D’entrada, i a falta de realitzar més proves per a l’elaboració del tutorial, per fi he trobat la forma d’extreure només la clau pública del certificat idCAT; acció que m’ha donat prou maldecaps.

El primer pas és exportar el certificat des de Firefox en format P12 (PKCS#12), cosa que pot fer-se des de Preferències > Avançat > Xifratge > Visualitza els certificats > Els vostres certificats escollint l’opció Fes-ne còpia de seguretat.

Posteriorment, en un terminal (Linux o Mac OS X) on tinguem OpenSSL instal·lat executarem:

openssl pkcs12 -in certificat.p12 -out cpub.pem -nokeys

openssl crl2pkcs7 -certfile cpub.pem -nocrl -outform DER -out cpub.p7c
openssl crl2pkcs7 -certfile cpub.pem -nocrl -outform PEM -out cpub.p7b

Avui a classe hem instal·lat una colla de certificats idCAT en format clauer amb el nou programari i no ens han donat cap problema. Jo en canvi tinc un nou certificat en format programari. Format amb el qual hem tingut nombrosos problemes quant a l’exportació del certificat un cop instal·lat a l’ordinador. Primera observació: a Osona continuen donant certificats en clauer, al Bages ho fan en el que en diuen “programari” (un fitxer que cal descarregar del web).

Em disposo, per tant, a instal·lar em meu certificat idCAT. Tinc una “Sol·licitud presencial d’emissió del certificat idCAT” com a punt de partida i l’instal·laré usant Mozilla Firefox 3.6.6 en un Mac 10.6.4. L’objectiu no és el de realitzar una guia d’instal·lació senzilla sinó més aviat entendre completament tot el procés i mirar de treure l’entrellat del conflicte de l’exportació. Intentaré no obviar res que pugui ser important…

Començo llegint les instruccions del document de què disposo. Són prou clares:

Instruccions per obtenir el certificat idCAT

Per concloure el procés d’obtenció ha de seguir les següents passes:

1. Accedir a la web del ciutadà idCAT (http://www.idcat.cat).
2. Seleccionar l’opció 3. Instal·lació del programari.
3. Introduir el número de document (NIF, NIE, Passaport o DNI d’altres països) més una paraula de pas composta per una part generada de forma automàtica (impresa en aquest document) i una part introduïda personalment. Paraula de pas (part automàtica) (sempre en minúscules): ********

Obro el Firefox i introdueixo l’adreça i clico l’opció 3… Primer contratemps:

La pàgina de l’idCAT utilitza un certificat expedit per l’Agència Catalana de Certificació per xifrar la connexió amb SSL però l’entitat catalana encara no ha tancat l’acord amb Mozilla per formar part de les entitats certificadores de confiança incloses per defecte amb el navegador Firefox. Conclusió? Podem afegir una excepció de seguretat o refiar-nos de CATCert i instal·lar el seu certificat arrel. Al seu lloc web expliquen, precisament, perquè cal que instal·lem aquest certificat manualment…

CATCert acompleix tots els requisits necessaris per ser inclosa en els navegadors més coneguts. Aquest tràmit ja ha estat endegat per part de CATCert i s’estan realitzant els treballs necessaris per tal d’aconseguir-ho el més aviat possible.

Mentre se segueix aquest procés, com que les claus no venen precarregades als navegadors, cal instal·lar manualment les claus públiques de l’entitat de certificació en què es confia. Aquestes claus són necessàries per verificar que els certificats que arriben als nostres equips informàtics han estat emesos per alguna de les autoritats de certificació de la jerarquia d’entitats de CATCert.

El certificat arrel de CATCert el podem descarregar des d’aquesta mateixa pàgina, podem escollir l’opció d’instal·lar les claus de totes les entitats de la jerarquia del CATCert (un total de 9 certificats) per si més endavant hem de fer tràmits amb aquestes administracions o quedar-nos amb la primera a la qual també podem accedir clicant l’enllaç l’arrel de CATCert.

Encara que ens digui que aquest darrer és només per treballar amb aplicacions de correu electrònic segur, és exactament el mateix enllaç que si instal·lem el primer certificat que apareix en clicar Baixada de totes les claus públiques. Ho posen per despistar això del correu electrònic segur?

