Cómo conseguir un certificado S/MIME con la CSR y empezar a utilizarlo

6/10/2020 | Jindřich Zechmeister

Los certificados personales S/MIME los consigue ahora mediante la CSR y para conseguirlos ya no se utiliza Internet Explorer. Los motivos para el cambio y un procedimiento nuevo para conseguir el certificado personal S/MIME los encontrará en este artículo. No se preocupe: ¡es aún más fácil que antes!

El fin de Internet Explorer supone también el fin de una "recogida" en el navegador

Emitir los certificados personales S/MIME era relativamente cómodo mientras los navegadores permitían recoger el certificado en la web. Si realizaba un "pick-up" con el navegador en Microsoft o Chrome el certificado fue generado y guardado directamente en el almacenamiento de los certificados Windows. Otros programas como Outlook luego lo podían "ver" y no había problema en elegir en ellos el certificado solo para firmar.

Una excepción la representan Firefox y Thunderbird, que utilizan su propio certificate store y no utilizan el almacenamiento de los certificados en Windows (incluso cada uno tiene su propio programa, lo cual fastidia un poco). A pesar de que en Firefox antes era posible recoger el certificado ahora ya no es posible.

La situación empeoró enormemente cuando dejó de ser admitida la Crypto-api en los navegadores: dicho simplemente, perdieron esta función y la posibilidad de recoger el certificado. El único navegador que permitía soporte seguía siendo Internet Explorer, que sin embargo mucha gente confunde (con razón) con Edge, donde esta función también falta. Así se producía un caos, que influía negativamente en la usabilidad de este procedimiento y la experiencia de usuario.

Así pues, quedó Internet Explorer como la última opción para recoger el certificado S/MIME. Sin embargo, después de que comunicaran el fin de su soporte (se especulaba incluso sobre quitarlo de Windows) Microsoft no recomienda utilizarlo en absoluto. Sea quitado del sistema o no, el navegador está definitivamente muerto. Por lo tanto, nos hemos decidido ya ahora a emitir los certificados S/MIME mediante la CSR (como otros certificados TLS).

Cómo generar la CSR y conseguir el certificado

La mejor forma de generar la CSR es hacerlo directamente en el detalle de nuestro pedido. Es la opción más rápida y fácil. Desde luego puede generar la CSR usted mismo/a pero los datos tienen qze corresponderse con los datos en el pedido. Para la propia CSR utilice OpenSSL (el paquete forma parte de los sistemas *unix) o la herramienta gráfica XCA.

En el detalle del pedido puede realizar la operación completa sin esfuerzo, puede estar seguro/a que la CSR es correcta y que dispone de la clave privada para el certificado. La clave la necesitará después de la emisión del certificado para generar un PFX y para utilizar el certificado; por lo tanto es imprescindible que se guarde bien la clave privada (el navegador le ofrecerá esta opción después de generar la CSR).

La CSR a continuación será guardada en el pedido, nosotros solicitaremos el certificado y usted confirmará la emisión del certificado S/MIME. El correo electrónico para esta confirmación, el llamado approver, será enviado al correo electrónico indicado en el pedido del certificado S/MIME. Lo que pasa es que el certificado siempre contiene los campos correo electrónico y dirección: aunque no los quisiera utilizar para firmar los correos electrónicos. Haga clic en el encalce enviado por DigiCert y en su sitio web (destino del enlace) luego verá la confirmación.

S/MIME approver  para la emisión del certificado. Haga clic para aumentar

S/MIME approver para la emisión del certificado. Haga clic para aumentar.

Después de la emisión del certificado, que se realiza inmediatamente después de la confirmación del approver, descargue el PFX en el detalle del pedido (si recibe el certificado también de DigiCert no le haga caso al correo). Es suficiente introducir la clave privada guardada antes en el campo de texto y elegir una contraseña que utilizará para el PFX. El PFX descargado está protegido por esta contraseña, además del certificado contiene también la clave privada anteriormente mencionada y el certificado de la AC; guárdese este archivo como una reserva para caso de una eventual pérdida del certificado o una reinstalación del ordenador.

Activación del certificado para la firma

El certificado personal S/MIME se utiliza con más frecuencia para la firma electrónica y en los programas tipo Outlook o Thunderbird. Vamos y ver cómo configurar el certificado y cómo empezar a utilizarlo.

Lo básico es disponer de un archivo PFX, que contiene todo lo necesario. Si quiere importar el certificado del PFX a un ordenador con Windows, para que lo puedan utilizar otros programas, simplemente abra el archivo PFX. Después de que haga clics se activará una guía para importar el certificado y es suficiente finalizarla en la configuración inicial.

pruvodce-importem.certu.png

Guía para importar el certificado. Haga clic para aumentar.

No se deje confundir por el hecho de que después de que finalice la guía "no pasará nada". El certificado está guardado ahora en el almacenamiento de Windows y Outlook lo podrá ver.

En Outlook ahora simplemente elegirá este certificado como inicial para la firma: este cuadro de diálogo lo encontrará en las opciones Archivo - > Opciones y en una ventana nueva Centro de seguridad - > Configurar el Centro de seguridad y en un cuadro de diálogo nuevo Asegurar el correo electrónico. Elegir el certificado para firmar es fácil: el sistema simplemente le ofrecerá una lista de certificados que contiene el almacenamiento del sistema y usted elegirá aquel de DigiCert.

Configuración de un certificado en OutlookConfiguración de un certificado en Outlook.

Después de modificar la configuración es suficiente hacer clic en un correo nuevo en el botón Firmar (en las Opciones) y el correo será firmado por este certificado del archivo PFX.

Import certifikátu do Thunderbirdu probíhá podobně; návod najdete v článku nápovědy Importar el certificado a Thunderbird se realiza de forma parecida; las instrucciones las encontrará en el artículo de la Ayuda Importación del certificado S/MIME a los clientes y su configuración.

¿No encuentra la solución? Contacte con nuestra Atención al Cliente?

Si necesita ayuda a la hora de utilizar los certificados S/MIME no dude en contactar con nuestra Atención al Cliente. En la Ayuda de SSLmarket encontrará todos los aspectos del uso de los certificados S/MIME en instrucciones ilustradas, por lo tanto le recomendamos ver también nuestro sitio web.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz