26.2.10

Plan de Renovación de la Jerarquía de Certificación de Firmaprofesional

Este mes de marzo de 2010 comienza el Plan de Renovación de la Jerarquía de Certificación de Firmaprofesional.

Esta renovación de la Jerarquía de Certificación de Firmaprofesional está motivada por la caducidad el 25 de marzo de 2013 de los certificados de CA actuales.

El Plan de Renovación de la Jerarquía de Certificación de Firmaprofesional se basa en la creación de nuevos certificados de CA con caducidad en el año 2030 pero conservando las mismas claves criptográficas. Esta estrategia de renovación permite que ambas jerarquías (la actual y la renovada) puedan utilizarse indistintamente para validar todos los certificados emitidos por Firmaprofesional. Evidentemente, a partir de Marzo de 2013 únicamente se deberá utilizar la jerarquía renovada.

Este cambio no afecta a los operadores de RA, ni a los usuarios de certificados, ni a los poseedores de certificados SSL emitidos por Firmaprofesional.

Este cambio sólo afecta a las entidades que realicen un control de acceso a sus aplicaciones basado en certificados digitales de usuario.

Los certificados renovados se encuentran publicados en nuestra web, en:

• Autoridad de Certificación Raíz (caducidad 2030):

o Hash SHA1: AEC5 FB3F C8E1 BFC4 E54F 0307 5A9A E800 B7F7 B6FA

• Autoridad de Certificación Subordinada (caducidad 2030):

o Hash SHA1: A366 C03C D7CB 1D13 90DE EBB9 67DF 588B 1A4E BFDE

A partir del próximo jueves 25 de marzo de 2010, se comenzarán a emitir certificados de usuarios con un periodo de validez superior a la caducidad de la CA y se comenzará a distribuir los certificados de la jerarquía renovada entre los usuarios finales. Esto podría provocar errores de autenticación entre las aplicaciones que realicen un control de acceso que no se hayan adaptado al cambio y aquellos usuario que sí se hayan adaptado.

Hace unos meses se comunicaron estos cambios a las principales plataformas de validación, entidades y fabricantes de navegadores, como AEAT, Seguridad Social, @firma, CATCert, Registradores, ACCV, IZENPE, Junta de Andalucía, Microsoft y Firefox. La gran mayoría de ellos ya nos han confirmado la adaptación de sus sistemas a la jerarquía renovada de Firmaprofesional.

Los cambios a realizar para evitar problemas de autenticación a partir del Jueves 25 de Marzo de 2010 son muy sencillos y deberían aplicarse lo antes posible. Únicamente es necesario añadir en el repositorio de certificados de confianza de los servidores de autenticación tanto el certificado de CA Raíz renovado (caducidad 2030) como mantener el certificado de CA Raíz actual (caducidad 2013).

A continuación se detalla cómo realizar estos cambios en los servidores web más populares (Apache, IIS y Tomcat/JBoss) y como probar si el sistema funciona correctamente.

Configuración del servidor Apache:

Existen dos posibles directivas de configuración del servidor Apache donde se definen los certificados raíz de confianza para establecer un control de acceso SSL.

Los cambios a realizar son:

• SSLCACertificateFile --> Incluir el certificado raíz actual (caducidad 2013) y el certificado raíz renovado (caducidad 2030) en el fichero
• SSLCACertificatePath --> Incluir el certificado raíz actual (caducidad 2013) y el certificado raíz renovado (caducidad 2030) en el directorio


Configuración del servidor IIS:

En la configuración del Web Site de IIS, en la sección de “Comunicaciones Seguras”, hay una opción para “Habilitar la lista de certificados de confianza (CTL)”. En esta lista CTL (Certificate Trust List) hay que incluir el certificado raíz actual (caducidad 2013) y el certificado raíz renovado (caducidad 2030).

Configuración del servidor Tomcat o JBoss:

En el fichero de configuración de Tomcat (ej: $CATALINA_HOME/conf/server.xml), hay una parte en la que se define el control de acceso SSL. La configuración es parecida a la siguiente:


<connector port="443" maxhttpheadersize="8192">
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="/opt/tomcat/keystore.jks"
keystorePass="changeit" URIEncoding="utf-8" />

Se debe incluir el certificado raíz actual (caducidad 2013) y el certificado raíz renovado (caducidad 2030) en el fichero "keystore.jks" con el comando keytool.

Comprobación del funcionamiento:

Para comprobar el correcto funcionamiento de estos cambios, es necesario realizar tres pruebas:

  1. Desde un navegador en el que se encuentre instalado el Certificado de Autoridad de Certificación Subordinada actual (caducidad 2013), intentar acceder al servicio (autenticación SSL con certificado de cliente) con un certificado de prueba de Firmaprofesional.
  2. Añadir en ese mismo navegador el certificado de Autoridad de Certificación Subordinada renovada (caducidad 2030) y volver a probar.
  3. Finalmente, desinstalar del navegador el certificado de Autoridad de Certificación Subordinada actual (caducidad 2013) y volver a probar.

Si estas tres pruebas funcionan correctamente es que la adaptación se ha completado con éxito.

Para cualquier aclaración no dude en ponerse en contacto con nosotros en soporte@firmaprofesional.com, indicando en el asunto “Renovación Jerarquía de Certificación”.

No hay comentarios:

Publicar un comentario