F.A.Q. del servicio TCS

Preguntas y Respuestas Frecuentes


Indice de Contenidos

  1. ¿Hay que enviar algún tipo de documento para dar de alta a una institución en TCS?
  2. ¿Es posible que una misma persona actúe como PER y como administrador de TCS?
  3. ¿Es posible tener más de un administrador en una institución?
  4. ¿Qué hay que hacer para cambiar el administrador principal de TCS de una institución?
  5. ¿Hay que enviar algún tipo de documentación en papel a RedIRIS para darse de alta como usuario, como se hacía antes con SCS?
  6. ¿Son válidos los certificados de servidor de TCS para sedes electrónicas?
  7. ¿Qué debo hacer si quiero solicitar un certificado para un dominio que mi institución no tiene asignado en el sistema?
  8. ¿Se pueden solicitar certificados con longitud de clave de 1024 bits?
  9. Necesito un certificado firmado con SHA-1 en lugar de SHA-2. ¿Cómo puedo proceder?
  10. ¿Qué clientes soportan SHA-2?
  11. ¿Puedo solicitar certificados con criptografía de curva elíptica (ECC)?
  12. ¿Qué tipo de certificado tengo que pedir para eduroam?
  13. ¿Se pueden pedir certificados para IPs privadas?
  14. ¿Se pueden pedir certificados para IPs públicas?
  15. ¿Pueden coexistir dos certificados con el mismo DN?
  16. Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?
  17. ¿Que es el CA/Browser Forum?
  18. ¿Qué es un certificado DV? (No ofrecidos por DigiCert)
  19. ¿Qué es un certificado OV?
  20. ¿Qué es un certificado EV?
  21. ¿Cómo realizo la validación DCV de dominios?
  22. ¿Cómo solicito certificados de sevidor, de firma de código, de firma de documentos, ...?
  23. ¿Cómo solicito certificados personales?
  24. ¿Es posible requerir validación a los certificados personales solicitados de forma federada?
  25. ¿Cómo añado un nuevo perfil a un dominio que ya tenía validado?
  26. Validar certificados EV y CS - ¿Cómo añadir un administrador autorizado?
  27. ¿Cómo creo una CSR?
  28. Verificación de CAA. ¿Cómo funciona?
  29. ¿Hay algún otro FAQ en TERENA?
  30. Tengo una duda, pero no está resuelta en este FAQ.

Todas las cuestiones que usted haya resuelto por su cuenta, así como las aclaraciones que crea necesarias sobre este documento envíenoslas, para que podamos completar este FAQ.

1. ¿Hay que enviar algún tipo de documento para dar de alta a una institución en TCS?

Sí, es necesario que su institución envíe un documento de condiciones de uso, o acuerdo de usuario.

Para más información se recomienda la lectura de los requisitos para el acceso al servicio en la página de alta en el servicio TCS

2. ¿Es posible que una misma persona actúe como PER y como administrador de TCS?

3. ¿Es posible tener más de un administrador en una institución?

Claro, se puede y además es muy recomendable tener varios administradores para cada institución.

4. ¿Qué hay que hacer para cambiar el administrador principal de TCS de una institución?

Hay que enviar un nuevo documento de condiciones de uso con los datos del nuevo administrador.

5. ¿Hay que enviar algún tipo de documentación en papel a RedIRIS para darse de alta como usuario, como se hacía antes con SCS?

No es necesario. Una de las nuevas ventajas de TCS es que nos olvidamos del papel y ya no es necesario enviar ninguna documentación para darse de alta como usuario en el servicio.

6. ¿Son válidos los certificados de servidor de TCS para sedes electrónicas?

Sí, por supuesto. La Ley 40/2015 indica: "Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente.". Así pues, un certificado de servidor de TCS es perfectamente válido para la web de una sede electrónica.

No hay que confundir los certificados utilizados para el frontal web con los certificados de sello electrónico. Estos últimos no están contemplados en TCS.

7. ¿Qué debo hacer si quiero solicitar un certificado para un dominio que mi institución no tiene asignado en el sistema?

Tendrá que contactar con alguno de los administradores de TCS de su institución para que añadan dicho dominio y, posteriormente, esperar a que el equipo de validación de DigiCert lo valide.

8. ¿Se pueden solicitar certificados con longitud de clave de 1024 bits?

No.

9. Necesito un certificado firmado con SHA-1 en lugar de SHA-2. ¿Cómo puedo proceder?

Nos consta que una persona necesitaba un certificado con SHA-1 y tras pedir el certificado chateó con Digicert, y de forma manual, saliéndonos del protocolo automático habitual y dándoles el número de la petición (order number), lo firmaron con SHA-1, válido sólo hasta final de 2016.

Podéis intentarlo si tenéis esta necesidad puntual.

10. ¿Qué clientes soportan SHA-2?

DigiCert dispone de una lista de software y hardware que soportan SHA-2

11. ¿Puedo solicitar certificados con criptografía de curva elíptica (ECC)?

Sí. La Criptografía de Curva Elíptica (del inglés: Elliptic curve cryptography, ECC) es una variante de la criptografía asimétrica o de clave pública basada en las matemáticas de las curvas elípticas. Sus autores argumentan que la CCE puede ser más rápida y usar claves más cortas que los métodos antiguos — como RSA — al tiempo que proporcionan un nivel de seguridad equivalente.

