Obtención e instalación de un nuevo certificado digital (con TC TrustCenter)

En esta segunda parte vamos a obtener un certificado digital nuevo para nosotros mismos.

Existen multitud de empresas dedicadas a la emisión y entrega de certificados digitales tanto a particulares como a grandes empresas. Posiblemente el ejemplo más conocido sea VeriSign.

Sin embargo, en este documento utilizaremos los certificados de TC TrustCenter. Se trata de una empresa alemana que ofrece certificados digitales para el propósito que se solicite (aunque a menor escala que las grandes empresas estadounidenses). Su política de privacidad es en mi opinión de más confianza (comparándola con la de VeriSign, por ejemplo), y además los certificados para particulares que utilizaremos son gratuítos.

 

Aviso que antes de comenzar deberíamos contar con unos pocos conocimientos del idioma inglés o alemán, o al menos un programa de traducción decente (si no contamos con ninguno, nos valdrá el servicio de traducción de Google). El proceso de petición de certificados sólo esta disponible en estos dos idiomas. Pero no será difícil.

También es necesario que durante todo el proceso, se permita la ejecución de scripts VisualBasic Script y JavaScript en el navegador. De lo contrario no será posible generar la clave privada ni recoger posteriormente el certificado.

 

Procedamos a solicitar nuestro certificado e instalarlo en nuestro ordenador.

  • Nos dirigimos a la dirección http://www.trustcenter.de/en/index.htm (yo voy a utilizar el idioma inglés). En la página principal de TrustCenter, en el menú superior seleccionamos "Products & Services" -> "TC Certificates".
  • En la página "TC Certificates", en el menú de la parte izquierda pulsamos en el enlace "TC Internet ID".
  • Aparecerá una página en la que se nos explican las características de este certificado en más detalle. Las revisamos para comprobar que son de nuestro gusto y pulsamos el enlace a la derecha: "Request Certificate".
  • En la siguiente página se nos informa de que debemos instalar los certificados de TrustCenter como empresa emisora de certificados para que nuestro nuevo certificado sea de confianza a ojos de Windows. Esto sólo es necesario si no hemos aplicado la "Actualización de Certificados Raíz" más reciente disponible en WindowsUpdate. Para continuar, pulsamos el enlace inferior: "To Registration: secure SSL conecction". Esto abrirá una nueva ventana de nuestro navegador.
  • Encontraremos un primer formulario que deberemos rellenar con nuestro nombre, apellidos, país y dirección de correo electrónico (Ojo, no se deben utilizar caracteres internacionales, como la Ñ, diéresis, tildes, etc...):

    Details contained in your certificate: En este formulario debemos introducir los datos que constaran en nuestro nuevo certificado.

     

  • El siguiente formulario, nos pedirá confirmar los datos introducidos en el paso anterior y nos solicitará una contraseña para poder revocar el certificado si llegara a ser necesario (en caso de pérdida o imposibilidad de uso de nuestra clave privada, por ejemplo). También escogeremos en este momento las opciones del certificado:
    • Private key protection: debemos activarla para que así se nos dé la oportunidad de elegir el nivel de protección para la clave privada (esto se verá más adelante). NO se debería desactivar, ya que la clave privada no tendría entonces ninguna protección.
    • Cryptographic service provider: Las opciones disponibles varían según nuestro navegador. Utilizando Internet Explorer 5.5 o superior escogeremos "Microsoft Enhanced Cryptographic Provider v1.0".
    • Private key exportable: debemos activarla para que se permita exportar la clave privada. De lo contrario únicamente podremos utilizarla en nuestra instalación actual de Windows; no podremos utilizarla en otra instalación ni en otro ordenador.

    Opciones de protección, generación y exportación de la clave privada.

     

  • Tras pulsar el botón "Generate key pair", el navegador nos advierte que se va a generar la clave privada de un nuevo certificado. Lo permitiremos pulsando Sí:

    Esta ventana nos advierte que un sitio web solicita crear las claves para un nuevo certificado. Pulsaremos SI para permitirlo.

     

  • Comienza la generación de la clave privada. Si anteriormente hemos activado la opción "Private Key Protection", una nueva ventana nos informa otra vez más de tal acontecimiento. Aquí tendremos la oportunidad de elegir el nivel de seguridad para nuestra nueva clave privada. Conviene pensar bien nuestra elección, ya que después NO se podrá cambiar.

    Creating a new RSA exchange key!

    Si pulsamos el botón "Nivel de seguridad" tenemos las siguientes posibilidades:
    • Nivel Alto: Al escoger esta opción deberemos crear una contraseña que protegerá el uso de esta clave privada. Será necesario a partir de ahora introducir esta contraseña siempre que la clave privada del certificado vaya a ser utilizada (por ejemplo, al firmar o descifrar un mensaje).
    • Nivel Medio: Si elegimos este nivel de seguridad, la ventana "Contenedor de clave privada" aparecerá cada vez que vayamos a utilizar la clave privada de nuestro certificado. Tendremos la oportunidad de permitir o negar la utilización del certificado en cada ocasión.
    • Nivel Bajo: NO es recomendable, ya que no existe ninguna protección ni confirmación antes de utilizar la clave privada para cualquier propósito. Es decir, cualquier programa podría utilizarla sin nuestro consentimiento. Este nivel no está disponible si utilizamos Windows XP SP2 o superior.

    Niveles de seguridad para proteger la clave privada. Es más que recomendable seleccionar el nivel "Alto".

