SDB:Configuración de Kleopatra y certificados FNMT

Saltar a: navegación, buscar


Kleopatra

Kleopatra es un gestor de certificados e interfaz gráfica universal de cifrado. Reconoce certificados X.509 y OpenPGP en el llavero GpgSM y la recuperación de certificados desde servidores LDAP.

Instalar certificados raíz y subordinados

Kleopatra es un programa que se integra fácilmente con Kmail, el gestor de correo de kde por excelencia, para usarlo con nuestro certificado digital de la FNMT y poder firmar nuestros documentos ó correos, solo tenemos que realizar una configuración previa muy sencilla.

Acceder a la página web de los certificados Raíz de la FNMT-Sede.

En esta página pública se facilita el certificado raíz y los certificados subordinados, que deberemos importar en Kleopatra, estos certificados son:

  • certificado raíz
 AC Raíz FNMT-RCM (validez 29/10/08 hasta 01/01/2030)
 
  • certificado subordinado
 Descarga certificado AC FNMT Usuarios (validez 28/10/14 hasta 28/10/29)
 
  • Certificados OCSP (Online Certificate Status Protocol)
 Descarga certificado OCSP AC FNMT Usuarios Validez (validez 13/01/23 hasta 13/07/23)

Este último certificado, es el que deberemos de renovar e instalar cada 6 meses, accediendo a la página web y volviendo a importar en Kleopatra.

Nota Importante: La primera vez que importes los certificados, kleopatra te preguntará el nivel de confianza, debes de aceptarlo afirmativamente todo. La validación LDAP para certificados de usuarios de la FNMT, no está habilitada.

Instalar nuestro certificado personal

Si hemos llegado a esta parte, se supone que ya tenemos en nuestro poder, el certificado digital que nos ha facilitado la FNMT, una vez solicitado veremos que el archivo tiene una estructura que termina en .p12 ó .pfx, dependiendo del navegador que hayamos utilizado en el proceso.

Si aún no lo tienes deberás de exportarlo del navegador que hayas usado, acuérdate que la exportación es necesaria hacerla con la clave privada.

  • .pfx: es la copia de seguridad con clave privada de un certificado (exportado desde Internet Explorer).
  • .p12: es la copia de seguridad con clave privada de un certificado (exportado desde Firefox).

Es muy importante que sepas la contraseña del certificado digital, sin ella Kleopatra no nos permitirá importar el certificado.

Configurar la validación vía OCSP

Una vez que tengamos todo los certificados instalados, vamos a la pestaña de preferencias y presionamos en la pestaña de configurar Kleopatra y nos ponemos sobre la opción de validación S/MIME.

En esta pestaña introduciremos en la URL del emisor OCSP la siguiente dirección:

# http://ocspusu.cert.fnmt.es/ocspusu/OcspResponder

Justo debajo encontraremos Firma del emisor OCSP que estará vacío, si presionamos en cambiar, nos saldrá una nueva ventana donde elegiremos el certificado, en este caso será "Servidor OCSP AC FNMT Usuarios", lo seleccionamos y aceptamos.

Solo nos quedará habilitar las dos primeras casillas:

  1. Comprobar la validez del certificado cada [24 hora]
  2. Validar certificados en linea OCSP

Una vez hecho, presionamos aplicar y aceptar.

Recuerda: Si deseamos enviar un mensaje a alguien de modo que solo el destinatario pueda leerlo, el mensaje debe ser cifrado. Para poder cifrar el mensaje es necesario tener el certificado (solo parte pública) del destinatario. Para ello puede enviar una copia de tu certificado digital, pero solo de la parte pública, jamás facilites la parte privada, ni des tu contraseña.

Imágenes que te pueden facilitar la configuración