Certificados digitales de la fnmt en windows 7

Id. de artículo: 978599 - Ver los productos a los que se aplica este artículo


Contraer esta imagenAmpliar esta imagen
Clic aquí para ver la Renuncia legal de las Soluciones de las Comunidades

  Escrito por: Enrique Cortés  |   Blog: http://ekort.blogspot.com/
Expandir todo | Contraer todo

En esta página

Resumen

¿Qué es un certificado digital?

Un certificado digital es un documento electrónico que puede ayudarte a identificar al propietario de un sitio web y a tomar decisiones sobre la confianza que merece el sitio con respecto a la información personal o financiera. Los certificados son emitidos por entidades emisoras de certificados cuya responsabilidad es confirmar la identidad de la organización o del propietario del sitio web. Por tanto, es como un documento de Identidad que te permite identificarte, firmar y cifrar electrónicamente documentos y mensajes. Sus principales aplicaciones son:

  • Autentificar la identidad del usuario, de forma electrónica, ante terceros.
  • Realizar trámites electrónicos ante la Agencia Tributaria, la Seguridad Social, las Cámaras y otros organismos oficiales.
  • Trabajar con facturas electrónicas.
  • Firmar digitalmente correo electrónico y todo tipo de documentos.
  • Cifrar datos para que sólo el destinatario del documento pueda acceder a su contenido.

Existen muy diversos tipos de certificados digitales, los cuales proporcionan la identificación y el cifrado del sitio web que permiten garantizar conexiones seguras. Uno de los más importantes para poder comunicarnos de forma segura con los organismos públicos, como la Agencia Tributaria, la Seguridad Social, y otros organismos de la Administración Central, Local o Autonómica, es el certificado emitido por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM) que son certificados de la Clase 2 CA. En este artículo explico, de forma detallada, todo el procedimiento que debes seguir en Windows 7 con Windows Internet Explorer 8 ó 9 para obtener y utilizar un certificado de la FNMT. Debes tener en cuenta que la parte del proceso de obtención del certificado, hasta que pueda ser utilizado, debe realizarse en el mismo equipo y en el mismo navegador, es decir, los procesos de solicitud e instalación del certificado. Una vez ya esté listo para ser utilizado, puedes exportarlo como copia de seguridad y usarlo en otros equipos con otros sistemas y navegadores.

Podemos dividir todo el proceso en varios capítulos:

  • Configuración
  • Solicitud
  • Registro
  • Descarga e instalación
  • Exportación
  • Importación
  • Uso en línea


Volver al principio | Enviar comentarios

Configuración del sistema operativo y del explorador de Internet

Antes de iniciar los procesos de solicitud, descarga e instalación del certificado de la FNMT en Windows 7, es necesario preparar el entorno operativo para evitar cualquier complicación imprevista, es decir tomar las medidas de seguridad idóneas que nos eviten problemas y errores. Seguiremos este proceso de configuración:

Actualización del Sistema Operativo

Antes que nada, es importante tener el sistema actualizado con las últimas actualizaciones de seguridad de Microsoft. Aunque tengas Windows 7 configurado para recibir e instalar automáticamente dichas actualizaciones, no está de más echar un vistazo:

  • Accede al apartado Windows Update (Inicio > Todos los programas > Windows Update) y pulsa en Buscar actualizaciones. Cuando termine la búsqueda, descarga e instala las actualizaciones de seguridad recomendadas. Si es necesario, reinicia el sistema:

Contraer esta imagenAmpliar esta imagen




Desinstalación de Internet Explorer 9 Beta

Si tienes instalada cualquier versión preliminar de Internet Explorer 9 (IE9 Beta ó IE9 RC) es totalmente aconsejable desinstalarla para llevar a cabo los procesos de solicitud e instalación del certificado digital, que deben realizarse en una versión estable del navegador. Aunque podría funcionar con IE9 Beta, no es nada recomendable. La versión beta de Internet Explorer 9 es un software que todavía está en fase de desarrollo. El término "beta" significa que el software todavía está siendo sometido a pruebas y no se aconseja instalar en sistemas de producción. Lógicamente, los certificados digitales se instalan en sistemas de producción.

Para desinstalar Internet Explorer 9 Beta en Windows 7 sigue estos pasos:

  1. Pulsa en el botón Inicio.
  2. Escribe Programas en el cuadro de búsqueda y, a continuación, pulsa en Programas y característicasdel Panel de control.
  3. Pulsa en Ver actualizaciones instaladas.
  4. Pulsa con el botón secundario en Windows Internet Explorer 9y, a continuación, pulsa en Desinstalar. Cuando aparezca la pregunta, haz clic en .

    Contraer esta imagenAmpliar esta imagen

  5. Por último, reinicia el sistema para finalizar el proceso de desinstalación de Internet Explorer 9 y restaurar la versión anterior de Internet Explorer.
Al reiniciar el sistema, obtendrás de nuevo la versión estable de Internet Explorer 8.

Cuando el certificado personal de la FNMT se haya instalado correctamente y esté en perfectas condiciones de uso, podrás volver a instalar, si lo deseas, la versión estable de Internet Explorer 9.


