F.A.Q. del servicio SCS

Preguntas y Respuestas Frecuentes


Indice de Contenidos

  1. ¿Qué aplicaciones y/o dispositivos soportan los certificados SCS?
  2. Requisitos para solicitar certificados SSL de servidor
  3. ¿Cual es la diferencia entre los perfiles req y admin?
  4. ¿Cómo se da de baja un operador o administrador?
  5. ¿Se puede tener más de un administrador?
  6. ¿Por qué hay veces que desaparece el item "Administración" si yo soy "admin"?
  7. ¿A qué número de fax debemos enviar la documentación?
  8. ¿Qué vía o vías puedo usar para enviar la documentación a RedIRIS?
  9. ¿Qué hago si al intentar registrarme me dice que: "Usted no tiene permisos para acceder a la aplicación"?
  10. ¿Qué debo hacer para que me pre-validen un dominio que tengo registrado y que no le consta a RedIRIS en su base de datos de instituciones afiliadas?
  11. ¿Qué debo hacer si mi institución A quiere gestionar los dominios registrados por otra institución afiliada a RedIRIS B?
  12. ¿Qué es el DCV?
  13. ¿Cómo solicito un certificado para un dominio de segundo nivel domain.TLD?
  14. ¿Se pueden solicitar certificados con longitud de clave de 1024 bits?
  15. ¿Se pueden solicitar certificados wildcard?
  16. ¿Pueden coexistir dos certificados con el mismo DN?
  17. ¿Cómo renuevo un certificado?
  18. Ya he recibido el certificado que he solicitado, ¿cómo lo instalo para el servicio?
  19. Comodo no encuentra mi teléfono para validar nuestra solicitud de certificado de firma de código. ¿Qué puedo hacer?
  20. Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?
  21. ¿Que es el CA/Browser Forum?
  22. ¿Qué es un certificado DV?
  23. ¿Qué es un certificado OV?
  24. ¿Qué es un certificado EV?
  25. Tengo una duda, pero no está resuelta en este FAQ.
  26. ¿Hay algún otro FAQ en TERENA?
Este servicio permite el registro de documentos vía correo electrónico. En principio esta diseñado para que cualquier usuario pueda registrar un documento simplemente empleando el correo electrónico.

Por "registro" de un documento se entiende la posibilidad de comprobar a posteriori si un documento dado existía en una fecha determinada.

Actualmente el registro funciona vía correo electrónico, solamente hay que enviar un correo a la dirección del registro:

(sellado @ rediris . es )

conteniendo como anexos o attach los documentos que se quieren registrar.

El usuario recibirá en su cuenta de correo un mensaje del registrador cuando los documentos son procesados, con información sobre como verificar la información.

Verificación de la información.

Para verificar la información que envía el mensaje puede:

Documentación Adicional.

En la página de preguntas más frecuentes encontrará respuesta a algunas de las preguntas que los usuarios suelen plantear.

Presentaciones

  • Presentación Jornadas Técnicas RedIRIS 2002
  • Presentación Jornadas de Usuarios Científicos en RedIRIS 2002
    • ¿Para qué firmar las páginas HTML ?

      Muchas veces es conveniente estar seguros de que la inforMación reflejada en un documento esta tal y como fue publicada y que por lo tanto tenemos acceso a la información original.

      Este es el fin de la firma mediante PGP de algunas de las páginas HTML del servidor de RedIRIS, que cualquier usuario pueda comprobar que la información no ha sido modificada. Para realizar esto se emplea se pueden emplear diversas técnicas matemáticas, entre ellas la criptografía de clave publica y el programa PGP.

      Criptografía de clave publica.

      La criptografía de clave publica se basa en la existencia de dos "claves" o funciones matematicas con caracteristica fundamental de que lo que solamente es posible decodificar un mensaje empleando la clave complementaria. Se llama de clave publica porque una de ellas se mantiene en secreto, mientras que la otra se hace publica y cualquier persona puede acceder a ella.

      A la hora de firmar un documento este se firma con la clave privada y cualquiera puede, empleando la clave publica, comprobar que el documento no ha sido modificado, ya que cualquier modificación en el texto haría que la comprobación del mensaje no fuera correcta.

      ¿Qué es PGP ?

      Existen diversos programas que nos permiten firmar digitalmente los documentos. Para la firma de las páginas HTML del servidor se ha optado por emplear el programa PGP . Este programa fue uno de los primeros aparecidos que permitian a los usuarios firmar y codificar documentos. Tiene una larga e interesante historia y existen versiones de dominio publico para casi todas las plataformas y sistemas operativos lo que permite comprobar que las páginas no han sido modificadas en cualquier sistema operativo.

      ¿Por qué no emplear SSL/TLS ?

      Existe otro mecanismo denominado SSL/TLS que permite mantener conexiones seguras y autenticadas desde navegadores WWW como Netscape o Internet Explorer, de una forma hasta más transparente y directa que el mecanismo empleado por RedIRIS. El problema que tienee este sistema es que requiere que todas las operaciones criptograficas se realizen para cada conexión que se establezca, lo que enlentece la conexión. El sistema empleado en el servidor de RedIRIS, aunque no tan transparente al navegador solamente firma las páginas una vez (cuando se modifican desde RedIRIS), y las páginas firmadas se cargan a la misma velocidad que las páginas que no están firmadas.

      Información de la clave publica PGP

      La clave publica empleada para firmar las páginas HTML de RedIRIS tiene la siguiente información:

      gpg --list-secret-keys
      gpg: signature packet without keyid
      /.gnupg/secring.gpg
      ---------------------------------------------
      sec  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
            , see http://www.rediris.es/pgp/firmaweb/
      uid               CN=www.rediris.es, OU=IRIS-CERT, O=RedIRIS, ST=Madrid, C=ES
      gpg --list-keys --fingerprint 
      /.gnupg/pubring.gpg
      ---------------------------------------------
      pub  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
             see http://www.rediris.es/pgp/firmaweb/
           Key fingerprint = 99 A8 78 63 8C 5C E8 0A  8C 54 FE 46 81 25 A6 CA
      
      
      El par de claves RSA empleado es exactamente el mismo que esta ahora mismo en uso en el servidor SSL . La clave publica para PGP se puede obtener aquí

      ¿Como Verificar que una página es correcta ?

      Los navegadores no disponen de un mecanismo para automatizar la firma de las paginas WWW mediante PGP por lo que para comprobar que una página no ha sido modificada debe cguardar la pagina en el disco y realizar la comprobación con el programa PGP. Dado que PGP esta disponible para varios sistemas Operativos, en diferentes versiones los ejemplos que aparecen a continuación pueden variar dependiendo del sistema.

      Algunos ejemplos de comprobación.

