F.A.Q. del servicio SCS

Preguntas y Respuestas Frecuentes


Indice de Contenidos

  1. ¿Qué aplicaciones y/o dispositivos soportan los certificados SCS?
  2. Requisitos para solicitar certificados SSL de servidor
  3. ¿Cual es la diferencia entre los perfiles req y admin?
  4. ¿Cómo se da de baja un operador o administrador?
  5. ¿Se puede tener más de un administrador?
  6. ¿Por qué hay veces que desaparece el item "Administración" si yo soy "admin"?
  7. ¿A qué número de fax debemos enviar la documentación?
  8. ¿Qué vía o vías puedo usar para enviar la documentación a RedIRIS?
  9. ¿Qué hago si al intentar registrarme me dice que: "Usted no tiene permisos para acceder a la aplicación"?
  10. ¿Qué debo hacer para que me pre-validen un dominio que tengo registrado y que no le consta a RedIRIS en su base de datos de instituciones afiliadas?
  11. ¿Qué debo hacer si mi institución A quiere gestionar los dominios registrados por otra institución afiliada a RedIRIS B?
  12. ¿Qué es el DCV?
  13. ¿Cómo solicito un certificado para un dominio de segundo nivel domain.TLD?
  14. ¿Se pueden solicitar certificados con longitud de clave de 1024 bits?
  15. ¿Se pueden solicitar certificados wildcard?
  16. ¿Pueden coexistir dos certificados con el mismo DN?
  17. ¿Cómo renuevo un certificado?
  18. Ya he recibido el certificado que he solicitado, ¿cómo lo instalo para el servicio?
  19. Comodo no encuentra mi teléfono para validar nuestra solicitud de certificado de firma de código. ¿Qué puedo hacer?
  20. Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?
  21. ¿Que es el CA/Browser Forum?
  22. ¿Qué es un certificado DV?
  23. ¿Qué es un certificado OV?
  24. ¿Qué es un certificado EV?
  25. Tengo una duda, pero no está resuelta en este FAQ.
  26. ¿Hay algún otro FAQ en TERENA?

Todas las cuestiones que usted haya resuelto por su cuenta, así como las aclaraciones que crea necesarias sobre este documento envíenoslas, para que podamos completar este FAQ.

1. ¿Qué aplicaciones y/o dispositivos soportan los certificados SCS?

  • Web Browsers (con soporte EV)
    Apple Safari 3.2+, Google Chome 1.0+, Microsoft Internet Explorer 7.0+. Mozilla Firefox 3.0+, Opera 9.5+
  • Web Browsers (sin soporte EV)
    Apple Safari 1.2+, AOL 5.0+. Camino 1.0+, Google Chrome 1.0+, KDE Konqueror, Microsoft Internet Explorer 5.01+, Mozilla Firefox 1.0+, Netscape Communicator 4.77+, Opera 7.0+
  • Clientes de correo (S/MIME)
    Apple Mail, Lotus Notes (6+), Microsoft Outlook 99+, Microsoft Outlook Express 5.0+, Microsoft Entourage, Microsoft Windows Mail 1.0+, Mozilla Thunderbird 1.0+, Qualcomm Eudora 6.2+, The Bat 1,0+
  • PDAs
    ACCESS NetFront 3.4+. Apple iPhone 1.0+, KDDI Openwave v6.2.0.12+, Microsoft Windows Mobile 5.0+, Nintendo Wii, NTT DoCoMo, Opera Mini 3.0+, Opera Mobile 6.0+, RIM Blackberry v4.2.1+, Sony Playstation 3, Sony Playstation Portable
  • Otras aplicaciones
    Adobe AIR, Microsoft Authenticode, Microsoft Office, Microsoft Visual Basic for Applications, Mozilla Suite 1.0+, Sea Monkey, Sun Java SE 1.4.2+,

Desafortunadamente, la CA raíz de COMODO no se encuentra pre-instalada en el sistema operativo Symbian usado por muchos dispositivos Nokia y Sony Ericsson. Sin embargo puede ser añadida la CA raíz de comodo, descargándola e instalándola.

2. Requisitos para solicitar certificados SSL de servidor

  • Alta en SIR
  • Envío de CUSO
  • Registro en ISC

Para una información más detallada consulta Perfil de certificados SSL de servidor

3. ¿Cual es la diferencia entre los perfiles req y admin?

  • urn:mace:rediris.es:entitlement:scs:req

    Este valor concede al solicitante el rol de operador de su institución para SCS.
    El rol de operador permite solicitar y revocar certificados.

