Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual Usuario Tarjeta CERES PDF
Manual Usuario Tarjeta CERES PDF
Manual de usuario
Software Criptogrfico
FNMT-RCM
Versin 1.05
Pgina 1 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
1 DESCRIPCIN. ..................................................................................................... 4
2 REQUERIMIENTOS. ............................................................................................ 6
3 TARJETAS FNMT-RCM...................................................................................... 8
6 INSTALACIN. ................................................................................................... 24
10.1.2 Netscape.................................................................................................. 43
Pgina 2 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 1
Pgina 3 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Descripcin
1 DESCRIPCIN.
Pgina 4 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 2
Pgina 5 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Requerimientos
2 REQUERIMIENTOS.
Windows Millenium
Pgina 6 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Windows 2000
Windows XP
Hardware necesario
FNMT-RCM Clase 2
Netscape Messenger
Netscape Navigator
Captulo 3
Pgina 7 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Tarjetas FNMT-RCM
3 TARJETAS FNMT-RCM.
Pgina 8 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Los dos modelos disponibles de tarjeta inteligente son el de Sie mens SLE66CX320P y
el de ST ST19XL34.
Pgina 9 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 11 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 4
Pgina 12 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 13 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Un cifrado de clave simtrica es aquel en el que se emplea la misma clave para cifrar y
descifrar el mensaje.
Pgina 14 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 15 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Se genera aleatoriamente una clave para el cifrado simtrico del mensaje. Dicha
clave se conoce con el nombre de clave de sesin.
Pgina 16 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Para distribuir la clave simtrica de tal forma que se tenga la seguridad de que
nicamente los usuarios para los cuales est destinado el mensaje tengan la
posibilidad de conocerla, se realiza un cifrado de la clave de sesin utilizando
cada una de las claves pblicas de los usuarios destinatarios. De tal forma, el
mensaje cifrado con la clave de sesin junto a tantas claves de sesin cifradas
con sendas claves pblicas es empaquetado y enviado a los usuarios finales.
Pgina 17 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 18 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una firma digital est destinada al mismo propsito que una manuscrita. Sin embargo,
una firma manuscrita es sencilla de falsificar mientras que la digital es imposible
mientras no se descubra la clave privada del firmante.
Se realiza una operacin hash sobre los datos a cifrar obteniendo un resumen de
tamao fijo y asociado unvocamente a los datos originales. Es decir, se puede
concluir que, si se tiene el resumen del documento, es como si se tuviese el
documento original.
Se realiza un cifrado del resumen utilizando la clave privada del usuario que
realiza la firma. Dicho resumen cifrado constituir la firma digital del
documento original:
Se realiza el descifrado del resumen cifrado del documento utilizando para ello
la clave pblica del usuario que dice haber firmado el documento, obteniendo,
por tanto, el resumen de dicho documento.
Pgina 19 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 20 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
El mecanismo que existe de realizar una correspondencia entre una clave pblica y la
identidad de la entidad (persona o componente informtico) titular de dicha clave
pblica es la emisin de certificados digitales. Un certificado digital es, por tanto, un
documento electrnico que asocia una clave pblica con la identidad de su propietario.
La recomendacin que indica el formato de los certificados digitales emitidos por una
Autoridad de Certificacin es la X.509v3.
Pgina 21 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 5
Pgina 22 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
tiles tarjeta. Esta carpeta contiene una serie de aplicaciones tiles para la
instalacin y la gestin de certificados de las tarjetas FNMT-RCM.
Pgina 23 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 6
6 INSTALACIN.
Pgina 24 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Para instalarlo simplemente debemos ejecutar la aplicacin Setup.exe del cd. Esta
aplicacin lanzar un asistente que realizar automticamente el proceso completo.
Pgina 25 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 26 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 27 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 7
FNMT-RCM
En este captulo vamos a comentar brevemente todos los servicios que ofrece la FNMT
RCM para sus tarjetas criptogrficas. La idea es proporcionar al lector una idea general
sobre los distintos servicios disponibles y su utilidad. En captulos posteriores se
Pgina 28 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Debido al uso que hace CryptoAPI del sistema y al diseo de las aplicaciones y las
libreras de la FNMT-RCM, el uso simultneo de Ceresmon.exe y CeresCertStore.dll
es incompatible.
Sern los requerimientos del cliente los que marquen el tipo de instalacin que se deber
realizar.