      Comprobación en versiones Unix de PGP

      Emplenado el programa GnuPgP la verificacion de una pagina firmada con el servidor de RedIRIS da este resultado:

      gpg --verify < index.es.html 
      gpg: Signature made Tue Dec 12 23:32:30 2000 MET using RSA key ID 2C4C669B
      gpg: Good signature from "PGP certificate of RedIRIS Web Server \\
         ,  see http://www.rediris.es/pgp/firmaweb/"
      
      Con PGP 2.6 el resultado es similar:
      gp < index.es.html 
      Pretty Good Privacy(tm) 2.6.3ia - Criptografía de clave pública para todos.
      (c) 1990-96 Philip Zimmermann, Phil's Pretty Good Software. 1996-03-04
      Versión internacional - no apta para los EE.UU. No utiliza RSAREF.
      Hora actual: 2000/12/12 22:34 GMT
      
      El fichero tiene firma. Se necesita la clave pública para comprobarla.
      .
      Firma correcta de "PGP certificate of RedIRIS Web Server  \\
      	 see http://www.rediris.es/pgp/firmaweb/".
      Firma realizada el 2000/12/12 22:33 GMT con una clave de 2048 bits, 
      identificador 2C4C669B
      
      AVISO: Esta clave pública no está certificada con una firmade confianza,
      por lo que no se sabe con seguridad si realmente pertenece a:
       "PGP certificate of RedIRIS Web Server , see http://www.rediris.es/pgp/firmaweb/".
      

      Comprobación en MacOS con PGP 6.5

      ¿Por qué me dice que la firma es invalida ?

      La firma de documentos electronicos con claves digitales permite dos cosas:

      • Comprobar que el documento no ha sido modificado
      • Comprobar que el documento ha sido firmado por quien dice ser

      Algunas versiones de PGP indican que la firma es invalida cuando la página bien firmada pero no se le ha indicado al programa que debe considerar como "verdadera" la clave PGP que ha firmado la página.

      en el ejemplo de comprobación en Unix aparece al final indicado que la clave no esta dentro de la Red de Confianza PGP.

      Consulte la información disponible en la sección de PGP si desea más información sobre el funcionamiento de las redes de confianza de PGP

      ¿Como se han firmado las páginas ?

      La información de las páginas HTML del Servidor de RedIRIS se procesa empleando un sistema de Agentes denominado Webber desarrollado en RedIRIS.

      Webber permite la automatización de diversos aspectos del diseño de la información mostrada en el servidor y se ha desarrollado un procesador que realiza la firma de las páginas HTML de una forma automatica a partir de los fuentes webber iniciales.

      Consulte las páginas de Webber para más información.

      Why signing Web pages?

      Sometimes you want to be sure that the information of a document has not been modifiied and you have the original version of that document.

      This is why some Web pages at the RedIRIS server have been signed, so everybody can check the pages and notice if the information has been modified. This digital signature has been made using a set mathematical algorithms generally known as public key criptography, and a program called PGP.

      Public key cryptography

      Public key cryptography is based on two related diferent keys, or mathematical functions, with the special characteristc that it is only possible to decode the output of one function using the other one. It is called public key cryptography because one of the keys is stored securely by the user while the other key is public and everybody can access the key in order to send encrypted documents to the holder of the private key.

      When you sign a document, this means encrypting a summary of it with your private key. Thus, everybody can, using the public key, check that the document has not been modified, since if there is any modification (change of a word, or character), the verification of the signature will not be correct.

      What is PGP?

      There are some programs for digitally signing documents. We have chosen PGP . PGP was one of the first public programs allowing people to sign and encrypt their documents. This program has a long history, and there are public avalaible versions for almost all computer platform and operating systems.

      Why not use SSL/TLS?

      There is another method to establish secure and authenticated connections between hosts, using WWW browsers as Netscape or Internet Explorer, more direct and transparent than with this PGP-based setup. The big problem with SSL/TLS is that all the connections must be encrypted, and the server needs to do more process to send pages, so the connection is slower.

      The aproach at the RedIRIS webserver is not as trasparent to the browser, but itonly uses strong cryptography to sign the pages once (when they are modified), so pages are loaded at a faster speed.

      PGP Public Key information

      The information of the PGP key used for signing the HTML pages at the RedIRIS Web server is:

      gpg --list-secret-keys
      gpg: signature packet without keyid
      /.gnupg/secring.gpg
      ---------------------------------------------
      sec  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
                    see http://www.rediris.es/pgp/firmaweb/
      uid          CN=www.rediris.es, OU=IRIS-CERT, O=RedIRIS, ST=Madrid, C=ES
      gpg --list-keys --fingerprint 
      /.gnupg/pubring.gpg
      ---------------------------------------------
      pub  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
              see http://www.rediris.es/pgp/firmaweb/
       Key fingerprint = 99 A8 78 63 8C 5C E8 0A  8C 54 FE 46 81 25 A6 CA
      
      
      We are using the same pair of RSA keys for PGP signing and for the RedIRIS secure Web Server . You can obtain the PGP public key here.

      How to verify the Web pages?

      As stated before, the browsers is not able to automatically verify the PGP signature of the Web pages. If you want to verify one page you need to save the page as a file to your disk, and use the PGP program to verify the information. The following examples are for diferent platform and operating systems.

      Some examples of signature verification

      Using a Unix PGP

      With GnuPG the verification of a HTML page is as follows:

      gpg --verify < index.es.html 
      gpg: Signature made Tue Dec 12 23:32:30 2000 MET using RSA key ID 2C4C669B
      gpg: Good signature from "PGP certificate of RedIRIS Web Server 
                                     see http://www.rediris.es/pgp/firmaweb/"
      
      With PGP 2.6 (Spanish interface) the result is:
      Pretty Good Privacy(tm) 2.6.3ia - Criptografía de clave pública para todos.
      (c) 1990-96 Philip Zimmermann, Phil's Pretty Good Software. 1996-03-04
      Versión internacional - no apta para los EE.UU. No utiliza RSAREF.
      Hora actual: 2000/12/12 22:34 GMT
      
      El fichero tiene firma. Se necesita la clave pública para comprobarla.
      .
      Firma correcta de "PGP certificate of RedIRIS Web Server , \\
           see http://www.rediris.es/pgp/firmaweb/".
      Firma realizada el 2000/12/12 22:33 GMT con una clave de 2048 bits, \\
       identificador 2C4C669B
      
      AVISO: Esta clave pública no está certificada con una firmade confianza,
      por lo que no se sabe con seguridad si realmente pertenece a:
       "PGP certificate of RedIRIS Web Server , see http://www.rediris.es/pgp/firmaweb/".
      

      Using MacOs and PGP 6.5

      Why is the signature said to be "invalid"?

      Digital signatures may be used for two different purposes:

      • Check that a document has not been modified
      • Verify that the signer of a document is really the person who you think he is

      Some PGP versions show that the signature is invalid although the page is well signed. The reason for that is that the PGP key used to sign the HTML pages is not inside your PGP web of trust.

      You can get more information at the International PGP pages .

      How are the WEB pages signed ?

      All the information of the Web pages of the RedIRIS server is processed with a component-based system called Webber, developed also at RedIRIS.

      Webber allows the automation of several aspects of web page design. We have developed a component that allows digitally signing page contents.

      Check the Webber pages for more information.

      Todas las cuestiones que usted haya resuelto por su cuenta, así como las aclaraciones que crea necesarias sobre este documento envíenoslas, para que podamos completar este FAQ.


