Tutorial: configurar certificado de persona física emitido por la FNMT-RCM para Safari (MacOS)

Vuelvo por aquí para hacer un tutorial rapidito y práctico. sé que había dicho que hablaríamos de Homebrew, pero las cosas se van amontonando.
Vamos primero a hablar, ya que hay algo de desconocimiento por parte de la población (normal, por otra parte) de esto de la FNMT-RCM y los certificados que emite (más específicamente lo hace su departamento CERES).

¿Qué es la FNMT-RCM?

La Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda es la entidad pública resultante de la fusión de la Casa de la Moneda y del sello en 1893. Actualmente fabrica, entre otros, monedas (euros) y papel timbrado.
De un tiempo a esta parte la FNMT-RCM también ha adquirido la facultad de certificar que una persona es, efectivamente, quien dice ser, en las comunicaciones electrónicas. Esto es, si yo necesito firmar un documento sin la muy socorrida técnica de imprimirlo y escanearlo el destinatario necesita validar que lo firmo yo y no otro en mi lugar. El sello de certificar este tipo de cosas en el sector público español lo comparten principalmente la FNMT-RCM y la Dirección General de la Policía (para expedir los certificados presentes en el DNI electrónico). Muchas veces también son aceptados certificados de cámaras de comercio para firmas digitales ante el sector público, y algunas autonomías cuentan con su propia autoridad de certificación. INcluso los certificados expedidos por la FNMT-RCM o presentes en el DNIE son aceptados por empresas privadas para autenticarnos y firmar.

¿Qué es un certificado digital?

Un certificado digital es un archivo con varios parámetros que son en realidad muy simples. Estos archivos están firmados por la autoridad que expide el certificado, como pasaría con cualquier certificado notarial (donde está presente el sello y firma). Al igual que en los documentos físicos, el receptor de documentos acompañados por certificados debe confiar en el emisor del certificado. ¿Qué ocurriría si mi nuevo instituto no confía en el certificado de notas de aquel en el que estaba escolarizado hasta entonces? Pues que obviamente, no es válido a sus ojos. La confianza es una premisa básica en los certificados. Arriba digo que algunas entidades privadas admiten los certificados de la FNMT-RCM y el DNIE, pero realmente podríamos decir para ser exactos que confían en la FNMT-RCM y en la Dirección General de la Policía como autoridades de certificación. Pongamos un ejemplo con los certificados SSL, que certifican que un dominio apunta al servidor correcto para y cifran las comunicaciones con el mismo, StartCom y Apple.
En 2016, Apple descubrió que, al parecer, StartCom, una autoridad de certificación que emite certificados SSL, que desde una fecha determinada estaba cometiendo negligencias al realizar la verificación para expedir el certificado, es decir, que podía haber alguna posibilidad de que ese certificado certificase una cosa que no era la realidad. Así pues, Apple decidió eliminar parcialmente la confianza de sus dispositivos en los certificados de StartCom. Esto se traduce en que los dispositivos de Apple lanzan advertencias o incluso deniegan el acceso a sitios web que cifren sus comunicaciones con certificados de esta autoridad. Por lo tanto, poemos decir que Apple ya no confía en Startcom.

Parámetros de los certificados

Los parámetros de los certificados son varios, pero principalmente tenemos tres secciones que pueden ser de interés:

  1. Datos del sujeto: Identifica al usuario del certificado. En mi caso el nombre del sujeto en un certificado de la FNMT es NOVEGIL CANCELAS IVAN XXXXXXXXX (donde XXXXXXXXX es mi NIF). También hay otros parámetros que separan el nombre del sujeto en apellidos, nombre y NIF para que se puedan gestionar por separado.
  2. Datos del emisor: indica quién lo emite, en este caso, el departamentos CERES de la FNMT-RCM.
  3. Fechas clave: indica la fecha a partir de la que es válido y la fecha a partir de la cual no lo será (de expiración). Los certificados de la FNMT-RCM son válidos desde el momento de su emisión y tienen una validez de 4 años desde la misma, debiendo renovarlos mediante, en caso de ser un certificado de persona física, el procedimiento disponible a tal efecto cuando la fecha de expiración esté cerca, cada certificado solo se puede renovar una vez, ver abajo).