Pgina 29 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
esta operacin con perfiles criptogrficos instalados tanto en Internet Explorer como
desde Navigator. El proceso vara ligeramente de uno a otro, pero el resultado en ambos
casos ser un fichero electrnico que contendr el certificado digital completo.
El uso de una librera u otra depender del cliente de correo utilizado. Los de Microsoft
se basan en el uso del CryptoAPI del sistema, por lo que requieren una librera que
funcione tambin sobre l. Para ello se cre CeresCSP.dll. En cambio Netscape sigue
la recomendacin PKCS#11, cuya implementacin para la FNMT-RCM est
desarrollada en la librera pkcsv2gk.dll.
Pgina 30 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 8
Funciones especiales
8 FUNCIONES ESPECIALES.
Pgina 31 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Para realizar el proceso completo se utiliza un software especial, diseado para tal
efecto, que nos gua paso a paso solicitando el PIN de la tarjeta y el cdigo de
activacin. Despus se conectar con la Autoridad de Certificacin y proceder a la
activacin de las claves.
Pgina 32 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 9
Mdulos criptogrficos
9 MDULOS CRIPTOGRFICOS.
Para interactuar con las tarjetas de la FNMT-RCM todas las aplicaciones necesitan
utilizar ciertas libreras que implementen un interfaz de comunicacin con ellas. Dicho
Pgina 33 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
interfaz debe ser suministrado por el desarrollador e implementa las rut inas necesarias
para el correcto funcionamiento de la tarjeta.
Hay dos tipos de libreras diferentes suministradas por la FNMT-RCM. Por un lado
tenemos el Crypto Service Provider (CeresCSP.dll), que permite integrar la tarjeta en el
CryptoAPI de Windows. Es la librera utilizada por todo el software de Microsoft
(Outlook Express, Internet Explorer, etc).
Por otro lado tenemos la librera que implementa el interfaz PKCS#11, utilizado por
aplicaciones que integren esa recomendacin. Entre las aplicaciones ms conocidas que
usarn esta librera (pkcsv2gk.dll), estn todas las de Netscape (Navigator y
Messenger), as como la mayora de las aplicaciones de la FNMT-RCM.
Pgina 34 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
CryptoAPI
PC/SC
Lector Tarjetas
Tarjeta FNMT-RCM
Pgina 35 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 36 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 37 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Esta recomendacin del PKCS#11 de los laboratorios RSA (versin 2.01) establece un
interfaz de comunicacin con un token criptogrfico (tarjeta inteligente) que almacene
claves y permita la ejecucin de operaciones criptogrficas.
PC/SC
Lector Tarjetas
Tarjeta FNMT-RCM
Pgina 38 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En lneas generales comentaremos que los servicios que podemos obtener de la librera
pkcsv2gk.dll son bsicamente estos:
Versin 2.0.1.3.
Pgina 39 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 10
Herramientas criptogrficas
de la FNMT-RCM
Pgina 40 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
o Desbloqueo de tarjeta
o Instalacin mdulo criptogrfico PKCS#11
o Generacin de nmeros aleatorios
o Importacin de certificados
o Configuracin del algoritmo de hash
Desbloqueo de tarjetas
o Ceresmon.exe
o CeresCertStore.dll
Pgina 41 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 42 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Esta pgina nos permite lanzar la aplicacin de desbloqueo de tarjeta. Cuando queremos
autenticarnos contra una tarjeta inteligente debemos presentar su nmero de
identificacin personal (PIN). Si errsemos ese PIN un determinado nmero de veces,
la tarjeta quedara bloqueada y no podra operarse con ella. Para vo lver a recuperar su
funcionalidad, la tarjeta debe ser desbloqueada introduciendo un cdigo especial
destinado a tal efecto. En la figura siguiente podemos ver esta pgina.
10.1.2 Netscape.
Pgina 43 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Para lanzar la aplicacin Netscape Navigator se usar por defecto la ruta desde
Archivos de Programa/Netscape . En caso de que no se encuentre, aparecer en
pantalla una ventana de seleccin de directorios, desde la cual indicaremos la ruta actual
del software.
Pgina 44 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Los cambios que hagamos en el panel de control slo afectarn a aquellas aplicaciones
que utilicen PKCS#11 (pkcsv2gk.dll), pero no a las de CryptoAPI (CeresCSP.dll).
10.1.4 Importacin de certificados.
Pgina 45 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Ms adelante (apartado 13.2) explicaremos con detalle cada una de estas aplicaciones,
pero por el momento slo comentaremos el gestor de aplicaciones y las funcionalidades
que nos ofrece. En apartados posteriores veremos el resto del software.