  • urn:mace:rediris.es:entitlement:scs:admin

    Este valor concede al solicitante el rol de administrador de su institución para SCS.
    El rol de administrador permite habilitar u deshabilitar a los operadores, así como gestionar los dominios para los cuales pueden solicitar certificados. Y como es natural la solicitud y revocación de certificados.

4. ¿Cómo se da de baja un operador o administrador?

El procedimiento para dar de baja a una persona en el servicio SCS es el siguiente:

  • Avisar, por mail a RedIRIS de la baja de la persona
  • Eliminar los permisos urn:mace:rediris.es:entitlement:scs:req ó urn:mace:rediris.es:entitlement:scs:admin en el IdP de la institución

5. ¿Se puede tener más de un administrador?

Claro, se puede y además es muy recomendable tener varios administradores para cada institución.

6. ¿Por qué hay veces que desaparece el item "Administración" si yo soy "admin"?

Cuando se accede al ISC el sistema muestra el menú al que se tiene acceso según el rol del usuario. Si el usuario tiene el rol de "admin" se muestra el item "Administración".

Si una vez aquí se selecciona "Gestionar Certs" se está cambiando al rol de operador y desaparecerá el item "Administración".

Para poder acceder a la zona de administración (que salga "Administración") hay que pinchar en "Interfaz de Solicitud de Certificados".

En el gráfico siguiente se muestran el menú que ve el administrador y el operador

Diferencias en el menú de admin/req

7. ¿A qué número de fax debemos enviar la documentación?

EL nuevo SCS (basado en certificados de COMODO) no requiere que se envíe información por fax.

Tanto los documentos de condiciones de uso como cualquier otro tipo de documentación deben enviarse por correo postal, mensajería o en formato digital firmados digitalmente con un certificado emitido por alguna de las CAs reconocidas en el territorio español.

8. ¿Qué vía o vías puedo usar para enviar la documentación a RedIRIS?

Actualmente se debe enviar la documentación por las siguientes vías:

  • Por e-mail a scs-ra[at]rediris.es

    PDF firmado digitalmente por el PER y el solicitante con sus certificados personales emitidos por algunas de las CAs reconocidas en el territorio español.

  • Correo postal ordinario (o mensajería) a:

      SCS - RedIRIS,
      Edificio CICA
      Avda. Reina Mercedes s/n
      41012, Sevilla

9. ¿Qué hago si al intentar registrarme me dice que: "Usted no tiene permisos para acceder a la aplicación"?

Posiblemente es que no estás enviando correctamente tus credenciales.

Para comprobarlo se recomienda hacer lo siguiente:

  1. Comprobar las credenciales SIR y solventar los errores que aparezcan hasta que todo esté correcto.
  2. Si hay algún problema que no se pueda resolver se recomienda realizar una captura de pantalla y enviarla a RedIRIS para que puedan analizarla.

10. ¿Qué debo hacer para que me pre-validen un dominio que tengo registrado y que no le consta a RedIRIS en su base de datos de instituciones afiliadas?

Para añadir dominios a la entrada de su institución debe enviarnos una prueba de que pertenecen a la misma (captura de pantalla del registro de dominios correspondiente).

Si posteriormente, desea solicitar certificados para máquinas bajo dichos dominios debe enviarnos el documento de condiciones de uso correspondiente.

11. ¿Qué debo hacer si mi institución A quiere gestionar los dominios registrados por otra institución afiliada a RedIRIS B?

Partiendo de que tanto la institución A como la B deben estar afiliadas a RedIRIS se han creado unos documentos de delegación de dominio que deben usarse cuando los dominios bajo los que se van a solicitar los certificados no pertenecen a la institución solicitante A y pertenecen a una institución B.

En este caso el registrador y/o contacto administrativo de los dominios de la institución B autoriza a la institución A a solicitar certificados digitales proporcionados por RedIRIS bajo el ámbito del servicio SCS.

12. ¿Qué es el DCV?

COMODO exige una prueba de que el solicitante de un certificado es la persona que tiene el control sobre el FQDN que se desea certificar. DCV son las siglas de Domain Control Validation y es el mecanismo utilizado para la verificación de dicha autoridad.

Es obligatorio desde el día 18 de junio de 2012.

13. ¿Cómo solicito un certificado para un dominio de segundo nivel domain.TLD?

Si estoy habilitado para poder solicitar certificados para servidores bajo el dominio domain.TLD podré solicitar también un certificado para domain.TLD siempre que ponga este dominio en el campo CN principal y no en los DNs alternativos.

14. ¿Se pueden solicitar certificados con longitud de clave de 1024 bits?

No. En diciembre de 2010 Comodo anunció que no emitirá certificados con claves que tengan menos de 2048 bits.

15. ¿Se pueden solicitar certificados wildcard?

Sí, el servicio actual permite la solicitud de certificados wildcard "*" desde el ISC.

16. ¿Pueden coexistir dos certificados con el mismo DN?

Sí. No hay ningún problema en que se soliciten varios certificados con el mismo DN.

17. ¿Cómo renuevo un certificado?

No existe un proceso específico para la renovación de certificados ya que es posible solicitar tantos certificados con el mismo DN como se deseen. Recomendamos solicitar certificados cada año e ir reemplazando los antiguos.

Puntos a tener en cuenta:

  • Solicitar el certificado por 2 ó 3 años pero reemplazarlo cuando transcurra 1 año
  • No reutilizar la misma CSR
  • Una vez instalado el nuevo certificado solicitar la revocación del antiguo

18. Ya he recibido el certificado que he solicitado, ¿cómo lo instalo para el servicio?

Existe una Guía Básica de instalación de certificados SCS, que indica como instalar un certificado en los servicios más comunes.

19. Comodo no encuentra mi teléfono para validar nuestra solicitud de certificado de firma de código. ¿Qué puedo hacer?

Resupuestas de la comunidad:

  1. Creo que la gracia del proceso de validación telefónica es que tienen que encontrar el número de teléfono de tu institución... en un directorio que no sea la web de tu institución, ya que si no podrías hacer trampas.

    No tiene por qué ser el tu número directo; es decir, si en administración les dices que esperas una llamada y que te la pasen, también sirve (así lo hice yo en mi caso). En paginasamarillas.es aparece otro número de teléfono, igual todo es cuestión de encontrar el directorio online donde aparezca el teléfono de vuestra centralita y puedan llamarte ahí...

  2. A mi me paso algo parecido, los validadores de Comodo miraban en:

    • http://www.numberway.com/
    • http://world.192.com/

    Podéis intentar buscaros en estos directorios como paso previo. En mi caso como no me encontraban, les indique/sugerí donde debían mirar para encontrar el teléfono de la centralita, y a la gente de centralita les indique que esperaba una llamada un tanto peculiar, por cierto es muy recomendable que quien coja el teléfono en centralita hable bien ingles, pues la primera vez que me llamaron no me pasaron la llamada pues no lograron entenderse.

20. Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?

Si tienes un PKCS12 ya puedes utilizarlo como almacén (keystore) en Java. Quizás sea lo más cómodo.

Para ver el alias de tu certificado:

keytool -list -v -storetype PKCS12 -keystore <ficheroPKCS12>

Para firmar un JAR:

jarsigner -storetype PKCS12 -keystore <ficheroPKCS12> -signedjar <ficheroFirmado.jar> <ficheroOriginal.jar> <aliasCertificado>

Se recomienda no usar certificados que contengan tilde, eñes, ... ya que se han dado casos en los que el jarsigner no los interpreta bien, y tras firmar el applet, los navegadores no consiguen ejecutar el applet por errores de utf8.

21. ¿Que es el CA/Browser Forum?

CA/Browser Forum es una organización formada por autoridades de certificación (CAs) y vendedores de software de navegador de Internet y otras aplicaciones.

Los miembros del CA/Browser Forum han colaborado estrechamente en la definición de directrices e implementación de los mecanismos de validación extendida (EV) de certificados SSL como una manera de proporcionar una mayor seguridad para las transacciones por Internet y la creación de un método más intuitivo de visualizar sitios seguros a los usuarios de Internet.

22. ¿Qué es un certificado DV?

Un certificado DV (domain-validated certificate) es un certificado SSL en el que la información que se ha validado está limitada al dominio en el cual el sitio web está localizado.

Los DNs de este tipo de certificados no contienen información ni del país ni de la organización y son de la forma: OU=Domain Control Validated, CN=www.org.es

Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.

23. ¿Qué es un certificado OV?

Un certificado OV (organizationally validated certificate) es aquel en el que la información validada incluye el dominio y la información sobre la entidad comercial que opera el sitio Web.

Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.

24. ¿Qué es un certificado EV?

El certificado de validación extendida (EV SSL Certificate) es un certificado expedido de conformidad con las directrices de validación extendidos definidas por el CA/Browser Forum.

Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado y alguna información adicional

25. Tengo una duda, pero no está resuelta en este FAQ.

Por favor, envíenosla para que podamos resolversela y añadirla a este FAQ.

26. ¿Hay algún otro FAQ en TERENA?

TERENA mantiene un FAQ relativo al servicio TCS que puede consultar.

Servicio FINALIZADO