El cas és que si ara, un cop instal·lat el certificat (fitxer acc.crt), recarreguem la pàgina de l’idCAT que ens deia que no es podia confiar en la connexió, la podrem veure perfectament i verificada.

Seguim. En aquesta pàgina se’ns indica que si fem servir Windows cal que comprovem que el nostre sistema operatiu està actualitzat (de fet comprova si tenim instal·lat el Cryptographic Service Provider). Com que no és el cas (no ho estic fent amb Windows), ignoro aquest pas i continuo.

Posteriorment em demana que instal·li la clau pública de CATCert (EC-ACC) i la de ciutadans (EC-idCAT). Segona observació: Si no arribo a instal·lar l’EC-ACC no hauria pogut accedir a la pàgina on em diu que he d’instal·lar l’EC-ACC, a no ser que hagués establert una excepció de seguretat!

Provo d’instal·lar la dels ciutadans perquè no ho he fet abans i resulta que el Firefox no sap com gestionar el fitxer ec-idcat.cer Dit d’una altra manera, el web de CATCert em proporcionava aquestes mateixes claus en format .CRT (que el Firefox podia gestionar perfectament) i ara idCAT me les ofereix en .CER que Firefox no sap com obrir… *sospir*

Procuraré escriure un altre post parlant sobre aquesta qüestió dels certificats .CRT o .CER i com fer-ho per tal que Firefox ens gestioni automàticament els .CER (encara no ho sé) ja que, de fet, si l’importem manualment des de les preferències funciona bé.

Per no allargar –encara més– el post, instal·lo el certificat EC-idCAT des del lloc web de CATCert (és el quart si escolliu l’opció Baixada de totes les claus públiques) (enllaç directe) i continuo introduint les meves dades:

En el següent pas simplement se’m mostren les meves dades personals complertes (inclosa la pregunta de seguretat –i la seva resposta– que no puc canviar) i em trobo amb el problema de la longitud de la clau: hi ha un desplegable per triar nivell de seguretat alt o mitjà i només em deixa continuar si trio el mitjà… Havent escollit la única opció possible el certificat s’instal·la correctament i tercera observació: és exportable (tot i que no ha sortit per enlloc l’opció de declarar-lo exportable)

El certificat m’identifica correctament però no em demana cap contrasenya. Qualsevol persona que utilitzi el meu ordinador es pot fer passar per mi…

Si l’exporto si que em demana que creï una contrasenya per garantir-ne la seguretat. Deso el certificat exportat en un fitxer .P12 en un llapis de memòria i l’importo al portàtil amb Firefox 3.6.6 i Ubuntu 10.04. En importar-lo em demana la contrasenya que he usat per exportar-lo però un cop instal·lat ja no demana cap mena de contrasenya per a fer-lo servir.

La única manera de protegir-lo que he trobat, com ja vaig comentar, és establir una contrasenya mestra per al Firefox…

Identificació en llocs web

L’ús principal que un ciutadà com ara jo pot voler donar al seu certificat digital és el d’identificar-se en llocs web de l’administració per a realitzar tràmits des de casa. L’anterior certificat en format clauer era força segur en aquest aspecte perquè per identificar-me primer de tot havia de connectar el clauer USB i posteriorment se’m demanava cada vegada una paraula de pas. Ara, amb el certificat permanentment instal·lat al navegador, cada cop que un lloc web sol·licita l’ús d’un certificat el navegador em permet escollir el certificat que vull emprar (només en tinc un, però igualment…) però no he d’introduir cap contrasenya. Així, qualsevol persona que tingui accés al meu ordinador (per exemple si em roben el netbook) pot fer-se passar per mi…

A les PMF de l’idCAT hi trobo la següent: Com puc protegir el meu idCAT amb un codi PIN per utilitzar-ho de forma segura? però a la resposta em diu que durant la instal·lació hauria d’haver escollit el nivell de seguretat alt. Errada meva si no fos perquè recordo perfectament que durant la instal·lació hi havia una llista desplegable amb les opcions de seguretat nivell mig i nivell alt i un comentari just a costat on em deia que escollís l’opció nivell mig!