    Si hemos escogido el nivelde protección "Medio" o "Alto" una nueva ventana nos informará de que la clave privada ha sido generada y ahora está siendo usada para firmar datos con ella. Lo permitiremos para completar la creación del certificado.

    Signing data with your private exchange key!

     

  • Aparecerá una página con los datos finales de nuestro certificado. Conviene anotarlos o copiarlos por si alguna vez fueran necesarios (normalmente no harán falta). Ha terminado el proceso de registro y ahora se va a proceder a comprobar que nuestra cuenta de correo existe y tenemos acceso a ella. En aproximadamente cinco minutos recibiremos un mensaje firmado de TrustCenter con instrucciones en el idioma que escogimos para realizar el proceso. En el mensaje se nos indica que debemos enviar otro mensaje nuevo a una dirección de TrustCenter con un asunto y cuerpo de texto concretos. Si es necesario, haremos uso del programa de traducción para comprender el texto y poder enviar el nuevo mensaje.
  • Después de esperar otros cinco minutos más, recibiremos un nuevo mensaje de TrustCenter confirmando que nuestra cuenta de correo ha sido verificada y ya podemos recoger nuestro nuevo certificado digital. Para ello usaremos el enlace que aparece en el mensaje.
  • Nuestro navegador nos mostrará una página con la información de nuestro certificado. Si todo es correcto, pulsamos el botón "Install certificate" o "Zertifikat installieren" de la parte inferior. Una ventana del navegador nos informará de que se va instalar el certificado, lo aceptaremos. Y finalmente otra ventana nos confirmará la instalación correcta del certificado. Ya podemos cerrar el navegador.

    Your Certificate's data: Esta página muestra los datos contenidos en el certificado. Si son correctos, procederemos a instalar el certificado.

     

El nuevo certificado digital se encuentra ya disponible para ser utilizado en la actual instalación de Windows. Antes de continuar nos aseguraremos de que nuestro certificado está en su sitio y sus datos son correctos.

  • Nos dirigimos al Panel de Control, al icono Propiedades de Internet. En la ventana "Propiedades de Internet", cambiamos a la pestaña "Contenido" y pulsamos el botón "Certificados" (en Windows 95, 98 o ME en ocasiones hay que pulsar dos veces al botón...). Se abrirá el Administrador de Certificados.

    Ventana Administrador de Certificados: Comprobamos que la pestaña Personal aparece nuestro nuevo certificado.

     

  • En la pestaña "Personal" se mostrarán todos los certificados que tengamos a nuestro nombre y de los que poseamos la clave privada. Comprobamos que aparece nuestro nuevo certificado, lo seleccionamos y pulsamos el botón "Ver". Se abrirá la ventana "Certificado".
  • En la parte inferior de la ventana del certificado nos aseguramos de que aparece el mensaje "Tiene una clave privada correspondiente a este certificado".
  • Opcional: no es necesario, pero suele ser útil más tarde haber dado un "Nombre descriptivo" a nuestros certificados. Con ello se podrán identificar fácilmente si tienemos varios. En la ventana del certificado (la del paso anterior), cambiamos a la pestaña "Detalles" y pulsamos el botón "Modificar Propiedades". En la nueva ventana escribimos el nombre descriptivo y una descripción auxiliar si quieremos. Comprobamos de paso que el propósito de correo seguro está activado.

    Ventana Propiedades del Certificado: Es útil darle al certificado al menos un nombre descriptivo.

     

Finalmente haremos una copia de seguridad de nuestro nuevo certificado. Dicha copia puede ser necesaria si resinstalamos Windows, o queremos llevar el certificado a un navegador, instalación de Windows, u ordenador, distintos de los actuales. Sólo podremos exportar el certificado y su clave privada si durante la creación del certificado activamos la opción "Private key exportable"; de lo contrario no podremos hacer esta copia de seguridad.

  • Vamos a la ventana de "Propiedades de Internet" (en el "Panel de Control"), cambiamos a la pestaña "Contenido" y pulsamos el botón "Certificados".
  • En la ventana de Certificados, en la pestaña "Personal", seleccionamos el certificado que queremos exportar (sólo uno a la vez, si tenemos varios tendremos que repetir la operación tantas veces como sea necesario) y pulsamos el botón "Exportar". Aparecerá el "Asistente para la exportación de certificados".
  • En el primer paso del asistente, se nos pregunta si deseamos exportar la clave privada. Debemos exportarla, ya que de no hacerlo el certificado no nos serviría para nosotros mismos (tan solo contendría la clave pública, que por sí sola no permite firmar ni descifrar).
  • En el segundo paso, elegiremos el formato del archivo al que va a ser exportado el certificado. Es importante que escojamos las opciones siguientes: "Intercambio de información personal PKCS #12 (.PFX)"; Desactivada la opción de "incluir todos los certificados en la ruta de acceso" y Activada la opción de "Habilitar protección segura".
  • La tercera pantalla del asistente debemos introducir una contraseña para proteger el archivo en que se ha exportado el certificado. Es necesario recordar esta contraseña (Si alguna vez necesitaramos recuperar el certificado que se encuentra en el archivo, hay que introducir de nuevo la misma contraseña y no podrá recuperarse sin ella).
  • En la cuarta pantalla introducimos el nombre del archivo en que queremos exportar el certificado. Después de escribirlo aparecerá la pantalla final y el resumen de las opciones que hemos elegido. Pulsamos el botón Finalizar y se realizará la exportación del cerificado (Posiblemente aparecerá la ventana "Contenedor de clave privada", avisando de que se está intentando exportar la clave privada. Lo permitiremos para poder concluir).

 

Índice de Certificados   Regresar al índice de la guía de certificados