      1. ¿A qué número de fax debemos enviar la documentación?

      Desde el día 31 de octubre de 2006 la documentación se debe enviar al nº de fax: 95 505 66 27 a la atención de Daniel García.

      2. ¿Quién debe ser el responsable técnico? Y ¿Quién debe ser el contacto administrativo?

      El responsable técnico o contacto técnico debe ser la persona que se va a hacer responsable del servicio o servidor que usará el certificado y que por lo general es quién lo solicita.

      3. He estado mirando la guía para solicitar un certificado SCS, y hay una cosa que no me queda clara: ¿es necesario que la solicitud la firmen dos personas distintas (solicitante + PER) o puede ser una única persona (Solicitante = PER)

      El responsable técnico o contacto técnico debe ser la persona que se va a hacer responsable del servicio o servidor que usará el certificado y que por lo general es quién lo solicita.
      El contacto administrativo debe ser el PER.

      4. ¿Debo responder al correo que recibo desde Globalsign solicitándome confirmación de la solicitud del certificado? ¿Qué hago con él?...

      No, el correo no debe responderse vía e-mail. Lo que se debe hacer con dicho correo es imprimirlo, firmar todas las hojas por el PER y por el solicitante; y enviarlo por fax al nº 95 505 66 27 a la atención de Daniel García.

      5. No me llega el correo de GlobalSign. ¿Qué hago?

      GoblalSign tiene un error de configuración en sus registros SPF. Ya se lo hemos notificado, pero parece que les está constando más trabajo de la cuenta arreglarlo.

      El problema realmente es que los correos de confirmación no se pueden volver a enviar, es decir, desde RedIRIS no podemos hacer que se envíen de nuevo. Por lo que la solución más rápida pasa por "desactivar" las comprobaciones SPF para Globalsign y volver a generar las solicitudes de certificados. sin preocuparse por las antiguas, ya que nos encargaremos nosotros de desestimarlas.

      6. ¿Puedo modificar el fichero de configuracion openssl.conf para añadirele algún RDN más, como por ejemplo un Organization Unit Name OU, etc...?

      Si, si se puede modificar el fichero scs_openssl.conf que proporcionamos en el tutorial de solicitudes de certificados. De hecho este fichero hay que modificarlo para solicitar certificados con subjectAltName, ya que es en el campo CN donde se definen los nombres alternativos para un certificado.
      Un ejemplo de cómo modificarlo se puede ver a continuación.

       ...
       [ req_distinguished_name ]
       #emailAddress			= Email Address
        #emailAddress_max		= 60
      
       countryName			= Country Name (Código ISO 3166)
       countryName_default		= ES
      
       organizationName		= Organization Name (p. ej. RedIRIS)
      
       commonName			= Common Name (FQDN del servidor)
       #
       ## Si desea varios nombres para el certificado en la extension subjectAltName, comente la linea anterior y añada o elimine las líneas que necesite, descomentandolas también.
       #
      
       # 0.commonName            = Common Name (FQDN principal del servidor)
       # 1.commonName            = Common Name (FQDN 2 del servidor)
       # 2.commonName            = Common Name (FQDN 3 del servidor)
      
       #
       ## Añada los RDN que desee a partir de aquí
       #
      
       # organizationalUnitName	= Organizational Unit Name
       # organizationalUnitName_max	= 128				# Tamaño máximo
       # organizationalUnitName_min	= 16				# Tamaño mínimo
      

      7. ¿Qué documentos tengo que enviar a RedIRIS para que me emitan el certificado?

      Hay que enviar 3 documentos siguientes:

      1. Documento de Condiciones de uso debidamente cumplimentado.
      2. La página web de confirmación de información, que debe imprimirse y firmarse (en todas sus páginas) tanto por el PER como por el solicitante. A este documento lo llamamos comunmente CSR (Certificate Signing Request). Está detallado en el punto 2.4 de la "Guia básica para la solicitud de certificados de servidor SCS"
      3. El correo que recibe de GlobalSign solicitandole la confirmación de la solicitud. Este correo debe imprimirse y firmarse (en todas sus páginas) tanto por el PER como por el solicitante.

      Todos los documentos, deben enviarse a RedIRIS vía fax al número 95 505 66 27 a la atención de Daniel García.

      8. ¿Puedo enviar la documentación formada por "Condiciones de Uso", "CSR" y "Correo de petición de confirmación", por e-mail cifrado?

      No, actualmente el procedimiento por el cual se establece la relación de confianza entre el firmante (PER ó solicitante del certificado) y el destinatario (RedIRIS), no está aprobado por GlobalSign.

      9. ¿Qué vía o vías puedo usar para enviar la documentación a RedIRIS?

      Actualmente se puede enviar la documentación por correo postal ordinario a:

        David Mayor,
        RedIRIS,
        Entidad Pública Empresarial Red.es,
        Edificio Bronce,
        Plaza Manuel Gómez Moreno, s/n
        28020 Madrid

      También se puede enviar vía fax al número 95 505 66 27 a la atención de Daniel García (no a David Mayor).

      10. ¿Que hago si recibo un correo indicándome que no he enviado toda la documentación? ¿Y si me indica el correo que la documentación no es correcta?

      Si recibe un correo indicándole que no ha enviado toda la documentación, lea atentamente el correo, verifique que realmente no ha enviado aquellos documentos que le faltan y envíelos. En caso de que tenga la certeza de haber enviado los documentos que le indican que faltan, póngase en contacto con RedIRIS y haganoslo saber.

      Si le indican que la documentación que ha enviado no es correcta, seguramente le indiquen también la causa de dicha incorrección. Cumplemente debidamente la documentación y envíela de nuevo.

      11. ¿Qué hago si quiero que se desestime una solicitud que ya he realizado?

      Si aún no ha enviado la documentación puede dejar pasar 15 días sin enviarla, de forma que la solicitud expirará.

      Si ya ha enviado la documentación:

      • Basta con que escriba a mano con mayúsculas y letra clara; al final de una copia impresa del correo que recibe de GlobalSign, el siguiente texto:

          DESEO QUE SE DESESTIME LA SOLICITUD PARA LA QUE SE PIDE CONFIRMACIÓN EN ESTE CORREO

        Esta copia (en todas sus páginas), deben firmarla el PER y el contacto o responsable técnico, y enviarla por fax al número: 95 505 66 27 a la atención de Daniel García
      • Puede solicitar una revocación del certificado. Una vez que éste haya sido emitido.

      12. He cometido un error al rellenar los datos de solicitud de certificado, y no sé como proceder.

      Si ha cometido un error al completar alguno de los formularios necesarios para la solicitud de un certificado, simplemente debe hacer una solicitud nueva, informarnos de tal hecho en este formulario, y dejar que la solicitud errónea expire, que lo hará pasado 15 días desde que se realizó.

      13. ¿Cuál es la diferencia entre los tipos de certificados siguientes: SureServer Edu TLS y SureServer Edu TLS Mailserver?

      La principal diferencia, reside en que en el segundo (SureServer Edu TLS Mailserver) se puede añadir un campo e-mail al DN del destinatario del certificado, y en el primero no.