Confianza internacional en la FNMT-RCM

La FNMT-RCM también emite certificados para SSL, al igual que Startcom, en este caso usados por webs de administraciones públicas (aunque también los vende a particulares). Esta sección es muy sencilla de explicar, ya que seguramente hemos visto más de una vez al entrar en cualquier sede electrónica o web de cualquier administración, ya sea nacional, autonómica o municipal, por https, una advertencia que nos dice que el certificado que usa esa web, firmado por AC componentes Informáticos, que está firmado a su vez por la FNMT-RCM, no es confiable. Esto se produce porque los navegadores o los sistemas operativos no incorporan a la FNMT-RCM como autoridad de confianza, aunque sí está en una lista de autoridades de certificación confiables de Europa y Adobe Acrobat, como software que confía en ese listado, admite como válidas las firmas de documentos PDF realizadas con certificados de la FNMT-RCM. En el paso 2.1 conseguiremos eliminar esa advertencia ya que incorporamos a la FNMT-RCM como autoridad de confianza, de forma que aunque no se quiera obtener un certificado propio de la FNMT-RCM puede ser interesante realizar este paso.

Paso 1: elección del tipo de certificado

Los certificados de la FNMT-RCM sirven tanto para autenticación (identificarse ante los organismos en internet) como para firma (firmar documentos de forma válida ante las entidades que lo admitan, legalmente es un método de firma a la altura de la firma manuscrita).
Hay varios tipos de certificados dependiendo de quién necesite autenticarse y firmar. Los principales son el de persona física (ciudadanos mayores de 18 años o menores que acrediten emancipación), y de representante (personas administradoras o apoderadas sobre una persona jurídica o entidad sin personalidad, este grupo, o una parte del mismo, está obligado a relacionarse electrónicamente con las administraciones). En este tutorial trataremos el de persona física, aunque los pasos de la instalación propiamente dicha podrían ser similares.

Paso 2: Obtención del certificado

Nota: asumimos que obtienes el certificado porque no tienes DNIE o lector para utilizarlo. Si lo obtienes teniendo lector y DNIE, con su correspondiente clave, hay un procedimiento más sencillo para obtener el certificado que no es objeto de este artículo.

Primeramente empecemos por cambiar de navegador y e incluso en ocasiones de sistema operativo, ya que la sede de la FNMT solo es compatible con Internet Explorer (sí, Internet Explorer, aunque parezca increíble) y con Mozilla Firefox. Dado que en MacOS éste último da algunos problemas podría ser necesario realizar el cambio a Windows temporalmente. Ten en cuenta que será necesario que solicites y descargues el certificado desde el mismo equipo y navegador, y con el mismo usuario. Anotar también que este navegador específico solo será necesario en los pasos 2 y 4 del proceso de obtención. Por último, indicarte que necesitarás repetir este procedimiento la segunda vez que quieras extender la validez del certificado, ya que las leyes obligan al titular del certificado a presentarse en una oficina de registro para certificados (ver paso 3) cada 5 años para acreditar su identidad.
Deberemos acceder a este procedimiento en la sede electrónica de la FNMT-RCM y seguir los pasos, a saber:

  1. Consideraciones previas: básicamente, leer las reglas del uso del certificado e instalar los certificados raíz. Para ésto último en Safari podemos acceder al enlace, dentro de la sección de consideraciones previas, para configurar Firefox. Tendremos que saltarnos las instrucciones y pulsar en el certificado raíz y el certificado clase 2 para descargarlos. UNa vez finalicen las descargas, pulsaremos sobre cada uno de los archivos y los añadiremos, confirmando las advertencias, al llavero de sistema o de inicio de sesión (estos es preferible meterlos en sistema, pero a gusto del consumidor). Posteriormente debemos abrir Acceso a Llaveros (carpeta /Aplicaciones/Utilidades, comando+shift+u desde Finder), seleccionar el llavero en el que hemos importado los certificados y forzar la confianza del sistema en ellos, pulsando comando+i (u “Obtener Información”) sobre cada uno de ellos, desplegando la sección “Confiar” y marcando “Confiar siempre”. Una vez cerramos este diálogo veremos a izquierda de la tabla de certificados, cuando seleccionemos uno de los de la FNMT, “Este certificado es válido”. Si no, deberíamos verificar que en la sección confiar de la información del certificado está marcado el “Confiar Siempre” en el primer desplegable.
  2. Solicitar el certificado: muy simple, rellenar el formulario, leer y aceptar los términos y confirmar. Importante: la FNMT-RCM no lo dice demasiado alto, pero si queremos firmar correo electrónico la dirección que pongamos en el formulario tiene que ser la misma que usaremos para remitir dicho correo firmado. Esto es diferente de firmar PDF adjuntos a emails.
  3. Acreditación de la identidad: obviamente para que nadie pueda pedir alegremente nuestro certificado debemos ir a una oficina habilitada de la Seguridad social, de la Agencia Española de Administración Tributaria o de otros organismos con la facultad de acreditar identidad para certificados digitales (ayto. de Madrid o muchas de las oficinas consulares de España, por ejemplo). En la mayoría de oficinas de la Seguridad social la atención es preferente en caso de tener cita previa, y en las delegaciones y administraciones de la AEAT ésta es obligatoria. Tiene que acudir allí el solicitante del certificado en persona con su DNI, documento de identificación o carnet de conducir. También debemos tener a mano el mensaje de correo que recibimos en el paso 2 para mostrarlo en la oficina o indicar al funcionario el código de solicitud.
  4. Descarga del certificado: simplemente debemos rellenar el formulario y se instalará el certificado en el navegador.