Instalación del Hotfix 2078942 de Microsoft

Es absolutamente necesario instalar esta actualización de Microsoft en Windows 7 antes de proceder a la solicitud del certificado de la FNMT. Sin esta actualización es más que probable que se produzca un error. El problema, que no es específico de la FNMT, afecta a todos los equipos con Windows 7 que incluyan un mecanismo de"enrollment". Como consecuencia, el control de solicitud de certificados (CertEnroll) no funciona con Internet Explorer 8 en equipos que ejecutan Windows 7 cuando se incluye en un elemento FRAME o IFRAME en la página web, que es el caso de la página de la FNMT. Tienes más información sobre este problema en el blog de desarrolladores MSDN de Microsoft:

CertEnroll control won't work when hosted inside a frame/iframe in IE8
(http://blogs.msdn.com/b/alejacma/archive/2010/05/25/certenroll-control-won-t-work-when-hosted-inside-a-frame-iframe-in-ie8.aspx)


Para resolver esta situación, instala el hotfix 322891 relacionado con el artículo de la Knowledge Base 2078942 de Microsoft, mientras la entidad de certificación (FNMT) no actualice sus páginas teniendo en cuenta ciertas recomendaciones (tal como se indica en el blog de MSDN), y mientras Microsoft no lo incluya en el próximo service pack para Windows 7:

The CertEnroll control does not work in Internet Explorer 8 on a computer that is running Windows 7 or Windows Server 2008 R2
(http://support.microsoft.com/kb/2078942/en-us)


Sigue este procedimiento para instalar el Hotfix 322891:

  1. Pulsa en el siguiente enlace para solicitar el citado Hotfix:

    http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2078942
    (http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2078942)

  2. Acepta los términos de la licencia que aparecen en pantalla
  3. Elige el paquete adecuado para instalar según tu versión de Windows 7. Las opciones son:

    **Windows 7/WindowsServer 2008 R2 (x86) ? Para Windows 7 de 32 bits
    **Windows 7/WindowsServer 2008 R2 (x64) ? Para Windows 7 de 64 bits
    **Windows 7/WindowsServer 2008 R2 (ia64) ? Para Arquitectura Intel (Intel Itanium) de 64 bits

    Seguramente, el sistema detectará la versión de tu sistema operativo y te ofrecerá la opción directamente.
  4. Propociona tu dirección de correo electrónico, escribe los 6 caracteres que se muestran en la imagen, y pulsa en Solicitar revisión.
  5. Microsoft te enviará un email con el enlace para descargar el paquete. En dicho correo también se te enviará una contraseña para poder instalarlo. En la mayoría de los casos, se recibe el mensaje antes de que pasen cinco minutos. Sin embargo, debido a irregularidades en algunos sistemas de entrega de correo electrónico esta recepción puede retrasarse. El correo será enviado por la cuenta "hotfix@microsoft.com
    (mailto:hotfix@microsoft.com)
    ". Si estás usando algún tipo de filtro de correo no deseado, se recomienda que agregues el dominio "hotfix@microsoft.com
    (mailto:hotfix@microsoft.com)
    ? y ?microsoft.com? a la lista de elementos de correo electrónicos seguros. Esto evitará que tu correo sea enviado a la carpeta de correo electrónico no deseado.
  6. Una vez recibido el correo electrónico, descarga el hotfix en el Escritorio.
  7. Crea una carpeta nueva llamada Hotfix_322891, y ejecuta el Hotfix para descomprimir los archivos en ella, utilizando la contraseña que te han enviado en el correo electrónico.
  8. Por último, ejecuta el archivo MSU que se halla en la carpeta para instalar la revisión. No es necesario reiniciar

    Contraer esta imagenAmpliar esta imagen


Instalación de las librerías CAPICOM


CAPICOM es un control ActiveX o una librería (según el caso) de Microsoft que proporciona una interfaz COM para Microsoft CryptoAPI (también llamada Cryptographic Application Programming Interface). CAPICOM permite usar un conjunto de funciones de CryptoAPI para permitir a los desarrolladores de aplicaciones incorporar de forma sencilla la funcionalidad de firma digital y encriptación en sus aplicaciones. Debido a que utiliza COM, los desarrolladores de aplicaciones pueden acceder a esta funcionalidad en una serie de entornos de programación tales como Microsoft Visual Basic, Visual Basic Script, Active Server Pages (ASP), Microsoft JScript, C + +, Delphi, Java, PHP y otros.

CAPICOM se puede empaquetar como un control ActiveX, para ser instalado en los navegadores y permitir a los desarrolladores Web utilizarla en aplicaciones basadas en Web (ASP, PHP, etc.). Además, CAPICOM cuenta con un SDK (kit de desarrollo de software o Software Development Kit) con las librerías necesarias para que sea usado por lenguajes de programación para desarrollar aplicaciones de escritorio.

De esta forma, con CAPICOM podremos implementar la utilidad de uso de certificados digitales en nuestras aplicaciones casi sin esfuerzo, pues todas las funciones necerias para el acceso a estos certificados ya están implementadas y listas para ser usadas.