      El objetivo del e-mail en el DN es primordialmente permitir que el certificado sea utilizado para firmar mensajes de correo (firmarlos con la firma del servidor, no es una firma personal, no lo olvidemos). Hay algunas aplicaciones posibles, como puede ser el envío de mensajes institucionales o el uso en servidores de listas.

      14. ¿Qué debo hacer para que me pre-validen un dominio que tengo registrado y que no le consta a RedIRIS en su base de datos de instituciones afiliadas?

      Contactar con los responsables del servicio para ver la mejor manera de incluir el o los nuevos dominios en el registro de instituciones afiliadas de RedIRIS, que es el que se usa para SCS.

      15. Ya he recibido el certificado que he solicitado, cómo lo instalo para el servicio....

      Existe una Guía Básica de instalación de certificados SCS, que indica como instalar un certificado en los servicios más comunes.

      16. ¿Qué puedo hacer si él contacto técnico ha perdido el correo con el certificado adjunto?

      Puedes descargar el certificado directamente desde el repositorio de Globalsign

      17. Tengo una duda, pero no está resuelta en este FAQ.

      Por favor, envíenosla para que podamos resolversela y añadirla a este FAQ.

      Indice de Contenidos

      1. ¿A qué número de fax debemos enviar la documentación?
      2. ¿Quién debe ser el responsable técnico? Y ¿Quién debe ser el contacto administrativo?
      3. He estado mirando la guía para solicitar un certificado SCS, y hay una cosa que no me queda clara: ¿es necesario que la solicitud la firmen dos personas distintas (solicitante + PER) o puede ser una única persona (Solicitante = PER)
      4. ¿Debo responder al correo que recibo desde Globalsign solicitándome confirmación de la solicitud del certificado? ¿Qué hago con él?...
      5. No me llega el correo de GlobalSign. ¿Qué hago?
      6. ¿Puedo modificar el fichero de configuracion openssl.conf para añadirele algún RDN más, como por ejemplo un Organization Unit Name OU, etc...?
      7. ¿Qué documentos tengo que enviar a RedIRIS para que me emitan el certificado?
      8. ¿Puedo enviar la documentación formada por "Condiciones de Uso", "CSR" y "Correo de petición de confirmación", por e-mail cifrado?
      9. ¿Qué vía o vías puedo usar para enviar la documentación a RedIRIS?
      10. ¿Que hago si recibo un correo indicándome que no he enviado toda la documentación? ¿Y si me indica el correo que la documentación no es correcta?
      11. ¿Qué hago si quiero que se desestime una solicitud que ya he realizado?
      12. He cometido un error al rellenar los datos de solicitud de certificado, y no sé como proceder.
      13. ¿Cuál es la diferencia entre los tipos de certificados siguientes: SureServer Edu TLS y SureServer Edu TLS Mailserver?
      14. ¿Qué debo hacer para que me pre-validen un dominio que tengo registrado y que no le consta a RedIRIS en su base de datos de instituciones afiliadas?
      15. Ya he recibido el certificado que he solicitado, cómo lo instalo para el servicio....
      16. ¿Qué puedo hacer si él contacto técnico ha perdido el correo con el certificado adjunto?
      17. Tengo una duda, pero no está resuelta en este FAQ.
      Este servicio permite el registro de documentos vía correo electrónico. En principio esta diseñado para que cualquier usuario pueda registrar un documento simplemente empleando el correo electrónico.

      Por "registro" de un documento se entiende la posibilidad de comprobar a posteriori si un documento dado existía en una fecha determinada.

      Actualmente el registro funciona vía correo electrónico, solamente hay que enviar un correo a la dirección del registro:

      (sellado @ rediris . es )

      conteniendo como anexos o attach los documentos que se quieren registrar.

      El usuario recibirá en su cuenta de correo un mensaje del registrador cuando los documentos son procesados, con información sobre como verificar la información.

      Verificación de la información.

      Para verificar la información que envía el mensaje puede:

      Documentación Adicional.

      En la página de preguntas más frecuentes encontrará respuesta a algunas de las preguntas que los usuarios suelen plantear.

      Presentaciones

      • Presentación Jornadas Técnicas RedIRIS 2002
      • Presentación Jornadas de Usuarios Científicos en RedIRIS 2002
        • ¿Para qué firmar las páginas HTML ?

          Muchas veces es conveniente estar seguros de que la inforMación reflejada en un documento esta tal y como fue publicada y que por lo tanto tenemos acceso a la información original.

          Este es el fin de la firma mediante PGP de algunas de las páginas HTML del servidor de RedIRIS, que cualquier usuario pueda comprobar que la información no ha sido modificada. Para realizar esto se emplea se pueden emplear diversas técnicas matemáticas, entre ellas la criptografía de clave publica y el programa PGP.

          Criptografía de clave publica.

          La criptografía de clave publica se basa en la existencia de dos "claves" o funciones matematicas con caracteristica fundamental de que lo que solamente es posible decodificar un mensaje empleando la clave complementaria. Se llama de clave publica porque una de ellas se mantiene en secreto, mientras que la otra se hace publica y cualquier persona puede acceder a ella.

          A la hora de firmar un documento este se firma con la clave privada y cualquiera puede, empleando la clave publica, comprobar que el documento no ha sido modificado, ya que cualquier modificación en el texto haría que la comprobación del mensaje no fuera correcta.

          ¿Qué es PGP ?

          Existen diversos programas que nos permiten firmar digitalmente los documentos. Para la firma de las páginas HTML del servidor se ha optado por emplear el programa PGP . Este programa fue uno de los primeros aparecidos que permitian a los usuarios firmar y codificar documentos. Tiene una larga e interesante historia y existen versiones de dominio publico para casi todas las plataformas y sistemas operativos lo que permite comprobar que las páginas no han sido modificadas en cualquier sistema operativo.

          ¿Por qué no emplear SSL/TLS ?

          Existe otro mecanismo denominado SSL/TLS que permite mantener conexiones seguras y autenticadas desde navegadores WWW como Netscape o Internet Explorer, de una forma hasta más transparente y directa que el mecanismo empleado por RedIRIS. El problema que tienee este sistema es que requiere que todas las operaciones criptograficas se realizen para cada conexión que se establezca, lo que enlentece la conexión. El sistema empleado en el servidor de RedIRIS, aunque no tan transparente al navegador solamente firma las páginas una vez (cuando se modifican desde RedIRIS), y las páginas firmadas se cargan a la misma velocidad que las páginas que no están firmadas.

          Información de la clave publica PGP

          La clave publica empleada para firmar las páginas HTML de RedIRIS tiene la siguiente información:

          gpg --list-secret-keys
          gpg: signature packet without keyid
          /.gnupg/secring.gpg
          ---------------------------------------------
          sec  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
                , see http://www.rediris.es/pgp/firmaweb/
          uid               CN=www.rediris.es, OU=IRIS-CERT, O=RedIRIS, ST=Madrid, C=ES
          gpg --list-keys --fingerprint 
          /.gnupg/pubring.gpg
          ---------------------------------------------
          pub  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
                 see http://www.rediris.es/pgp/firmaweb/
               Key fingerprint = 99 A8 78 63 8C 5C E8 0A  8C 54 FE 46 81 25 A6 CA
          
          
          El par de claves RSA empleado es exactamente el mismo que esta ahora mismo en uso en el servidor SSL . La clave publica para PGP se puede obtener aquí

          ¿Como Verificar que una página es correcta ?

