1.- certificats digitals

Gestió certificats digital en Windows

Què és un certificat digital a Windows?

Un certificat digital és un fitxer que s’instal·la a l’ordinador o en una tarja criptogràfica (com el DNIe) i que serveix per identificar-te de manera segura a internet, signar documents digitalment i fer tràmits oficials en línia. Funciona amb claus criptogràfiques que asseguren que ningú pugui suplantar la nostra identitat.

Els certificats digitals estan format per una clau privada i una clau pública. No s’ha de pensar en contrasenyes o pins; les claus privades i públiques són números enormement grans que estan relacionats entre sí (emprant unes fórmules matemàtiques sofisticades). Amb això es basa la teoria matemàtica de la criptografia que hi ha al darrera per fer que les signatures siguin vàlides i que no es pugui falsificar un certificat digital. 

Quan es fa ús d’un certificat digital, en general es fa anar la clau privada (això ho fa l’ordinador de manera transparent). 

Format de certificat digital

Val a dir que sigui quin sigui el format, tots tenen la mateixa informació. Sempre emmagatzemen la clau privada i la pública a més d’algunes metadades d’informació del mateix certificat (entitat emissora, nom del destinatari del certificat, entitat emissora del certificat, signatura digital d’aquesta entitat emissora, etc.)

Bàsicament hi ha 2 formats per emmagatzemar certificats digitals:

• Certificat instal·lable a l’ordinador. Els certificats poden estar desats en un document, en windows habitualment amb l’extensió PFX (a tall d’exmple seria com un PDF o un DOCX de Word o un JPG d'imatge). Per poder fer ús d’un certificat PFX, però, cal instal·lar-lo al magatzem de certificats de Windows. 

• Certificat en targeta intel·ligent (smart card). En aquest cas el certificat està emmagatzemat en un xip criptogràfic segur i protegit per una contrasenya (PIN). Per fer-lo servir cal tenir un lector de targetes compatible amb el xip i també el controlador del xip (en el cas del DNIe el controlador s’instal·la quan instal·lem el programari del DNIe).

NOTA: Hi ha algun format més però queda fora de l’àmbit d’aquest document.

Descàrrega d’un certificat PFX (idCAT o FNMT)

Les entitats emissores típiques de certificats PFX en el context del Departament d’Educació són o bé el Consorci d’Administració Oberta de Catalunya a través de idCAT o bé la Fàbria Nacional de Moneda i Timbre a través d’Hisenda (ja sigui per certificats personals o certificats com a representants).

El procediment és molt similar en ambdós casos:

1. Cal tramitar la sol·licitud (idCAT | FNMT Personal | FNMT Representant)

2. Cal personar-se davant una entitat que verificarà la nostra identitat (i si demanem un certificat de representant també necessitarem la documentació que ens valida com a representants de l’entitat).

3. Un cop validada la nostra identitat podrem descarregar el certificat digital al nostre ordinador en format PFX

Instal·lació d’un certificat PFX (idCAT o FNMT)

Quan tenim el certificat descarregat l’haurem d’instal·lar al nostre ordinador. La recomanació és fer-ho però marcar que es permeti l’exportació de la clau privada (d’aquesta manera podem després fer-ne una còpia i protegir aquesta còpia del certificat amb una contrasenya que sabrem.

Això ens permetrà tenir una còpia del certificat per si perdem l’ordinador on el tenim instal·lat o bé per si volem instal·lar el certificat a un altre equip.

Per instal·lar el certificat al magatzem de certificats de Windows, buscarem el certificat a la carpeta on l’hem descarregat, habitualment a la carpeta de Baixades, si no el trobem podem obrir les baixades del navegador (des del navegador premem CTRL+j i s’obrirà una pestanya amb l’historial de les baixades, localitzem el certificat i cliquem la icona de la carpeta que hi ha al costat:

1. Un cop tenim localitzat el certificat cliquem amb el botó dret a sobre i escollim l’opció “Instal·lar PFX” al menú emergent (també podem fer doble clic sobre el certificat):
   
   

2. Se’ns obrirà l’assistent d’instal·lació. Aquí escollirem primer ubicar-lo al magatzem de l’usuari local i premem següent:
   
   

3. Ara ens mostra la ruta del fitxer del certificat i cliquem a següent directament:
   
   

4. A la pantalla que se’ns presenta li haurem de

   1. posar la contrasenya (si és un idCAT l’haurem rebut per correu, és el codi de document, si és de la fàbrica de moneda i timbre també l’haurem rebut en el correu serà el codi de sol·licitud, si és d’una còpia nostra serà la nostra contrasenya)

   2. Marcar l’opció que la clau privada és exportable

   3. prémer següent:
      
      NOTA: També podem importar el certificat de manera que estigui protegit per contrasenya cada vegada que en fem ús.

5. Ens mostrarà a quin magatzem volem instal·lar el certificat, deixem l’opció que el seleccioni automàticament:
   
   

6. Ens fa un resum de les accions just abans de prémer finalitzar. Cliquem a sobre i finalitzar i ja ho tenim:

Procediment d’exportació

IMPORTANT: Quan s’exporta un certificat cal exportar tant la clau privada com la pública. Si no s’ha instal·lat marcant l’opció que la clau privada es pugui exportar (tal com explicita el punt 4b de l’apartat anterior) NO podrem fer-ne una còpia!

El procediment a Windows és:

1. Obrir el programa de gestió de certificats (prement les tecles WIN+R i en el quadre de text escrivim “certmgr.msc” sense les cometes i premem retorn) o bé en el cercador de windows buscar “cert” i troba el Programa d’Administrador de Certificats de l’usuari:
   
   
   
   

2. Un cop a dins a “Certificats > Personal > Certificats” hi trobarem el certificat personal (ja sigui idCAT o bé de FNMT):
   
   

3. Cliquem amb el botó dret sobre el certificat que vulguem exportar i al menú escollim l’opció “Totes les tasques > Exportar…”
   
   

4.  Se’ns obre l’assistent d’exportació, cliquem a Següent:
   
   

5. Ara seleccionem l’opció Exportar la clau privada:
   
   i cliquem a següent.

6. A la següent pantalla, ens assegurem que l’opció d'eliminar la clau privada NO estigui seleccionada i premem següent:
   
   

7. Ara marquem l’opció de contrasenya i protegim el certificat amb una contrasenya que només nosaltres hem de saber (i que no podem oblidar! no hi ha opció de recuperar-la). ÉS MOLT IMPORTANT PROTEGIR EL CERTIFICAT amb una contrasenya, sinó qualsevol persona que hi tingui accés se’l podria instal·lar i fer-se passar per nosaltres!
   
   NOTA: Aquesta contrasenya és la que haurem de posar quan vulguem instal·lar el certificat a un altre dispositiu.

8. Cliquem ara al botó Examinar… per dir-li on volem desar la còpia del certificat protegida amb contrasenya i quin nom li volem posar.
   
   

9. Finalment ens presenta un resum de l’exportació:
   
   Premem finalitzar i ja tenim el certificat en format PFX exportat a la carpeta seleccionada al pas anterior amb el nom també seleccionat al pas anterior.

10. Abans d’acabar el consell és que desem una còpia del certificat al núvol (Google Drive per exemple) ja que així sempre el tindrem disponible (i com que l’hem protegit amb contrasenya no haurem de patir).
    
    

(Autor: MARC A. TORRES BAIX - ÀREA TIC ST GIRONA DEPARTAMENT D’EDUCACIÓ i FORMACIÓ PROFESSIONAL)

2.- Activació del DNI.e

Maquinari necessari

Com fer la signatura digital amb dni-e?

 En aquest pas a pas s’usa el certificat del DNI electrònic (DNIe).

Pas 1. Inici de la sessió de signatura amb certificat

Per començar la sessió de signatura amb certificat digital cal introduir-lo en el lector del vostre ordinador. En aquest pas a pas es fa servir el DNIe (certificat que emet la Fàbrica Nacional de Moneda i Timbre).

El programari del DNIe mostra un avís de seguretat en què recorda que cal treure el certificat quan s’hagi acabat la sessió de signatura:

Pas 2. Selecció de document i signar

Després cliqueu a Eines i després escolliu l’opció Certificats. En el submenú escolliu Signa digitalment: 

Premeu l’opció D’acord a la finestra emergent, en què s’explica com dibuixar la caixa de signatura, i definiu-ne l’espai on correspongui:

Tot seguit heu de seleccionar la vostra signatura. En el diàleg d’elecció de signatura teniu disponibles dos certificats: el de AUTENTICACIÓN i el de FIRMA, i heu d’escollir el de FIRMA:

Premeu l’opció Desa i tot seguit heu d’introduir el PIN (número d’identificació personal) de la

signatura. Al fer D’acord el sistema comprova la validesa del certificat. Si tot és correcte, el programari us demanarà l’autorització per signar. Seleccioneu Sí per continuar.

Si tot ha anat bé obtindreu el nou document PDF signat digitalment. Passeu el punter per la caixa de la signatura i us indicarà si és vàlida.

Pas 3. Validació de la signatura

Finalment, tanqueu l’Acrobat, accediu a la carpeta que conté el PDF signat i obriu-lo. Si teniu habilitada l’opció de Validar les signatures en obrir el document (aquesta opció es troba a: Edita > Preferències > Signatura > Verificació) apareix la informació de la validació en la part superior esquerra.

En aquest exemple es mostra “Signat i totes les signatures són vàlides”. Si no teniu habilitada aquesta opció heu de fer la comprovació manualment.

Cliqueu a sobre la caixa de la signatura per comprovar que és vàlida. Podeu consultar-ne els detalls clicant a Propietats de la firma, on també es pot comprovar si s’ha incrustat la marca horària i és vàlida, la qual cosa vol dir que heu utilitzat correctament el segell de marca horària del Catcert.

Si el document conté una o més signatures podeu comprovar-les juntes i amb més detall al Tauler de signatura.