Integración PKI (pki.gov.ar)

Transcripción

Pág. 1/45
“Guía para Requerir un
Certificado Digital de
PKI.gov.ar”
Nombre del Partner
Nombre de la Solución
Fecha
www.pki.gov.ar
ePass2000 FT12 PKI
01 de Marzo de 2007
Desarrollado por el Departamento de IT
de MacroSeguridad y el Team de Integraciones
Revisiones:
Versión Autor
1.0
1.1
1.2
1.3
Lionel Raymundi
Alfredo Rodríguez
Diego Laborero
Diego Laborero
Fecha
07-01-2007
14-01-2007
01-02-2007
14-02-2007
Comentarios
1er revisión draft
2da revision draft
Version Final
Incorporación y correcciones
menores, algunos tips
ADVERTENCIA: Este documento es una guía no oficial para ayudar a los diferentes clientes e integradores en una
primera implementación de la solución de seguridad ePass Token. La información detallada en el mismo es la
correspondiente a la información del producto disponible en el mercado a la hora de preparar este documento.
MacroSeguridad no garantiza que la solución aquí presentada sea completa, adecuada y precisa.
Se les recomienda a los usuarios leer los manuales oficiales.
Pág. 2/45
Tabla de Contenidos
1
OBJETIVO .................................................................................................................................3
2
REQUERIMIENTO DEL CERTIFICADO A UNA ENTIDAD CERTIFICADORA .......3
2.1
INGRESE AL SITIO WEB DE LA ENTIDAD CERTIFICADORA ......................................................4
2.2
SOLICITE SU CERTIFICADO ....................................................................................................7
2.2.1
Instalar el Certificado Raíz de la Autoridad de Certificación.....................................8
2.3
LEA LAS POLÍTICAS DE CERTIFICACIÓN ..............................................................................14
2.4
COMPLETANDO SUS DATOS PERSONALES ...........................................................................15
2.4.1
Conecte el Dispositivo ePass Token USB ..................................................................15
2.4.2
Complete el Formulario.............................................................................................17
2.4.3
Selección del Proveedor de Servicios Criptográficos................................................17
2.5
SOLICITUD DEL CERTIFICADO .............................................................................................18
2.6
CHEQUEE SU EMAIL ............................................................................................................20
2.7
RETIRE E INSTALE SU CERTIFICADO ....................................................................................24
3
BACKUP DE SU CERTIFICADO.........................................................................................27
3.1
3.2
3.3
3.4
3.5
3.6
3.7
COMO GENERAR UN BACKUP DE SU CERTIFICADO ...............................................................27
CAMBIE EL PROVEEDOR DE SERVICIOS CRIPTOGRÁFICOS ...................................................27
SOLICITE SU CERTIFICADO ..................................................................................................28
CHEQUEE SU EMAIL ............................................................................................................31
RETIRE E INSTALE SU CERTIFICADO EN EL BROWSER ..........................................................32
EXPORTE SU CERTIFICADO .................................................................................................34
IMPORTE SU CERTIFICADO AL EPASS 2000 FT12 TOKEN USB............................................41
Pág. 3/45
1
Objetivo
El objeto de esta guía es comunicar el procedimiento para requerir un certificado digital a
través de la entidad emisora de certificados digitales de la Argentina.
Previo a esta solicitud, deberá instalar en la PC el Middleware de ePass2000 FT12 Token
USB para el Usuario (Administrador o Usuario Final). Remítase a la Guía de Referencia
PKI de ePass2000 FT12 Token USB correspondiente para mayor información sobre como
realizar esta tarea. La herramienta de administración e instalación de los drivers está
totalmente en castellano.
El procedimiento que se mostrará a continuación es para personas físicas, no empleados
ni funcionarios de gobierno, ya que el procedimiento para empleados estatales cambia
sensiblemente. Sin embargo los conceptos volcados en la guia de integración son
aplicables a todos (personas, empleados de gobierno y empresas).
Si por política de la institución, por requerimiento de ISO17799 o alguna otra normativa