Pgina 46 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Al igual que ocurra con la generacin de nmeros aleatorios, que poda realizarse por
software o hardware (en el interior de la propia tarjeta), la obtencin del hash SHA-1
para la firma digital con la tarjeta FNMT-RCM soporta tambin esas dos posibilidades.
Pgina 47 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Puede ocurrir que cuando una aplicacin nos solicite nuestro PIN, nos equivoquemos al
introducirlo. En ese caso se nos dar un nuevo intento. Si fallsemos tres veces al
insertar el PIN la tarjeta quedara bloqueada, no permitindonos realizar ninguna
operacin. Para recuperar su funcionalidad ser necesario desbloquear el PIN, utilizando
para ello el cdigo de desbloqueo de la tarjeta.
En primer lugar nos aparecer una ventana en la que nos informan de la aplicacin que
vamos a utilizar y su uso.
En la siguiente pantalla, el asistente nos pedir que introduzcamos el nuevo PIN que
queremos ponerle a la tarjeta. No tiene por qu ser el que utilizbamos antes, ni tiene
ninguna restriccin aparte de la longitud (debe ser mayor de cuatro caracteres).
Pgina 48 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Deberemos introducirlo dos veces para asegurarnos que no hemos cometido ningn
error al teclearlo.
Una vez insertado el nuevo PIN, el asistente comprobar que ambos cuadros de texto
contienen la misma cadena. En caso afirmativo se activar el botn Siguiente para
permitirnos continuar con el proceso de desbloqueo.
Pgina 49 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando hayamos indicado el nuevo PIN que queremos asignar a la tarjeta al finalizar la
operacin, el asistente nos pedir que introduzcamos el cdigo de desbloqueo. Es un
cdigo de 16 caracteres que viene indicado en el sobre de la tarjeta. Contiene tanto
nmeros como letras, pero hay que tener en cuenta que no se considera el mismo
Pgina 50 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
carcter una letra en minscula que en mayscula. Hay que teclearlo exactamente como
viene en el sobre.
Dado que la longitud del cdigo de desbloqueo es fija, existe un indicador de progreso
que no activar el botn de Siguiente hasta que no hayamos introducido los 16
caracteres que lo componen. Una vez que completemos el cdigo, continuaremos con el
desbloqueo de la tarjeta. El asistente intentar desbloquear y modificar el PIN utilizando
los cdigos que hayamos introducido en los pasos previos.
Pgina 51 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En los siguientes apartados explicaremos con detalle ambos mtodos, sus ventajas y sus
mbitos de aplicacin.
10.3.1 Gestin de certificados digitales mediante CERESMON.
Pgina 53 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Si pulsamos el botn derecho del ratn sobre el icono del CeresMon, aparecer un men
contextual como el siguiente.
Acerca de... Muestra una ventana en la que aparece la versin del CeresMon
que est actualmente instalada en su sistema.
Cuando solicitamos un certificado con Microsoft Internet Explorer, se crean una serie
de entradas en el registro del sistema que identificarn esa solicitud y permitirn realizar
la posterior descarga, que normalmente se realizar tras un proceso de registro fsico del
solicitante por parte de alguna Autoridad de Registro. Sin esas entradas, la aplicacin
no identificara la peticin y no permitira la descarga del certificado. La caracterstica
Pgina 54 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Hay que recordar que esto slo ocurre con las aplicaciones basadas en CryptoAPI
(Internet Explorer), pero no con las que integran PKCS#11 (Navigator). En Netscape
todos los datos de la solicitud necesarios para la posterior descarga se almacenan en la
tarjeta. Cuando queramos descargar el certificado, simplemente deberemos introducirla
en el lector y el navegador realizar las operaciones necesarias.
Pgina 55 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
aplicaciones que utilicen CryptoAPI intenten trabajar con un certificado digital instalado
en el sistema, y cuyo almacn fsico est indicado que es la tarjeta FNMT-RCM.
Esta ltima diferencia es la que marcar principalmente la eleccin por parte del cliente
entre usar CeresMon o CeresCertStore. Hay que recordar que son soluciones
incompatibles y que la instalacin ser diferente en funcin de lo que se solicite.
