ANEXO E: TABLAS COMPLEMENTARIAS A LA CONFIGURACIÓN DE LA JERARQUÍA DE FP

Transcripción

1 ANEXO E: TABLAS COMPLEMENTARIAS A LA CONFIGURACIÓN DE LA JERARQUÍA DE FP En este anexo se incluyen nueve tablas que complementan la explicación y configuración final de la Jerarquía de Certificación de Firmaprofesional, a estas tablas se les referencia por su nombre a lo largo del capítulo 4 de la memoria. A continuación se muestran todas ellas. 114

2 1. OPCIONES DE CONFIGURACIÓN DEL PERFIL DE CERTFICADO OPCIONES DE CONFIGURACIÓN DEL PERFIL DE CERTFICADO Opción Descripción Validity Se especifica el tiempo de validez del certificado en días. Allow validity override Esta casilla se habilita si se quiere que la validez sea sobreescribible para un usuario cuando solicite el certifiado o para una CA en la página de creación de CAs. Use Basic Constraints Se habilita si se quiere que se use esta extensión en el certificado. Se genera automáticamente el valor CA:False o CA:True dependiendo de si el perfil se usa para crear una entidad final o una CA. Basic Constraints Critical Se habilita si se quiere que esta extensión sea crítica. Use Path Length Constraint Se habilita si se quiere que aparezca el componente pathlen de esta extensión. Debe aparecer solo si el certificado pertenece a una CA. Path Length Constraint Se especifica el valor de dicho componente, que es el número máximo de CAs intermedias que puede tener la CA. Use Key Usage Se habilita si se quiere que se use esta extensión en el certificado. Key Usage Critical Se habilita si se quiere que esta extensión sea crítica. Use Subject Key ID Use Authority Key ID Use Subject Alternative Name Se deben habilitar si se quiere que estas extensiones aparezcan en el certificado. Este ID se obtiene a partir del hash de la clave pública. Se habilita si se quiere que se use esta extensión en el certificado. Subject Alternate Name Critical Se habilita si se quiere que esta extensión sea crítica. Use Subject Directory Attributes Se habilita si se quiere que se use este campo. Se configura en el perfil de entidad final. Use CRL Distribution Point (CDP) Se habilita si se quiere que aparezca el CDP en el certificado. CRL Distribution Point Critical Se habilita si se quiere que esta extensión sea crítica. Use CA defined CRL Dist. Point Se habilita si se quiere que se utilice el CDP definido en la CA que emite el certificado, si no se habilita el CDP se definirá en el perfil de certificado. CRL Distribution Point URI Si el campo anterior está deshabilitado en éstos dos se definen la URI y el CRL Issuer. El primero contiene normalmente la URL de donde se obtienen las CRLs de la CA que emitió el certificado y el segundo el DN de esta CA. Es responsabilidad del CRL issuer Use OCSP Service Locator administrador codificar el CRL issuer correctamente. Se habilita si se quiere que la URI del servicio OCSP aparezca en el certificado. Use CA defined OCSP locator Se habilita si se quiere que se utilice la URI del servicio OCSP definida en la CA que emite el certificado, si no se habilita se definirá en el perfil de certificado. OCSP Service Locator URI Si el campo anterior está deshabilitado aquí se especifica la URI del servicio OCSP (que normalmente es una URL). Use Certificate Policies Se habilita si se quiere que se use esta extensión en el certificado. Certificate Policies Critical Se habilita si se quiere que esta extensión sea crítica. Certificate Policy Id Se define el oid de la política de certificación de los certificados que se emitirán con este perfil. Si no se usa ninguna política en especial usar la (anypolicy OID). CPS Se especifica la URL de donde se obtiene la CPS que define las políticas de certificación. User Notice Text Se escribe el texto que se desea que comente la política definida. Use Qualified Certificate Statement Se habilita si se quiere que se implementen en el certificado los componentes de la extensión QC-statement definidos en el RFC Qualified