          Los navegadores no disponen de un mecanismo para automatizar la firma de las paginas WWW mediante PGP por lo que para comprobar que una página no ha sido modificada debe cguardar la pagina en el disco y realizar la comprobación con el programa PGP. Dado que PGP esta disponible para varios sistemas Operativos, en diferentes versiones los ejemplos que aparecen a continuación pueden variar dependiendo del sistema.

          Algunos ejemplos de comprobación.

          Comprobación en versiones Unix de PGP

          Emplenado el programa GnuPgP la verificacion de una pagina firmada con el servidor de RedIRIS da este resultado:

          gpg --verify < index.es.html 
          gpg: Signature made Tue Dec 12 23:32:30 2000 MET using RSA key ID 2C4C669B
          gpg: Good signature from "PGP certificate of RedIRIS Web Server \\
             ,  see http://www.rediris.es/pgp/firmaweb/"
          
          Con PGP 2.6 el resultado es similar:
          gp < index.es.html 
          Pretty Good Privacy(tm) 2.6.3ia - Criptografía de clave pública para todos.
          (c) 1990-96 Philip Zimmermann, Phil's Pretty Good Software. 1996-03-04
          Versión internacional - no apta para los EE.UU. No utiliza RSAREF.
          Hora actual: 2000/12/12 22:34 GMT
          
          El fichero tiene firma. Se necesita la clave pública para comprobarla.
          .
          Firma correcta de "PGP certificate of RedIRIS Web Server  \\
          	 see http://www.rediris.es/pgp/firmaweb/".
          Firma realizada el 2000/12/12 22:33 GMT con una clave de 2048 bits, 
          identificador 2C4C669B
          
          AVISO: Esta clave pública no está certificada con una firmade confianza,
          por lo que no se sabe con seguridad si realmente pertenece a:
           "PGP certificate of RedIRIS Web Server , see http://www.rediris.es/pgp/firmaweb/".
          

          Comprobación en MacOS con PGP 6.5

          ¿Por qué me dice que la firma es invalida ?

          La firma de documentos electronicos con claves digitales permite dos cosas:

          • Comprobar que el documento no ha sido modificado
          • Comprobar que el documento ha sido firmado por quien dice ser

          Algunas versiones de PGP indican que la firma es invalida cuando la página bien firmada pero no se le ha indicado al programa que debe considerar como "verdadera" la clave PGP que ha firmado la página.

          en el ejemplo de comprobación en Unix aparece al final indicado que la clave no esta dentro de la Red de Confianza PGP.

          Consulte la información disponible en la sección de PGP si desea más información sobre el funcionamiento de las redes de confianza de PGP

          ¿Como se han firmado las páginas ?

          La información de las páginas HTML del Servidor de RedIRIS se procesa empleando un sistema de Agentes denominado Webber desarrollado en RedIRIS.

          Webber permite la automatización de diversos aspectos del diseño de la información mostrada en el servidor y se ha desarrollado un procesador que realiza la firma de las páginas HTML de una forma automatica a partir de los fuentes webber iniciales.

          Consulte las páginas de Webber para más información.

          Why signing Web pages?

          Sometimes you want to be sure that the information of a document has not been modifiied and you have the original version of that document.

          This is why some Web pages at the RedIRIS server have been signed, so everybody can check the pages and notice if the information has been modified. This digital signature has been made using a set mathematical algorithms generally known as public key criptography, and a program called PGP.

          Public key cryptography

          Public key cryptography is based on two related diferent keys, or mathematical functions, with the special characteristc that it is only possible to decode the output of one function using the other one. It is called public key cryptography because one of the keys is stored securely by the user while the other key is public and everybody can access the key in order to send encrypted documents to the holder of the private key.

          When you sign a document, this means encrypting a summary of it with your private key. Thus, everybody can, using the public key, check that the document has not been modified, since if there is any modification (change of a word, or character), the verification of the signature will not be correct.

          What is PGP?

          There are some programs for digitally signing documents. We have chosen PGP . PGP was one of the first public programs allowing people to sign and encrypt their documents. This program has a long history, and there are public avalaible versions for almost all computer platform and operating systems.

          Why not use SSL/TLS?

          There is another method to establish secure and authenticated connections between hosts, using WWW browsers as Netscape or Internet Explorer, more direct and transparent than with this PGP-based setup. The big problem with SSL/TLS is that all the connections must be encrypted, and the server needs to do more process to send pages, so the connection is slower.

          The aproach at the RedIRIS webserver is not as trasparent to the browser, but itonly uses strong cryptography to sign the pages once (when they are modified), so pages are loaded at a faster speed.

          PGP Public Key information

          The information of the PGP key used for signing the HTML pages at the RedIRIS Web server is:

          gpg --list-secret-keys
          gpg: signature packet without keyid
          /.gnupg/secring.gpg
          ---------------------------------------------
          sec  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
                        see http://www.rediris.es/pgp/firmaweb/
          uid          CN=www.rediris.es, OU=IRIS-CERT, O=RedIRIS, ST=Madrid, C=ES
          gpg --list-keys --fingerprint 
          /.gnupg/pubring.gpg
          ---------------------------------------------
          pub  2048R/2C4C669B 2000-10-19 PGP certificate of RedIRIS Web Server 
                  see http://www.rediris.es/pgp/firmaweb/
           Key fingerprint = 99 A8 78 63 8C 5C E8 0A  8C 54 FE 46 81 25 A6 CA
          
          
          We are using the same pair of RSA keys for PGP signing and for the RedIRIS secure Web Server . You can obtain the PGP public key here.

          How to verify the Web pages?

          As stated before, the browsers is not able to automatically verify the PGP signature of the Web pages. If you want to verify one page you need to save the page as a file to your disk, and use the PGP program to verify the information. The following examples are for diferent platform and operating systems.

          Some examples of signature verification

          Using a Unix PGP

          With GnuPG the verification of a HTML page is as follows:

          gpg --verify < index.es.html 
          gpg: Signature made Tue Dec 12 23:32:30 2000 MET using RSA key ID 2C4C669B
          gpg: Good signature from "PGP certificate of RedIRIS Web Server 
                                         see http://www.rediris.es/pgp/firmaweb/"
          
          With PGP 2.6 (Spanish interface) the result is:
          Pretty Good Privacy(tm) 2.6.3ia - Criptografía de clave pública para todos.
          (c) 1990-96 Philip Zimmermann, Phil's Pretty Good Software. 1996-03-04
          Versión internacional - no apta para los EE.UU. No utiliza RSAREF.
          Hora actual: 2000/12/12 22:34 GMT
          
          El fichero tiene firma. Se necesita la clave pública para comprobarla.
          .
          Firma correcta de "PGP certificate of RedIRIS Web Server , \\
               see http://www.rediris.es/pgp/firmaweb/".
          Firma realizada el 2000/12/12 22:33 GMT con una clave de 2048 bits, \\
           identificador 2C4C669B
          
          AVISO: Esta clave pública no está certificada con una firmade confianza,
          por lo que no se sabe con seguridad si realmente pertenece a:
           "PGP certificate of RedIRIS Web Server , see http://www.rediris.es/pgp/firmaweb/".
          