Pgina 56 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 11
Solicitud y descarga
Pgina 57 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Las tarjetas FNMT-RCM soportan el uso de certificados de Clase 2CA, expedidos por
la propia Fbrica Nacional de Moneda y Timbre Real Casa de la Moneda. Para
tener este tipo de certificados almacenados en tarjeta podemos seguir dos procesos.
En los siguientes apartados vamos a explicar el primero de estos mtodos para cada uno
de los navegadores ms comunes (Internet Explorer y Navigator).
Pgina 58 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 59 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 60 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Segn el nivel de seguridad que estemos utilizando en el navegador, podra aparecer una
ventana informando de que se va a realizar una operacin potencialmente peligrosa para
el sistema. Simplemente indicaremos que s queremos realizar la solicitud del
certificado y se continuar normalmente con la solicitud del mismo.
El sistema nos avisar que estamos a punto de crear un elemento protegido: las claves
del certificado. stas quedan almacenadas en el registro del sistema operativo. En caso
de que estemos utilizando CERESMON (ver apartado 10.3.1) las claves se generarn
tambin en el interior de la tarjeta FNMT-RCM. Adems se guardarn ciertos datos que
permitirn realizar la descarga en otro equipo diferente del de la solicitud, siempre y
cuando tambin tenga instalado CERESMON.
Pgina 61 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando se generen las claves del certificado, se mostrar una ventana en la que aparece
un cdigo de solicitud. Con ese cdigo el usuario deber acudir a una oficina de registro
para ser acreditado. Realizado este paso intermedio, podr descargar su certificado de
Clase 2CA.
Pgina 62 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En este punto vamos a recordar que el uso del software CERESMON permite la
descarga de certificados en equipos diferentes de aquellos en los que se realiz la
solicitud. En su versin 1.0.0.8, este programa soporta la descarga en equipos con
Windows 98, Windows 2000 y Windows NT. En futuras versiones se implementar
para Windows XP.
Pgina 63 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 64 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 65 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 66 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 67 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 68 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 69 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando pulsemos el botn de Enviar Peticin, se nos mostrar una nueva ventana en la
que podemos seleccionar los distintos almacenes disponibles. Si queremos guardarlo en
la tarjeta FNMT-RCM, deberemos seleccionar la entrada correspondiente. De esta
manera la descarga podr realizarse en cualquier otro equipo utilizando esa tarjeta,
como hemos comentado antes.
Tras esto se nos pedir el PIN de la tarjeta, siempre y cuando no nos hayamos
autenticado anteriormente contra ella.
En caso de introducir un PIN errneo, aparecer una ventana advirtindonos del error y
avisndonos de que repetidos fallos en la autenticacin del usuario pueden provocar el
bloqueo de la tarjeta. Como ya sabemos, en total disponemos de tres intentos para
introducir correctamente el PIN.
Pgina 70 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Si ocurre algn problema con la generacin de claves, Netscape nos lo indicar con un
mensaje de error.
Netscape utiliza este mensaje de error para cualquier fallo que pueda ocurrir durante la
generacin de las claves: tarjeta llena, fallo en la generacin, etc. Para ver qu puede
haber ocurrido podemos hacer algunas comprobaciones. En primer lugar hay que
asegurarse que queda espacio en la tarjeta para introducir un nuevo certificado. Para ello
podemos comprobar el mdulo Security, donde veremos qu certificados tenemos
instalados en el sistema.
Pgina 71 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 72 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 73 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 12
Exportacin de Certificados
Pgina 74 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
12 EXPORTACIN DE CERTIFICADOS.
Cuando un certificado digital queda instalado en el sistema, pasa a estar disponible para
todas aquellas aplicaciones que utilicen CryptoAPI. De esta manera las aplicaciones
pueden acceder a sus claves para realizar todo tipo de operaciones de firma, cifrado, etc.
utilizando ese perfil.
El problema surge cuando queremos utilizar nuestro certificado en otra mquina distinta
de aquella en la que lo habamos descargado y que lo tiene convenientemente instalado.
Para poder hacerlo deberemos exportar el certificado desde el sistema inicial a un
soporte software (fichero electrnico) o a un soporte hardware (tarjetas inteligentes, por
ejemplo). Despus realizaremos el proceso inverso, lo que haremos ser importarlo a la
mquina de destino o a un dispositivo fsico (tarjeta inteligente), dejndolo instalado
para su posterior uso. Este modo de operar es igual tanto en aplicaciones CryptoAPI
como en aquellas basadas en PKCS#11. A continuacin vamos a explicar cmo realizar
la exportacin en cada uno de los sistemas.
