Obtener certificados de CERES – FNMT

7 respuestas

Aunque muchos usuarios de firma electrónica ya saben que la solicitud y obtención de certificados de CERES es algo más sencilla con el navegador Mozilla Firefox que con Internet Explorer 8 (especialmente en sistemas operativos Windows Vista y Windows 7),  teniendo en cuenta unas sencillas indicaciones (que el propio servicio CERES de la FNMT remite a los usuarios que experimentan algún problema y solicitan ayuda a través de los números 902181696 / 913463892 / 917040191) es posible gestionarlos adecuadamente en estos entornos.

Las indicaciones se recogen seguidamente y hay que seguirlas antes de solicitar el certificado.

El problema, que no es específico de la FNMT, sino que afecta a todos los PSC que incluyan un mecanismo parecido de «enrollment»,  aparece como consecuencia de que el  control de solicitud de certificados (CertEnroll) no funciona con Internet Explorer 8 en equipos que ejecutan Windows 7 cuando se incluye en un elemento FRAME o IFRAME en la página web, que es el caso de la página de la FNMT. Se explica en el blog de desarrolladores MSDN de Microsoft:  CertEnroll control won’t work when hosted inside a frame/iframe in IE8

La forma de resolverlo para los usuarios es descargar e instalar el hotfix 322891 relacionado con el artículo KB 2078942 de la Microsoft Knowledge Base o que la entidad de certificación prepare las páginas teniendo en cuenta ciertas recomendaciones (como se indica en el citado blog).

Al descargarse el parche, es preciso elegir el paquete adecuado para instalar. Las opciones son:

  • Windows 7/WindowsServer 2008 R2 (x86) – Para Windows 7 de 32 bits
  • Windows 7/WindowsServer 2008 R2 (x64) – Para Windows 7 de 64 bits
  • Windows 7/WindowsServer 2008 R2 (ia64) – Para Arquitectura Intel (Intel Itanium) de 64 bits

En el proceso hay que introducir una dirección de correo electrónico a la que se enviará un email con el enlace para descargar el paquete. En dicho correo también se le enviará la contraseña para poder instalar el paquete.

Después de instalar el hotfix hay que configurar el navegador (Internet Explorer) accediendo a la sección de opciones de menú siguientes: Herramientas/Opciones de Internet/Seguridad.

  • Pulsar en «Sitios de Confianza».
  • En el control de nivel de la izquierda, desplazar hacia abajo hasta seleccionar nivel «bajo». Si no aparece control de nivel hay que pulsar el botón «nivel predeterminado«
  • Pulsar en el botón «Sitios«.
  • Abajo, desmarcar la opción de «Requerir comprobación del servidor (https://) para todos los sitios de la zona»
  • En el cuadro de texto «Agregar este sitio Web a la zona»: hay que agregar las siguientes URLs http://*.fnmt.es y https://*.fnmt.es
  • Cerrar la ventana.
  • En el icono «Sitios de Confianza» pulsar botón Nivel personalizado y reducir los niveles de seguridad habilitando las siguientes opciones de configuración:
  1. Comportamiento de binarios y scripts
  2. Descargar los controles ActiveX firmados.
  3. Descargar los controles ActiveX sin firmar.
  4. Ejecutar controles y complementos de ActiveX.
  5. Generar scripts de los controles ActiveX marcados como seguros para scripting.
  6. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
  7. Permitir que todos los controles activeX no usados anteriormente se ejecuten sin preguntar.
  8. Permitir scriptlets.
  9. Preguntar automáticamente si se debe usar un control activeX
  • Pulsar en Aceptar, tras el que aparecerá un mensaje para confirmar que se deberá aceptar.
  • Aplicar y aceptar la última ventana.
  • Cerrar el navegador para que se apliquen los cambios.

Una vez instalado el parche y ajustados los parámetros es posible solicitar el certificado. Después de realizar la solicitud (y la instalación del certificado tras acudir a una de las entidades de registro), se puede volver a reestablecer las opciones de seguridad a un nivel más alto.

Hay más información en el sitio web de Microsoft.

Una alternativa para no usar la extensión de «Certificate enrollment» que suele ser fuente de problemas desde hace muchos años, en Albalia recomendamos a los PSC que generen directamente el fichero PKCS#12 con las claves y los certificados, de modo que el propio fichero ya es un respaldo (backup) para que los usuarios lo puedan guardar en un lugar seguro y además para que lo puedan importar con facilidad en diferentes navegadores.

Un ejemplo es la propia CA de pruebas que Albalia ha desarrollado y a la que ya he hecho mención en alguna ocasión. Los certificados de prueba generados por esta CA no tienen valor legal pero son muy útiles para experimentar.

7 comentarios en “Obtener certificados de CERES – FNMT

  1. Julian

    Respecto a esta parte de tu mensaje:

    «..Una alternativa para no usar la extensión de “Certificate enrollment” que suele ser fuente de problemas desde hace muchos años, en Albalia recomendamos a los PSC que generen directamente el fichero PKCS#12 con las claves y los certificados, de modo que el propio fichero ya es un respaldo (backup) para que los usuarios lo puedan guardar en un lugar seguro y además para que lo puedan importar con facilidad en diferentes navegadores..»

    habría que añadir: De ese modo las Autoridades emisoras de certificados pueden guardar copia de ese fichero PKCS#12 y suplantar a cualquier usuario que se les antoge ja ja

    No existe una alternativa correcta a la generación de par de claves en el equipo del cliente. Tu sabes mi admirado Inza que aun que se apueste por esa via que propones para facilitar al usuario, es completamente insegura para el ciudadano. Ni desarmar la seguridad del navegador del usuario ni tampoco la generación de PKCS#12 que tu propones para evitar dificultades..

    Firefox es la solución, aunque el hecho de que en Firefox no venga por defecto el certificado Raiz de la FNMT es un error imperdonable ;-D !!

    Responder
  2. MhBeyle

    El parcheo que te proponen desde la fnmt funciona sólo bajo ciertas configuraciones y lo peor de todo es que obligas a un usuario poco experto a invalidar ciertas áreas del sistema de seguridad del navegador y del propio sistema operativo, avisando de forma poco clara de que aquello ha de volver a sus sitio una vez descargado el certificado.

    Lo más seguro en todos los sentidos es descargar firefox 3/4 y solicitar el certificado desde allí.

    Responder
  4. Claudio

    Me podrian explicar mejor esto «Una alternativa para no usar la extensión de “Certificate enrollment” que suele ser fuente de problemas desde hace muchos años, en Albalia recomendamos a los PSC que generen directamente el fichero PKCS#12 con las claves y los certificados, de modo que el propio fichero ya es un respaldo (backup) para que los usuarios lo puedan guardar en un lugar seguro y además para que lo puedan importar con facilidad en diferentes navegadores.»
    Gracias por adelantadi.

    Responder
    1. inza Autor

      Es que en la generación de certificados con «enrollment», es el propio ordenador del usuario el que genera la pareja de claves pública-privada y envía la solicitud de certificado (CertReq o PKCS#10) al web del PSC. Ello exige cierto soporte criptográfico por parte del navegador, que accede a zonas de seguridad del ordenador. En general, Microsoft recomienda que no se pueda acceder a zonas de alta seguridad desde redes abiertas, y por eso hay que relajar los niveles de seguridad si se quiere que Windows 7 permita el proceso. No existen las mismas limitaciones si el enrollment se lleva a cabo en PKIs privadas, accediendo por intranet, en entornos considerados seguros. Por ese mismo motivo, dado que los iframes se pueden utilizar para dar la apariencia de páginas confiables a páginas externas que no lo son, no deberían ser utilizados por PSC legítimos.

      Hay dos alternativas:

      • Utilizar técnicas de diseño de páginas web de PSC «seguras»
      • Generar certificados en formato PKCS#12 en el servidor

      La segunda opción es considerada menos segura por algunas personas porque en el PKCS#12 se incluye la clave secreta, que se genera, por tanto, en el propio PSC. Sin embargo, la gran ventaja de este tipo de generación es que el PKCS#12 es directamente un formato de backup por lo que se puede custodiar de forma segura o instalar en otros ordenadores.

      Sin embargo, a la mayor parte de los usuarios les compensa el uso del PKCS#12 porque es mucho más sencillo de instalar en cualquier entorno y con cualquier navegador, y, a la larga acaba siendo más seguro por la propia operativa del usuario.

      En mi opinión, la FNMT debería dar dos opciones:

      • Permitir que los usuarios expertos puedan elegir, si lo desean, generar sus claves aceptando un nivel mayor de complejidad
      • Primar que los usuarios menos expertos puedan optar al sistema sencillo

      Puedes ver un ejemplo de como lo hacemos nosotros con los certificados de prueba.

      Responder
  6. davidp

    El tema de la generación de certificados FNMT desde explorer es una odisea. Cada mes hay que cambiar algo.

    Primero, el tener que aceptar componentes no firmados, después, aceptar los que no estén marcados como seguros… ahora el tema de los frames… (esto es nuevo).

    Si hay un problema para que el componente genere firmas dentro de un frame/iframe… en vez de hacer una FAQ nueva y de pedir a los usuarios que hagan mil virguerías… ¿no sería más sencillo que la FNMT dejara este proceso en una página sin frames?

    Responder

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.