Certificate Statement Critical Se habilita si se quiere que la extensión sea crítica. Use PKIX QCSyntax-v2 Si se habilita se usa la versión 2 (RFC 3739 ), si no, se usa la versión 1 (RFC 3039 ). Semantics Id Segun el RFC 3739 este componente debe contener un OID que defina los atributos y nombres de los campos y extensiones de los certificados. RA Name Si se habilita, este componente contendrá el nombre de una o más RAs responsables del registro de los atributos y nombres asociados al sujeto a quién se emite el certificado. Use ETSI QC Compliance Componente defiinido en la norma ETSI TS Si se habilita, el certificado expresará que los certificados que se emitan con este perfil son qualified certificates. Use ETSI Secure Signature Creation Device Componente defiinido en la norma ETSI TS Si se habilita, el certificado expresará que su clave privada reside en un DSCF. Use ETSI transaction value limit Componente defiinido en la norma ETSI TS Si se habilita se especificará el límite del valor de las transacciones en los 3 campos siguientes. Value Limit Currency La moneda en la que se establece el límite en formato ISO Value Limit Amount La cantidad de este límite en números enteros. Value Limit Exponent El exponente de la potencia de 10 que multiplicada a la cantidad anterior dará el valor final del límite. Use Custom QC-statement String Si se habilita se puede definir un QC-statement propio que se incluirá en la extensión. Custom QC-statement OID El OID de este QC-statement. Custom QC-statement Text El texto descriptivo de este QC-statement. Key usage Se seleccionan los Key Usage que se desean para este perfil. Ver Anexo C. Allow Key Usage Override Si se habilita esta opción el uso de la clave dejará de estar controlado por el perfil de certificado y el usuario podrá sobreescribirlo cuando solicite el certificado. Use Extended Key Usage Se habilita si se quiere que se use esta extensión en el certificado. Extended Key Usage Critical Se habilita si se quiere que esta extensión sea crítica. Extended Key Usage Se seleccionan los Extended Key Usage que se desean para este perfil. Ver Anexo C. Use MS Template Value Se habilita esta extensión de Microsoft si se expedirán certificados a Domain Controllers. Microsoft Template Value Se escoge el valor Domain Controller que añade la extensión MS Template Value Domain Controller Use CN Postfix Se habilita si se quiere concatenar algún texto fijo al CN del sujeto dueño del certificado. CN Postfix El texto escrito aquí será añadido luego de lo que haya en el primer campo DN. Use a Subset of Subject DN Se habilita si se quiere definir en este perfil qué campos se usarán en el Distinguished Name (DN) del sujeto. Subset of SubjectDN Se escogen los campos del DN que tendrán los sujetos de certificado emitido con este perfil. Ver Anexo C. Use a Subset of Subject Alt. Name Se habilita si se quiere definir en este perfil qué campos se usarán en el Nombre Alternativo del Sujeto. Subset of Subject Alt. Name Se escogen los campos del nombre alternativo que tendrán los sujetos de certificado emitido con este perfil. Ver Anexo C. Available bit lengths Se seleccionan las longitudes en bits del par de claves que estarán disponibles a la hora de crear el certificado desde la public web. Se puede escoger entre: 0; 192; 239; 256; 384; 512; 1024; 2048 y 4096 bits. Available CAs Las CAs que se elijan son las que podrán usar este perfil de certificado, si se elige ANY CA cualquier CA podrá utilizar el perfil. Se muestra la lista de CAs que tiene EJBCA. Publishers Se elige el publisher que se encargará de publicar los certificados y CRLs, aparecerán como disponibles los que se hayan configurado previamente. Para los tipo Root CA y Sub CA esta opción aparece deshabilitada por defecto. Type Se escoge entre End Entiy, Sub CA o Root CA según sea el caso. 115

