Professional Documents
Culture Documents
Manual de usuario
Software Criptogrfico
FNMT-RCM
Versin 1.05
Pgina 1 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
1
DESCRIPCIN. ..................................................................................................... 4
2
REQUERIMIENTOS. ............................................................................................ 6
3
TARJETAS FNMT-RCM...................................................................................... 8
3.1
Tarjeta chip SLE66CX320P ............................................................................. 9
3.1.1
Caractersticas principales del chip SLE66CX320P................................. 9
3.1.2
Caractersticas del Sistema Operativo FN19. ........................................... 9
3.2
Tarjeta chip ST19XL34V2. ............................................................................ 10
3.2.1
Caractersticas principales del chip ST19XL34V2................................. 10
3.2.2
Caractersticas del Sistema Operativo Ceres v.2.0 ................................. 11
4
NOCIONES BSICAS SOBRE CRIPTOGRAFA. ......................................... 13
4.1
Cifrado Digital................................................................................................ 13
4.1.1
Criptografa de Clave Simtrica ............................................................. 14
4.1.2
Criptografa de Clave Pblica................................................................. 15
4.2
Firma Digital................................................................................................... 18
4.3
Certificado Digital .......................................................................................... 20
4.3.1
Autoridad de Certificacin ..................................................................... 21
4.3.2
Certificado Digital X.509 Versin 3....................................................... 21
5
CONTENIDO DEL CD........................................................................................ 22
6
INSTALACIN. ................................................................................................... 24
7
SERVICIOS OFRECIDOS POR LA FNMT-RCM.......................................... 28
7.1
Formatos de instalacin. ................................................................................. 29
7.2
Exportacin de certificados digitales. ............................................................. 29
7.3
Importacin de certificados digitales. ............................................................. 30
7.4
Correo seguro.................................................................................................. 30
7.5
Comunicacin segura en navegadores de Internet.......................................... 30
8
FUNCIONES ESPECIALES. .............................................................................. 31
8.1
Claves precargadas ......................................................................................... 31
9
MDULOS CRIPTOGRFICOS. ..................................................................... 33
9.1
Ceres Crypto Service Provider (CeresCSP). .................................................. 34
9.1.1
Descripcin de la librera. ....................................................................... 34
9.1.2
Utilidades del CeresCSP......................................................................... 35
9.1.3
Versiones recientes. ................................................................................ 36
9.2
Librera PKCS#11: pkcsv2gk.dll .................................................................... 37
9.2.1
Descripcin de la librera. ....................................................................... 38
9.2.2
Utilidades del PKCS#11. ........................................................................ 38
9.2.3
Versiones recientes. ................................................................................ 39
10.1.1
Desbloqueo de tarjeta. ............................................................................ 42
10.1.2
Netscape.................................................................................................. 43
10.1.3
Generacin de nmeros aleatorios. ......................................................... 44
10.1.4
Importacin de certificados. ................................................................... 45
10.1.5
Configuracin del mecanismo de hash. .................................................. 46
Pgina 2 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
10.3.1
Gestin de certificados digitales mediante CERESMON. ..................... 53
10.3.2
Gestin de certificados digitales mediante CERESCERTSTORE. ........ 55
11.1.1
Solicitud de certificados Clase 2CA. ...................................................... 60
11.1.2
Descarga de certificados Clase 2CA. ...................................................... 63
11.2.1
Solicitud de certificados Clase 2CA. ...................................................... 69
11.2.2
Descarga de certificados Clase 2CA. ...................................................... 73
13.4.1
Proceso previo: Instalacin del mdulo criptogrfico:......................... 100
13.4.2
Importacin de certificados en FireFox................................................ 103
14.1.1
Aadiendo un certificado a la cuenta.................................................... 109
14.1.2
Firma y verificacin de mensajes. ........................................................ 112
14.1.3
Cifrado y descifrado de mensajes. ........................................................ 115
14.2.1
Aadiendo un certificado a la cuenta.................................................... 120
14.2.2
Firma y verificacin de mensajes. ........................................................ 122
14.2.3
Cifrado y descifrado de mensajes. ........................................................ 125
Captulo 1
Pgina 3 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Descripcin
DESCRIPCIN.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 2
Pgina 5 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Requerimientos
REQUERIMIENTOS.
Windows Millenium
Pgina 6 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Windows 2000
Windows XP
Hardware necesario
FNMT-RCM Clase 2
Netscape Messenger
Netscape Navigator
Captulo 3
Pgina 7 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Tarjetas FNMT-RCM
TARJETAS FNMT-RCM.
Pgina 8 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
3.1
3.1.1
3.1.2
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
3.2
3.2.1
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
basadas en el mtodo
3.2.2
Pgina 11 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 4
Pgina 12 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
4
4.1
Pgina 13 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
4.1.1
Un cifrado de clave simtrica es aquel en el que se emplea la misma clave para cifrar y
descifrar el mensaje.
Pgina 14 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
4.1.2
Pgina 15 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Se genera aleatoriamente una clave para el cifrado simtrico del mensaje. Dicha
clave se conoce con el nombre de clave de sesin.