Se pueden solicitar certificados con ECDSA ya que DigiCert dispone de documentación para la creación e instalación de certificados ECC

12. ¿Qué tipo de certificado tengo que pedir para eduroam?

GEANT dispone de una página con una serie de comentarios sobre el tema.

13. ¿Se pueden pedir certificados para IPs privadas?

Según se indica en SSL Certificates for Internal Server Names, todos los certificados que se hubiesen emitido tanto para nombres como IPs internas expirarán a fecha 1/11/2015 y las CAs deben evitar emitir ese tipo de certificados.

14. ¿Se pueden pedir certificados para IPs públicas?

Sí. Una vez realizada la solicitud, DigiCert enviará un mensaje al administrador indicando que debe crear una página web en esa dirección IP, con un texto concreto, para demostrar que la institución tiene control sobre esa IP.

15. ¿Pueden coexistir dos certificados con el mismo DN?

Sí. No hay ningún problema en que se soliciten varios certificados con el mismo DN.

16. Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?

Si tienes un PKCS12 ya puedes utilizarlo como almacén (keystore) en Java. Quizás sea lo más cómodo.

Para ver el alias de tu certificado:

keytool -list -v -storetype PKCS12 -keystore <ficheroPKCS12>

Para firmar un JAR:

jarsigner -storetype PKCS12 -keystore <ficheroPKCS12> -signedjar <ficheroFirmado.jar> <ficheroOriginal.jar> <aliasCertificado>

Se recomienda no usar certificados que contengan tilde, eñes, ... ya que se han dado casos en los que el jarsigner no los interpreta bien, y tras firmar el applet, los navegadores no consiguen ejecutar el applet por errores de utf8.

17. ¿Que es el CA/Browser Forum?

CA/Browser Forum es una organización formada por autoridades de certificación (CAs) y vendedores de software de navegador de Internet y otras aplicaciones.

Los miembros del CA/Browser Forum han colaborado estrechamente en la definición de directrices e implementaciónde los mecanismos de validación extendida (EV) de certificados SSL como una manera de proporcionar una mayor seguridad para las transacciones por Internet y la creación de un método más intuitivo de visualizar sitios seguros a los usuarios de Internet.

18. ¿Qué es un certificado DV? (No ofrecidos por DigiCert)

Un certificado DV (domain-validated certificate) es un certificado SSL en el que la información que se ha validado está limitada al dominio en el cual el sitio web está localizado.

Los DNs de este tipo de certificados no contienen información ni del país ni de la organización y son de la forma: OU=Domain Control Validated, CN=www.org.es

Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.

19. ¿Qué es un certificado OV?

Un certificado OV (organizationally validated certificate) es aquel en el que la información validada incluye el dominio y la información sobre la entidad comercial que opera el sitio Web.

Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.

20. ¿Qué es un certificado EV?

El certificado de validación extendida (EV SSL Certificate) es un certificado expedido de conformidad con las directrices de validación extendidos definidas por el CA/Browser Forum.

Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado y alguna información adicional

21. ¿Cómo realizo la validación DCV de dominios?

Recibirás un mail a alguna de las direcciones siguientes: webmaster@, administrator@, admin@, hostmaster@, postmaster@ de los dominios que estés intentando validar.

En caso de que no dispongas acceso a ninguna de ellas tienes 2 opciones, solicitar que te habiliten el acceso a alguna de ellas o incorporar tu dirección de correo al campo de contacto administrativo o técnico asociados al dominio en su registro del Whois.

Más información

22. ¿Cómo solicito certificados de sevidor, de firma de código, de firma de documentos, ...?

Dependiendo del tipo de gestión de TCS que se realice en su institución, el procedimiento para la solicitud de certificados puede ser de una de estas dos formas:

  • Desde el portal CertCentral (debe solicitar una cuenta de usuario de CertCentral en su institución).
  • Enviando la solicitud a los gestores de CertCentral en su institución para que sean ellos los que realicen la solicitud y posteriormente, le envíen el certificado una vez que haya sido emitido por DigiCert.

23. ¿Cómo solicito certificados personales?

Aunque el portal CertCentral dispone de opciones para la solicitud de certificados personales, desde GÉANT se nos ha recomenado no utilizarlas y, en su lugar, hacer uso del acceso federado ya que CertCentral es un SP de eduGAIN (SAML 2.0).

Tiene disponible una página con las recomendaciones para la configuración de su IdP para la solicitud de certificados personales en TCS.

24. ¿Es posible requerir validación a los certificados personales solicitados de forma federada?

Más información

25. ¿Cómo añado un nuevo perfil a un dominio que ya tenía validado?

Hay que seleccionar el dominio deseado y enviar una nueva validación

    Cuenta -> Domain Validation -> (seleccionar dominio) -> Submit for Validation -> (elegir el nuevo perfil para la validación)

26. Validar certificados EV y CS - ¿Cómo añadir un administrador autorizado?

Hay que añadir otra validación EV/CS para la misma institución seleccionando la nueva persona.

27. ¿Cómo creo una CSR?

DigiCert dispone de una Guía para la creación de CSRs que puede consultar.

28. Verificación de CAA. ¿Cómo funciona?

Más información

29. ¿Hay algún otro FAQ en TERENA?

TERENA mantiene un FAQ relativo al servicio TCS que puede consultar.

30. Tengo una duda, pero no está resuelta en este FAQ.

Por favor, envíenosla para que podamos resolverla y añadirla a este FAQ.