Pgina 75 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Dentro del apartado de certificados encontramos una pantalla en la que se nos muestran
los certificados instalados en el sistema, y una serie de botones que nos permiten
realizar las operaciones comunes: importar, exportar, eliminar, ver detalles, etc. Ms
adelante nos ocuparemos con detenimiento del resto de opciones. Por el momento nos
centraremos en la operacin de exportacin.
Deberemos seleccionar aquel certificado que queremos exportar del sistema. Para ver
los detalles de cualquiera de ellos simplemente debemos pulsar sobre l dos veces el
botn izquierdo del ratn. Aparecer una ventana con la fecha de emisin, la caducidad,
la Autoridad de Certificacin (CA) que lo ha expedido, etc.
Pgina 76 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En la primera ventana se nos pregunta si queremos exportar la clave privada junto con
el certificado. Sin esa clave el certificado servir para que aquel que est en posesin del
mismo cifre correos con nuestra clave pblica y pueda verificar nuestra firma digital.
Esto es til sobre todo para aplicaciones de correo en las que queramos utilizar
criptografa. Si no exportamos la clave privada, lo que no se podr hacer con el
certificado son operaciones de firma ni descifrado.
Pgina 77 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En la pantalla siguiente el asistente nos preguntar acerca del formato que queremos que
tenga el fichero de salida. Por defecto usaremos PKCS#12, que genera archivos .pfx.
Tras la seleccin del formato, deberemos introducir la contrasea para proteger la cla ve
privada (en caso de que hayamos decidido exportarla).
Pgina 78 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Al pulsar en Siguiente se mostrar una ventana con la informacin final del fichero.
Pgina 79 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 80 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En esta pantalla podemos ver cmo aparece el nombre del dispositivo (tambin llamado
token) seguido del titular del certificado. Si slo aparece el nombre del titular significa
que ese certificado est instalado en la base de datos genrica de Netscape. En la figura
del ejemplo aparecen dos certificados, el primero de ellos precedido de FNMT, que es
el nombre del token que lo contiene, y el segundo sin l. Esto nos indica que el primer
certificado est almacenado en la tarjeta inteligente FNMT-RCM, mientras que el
segundo se guarda en la base de datos de la aplicacin.
Pgina 81 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 82 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 83 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 13
Importacin de Certificados
Pgina 84 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
13 IMPORTACIN DE CERTIFICADOS.
Hemos visto en los apartados anteriores las opciones que presenta el navegador de
Microsoft Internet Explorer para trabajar con la importacin y la exportacin de
certificados. A la hora de importar un certificado desde soporte software (fichero
electrnico) a un almacn de certificados, nos encontramos que dicho almacn puede
ser lgico (una carpeta del sistema) o fsico (una tarjeta inteligente). Durante el proceso
de importacin deberemos indicar si lo que queremos realizar es una importaci n al
sistema, con el fin de que el certificado quede disponible para las aplicaciones
CryptoAPI, o bien si lo que queremos es almacenarlo en otro soporte fsico distinto del
fichero.
Pgina 85 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 86 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En ese momento se ejecutar el asistente que nos indicar los pasos a seguir para
realizar correctamente la importacin del certificado. Lo primero que deberemos hacer
es indicar qu fichero contiene el certificado que queremos importar. Para ello aparecer
una ventana en la que podremos escribir la ruta completa o bien examinar nuestra
estructura de archivos hasta encontrarlo.
Pgina 87 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
El siguiente paso ser verificar que tenemos acceso al fichero de certificado. Para ello
introduciremos la contrasea que se utiliz a la hora de exportar el certificado al fichero.
Si no la conocemos ser imposible realizar la importacin, ya que no tendremos acceso
a las claves almacenadas en l.
En esta pantalla podemos ver que hemos marcado el cuadro de Marcar esta clave
como exportable. Esto ser imprescindible si queremos importar el certificado a la
tarjeta FNMT-RCM, ya que permite almacenar la clave privada en la tarjeta. Si
simplemente quisisemos instalar el certificado en el sistema, dejaramos sin marcar
ninguna de las dos casillas.
Pgina 88 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Hay dos tipos de almacenes de certificados: lgicos y fsicos. Para ver todos los
almacenes en los que el sistema nos va a permitir importar el certificado, deberemos
pulsar el botn Examinar.