Pgina 16 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Para distribuir la clave simtrica de tal forma que se tenga la seguridad de que
nicamente los usuarios para los cuales est destinado el mensaje tengan la
posibilidad de conocerla, se realiza un cifrado de la clave de sesin utilizando
cada una de las claves pblicas de los usuarios destinatarios. De tal forma, el
mensaje cifrado con la clave de sesin junto a tantas claves de sesin cifradas
con sendas claves pblicas es empaquetado y enviado a los usuarios finales.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
4.2
Firma Digital
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Se realiza una operacin hash sobre los datos a cifrar obteniendo un resumen de
tamao fijo y asociado unvocamente a los datos originales. Es decir, se puede
concluir que, si se tiene el resumen del documento, es como si se tuviese el
documento original.
Se realiza un cifrado del resumen utilizando la clave privada del usuario que
realiza la firma. Dicho resumen cifrado constituir la firma digital del
documento original:
Se realiza el descifrado del resumen cifrado del documento utilizando para ello
la clave pblica del usuario que dice haber firmado el documento, obteniendo,
por tanto, el resumen de dicho documento.
Pgina 19 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
4.3
Certificado Digital
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
El mecanismo que existe de realizar una correspondencia entre una clave pblica y la
identidad de la entidad (persona o componente informtico) titular de dicha clave
pblica es la emisin de certificados digitales. Un certificado digital es, por tanto, un
documento electrnico que asocia una clave pblica con la identidad de su propietario.
4.3.1
Autoridad de Certificacin
4.3.2
La recomendacin que indica el formato de los certificados digitales emitidos por una
Autoridad de Certificacin es la X.509v3.
Segn se ha comentado en el apartado antes, un certificado digital es, bsicamente, un
documento electrnico que asocia una clave pblica con la identidad de su propietario.
En el caso concreto de los certificados X.509 v3, debido a que son emitidos por una
Autoridad de Certificacin, el certificado est firmado digitalmente utilizando la clave
privada de la Autoridad de Certificacin.
Pgina 21 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 5
Pgina 22 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 23 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 6
INSTALACIN.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Para instalarlo simplemente debemos ejecutar la aplicacin Setup.exe del cd. Esta
aplicacin lanzar un asistente que realizar automticamente el proceso completo.
Tras completarse la instalacin del software, el asistente nos solicitar que reiniciemos
la mquina para que los cambios tengan efecto.
Pgina 25 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 26 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 27 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 7
FNMT-RCM
En este captulo vamos a comentar brevemente todos los servicios que ofrece la FNMT
RCM para sus tarjetas criptogrficas. La idea es proporcionar al lector una idea general
sobre los distintos servicios disponibles y su utilidad. En captulos posteriores se
Pgina 28 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
7.1
Formatos de instalacin.
Debido al uso que hace CryptoAPI del sistema y al diseo de las aplicaciones y las
libreras de la FNMT-RCM, el uso simultneo de Ceresmon.exe y CeresCertStore.dll
es incompatible.
En funcin de las necesidades del cliente, el software de instalacin que se le suministra
estar basado o bien en Ceresmon o bien en CeresCertStore, pero siempre evitando la
coincidencia de ambos. En cualquier caso, una vez instalado el software el
funcionamiento resultar completamente transparente para el usuario.
o Caractersticas propias basadas en Ceresmon. Ceresmon es una aplicacin
que corre en segundo plano comprobando si se introduce una nueva tarjeta en el
lector, para as instalar en el sistema los nuevos certificados que encuentre en
ella. Tambin permite instalar el certificado en la tarjeta cuando se realiza su
descarga. Estas funcionalidades tambin las presenta la librera CeresCertStore
de una manera ms eficiente, incluso. La diferencia est en que al realizar
solicitudes de nuevos perfiles criptogrficos con Microsoft Internet Explorer,
Ceresmon guarda en la tarjeta los datos de esa solicitud, permitiendo que se
realice la descarga en otro equipo diferente. Esto es muy til en sistemas que
vayan a utilizarse como puestos de registro de usuarios, ya que pueden ser
registrados en un nico ordenador pero despus les permite realizar la descarga
en tarjeta del certificado en cualquier otro lugar. En Netscape no existe esta
limitacin ya que todos los objetos se almacenan directamente en la tarjeta, con
lo que la descarga puede realizarse en cualquier equipo.
o Caractersticas propias basadas en CeresCertStore . A esta librera slo se
accede cuando alguna aplicacin basada en CryptoAPI quiere trabajar con los
certificados instalados en el sistema. Por esta razn funciona de manera ms
eficiente que Ceresmon, que se ejecuta en segundo plano. Lo nico que no
puede realizar CeresCertStore es almacenar los datos de la solicitud en Microsoft
Internet Explorer, con lo que la descarga deber realizarse en el mismo equipo
desde el que se pidi el certificado.
Sern los requerimientos del cliente los que marquen el tipo de instalacin que se deber
realizar.
7.2
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
esta operacin con perfiles criptogrficos instalados tanto en Internet Explorer como
desde Navigator. El proceso vara ligeramente de uno a otro, pero el resultado en ambos
casos ser un fichero electrnico que contendr el certificado digital completo.
7.3
Correo
seguro.
Pgina 30 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 8
Funciones especiales
8
8.1
FUNCIONES ESPECIALES.