Sin embargo, en Windows 7, CAPICOM no hubiera sido necesario instalarlo, ya que todas las funciones desempeñadas por CAPICOM pueden ser sustituidas por .NET Framework, que ya se instala mediente Windows Update. El problema viene cuando todavía muchas aplicaciones Web que trabajan con certificados digitales, llaman a CAPICOM, y si estas librerías no están instaladas, se producen errores con los certificados. Por esta razón, aconsejo instalar CAPICOM en Windows 7 de forma independiente a .NET Framework.

Para instalar y poder utilizar CAPICOM, sigue estos pasos:

  1. Descarga el ejecutable CAPICOM 2.1.0.2 desde este enlace
    (http://www.cert.fnmt.es/content/pages_std/software/Capicom_2.1.0.2_FNMT_RCM.exe)
  2. Desactiva el Control de Cuentas de Usuario (UAC). Para ello, desde el menú Inicio, escribe msconfig en el cuadro de búsqueda y, a continuación, pulsa en msconfig.exe. En el cuadro de Configuración del sistema pulsa en la pestaña Herramientas y marca Cambiar configuración de UAC. Pulsa en Iniciar y se abrirá la ventana de configuración de UAC. Sitúa el control deslizante abajo de todo (No notificarme nunca) y pulsa Aceptar. No reinicies el sistema todavía.
  3. Ejecuta el archivo Capicom_2.1.0.2_FNMT_RCM descargado para instalar la aplicación, y reinicia el sistema

    Contraer esta imagenAmpliar esta imagen


  4. Después de reiniciar, registra la librería Capicom.dll, de la siguiente manera: desde el menú Inicio, escribe el siguiente comando en el cuadro de búsqueda y, a continuación, pulsa Enter:

    Windows 7 de 32 bits: regsvr32 %windir%\System32\capicom.dll
    Windows 7 de 64 bits: regsvr32 %windir%\SysWOW64\capicom.dll
Finalmente, aparecerá un mensaje de confirmación que debes aceptar. De esta forma, tendremos disponible CAPICOM y se podrá utilizar para firmar datos y código digitalmente, comprobar firmas digitales, proteger la privacidad de datos, hacer hash de datos y cifrar y descifrar datos, entre otras aplicaciones.



Instalación/Actualización de los certificados raíz en Internet Explorer

La FNMT-RCM pertenece a los Miembros del Programa de certificados Raíz de Windows (Programa creado por Microsoft). Debido al cambio en la forma de trabajo de Microsoft con los certificados raíz de las entidades de certificación y a la creación del mencionado programa, los certificados raíz han pasado a instalarse a través de actualizaciones de seguridad. A partir de Windows Vista, y por tanto también en Windows 7, los certificados emitidos por las Entidades de certificación raíz de confianza se instalan de forma automática en el explorador de Internet al acceder online a las citadas entidades.

Cuando visitas un sitio Web seguro (HTTPS usando SSL), o lees un correo electrónico seguro, o descargas un control ActiveX firmado digitalmente, y se encuentra un nuevo certificado raíz en el sitio, el software de verificación de cadena de certificados de Windows comprueba la Actualización de Microsoft y si aparece ese certificado raíz, se descarga e instala en el navegador de forma automática y transparente para el usuario.

Contraer esta imagenAmpliar esta imagen



No obstante, se recomienda que los sistemas que ejecutan Windows cliente en entornos desconectados (por ejemplo, cuando el mecanismo de actualización automática no funciona, ya que la conectividad a Microsoft Update no está disponible) instalen el paquete de actualización de certificados raíz. El paquete de actualización se instalará en Windows Vista y Windows 7 como una solución en entornos desconectados, pero no se recomienda en sistemas que tienen conectividad de red con Microsoft Update.

Se puede descargar e instalar la última actualización de esta lista (22 de octubre de 2010) desde este enlace:
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe
(http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe)


Más información sobre el Programa de Miembros de Certificados Raíz:
Windows root certificate program members
(http://support.microsoft.com/kb/931125/es-es)




Configuración de seguridad en Internet Explorer 8/9

Para empezar, es importante partir desde una configuración predeterminada de seguridad en Internet Explorer. De forma predeterminada, Internet Explorer está configurado para proporcionar un nivel de seguridad que puede protegerte de las amenazas más corrientes cuando se explora Internet, como spyware u otros tipos de código malintencionado. Esta configuración puede ayudarte a protegerte de amenazas de seguridad conocidas, como sitios web que instalan complementos u otros programas sin tu conocimiento. No obstante, para poder llevar a cabo todo el proceso de solicitud e instalación de las claves pública y privada en el sitio web de la FNMT sin ningún tipo de complicaciones, debes otorgarle al sitio un nivel de seguridad adecuado que te evite problemas. Para adoptar esta configuración especial de Internet Explorer, sigue este proceso completo:

  1. Desactiva el Control de Cuentas de Usuario (UAC) si está activado. Para ello, desde el menú Inicio, escribe msconfig en el cuadro de búsqueda y, a continuación, pulsa en msconfig.exe. En el cuadro de Configuración del sistema pulsa en la pestaña Herramientas y marca Cambiar configuración de UAC. Pulsa en Iniciar y se abrirá la ventana de configuración de UAC. Sitúa el control deslizante abajo de todo (No notificarme nunca) y pulsa Aceptar.

    Contraer esta imagenAmpliar esta imagen


  2. Reinicie el sistema para implementar los cambios.
  3. Restablece la configuración predeterminada de IE8/IE9, con lo cual éste volverá al estado en el que se encontraba cuando se instaló en el equipo por primera vez. Para llevarlo a cabo sigue estos pasos:

    1. Cierra todas las ventanas de Internet Explorer y del Explorador de Windows que tengas abiertas.
    2. Abre Internet Explorer.
    3. Pulsa en el menú Herramientas y, a continuación, en Opciones de Internet.
    4. Pulsa en la pestaña Opciones avanzadas y, a continuación, en Restablecer.
    5. Selecciona la casilla Eliminar configuración personal si deseas quitar datos del historial de exploración, de proveedores de búsquedas y de aceleradores, de páginas principales y de filtrado InPrivate.
    6. En el cuadro de diálogo Restablecer configuración de Internet Explorer, pulsa en Restablecer.
    7. Cuando Internet Explorer termine de restaurar los valores predeterminados, pulsa en Cerrar y, a continuación, en Aceptar.
    8. Cierra Internet Explorer. Los cambios surtirán efecto la próxima vez que abras Internet Explorer.
    Para más información sobre el restablecimiento de la configuración original de IE8, puedes consultar el siguiente artículo:
    Cómo restablecer la configuración original de IE8 (RIES)
    (http://ekort.blogspot.com/2009/08/como-restablecer-la-configuracion.html)
  4. Establece la configuración de seguridad específica para el sitio Web. Abre Internet Explorer 8 y pulsa en Herramientas > Opciones de Internet > Seguridad.

    1. Pulsa en Sitios de Confianza.
    2. Desplaza el control deslizante hacia abajo hasta seleccionar nivel Bajo.
    3. Pulsa en el botón Sitios.
    4. En la parte inferior, desmarca la opción Requerir comprobación del servidor (https://) para todos los sitios de la zona.
    5. En el cuadro de texto Agregar este sitio Web a la zona agrega las siguientes direcciones URL:

      http://*.fnmt.es
      https://*.fnmt.es

      pulsando en Agregarpara cada dirección URL. Por último, pulsa en Cerrar.
    6. Pulsa ahora en Nivel personalizado y habilita las siguientes opciones de configuración para estas URLs en el apartado Controles y complementos de ActiveX:

      • Comportamiento de binarios y de scripts
      • Descargar los controles ActiveX firmados.
      • Descargar los controles ActiveX sin firmar.
      • Ejecutar controles y complementos de ActiveX.
      • Generar scripts de los controles ActiveX marcados como seguros para scripts.
      • Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
      • Pedir intervención del usuario automática para controles ActiveX
      • Permitir que todos los controles ActiveX no usados anteriormente se ejecuten sin preguntar.
      • Permitir scriptlets.

    7. Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes aceptar.
    8. Pulsa, a continuación, en el icono Internetde la pestaña Seguridad.
    9. Desplaza el control deslizante hacia abajo, hasta seleccionar nivel Medio.
    10. Pulsa en Nivel personalizado y busca en el apartado Controles y complementos de ActiveXla opción:

      Inicializar y generar scripts de los controles de activeX no marcados como seguros para scripts. Marca esta opción en Preguntar.
    11. Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes aceptar.
    12. Pulsa, a continuación, en la pestaña Opciones avanzadas
    13. En el cuadro Configuración, accede al apartado Examinary desmarca la casilla de verificación Habilitar extensiones de explorador de terceros.
    14. Por último, pulsa Aplicary Aceptar.
    15. Cierra Internet Explorer para que se apliquen los cambios
Volver al principio | Enviar comentarios

Solicitud del certificado de la FNMT-RCM

A partir de este momento, ya puedes solicitar tu certificado personal. Para obtener el certificado necesario y poder utilizar los servicios de firma digital, debes solicitarlo en la página web de la Fábrica Nacional de Moneda y Timbre, http://www.cert.fnmt.es
(http://www.cert.fnmt.es)


Inicia Internet Explorer 8 y accede a la citada página web, http://www.cert.fnmt.es
(http://www.cert.fnmt.es)
, y pulsa en Obtenga el CERTIFICADO de usuario en la parte superior derecha de la misma. Antes de iniciar el proceso de solicitud, es conveniente leerse la Declaración de Prácticas de Certificación
(http://www.cert.fnmt.es/dpc/dpcc2.pdf)
.

Nota: es muy importante desactivar cualquier antivirus, firewall de terceros y cualquier otro programa de seguridad (antispyware, antimalware, antipop-ups...) que esté iniciado, antes de proceder a la solicitud del certificado. Desactiva estos programas desde la bandeja de sistema (al lado del reloj).