internacional se necesita tener una copia de respaldo de la clave privada del Certificado
Digital, se deberán seguir los pasos enumerados en la sección 3 “Backup de su
Certificado”.
2
Requerimiento del certificado a una Entidad
Certificadora
Pasos a seguir para obtener un Certificado Digital de una CA, en nuestro ejemplo
utilizaremos la CA oficial de la Argentina: http://www.pki.gov.ar
El tipo de Certificado digital que cualquier persona física puede requerir a través del sitio
de PKI.gov.ar, simplemente garantiza que el mail a través del cual se emitió el certificado
digital existe. No puede garantizar quien es la persona que esta detrás del certificado.
Pág. 4/45
2.1
Ingrese al sitio web de la Entidad Certificadora
Abra un browser y diríjase al sitio www.pki.gov.ar
Pág. 5/45
Haga click en “Servicios” en el panel izquierdo de su browser y luego en la sección
principal “Servicios al Ciudadano” y luego en “Certificados Digitales”.
Se desplegará la siguiente pantalla:
Pág. 6/45
Luego haga click en Ingresar al sitio de esta Autoridad Certificante ( http://ca.sgp.gov.ar ).
Se desplegará la siguiente pantalla:
Pág. 7/45
2.2
Solicite su Certificado
Busque la opción “Solicitud de Certificados para Correo Electrónico” y haga click en
“Solicitar un Certificado Digital”, se desplegará la siguiente ventana:
Pág. 8/45
Lea atentamente el contenido de esta página y haga click en el pie de pagina donde dice:
“Ir a Paso 1”
2.2.1
Instalar el Certificado Raíz de la Autoridad de Certificación
En primer lugar Ud. debe instalar en su navegador el certificado de la Autoridad
Certificante (AC). Esta operación resulta indispensable para que su navegador reconozca
los mensajes firmados por los usuarios de esta AC, a la vez que pone de manifiesto su
confianza en ella.
Este paso solo debe realizarlo una vez en su PC, y es necesario hacerlo debido a que el
certificado raíz de la AC no ha sido incorporada por Microsoft dentro del Sistema
Operativo en el contenedor de certificados RAIZ.
Pág. 9/45
Presione el botón “Instalar el certificado en su navegador”
Pág. 10/45
Aparecerá la ventana "Descarga de archivos".
Seleccione "Abrir” este archivo desde su ubicación actual.
Pág. 11/45
Visualizará el certificado de la Autoridad Certificante de la Subsecretaría de la Gestión
Pública. Presione “Instalar certificado”
Aparecerá un conjunto de pantallas (estilo asistente) donde se detallarán los pasos
que está realizando.
Presione siguiente
Pág. 12/45
No es necesario cambiar ninguna de las opciones preestablecidas, por lo tanto sólo
necesita presionar “Siguiente” y “Finalizar”
Pág. 13/45
Por último, presione “OK” para cerrar la pantalla con el certificado. Aparecerá una
advertencia de seguridad, haga click en “Si” para instalar el certificado
Y por ultimo se desplegará una pantalla avisando que la importación se completó
correctamente.
Pág. 14/45
2.3
Lea las Políticas de Certificación
Al finalizar el procedimiento anterior, presione ‘Ir a Paso 2’. Se desplegará la siguiente
pantalla:
Política de Certificación
Ud. debe leer la siguiente Política de Certificación de la Entidad Certificante antes de
efectuar la solicitud de un certificado de correo electrónico ante esta AC.
En caso de aceptarla, haga click en “Aceptar”.
Pág. 15/45
En caso de no aceptar los términos de esta Política de Certificación, Ud. no podrá
efectuar la solicitud, ni aceptar o utilizar el certificado digital.
2.4
2.4.1
Completando sus Datos Personales
Conecte el Dispositivo ePass Token USB
Ud. deberá tener instalado el middleware del ePass2000 FT12 (drivers para el Sistema
Operativo), por favor consulte la guía de referencia PKI del ePass2000 FT12 si necesita
mayor información al respecto.
Pág. 16/45
En este momento, deberá conectar su ePass Token USB a un puerto USB libre, cuando lo
haga, verá que automáticamente se detectará que se conectó el dispositivo, como lo
muestra la siguiente imagen:
Si no ha cambiado el PIN de usuario (password de autenticación) por defecto del
ePass2000, cuando conecte el dispositivo al puerto USB, se desplegará una
ventana pidiendo que modifique el PIN del ePass para mejorar su seguridad. Haga
click en Aceptar si desea cambiarlo en este momento.
Recuerde que el PIN del ePass 2000 FT12 debe tener como mínimo 8 caracteres para
cumplir con los robustos estandares que MacroSeguridad y Feitian han estipulado.
Pág. 17/45
2.4.2
Complete el Formulario
Complete el formulario con los datos que se le solicitan.
2.4.3
Selección del Proveedor de Servicios Criptográficos
En esta oportunidad, deberá seleccionar como Crypto Service Provider (CSP) del
ePass 2000 FT12 Token USB
“FTSafe ePassNG RSA Cryptograpic Service Provider”
Pág. 18/45
para realizar la generación de un par de claves RSA (certificado digital dentro del
ePass). Es importante que seleccione el CSP correcto, de lo contrario el certificado no
se generará en el ePass Token USB.
Si no apareciese el motor criptográfico “FTSafe ePassNG RSA Cryptographic Service
Provider” entre las opciones de Proveedores Criptográficos, es porque no se ha
instalado el Middleware de ePass2000 FT12 Token USB en su PC. Vuelva al inicio de
este documento, instale el Middleware y realice todos los pasos nuevamente.
2.5
Solicitud del Certificado
Presione el botón ‘Solicitar Certificado’. Se desplegará un mensaje solicitando su
confirmación. Haga click en ‘Si’
Para poder generar el certificado dentro del ePass es necesario tener acceso al
mismo. Si se encuentran conectados más de un ePass2000 FT12 Token USB en la
PC, se le mostrará la siguiente ventana.
Pág. 19/45
En la anterior ventana puede reconocer el dispositivo correcto a través del nombre del
ePass. Seleccione el Token en el que desea generar el certificado y haga click en
“Aceptar”. Luego se le solicitará que se autentique y para lo cual debera presentar sus
credenciales frente al dispositivo. Por este motivo se le solicita que ingrese su PIN de
usuario y haga click en ”Login”.
Ingrese el PIN de Usuario del dispositivo. Por defecto es 12345678 si no ha sido
cambiado por algún administrador.
Una vez hecho esto, comenzará el proceso de generación de claves dentro del
dispositivo.
Pág. 20/45
Aguarde unos instantes mientras se genera el par de claves, luego aparecerá un
mensaje indicando que “La generación del par de Claves RSA ha finalizado”.
2.6
Chequee su eMail
Luego deberá recibir en su casilla de correos un email de la CA, en nuestro ejemplo
Oficial Certificador [[email protected]], con la verificación de la solicitud que se
realizó. El asunto del email es “VERIFICACIÓN DE CIRCUITO DE MAIL – PASO 4”.
Pág. 21/45
Dentro del email tendrá un vínculo “Ir a Paso 5” , haga un click sobre el mismo.
De esta forma Ud. confirmará el Mail de Verificación y la real existencia de la cuenta de
correo electrónico.
Para continuar con el proceso de emisión de un certificado usted debe esperar la
recepción del Mail de Notificación, por parte de la Autoridad Certificante, en el cual se
indicará como retirar su certificado. Léalo atentamente y siga las instrucciones al recibirlo.
Pág. 22/45
Recibirá un mail indicándole que La Autoridad Certificante ha emitido un certificado para
Ud. Y podrá descargarlo e instalarlo en el ePass haciendo click en el link que dice "Ir al
paso 7" para poder acceder a la página de la Autoridad Certificante y siguiendo las
indicaciones allí presentes.
Pág. 23/45
Haga click en “ Ir a Paso 7”
Su certificado ha sido emitido y se encuentra disponible para que usted lo descargue e
instale dentro de su ePass simplemente presionando “Retirar Certificado”
Pág. 24/45
2.7
Retire e Instale su Certificado
Una vez que ha presionado el botón ‘Retirar certificado’, podrá ver una página donde se
muestran los datos del mismo.
Se desplegará un mensaje de alerta avisando que se instalará un certificado en su
equipo, presione “SI”.
Pág. 25/45
Si no está autenticado frente al dispositivo, se le solicitará nuevamente que ingrese su
PIN de usuario. Hágalo cómo lo hizo previamente y continúe con el procedimiento.
Al generar el certificado dentro del ePass se le mostrará nuevamente la ventana de
advertencia anterior. Haga click en “Si” y continúe.
Podrá ver el progreso de la generación del certificado a través de los mensajes que
aparecerán en el System Tray:
Pág. 26/45
Luego se abrirá la siguiente pantalla, informándole que el certificado fue descargado e
instalado exitosamente.
Una vez que Ud. posee un certificado puede firmar digitalmente un correo electrónico.
Proceda según el programa de correo electrónico que Ud. utilice.
Consulte por las diferentes guías de integración que el equipo de tecnología esta
preparando para los diferentes programas de correo y navegadotes de internet para su
correcta configuración, enviando un email a [email protected]
NOTA:
Es importante que tenga en cuenta que una vez que se genera el par de claves en el
ePass 2000 FT12 Token USB, la clave privada no puede ser exportada, y aquí
hacemos hincapié en la gran seguridad que brinda este dispositivo.
Si desea tener un backup de la clave privada, continúe leyendo la siguiente sección.
Pág. 27/45
3
Backup de su certificado
Si se está utilizando el certificado para firmar y encriptar correo electrónico, por
ejemplo, es importante tener en cuenta que sucede si la clave privada se pierde.
Todos los mails que hayan sido encriptados para el propietario de esa clave se
perderán también, ya que no será posible desencriptarlos.
Por este motivo, en algunos casos, resulta conveniente contar con una copia de
resguardo de la clave privada.
ePass 2000 FT12 protege la clave privada con absoluta robustez. De hecho, una vez
que la clave es almacenada en el dispositivo, no puede ser exportada ni accedida.
Todas las operaciones que requieran de esta clave, serán realizadas on board, a
través del chip smart card interno del ePass Token USB.
Por este motivo, si el certificado es generado como se documentó en las secciones
anteriores (habiendo sido generado directamente dentro del ePass Token, con el CSP
de Feitian ePass2000), se gana en seguridad, pero siguiendo el mismo lineamiento, es
imposible obtener una copia de resguardo del certificado en caso de que el ePass
haya sido extraviado o destruido.
Entonces, si se desea crear un backup del certificado, deberá generarse en la PC y
luego ser importado al ePass. Debemos prestar especial atención al tratamiento dado
a la copia del certificado (archivo) para evitar que sea mal utilizado.
3.1
Como generar un Backup de su certificado
Dado a que una vez generado el certificado digital a través de motor criptográfico del
ePass (onboard), la clave privada del mismo no puede ser exportada. En este punto ya
es imposible realizar un backup del certificado.
Por lo tanto, al momento de requerir o seleccionar un motor criptográfico Ud. Podrá
dejar el motor que se le presenta por defecto.
3.2
Cambie el Proveedor de Servicios Criptográficos
Los pasos mencionados en toda la sección 2 son idénticos hasta el punto 2.4.3
En este caso, deberá cambiar el proveedor de servicios criptográficos, para poder
mantener una copia de seguridad de su certificado digital.
Pág. 28/45
Puede realizar la operación con el motor que aparece por defecto.
3.3
Solicite su Certificado
Haga click en ‘Solicitar Certificado’
Aparecerá un mensaje para confirmar la acción, haga click en ‘Si’
1. Se mostrará la ventana "Contenedor de clave privada" para realizar la generación
de un par de claves RSA.
2. Vaya a “Nivel de Seguridad”, el nivel de seguridad preestablecido es "medio", se
recomienda cambiarlo a "alto".
Pág. 29/45
3. y luego haga click en siguiente para establecer una contraseña para proteger su
clave privada.
Ingrese una clave en el campo “Contraseña” y luego confírmela en el campo “Confirmar”
RECUERDE ESTA CONTRASEÑA, y NO Permita que el Sistema Operativo (browser)
la guarde y la recuerde por Usted.
Haga 'click' en “Finalizar”. Y luego “OK”
Pág. 30/45
Esta contraseña le será requerida cada vez que necesite firmar algún archivo o
correo electrónico.
4. Aparecerá a continuación una ventana similar indicando que se firmará la
información ingresada en el formulario. Ingrese la contraseña que estableció en el
paso anterior y haga 'click' en “Aceptar”
Luego haga click en OK, y pasará al siguiente paso que es la confirmación de
Recepción de Solicitud.
Pág. 31/45
3.4
Chequee su eMail
El procedimiento siguiente es idéntico al aplicado previamente. Saltearemos las
páginas de confirmación de mail e iremos directamente al punto en el que retiraremos
el certificado. Pasando directamete al paso 7
Pág. 32/45
3.5
Retire e Instale su Certificado en el browser
Haga click en Retirar certificado
Pág. 33/45
Se desplegará un mensaje de alerta avisando que se instalará un certificado en su PC,
presione “SI”.
Luego se abrirá la siguiente pantalla, informándole que el certificado fue retirado
exitosamente.
Pág. 34/45
Una vez que ha recibido e instalado su certificado digital, puede exportarlo de la PC para
luego importarlo dentro del ePass (vea el siguiente punto para mayor información).
Recuerde que la clave privada almacenada en el ePass nunca será exportada. Por lo
tanto, para tener una copia de seguridad de su certificado instalado, debe guardar el
archivo en algún lugar seguro.
3.6
Exporte Su Certificado
El certificado que acaba de obtener fue instalado en el “repositorio local” de su PC. Este
no es un lugar seguro para el mismo, ya que puede ser copiado y mal utilizado, eliminado
o perdido entre otros peligros. Por lo tanto, recomendamos moverlo a un almacenamiento
seguro, como es ePass.
Para ello, primero debe exportar el certificado del repositorio local. Abra su browser, y