Claves precargadas
Pgina 31 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 32 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 9
Mdulos criptogrficos
MDULOS CRIPTOGRFICOS.
Para interactuar con las tarjetas de la FNMT-RCM todas las aplicaciones necesitan
utilizar ciertas libreras que implementen un interfaz de comunicacin con ellas. Dicho
Pgina 33 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
interfaz debe ser suministrado por el desarrollador e implementa las rut inas necesarias
para el correcto funcionamiento de la tarjeta.
Hay dos tipos de libreras diferentes suministradas por la FNMT-RCM. Por un lado
tenemos el Crypto Service Provider (CeresCSP.dll), que permite integrar la tarjeta en el
CryptoAPI de Windows. Es la librera utilizada por todo el software de Microsoft
(Outlook Express, Internet Explorer, etc).
Por otro lado tenemos la librera que implementa el interfaz PKCS#11, utilizado por
aplicaciones que integren esa recomendacin. Entre las aplicaciones ms conocidas que
usarn esta librera (pkcsv2gk.dll), estn todas las de Netscape (Navigator y
Messenger), as como la mayora de las aplicaciones de la FNMT-RCM.
Estas libreras son completamente compatibles entre s. Adems, pueden trabajar
simultneamente, permitiendo tener abiertas a la vez varias aplicaciones que utilicen
CryptoAPI o PKCS#11.
En los siguientes apartados comentaremos el funcionamiento, las caractersticas y las
particularidades de cada una de ellas.
9.1
9.1.1
Pgina 34 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Aplicacin 1
Aplicacin 2
Aplicacin 3
CryptoAPI
CSP 1
CeresCSP
CSP 3
PC/SC
Lector Tarjetas
Tarjeta FNMT-RCM
9.1.2
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
9.1.3
Versiones recientes.
Pgina 36 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Fecha de recepcin
del archivo, firmado
por Microsoft
1.3.1.4
28/03/02
1.4.2.1
08/06/02
9.2
1.4.3.0
06/12/02
1.4.3.1
15/01/03
Pgina 37 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
9.2.1
Descripcin de la librera.
Esta recomendacin del PKCS#11 de los laboratorios RSA (versin 2.01) establece un
interfaz de comunicacin con un token criptogrfico (tarjeta inteligente) que almacene
claves y permita la ejecucin de operaciones criptogrficas.
Al contrario de lo que ocurra con las aplicaciones de Microsoft, que disponen de su
propio API, entre las aplicaciones que integran PKCS#11 se encuentran todas las de
Netscape (Navigator, Messenger). Para el correcto funcionamiento de la tarjeta FNMT
RCM, se ha implementado la librera pkcsv2gk.dll, que funcionar como interfaz entre
las aplicaciones que requieran PKCS#11 y la tarjeta.
En la siguiente figura podremos comprobar el esquema de uso de las libreras
PKCS#11.
Aplicacin 1
Aplicacin 2
Aplicacin 3
PC/SC
Lector Tarjetas
Tarjeta FNMT-RCM
9.2.2
Pgina 38 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
9.2.3
Versiones recientes.
Versin 2.0.1.3.
Pgina 39 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 10
Herramientas criptogrficas
de la FNMT-RCM
Pgina 40 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Desbloqueo de tarjeta
Instalacin mdulo criptogrfico PKCS#11
Generacin de nmeros aleatorios
Importacin de certificados
Configuracin del algoritmo de hash
Desbloqueo de tarjetas
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Esta pgina nos permite lanzar la aplicacin de desbloqueo de tarjeta. Cuando queremos
autenticarnos contra una tarjeta inteligente debemos presentar su nmero de
identificacin personal (PIN). Si errsemos ese PIN un determinado nmero de veces,
la tarjeta quedara bloqueada y no podra operarse con ella. Para vo lver a recuperar su
funcionalidad, la tarjeta debe ser desbloqueada introduciendo un cdigo especial
destinado a tal efecto. En la figura siguiente podemos ver esta pgina.
10.1.2 Netscape.
Pgina 43 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Para lanzar la aplicacin Netscape Navigator se usar por defecto la ruta desde
Archivos de Programa/Netscape . En caso de que no se encuentre, aparecer en
pantalla una ventana de seleccin de directorios, desde la cual indicaremos la ruta actual
del software.
Pgina 44 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Los cambios que hagamos en el panel de control slo afectarn a aquellas aplicaciones
que utilicen PKCS#11 (pkcsv2gk.dll), pero no a las de CryptoAPI (CeresCSP.dll).
10.1.4 Importacin de certificados.
Pgina 45 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 46 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Al igual que ocurra con la generacin de nmeros aleatorios, que poda realizarse por
software o hardware (en el interior de la propia tarjeta), la obtencin del hash SHA-1
para la firma digital con la tarjeta FNMT-RCM soporta tambin esas dos posibilidades.
Realizar la operacin de hash (resumen) dentro de la tarjeta supone, como en la
generacin de nmeros aleatorios, un incremento de la seguridad pero tambin un
aumento del tiempo de ejecucin. Habr casos en los que dicho aumento no sea crtico,
pero en determinadas situaciones en las que sea necesario realizar un gran nmero de
resmenes puede ser preferible hacerlo por software.
En la siguiente figura podemos observar la pgina del gestor de aplicaciones desde la
que podemos configurar la generacin software o hardware del hash, habilitando o
deshabilitando el mecanismo de generacin en tarjeta.
Pgina 47 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Deberemos introducirlo dos veces para asegurarnos que no hemos cometido ningn
error al teclearlo.
Una vez insertado el nuevo PIN, el asistente comprobar que ambos cuadros de texto
contienen la misma cadena. En caso afirmativo se activar el botn Siguiente para
permitirnos continuar con el proceso de desbloqueo.
Pgina 49 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando hayamos indicado el nuevo PIN que queremos asignar a la tarjeta al finalizar la
operacin, el asistente nos pedir que introduzcamos el cdigo de desbloqueo. Es un
cdigo de 16 caracteres que viene indicado en el sobre de la tarjeta. Contiene tanto
nmeros como letras, pero hay que tener en cuenta que no se considera el mismo
Pgina 50 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
carcter una letra en minscula que en mayscula. Hay que teclearlo exactamente como
viene en el sobre.
Dado que la longitud del cdigo de desbloqueo es fija, existe un indicador de progreso
que no activar el botn de Siguiente hasta que no hayamos introducido los 16
caracteres que lo componen. Una vez que completemos el cdigo, continuaremos con el
desbloqueo de la tarjeta. El asistente intentar desbloquear y modificar el PIN utilizando
los cdigos que hayamos introducido en los pasos previos.
Es importante advertir que el cdigo de desbloqueo no puede ser desbloqueado, por
lo que tres intentos errneos provocarn que la tarjeta quede inutilizada y sea imposible
de recuperar.
Una vez finalizada la ejecucin, nos mostrar un mensaje en pantalla informndonos de
cmo termin el proceso. En las figuras de la pgina siguiente podemos observar los
resultados posibles.
Pgina 51 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Si pulsamos el botn derecho del ratn sobre el icono del CeresMon, aparecer un men
contextual como el siguiente.
Acerca de... Muestra una ventana en la que aparece la versin del CeresMon
que est actualmente instalada en su sistema.
Cuando solicitamos un certificado con Microsoft Internet Explorer, se crean una serie
de entradas en el registro del sistema que identificarn esa solicitud y permitirn realizar
la posterior descarga, que normalmente se realizar tras un proceso de registro fsico del
solicitante por parte de alguna Autoridad de Registro. Sin esas entradas, la aplicacin
no identificara la peticin y no permitira la descarga del certificado. La caracterstica
Pgina 54 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
aplicaciones que utilicen CryptoAPI intenten trabajar con un certificado digital instalado
en el sistema, y cuyo almacn fsico est indicado que es la tarjeta FNMT-RCM.
La otra gran diferencia respecto a Ceresmon es que utilizando CeresCertStore.dll para
solicitar y descargar certificados digitales, ser indispensable que ambas operaciones se
realicen en el mismo equipo. Ceresmon permite descargar certificados en mquinas
distintas de la que se realiz la solicitud, y por esa razn su uso est recomendado para
puestos de registro, donde se realizarn multitud de peticiones pero se permite la
descarga en el ordenador personal del usuario. En cambio, CeresCertStore.dll obliga a
que la descarga sea en el mismo equipo.
Esta ltima diferencia es la que marcar principalmente la eleccin por parte del cliente
entre usar CeresMon o CeresCertStore. Hay que recordar que son soluciones
incompatibles y que la instalacin ser diferente en funcin de lo que se solicite.
Al navegador de Netscape no le afecta en nada que la solucin para Microsoft se base
en CeresMon o en CeresCertStore. El funcionamiento ser el habitual, permitiendo
solicitar certificados y descargarlos en cualquier equipo. Esto es debido a que para el
uso de las tarjetas FNMT-RCM, Netscape utiliza otra librera diferente: pkcsv2gk.dll,
completamente independiente.
Pgina 56 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 11
Solicitud y descarga
Pgina 57 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 58 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 59 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 60 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Segn el nivel de seguridad que estemos utilizando en el navegador, podra aparecer una
ventana informando de que se va a realizar una operacin potencialmente peligrosa para
el sistema. Simplemente indicaremos que s queremos realizar la solicitud del
certificado y se continuar normalmente con la solicitud del mismo.
El sistema nos avisar que estamos a punto de crear un elemento protegido: las claves
del certificado. stas quedan almacenadas en el registro del sistema operativo. En caso
de que estemos utilizando CERESMON (ver apartado 10.3.1) las claves se generarn
tambin en el interior de la tarjeta FNMT-RCM. Adems se guardarn ciertos datos que
permitirn realizar la descarga en otro equipo diferente del de la solicitud, siempre y
cuando tambin tenga instalado CERESMON.
Pgina 61 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando se generen las claves del certificado, se mostrar una ventana en la que aparece
un cdigo de solicitud. Con ese cdigo el usuario deber acudir a una oficina de registro
para ser acreditado. Realizado este paso intermedio, podr descargar su certificado de
Clase 2CA.
Pgina 62 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En este punto vamos a recordar que el uso del software CERESMON permite la
descarga de certificados en equipos diferentes de aquellos en los que se realiz la
solicitud. En su versin 1.0.0.8, este programa soporta la descarga en equipos con
Windows 98, Windows 2000 y Windows NT. En futuras versiones se implementar
para Windows XP.
El uso de CERESMON est especialmente indicado para puestos de registro, destinados
a realizar multitud de solicitudes de certificados. El usuario se llevar una tarjeta
FNMT-RCM con las claves generadas y con los datos necesarios para realizar la
descarga en su propio equipo. Para ello hay que recalcar que en dicho equipo final
tambin deber estar instalado CERESMON, que se encargar de extraer la informacin
de la tarjeta y permitir la descarga final.
Pgina 63 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 64 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 65 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 66 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 67 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 68 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 69 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando pulsemos el botn de Enviar Peticin, se nos mostrar una nueva ventana en la
que podemos seleccionar los distintos almacenes disponibles. Si queremos guardarlo en
la tarjeta FNMT-RCM, deberemos seleccionar la entrada correspondiente. De esta
manera la descarga podr realizarse en cualquier otro equipo utilizando esa tarjeta,
como hemos comentado antes.
Tras esto se nos pedir el PIN de la tarjeta, siempre y cuando no nos hayamos
autenticado anteriormente contra ella.
En caso de introducir un PIN errneo, aparecer una ventana advirtindonos del error y
avisndonos de que repetidos fallos en la autenticacin del usuario pueden provocar el
bloqueo de la tarjeta. Como ya sabemos, en total disponemos de tres intentos para
introducir correctamente el PIN.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Si ocurre algn problema con la generacin de claves, Netscape nos lo indicar con un
mensaje de error.
Netscape utiliza este mensaje de error para cualquier fallo que pueda ocurrir durante la
generacin de las claves: tarjeta llena, fallo en la generacin, etc. Para ver qu puede
haber ocurrido podemos hacer algunas comprobaciones. En primer lugar hay que
asegurarse que queda espacio en la tarjeta para introducir un nuevo certificado. Para ello
podemos comprobar el mdulo Security, donde veremos qu certificados tenemos
instalados en el sistema.
Pgina 71 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 72 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 73 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 12
Exportacin de Certificados
Pgina 74 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
12 EXPORTACIN DE CERTIFICADOS.
Cuando un certificado digital queda instalado en el sistema, pasa a estar disponible para
todas aquellas aplicaciones que utilicen CryptoAPI. De esta manera las aplicaciones
pueden acceder a sus claves para realizar todo tipo de operaciones de firma, cifrado, etc.
utilizando ese perfil.
El problema surge cuando queremos utilizar nuestro certificado en otra mquina distinta
de aquella en la que lo habamos descargado y que lo tiene convenientemente instalado.
Para poder hacerlo deberemos exportar el certificado desde el sistema inicial a un
soporte software (fichero electrnico) o a un soporte hardware (tarjetas inteligentes, por
ejemplo). Despus realizaremos el proceso inverso, lo que haremos ser importarlo a la
mquina de destino o a un dispositivo fsico (tarjeta inteligente), dejndolo instalado
para su posterior uso. Este modo de operar es igual tanto en aplicaciones CryptoAPI
como en aquellas basadas en PKCS#11. A continuacin vamos a explicar cmo realizar
la exportacin en cada uno de los sistemas.
12.1 Exportacin de certificados en Microsoft Internet Explorer.
En Microsoft Internet Explorer todas las operaciones relacionadas con la gestin de
certificados (perfiles) se encuentran en la solapa Contenido de la pantalla de
Herramientas/Opciones de Internet. Desde aqu podremos ejecutar el apartado de
Certificados, donde se realizan las operaciones de importar, exportar, eliminar
certificados, ver sus caractersticas, fechas de validez, etc.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Dentro del apartado de certificados encontramos una pantalla en la que se nos muestran
los certificados instalados en el sistema, y una serie de botones que nos permiten
realizar las operaciones comunes: importar, exportar, eliminar, ver detalles, etc. Ms
adelante nos ocuparemos con detenimiento del resto de opciones. Por el momento nos
centraremos en la operacin de exportacin.
Deberemos seleccionar aquel certificado que queremos exportar del sistema. Para ver
los detalles de cualquiera de ellos simplemente debemos pulsar sobre l dos veces el
botn izquierdo del ratn. Aparecer una ventana con la fecha de emisin, la caducidad,
la Autoridad de Certificacin (CA) que lo ha expedido, etc.
Cuando hayamos seleccionado el certificado que queremos exportar del sistema,
pulsaremos el botn correspondiente para que el asistente de exportacin nos indique
los pasos que debemos seguir. Dicho asistente nos solicitar informacin sobre el tipo
de exportacin, el formato de salida que queremos que tenga el fichero, la ruta de salida,
la contrasea para las claves, etc.
Pgina 76 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En la primera ventana se nos pregunta si queremos exportar la clave privada junto con
el certificado. Sin esa clave el certificado servir para que aquel que est en posesin del
mismo cifre correos con nuestra clave pblica y pueda verificar nuestra firma digital.
Esto es til sobre todo para aplicaciones de correo en las que queramos utilizar
criptografa. Si no exportamos la clave privada, lo que no se podr hacer con el
certificado son operaciones de firma ni descifrado.
Si queremos exportar el certificado con todas sus funcionalidades debemos hacerlo
exportando tambin su clave privada. El fichero as obtenido contendr el certificado
completo, pudiendo realizar as todo tipo de operaciones criptogrficas. Con el fin de
evitar que ese fichero pudiese caer en manos no deseadas y alguien usase nuestro
certificado en nuestro nombre, el fichero quedar protegido por una contrasea que
indique el usuario.
Pgina 77 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En la pantalla siguiente el asistente nos preguntar acerca del formato que queremos que
tenga el fichero de salida. Por defecto usaremos PKCS#12, que genera archivos .pfx.
Tras la seleccin del formato, deberemos introducir la contrasea para proteger la cla ve
privada (en caso de que hayamos decidido exportarla).
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Al pulsar en Siguiente se mostrar una ventana con la informacin final del fichero.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 80 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 83 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 13
Importacin de Certificados
Pgina 84 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
13 IMPORTACIN DE CERTIFICADOS.
Las tarjetas inteligentes proporcionan un mecanismo idneo para la portabilidad de
perfiles digitales y la seguridad en operaciones criptogrficas. Pero puede ocurrir que
inicialmente ya tuvisemos nuestro perfil en software (fichero electrnico) y queramos
introducirlo en una tarjeta inteligente. Para ello se dise una aplicacin especfica para
la importacin de certificados a la tarjeta, CeresImportCertificate. Adems de esta
aplicacin tambin es posible realizar dicha operacin mediante el uso de los
navegadores Microsoft Internet Explorer y Netscape Navigator. En los siguientes
apartados explicaremos con detalle el proceso para cada una de las dos posibilidades.
Pgina 85 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
de
certificados
Pgina 86 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En ese momento se ejecutar el asistente que nos indicar los pasos a seguir para
realizar correctamente la importacin del certificado. Lo primero que deberemos hacer
es indicar qu fichero contiene el certificado que queremos importar. Para ello aparecer
una ventana en la que podremos escribir la ruta completa o bien examinar nuestra
estructura de archivos hasta encontrarlo.
Pgina 87 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
El siguiente paso ser verificar que tenemos acceso al fichero de certificado. Para ello
introduciremos la contrasea que se utiliz a la hora de exportar el certificado al fichero.
Si no la conocemos ser imposible realizar la importacin, ya que no tendremos acceso
a las claves almacenadas en l.
En esta pantalla podemos ver que hemos marcado el cuadro de Marcar esta clave
como exportable. Esto ser imprescindible si queremos importar el certificado a la
tarjeta FNMT-RCM, ya que permite almacenar la clave privada en la tarjeta. Si
simplemente quisisemos instalar el certificado en el sistema, dejaramos sin marcar
ninguna de las dos casillas.
Una vez indicada la contrasea y marcada la casilla adecuada, pasaremos al siguiente
paso de la importacin, en el que deberemos seleccionar el almacn donde queremos
guardar el certificado.
Pgina 88 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Hay dos tipos de almacenes de certificados: lgicos y fsicos. Para ver todos los
almacenes en los que el sistema nos va a permitir importar el certificado, deberemos
pulsar el botn Examinar.
Al examinar los almacenes disponibles, aparecer una lista con todos ellos y una casilla
sin marcar cuyo texto dice Mostrar almacenes fsicos. Si nuestra intencin es
guardar el certificado en la tarjeta FNMT-RCM debemos marcar esa casilla. Entonces
aparecern ms almacenes posibles. El que debemos seleccionar ser el de Tarjeta
CERES, situado en la carpeta Personal.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 90 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Si el sistema ha podido conectar con la tarjeta, nos solicitar su PIN para as poder
comenzar a crear los objetos necesarios.
Pgina 91 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 92 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez indicada la ruta al fichero, el asistente nos solicitar la contrasea para acceder
al certificado. Dicha clave se la asigna el usuario al fichero en el momento de exportarlo
desde el navegador hacia el archivo pfx. Sin ella ser imposible realizar la importacin
a la tarjeta ya que no se tendr acceso a las claves del certificado.
Pgina 94 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez verificada la contrasea, se extraen las claves del certificado y se intentarn
importar a la tarjeta inteligente. En caso de que hayamos olvidado introducir la tarjeta,
aparecer un mensaje de error avisndonos de ello.
Pgina 95 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pgina 96 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando comencemos el proceso de importacin del certificado, Netscape nos pedir que
indiquemos el destino de la importacin. Como hemos comentado antes, podemos
instalarlo en la base de datos de la aplicacin o en cualquier dispositivo que est
correctamente instalado mediante su mdulo criptogrfico (ver apartado 10.1.2 para
obtener informacin sobre la instalacin del mdulo criptogrfico de la FNMT-RCM).
En nuestro caso, para importarlo a la tarjeta seleccionaremos la entrada indicada como
FNMT que aparece en el cuadro de la siguiente figura. Si luego quisisemos instalarlo
en la base de datos genrica habra que repetir la operacin de nuevo, pero indicando
que la importacin se haga sobre Communicator Certificate DB.
Pgina 97 de 140
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Despus Netscape nos pedir la contrasea que protege el certificado. Ya sabemos que
sin esa contrasea sera imposible recuperarlo.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Pulsamos el botn Cargar, para aadir la Dll cabecera del driver, de nombre:
PkcsV2GK.dll
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Adems de esto hay que indicar que el formato de archivos de importacin que soporta
Netscape es .p12, que sigue la recomendacin PKCS#12 para la sintaxis del
intercambio de informacin personal.
Cuando comencemos el proceso de importacin del certificado, FireFox nos pedir que
indiquemos el destino de la importacin. Como hemos comentado antes, podemos
instalarlo en la base de datos de la aplicacin o en cualquier dispositivo que est
correctamente instalado mediante su mdulo criptogrfico (ver apartado 10.1.2 para
obtener informacin sobre la instalacin del mdulo criptogrfico de la FNMT-RCM).
En nuestro caso, para importarlo a la tarjeta seleccionaremos la entrada indicada como
V.2.1 que aparece en el cuadro de la siguiente figura. Si luego quisisemos instalarlo en
la base de datos genrica habra que repetir la operacin de nuevo, pero indicando que la
importacin se haga sobre Dispositivo de seguridad de Soft.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Despus FireFox nos pedir la contrasea que protege el certificado. Ya sabemos que
sin esa contrasea sera imposible recuperarlo.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Figura 105: Solicitud de contrasea para la importacin.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 14
Correo seguro
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
14 CORREO SEGURO.
Hay aplicaciones de correo que permiten enviar y recibir correos cifrados y firmados
digitalmente utilizando criptografa. Estas operaciones garantizan el intercambio seguro
de informacin, proporcionando autenticacin del emisor, integridad del mensaje, no
repudio del origen, etc. En los siguientes apartados explicaremos detenidamente cmo
tener correo seguro usando la tarjeta FNMT-RCM en los clientes de correo de
Microsoft y de Netscape .
14.1 Correo seguro con Microsoft Outlook Express.
El intercambio seguro de informacin se basa en el uso de las claves pblicas y privadas
de usuarios. Las claves pblicas son accesibles a todo el universo de usuarios y se
envan junto con el certificado digital. En cambio las claves privadas son secretas y no
pueden ser extradas de la tarjeta.
Outlook Express utiliza CryptoAPI, con lo que para realizar operaciones criptogrficas
usar la librera CeresCSP.dll. Para utilizar todas las posibilidades del correo seguro
entre dos usuarios es necesario que cada uno tenga el certificado del otro con sus claves
pblicas. La manera de obtenerlo es recibiendo un mensaje firmado, quedando as
registrado en la libreta de direcciones.
14.1.1 Aadiendo un certificado a la cuenta.
Antes de poder enviar un correo firmado debemos indicarle a la aplicacin de correo
qu certificado queremos asociar a nuestra cuenta. Hemos comentado en apartados
anteriores que era necesario que la direccin de correo electrnico asociada al
certificado fuese la que quisisemos utilizar como cuenta de correo habitual. Para
asociar el certificado con nuestra cuenta de correo debemos ir al men Herramientas, y
all seleccionar la opcin Cuentas.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez seleccionada esa opcin la aplicacin de correo nos mostrar una ventana con
las cuentas actuales del sistema. Ah deberemos seleccionar nuestro servidor de correo y
pulsar en el botn de Propiedades, desde donde pasaremos a configurar las opciones de
seguridad.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Figura 112: Certificados actuales asociados a la cuenta de correo.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Como dijimos antes, para poder firmar digitalmente un mensaje es necesario usar
nuestra clave privada, almacenada en la tarjeta, y presentar el PIN para tener acceso a
ella. Por esto es imprescindible que la tarjeta que contiene el certificado se encuentre
insertada en el lector. En caso de que no sea as aparecer en pantalla una ventana
solicitando la tarjeta correcta, cuyo nmero de serie debe coincidir con el indicado.
Cuando la tarjeta est disponible se solicitar su PIN. Ser entonces cuando se realicen
las operaciones de firma digital y se enve el mensaje al destinatario, incluyendo el
certificado del emisor.
En el cliente de correo del receptor aparecer un nuevo mensaje con un icono que indica
que dicho mensaje est firmado digitalmente. Al incluirse el certificado en el propio
mensaje, cuando lo abramos se usar para verificar la firma e indicarnos si es correcta o
no.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Si abrimos el mensaje firmado aparecer una pantalla previa en la que Outlook Express
nos indica que el mensaje ha sido firmado digitalmente. Tras pulsar el botn de
Continuar, se usar el certificado para comprobar la autenticidad de la firma. Si
puede verificar la firma recibida, el mensaje aparecer normalmente. Si no, nos
advertir que no pudo ser verificada, aunque nos mostrar el texto del mensaje.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
digital, ahora no es necesario tener insertada nuestra tarjeta inteligente ya que la clave
que se va a usar es la del certificado del receptor.
Cuando el receptor del mensaje reciba el correo cifrado, le aparecer marcado con el
icono correspondiente.
Cuando se abra el mensaje nos aparecer una advertencia indicndonos que ese mensaje
est cifrado.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
aparecera una ventana solicitando la tarjeta cuyo nmero de serie corresponda con la
asociada al certificado.
Cuando queramos enviar un correo que est a la vez cifrado y firmado realizaremos las
mismas operaciones descritas anteriormente. Al realizarse una operacin de firma
digital y otra de cifrado, ser necesario tener insertada la tarjeta con nuestra clave
privada y adems tener instalado el certificado del receptor del mensaje.
