F.A.Q. del servicio TCS

Preguntas y Respuestas Frecuentes


Si hay alguna cuestión que no encuentra en este FAQ y considera que puede ser de utilizad al resto de la comunidad, puede envíenoslas y una vez resuelta la añadiremos al mismo.

Tabla de contenido

Información básica

¿Que es el CA/Browser Forum?

CA/Browser Forum es una organización formada por autoridades de certificación (CAs) y vendedores de software de navegador de Internet y otras aplicaciones.

Los miembros del CA/Browser Forum han colaborado estrechamente en la definición de directrices e implementación de los mecanismos de validación extendida (EV) de certificados SSL como una manera de proporcionar una mayor seguridad para las transacciones por Internet y la creación de un método más intuitivo de visualizar sitios seguros a los usuarios de Internet.

Certificado DV

¿Qué es un certificado DV?

Un certificado DV (domain-validated certificate) es un certificado SSL en el que la información que se ha validado está limitada al dominio en el cual el sitio web está localizado.

Los DNs de este tipo de certificados no contienen información ni del país ni de la organización y son de la forma: OU=Domain Control Validated, CN=www.org.es

Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.

Certificado OV

¿Qué es un certificado OV?

Un certificado OV (organizationally validated certificate) es aquel en el que la información validada incluye el dominio y la información sobre la entidad comercial que opera el sitio Web.

Cuando se establece una conexión segura con un servidor que tiene un certificado OV el navegador muestra el icono del candado.

Certificado EV

¿Qué es un certificado EV?

El certificado de validación extendida (EV SSL Certificate) es un certificado expedido de conformidad con las directrices de validación extendidas definidas por el CA/Browser Forum.

Cuando se establece una conexión segura con un servidor que tiene un certificado EV, el navegador incluye una señal visual (barra verde en el navegador), lo que es un signo de credibilidad, incluso para el usuario más inexperto. Se suele mostrar, además del icono del candado, alguna información adicional como el nombre de la empresa.

¿Cómo creo una CSR?

Sectigo dispone de unas Guías para la creación de CSRs que puede consultar.

Servicio TCS

Evolución del servicio de certificados digitales

¿Cómo ha sido la evolución histórica del servicio de certificados digitales de RedIRIS?

Evolución histórica del servicio

Alta de institución

¿Hay que enviar algún tipo de documento para dar de alta a una institución en TCS?

Sí, es necesario que su institución envíe un documento de condiciones de uso, o acuerdo de usuario.

Para más información se recomienda la lectura de los requisitos para el acceso al servicio en la página de alta en el servicio TCS

Alta de usuarios

¿Hay que enviar algún tipo de documentación en papel a RedIRIS para darse de alta como usuario, como se hacía antes con SCS?

No es necesario. Una de las nuevas ventajas de TCS es que nos olvidamos del papel y ya no es necesario enviar ninguna documentación para darse de alta como usuario en el servicio.

Alta de cuenta ACME

¿Por qué el status de una cuenta ACME recien creada se queda en estado "Pending"?

La activación de la cuenta ACME no es inmediata, una vez que se haya registrado con certbot tarda un tiempo en aparecer como activa en SCM.

SCM - Sectigo Certificate Manager Portal

¿Cómo accedo a SCM?

Puede acceder a https://cert-manager.com/customer/RedIRIS con la cuenta de adinistrador que RedIRIS le habrá suministrado.

Certificados

CAs del servicio TCS

Aquí puede encontrar las CAs del servicio TCS

¿Se pueden pedir certificados para IPs privadas?

Según se indica en SSL Certificates for Internal Server Names, todos los certificados emitidos, tanto para nombres como IPs internas, antes del 1/11/2015 expirarán a fecha 1/11/2015, y las CAs deben evitar emitir ese tipo de certificados.

¿Cómo solicitar certificados que utilice sha256?

Dado que Sectigo ahora genera los certificados con SHA384, la única forma de obtener certificados con SHA256 es abrir un ticket a Sectigo, comentarles el problema y, posteriormente enviarles la CSR para que ellos la firmen con SHA256.

¿Cómo solicito un certificado con varios wildcards?