Paso 3: Exportar el certificado

Estos pasos se aplican para Firefox en Windows.

  1. Nos vamos al menú Herramientas>Opciones>Avanzado>Certificados>Ver certificados… y seleccionamos el nuestro.
  2. Pulsamos en “Exportar” y seguimos los pasos. Se nos generará un archivo que debemos copiar a nuestro Mac.

Paso 4: Instalación del certificado en Safari

Una vez tengamos el archivo simplemente lo pulsamos. Seleccionamos el llavero al que queremos añadirlo (sistema, para todos los usuarios, o inicio de sesión, para el usuario actual) y confirmamos, introduciendo nuestra contraseña y la de la exportación de firefox cuando se nos pida.

Paso 5: Utilizando el certificado

Podemos comprobar el certificado en varios sitios de demo, pero también podemos hacer su primer uso en una sede electrónica real, por ejemplo, la de la Agencia Tributaria, administración con la cual casi todos hemos hecho gestiones alguna vez (sin ir más lejos, la presentación de la renta). Por ejemplo, podremos consultar nuestra declaración dirigiéndonos a “Mis Expedientes”. En este punto deberemos elegir la identificación con certificado digital y se nos presentará un diálogo para elegir qué certificado queremos usar. Seleccionamos el que pone nuestro nombre (en mi caso “NOVEGIL CANCELAS IVAN XXXXXXXXX”), pulsamos continuar e introducimos nuestros datos de usuario en el Mac. Después debemos elegir la opción todos para que se nos muestren todos nuestros expedientes (por defecto se muestran los activos) y desplegar la secciones correspondientes hasta llegar a la presentación del IRPF modelo 102 (renta). Una vez dentro solo será necesario dirigirnos al seguimiento de la tramitación y pulsar en el ID de entrada en el registro electrónico para ver los documentos asociados a ella, que podremos descargar.

Paso 6: Más de un certificado

Podríamos necesitar tener otro certificado además del que acabamos de generar, por ejemplo, para poder elegir si autenticarnos como persona física o como .representante de persona jurídica. Para esto, además de repetir los pasos anteriores, debemos borrar las preferencias de identidad cada vez que queramos cambiar de certificado. Este es un archivo que recuerda qué certificado elegimos para cada sitio y realiza automáticamente la elección en otras ocasiones que accedamos a él. Para ello podemos dirigirnos al llavero de “Inicio de Sesión”>”Todos los items” y eliminar la preferencia que nos interese (podemos descubrir qué es una preferencia de identidad bajando leyendo la columna Clase, normalmente las preferencias de identidad están juntas, podremos identificar porque en el nombre aparece la URL del sitio web a la que va asociada).


Y poco más. Dudas, correcciones (que seguro que tenéis alguna), etc. en los comentarios.

3 pensamientos en “Tutorial: configurar certificado de persona física emitido por la FNMT-RCM para Safari (MacOS)

    • A ti por comentar. Creo que es una opción muy útil esta Del certificado para evitarse andar con los lectores externos de DNI electrónico a vueltas. Sé que existen sistemas de identificación mediante clave, pero el problema es que es uno por administración y este certificado sirve para autenticase y firmar ante todas Si obtienes el tuyo avisa ante cualquier error en el artículo.

      Un saludo

      Me gusta

  1. actualizo artículo para indicar el período de validez correcto de los certificados (4 años), para eliminar las referencias al certificado de persona jurídica (que ya no existe) y corregir aquellas al de representante, y para corregir las referencias al nombre de los llaveros (el del usuario es de INicio de sesión). corregidos también fallos menores y añadidas aclaraciones sobre la renovación de los certificados, en el paso 2 y en la sección de confianza internacional. Más correcciones son bienvenidas y se irán añadiendo.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s