diríjase al menú “Herramientas” y luego a “Opciones de Internet”. En la ventana que se
abre, seleccione la solapa “Contenido”
Pág. 35/45
Haga click en el botón “Certificados”. Se mostrará una ventana como la que se muestra a
continuación.
Seleccione el certificado que acaba de crear. Tenga en cuenta que es el certificado que
ha sido emitido por la AC de la Subsecretaría de la Gestión Pública para Certificados
de Correo Electrónico. Haga click en ‘Exportar’. Se abrirá un asistente de exportación,
como se muestra en la siguiente figura.
Pág. 36/45
Haga click en Siguiente. El siguiente paso es muy importante, ya que le dará la opción de
exportar la clave privada, que es justamente lo que estamos buscando.
Pág. 37/45
Seleccione la opción para exportar la clave privada y haga click en ‘Siguiente’
La pantalla a continuación, le permitirá seleccionar varias opciones
Si lo desea, puede eliminar el certificado del Repositorio local activando la opción
“Eliminar la clave privada si la exportación es exitosa”.
Haga click en ‘Siguiente’. Podrá elegir una contraseña para proteger el archivo exportado.
Es altamente recomendable asignar una contraseña en esta etapa, para proteger la clave
privada y evitar que cualquiera que tenga acceso al archivo pueda utilizarlo.
Pág. 38/45
Asigne una password y haga click en ‘Siguiente’
Pág. 39/45
Seleccione el nombre del archivo para el certificado exportado. Si lo desea puede clickear
en ‘Explorar’ para almacenar el archivo en un directorio específico.
Haga click en ‘Siguiente’. La próxima pantalla le mostrará un resumen de sus
especificaciones.
Confirme las especificaciones y haga click en ‘Finalizar’.
Pág. 40/45
El sistema requerirá que ingrese la password que Ud. ha asignado en el proceso de
requerimiento de certificado (nótese que puede no ser la misma que Ud. ha seleccionado
en el paso anterior).
Ingrese la password que asignó al certificado en el punto 3.3 y haga click en ‘Aceptar’.
Finalmente, se le mostrará la siguiente ventana, indicando que el proceso de exportación
fue exitoso
Pág. 41/45
3.7
Importe su Certificado al ePass 2000 FT12 Token USB
Una vez que cuenta con su certificado en forma de archivo, podrá importarlo al ePass
para utilizarlo tradicionalmente.
La herramienta de Administración (Manager) lo ayudará en esta tarea.
Conecte el ePass 2000 FT12 en la PC y ejecute el Manager. Se le mostrará la siguiente
ventana:
Haga click sobre el nombre de su ePass Token y verá una pantalla como la siguiente en
el panel derecho.
Pág. 42/45
Haga click en Login.
Se le solicitará que ingrese el PIN de usuario si aún no está autenticado frente al
dispositivo. Ingrese el PIN correcto y haga click en “Login”.
Pág. 43/45
Si el PIN es correcto, se mostrará una imagen como la siguiente si no cuenta con ningún
certificado dentro del dispositivo. En caso de haber almacenado algún certificado en el
mismo, aquí podrá ver la información de ellos (clave pública, clave privada, certificado)
Haga click en el botón “Importar
Pág. 44/45
”.
Seleccione la ruta en donde se encuentra el archivo de certificado que desea importar.
Puede clickear en el botón “…” para ayudarse en su búsqueda.
Seleccione el archivo correcto y haga click en abrir. La ruta de acceso será copiada en el
campo correspondiente, como se muestra en la siguiente imagen.
Pág. 45/45
Luego ingrese la password (si la hubiera) del certificado a importar y haga click en
“Aceptar”.
La password que debe ingresar es la que eligió en el proceso de exportación.
Podrá ver los mensajes de progreso en el icono del System Tray:
Cuando la transferencia se haya completado, recibirá el siguiente aviso
:
Al terminar el proceso, podrá ver el certificado almacenado en el ePass desde la misma
herramienta de administración.
Ahora ya cuenta con su Certificado almacenado dentro del ePass 2000, y puede utilizarlo
como si hubiera sido generado en el dispositivo directamente. Además, cuenta con el
archivo de certificado (el que ha exportado) en su PC.
En caso de perderse el ePass Token, o sufrir roturas, puede adquirir un nuevo dispositivo
e importar este certificado nuevamente. Le recomendamos que guarde la copia del
certificado exportado en un lugar seguro, que no sea accesible por cualquier persona no
autorizada.

Integración PKI (pki.gov.ar)

Transcripción

Documentos relacionados

Formato de Vinculación de Servicios – Portal de Internet

macroseguridad.org introduce time stamping f

Consulta de Empresas

Los Materiales más raros del mundo