Puede solicitarse un certificado OV Multi-Domain y añadir todos los wildcards que se deseen como SANs. Puede verse un ejemplo de un certificado de este tipo en *.uchceu.es que lleva varios SANs como *.acdp.es, *.ceu.es, *.ciclosformativosceu.es,...

¿Cómo solicito certificados personales?

Aunque el portal SCM dispone de opciones para la solicitud de certificados personales, desde GÉANT se nos ha recomenado no utilizarlas y, en su lugar, hacer uso del acceso federado mediante el Sectigo SAML portal.

Tiene disponible una página con las recomendaciones para la configuración de su IdP para la solicitud de certificados personales en TCS.

¿Qué tipo de certificado tengo que pedir para eduroam?

GEANT dispone de una página con una serie de comentarios sobre el tema.

¿Pueden coexistir dos certificados con el mismo DN?

Sí. No hay ningún problema en que se soliciten varios certificados con el mismo DN.

¿Pueden convivir 2 certificados para el mismo nombre FQDN, o debo revocar uno para solicitar el segundo?

Pueden convivir N certificados para un mismo FQDN

¿Se pueden solicitar certificados con longitud de clave de 1024 bits?

No.

¿Son válidos los certificados de servidor de TCS para sedes electrónicas?

Sí, por supuesto. La Ley 40/2015 indica: "Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente.". Así pues, un certificado de servidor de TCS es perfectamente válido para la web de una sede electrónica.

El eIDAS establece condiciones sobre los certificados cualificados de autenticación de sitios web, pero no exige que una sede electrónica utilice uno de estos certificados.

En cualquier caso, siempre es mejor utilizar un certificado válido, reconocido por todas las plataformas y dispositivos y con la máxima confianza (EV), que otorga la máxima confianza al usuario, que un certificado con ciertos atributos internos, que le gusta mucho a los auditores/consultores, pero que provoca advertencias de seguridad en algunas plataformas.

No hay que confundir los certificados utilizados para el frontal web con los certificados de sello electrónico. Estos últimos no están contemplados en TCS.

Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?

Si tienes un PKCS12 ya puedes utilizarlo como almacén (keystore) en Java. Quizás sea lo más cómodo.

Para ver el alias de tu certificado:

keytool -list -v -storetype PKCS12 -keystore <ficheroPKCS12>

Para firmar un JAR:

jarsigner -storetype PKCS12 -keystore <ficheroPKCS12> -signedjar <ficheroFirmado.jar> <ficheroOriginal.jar> <aliasCertificado>

Se recomienda no usar certificados que contengan tilde, eñes, ... ya que se han dado casos en los que el jarsigner no los interpreta bien, y tras firmar el applet, los navegadores no consiguen ejecutar el applet por errores de utf8.

¿Por qué no recibo avisos de expiración? ¿Qué se puede hacer?

Sectigo no suele enviar correos automáticos avisando de los diferentos eventos que pueden ocurrir en el portal. Pero dispone de una opción de notificaciones que un RAO/DRAO puede configurar para recibir los avisos que deseemos.

Validaciones y verificaciones

¿Cómo realizo la validación DCV de dominios?

Recibirás un mail a alguna de las direcciones siguientes: webmaster@, administrator@, admin@, hostmaster@, postmaster@ de los dominios que estés intentando validar.

En caso de que no dispongas acceso a ninguna de ellas tienes 2 opciones, solicitar que te habiliten el acceso a alguna de ellas o incorporar tu dirección de correo al campo de contacto administrativo o técnico asociados al dominio en su registro del Whois.

Más información

Validar certificados EV y CS - ¿Cómo añadir un administrador autorizado?

Hay que añadir otra validación EV/CS para la misma institución seleccionando la nueva persona.

Verificación de CAA. ¿Cómo funciona?

Más información

Sectigo Certificate Manager (SCM) Error “Anchor Certificate details are different”

Sectigo dispone de una pequeña guía para ver por qué puede ocurrir este error Anchor Certificate details are different

¿Es posible requerir validación a los certificados personales solicitados de forma federada?

Más información

Otras cuestiones

FAQs en GÉANT

GÉANT mantiene unos FAQs que puede consultar:

Más dudas

Si tiene una duda, pero no está resuelta en este FAQ, puede envíarnosla para que podamos resolverla y añadirla al mismo.