Al examinar los almacenes disponibles, aparecer una lista con todos ellos y una casilla
sin marcar cuyo texto dice Mostrar almacenes fsicos. Si nuestra intencin es
guardar el certificado en la tarjeta FNMT-RCM debemos marcar esa casilla. Entonces
aparecern ms almacenes posibles. El que debemos seleccionar ser el de Tarjeta
CERES, situado en la carpeta Personal.
Pgina 89 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 90 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Si el sistema ha podido conectar con la tarjeta, nos solicitar su PIN para as poder
comenzar a crear los objetos necesarios.
Pgina 91 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Inicialmente nos muestra una ventana con informacin sobre el proceso que vamos a
seguir, adems de informacin adicional sobre qu es un certificado digital, su utilidad y
las ventajas de almacenarlo en tarjeta inteligente. Despus nos indicar los pasos que
debemos ir cumpliendo para realizar correctamente la importacin.
Pgina 92 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 93 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez indicada la ruta al fichero, el asistente nos solicitar la contrasea para acceder
al certificado. Dicha clave se la asigna el usuario al fichero en el momento de exportarlo
desde el navegador hacia el archivo pfx. Sin ella ser imposible realizar la importacin
a la tarjeta ya que no se tendr acceso a las claves del certificado.
Pgina 94 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez verificada la contrasea, se extraen las claves del certificado y se intentarn
importar a la tarjeta inteligente. En caso de que hayamos olvidado introducir la tarjeta,
aparecer un mensaje de error avisndonos de ello.
Pgina 95 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Adems de esto hay que indicar que el formato de archivos de importacin que soporta
Netscape es .p12, que sigue la recomendacin PKCS#12 para la sintaxis del
intercambio de informacin personal.
Pgina 96 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando comencemos el proceso de importacin del certificado, Netscape nos pedir que
indiquemos el destino de la importacin. Como hemos comentado antes, podemos
instalarlo en la base de datos de la aplicacin o en cualquier dispositivo que est
correctamente instalado mediante su mdulo criptogrfico (ver apartado 10.1.2 para
obtener informacin sobre la instalacin del mdulo criptogrfico de la FNMT-RCM).
Pgina 97 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Despus Netscape nos pedir la contrasea que protege el certificado. Ya sabemos que
sin esa contrasea sera imposible recuperarlo.
Pgina 98 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 99 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pulsamos el botn Cargar, para aadir la Dll cabecera del driver, de nombre:
PkcsV2GK.dll
Adems de esto hay que indicar que el formato de archivos de importacin que soporta
Netscape es .p12, que sigue la recomendacin PKCS#12 para la sintaxis del
intercambio de informacin personal.
Cuando comencemos el proceso de importacin del certificado, FireFox nos pedir que
indiquemos el destino de la importacin. Como hemos comentado antes, podemos
instalarlo en la base de datos de la aplicacin o en cualquier dispositivo que est
correctamente instalado mediante su mdulo criptogrfico (ver apartado 10.1.2 para
obtener informacin sobre la instalacin del mdulo criptogrfico de la FNMT-RCM).
Despus FireFox nos pedir la contrasea que protege el certificado. Ya sabemos que
sin esa contrasea sera imposible recuperarlo.
Captulo 14
Correo seguro
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
14 CORREO SEGURO.
Hay aplicaciones de correo que permiten enviar y recibir correos cifrados y firmados
digitalmente utilizando criptografa. Estas operaciones garantizan el intercambio seguro
de informacin, proporcionando autenticacin del emisor, integridad del mensaje, no
repudio del origen, etc. En los siguientes apartados explicaremos detenidamente cmo
tener correo seguro usando la tarjeta FNMT-RCM en los clientes de correo de
Microsoft y de Netscape .
Outlook Express utiliza CryptoAPI, con lo que para realizar operaciones criptogrficas
usar la librera CeresCSP.dll. Para utilizar todas las posibilidades del correo seguro
entre dos usuarios es necesario que cada uno tenga el certificado del otro con sus claves
pblicas. La manera de obtenerlo es recibiendo un mensaje firmado, quedando as
registrado en la libreta de direcciones.
Una vez seleccionada esa opcin la aplicacin de correo nos mostrar una ventana con
las cuentas actuales del sistema. Ah deberemos seleccionar nuestro servidor de correo y
pulsar en el botn de Propiedades, desde donde pasaremos a configurar las opciones de
seguridad.
Para realizar una firma digital, el usuario utilizar su clave privada que se encuentra
almacenada, junto con el resto de componentes del perfil criptogrfico, en la tarjeta
FNMT-RCM. Esa clave no puede ser extrada, por lo que no pueden existir copias de
ella. Cuando queramos firmar un mensaje, la aplicacin de correo nos solicitar la
tarjeta cuyo nmero de serie coincida con el de aquella que contiene el certificado
asociado a esa cuenta. Adems, ser necesario presentar el PIN de la tarjeta para acceder
y utilizar la clave privada. De esta manera, si la tarjeta cayese en manos de otro
individuo no podra realizar ninguna firma ya que no debera conocer su PIN.
Como dijimos antes, para poder firmar digitalmente un mensaje es necesario usar
nuestra clave privada, almacenada en la tarjeta, y presentar el PIN para tener acceso a
ella. Por esto es imprescindible que la tarjeta que contiene el certificado se encuentre
insertada en el lector. En caso de que no sea as aparecer en pantalla una ventana
solicitando la tarjeta correcta, cuyo nmero de serie debe coincidir con el indicado.
Cuando la tarjeta est disponible se solicitar su PIN. Ser entonces cuando se realicen
las operaciones de firma digital y se enve el mensaje al destinatario, incluyendo el
certificado del emisor.
En el cliente de correo del receptor aparecer un nuevo mensaje con un icono que indica
que dicho mensaje est firmado digitalmente. Al incluirse el certificado en el propio
mensaje, cuando lo abramos se usar para verificar la firma e indicarnos si es correcta o
no.
Si abrimos el mensaje firmado aparecer una pantalla previa en la que Outlook Express
nos indica que el mensaje ha sido firmado digitalmente. Tras pulsar el botn de
Continuar, se usar el certificado para comprobar la autenticidad de la firma. Si
puede verificar la firma recibida, el mensaje aparecer normalmente. Si no, nos
advertir que no pudo ser verificada, aunque nos mostrar el texto del mensaje.
Todo lo anterior era referente a la firma digital. Ahora comenzaremos con el cifrado y
el descifrado de mensajes. Sabemos que para poder cifrar un mensaje debemos utilizar
la clave pblica del receptor. Esa cla ve pblica se enva junto con el certificado, por lo
que hasta que no lo tengamos no podremos enviarle un mensaje cifrado a ese usuario.
digital, ahora no es necesario tener insertada nuestra tarjeta inteligente ya que la clave
que se va a usar es la del certificado del receptor.
Cuando el receptor del mensaje reciba el correo cifrado, le aparecer marcado con el
icono correspondiente.
Cuando se abra el mensaje nos aparecer una advertencia indicndonos que ese mensaje
est cifrado.
aparecera una ventana solicitando la tarjeta cuyo nmero de serie corresponda con la
asociada al certificado.
Cuando queramos enviar un correo que est a la vez cifrado y firmado realizaremos las
mismas operaciones descritas anteriormente. Al realizarse una operacin de firma
digital y otra de cifrado, ser necesario tener insertada la tarjeta con nuestra clave
privada y adems tener instalado el certificado del receptor del mensaje.
A la hora de abrir un correo que est cifrado y firmado, el mensaje que aparecer es
similar a los anteriores, informndonos del estado del correo.
El cliente de correo Netscape Messenger tambin nos permite utilizar correo seguro
entre usuarios, soportando tareas de cifrado, firma digital, verificacin, etc.
Seguramente la mayor diferencia que existe entre este cliente de correo y el de
Microsoft es en la librera sobre la que basan dichas operaciones para realizarlas sobre
dispositivos tales como tarjetas inteligentes. Mientras Outlook utiliza CryptoAPI,
Messenger usa PKCS#11. Esto no implica que sean incompatibles, ni mucho menos,
ambos sistemas. El correo cifrado y/o firmado con uno de ellos podr ser descifrado y/o
verificado con cualquiera de los dos sistemas.
Con la librera PKCS#11 instalada (ver apartado 10.1.2) deberemos configurar las
opciones del Messenger para que asocie a nuestra cuenta el certificado digital que
nosotros queramos utilizar. Al igual que ocurra con Outlook Express, es necesario que
la direccin de e- mail contenida en el certificado se corresponda con aquella que vamos
a usar ahora.
Para configurar estas opciones deberemos pulsar el botn de Security que aparece en
el propio mensaje o desde el navegador Netscape Navigator.
Cuando escribamos un mensaje que queramos que sea firmado, deberemos seleccionar
la solapa de Opciones de envo de mensajes, situada en la parte izquierda de la
pantalla. Entonces aparecern una serie de opciones de envo, donde podremos indicar
si queremos cifrar, firmar digitalmente, etc.
