Tot i que tinc pendent algun altre post sobre certificats digitals dins de la sèrie Certificats digitals dels nassos (1a part i 2a part), avui he revocat el meu certificat anterior i n’he demanat un de nou: tot sigui per fer més proves…
Avui a classe hem instal·lat una colla de certificats idCAT en format clauer amb el nou programari i no ens han donat cap problema. Jo en canvi tinc un nou certificat en format programari. Format amb el qual hem tingut nombrosos problemes quant a l’exportació del certificat un cop instal·lat a l’ordinador. Primera observació: a Osona continuen donant certificats en clauer, al Bages ho fan en el que en diuen “programari” (un fitxer que cal descarregar del web).
Em disposo, per tant, a instal·lar em meu certificat idCAT. Tinc una “Sol·licitud presencial d’emissió del certificat idCAT” com a punt de partida i l’instal·laré usant Mozilla Firefox 3.6.6 en un Mac 10.6.4. L’objectiu no és el de realitzar una guia d’instal·lació senzilla sinó més aviat entendre completament tot el procés i mirar de treure l’entrellat del conflicte de l’exportació. Intentaré no obviar res que pugui ser important…
Començo llegint les instruccions del document de què disposo. Són prou clares:
Instruccions per obtenir el certificat idCAT
Per concloure el procés d’obtenció ha de seguir les següents passes:
- Accedir a la web del ciutadà idCAT (http://www.idcat.cat).
- Seleccionar l’opció 3. Instal·lació del programari.
- Introduir el número de document (NIF, NIE, Passaport o DNI d’altres països) més una paraula de pas composta per una part generada de forma automàtica (impresa en aquest document) i una part introduïda personalment. Paraula de pas (part automàtica) (sempre en minúscules): ********
Obro el Firefox i introdueixo l’adreça i clico l’opció 3… Primer contratemps:
La pàgina de l’idCAT utilitza un certificat expedit per l’Agència Catalana de Certificació per xifrar la connexió amb SSL però l’entitat catalana encara no ha tancat l’acord amb Mozilla per formar part de les entitats certificadores de confiança incloses per defecte amb el navegador Firefox. Conclusió? Podem afegir una excepció de seguretat o refiar-nos de CATCert i instal·lar el seu certificat arrel. Al seu lloc web expliquen, precisament, perquè cal que instal·lem aquest certificat manualment…
CATCert acompleix tots els requisits necessaris per ser inclosa en els navegadors més coneguts. Aquest tràmit ja ha estat endegat per part de CATCert i s’estan realitzant els treballs necessaris per tal d’aconseguir-ho el més aviat possible.
Mentre se segueix aquest procés, com que les claus no venen precarregades als navegadors, cal instal·lar manualment les claus públiques de l’entitat de certificació en què es confia. Aquestes claus són necessàries per verificar que els certificats que arriben als nostres equips informàtics han estat emesos per alguna de les autoritats de certificació de la jerarquia d’entitats de CATCert.
El certificat arrel de CATCert el podem descarregar des d’aquesta mateixa pàgina, podem escollir l’opció d’instal·lar les claus de totes les entitats de la jerarquia del CATCert (un total de 9 certificats) per si més endavant hem de fer tràmits amb aquestes administracions o quedar-nos amb la primera a la qual també podem accedir clicant l’enllaç l’arrel de CATCert.
Encara que ens digui que aquest darrer és només per treballar amb aplicacions de correu electrònic segur, és exactament el mateix enllaç que si instal·lem el primer certificat que apareix en clicar Baixada de totes les claus públiques. Ho posen per despistar això del correu electrònic segur?
El cas és que si ara, un cop instal·lat el certificat (fitxer acc.crt), recarreguem la pàgina de l’idCAT que ens deia que no es podia confiar en la connexió, la podrem veure perfectament i verificada.
Seguim. En aquesta pàgina se’ns indica que si fem servir Windows cal que comprovem que el nostre sistema operatiu està actualitzat (de fet comprova si tenim instal·lat el Cryptographic Service Provider). Com que no és el cas (no ho estic fent amb Windows), ignoro aquest pas i continuo.
Posteriorment em demana que instal·li la clau pública de CATCert (EC-ACC) i la de ciutadans (EC-idCAT). Segona observació: Si no arribo a instal·lar l’EC-ACC no hauria pogut accedir a la pàgina on em diu que he d’instal·lar l’EC-ACC, a no ser que hagués establert una excepció de seguretat!
Provo d’instal·lar la dels ciutadans perquè no ho he fet abans i resulta que el Firefox no sap com gestionar el fitxer ec-idcat.cer Dit d’una altra manera, el web de CATCert em proporcionava aquestes mateixes claus en format .CRT (que el Firefox podia gestionar perfectament) i ara idCAT me les ofereix en .CER que Firefox no sap com obrir… *sospir*
Procuraré escriure un altre post parlant sobre aquesta qüestió dels certificats .CRT o .CER i com fer-ho per tal que Firefox ens gestioni automàticament els .CER (encara no ho sé) ja que, de fet, si l’importem manualment des de les preferències funciona bé.
Per no allargar –encara més– el post, instal·lo el certificat EC-idCAT des del lloc web de CATCert (és el quart si escolliu l’opció Baixada de totes les claus públiques) (enllaç directe) i continuo introduint les meves dades:
En el següent pas simplement se’m mostren les meves dades personals complertes (inclosa la pregunta de seguretat –i la seva resposta– que no puc canviar) i em trobo amb el problema de la longitud de la clau: hi ha un desplegable per triar nivell de seguretat alt o mitjà i només em deixa continuar si trio el mitjà… Havent escollit la única opció possible el certificat s’instal·la correctament i tercera observació: és exportable (tot i que no ha sortit per enlloc l’opció de declarar-lo exportable)
El certificat m’identifica correctament però no em demana cap contrasenya. Qualsevol persona que utilitzi el meu ordinador es pot fer passar per mi…
Si l’exporto si que em demana que creï una contrasenya per garantir-ne la seguretat. Deso el certificat exportat en un fitxer .P12 en un llapis de memòria i l’importo al portàtil amb Firefox 3.6.6 i Ubuntu 10.04. En importar-lo em demana la contrasenya que he usat per exportar-lo però un cop instal·lat ja no demana cap mena de contrasenya per a fer-lo servir.
La única manera de protegir-lo que he trobat, com ja vaig comentar, és establir una contrasenya mestra per al Firefox…
dels Camps del Tabac, i l’entorn per on transcorre el corriol, immillorable!