          Using MacOs and PGP 6.5

          Why is the signature said to be "invalid"?

          Digital signatures may be used for two different purposes:

          • Check that a document has not been modified
          • Verify that the signer of a document is really the person who you think he is

          Some PGP versions show that the signature is invalid although the page is well signed. The reason for that is that the PGP key used to sign the HTML pages is not inside your PGP web of trust.

          You can get more information at the International PGP pages .

          How are the WEB pages signed ?

          All the information of the Web pages of the RedIRIS server is processed with a component-based system called Webber, developed also at RedIRIS.

          Webber allows the automation of several aspects of web page design. We have developed a component that allows digitally signing page contents.

          Check the Webber pages for more information.

          Todas las cuestiones que usted haya resuelto por su cuenta, así como las aclaraciones que crea necesarias sobre este documento envíenoslas, para que podamos completar este FAQ.


          1. ¿A qué número de fax debemos enviar la documentación?

          Desde el día 31 de octubre de 2006 la documentación se debe enviar al nº de fax: 95 505 66 27 a la atención de Daniel García.

          2. ¿Quién debe ser el responsable técnico? Y ¿Quién debe ser el contacto administrativo?

          El responsable técnico o contacto técnico debe ser la persona que se va a hacer responsable del servicio o servidor que usará el certificado y que por lo general es quién lo solicita.

          3. He estado mirando la guía para solicitar un certificado SCS, y hay una cosa que no me queda clara: ¿es necesario que la solicitud la firmen dos personas distintas (solicitante + PER) o puede ser una única persona (Solicitante = PER)

          El responsable técnico o contacto técnico debe ser la persona que se va a hacer responsable del servicio o servidor que usará el certificado y que por lo general es quién lo solicita.
          El contacto administrativo debe ser el PER.

          4. ¿Debo responder al correo que recibo desde Globalsign solicitándome confirmación de la solicitud del certificado? ¿Qué hago con él?...

          No, el correo no debe responderse vía e-mail. Lo que se debe hacer con dicho correo es imprimirlo, firmar todas las hojas por el PER y por el solicitante; y enviarlo por fax al nº 95 505 66 27 a la atención de Daniel García.

          5. No me llega el correo de GlobalSign. ¿Qué hago?

          GoblalSign tiene un error de configuración en sus registros SPF. Ya se lo hemos notificado, pero parece que les está constando más trabajo de la cuenta arreglarlo.

          El problema realmente es que los correos de confirmación no se pueden volver a enviar, es decir, desde RedIRIS no podemos hacer que se envíen de nuevo. Por lo que la solución más rápida pasa por "desactivar" las comprobaciones SPF para Globalsign y volver a generar las solicitudes de certificados. sin preocuparse por las antiguas, ya que nos encargaremos nosotros de desestimarlas.

          6. ¿Puedo modificar el fichero de configuracion openssl.conf para añadirele algún RDN más, como por ejemplo un Organization Unit Name OU, etc...?

          Si, si se puede modificar el fichero scs_openssl.conf que proporcionamos en el tutorial de solicitudes de certificados. De hecho este fichero hay que modificarlo para solicitar certificados con subjectAltName, ya que es en el campo CN donde se definen los nombres alternativos para un certificado.
          Un ejemplo de cómo modificarlo se puede ver a continuación.

           ...
           [ req_distinguished_name ]
           #emailAddress			= Email Address
            #emailAddress_max		= 60
          
           countryName			= Country Name (Código ISO 3166)
           countryName_default		= ES
          
           organizationName		= Organization Name (p. ej. RedIRIS)
          
           commonName			= Common Name (FQDN del servidor)
           #
           ## Si desea varios nombres para el certificado en la extension subjectAltName, comente la linea anterior y añada o elimine las líneas que necesite, descomentandolas también.
           #
          
           # 0.commonName            = Common Name (FQDN principal del servidor)
           # 1.commonName            = Common Name (FQDN 2 del servidor)
           # 2.commonName            = Common Name (FQDN 3 del servidor)
          
           #
           ## Añada los RDN que desee a partir de aquí
           #
          
           # organizationalUnitName	= Organizational Unit Name
           # organizationalUnitName_max	= 128				# Tamaño máximo
           # organizationalUnitName_min	= 16				# Tamaño mínimo
          

          7. ¿Qué documentos tengo que enviar a RedIRIS para que me emitan el certificado?

          Hay que enviar 3 documentos siguientes:

          1. Documento de Condiciones de uso debidamente cumplimentado.
          2. La página web de confirmación de información, que debe imprimirse y firmarse (en todas sus páginas) tanto por el PER como por el solicitante. A este documento lo llamamos comunmente CSR (Certificate Signing Request). Está detallado en el punto 2.4 de la "Guia básica para la solicitud de certificados de servidor SCS"
          3. El correo que recibe de GlobalSign solicitandole la confirmación de la solicitud. Este correo debe imprimirse y firmarse (en todas sus páginas) tanto por el PER como por el solicitante.

          Todos los documentos, deben enviarse a RedIRIS vía fax al número 95 505 66 27 a la atención de Daniel García.

          8. ¿Puedo enviar la documentación formada por "Condiciones de Uso", "CSR" y "Correo de petición de confirmación", por e-mail cifrado?

          No, actualmente el procedimiento por el cual se establece la relación de confianza entre el firmante (PER ó solicitante del certificado) y el destinatario (RedIRIS), no está aprobado por GlobalSign.

          9. ¿Qué vía o vías puedo usar para enviar la documentación a RedIRIS?

          Actualmente se puede enviar la documentación por correo postal ordinario a:

            David Mayor,
            RedIRIS,
            Entidad Pública Empresarial Red.es,
            Edificio Bronce,
            Plaza Manuel Gómez Moreno, s/n
            28020 Madrid

          También se puede enviar vía fax al número 95 505 66 27 a la atención de Daniel García (no a David Mayor).

          10. ¿Que hago si recibo un correo indicándome que no he enviado toda la documentación? ¿Y si me indica el correo que la documentación no es correcta?

          Si recibe un correo indicándole que no ha enviado toda la documentación, lea atentamente el correo, verifique que realmente no ha enviado aquellos documentos que le faltan y envíelos. En caso de que tenga la certeza de haber enviado los documentos que le indican que faltan, póngase en contacto con RedIRIS y haganoslo saber.

          Si le indican que la documentación que ha enviado no es correcta, seguramente le indiquen también la causa de dicha incorrección. Cumplemente debidamente la documentación y envíela de nuevo.

          11. ¿Qué hago si quiero que se desestime una solicitud que ya he realizado?

          Si aún no ha enviado la documentación puede dejar pasar 15 días sin enviarla, de forma que la solicitud expirará.