La broma no s’acaba aquí, si opto per modificar el certificat per habilitar aquesta opció em trobo amb el següent:

El primer que destacaria és que aquí em torna a demanar que seleccioni el valor «1024», nivell mig. El segon és que no té res a veure la longitud de la clau amb el fet que et demani un PIN per a usar el certificat… però jo només he seguit les instruccions de l’arxiu de PMF! :»( Si no faig cas de la “recomanació” i finalment escullo nivell alt…

I jo em pregunto… per què hi posen el desplegable? WTF! Si algú sap com aclarir tot això, si us plau, que faci un comentari!

La única manera que he trobat, per ara, d’aconseguir que em demani una contrasenya quan un lloc web demana el certificat és habilitar una contrasenya mestra al Firefox (Preferències > Seguretat > Utilitza una contrasenya mestra).

Dies enrere en JM –arran d’un curs de preparació per l’ACTIC, precisament– va revocar el seu certificat digital idCAT en format clauer per tenir-ne un dels nous en format –en diuen– “programari” (ara es demanen presencialment i es descarreguen via web). Per sorpresa seva, un cop instal·lat en un ordinador, no podia exportar-lo de cap de les maneres per utilitzar-lo en un altre màquina.

En una trucada al servei d’atenció de l’idCAT (902901080) li diuen que, efectivament, el certificat no és exportable (!?). Confós, repeteix la trucada i una altra persona li confirma que sí, que el certificat és exportable però que en el procés d’instal·lació (mentre el descarregava del web) hauria d’haver marcat l’opció de fer-lo exportable i que si se n’havia descuidat no li quedava més remei que revocar-lo i demanar-ne un altre.

Segon intent: en JM revoca el certificat, en demana un altre i es disposa a instal·lar-lo, aquesta vegada amb l’ajuda d’una operadora del 902901080 a l’altra banda del telèfon. Clic per clic, segueix les instruccions i ¡oh, sorpresa! l’opció de Marcar el certificat com exportable no apareix per enlloc… Però, ¡més sorpreses! ara sí que pot exportar el certificat! L’operadora li diu que, en realitat, l’opció de fer un certificat exportable l’ha de triar el funcionari de l’ajuntament durant el procés de sol·licitud del certificat. Tercera versió dels operadors del telèfon de consultes de l’idCAT. Recordem:

1. El certificat NO és exportable.
2. El certificat SÍ que és exportable, sempre i quan així ho indiqui l’usuari durant la instal·lació.
3. El certificat SÍ que és exportable, sempre i quan així ho indiqui el funcionari durant la sol·licitud del certificat.

No està malament… Doncs bé, avui m’ha tocat a mi. El meu certificat en format clauer que, no sense barallar-m’hi, vaig aconseguir fer funcionar no només amb Windows sinó també amb Ubuntu i Snow Leopard; ja feia dies que havia dit prou. Suposo que és per les darreres actualitzacions del Firefox, però per una cosa o altra ja no em funcionava ni intentant carregar manualment el mòdul que indicava l’script d’instal·lació (script que, efectivament, no funcionava amb les darreres versions de Firefox).

He anat a l’ajuntament de Manresa a revocar el meu clauer i demanar un altre certificat, però previngut per en JM els he explicat el seu cas i he demanat que em marquessin, si us plau, l’opció de fer-lo exportable tal com ens havia indicat la darrera operadora del telèfon de consultes. La funcionaria, sorpresa, ha dit que aquesta opció l’havia de marcar jo durant la instal·lació (!?) i molt amablement ha trucat a idCAT per confirmar-ho. I, per desesperació meva, li han confirmat!

Un cop a casa he instal·lat el certificat, la re-maleïda opció no ha aparegut per enlloc durant la instal·lació i, malgrat tot, he pogut exportar el certificat complet (clau pública + clau privada) en format .P12 i usar-lo per identificar-me a un parell de llocs web tant amb el Lucid Lynx com amb el MAC.

< Continuarà… >