Como renovar el puto certificado de la FNMT

Bueno, me llega una notita de la FNMT diciendo que mi certificado está a punto de caducar y que me pase por su web a renovar. Ya debe ser la tercera o cuarta vez que paso por esto, así que siento un subidón de adrenalina ante las duras pruebas y emociones que previsiblemente me aguardan. Esta vez he pensado documentar toda la experiencia en este blog, a ver si otros se ahorran el mal trago.

martes, 22 de enero de 2008

Internet Explorer: A la tercera va la vencida

Mi intuición me dice que el problema tiene que estar en el CAPICOM. Busco en la FAQ de la FNMT por CAPICOM. Hay varios artículos pero ninguno me aclara gran cosa.

Decido buscar una instalación de CAPICOM más moderna. Buscando en Google por CAPICOM encuentro un "Security Update for CAPICOM" de Agosto/2007. Una vez seleccionado el español la página de Microsoft es ésta. El botón de descargar me baja un fichero llamado CAPICOM-KB931906-v2102.exe que inmediatamente ejecuto. Parece que aunque la web decía que era la versión en español, se trata de la versión en inglés, así que pongo todos los pasos para aquellos que el inglés como que no...



Nos fijamos el directorio donde se va a instalar, luego tendremos que ir ahí...


Me voy al directorio donde se ha instalado. Hay un readme muy instructivo porque indica que en realidad CAPICOM no se ha instalado, simplemente se ha dejado ahí. Afortunadamente explica cómo instalar el CAPICOM:

To install CAPICOM extract "CAPICOM.DLL" from CAPICOM.CAB to your system32 directory, then execute "regsvr32.exe CAPICOM.DLL".
No hace falta extraer capicom.dll porque nos han dejado una copia ya extraída en C:\Archivos de programa\Microsoft CAPICOM 2.1.0.2\Lib\X86\

Hacemos "Copiar" de capicom.dll y nos vamos a C:\Windows\System32\ y allí hacemos "Pegar".
Antes conviene cerrar completamente el Internet Explorer para que no tenga "pillada" la dll. Si ya hay una capicom.dll la machacamos con la nueva ( más prudente sería cambiarle el nombre y dejarla por si hay que dar marcha atrás).

A continuación hay que ejecutar regsvr32.exe CAPICOM.DLL. Lo podemos hacer desde Inicio-> Ejecutar (esto vale para XP, si tienes Windows Vista mira en los comentarios de este post las instrucciones que un amable lector ha dejado)



Ya tenemos el CAPICOM a la última. Arranco el IE para probarlo. De tanto hacerlo ya podría renovar un certificado a ciegas. Llego a firmar y....
...IE me pide permiso para ejecutar el CAPICOM. Hago click en la barra y lo autorizo, pero la página se recarga y me lleva al principio.

Sigo las instrucciones del post anterior para bajar la seguridad del IE y permitir la ejecución del ActiveX sin que pida confirmación. Lanzo el proceso de renovación y cuando voy a firmar:


Este debe ser el CAPICOM en inglés: Me advierte de que necesita acceder a los certificados digitales almacenados en mi equipo y me solicita permiso. Luego en español me pide que elija el certificado para firmar, que lógicamente tiene que ser el mismo de la solicitud.


Una nueva advertencia sobre no darle tu clave privada a cualquier web de tres al cuarto y ....

¡Por fin! ¡Prueba superada, IE también se ha certificado!

domingo, 20 de enero de 2008

Internet Explorer no va a ser menos ¿o sí?

Normalmente lo dejaría aquí, ya he conseguido lo que quería, pero me da pena ese 77% de usuarios que usan Internet Explorer. Eso significa que de los 40.000 que decíamos que les toca renovar este mes, 30.800 siguen atascados.

Una solución fácil sería pasarse al Firefox, lo que conlleva además un montón de ventajas adicionales. Os lo recomiendo fervientemente y para ello sólo tenéis que ir aquí y descargarlo. Es un proceso sencillo y rápido.

Pero entiendo que hay mucha gente que eso de instalar software se le hace muy cuesta arriba. Así que por ellos voy a intentarlo un poquito más a ver si acaba de salir. No garantizo que llegue al final.

Nos habíamos quedado en que la firma no era válida después de quejarse de que "el servidor de automatización no puede crear el objeto". Buscando en la FAQ de la FNMT, en la sección de "Errores con MSIE" encuentro una sección de "Errores al firmar" con un artículo reciente que parece prometedor: ¿Qué hago si al pulsar el botón de "Firmar" en una renovación, revocación o modificación de datos, obtengo el siguiente mensaje de error: "El servidor de automatización no ha podido crear el objeto"?