          Si ya ha enviado la documentación:

          • Basta con que escriba a mano con mayúsculas y letra clara; al final de una copia impresa del correo que recibe de GlobalSign, el siguiente texto:

              DESEO QUE SE DESESTIME LA SOLICITUD PARA LA QUE SE PIDE CONFIRMACIÓN EN ESTE CORREO

            Esta copia (en todas sus páginas), deben firmarla el PER y el contacto o responsable técnico, y enviarla por fax al número: 95 505 66 27 a la atención de Daniel García
          • Puede solicitar una revocación del certificado. Una vez que éste haya sido emitido.

          12. He cometido un error al rellenar los datos de solicitud de certificado, y no sé como proceder.

          Si ha cometido un error al completar alguno de los formularios necesarios para la solicitud de un certificado, simplemente debe hacer una solicitud nueva, informarnos de tal hecho en este formulario, y dejar que la solicitud errónea expire, que lo hará pasado 15 días desde que se realizó.

          13. ¿Cuál es la diferencia entre los tipos de certificados siguientes: SureServer Edu TLS y SureServer Edu TLS Mailserver?

          La principal diferencia, reside en que en el segundo (SureServer Edu TLS Mailserver) se puede añadir un campo e-mail al DN del destinatario del certificado, y en el primero no.

          El objetivo del e-mail en el DN es primordialmente permitir que el certificado sea utilizado para firmar mensajes de correo (firmarlos con la firma del servidor, no es una firma personal, no lo olvidemos). Hay algunas aplicaciones posibles, como puede ser el envío de mensajes institucionales o el uso en servidores de listas.

          14. ¿Qué debo hacer para que me pre-validen un dominio que tengo registrado y que no le consta a RedIRIS en su base de datos de instituciones afiliadas?

          Contactar con los responsables del servicio para ver la mejor manera de incluir el o los nuevos dominios en el registro de instituciones afiliadas de RedIRIS, que es el que se usa para SCS.

          15. Ya he recibido el certificado que he solicitado, cómo lo instalo para el servicio....

          Existe una Guía Básica de instalación de certificados SCS, que indica como instalar un certificado en los servicios más comunes.

          16. ¿Qué puedo hacer si él contacto técnico ha perdido el correo con el certificado adjunto?

          Puedes descargar el certificado directamente desde el repositorio de Globalsign

          17. Tengo una duda, pero no está resuelta en este FAQ.

          Por favor, envíenosla para que podamos resolversela y añadirla a este FAQ.

          Todas las cuestiones que usted haya resuelto por su cuenta, así como las aclaraciones que crea necesarias sobre este documento envíenoslas, para que podamos completar este FAQ.

          1. ¿Qué aplicaciones y/o dispositivos soportan los certificados SCS?

          • Web Browsers (con soporte EV)
            Apple Safari 3.2+, Google Chome 1.0+, Microsoft Internet Explorer 7.0+. Mozilla Firefox 3.0+, Opera 9.5+
          • Web Browsers (sin soporte EV)
            Apple Safari 1.2+, AOL 5.0+. Camino 1.0+, Google Chrome 1.0+, KDE Konqueror, Microsoft Internet Explorer 5.01+, Mozilla Firefox 1.0+, Netscape Communicator 4.77+, Opera 7.0+
          • Clientes de correo (S/MIME)
            Apple Mail, Lotus Notes (6+), Microsoft Outlook 99+, Microsoft Outlook Express 5.0+, Microsoft Entourage, Microsoft Windows Mail 1.0+, Mozilla Thunderbird 1.0+, Qualcomm Eudora 6.2+, The Bat 1,0+
          • PDAs
            ACCESS NetFront 3.4+. Apple iPhone 1.0+, KDDI Openwave v6.2.0.12+, Microsoft Windows Mobile 5.0+, Nintendo Wii, NTT DoCoMo, Opera Mini 3.0+, Opera Mobile 6.0+, RIM Blackberry v4.2.1+, Sony Playstation 3, Sony Playstation Portable
          • Otras aplicaciones
            Adobe AIR, Microsoft Authenticode, Microsoft Office, Microsoft Visual Basic for Applications, Mozilla Suite 1.0+, Sea Monkey, Sun Java SE 1.4.2+,

          Desafortunadamente, la CA raíz de COMODO no se encuentra pre-instalada en el sistema operativo Symbian usado por muchos dispositivos Nokia y Sony Ericsson. Sin embargo puede ser añadida la CA raíz de comodo, descargándola e instalándola.

          2. Requisitos para solicitar certificados SSL de servidor

          • Alta en SIR
          • Envío de CUSO
          • Registro en ISC

          Para una información más detallada consulta Perfil de certificados SSL de servidor

          3. ¿Cual es la diferencia entre los perfiles req y admin?

          • urn:mace:rediris.es:entitlement:scs:req

            Este valor concede al solicitante el rol de operador de su institución para SCS.
            El rol de operador permite solicitar y revocar certificados.

          • urn:mace:rediris.es:entitlement:scs:admin

            Este valor concede al solicitante el rol de administrador de su institución para SCS.
            El rol de administrador permite habilitar u deshabilitar a los operadores, así como gestionar los dominios para los cuales pueden solicitar certificados. Y como es natural la solicitud y revocación de certificados.

          4. ¿Cómo se da de baja un operador o administrador?

          El procedimiento para dar de baja a una persona en el servicio SCS es el siguiente:

          • Avisar, por mail a RedIRIS de la baja de la persona
          • Eliminar los permisos urn:mace:rediris.es:entitlement:scs:req ó urn:mace:rediris.es:entitlement:scs:admin en el IdP de la institución

          5. ¿Se puede tener más de un administrador?

          Claro, se puede y además es muy recomendable tener varios administradores para cada institución.

          6. ¿Por qué hay veces que desaparece el item "Administración" si yo soy "admin"?

          Cuando se accede al ISC el sistema muestra el menú al que se tiene acceso según el rol del usuario. Si el usuario tiene el rol de "admin" se muestra el item "Administración".

          Si una vez aquí se selecciona "Gestionar Certs" se está cambiando al rol de operador y desaparecerá el item "Administración".

          Para poder acceder a la zona de administración (que salga "Administración") hay que pinchar en "Interfaz de Solicitud de Certificados".

          En el gráfico siguiente se muestran el menú que ve el administrador y el operador

          Diferencias en el menú de admin/req

          7. ¿A qué número de fax debemos enviar la documentación?

          EL nuevo SCS (basado en certificados de COMODO) no requiere que se envíe información por fax.

          Tanto los documentos de condiciones de uso como cualquier otro tipo de documentación deben enviarse por correo postal, mensajería o en formato digital firmados digitalmente con un certificado emitido por alguna de las CAs reconocidas en el territorio español.

          8. ¿Qué vía o vías puedo usar para enviar la documentación a RedIRIS?

          Actualmente se debe enviar la documentación por las siguientes vías:

          • Por e-mail a scs-ra[at]rediris.es

            PDF firmado digitalmente por el PER y el solicitante con sus certificados personales emitidos por algunas de las CAs reconocidas en el territorio español.

