Guia de Integracion PKI ePass2000 Token USB implementación de la solución de seguridad ePass Token. La información detallada en el mismo es la correspondiente a la información

Pág. 1/45

ADVERTENCIA: Este documento es una guía no oficial para ayudar a los diferentes clientes e integradores en una

primera implementación de la solución de seguridad ePass Token. La información detallada en el mismo es la correspondiente a la información del producto disponible en el mercado a la hora de preparar este documento.

MacroSeguridad no garantiza que la solución aquí presentada sea completa, adecuada y precisa. Se les recomienda a los usuarios leer los manuales oficiales.

“Guía para Requerir un Certificado Digital de

PKI.gov.ar”

Nombre del Partner www.pki.gov.arNombre de la Solución ePass2000 FT12 PKI

Fecha 01 de Marzo de 2007

Desarrollado por el Departamento de IT de MacroSeguridad y el Team de Integraciones

Revisiones:

Versión Autor Fecha Comentarios 1.0 Lionel Raymundi 07-01-2007 1er revisión draft 1.1 Alfredo Rodríguez 14-01-2007 2da revision draft 1.2 Diego Laborero 01-02-2007 Version Final 1.3 Diego Laborero 14-02-2007 Incorporación y correcciones

menores, algunos tips

http://www.pki.gov.ar/

Pág. 2/45




Tabla de Contenidos 1 OBJETIVO.................................................................................................................................3

2 REQUERIMIENTO DEL CERTIFICADO A UNA ENTIDAD CERTIFICADORA .......3 2.1 INGRESE AL SITIO WEB DE LA ENTIDAD CERTIFICADORA ......................................................4 2.2 SOLICITE SU CERTIFICADO ....................................................................................................7

2.2.1 Instalar el Certificado Raíz de la Autoridad de Certificación.....................................8 2.3 LEA LAS POLÍTICAS DE CERTIFICACIÓN ..............................................................................14 2.4 COMPLETANDO SUS DATOS PERSONALES ...........................................................................15

2.4.1 Conecte el Dispositivo ePass Token USB..................................................................15 2.4.2 Complete el Formulario.............................................................................................17 2.4.3 Selección del Proveedor de Servicios Criptográficos................................................17

2.5 SOLICITUD DEL CERTIFICADO .............................................................................................18 2.6 CHEQUEE SU EMAIL............................................................................................................20 2.7 RETIRE E INSTALE SU CERTIFICADO....................................................................................24

3 BACKUP DE SU CERTIFICADO.........................................................................................27 3.1 COMO GENERAR UN BACKUP DE SU CERTIFICADO...............................................................27 3.2 CAMBIE EL PROVEEDOR DE SERVICIOS CRIPTOGRÁFICOS ...................................................27 3.3 SOLICITE SU CERTIFICADO ..................................................................................................28 3.4 CHEQUEE SU EMAIL............................................................................................................31 3.5 RETIRE E INSTALE SU CERTIFICADO EN EL BROWSER ..........................................................32 3.6 EXPORTE SU CERTIFICADO .................................................................................................34 3.7 IMPORTE SU CERTIFICADO AL EPASS 2000 FT12 TOKEN USB............................................41

Pág. 3/45




1 Objetivo El objeto de esta guía es comunicar el procedimiento para requerir un certificado digital a través de la entidad emisora de certificados digitales de la Argentina. Previo a esta solicitud, deberá instalar en la PC el Middleware de ePass2000 FT12 Token USB para el Usuario (Administrador o Usuario Final). Remítase a la Guía de Referencia PKI de ePass2000 FT12 Token USB correspondiente para mayor información sobre como realizar esta tarea. La herramienta de administración e instalación de los drivers está totalmente en castellano. El procedimiento que se mostrará a continuación es para personas físicas, no empleados ni funcionarios de gobierno, ya que el procedimiento para empleados estatales cambia sensiblemente. Sin embargo los conceptos volcados en la guia de integración son aplicables a todos (personas, empleados de gobierno y empresas). Si por política de la institución, por requerimiento de ISO17799 o alguna otra normativa internacional se necesita tener una copia de respaldo de la clave privada del Certificado Digital, se deberán seguir los pasos enumerados en la sección 3 “Backup de su Certificado”. 2 Requerimiento del certificado a una Entidad

Certificadora Pasos a seguir para obtener un Certificado Digital de una CA, en nuestro ejemplo utilizaremos la CA oficial de la Argentina: http://www.pki.gov.ar El tipo de Certificado digital que cualquier persona física puede requerir a través del sitio de PKI.gov.ar, simplemente garantiza que el mail a través del cual se emitió el certificado digital existe. No puede garantizar quien es la persona que esta detrás del certificado.