Su sistema Windows necesita instalar las librerías CAPICOM de Microsoft. Puede descargarlas desde nuestra web (en http://www.cert.fnmt.es/index.php?cha=cit&sec=tech_support&page=80 ,sección "Instalable Capicom para Windows 95" o
"Instalable Capicom para Windows 98 y versiones superiores”). Después de la descarga proceda a su instalación.En el caso, de ya tener instalado las librerías CAPICOM y siga dando el mismo error, haga lo siguiente:
- Abra su navegador Internet Explorer y pulse en Herramientas/Opciones de Internet.
- Seleccione la pestaña Seguridad y pulse en el icono Internet.
- Siga los siguientes pasos según sea la versión de su navegador:
1. Para Internet Explorer 6.x
- Pulse en el botón "nivel predeterminado"y a continuación en "nivel personalizado".
- En la lista que se despliega, ir al campo "controles y complementos de activeX" y activar la opción "Inicializar y activar la secuencia de comandos de los controles de ActiveX no marcados como seguros". Aplique los cambios.
- Por ultimo cierre el navegador y vuelva a realizar su solicitud.
2.Para Internet Explorer 7.x
- Pulse en el botón "nivel predeterminado"y a continuación en "nivel personalizado".
- En la lista que se despliega, ir al campo "controles y complementos de activeX" y habilitar la opción "Inicializar y generar scripts de los controles de activeX no marcados como seguros para
scripts". Aplique los cambios.- Cierre el navegador y vuelva a realizar su
solicitud.
- Después de realizar su solicitud puede volver dejar las opciones de
su navegador como predeterminadas.

Hago una busqueda en el PC de capicom.* y aparece un capicom.dll en C:\WINDOWS\system32, así que seguramente ya esta instalado.

Sigo las instrucciones para rebajar la seguridad del IE y que se permita la ejecución del CAPICOM.

Nada todo sigue igual, recibo el mismo mensaje de error.

Como último recurso decido instalarme el CAPICOM ese antiquísimo (para Windows 98) que ofrece la FNMT en mi XP, aunque me da bastante miedo. Pero bueno como cada vez utilizo menos el IE me arriesgaré.

Susto para nada, todo sigue igual después de descargarlo e instalarlo.

Deshago los cambios de seguridad de los ActiveX (¡MUY IMPORTANTE!) para no quedarme expuesto. Mañana será otro día.

sábado, 19 de enero de 2008

Firefox segundo intento y exito total

En fin ya que he avanzado un pelín con Firefox, voy a perseverar, que a fin de cuentas es mi navegador preferido. Sigo buscando en la FAQ de CERES. En la sección de Problemas habituales hay una sección para IE y otra para Netscape, ni rastro de Firefox. Me conformo con mirar en Netscape que para eso es su antecesor:

Lógicamente, todos los artículos son algo antiguos, pero uno de ellos se corresponde a nuestro error: ¿Qué hago si al firmar con mi Certificado me da el mensaje de error: 'Su navegador ha generado una firma no válida'?. ¿Qué podemos perder?



La principal causa de este error es una mala configuración de las opciones de uso del certificado raíz de FNMT Clase2 CA. Para solucionar el problema realizaremos los siguientes pasos:
Pulsaremos el botón de Seguridad que aparece en la barra de herramientas, lo distinguiremos
porque aparece un candado sobreimpreso en el botón. En el apartado de Certificados seleccionamos la opción Firmantes, y una vez allí buscamos el certificado de FNMT Clase2 CA, lo
seleccionamos y pulsamos el botón Edición.
Nos aparecerá una pantalla con las características del certificado y debajo unas casillas de verificación. Deberemos tener seleccionadas las casillas correspondientes a: Aceptar esta Autoridad de certificación para certificar los sitios de la red, Aceptar esta Autoridad de certificación para certificar los usuarios de correo electrónico, Aceptar esta Autoridad de certificación para certificar los desarrolladores de software.


En Firefox 2.0 las cosas son un poco diferentes, los certificados no están donde el candado sino en "Avanzado" -> "Cifrado"


Y en vez de "Firmantes" hay una lista de "Autoridades":




¡Sorpresa, sorpresa! El certificado raíz de "FNMT Clase 2 CA" no está en su sitio. El caso es que antes había encontrado una página en la FNMT sobre Navegadores validos donde se incluía a Firefox a partir de la version 1.5 y se afirmaba que incluía el certificado raíz de la FNMT.

Nada, a buscar el susodicho certificado. Despues de un ratito dando vueltas por la web sin exito, vuelvo a la FAQ y por fin encuentro este artículo:



El certificado raíz de FNMT Clase 2 CA se obtiene en la siguiente página: http://www.cert.fnmt.es/index.php?cha=cit&sec=obtain_cert&page=139. Una vez en la página, descargaremos el certificado haciendo click sobre el link: Descarga del Certificado Raíz de FNMT-RCM Certificado de Usuario, en cuyo caso se le mostrarán las instrucciones precisas dependiendo de su navegador También puede descargar el certificado raíz directamente pinchando aquí.
Ha de seleccionar la opción 'Abrir este archivo desde su ubicación actual' en el caso de Internet Explorer y siguiendo las instrucciones en todos los casos.


Lo que hago es descargarme el certificado como un fichero...

... e importarlo en Firefox desde la lista de "Autoridades" que veíamos más arriba, no olvidando seleccionar las tres opciones de confianza tal como se describía en el artículo para Netscape:



Y por fin ya tenemos nuestro certificado raíz instalado.



Otra vez llega la hora de la verdad. Sigo todo el proceso de renovación hasta el momento fatídico de firmar y ................



¡Que nervios! Ahora sólo hay que darle al botón de enviar. Cruzo los dedos y .........¡Prueeeebaaaa Suuuperaaaada! Con la emoción no he capturado la pantalla, pero me ha dado un código de 9 cifras y me ha dicho que vuelva en 24 horas a recoger mi certificado.

Yo he vuelto al ratito y en la pantalla de renovación esta vez he seleccionado "Descargar el certificado renovado". Me ha pedido mi NIF y el código:

Una vez envíado me ha avisado que el nuevo certificado se ha instalado.

He ido a comprobarlo en "Sus certificados" y efectivamente, allí estaba el nuevo certificado con caducidad en 2011, junto con los antiguos.


Ahora toca hacer una copia de seguridad y protegerlo adecuadamente, pero ya será otro artículo.

Buscando ayuda en la FNMT

Bien, recapacitemos: Tengo Firefox e IE a la última, mi sistema operativo es Windows XP bien actualizado y mantenido, luego los problemas que estoy teniendo serán comunes a muchísimas personas. Según la web de CERES hay 1.495.825 certificados activos, que caducan cada 3 años, es decir unas 40.000 personas tienen que estar intentado renovar este mes.

Si 40.000 personas estan teniendo los mismos problemas que yo, seguro que hay ayuda en la web de CERES a punta pala, aunque sólo sea para no volverse locos con el teléfono sonando todo el día y el email colapsado con peticiones de ayuda....

Vamos allá. Buscamos en Soporte Técnico:

Bien, nos ofrecen todo tipo de ayuda: FAQ, formulario Web, email y teléfono. Empecemos por la FAQ: Tranquilos que ya vamos llegando:

Bueno, en temas populares o artículos más recientes no hay nada que parezca relacionado con mis problemas. Probemos con la sección "Procedimiento de renovación":
Pues va a ser que no. ¡Que raro en esta sección no se diga nada!. A ver en "Problemas y dudas más habituales":


Esto parece más interesante. De entrada hay un articulo sobre la "Contraseña Maestra" que pide el Firefox y que es donde me he quedado atascado. Esto es lo que cuentan:

La contraseña maestra (Master Password) es la contraseña del almacén de
certificados del navegador Mozilla Firefox y por defecto viene sin establecer,
siempre es el usuario quien la establece. Esta contraseña maestra es una
característica del navegador, no del certificado y sirve para proteger datos
sensibles como por ejemplo los certificados. Generalmente la contraseña maestra
se establece justo antes de obtener el código de solicitud en pantalla o bien
cuando se realiza la importación de un fichero de copia de seguridad.Esta
contraseña es requerida cada vez que se accede al almacén de certificados de
este navegador y es la misma contraseña para todos los certificados que tenga
almacenados en esa sesión/perfil de navegador. El sistema le solicitará esta
contraseña hasta que cancele la acción. Si no logra dar con la contraseña ( que
es personal del usuario ) tendrá que resetearla. Si resetea la contraseña pierde
todos los certificados instalados en el navegador y las solicitudes de
certificados, asegúrese de tener copias de seguridad de los certificados. Para
resetear la contraseña, en la barra de direcciones de Firefox escriba lo
siguiente y después pulse "Enter" chrome://pippki/content/resetpassword.xul ,
pulse en "Restablecer"

¡Bingo! Yo pensaba que Firefox me estaba pidiendo la contraseña que protege a la clave y en realidad me estaba pidiendo una clave que usa para proteger el repositorio de contraseñas y que en mi caso no está establecida. ¡Y yo echando pestes de la FNMT!.

Así que volvemos a donde nos habíamos quedado con Firefox (firmando la solicitud) pero esta vez dejo la contraseña en blanco. La buena noticia es que consigo salir del bucle, la mala es que:

Pero por lo menos hemos avanzado y ya estamos atascados en el mismo lugar y con el mismo mensaje tanto en Firefox como en IE.

viernes, 18 de enero de 2008

No pasa nada, tenemos el Internet Explorer

Ya se sabe que el Firefox es cosa de geeks y gente rara, así que a nadie de la FNMT le extrañará, ni le preocupará, que no funcione. Ahora, el Internet Explorer ya es otra cosa. Si no se puede con Internet Explorer entonces es que prácticamente nadie podría renovar su certificado ¿no?.

Pues venga vamos allá con los mismos pasos que dimos con Firefox. Al principio todo va igual. Después de aceptar el rollo legal, IE me pide que seleccione el certificado que voy a usar...

... y la contraseña que lo protege(esto es opcional dependiendo del tipo de seguridad con el que se creó el certificado).


Aparece una pantalla con los datos de mi certificado y pincho en "RENOVAR CERTIFICADO". Llego a "GENERACION DE CLAVES" sin que me de la lata con el certificado, ni con la opción de cambiar la longitud de clave como con Firefox. Pincho "Enviar Solicitud".



IE me advierte del peligro potencial de generar un certificado y me pide confirmación, y luego me presenta una ventana donde configurar el certificado, le doy "Aceptar" sin más.

Llego al paso de "SOLICITUD RENOVACION". Me toca firmar que es donde se atascó el Firefox. Cruzemos los dedos. Pincho en "Firmar":Seguido de...
....y finalmente....



Ooooooooommmmmmmmmmmmmmmmmmhh. Uno, dos, tres, cuatro, cinco, seis, siete, ocho, nueve, diez.

Bien. No pasa nada. Relax. Ya sabíamos que no sería fácil, ¿verdad?. Tú no eres de los que se rinde fácilmente y menos si la alternativa es hacerle una visita a la delegación de hacienda para recoger un certificado nuevo.

Primer intento con Firefox: Primer fracaso

Tengo instaladas en mi Windows XP las últimas versiones de los navegadores Mozila Firefox (2.0.0.11) e Internet Explorer (7.0.5730.11). En ambos navegadores están cargados los certificados de la FNMT de mi media naranja y el mío. ¿Por qué en ambos? Elemental, querido contribuyente, porque ya tuve mi sesión de problemas con la presentación telemática del IRPF y acabé instalando los certificados hasta en Opera.

Bueno, vamos allá. Pincho en http://www.cert.fnmt.es desde el Firefox. Sigo por el enlace "Ciudadanos" y veo la opción "Renovación".



En la página me explican que tengo que seguir dos pasos, primero "Solicitar la renovación" y luego "Descargar el certificado renovado". Fácil.

Pincho en "Solicitar la renovación". Pincho en "ACEPTAR" al final del rollo legal. Firefox me pide que seleccione el certificado que voy a utilizar y selecciono el mío.


Me aparece una pantalla con los datos de mi certificado. Puedo "MODIFICAR DATOS" (mi dirección ha cambiado así que lo intento pero sin éxito; para no complicar la cosa paso de contarlo) o "RENOVAR CERTIFICADO" que es lo que pincho.

De nuevo Firefox me pide que seleccione el certificado que voy a utilizar y de nuevo selecciono el mío. Llego al paso de "GENERACION DE CLAVES". Cambio la longitud de clave del valor por defecto (2048) al recomendado (1024) y pincho "Enviar Solicitud".


¡Qué pesadito el Firefox, otra vez me pide que seleccione el certificado! Debo tener algo configurado para que lo haga así, me parece recordar que era para que al presentar el IRPF diferenciara entre mi certificado y el de mi pareja. Llego al paso de "SOLICITUD RENOVACION". Aquí hay que firmar primero y luego enviar. Pincho en "Firmar"

Ahora Firefox me dice que se requiere mi firma, que seleccione un certificado para la misma (selecciono el mío) y que es necesario introducir la contraseña maestra. Introduzco la contraseña que protege el certificado.

Firefox vuelve a pedirme lo mismo. Contesto igual. Firefox insiste. Contesto igual. Insiste. Insisto. Me lo temía...