Si hay alguna cuestión que no encuentra en este FAQ y considera que puede ser de utilizad al resto de la comunidad, puede envíenoslas y una vez resuelta la añadiremos al mismo.
Tabla de contenido
Información básica
¿Que es el CA/Browser Forum?
CA/Browser Forum es una organización formada por autoridades de certificación (CAs) y vendedores de software de navegador de Internet y otras aplicaciones.
Los miembros del CA/Browser Forum han colaborado estrechamente en la definición de directrices e implementación de los mecanismos de validación extendida (EV) de certificados SSL como una manera de proporcionar una mayor seguridad para las transacciones por Internet y la creación de un método más intuitivo de visualizar sitios seguros a los usuarios de Internet.
Certificado DV
¿Qué es un certificado DV?
Un certificado DV (domain-validated certificate) es un certificado SSL en el que la información que se ha validado está limitada al dominio en el cual el sitio web está localizado.
Los DNs de este tipo de certificados no contienen información ni del país ni de la organización y son de la forma:
Cuando se establece una conexión segura con un servidor que tiene un certificado DV el navegador muestra el icono del candado.
Certificado OV
¿Qué es un certificado OV?
Un certificado OV (organizationally validated certificate) es aquel en el que la información validada incluye el dominio y la información sobre la entidad comercial que opera el sitio Web.
Cuando se establece una conexión segura con un servidor que tiene un certificado OV el navegador muestra el icono del candado.
Certificado EV
¿Qué es un certificado EV?
El certificado de validación extendida (EV SSL Certificate) es un certificado expedido de conformidad con las directrices de validación extendidas definidas por el CA/Browser Forum.
Cuando se establece una conexión segura con un servidor que tiene un certificado EV, el navegador incluye una señal visual (barra verde en el navegador), lo que es un signo de credibilidad, incluso para el usuario más inexperto. Se suele mostrar, además del icono del candado, alguna información adicional como el nombre de la empresa.
¿Qué tipo de certificado necesito?
Puede encontrar la respuesta a ¿Qué tipo de certificado necesito? en la Guía para administradores de TCS-g5.
¿Cómo creo una CSR?
Sectigo dispone de unas Guías para la creación de CSRs que puede consultar.
¿Por qué mi CSR da error?
- Asegúrate de que estás subiendo una CSR y no un certificado. Debe comenzar por
-----BEGIN CERTIFICATE REQUEST----- - Revisa que no haya espacios en blanco o saltos de línea antes de
-----BEGIN CERTIFICATE REQUEST----- ni después del contenido de la CSR, tras
Servicio TCS
Evolución del servicio de certificados digitales
¿Cómo ha sido la evolución histórica del servicio de certificados digitales de RedIRIS?
Evolución histórica del servicio
Alta de institución
Para más información se recomienda la lectura de los requisitos para el acceso al servicio en la página de alta en el servicio TCS
HCM - HARICA CertManager Portal
¿Cómo accedo a HCM?
Puede acceder a https://cm.harica.gr.
Certificados
CAs del servicio TCS
Aquí puede encontrar las CAs del servicio TCS
¿Cómo solicitar certificados que utilice sha256?
Si fuese necesario un certificado de este tipo, se recomienda contactar con el servicio de soporte de HARICA para ver si pueden emitirlo.
¿Cómo solicito un certificado wildcard?
Los certificados comodín se pueden solicitar mediante los procesos habituales. Si solicita un comodín (p. ej., *.institucion.es), no es necesario incluir también institucion.es en la solicitud.
¿Cómo solicito un certificado con varios wildcards?
Puede solicitarse un certificado y añadir todos los wildcards que se deseen como SANs. Puede verse un ejemplo de un certificado de este tipo en *.uchceu.es que lleva varios SANs como *.acdp.es, *.ceu.es, *.ciclosformativosceu.es,...
¿Qué tipo de certificado tengo que pedir para eduroam?
GEANT dispone de una página con una serie de comentarios sobre el tema.
¿Pueden coexistir dos certificados con el mismo DN?
Sí. No hay ningún problema en que se soliciten varios certificados con el mismo DN.
¿Pueden convivir 2 certificados para el mismo nombre FQDN, o debo revocar uno para solicitar el segundo?
Pueden convivir N certificados para un mismo FQDN
¿Se pueden solicitar certificados con longitud de clave de 1024 bits?
No.
¿Son válidos los certificados de servidor de TCS para sedes electrónicas?
Sí, por supuesto. La Ley 40/2015 indica: "Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, certificados reconocidos o cualificados de autenticación de sitio web o medio equivalente.". Así pues, un certificado de servidor de TCS es perfectamente válido para la web de una sede electrónica.
El eIDAS establece condiciones sobre los certificados cualificados de autenticación de sitios web, pero no exige que una sede electrónica utilice uno de estos certificados.
En cualquier caso, siempre es mejor utilizar un certificado válido, reconocido por todas las plataformas y dispositivos y con la máxima confianza (EV), que otorga la máxima confianza al usuario, que un certificado con ciertos atributos internos, que le gusta mucho a los auditores/consultores, pero que provoca advertencias de seguridad en algunas plataformas.
No hay que confundir los certificados utilizados para el frontal web con los certificados de sello electrónico. Estos últimos no están contemplados en TCS.
Quiero firmar una aplicación Java utilizando el certificado de firma de código. ¿Cómo lo hago?
Si tienes un PKCS12 ya puedes utilizarlo como almacén (keystore) en Java. Quizás sea lo más cómodo.(p>
Para ver el alias de tu certificado:
keytool -list -v -storetype PKCS12 -keystore <ficheroPKCS12>
Para firmar un JAR:
jarsigner -storetype PKCS12 -keystore <ficheroPKCS12> -signedjar <ficheroFirmado.jar> <ficheroOriginal.jar> <aliasCertificado>
Se recomienda no usar certificados que contengan tilde, eñes, ... ya que se han dado casos en los que el jarsigner no los interpreta bien, y tras firmar el applet, los navegadores no consiguen ejecutar el applet por errores de utf8.
Validaciones y verificaciones
¿Cómo realizo la validación DCV de dominios?
Recibirás un mail a alguna de las direcciones siguientes: webmaster@, administrator@, admin@, hostmaster@, postmaster@ de los dominios que estés intentando validar.
En caso de que no dispongas acceso a ninguna de ellas tienes 2 opciones, solicitar que te habiliten el acceso a alguna de ellas o incorporar tu dirección de correo al campo de contacto administrativo o técnico asociados al dominio en su registro del Whois.
Verificación de CAA. ¿Cómo funciona?
Otras cuestiones
FAQs en GÉANT
GÉANT mantiene unos FAQs que puede consultar:
- TCS 2025 FAQ - HARICA
- TCS 2020 FAQ - Sectigo
- TCS 2015 FAQ - DigiCert
Más dudas
Si tiene una duda, pero no está resuelta en este FAQ, o en la Guía para administradores de TCS-g5, puede envíarnosla para que podamos resolverla y añadirla al mismo.