Pág. 4/45




2.1 Ingrese al sitio web de la Entidad Certificadora

Abra un browser y diríjase al sitio www.pki.gov.ar


Pág. 5/45




Haga click en “Servicios” en el panel izquierdo de su browser y luego en la sección principal “Servicios al Ciudadano” y luego en “Certificados Digitales”.

Se desplegará la siguiente pantalla:

Pág. 6/45




Luego haga click en Ingresar al sitio de esta Autoridad Certificante ( http://ca.sgp.gov.ar ). Se desplegará la siguiente pantalla:

http://ca.sgp.gov.ar/

http://ca.sgp.gov.ar/

Pág. 7/45




2.2 Solicite su Certificado

Busque la opción “Solicitud de Certificados para Correo Electrónico” y haga click en “Solicitar un Certificado Digital”, se desplegará la siguiente ventana:

Pág. 8/45




Lea atentamente el contenido de esta página y haga click en el pie de pagina donde dice: “Ir a Paso 1”

2.2.1 Instalar el Certificado Raíz de la Autoridad de Certificación En primer lugar Ud. debe instalar en su navegador el certificado de la Autoridad Certificante (AC). Esta operación resulta indispensable para que su navegador reconozca los mensajes firmados por los usuarios de esta AC, a la vez que pone de manifiesto su confianza en ella.

Este paso solo debe realizarlo una vez en su PC, y es necesario hacerlo debido a que el certificado raíz de la AC no ha sido incorporada por Microsoft dentro del Sistema Operativo en el contenedor de certificados RAIZ.

Pág. 9/45




Presione el botón “Instalar el certificado en su navegador”

Pág. 10/45




Aparecerá la ventana "Descarga de archivos".

Seleccione "Abrir” este archivo desde su ubicación actual.

Pág. 11/45




Visualizará el certificado de la Autoridad Certificante de la Subsecretaría de la Gestión Pública. Presione “Instalar certificado”

Aparecerá un conjunto de pantallas (estilo asistente) donde se detallarán los pasos que está realizando.

Presione siguiente

Pág. 12/45




No es necesario cambiar ninguna de las opciones preestablecidas, por lo tanto sólo necesita presionar “Siguiente” y “Finalizar”

Pág. 13/45




Por último, presione “OK” para cerrar la pantalla con el certificado. Aparecerá una advertencia de seguridad, haga click en “Si” para instalar el certificado

Y por ultimo se desplegará una pantalla avisando que la importación se completó correctamente.

Pág. 14/45




2.3 Lea las Políticas de Certificación

Al finalizar el procedimiento anterior, presione ‘Ir a Paso 2’. Se desplegará la siguiente pantalla:

Política de Certificación

Ud. debe leer la siguiente Política de Certificación de la Entidad Certificante antes de efectuar la solicitud de un certificado de correo electrónico ante esta AC.

En caso de aceptarla, haga click en “Aceptar”.

Pág. 15/45




En caso de no aceptar los términos de esta Política de Certificación, Ud. no podrá efectuar la solicitud, ni aceptar o utilizar el certificado digital.

2.4 Completando sus Datos Personales

2.4.1 Conecte el Dispositivo ePass Token USB

Ud. deberá tener instalado el middleware del ePass2000 FT12 (drivers para el Sistema Operativo), por favor consulte la guía de referencia PKI del ePass2000 FT12 si necesita mayor información al respecto.

Pág. 16/45




En este momento, deberá conectar su ePass Token USB a un puerto USB libre, cuando lo haga, verá que automáticamente se detectará que se conectó el dispositivo, como lo muestra la siguiente imagen:

Si no ha cambiado el PIN de usuario (password de autenticación) por defecto del ePass2000, cuando conecte el dispositivo al puerto USB, se desplegará una ventana pidiendo que modifique el PIN del ePass para mejorar su seguridad. Haga click en Aceptar si desea cambiarlo en este momento.

Recuerde que el PIN del ePass 2000 FT12 debe tener como mínimo 8 caracteres para cumplir con los robustos estandares que MacroSeguridad y Feitian han estipulado.

Pág. 17/45




2.4.2 Complete el Formulario

Complete el formulario con los datos que se le solicitan.