3 2. OPCIONES DE CONFIGURACIÓN DEL PERFIL DE ENTIDAD FINAL Username Password Opción Batch generation (clear text pwd storage) Subject DN Fields Subject Alternative Name Fields Reverse Subject DN and Subject Alt Name Checks Domain Subject Directory Attribute Fields Certificate Validity Start Time Certificate Validity End Time Default Certificate Profile Available Certificate Profiles Default CA Available CAs Default Token Available Tokens Types: Administrator Send Notification Notification Sender Notification Subject Notification Message Printing of user data Printer Name Printed Copies Current Template Upload Template OPCIONES DE CONFIGURACIÓN DEL PERFIL DE ENTIDAD FINAL Descripción Se habilita si se requerirá un nombre de usuario para la entidad final. Se habilita si se requerirá un password para el nombre de usuario. Si se habilita la casilla "Autogenerated" EJBCA autogenerará un password, el cual no se mostrará nunca pero podrá ser enviado al usuario vía mensaje de notificación. Si se habilita, EJBCA podrá generar el certificado y el par de claves del usuario directamente sin necesitar la intervención de la entidad final. Esto implica que el password anterior se guardarä en texto plano en la base de datos. Se seleccionarán los campos del DN del sujeto que se necesiten según el perfil que se está configurando. Cuando se edite el perfil también es posible quitar los campos que no se necesitan. Ver Anexo C. También es posible seleccionar los nombres alternativos del sujeto que se necesiten según el perfil que se configure. EJBCA soporta varios estándares de nombres alternativos (Ver Anexo C) incluido el RFC822Name que es el más utilizado, si se selecciona la casilla "Use entity field" se cogerá el contenido del campo Domain. Se habilita la revisión del orden del Subject DN y del Subject Alt Name. En este campo se configura el de la entidad final, se puede establecer un valor por defecto para el dominio de . También se puede configurar que tanto el campo address del DN como el campo RFC822name del Subject Alternative Name obtengan su valor de este campo. Se configuran los campos que tendrá esta extensión (Date of birth, Gender, etc). Aparecerán en el certificado si en el perfil de certificado se ha habilitado esta extensión. Estas opciones adicionalmente permiten añadir una hora de comienzo y fin de la validez de los certificado que se creen con este perfil. Se selecciona el perfil de certificado que por defecto corresponderá a este perfil de entidad final. Se seleccionan los perfiles de certificado que aparecerán disponibles para escoger a la hora de añadir una entiidad entidad final. Se selecciona la CA que por defecto emitirá certificados utilizando este perfil. Se seleccionan las CAs que que aparecerán disponibles para escoger, que son las que podrán emitir el certificado de entidad final. Se selecciona el tipo de token de almacenamiento de claves que se generará por defecto al utilizar este perfil. Se seleccionan los tokens que aparecerán disponibles para escoger a la hora de añadir una entidad final. EJBCA soporta los tipos P12, JKS, PEM y User Generated (hard token). Se habilita si el usuario creado con este perfil será un usuario administrador de EJBCA. Se puede habilitar el envío de notificaciones a entidades finales. Se especifica el del enviador. Se especifica el asunto del . Se especifica el mensaje que se enviará. Se pueden usar variables de sustitución dinámica, esto está explcado en el manual de usuario de la herramienta. Permite imprimir los datos de un usuario cuando es añadido o editado. Se escoge la impresora en la que se realizará la impresión. El numero de copias que se hará. La plantilla SVG que se utilizará para la impresión. Permite cargar una plantilla SVG diferente a las que EJBCA muestra por defecto. 116

4 3. CONTENIDO DE LOS CERTFICADOS DE LAS CAs DE FP CONTENIDO DE LOS CERTFICADOS DE LAS CAs DE FP Campos básicos CA Raíz CA Subordinada Versión 3 Serial Number 0x01 0x7c Signature Algorithm Issuer DN notbefore jueves, 25 / octubre / :00:00 GMT+2 jueves, 27 / marzo / :51:38 GMT+2 notafter viernes, 25 / octubre / :00:00 GMT+2 martes, 26 / marzo / :00:00 GMT+2 Subject DN Subject Public Key Info Extensiones X.509v3 X509v3 Private Key Usage Period sha1withrsaencryption C=ES, E=ca@firmaprofesional.com, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion Firmaprofesional CIF A C=ES E=ca@firmaprofesional.com, L=C/ Muntaner 244 Barcelona, CN=Autoridad de Certificacion Firmaprofesional CIF A notbefore: jueves, 25 / octubre / :00:00 GMT+2 notafter: viernes, 25 / octubre / :00:00 GMT+2 RSAEncryption (2048 bit) C = ES, E=ca1@firmaprofesional.com, L=C/ Muntaner 244 Barcelona, OU=Jerarquia de Certificacion Firmaprofesional, OU=Consulte O=Firmaprofesional S.A. NIF A , X509v3 Authority Key Identifier keyid: 33 0b a0 66 d1 ea da ce de b5 14 7f X509v3 Subject Key Identifier 33 0b a0 66 d1 ea da ce de b5 14 7f b7 b7 CertIssuer: DirName: E=ca@firmaprofesional.com, CN=Autoridad de Certificacion Firmaprofesional CIF A L=C/ Muntaner 244 Barcelona, C=ES 8b S50 i57 l 01 5a c1 bd a6 b7 e5 85 5d c3 dd b6 b d2 X509v3 Issuer Alternative Name URI: X509v3 Subject Alternative Name URI: URI: X509v3 Basic Constraints critical; CA:TRUE, pathlen:1 critical; CA:TRUE, pathlen:0 X509v3 Key Usage critical; Certificate Sign, CRL Sign critical; Certificate Sign, CRL Sign Netscape Cert Type SSL CA, S/MIME CA, Object Signing CA Netscape CA Policy Url X509v3 CRL Distribution Points URI: X509v3 Certificate Policies Policy: CPS: 117

5 4. CONFIGURACIÓN DE LOS PERFILES DE CERTIFICADO DE LAS CAs CREADAS CONFIGURACIÓN DE LOS PERFILES DE CERTIFICADO DE LAS CAs CREADAS Perfiles de Certificado Opción de Configuración CAraiz-sw CAsub-sw Validity (days) Allow validity override Use Basic Constraints Basic Constraints Critical Use Path Length Constraint Path Length Constraint 1 0 Use Key Usage Key Usage Critical Use Subject Key ID Use Authority Key ID Use Subject Alternative Name Subject Alternate Name Critical Use Subject Directory Attributes Use CRL Distribution Point (CDP) CRL Distribution Point Critical Use CA defined CRL Dist. Point CRL Distribution Point URI CRL issuer Use OCSP Service Locator Use CA defined OCSP locator OCSP Service Locator URI Use Certificate Policies Certificate Policies Critical Certificate Policy Id CPS ps/cps.htm User Notice Text Use Qualified Certificate Statement Qualified Certificate Statement Critical Use PKIX QCSyntax-v2 Semantics Id RA Name Use ETSI QC Compliance Use ETSI Secure Signature Creation Device Use ETSI transaction value limit Value Limit Currency Value Limit Amount Value Limit Exponent Use Custom QC-statement String Custom QC-statement OID Custom QC-statement Text Key usage Allow Key Usage Override Key certificate sign; CRL sign Use Extended Key Usage Extended Key Usage Critical Extended Key Usage Use MS Template Value Microsoft Template Value Use CN Postfix CN Postfix Use a Subset of Subject DN Subset of SubjectDN ; CN; L; C ; CN; OU; O; L; C Use a Subset of Subject Alt. Name Subset of Subject Alt. Name Available bit lengths Available CAs Publishers Type Root CA Uniform Resource Id 512; 1024; 2048; 4096 AnyCA Sub CA 118

6 5. CREACIÓN DE LAS AUTORIDADES CERTIFICADORAS Type of CA CA Token Type Authentication Code Enable auto-activation of CA token Signing Algorithm RSA key size ECDSA key spec Subject DN Opciones CREACIÓN DE LAS AUTORIDADES CERTIFICADORAS Autoridades certificadoras Descripción FP_CAroot FP_CA1 Siempre será X,509. Si se elige el token SOFT las claves se guardarán en un fichero P12 en Soft la base de datos y si se elige PKCS#11 en un HSM. Este código es la palabra clave del fichero P12, se puede escribir uno o dejar en blanco si se quiere que sea el configurado en ca.keystorepass de conf/ejbca.properties. Si se habilita, el código se guarda de manera que el token se pueda activar automáticamente cada vez que se reincie el servidor. Si se se usa el código por defecto esta opción siempre está activada. Con este algoritmo la CA firmará los certificados que emita. SHA1withRSA Si el algoritmo usa RSA, determina el tamaño de la clave RSA de las 2048 claves de firma de la CA. Solo válido para SOFT tokens. Si el algoritmo usa ECDSA determina la especificación de la curva elíptica de las claves de firma de la CA. E=ca@firmaprofesional.com, CN=Autoridad de Certificacion El nombre distintivo de esta CA. Se escribe en formato <campo Firmaprofesional CIF A , DN>=<valor>, si hay más de un campo se separan por comas. Ver L=C/ Muntaner 244 Barcelona, Anexo C. C=ES E=ca1@firmaprofesional.com, CN=AC Firmaprofesional - CA1, OU=Jerarquia de Certificacion Firmaprofesional, OU=Consulte O=Firmaprofesional S.A. NIF A , L=C/ Muntaner 244 Barcelona, C=ES Signed By La CA que firmará el certificado de esta CA, también se puede elegir SELF SIGNED o EXTERNAL CA. FP_RootCA Certificate Profile El perfil de certificado que se usará para generar el certificado de la CA. CAraiz-sw CAsub-sw Validity El periodo de validez en días de esta CA Description El texto descriptivo que se quiera poner. Use Subject Alternative Se escriben en formato <estándar>=<valor>, si es más de uno se Name separan por comas. Ver Anexo C. URI: Policy Id Si se deja en blanco se usará la política definida en el perfil de certificado. Use UTF8 in policy text Se habilita si se quiere usar el estándar de codificación de User Notice Text (extensión Certificate Policies) que es UTF8. Use PrintableString Se habilita si se quiere usar esta antigua codificación en el DN por encoding in DN compatibilidad, lo estándar ahora es UTF8. Use LDAP DN order Si se habilita, en los certificados que emita se usará el orden LDAP (estándar) para el DN y si no se usará el orden X.500. CRL Specific Data: Use Authority Key Id Si se quiere que la extensión aparezca en las CRLs emitidas. Authority Key Id Critical Si se quiere que sea crítica. Use CRL Number Si se quiere que la extensión aparezca en las CRLs. CRL Number Critical Si se quiere que sea crítica. CRL Expire Period La cantidad de horas que la CRL será válida CRL Issue Interval Cada cuantas horas se generará una CRL, así aun no haya expirado. 0 0 CRL Overlap Time Cuantos minutos antes de que la CRL expire se debe emitir la nueva. 2 2 CRL Publishers Se escoge el publicador (previamente creado). LDAP_FP Default CRL Dist. Point Este CDP es el que usará por defecto la CA, aparecerá en los certficados URI: URI: de entdad final y en las CRL que emita. aprofesional.crl nal1.crl Default CRL Issuer Este CRL Issuer es el que usará por defecto la CA. Es responsabilidad del administrador codificarlo correctamente. Default OCSP Service Locator La URL es la que usará la CA por defecto para referirse a la ubicación de este servicio. No se usa el servicio OCSP Other Data: OCSPService Cada servicio se puede habilitar o deshabilitar en función de lo que se XKMS Service quiera. CMS Service Approval Settings No se usan Approvals Approvals permite configurar acciones que necesiten la aprobación de Number of Required otros administradores. FP no lo utilizará. 1 1 Approvals Si se habilita, la entidad final pasará de estado NEW a GENERATED y su Finish User password será removido. Si no, no sucederá lo anterior y podrá obtener tantos certificados como quiera desde la public web. 119

7 6. CONTENIDO DE LOS CERTIFICADOS RECONOCIDOS EMITIDOS POR FP CONTENIDO DE LOS CERTIFICADOS RECONOCIDOS EMITIDOS POR FP CP de Colegiado CP de Persona Vinculada CP de Factura Electrónica CP de Persona Jurídica CP de Firma Móvil Campos básicos En DSCF En Software En DSCF En Software En DSCF En Software En DSCF En Software En DSCF Version 3 Serial Number <nº de serie> Signature Algorithm sha1withrsaencryption Issuer DN CN=AC Firmaprofesional - CA1, O=Firmaprofesional S.A. NIF A , OU=Jerarquia de Certificacion Firmaprofesional, OU=Consulte L=C/ Muntaner 244 Barcelona, E=ca1@firmaprofesional.com, C = ES notbefore <fecha de inicio de validez, tiempo UTC> notafter <fecha de fin de validez, tiempo UTC> Subject DN CN=<Nombre y Apellidos del suscriptor> CN=<Nombre y Apellidos [/ num.: <# colegiado>]> E=< del suscriptor> O=<Nombre de la RA [/ código RA][/ número RA]> OU=Colegiado <u otro estatus> T=<titulo o especialidad del suscriptor> ST=<Ambito geográfico del suscriptor> C=<País, 2 letras según ISO 3166, por defecto ES> serialnumber=<nif NIE cod_país-pnum_documento> SN=<Apellidos del suscriptor> GN=<Nombre de suscriptor> CN=<Nombre y Apellidos del suscriptor> E=< del suscriptor> O=<Entidad vinculada [/ código RA][/ número RA]> =<CIF de entidad vinculada> OU=<departamento tipo de vinculación> T=<cargo titulo rol> ST=<Ambito geográfico del suscriptor> C=<País, 2 letras según ISO 3166, por defecto ES> serialnumber=<nif NIE cod_país-pnum_documento> SN=<Apellidos del suscriptor> GN=<Nombre de suscriptor> CN=<Nombre y Apellidos del suscriptor> E=< del suscriptor> O=<Entidad facturadora [/ código RA][/ número RA]> =<CIF de entidad facturadora> OU=<departamento tipo de vinculación> T=<cargo titulo rol> ST=<Ambito geográfico del suscriptor> C=<País, 2 letras según ISO 3166, por defecto ES> serialnumber=<nif NIE cod_país-pnum_documento> SN=<Apellidos del suscriptor> GN=<Nombre de suscriptor> CN=<Razón social> serialnumber=<nif cod_país-p-num_documento> E=< del solicitante> ST=<Ambito geográfico de la entidad> C=<País, 2 letras según ISO 3166, por defecto ES> =<NIF del responsable> SN=<Apellidos del suscriptor> GN=<Nombre de suscriptor> E=< del suscriptor> O=<Entidad vinculada [/ código RA][/ número RA]> C=<País, 2 letras según ISO 3166, por defecto ES> serialnumber=<nif NIE cod_país-pnum_documento> SN=<Apellidos del suscriptor> GN=<Nombre de suscriptor> TelephoneNumber=<Código ICCID de la tarjeta del suscriptor> Public Key Algorithm RSA Public Key RSAEncryption 2048 bit Extensiones X.509v3 X509v3 Subject Alternative Name X509v3 Issuer Alternative Name X509v3 Basic Constraints X509v3 Key Usage: critical X509v3 Extended Key Usage X509v3 Subject Key Identifier X509v3 Authority Key Identifier X509v3 Authority Inform. Access X509v3 CRL Distribution Points X509v3 Certificate Policies Policy: User Notice: < del suscriptor> URI: critical; CA:FALSE Digital Signature; Non-repudiation; Key encipherment; Data encipherment; Key agreement Protection; Client Authentication <key identifier> keyid: 8b a c1 bd a6 b7 e5 85 5d c3 dd b6 b d2 CA Issuers: URI: CPS: Este es un certificado personal reconocido Este es un certificado personal reconocido Este es un certificado personal reconocido para la emisión de factura electrónica Este es un certificado personal reconocido Este es un certificado personal reconocido QcStatements Id-etsi-qcs-QcCompliance: Sí Sí Sí Sí Sí Id-etsi-qcs-QcSSCD: Sí No Sí No Sí No Sí No Sí id-etsi-qcs-qclimitvalue: ,00 ( ) ( ) <Mancomunado o no existe extensión> <Datos Registrales> 120

8 7. CONFIGURACIÓN DE LOS PERFILES DE CERTIFICADO DE LAS ENTIDADES FINALES Opción de Configuración Validity (days) Allow validity override Use Basic Constraints Basic Constraints Critical Use Path Length Constraint Path Length Constraint Use Key Usage Key Usage Critical Use Subject Key ID Use Authority Key ID Use Subject Alternative Name Subject Alternate Name Critical Use Subject Directory Attributes Use CRL Distribution Point (CDP) CRL Distribution Point Critical Use CA defined CRL Dist. Point CRL Distribution Point URI CRL issuer Use OCSP Service Locator Use CA defined OCSP locator OCSP Service Locator URI Use Certificate Policies Certificate Policies Critical Certificate Policy Id: x.y CPS User Notice Text Use Qualified Certificate Statement Qualified Certificate Statement Critical Use PKIX QCSyntax-v2 Semantics Id RA Name Use ETSI QC Compliance Use ETSI Secure Signature Creation Device Use ETSI transaction value limit Value Limit Currency Value Limit Amount Value Limit Exponent Use Custom QC-statement String Custom QC-statement OID Custom QC-statement Text Key usage Allow Key Usage Override Use Extended Key Usage Extended Key Usage Critical Extended Key Usage Use MS Template Value Microsoft Template Value Use CN Postfix CN Postfix Use a Subset of Subject DN Subset of SubjectDN Use a Subset of Subject Alt. Name Subset of Subject Alt. Name Used Custom Certificate Extensions Available bit lengths Available CAs Publishers Type CONFIGURACIÓN DE LOS PERFILES DE CERTIFICADO DE LAS ENTIDADES FINALES Perfiles de Certificado colegiadohw colegiadosw vinculadahw vinculadasw factura-hw factura-sw juridicahw 1095 (3 años) juridica_ juridica_ juridicasw man-hw man-sw firmamovil-hw <A definir por operador> Este es un certificado personal Este es un certificado Este es un certificado Este es un certificado reconocido para la emisión de Este es un certificado personal reconocido personal reconocido personal reconocido personal reconocido factura electrónica EUR 6 4 Digital Signature; Non-repudiation; Key encipherment; Data encipherment; Key agreement Protection; Client Authentication X509v3 Issuer Alternative Name 512; 1024; 2048; 4096 AnyCA LDAP_FP End Entity

9 8. CONFIGURACIÓN DE LOS PERFILES DE ENTIDAD FIINAL Opción de Configuración Username Password Batch generation Subject DN Fields CONFIGURACIÓN DE LOS PERFILES DE ENTIDAD FIINAL Perfiles de Entidad Final EE-colegiado EE-vinculada EE-factura EE-juridica EE-firmamovil Casillas habilitadas: Required, Modifiable Casilla habilitada: Required Casilla habilitada: Use CN (Required, Modifiable) (Required) C (Required, Modifiable), Default: ES serialnumber (Required, Modifiable) SurName (Required, Modifiable) GivenName (Required, Modifiable) TelephoneNumber ST (Required, Modifiable) (Required, Modifiable) O (Required, Modifiable) O (Required, Modifiable) (Required, Modifiable) T (Required, Modifiable) OU (Required, Modifiable), OU (Required, Modifiable) Default: Colegiado (Required, Modifiable) RFC822 Name (Casillas habilitadas: Use entity field, Required) Subject Alternative Name Fields Reverse Subject DN and Subject Alt Name Checks Domain Subject Directory Attribute Fields Casillas habilitadas: Use, Required, Modifiable No se usa Certificate Validity Start Time Certificate Validity End Time Default Certificate Profile colegiado-hw vinculada-hw juridica-hw firmamovil-hw Available Certificate Profiles Default CA Available CAs Default Token Available Tokens Types: Administrator Send Notification Notification Sender Notification Subject Notification Message Printing of user data Printer Name Printed Copies colegiado-hw, colegiado-sw vinculada-hw, vinculada-sw, juridica-hw, juridica_man-hw, factura-hw, factura-hw juridica-sw, juridica_man-sw FP_CA1 FP_CA1 P12 file User Generated, P12 file Use No se usa No se usa firmamovil-hw 122

10 9. CONTENIDO DE LAS CRLs DE FP Y DE EJBCA CONTENIDO DE LAS CRLs DE FP Y DE EJBCA Campos básicos CA Subordinada FP_CA1 Versión Signature Algorithm Issuer C = ES, E=ca1@firmaprofesional.com, L=C/ Muntaner 244 Barcelona, OU=Jerarquia de Certificacion Firmaprofesional, OU=Consulte O=Firmaprofesional S.A. NIF A , CN=AC Firmaprofesional - CA1 2 sha1withrsaencryption C = ES, E=ca1@firmaprofesional.com, L=C/ Muntaner 244 Barcelona, OU=Jerarquia de Certificacion Firmaprofesional, OU=Consulte O=Firmaprofesional S.A. NIF A , CN=AC Firmaprofesional - CA1 Last Update <fecha de emisión de la CRL, tiempo UTC> <fecha de emisión de la CRL, tiempo UTC> Next Update <fecha de emisión de la CRL + 7 días, tiempo UTC> <fecha de emisión de la CRL + 7 días, tiempo UTC> Extensiones X.509v3 X509v3 CRL number <número único de la CRL> <número único de la CRL> X509v3 Authority Key Identifier keyid: 33 0b a0 66 d1 ea da ce de b5 14 7f keyid: <Código identificador de la clave pública del b7 Sólo contiene Certificados de usuario: No Sólo contiene Certificados de la entidad emisora: No certificado obtenido a partir del hash de la misma> (EJBCA no soporta los demás componentes de esta extensión) Lista de revocación de certificados (CRL) indirecta: No X509v3 Issuing Distribution Points URI: URI: 123