A continuación, pulsa en Solicitud vía internet de su Certificado y se mostrará la página para que introduzcas tu NIF, tal como se muestra en esta imagen:

Contraer esta imagenAmpliar esta imagen



Introduce tu NIF en la casilla y pulsa en Enviar petición. Automáticamente, te aparecerá en pantalla un mensaje de confirmación de acceso web para realizar una operación de certificado digital en tu nombre, tal como aparece en la imagen:

Contraer esta imagenAmpliar esta imagen



lsa en Sí. Te aparecerá inmediatamente el código de la solicitud. Imprime esta página, o en su defecto apunta este código, y guárdalo en lugar seguro. Lo necesitarás para acabar de cumplimentar la solicitud en la oficina de registro, y también para la descarga de tu certificado una vez se haya generado.

Volver al principio | Enviar comentarios

Acreditación de la identidad en una Oficina de Registro

Con el código de solicitud obtenido en el paso anterior, deberás personarte físicamente en una oficina de registro para acreditar tu identidad, por ejemplo en cualquier delegación de la Agencia Tributaria. La documentación a presentar será:
  • DNI o tarjeta de residencia (NIE)
  • ódigo de solicitud del certificado
En la Oficina de Registro te validarán el código y deberás firmar por triplicado el documento de "Solicitud de Certificado". Si dispones de una dirección de correo electrónico válida, puedes facilitarla para que te envíen la confirmación de solicitud. Una vez recibida la confirmación (que suele ser al cabo de unas 24-48 horas) de que se ha procesado correctamente la solicitud, ya puedes descargar el certificado digital desde el sitio web.
Volver al principio | Enviar comentarios

Descarga e instalación del certificado digital

Antes que nada, es muy importante asegurarse que la configuración del sistema y de seguridad de Internet Explorer 8 no se haya modificado desde que se realizó la solicitud. Accede de nuevo a la página web de la FNMT, www.cert.fnmt.es
(www.cert.fnmt.es)
, y pulsa en Obtenga el CERTIFICADO de usuario en la parte superior derecha de la misma. A continuación, pulsa en Descarga de su Certificado de Usuario. En el formulario que aparece, escribe el NIF y el código de solicitud ya validado y pulsa en Enviar petición, tal como se aprecia en la imagen:

Contraer esta imagenAmpliar esta imagen


Al cabo de unos instantes, si no hay ningún problema, se descargarán e instalarán de forma automática dos certificados:
  • Certificado AC RAIZ FNMT-RCM, que se instala en el almacén Entidades de certificación raíz de confianza
  • Certificado personal a tu nombre, de la FNMT, que se instala en el almacén Personal
y te aparecerá la página conforme se ha instalado con éxito tu certificado:

Contraer esta imagenAmpliar esta imagen


Para comprobar que ambos certificados se han instalado de forma correcta en Internet Explorer 8, accede al menú Herramientas > Opciones de Internet > Contenido > Certificados. En la pestaña Personal, observa que aparece tu certificado instalado. Pulsa en Very observa, en la pestaña General, que aparece el dibujo de una llave con el enunciado Tiene una clave privada correspondiente a este certificado. Pulsa ahora en Aceptarpara cerrar la ventana, y pulsa en Opciones avanzadas. En esta ventana, marca todos los propósitos que aparecen disponibles para este certificado digital, y de nuevo pulsa Aceptar.

Seguidamente, pulsa en la pestaña Entidades de certificación raíz de confianza, y entre las entidades de confianza debe aparecerte el certificado AC RAIZ FNMT-RCM (o bien FNMT Clase 2 CA). Selecciónalo y pulsa en Opciones avanzadas. En esta ventana, marca todos los propósitos que aparecen disponibles para este certificado digital, y de nuevo pulsa en Aceptary Cerrar.

Si todo esto es correcto, ya sólo te queda comprobar que funcione el certificado vía online, y crear una copia de seguridad del mismo.

Nota: La sola instalación del certificado de la FNMT de forma automática NO ES SUFICIENTE SEGURIDAD para el usuario. Es necesario que protejas la clave privada mediante contraseña para que sólo tú puedas acceder a tu información privada a través de Internet. Si no proteges el certificado, cualquiera podrá utilizarlo en tu nombre. Para protegerlo antes de su uso, debes realizar una exportación del mismo, en un archivo de copia de seguridad, y acto seguido volverlo a importar al navegador. En este proceso exportación/importación la clave privada se protege mediante una contraseña. Para saber cómo hacerlo, lee los apartados Copia de seguridad del certificado de la FNMT e Importación del certificado de la FNMT de este artículo.


Restablecimiento de la seguridad en el sistema e Internet Explorer

Una vez descargado el certificado de la FNMT, y comprobado que se halla correctamente instalado en el almacén Personal de certificados, es necesario revertir la configuración de seguridad de Internet Explorer a los niveles recomendados:

En primer lugar, vuelve a activar el Control de Cuentas de Usuario (UAC) deshaciendo los pasos anteriores y reinicia el sistema para implementar los cambios.

Abre Internet Explorer y restablece la seguridad predeterminada: pulsa en Herramientas > Opciones de Internet > Seguridad, y haz clic en Restablecer todas las zonas al nivel predeterminado. Pulsa Aplicar y Aceptarpara cerrar el cuadro de diálogo.