2.4.3 Selección del Proveedor de Servicios Criptográficos

En esta oportunidad, deberá seleccionar como Crypto Service Provider (CSP) del ePass 2000 FT12 Token USB

“FTSafe ePassNG RSA Cryptograpic Service Provider”

Pág. 18/45




para realizar la generación de un par de claves RSA (certificado digital dentro del ePass). Es importante que seleccione el CSP correcto, de lo contrario el certificado no se generará en el ePass Token USB.

Si no apareciese el motor criptográfico “FTSafe ePassNG RSA Cryptographic Service Provider” entre las opciones de Proveedores Criptográficos, es porque no se ha instalado el Middleware de ePass2000 FT12 Token USB en su PC. Vuelva al inicio de este documento, instale el Middleware y realice todos los pasos nuevamente.

2.5 Solicitud del Certificado

Presione el botón ‘Solicitar Certificado’. Se desplegará un mensaje solicitando su confirmación. Haga click en ‘Si’

Para poder generar el certificado dentro del ePass es necesario tener acceso al mismo. Si se encuentran conectados más de un ePass2000 FT12 Token USB en la PC, se le mostrará la siguiente ventana.

Pág. 19/45




En la anterior ventana puede reconocer el dispositivo correcto a través del nombre del ePass. Seleccione el Token en el que desea generar el certificado y haga click en “Aceptar”. Luego se le solicitará que se autentique y para lo cual debera presentar sus credenciales frente al dispositivo. Por este motivo se le solicita que ingrese su PIN de usuario y haga click en ”Login”.

Ingrese el PIN de Usuario del dispositivo. Por defecto es 12345678 si no ha sido cambiado por algún administrador.

Una vez hecho esto, comenzará el proceso de generación de claves dentro del dispositivo.

Pág. 20/45




Aguarde unos instantes mientras se genera el par de claves, luego aparecerá un mensaje indicando que “La generación del par de Claves RSA ha finalizado”.

2.6 Chequee su eMail

Luego deberá recibir en su casilla de correos un email de la CA, en nuestro ejemplo Oficial Certificador [[email protected]], con la verificación de la solicitud que se realizó. El asunto del email es “VERIFICACIÓN DE CIRCUITO DE MAIL – PASO 4”.

Pág. 21/45




Dentro del email tendrá un vínculo “Ir a Paso 5” , haga un click sobre el mismo.

De esta forma Ud. confirmará el Mail de Verificación y la real existencia de la cuenta de correo electrónico.

Para continuar con el proceso de emisión de un certificado usted debe esperar la recepción del Mail de Notificación, por parte de la Autoridad Certificante, en el cual se indicará como retirar su certificado. Léalo atentamente y siga las instrucciones al recibirlo.

Pág. 22/45




Recibirá un mail indicándole que La Autoridad Certificante ha emitido un certificado para Ud. Y podrá descargarlo e instalarlo en el ePass haciendo click en el link que dice "Ir al paso 7" para poder acceder a la página de la Autoridad Certificante y siguiendo las indicaciones allí presentes.

Pág. 23/45




Haga click en “ Ir a Paso 7”

Su certificado ha sido emitido y se encuentra disponible para que usted lo descargue e instale dentro de su ePass simplemente presionando “Retirar Certificado”

Pág. 24/45




2.7 Retire e Instale su Certificado

Una vez que ha presionado el botón ‘Retirar certificado’, podrá ver una página donde se muestran los datos del mismo.

Se desplegará un mensaje de alerta avisando que se instalará un certificado en su equipo, presione “SI”.

Pág. 25/45




Si no está autenticado frente al dispositivo, se le solicitará nuevamente que ingrese su PIN de usuario. Hágalo cómo lo hizo previamente y continúe con el procedimiento.

Al generar el certificado dentro del ePass se le mostrará nuevamente la ventana de advertencia anterior. Haga click en “Si” y continúe.

Podrá ver el progreso de la generación del certificado a través de los mensajes que aparecerán en el System Tray:

Pág. 26/45




Luego se abrirá la siguiente pantalla, informándole que el certificado fue descargado e instalado exitosamente.

Una vez que Ud. posee un certificado puede firmar digitalmente un correo electrónico. Proceda según el programa de correo electrónico que Ud. utilice.

Consulte por las diferentes guías de integración que el equipo de tecnología esta preparando para los diferentes programas de correo y navegadotes de internet para su correcta configuración, enviando un email a [email protected]

NOTA:

Es importante que tenga en cuenta que una vez que se genera el par de claves en el ePass 2000 FT12 Token USB, la clave privada no puede ser exportada, y aquí hacemos hincapié en la gran seguridad que brinda este dispositivo.

Si desea tener un backup de la clave privada, continúe leyendo la siguiente sección.

mailto:[email protected]

Pág. 27/45




3 Backup de su certificado Si se está utilizando el certificado para firmar y encriptar correo electrónico, por ejemplo, es importante tener en cuenta que sucede si la clave privada se pierde. Todos los mails que hayan sido encriptados para el propietario de esa clave se perderán también, ya que no será posible desencriptarlos. Por este motivo, en algunos casos, resulta conveniente contar con una copia de resguardo de la clave privada. ePass 2000 FT12 protege la clave privada con absoluta robustez. De hecho, una vez que la clave es almacenada en el dispositivo, no puede ser exportada ni accedida. Todas las operaciones que requieran de esta clave, serán realizadas on board, a través del chip smart card interno del ePass Token USB. Por este motivo, si el certificado es generado como se documentó en las secciones anteriores (habiendo sido generado directamente dentro del ePass Token, con el CSP de Feitian ePass2000), se gana en seguridad, pero siguiendo el mismo lineamiento, es imposible obtener una copia de resguardo del certificado en caso de que el ePass haya sido extraviado o destruido. Entonces, si se desea crear un backup del certificado, deberá generarse en la PC y luego ser importado al ePass. Debemos prestar especial atención al tratamiento dado a la copia del certificado (archivo) para evitar que sea mal utilizado.

3.1 Como generar un Backup de su certificado

Dado a que una vez generado el certificado digital a través de motor criptográfico del ePass (onboard), la clave privada del mismo no puede ser exportada. En este punto ya es imposible realizar un backup del certificado.

Por lo tanto, al momento de requerir o seleccionar un motor criptográfico Ud. Podrá dejar el motor que se le presenta por defecto.

3.2 Cambie el Proveedor de Servicios Criptográficos

Los pasos mencionados en toda la sección 2 son idénticos hasta el punto 2.4.3

En este caso, deberá cambiar el proveedor de servicios criptográficos, para poder mantener una copia de seguridad de su certificado digital.

Pág. 28/45




Puede realizar la operación con el motor que aparece por defecto.

3.3 Solicite su Certificado

Haga click en ‘Solicitar Certificado’

Aparecerá un mensaje para confirmar la acción, haga click en ‘Si’

1. Se mostrará la ventana "Contenedor de clave privada" para realizar la generación de un par de claves RSA.

2. Vaya a “Nivel de Seguridad”, el nivel de seguridad preestablecido es "medio", se recomienda cambiarlo a "alto".

Pág. 29/45




3. y luego haga click en siguiente para establecer una contraseña para proteger su clave privada.

Ingrese una clave en el campo “Contraseña” y luego confírmela en el campo “Confirmar”

RECUERDE ESTA CONTRASEÑA, y NO Permita que el Sistema Operativo (browser) la guarde y la recuerde por Usted.

Haga 'click' en “Finalizar”. Y luego “OK”

Pág. 30/45




Esta contraseña le será requerida cada vez que necesite firmar algún archivo o correo electrónico.

4. Aparecerá a continuación una ventana similar indicando que se firmará la información ingresada en el formulario. Ingrese la contraseña que estableció en el paso anterior y haga 'click' en “Aceptar”

Luego haga click en OK, y pasará al siguiente paso que es la confirmación de Recepción de Solicitud.

Pág. 31/45




3.4 Chequee su eMail

El procedimiento siguiente es idéntico al aplicado previamente. Saltearemos las páginas de confirmación de mail e iremos directamente al punto en el que retiraremos el certificado. Pasando directamete al paso 7

Pág. 32/45




3.5 Retire e Instale su Certificado en el browser

Haga click en Retirar certificado

Pág. 33/45




Se desplegará un mensaje de alerta avisando que se instalará un certificado en su PC, presione “SI”.

Luego se abrirá la siguiente pantalla, informándole que el certificado fue retirado exitosamente.

Pág. 34/45




Una vez que ha recibido e instalado su certificado digital, puede exportarlo de la PC para luego importarlo dentro del ePass (vea el siguiente punto para mayor información). Recuerde que la clave privada almacenada en el ePass nunca será exportada. Por lo tanto, para tener una copia de seguridad de su certificado instalado, debe guardar el archivo en algún lugar seguro. 3.6 Exporte Su Certificado

El certificado que acaba de obtener fue instalado en el “repositorio local” de su PC. Este no es un lugar seguro para el mismo, ya que puede ser copiado y mal utilizado, eliminado o perdido entre otros peligros. Por lo tanto, recomendamos moverlo a un almacenamiento seguro, como es ePass. Para ello, primero debe exportar el certificado del repositorio local. Abra su browser, y diríjase al menú “Herramientas” y luego a “Opciones de Internet”. En la ventana que se abre, seleccione la solapa “Contenido”

Pág. 35/45




Haga click en el botón “Certificados”. Se mostrará una ventana como la que se muestra a continuación.