En la figura anterior podemos observar el icono que indica que el mensaje est firmado
(Signed). En caso de que tambin estuviese cifrado (Encrypted), aparecera otro icono
similar junto a l, avisndonos de ello.
Esos iconos nos darn acceso a la pantalla de seguridad, en la que nos informar si la
firma ha podido ser verificada, el formato de cifrado que se utiliz, etc.
Para los mensajes cifrados deberemos seguir el mismo procedimiento. Desde la ventana
de creacin del nuevo mensaje, en las opciones de envo marcaremos Cifrado
(Encrypted).
Al igual que ocurra con los correos firmados, si pulsamos el icono de cifrado, aparecer
la ventana de seguridad, explicndonos la operacin de cifrado del mensaje.
Una vez comentadas cmo seran las operaciones de firma y de cifrado, slo queda
indicar que tambin es posible realizar ambas cosas sobre un mismo correo. Bastar con
indicarlo en las opciones de envo.
Captulo 15
Conexin segura
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
15 CONEXIN SEGURA.
A lo largo de todo el documento hemos visto que para que un certificado almacenado en
la tarjeta FNMT-RCM sea accesible a las aplicaciones de Microsoft, debe estar tambin
instalado en el sistema.
Cuando una aplicacin Web requiera una conexin segura, pasar el control al
navegador, quien nos mostrar la ventana de certificados instalados, donde podremos
seleccionar aquel con el que queremos conectarnos.
Una vez introducida la tarjeta correcta en el lector, la aplicacin pasar a realizar las
operaciones necesarias para establecer la comunicacin segura. Para ello utilizar las
claves almacenadas en la tarjeta FNMT-RCM, as que de nuevo nos solicitar el PIN.
Una vez indicado el certificado que queremos utilizar para la conexin, se realizarn las
operaciones necesarias para ello. En caso de que ocurriese algn problema, el navegador
nos advertira y mostrara un mensaje de error.
Captulo 16
Windows Log-on
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
16 WINDOWS LOGON
Al iniciar una nueva sesin, el sistema operativo nos muestra una ventana en la que nos
indica las acciones que podemos realizar para arrancarla. Si pulsamos Ctrl+Alt+Supr
se mostrar el habitual cuadro de identificacin de usuario, dominio y contrasea. En
cambio, si insertamos la tarjeta aparecer una ventana en la que se nos solicitar que
introduzcamos su PIN.
Para conseguir logon con tarjeta debemos estar en posesin de un certificado emitido
por Active Directory de Microsoft. Si tuvisemos ms de un certificado en la tarjeta se
comprobara si su certificado por defecto permite realizar el logon. En caso de que no
sea as, se mostrar una ventana en la que deberemos seleccionar el certificado con el
que autenticarnos. Una vez validado el usuario, se iniciar la sesin normalmente.
Al solicitar este tipo de arranque con tarjeta aparece la duda de saber qu ocurre cuando
sta es extrada. Es decir, si el equipo debe quedar bloqueado, si la sesin debe cerrarse,
si no debe ocurrir nada, etc. Estas acciones posteriores a la extraccin de la tarjeta son
configurables. Para modificarlo debemos acudir al Panel de Control y seleccionar
Herramientas Administrativas.
Aqu podremos indicar qu accin queremos que se lleve a cabo al extraer la tarjeta con
la que hicimos logon. Estas opciones, como vemos en la figura inferior, son tres:
A la hora de realizar logon con tarjeta en Windows 2000, Windows NT o Windows XP,
el certificado que se utilizar para la autenticacin ser el propio de Microsoft. La
aplicacin ccmng.exe permite seleccionar el certificado que queremos establecer por
defecto en la tarjeta FNMT-RCM. De esta manera evitaremos tener que seleccionarlo
para el logon cada vez que queramos iniciar una sesin.
Una vez hecho esto, el certificado seleccionado quedar asignado como certificado por
defecto para la tarjeta.
Captulo 17
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
MICROSOFT
Los usuarios de Microsoft Internet Explorer cuyo Nombre o Apellidos contengan la letra "",
debern solicitar su certificado con la Versin 5.0 de IE.
NETSCAPE
Netscape Navigator versin 4.06 o posterior, a excepcin de la versin 4.60, versiones 6.0 y
posteriores, que acte sobre un Sistema Operativo de al menos 32 bits.