnmt.es/clase2/cert_raiz/cert_raizn.htm puede incorporarse al navegador el certificado raíz de clase 2 CA de la Fábrica Nacional de Moneda y Timbre. Es importante verificar que ningún impostor intente introducir su certificado en nombre de la FNMT, y es fácil contrastar si los datos del certificado recibido son los correctos (como se verá el navegador permite acceder a ellos durante el proceso de instalación). Los datos relevantes del certificado raíz de la FNMT son:

      Emisor: 'FNMT Clase 2 CA'

      Número de serie expresado en hexadecimal: '36:F1:1B:19'

      Huella digital expresada con el algoritmo MD5:

      '25: 9D: CF: 5E: B3: 25: 9D:95: B9: 3F: 00: 86: 5F: 47: 94: 3D'

      Fecha de caducidad: 18 de marzo del año 2019

      Los pasos que deben seguirse para la descarga del certificado son:

   1. Pulsar el hiperenlace 'Descarga del Certificado'.

   2. El navegador indica que va a recibirse el certificado de una nueva autoridad de certificación.

   3. Una vez recibido el certificado de la FNMT Clase 2 CA el navegador da la oportunidad de verificar la huella del certificado pulsando el botón 'Más información'. Pulsando este botón puede verse la información referente al certificado.

   4. Una vez cerrada la ventana anterior debe pulsarse el botón 'Siguiente' para continuar la instalación.

   5. El navegador entonces preguntará qué uso va a hacerse de esta autoridad de certificación. La FNMT recomienda que el usuario seleccione las tres opciones disponibles: aceptar la autoridad para la certificación de sitios de red, para la certificación de usuarios de coreo electrónico y para la certificación de programadores. A continuación debe pulsarse 'Siguiente'.

   6. En la siguiente pantalla se pide la confirmación (pulsando 'Siguiente').

   7. A continuación, debe teclearse el nombre con el que se quiere denominar a FNMT CA como autoridad de certificación. Se recomienda utilizar el nombre FNMT Clase 2 CA. Para finalizar la instalación, pulsar 'Terminar'

   2. Solicitud del certificado de usuario vía web

      En la página https://www.cert.fnmt.es/s-clase2/mainpeti.htm puede solicitarse el certificado de usuario. Al finalizar el procedimiento, se obtiene un código de solicitud del...