Seleccione el certificado que acaba de crear. Tenga en cuenta que es el certificado que ha sido emitido por la AC de la Subsecretaría de la Gestión Pública para Certificados de Correo Electrónico. Haga click en ‘Exportar’. Se abrirá un asistente de exportación, como se muestra en la siguiente figura.

Pág. 36/45




Haga click en Siguiente. El siguiente paso es muy importante, ya que le dará la opción de exportar la clave privada, que es justamente lo que estamos buscando.

Pág. 37/45




Seleccione la opción para exportar la clave privada y haga click en ‘Siguiente’ La pantalla a continuación, le permitirá seleccionar varias opciones

Si lo desea, puede eliminar el certificado del Repositorio local activando la opción “Eliminar la clave privada si la exportación es exitosa”. Haga click en ‘Siguiente’. Podrá elegir una contraseña para proteger el archivo exportado. Es altamente recomendable asignar una contraseña en esta etapa, para proteger la clave privada y evitar que cualquiera que tenga acceso al archivo pueda utilizarlo.

Pág. 38/45




Asigne una password y haga click en ‘Siguiente’

Pág. 39/45




Seleccione el nombre del archivo para el certificado exportado. Si lo desea puede clickear en ‘Explorar’ para almacenar el archivo en un directorio específico. Haga click en ‘Siguiente’. La próxima pantalla le mostrará un resumen de sus especificaciones.

Confirme las especificaciones y haga click en ‘Finalizar’.

Pág. 40/45




El sistema requerirá que ingrese la password que Ud. ha asignado en el proceso de requerimiento de certificado (nótese que puede no ser la misma que Ud. ha seleccionado en el paso anterior).

Ingrese la password que asignó al certificado en el punto 3.3 y haga click en ‘Aceptar’. Finalmente, se le mostrará la siguiente ventana, indicando que el proceso de exportación fue exitoso

Pág. 41/45




3.7 Importe su Certificado al ePass 2000 FT12 Token USB

Una vez que cuenta con su certificado en forma de archivo, podrá importarlo al ePass para utilizarlo tradicionalmente. La herramienta de Administración (Manager) lo ayudará en esta tarea. Conecte el ePass 2000 FT12 en la PC y ejecute el Manager. Se le mostrará la siguiente ventana:

Haga click sobre el nombre de su ePass Token y verá una pantalla como la siguiente en el panel derecho.

Pág. 42/45




Haga click en Login. Se le solicitará que ingrese el PIN de usuario si aún no está autenticado frente al dispositivo. Ingrese el PIN correcto y haga click en “Login”.

Pág. 43/45




Si el PIN es correcto, se mostrará una imagen como la siguiente si no cuenta con ningún certificado dentro del dispositivo. En caso de haber almacenado algún certificado en el mismo, aquí podrá ver la información de ellos (clave pública, clave privada, certificado)

Haga click en el botón “Importar

Pág. 44/45




”. Seleccione la ruta en donde se encuentra el archivo de certificado que desea importar. Puede clickear en el botón “…” para ayudarse en su búsqueda.

Seleccione el archivo correcto y haga click en abrir. La ruta de acceso será copiada en el campo correspondiente, como se muestra en la siguiente imagen.

Pág. 45/45




Luego ingrese la password (si la hubiera) del certificado a importar y haga click en “Aceptar”. La password que debe ingresar es la que eligió en el proceso de exportación. Podrá ver los mensajes de progreso en el icono del System Tray:

Cuando la transferencia se haya completado, recibirá el siguiente aviso

:

Al terminar el proceso, podrá ver el certificado almacenado en el ePass desde la misma herramienta de administración.

Ahora ya cuenta con su Certificado almacenado dentro del ePass 2000, y puede utilizarlo como si hubiera sido generado en el dispositivo directamente. Además, cuenta con el archivo de certificado (el que ha exportado) en su PC. En caso de perderse el ePass Token, o sufrir roturas, puede adquirir un nuevo dispositivo e importar este certificado nuevamente. Le recomendamos que guarde la copia del certificado exportado en un lugar seguro, que no sea accesible por cualquier persona no autorizada.

Documents

Guia de Integracion PKI ePass2000 Token USB implementación de la solución de seguridad ePass Token. La información detallada en el mismo es la correspondiente a la información