Certificación Electronica Signe

Certificados Raíz

Los certificados raíz permiten validar las firmas electrónicas generadas con los certificados de Signe.
Para ello, es necesario tener instalados los certificados de la CA Raíz de Firmaprofesional y CA Subordinada de Signe.

Certificados Raíz - Información para usuarios finales

Para poder utilizar un certificado de Signe es necesario tener instalados los certificados raíz de la CA de Firmaprofesional y CA Subordinada de Signe en el explorador de Internet. Con el fin de facilitar esta instalación, Microsoft y Mozilla reconocen estos certificados raíz y los incorporan en las últimas versiones de Internet Explorer y Firefox. De tal manera que, cuando un usuario se descarga e instala Internet Explorer o Firefox, los certificados raíz ya están instalados. Con lo cual, el usuario no tiene que hacer nada.
Con frecuencia, la versión del navegador de Internet que utiliza un usuario no está actualizada. Esto puede provocar que los certificados raíz no estén correctamente instalados. En este caso, se puede realizar la instalación automática de los certificados.

Instrucciones para la instalación automática de los certificados raíz

1. Descargar y ejecutar el instalador automático de Signe:

Kit de Instalación
2. Aparecerá una ventana de advertencia de seguridad.  Pulsar el boton EJECUTAR

Advertencia de seguridad

3. El proceso de instalación durará muy pocos segundos y, cuando acabe, aparecerá esta ventana

proceso de instalacion

En este momento ya tiene instalados los certificados raíz

Certificados Raíz - Información para usuarios avanzados

Para poder utilizar un certificado de Signe es necesario tener instalados los certificados raíz de la CA de Firmaprofesional y de la CA Subordinada de Signe en el explorador de Internet. Con el fin de facilitar esta instalación, Microsoft y Mozilla reconocen estos certificados raíz y los incorporan en las últimas versiones de Internet Explorer y Firefox. De tal manera que, cuando un usuario se descarga e instala Internet Explorer o Firefox, los certificados raíz de la CA ya están instalados. Con lo cual, el usuario no tiene que hacer nada.

Con frecuencia, la versión del navegador de Internet que utiliza un usuario no está actualizada. Esto puede provocar que los certificados raíz de la CA  no estén correctamente instalados. 

En este caso, se puede realizar la instalación automática de los certificados con el siguiente instalador:

Kit de Instalación

Certificación ElectrónicaCertificado CA Raíz
Vigente hasta el 05/05/2036
Certificación ElectrónicaCertificado CA Subordinada Signe
Vigente hasta el 31/12/2030.
Para operar correctamente con su certificado de Signe debe descargar e instalar estos dos certificados.
A continuación, se incluyen manuales que le guiarán paso a paso en esta instalación.

pdfManual de instalación de los certificados raíz para Microsoft Internet Explorer.

pdfManual de instalación de los certificados raíz para Mozilla Firefox.

Certificados Raíz - Información para administradores y programadores

Los certificados raíz permiten validar las firmas electrónicas generadas con los certificados de Signe.
Para ello, es necesario tener instalados los certificados de la CA Raíz de Firmaprofesional y CA Subordinada de Signe.

pdfLista de Autoridades de Certificación reconocidas por Microsoft

pdfLista de Autoridades de Certificación reconocidas por Mozilla

Los certificados de CA Raíz y CA Subordinada que se deben instalar son los siguientes:

Certificación ElectrónicaCertificado CA Raíz

Vigente hasta el 5/05/2036

Certificación ElectrónicaCertificado CA Subordinada

Vigente hasta el 31/12/2030

Una de las tareas que debe abordar un administrador o programador de una Web consiste en configurar sus sistemas para validar firmas electrónicas realizadas con certificados de Signe o para autenticar a usuarios mediante el uso de certificado digital.
Instrucciones según el software que tenga instalado  en el servidor Web.

Configuración del servidor IIS WINDOWS   Windows

En la configuración del Web Site de IIS, en la sección de “Comunicaciones Seguras”, hay una opción para “Habilitar la lista de certificados de confianza (CTL)”. En esta lista CTL (Certificate Trust List) hay que incluir el certificado raíz actual (caducidad 2036).

Configuración del servidor IIS APACHE  Apache

Existen dos posibles directivas de configuración del servidor Apache donde se definen los certificados raíz de confianza para establecer un control de acceso SSL.
Los cambios a realizar son:
SSLCACertificateFile –> Incluir el certificado raíz actual (caducidad 2036) en el fichero.
SSLCACertificatePath –> Incluir el certificado raíz actual (caducidad 2036) en el directorio

Configuración del servidor IIS TOMCAT  Tomcat

En el fichero de configuración de Tomcat (ej: $CATALINA_HOME/conf/server.xml), hay una parte en la que se define el control de acceso SSL. La configuración es parecida a la siguiente:

Se debe incluir el certificado raíz actual (caducidad 2036) en el fichero “keystore.jks” con el comando keytool.

Para comprobar que el funcionamiento es correcto, se deben realizar las siguientes pruebas:

  1. Desde un navegador en el que se encuentre instalado el Certificado de Autoridad de Certificación (caducidad 2036), se intenta acceder al servicio (autenticación SSL con certificado de cliente) con un certificado de usuario de Signe.
  2. Añadir en ese mismo navegador el certificado de Autoridad de Certificación Subordinada de Signe (caducidad 2036) y volver a probar.

Si estas dos pruebas funcionan correctamente es que la adaptación se ha completado con éxito.

Certificados Raíz - Información para expertos en PKI

Si desea conocer en detalle la Jerarquía de Certificación de Signe  le recomendamos que consulte
nuestra Declaración de Prácticas de Certificación (DPC).

A continuación se incluye la información relativa los Certificados Raíz de la CA:

Certificación ElectrónicaCA Raíz (vigente hasta 2036):

CN: Autoridad de Certificacion Firmaprofesional CIF A62634068
Hash SHA1:  ‎0BBE C227 2249 CB39 AADB 355C 53E3 8CAE 78FF B6FE
Válido desde el 23 de septiembre de 2014 hasta el 5 de mayo de 2036
Longitud de clave RSA 4096 bits-SHA256
CRL: Lista de Certificados Revocados

Certificación ElectrónicaCA Subordinada Signe (vigente hasta 2030):

CN = SIGNE Autoridad de Certificación
Hash SHA1:  ‎E6B5 2B5D 52E5 CDE9 862A C1DE 668E C953 AD36 59BD
Válido desde el 29 de Julio 2015 hasta el 31 de diciembre de 2030
Longitud de clave RSA 2048 bits- SHA256

CRL: Lista de Certificados Revocados

Infografía para expertos PKI