Activa de nuevo los programas que habías deshabilitado anteriormente desde la bandeja de sistema, especialmente los programas de protección contra software no deseado y de protección antivirus.

Volver al principio | Enviar comentarios

Copia de seguridad del certificado de la FNMT

Una vez instalado el certificado y verificado que se halla en el almacén Personal, es necesario realizar una copia de seguridad del mismo. De esta forma, cuando realices de nuevo la importación de este archivo de copia de seguridad al navegador, habrás protegido el certificado y su clave privada asociada mediante contrtaseña, para que sólo tú puedas utilizarlo. Además, con este archivo de exportación podrás instalarlo en cualquier otro equipo y en cualquier otra versión de Internet Explorer, o volverlo a instalar si te ves obligado a formatear el sistema. Para realizar la exportación, sigue este procedimiento:

  1. Pulsa en Inicio. En el cuadro de búsqueda escribe certmgr.msc y pulsa Enter.
  2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
  3. En el Administrador de Certificados de Usuario, pulsa en Personal > Certificados. En el panel de la derecha, aparecerá tu certificado de la FNMT:

    Contraer esta imagenAmpliar esta imagen

  4. Selecciona el certificado y pulsa en el menú Acción > Todas las tareas > Exportar.
  5. En el Asistente para exportación de certificados, pulsa Siguientey marca la opción Exportar la clave privada, tal como muestra la figura:

    Contraer esta imagenAmpliar esta imagen


    De forma predeterminada, la protección de alto nivel (también conocida como iteration count) está habilitada en el Asistente para exportación de certificados cuando se exporta un certificado con su clave privada asociada. La protección segura no es compatible con algunos programas, por lo que deberás desactivar la casilla Permitir protección segura si utilizas la clave privada con algún programa que no sea compatible con la protección segura.

  6. En la siguiente pantalla, elige el formato de exportación: Intercambio de información personal: PKCS #12 (.PFX). Seguramente aparecerá ya marcada esta opción por defecto al tratarse de un certificado con una clave privada exportable. De las tres casillas que siguen, marca únicamenteExportar todas las propiedades extendidas y pulsa Siguiente:

    Contraer esta imagenAmpliar esta imagen


  7. En el siguiente cuadro, escribe una contraseña para la clave privada, confírmala y pulsa Siguiente.
  8. A continuación, especifica una ruta y un nombre de archivo para la copia de seguridad:

    Contraer esta imagenAmpliar esta imagen


  9. Pulsa en Siguientey en Finalizar. La exportación ya se ha completado. Es muy importante guardar esta copia en un lugar seguro, como un disquete, o una unidad de almacenamiento.
Nota sobre los formatos de archivo de los certificados: Las operaciones de importación y exportación de certificados admiten cuatro formatos de archivo:

  1. Intercambio de información personal (PKCS #12). El formato Intercambio de información personal (PFX, también denominado PKCS #12) admite el almacenamiento seguro de certificados, claves privadas y todos los certificados en una ruta de certificación. El formato PKCS #12 es el único formato de archivo que se puede usar para exportar un certificado y su clave privada.
  2. Estándar de sintaxis de cifrado de mensajes (PKCS #7). El formato PKCS #7 admite el almacenamiento de certificados y todos los certificados en la ruta de certificación.
  3. DER binario codificado X.509. El formato de reglas de codificación distinguible (DER) admite el almacenamiento de un certificado único. Este formato no admite el almacenamiento de la clave privada o la ruta de certificación.
  4. X.509 codificado base 64. El formato Base64 admite el almacenamiento de un certificado único. Este formato no admite el almacenamiento de la clave privada o la ruta de certificación.

Volver al principio | Enviar comentarios

Importación del certificado de la FNMT

Para incorporar un certificado personal expedido por la FNMT a un equipo nuevo, y que tienes guardado en una copia de seguridad, debes proceder de la siguiente manera:

  1. Pulsa en Inicio. En el cuadro de búsqueda escribe certmgr.msc y pulsa Enter.
  2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en Continuar.
  3. En el Administrador de Certificados de Usuario, selecciona la carpeta Personaly pulsa en Acción > Todas las tareas > Importar. Se ejecutará el Asistente para importación de certificados. Pulsa Siguiente.
  4. En Nombre de archivo, pulsa en Examinary localiza la ruta donde tienes el archivo de copia de seguridad. En la parte inferior de la ventana, elige el formato de archivo: Intercambio de información personal (*.pfx;*.p12) y localiza en la carpeta la copia del certificado. Pulsa Siguiente:
    ([anySimpleType])

    Contraer esta imagenAmpliar esta imagen


  5. En el siguiente cuadro de diálogo, debes escribir la contraseña de la clave privada (la misma que pusiste al realizar la copia de seguridad) y marca las tres casillas de verificación:

    • Habilitar protección segura de clave privada
    • Marcar esta clave como exportable
    • Incluir todas las propiedades extendidas

    Pulsa Siguiente

    Contraer esta imagenAmpliar esta imagen


  6. A continuación, elige Colocar todos los certificados en el siguiente almacén. Pulsa en Examinar y elige el almacén Personal. Pulsa en Siguientey en Finalizar.
  7. Inmediatamente te aparecerá un cuadro de diálogo para crear un elemento protegido mediante CryptoAPI, cuyo nivel de seguridad por defecto es medio:

    Contraer esta imagenAmpliar esta imagen


  8. Pulsa en Nivel de seguridady elige el nivel Altopara establecer una contraseña. Esto es muy importante para que nadie pueda acceder a datos confidenciales usando tu certificado. Pulsa Siguiente y establece una contraseña para el elemento protegido:

    Contraer esta imagenAmpliar esta imagen


  9. Por último, pulsa en Finalizary en Aceptar. La importación del certificado con su clave privada se habrá completado de forma correcta:

    Contraer esta imagenAmpliar esta imagen

Volver al principio | Enviar comentarios

Uso en línea del certificado digital

La utilización del certificado de la FNMT en línea es muy sencillo. Como ya he mencionado, antes de utilizar el certificado digital es necesario protegerlo mediante contraseña, utilizando para ello la exportación y la importación, ya que la simple instalación automática no protege la clave privada. Accede a un sitio web seguro de la Administración, o de la Seguridad Social, por ejemplo, para solicitar una información o descargar un archivo que requiera certificado digital. En primer lugar aparecerá una ventana emergente solicitando identificación mediante firma digital:

Contraer esta imagenAmpliar esta imagen




Elige el certificado, si tienes más de uno, y pulsa Aceptar. A continuación, te solicitará permiso para usar la clave privada. Pulsa en Conceder permisoy escribe la contraseña de la clave privada

Contraer esta imagenAmpliar esta imagen




Pulsa Aceptar, e inmediatamente tendrás acceso a tu información confidencial.
Volver al principio | Enviar comentarios

Más información

Para la correcta visualización de la página web de la AEAT y la realización de los trámites electrónicos, es necesario que tu navegador tenga establecidos ciertos parámetros en su configuración. Para configurar Internet Explorer 8 en Windows 7 y poder realizar las siguientes acciones sin problema te recomiendo que accedas a Internet Explorer como administrador. Para ello, pulsa sobre el icono de Internet Explorer con el botón derecho del ratón y elige Ejecutar como administrador para abrir una ventana. La opción Habilitar modo protegido, activada por defecto en Windows 7, impide que el certificado electrónico funcione correctamente en la página web de la AEAT. Para que no aparezca ningún error sigue estas instrucciones:

Accede a Herramientasen el menú de la parte superior del navegador y entra en Opciones de Internet.

En la pestaña Seguridadpulsa Restablecer todas las zonas al nivel predeterminado; marca el icono Sitios de confianzay pulsa en el botón Sitiosque se habilita para agregar las siguientes direcciones:

https://*.aeat.es
https://*.agenciatributaria.gob.es

La casilla Requerir comprobación del servidor (https:) para todos los sitios de esta zonadebe estar marcada.

De vuelta en la pestaña Seguridad, aún con el icono Sitios de confianzamarcado, desmarca la casilla Habilitar modo protegido (...)que aparece en la parte inferior de esta pestaña y pulsa el botón inferior Nivel personalizado.

En la nueva ventana baja hasta la opción Tener acceso a origen de datos entre dominiosy marca la casilla Habilitar.

En la pestaña Privacidad desmarca la casilla Activar el bloqueador de elementos emergentes.

En la pestaña Opciones avanzadaspulsa en Restaurar configuración avanzada.

A continuación, accede a la pestaña Contenidoy pulsa el botón Certificados. Dentro de la pestaña Personal, haz doble clic sobre tu certificado.

Dentro de la pestaña Detallesaccede a Editar propiedadesy marca la opción Habilitar todos los propósitos para este certificado. Si tienes más de un certificado instalado en el equipo es recomendable asignarle un nombre a cada certificado en Nombre descriptivo, ya que en Windows 7 la ventana de elección del certificado muestra sólo el nombre descriptivo del certificado (no muestra el nombre o el NIF); te sugiero que sea un nombre fácilmente reconocible para seleccionarlo correctamente.

Acepta las ventanas para que los cambios se mantengan y de vuelta en la ventana Certificadosentra en la pestaña Entidades de certificación raíz de confianza, ya que estas acciones debes realizarlas también para el certificado raíz de la entidad emisora. Selecciona el certificado raíz de tu entidad emisora y haz doble clic sobre él (por ejemplo, si se trata de la FNMT deberás seleccionar el certificado "FNMT Clase 2 CA").

Dentro de la pestaña Detallesaccede a Editar propiedadesy marca la opción Habilitar todos los propósitos para este certificado. Pulsa Aceptar. Para terminar pulsa Aplicary Aceptar. Para que el cambio sea efectivo es necesario que cierres todas las páginas de Internet Explorer.

Para más información, consulte: http://soporte.aeat.es/aplicaciones/A3Cknowledge.nsf/vwPreguntasLecturaContribuyentes/6B424FF272FF86C4C12576A2002F9066?OpenDocument
(http://soporte.aeat.es/aplicaciones/A3Cknowledge.nsf/vwPreguntasLecturaContribuyentes/6B424FF272FF86C4C12576A2002F9066?OpenDocument )

Volver al principio | Enviar comentarios

Artículos relacionados y de Ayuda

Descripción de certificados digitales
(http://support.microsoft.com/kb/206637/es)

Introducción a Firma de código
(http://msdn.microsoft.com/en-us/library/ms537361.aspx)

Certificados: preguntas más frecuentes
(http://windows.microsoft.com/es-ES/windows7/Certificates-frequently-asked-questions)

Ver o administrar los certificados
(http://windows.microsoft.com/es-ES/windows7/View-or-manage-your-certificates)

Certificados raíz de confianza necesarios en Windows 7
(http://support.microsoft.com/kb/293781/es)

Miembros del Programa de certificados raíz de Windows
(http://support.microsoft.com/kb/931125/es)

El Control CertEnroll no funciona en Internet Explorer 8 en un equipo que ejecuta Windows 7 o Windows Server 2008 R2
(http://support.microsoft.com/kb/2078942/es)

CAPICOM.dll eliminado del Windows SDK para Windows 7
(http://blogs.msdn.com/b/karinm/archive/2009/01/19/capicom-dll-removed-from-windows-sdk-for-windows-7.aspx)

Instalación de Microsoft Capicom en Windows 7
(http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=481#instalacioncapicom)

Preguntas más frecuentes (FAQ) sobre problemas con los certificados de la FNMT
(http://www.cert.fnmt.es/index.php?cha=cit&o=faq)

Soporte técnico de la FNMT
(http://www.cert.fnmt.es/index.php?cha=cit&sec=9&lang=es)

Vídeo corporativo de Ceres (FNMT) sobre certificados de usuario
(http://www.cert.fnmt.es/index.php?cha=cit&sec=3&page=241&lang=es)

Agencia Tributaria: soluciones a problemas técnicos
(http://www.gsmspain.com/externo.php?gsmurl=https://aeat.es/solucion.html&gsmfrom=/foros/h844894_Off-topic-Informatica_Windows-aeat-certificados.html)

Un problema de Padre y muy señor mío
(http://www.elladodelmal.com/2010/04/un-problema-de-padre-y-muy-senor-mio.html)



Nota: todo lo comentado en este artículo, con la consiguiente obtención y uso del certificado de la FNMT, se ha llevado a cabo en un equipo de sobremesa con Windows 7 Ultimate RTM 64 bits e Internet Explorer 8. Todo este proceso es igualmente válido para Internet Explorer 9, así como para la versió 10, en principio, cuando sea lanzada la versión final (RTW). La información de este artículo se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
Volver al principio | Enviar comentarios

Contraer esta imagenAmpliar esta imagen
RENUNCIA LEGAL DE SOLUCIONES DE LA COMUNIDAD
NI MICROSOFT IBÉRICA S.R.L. ("MICROSOFT") NI SUS RESPECTIVOS PROVEEDORES GARANTIZAN LA IDONEIDAD, FIABILIDAD NI EXACTITUD DE LA INFORMACIÓN Y LOS GRÁFICOS INCLUIDOS. TODA LA INFORMACIÓN Y LOS GRÁFICOS RELACIONADOS SE PROPORCIONAN "TAL CUAL" SIN GARANTÍA DE NINGUNA CLASE. SIN PERJUICIO DE NINGUNA GARANTÍA IMPUESTA POR CUALQUIER LEY DE APLICACIÓN OBLIGADA, MICROSOFT Y/O SUS RESPECTIVOS PROVEEDORES RENUNCIAN POR LA PRESENTE A TODA GARANTÍA Y CONDICIÓN RESPECTO A ESTA INFORMACIÓN Y LOS GRÁFICOS RELACIONADOS, INCLUIDA CUALQUIER GARANTÍA Y CONDICIÓN IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN DETERMINADO FIN, ESFUERZO RAZONABLE, TITULARIDAD Y AUSENCIA DE INFRACCIÓN. USTED ADMITE EXPRESAMENTE QUE, SIN PERJUICIO DE LOS CASOS EN LOS CUALES LA LEY VIGENTE PROHÍBA LA EXCLUSIÓN DE RESPONSABILIDAD POR DAÑOS, BAJO NINGÚN CONCEPTO, NI MICROSOFT NI SUS PROVEEDORES ACEPTARÁN RESPONSABILIDAD ALGUNA POR DAÑOS DIRECTOS O INDIRECTOS DE CUALQUIER ÍNDOLE U ORIGEN (INCLUYENDO, ENTRE OTROS, LOS DAÑOS POR PÉRDIDA DE USO, INFORMACIÓN O BENEFICIOS) QUE SE DERIVEN O ESTÉN RELACIONADOS CON EL USO O INCAPACIDAD DE USO DE LA INFORMACIÓN Y LOS GRÁFICOS RELACIONADOS INCLUIDOS.
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 978599 - Última revisión: lunes, 12 de septiembre de 2011 - Versión: 3.2
La información de este artículo se refiere a:
  • Windows Internet Explorer 9 on Windows Server
  • Windows Internet Explorer 8
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
Palabras clave: 
kbcommunity kbstepbystep kbmvp kbtshoot kbhowto KB978599
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio