Download instrucciones para instalar el contenedor seguro

CÓMO GENERAR LA PETICIÓN DE UN CERTIFICADO DE SELLO de
ENTIDAD SOFTWARE DE IZENPE
Procedimiento a seguir para obtener un certificado de Sello de Entidad junto con su clave
privada en un fichero en formato software.
Utilizando la herramienta de gestión del contenedor seguro proporcionada con el Kit Izenpe es
posible obtener un certificado de Sello de Entidad Servidor junto con la clave privada
correspondiente. A continuación se describe el procedimiento a seguir para este propósito.
Se adjunta a este documento un ZIP con los ficheros necesarios para ejecutar la herramienta de
gestión y un contenedor seguro con los certificados raíz ya introducidos. Se incluyen los
elementos necesarios tanto para generar un certificado de desarrollo como uno de producción.
También está disponible en www.izenpe.com.
INSTRUCCIONES PARA INSTALAR EL CONTENEDOR SEGURO
Se parte de que el equipo ya tiene instalada una máquina virtual java (JRE). En primer lugar
descomprimir el fichero CONTENEDOR_SEGURO_simplificado.zip, y seguir los pasos que se
indican a continuación:
Paso 1. PREPARAR LA PLANTILLA CON LOS DATOS DEL CERTIFICADO
Editar el fichero DATOS_SELLO.properties de la carpeta keystore. Completar todos los valores:
Razón social (organización y nombre común), CIF, nombre, apellidos y DNI.
Por ejemplo:
# Razón social (organización)
O=Maderas Tornikete S.A.
# Razón social (nombre común)
CN=Maderas Tornikete S.A.
# CIF entidad
DNQ=U6918769H
# Nombre del responsable
GIVENNAME=Koldo
# Apellidos del responsable
SURNAME=Urrutikoetxea Besla
# NIF/CIF de la entidad
SERIALNUMBER=U6918769H
# NIF/NIE responsable
1.3.6.1.4.1.18838.1.1=71420444Q
Paso 2. GENERAR LA PETICIÓN DE CERTIFICADO
1. Hacer doble click sobre el fichero gestcontenedor.cmd 1. Se verá el siguiente menú.
----------------------------------------------Contenedor Seguro en keystore
----------------------------------------------1
2
3
v
x
-
Consultar Contenedor Seguro
Generar solicitud certificado software
Obtener p12 (una vez Izenpe le ha enviado el certificado)
Desconectarse del Contenedor - MenuPrincipal
Salir
Elige una opcion:
2. Seleccionar la opción “2 – Generar solicitud certificado”
----------------------------------------------Contenedor Seguro en keystore
----------------------------------------------1
2
3
v
x
-
Consultar Contenedor Seguro
Generar solicitud certificado software
Obtener p12 (una vez Izenpe le ha enviado el certificado)
Desconectarse del Contenedor - MenuPrincipal
Salir
Elige una opcion: 2
La plantilla generada es la siguiente:
C=ES, O=Armarios Roperos Patxi S.A., OU=Condiciones de uso en
www.izenpe.com
nola
erabili
jakiteko,
OU=Entitatearen
ziurtagiria Certificado de entidad, OU=Ziurtagiri onartua Certificado reconocido, CN=Armarios Roperos Patxi S.A., DNQ=CIF A58119462, GivenName=Patxi, SurName=Erquizia Basauri,
SerialNumber=A58119462, 1.3.6.1.4.1.18838.1.1=20487306X
¿Es correcta esta plantilla? (s/n):
3. Confirmar si los datos son correctos. Como resultado de estos pasos se habrá generado
un fichero petición_SELLO.p10 en la carpeta “keystore”. Este fichero es el que se
deberá enviar a Izenpe junto al formulario de solicitud y a la documentación que es
necesario presentar. Ésta se puede consultar en www.izenpe.com. Izenpe generará y le
enviará el certificado y su número de serie.
Para salir del menú del contenedor seleccionar “x – Salir”.
1
Revisar que el usuario tenga permisos de ejecución sobre el fichero gestcontenedor_simple.cmd
para el usuario con el que se vaya a lanzar el proceso y ejecutar
Paso 3. OBTENER P12
1. Una vez recibido el certificado de Izenpe, se debe importar en el contenedor. Para ello se
debe guardar el fichero enviado por Izenpe en la carpeta “keystore”, y abrir el contenedor
haciendo doble click sobre “gestcontenedor.cmd”, y seleccionando la opción “3 – Obtener
p12”. El asistente nos pedirá varios datos:
• “Inserte el nombre del fichero (debe estar en la
carpeta keystore)”: fichero recibido de Izenpe, que contiene el
certificado. Por ejemplo “certPatxi.crt”
• “Inserte el nombre del fichero (sin extensión) que
quiere darle PKCS#12”: nombre que queremos darle al P12.
generado. Hay que introducirlo sin extensión. Por ejemplo “certPatxiP12”
• Inserte la contraseña que desea para su PKCS#12:
contraseña con la que se protegerá el P12
• Inserte el número de serie del certificado
proporcionado por Izenpe: número de serie del certificado. Nos lo
debe haber proporcionado Izenpe junto al certificado. Por ejemplo “3815”
----------------------------------------------Contenedor Seguro en keystore
----------------------------------------------1
2
3
v
x
–
-
Consultar Contenedor Seguro
Generar solicitud certificado software
Obtener p12 (una vez Izenpe le ha enviado el certificado)
Desconectarse del Contenedor - MenuPrincipal
Salir
Elige una opcion: 3
Inserte el nombre del fichero (debe estar en la carpeta
keystore): certPatxi.crt
Inserte el nombre del fichero (sin extensión) que quiere
darle al PKCS#12: certPatxiP12
Inserte la contraseña que desea para su PKCS#12: *****
Inserte el número de serie del certificado proporcionado por
Izenpe: 3815
2. Comprobar que se debe haber generado el p12 en la carpeta keystore
Anexo I. INCIDENCIAS TÍPICAS
Problemas con Java
En el caso de tener problemas con Java, se debe comprobar que se está utilizando la versión
correcta de JRE. Para ello entrar en la carpeta gestionCS, y editar (se puede hacer con cualquier
editor de texto como notepad) el fichero gestcontenedor.cmd. Comprobar que la ruta que
aparece por defecto corresponde con la ruta en la que está el fichero java.exe. En caso contrario
corregirlo por la ruta correcta. Por ejemplo en un windows con java 1.8.25 debe aparecer:
c:\Archiv~1\Java\jre1.8.0_25\bin\java -Duser.language=es InterfazGestionContenedorSimple
Problemas al generar el P12
En el caso de que se produzca el siguiente error al generar el P12:
Exception in thread "main" java.lang.SecurityException: Unsupported keysize or a
lgorithm parameters
at javax.crypto.Cipher.init(DashoA6275)
at iaik.pkcs.pkcs8.EncryptedPrivateKeyInfo.encrypt(Unknown Source)
at iaik.pkcs.pkcs12.PKCS8ShroudedKeyBag.encrypt(Unknown Source)
at iaik.pkcs.pkcs12.PKCS12.encrypt(Unknown Source)
at iaik.pkcs.pkcs12.PKCS12.encrypt(Unknown Source)
at com.izenpe.gestioncontenedorseguro.GestionContenedorSeguro.exportPKCS
12(GestionContenedorSeguro.java:2104)
…
Este error se produce por utilizar una versión del JDK con limitaciones en la criptografía (por
defecto viene limitado). Se adjunta al documento el fichero jce_policy-1_4_2.zip, con la
actualización que Sun proporciona para “criptografía fuerte”.
Dentro del fichero vienen dos jar: local_policy.jar, US_export_policy.jar se trata simplemente de
reemplazar los ficheros con el mismo nombre que vienen en el directorio lib/security del JDK que
se esté utilizando.
Típicamente está en la localización C:\j2sdk1.4.2_03\jre\lib\security, aunque esto depende de
versiones.