          • Correo postal ordinario (o mensajería) a:

              SCS - RedIRIS,
              Edificio CICA
              Avda. Reina Mercedes s/n
              41012, Sevilla

          9. ¿Qué hago si al intentar registrarme me dice que: "Usted no tiene permisos para acceder a la aplicación"?

          Posiblemente es que no estás enviando correctamente tus credenciales.

          Para comprobarlo se recomienda hacer lo siguiente:

          1. Comprobar las credenciales SIR y solventar los errores que aparezcan hasta que todo esté correcto.
          2. Si hay algún problema que no se pueda resolver se recomienda realizar una captura de pantalla y enviarla a RedIRIS para que puedan analizarla.

          10. ¿Qué debo hacer para que me pre-validen un dominio que tengo registrado y que no le consta a RedIRIS en su base de datos de instituciones afiliadas?

          Para añadir dominios a la entrada de su institución debe enviarnos una prueba de que pertenecen a la misma (captura de pantalla del registro de dominios correspondiente).

          Si posteriormente, desea solicitar certificados para máquinas bajo dichos dominios debe enviarnos el documento de condiciones de uso correspondiente.

          11. ¿Qué debo hacer si mi institución A quiere gestionar los dominios registrados por otra institución afiliada a RedIRIS B?

          Partiendo de que tanto la institución A como la B deben estar afiliadas a RedIRIS se han creado unos documentos de delegación de dominio que deben usarse cuando los dominios bajo los que se van a solicitar los certificados no pertenecen a la institución solicitante A y pertenecen a una institución B.

          En este caso el registrador y/o contacto administrativo de los dominios de la institución B autoriza a la institución A a solicitar certificados digitales proporcionados por RedIRIS bajo el ámbito del servicio SCS.

          12. ¿Qué es el DCV?

          COMODO exige una prueba de que el solicitante de un certificado es la persona que tiene el control sobre el FQDN que se desea certificar. DCV son las siglas de Domain Control Validation y es el mecanismo utilizado para la verificación de dicha autoridad.

          Es obligatorio desde el día 18 de junio de 2012.

          13. ¿Cómo solicito un certificado para un dominio de segundo nivel domain.TLD?

          Si estoy habilitado para poder solicitar certificados para servidores bajo el dominio domain.TLD podré solicitar también un certificado para domain.TLD siempre que ponga este dominio en el campo CN principal y no en los DNs alternativos.

          14. ¿Se pueden solicitar certificados con longitud de clave de 1024 bits?

          No. En diciembre de 2010 Comodo anunció que no emitirá certificados con claves que tengan menos de 2048 bits.

          15. ¿Se pueden solicitar certificados wildcard?

          Sí, el servicio actual permite la solicitud de certificados wildcard "*" desde el ISC.

          16. ¿Pueden coexistir dos certificados con el mismo DN?

          Sí. No hay ningún problema en que se soliciten varios certificados con el mismo DN.

          17. ¿Cómo renuevo un certificado?

          No existe un proceso específico para la renovación de certificados ya que es posible solicitar tantos certificados con el mismo DN como se deseen. Recomendamos solicitar certificados cada año e ir reemplazando los antiguos.

          Puntos a tener en cuenta:

          • Solicitar el certificado por 2 ó 3 años pero reemplazarlo cuando transcurra 1 año
          • No reutilizar la misma CSR
          • Una vez instalado el nuevo certificado solicitar la revocación del antiguo

          18. Ya he recibido el certificado que he solicitado, ¿cómo lo instalo para el servicio?

          Existe una Guía Básica de instalación de certificados SCS, que indica como instalar un certificado en los servicios más comunes.

          19. Comodo no encuentra mi teléfono para validar nuestra solicitud de certificado de firma de código. ¿Qué puedo hacer?

          Resupuestas de la comunidad:

          1. Creo que la gracia del proceso de validación telefónica es que tienen que encontrar el número de teléfono de tu institución... en un directorio que no sea la web de tu institución, ya que si no podrías hacer trampas.

            No tiene por qué ser el tu número directo; es decir, si en administración les dices que esperas una llamada y que te la pasen, también sirve (así lo hice yo en mi caso). En paginasamarillas.es aparece otro número de teléfono, igual todo es cuestión de encontrar el directorio online donde aparezca el teléfono de vuestra centralita y puedan llamarte ahí...

          2. A mi me paso algo parecido, los validadores de Comodo miraban en:

            • http://www.numberway.com/
            • http://world.192.com/

            Podéis intentar buscaros en estos directorios como paso previo. En mi caso como no me encontraban, les indique/sugerí donde debían mirar para encontrar el teléfono de la centralita, y a la gente de centralita les indique que esperaba una llamada un tanto peculiar, por cierto es muy recomendable que quien coja el teléfono en centralita hable bien ingles, pues la primera vez que me llamaron no me pasaron la llamada pues no lograron entenderse.

          20. Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?

          Si tienes un PKCS12 ya puedes utilizarlo como almacén (keystore) en Java. Quizás sea lo más cómodo.

          Para ver el alias de tu certificado:

          keytool -list -v -storetype PKCS12 -keystore <ficheroPKCS12>

          Para firmar un JAR:

          jarsigner -storetype PKCS12 -keystore <ficheroPKCS12> -signedjar <ficheroFirmado.jar> <ficheroOriginal.jar> <aliasCertificado>

          Se recomienda no usar certificados que contengan tilde, eñes, ... ya que se han dado casos en los que el jarsigner no los interpreta bien, y tras firmar el applet, los navegadores no consiguen ejecutar el applet por errores de utf8.

          21. ¿Que es el CA/Browser Forum?

          CA/Browser Forum es una organización formada por autoridades de certificación (CAs) y vendedores de software de navegador de Internet y otras aplicaciones.

          Los miembros del CA/Browser Forum han colaborado estrechamente en la definición de directrices e implementación de los mecanismos de validación extendida (EV) de certificados SSL como una manera de proporcionar una mayor seguridad para las transacciones por Internet y la creación de un método más intuitivo de visualizar sitios seguros a los usuarios de Internet.

          22. ¿Qué es un certificado DV?

          Un certificado DV (domain-validated certificate) es un certificado SSL en el que la información que se ha validado está limitada al dominio en el cual el sitio web está localizado.

          Los DNs de este tipo de certificados no contienen información ni del país ni de la organización y son de la forma: OU=Domain Control Validated, CN=www.org.es

          Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.

          23. ¿Qué es un certificado OV?

          Un certificado OV (organizationally validated certificate) es aquel en el que la información validada incluye el dominio y la información sobre la entidad comercial que opera el sitio Web.

          Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.

          24. ¿Qué es un certificado EV?

          El certificado de validación extendida (EV SSL Certificate) es un certificado expedido de conformidad con las directrices de validación extendidos definidas por el CA/Browser Forum.

          Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado y alguna información adicional

          25. Tengo una duda, pero no está resuelta en este FAQ.

          Por favor, envíenosla para que podamos resolversela y añadirla a este FAQ.

          26. ¿Hay algún otro FAQ en TERENA?

          TERENA mantiene un FAQ relativo al servicio TCS que puede consultar.

Servicio FINALIZADO