Antes de enviar el correo pulsaremos los botones de Firmar y Cifrar, mostrndose en
este caso los iconos de las dos operaciones.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Figura 122: Solicitud de tarjeta con nmero de serie determinado.
A la hora de abrir un correo que est cifrado y firmado, el mensaje que aparecer es
similar a los anteriores, informndonos del estado del correo.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Cuando escribamos un mensaje que queramos que sea firmado, deberemos seleccionar
la solapa de Opciones de envo de mensajes, situada en la parte izquierda de la
pantalla. Entonces aparecern una serie de opciones de envo, donde podremos indicar
si queremos cifrar, firmar digitalmente, etc.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
En la figura anterior podemos observar el icono que indica que el mensaje est firmado
(Signed). En caso de que tambin estuviese cifrado (Encrypted), aparecera otro icono
similar junto a l, avisndonos de ello.
Esos iconos nos darn acceso a la pantalla de seguridad, en la que nos informar si la
firma ha podido ser verificada, el formato de cifrado que se utiliz, etc.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Al igual que ocurra con los correos firmados, si pulsamos el icono de cifrado, aparecer
la ventana de seguridad, explicndonos la operacin de cifrado del mensaje.
Una vez comentadas cmo seran las operaciones de firma y de cifrado, slo queda
indicar que tambin es posible realizar ambas cosas sobre un mismo correo. Bastar con
indicarlo en las opciones de envo.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 15
Conexin segura
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
15 CONEXIN SEGURA.
Otra de las funcionalidades que presentan las libreras CeresCsp.dll y pkcsv2gk.dll es
que permiten la comunicacin segura entre cliente-servidor. Para ello se utilizan
protocolos de comunicacin, tales como SSL, que permiten establecer un canal de
comunicacin seguro entre equipos.
En los siguientes apartados vamos a explicar brevemente la forma de conexin en los
distintos navegadores.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez introducida la tarjeta correcta en el lector, la aplicacin pasar a realizar las
operaciones necesarias para establecer la comunicacin segura. Para ello utilizar las
claves almacenadas en la tarjeta FNMT-RCM, as que de nuevo nos solicitar el PIN.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez indicado el certificado que queremos utilizar para la conexin, se realizarn las
operaciones necesarias para ello. En caso de que ocurriese algn problema, el navegador
nos advertira y mostrara un mensaje de error.
Si se realiza la conexin correctamente, podremos observar un icono de un pequeo
candado en la parte inferior de la pantalla del navegador.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 16
Windows Log-on
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
16 WINDOWS LOGON
El sistema operativo Windows desde su versin Windows 2000 soporta el inicio de
sesin utilizando tarjeta inteligente y un certificado digital con unas determinadas
caractersticas. La tarjeta FNMT-RCM soporta este tipo de arranque del sistema.
Al iniciar una nueva sesin, el sistema operativo nos muestra una ventana en la que nos
indica las acciones que podemos realizar para arrancarla. Si pulsamos Ctrl+Alt+Supr
se mostrar el habitual cuadro de identificacin de usuario, dominio y contrasea. En
cambio, si insertamos la tarjeta aparecer una ventana en la que se nos solicitar que
introduzcamos su PIN.
Para conseguir logon con tarjeta debemos estar en posesin de un certificado emitido
por Active Directory de Microsoft. Si tuvisemos ms de un certificado en la tarjeta se
comprobara si su certificado por defecto permite realizar el logon. En caso de que no
sea as, se mostrar una ventana en la que deberemos seleccionar el certificado con el
que autenticarnos. Una vez validado el usuario, se iniciar la sesin normalmente.
Al solicitar este tipo de arranque con tarjeta aparece la duda de saber qu ocurre cuando
sta es extrada. Es decir, si el equipo debe quedar bloqueado, si la sesin debe cerrarse,
si no debe ocurrir nada, etc. Estas acciones posteriores a la extraccin de la tarjeta son
configurables. Para modificarlo debemos acudir al Panel de Control y seleccionar
Herramientas Administrativas.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Aqu podremos indicar qu accin queremos que se lleve a cabo al extraer la tarjeta con
la que hicimos logon. Estas opciones, como vemos en la figura inferior, son tres:
o no ejecutar ninguna accin,
o bloquear la estacin de trabajo,
o forzar el reinicio de la sesin,
En la siguiente figura vemos cmo podemos seleccionar entre las tres.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Una vez hecho esto, el certificado seleccionado quedar asignado como certificado por
defecto para la tarjeta.
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
Captulo 17
Departamento CERES
rea de Tarjetas Inteligentes
Manual de Usuario
____________________________________________________________________________________
MICROSOFT
Microsoft Internet Explorer versin 4 o posterior sobre Win 32 (Windows 95 - Windows 98 Windows NT - Windows 2000 - Windows Me).
Los usuarios de Microsoft Internet Explorer cuyo Nombre o Apellidos contengan la letra "",
debern solicitar su certificado con la Versin 5.0 de IE.
NETSCAPE
Netscape Navigator versin 4.06 o posterior, a excepcin de la versin 4.60, versiones 6.0 y
posteriores, que acte sobre un Sistema Operativo de al menos 32 bits.