Cuando manejamos certificados digitales en fichero, como son los certificados de la FNMT (tanto los personales como los de empleado público), debemos ser diligentes en su custodia y cuidado. Para ello se recomienda:
- Tener siempre una copia protegida por contraseña de nuestro certificado digital personal (incluyendo la clave privada). Esta copia debe alojarse en un lugar seguro como una disco duro externo de copia de seguridad que no esté conectado a nuestro ordenador.
- Tener el certificado cargado en el almacén de certificados de Windows (llavero en el caso de Mac) protegido con contraseña. Esto hará que cada vez que vayamos a usar nuestra certificado en una operación nos pida esa contraseña para acceder al mismo. No solo lo hace más seguro sino que nos permite controlar cuando estamos haciendo uso de nuestro certificado, nuestra identidad.
Para poder cumplir ambas recomendaciones y suponiendo que tenemos el certificado recien cargado (por ejemplo le acabamos de recoger de la web de la FNMT) hay que seguir los siguientes pasos (detallados más adelante):
- Exportar el certificado con su clave privada y protegerlo por contraseña
- Borrar el certificado de nuestro almacén de certificados (una vez que nos aseguremos que le hemos exportado correctamente con su clave privada)
- Importar el certificado recien exportado pero protegiendo su uso con una contraseña.
Si lo que queremos es usar el certificado en varios equipos, tan solo debemos exportarlo (paso 1) e importarlo en el otro equipo (paso 3)
La FNMT mantiene un listado de preguntas frecuentes relacionadas con la importación y exportación de certificados. Allí hay información sobre Windows, Mac y Linux.
Hay que tener en cuenta que en Windows, el navegador Edge, Internet Explorer, el Chrome y la mayoría de aplicaciones utilizan el almacén de certificados del sistema operativo. Otras aplicaciones como Firefox utilizan su propio almacén de certificados. Por tanto si ha solicitado y recogido su certificado con Firefox, este estará en Firefox y no en el almacen de certificados del Sistema Operativo.
En la explicación detallada vamos a usar el almacén de certificados de Windows. Si utiliza otros Sistema Operativo o tiene el certificado en Firefox consulte la ayuda de la FNMT.
Exportar el certificado con su clave privada y protegido por contraseña
Para acceder al almacén de certificados en Windows 10 debemos usar la herramienta “Administrar Certificados de Usuario” (podemos buscarla en el buscador de Windows).
Seleccionamos el certificado personal (del cual tenemos clave privada) que queremos exportar y pulsamos botón derecho -> Todas las tareas -> "Exportar". Al exportar es muy importante marcar la opción "Exportar la clave privada".
Si no exportamos la clave privada el certificado solo contendrá la parte pública por lo que no nos servirá como certificado personal para, por ejemplo, las operaciones de firma electrónica.
Las opciones de exportación las podemos dejar por defecto. Para proteger el fichero resultante, lo más sencillo es establecer una contraseña.
Esta contraseña será necesaria para importar el certificado en un futuro. No se puede recuperar. NO LA OLVIDE.
Debemos seleccionar una ubicación y dar un nombre al fichero que tendrá debe tener la extensión .pfx. Pulsando finalizar generaremos el fichero en la ubicación que hemos indicado.
Con este proceso hemos exportado nuestro certificado con su clave privada a un fichero. Esto nos permite guardarlo en otra ubicación como copia de seguridad o llevarlo a otro ordenador, donde podremos importarlo (ver más adelante).
Borrar el certificado de nuestro almacén de certificados
El motivo de querer borrar el certificado es porque desear tener protegido su uso para mayor seguridad o simplemente ya no queremos tenerlo en ese equipo. Para poder protegerlo aunque ya le tengamos cargado hay que quitarlo antes, ya que la seguridad se establece en al importar.
Naturalmente al borrar el certificado ya no podremos usarle. Por lo que es importante asegurarse antes de que tenemos una copia exportada (incluida la clave privada).
Si lo que queremos es exportar e importar el certificado a otro equipo y usarlo en ambos, este paso obviamente nos lo saltamos.
Para ello vamos al "administrador de certificados de usuario", seleccionamos el certificado que queremos borrar y usamos el botón derecho.
Importar el certificado recien exportado pero protegiendo su uso con una contraseña
Lamentablemente para poder tener protegido el uso de nuestro certificado hay que hacerlo durante el proceso de importación. Para ello usamos la herramienta “Administrar Certificados de Usuario”. Vamos a la carpeta de certificados personales y con botón derecho elegimos “Importar”. También podemos importar con solo hacer dobel click sobre el fichero con certificado con clave privada (nomrmlamenet formato pfx).
Debemos seleccionar el certificado que hemos exportado previamente con la clave privada. Atención que se debe indicar "todos las extensiones de archivo" para poder ver los ficheros de tipo .pfx que son los que estamos buscando.
A continuación debemos escribir la contraseña de ese fichero, con la que hemos protegido la clave privada. Además debemos habilitar la protección segura y debemos marcar la clave como exportable. De esta forma podremos en el futuro exportar nuestro certificado con su clave privada.
Al pulsar finalizar, nos saldrá esta otra ventana. En ella debemos cambiar el nivel de seguridad a Alto.
Pulsamos en le botón Nivel de Seguridad. Elegimos nivel "Alto" y definimos una contraseña.
Esta contraseña, que elegimos aquí, es la que nos sirve para proteger el uso de nuestros certificado con clave privada. Nos la pedirá cada vez que usemos el certificado (por ejemplo en un proceso de firma electrónica). No se debe olvidar ni confundir con otro tipo de contraseñas. No se puede recuperar.
Una vez importado, si pulsamos sobre el certificado podremos comprobar que está correctamente importando con su clave privada. Si hemos seguido los pasos cada vez que vayamos a usarlo nos pedirá la contraseña antes indicada.
