martes, 8 de marzo de 2011

¿Por qué no puedo iniciar sesión en Windows con mi certificado de la FNMT?

Voy a tratar de dar una respuesta sencilla

Afirmaciones:

  • El S.O. Windows soporta el inicio de sesión (logon) con smart card de forma nativa desde su versión 2000 - VERDADERO
  • Es necesario que la smart card contenga al menos un certificado digital X.509 para hacer logon - VERDADERO
  • Cualquier smartcard o tarjeta con chip es válida para iniciar sesión - FALSO (debe ser una smartcard criptográfica preparada para almacenar y operar con certificados digitales y que disponga de "drivers")
  • Cualquier certificado digital me vale para hacer logon - FALSO (debe contener unos datos especiales para permitir al S.O. saber con que usuario se desea hacer logon y en que dominio)
  • Puedo iniciar sesión aunque no tenga instalado el Directorio Activo de Microsoft - FALSO (Es imprescindible tener instalado el Directorio Activo o bien utilizar software de otras empresas)
  • El certificado debe tener una extensión propietaria llamada UPN para iniciar sesión - VERDADERO (sirve para indicar al S.O. que usuario y dominio se usarán para hacer el logon, esta información debe incluirse al emitir el certificado y posteriormente no se puede modificar)
  • Debo instalar los "drivers" de la smartcard antes de poder usarla - VERDADERO (estos "drivers" se llaman CSP o cardmodule y contienen las instrucciones que debe usar el S.O. para comunicarse con la tarjeta. Si no se instalan me aparecerá un mensaje al insertar la tarjeta en el lector. Se obtiene de la página del DNIe www.dnielectronico.es)

Si pero....:
  • ¿Se puede usar el DNIe como smartcard para iniciar sesión? - SI (pero necesito instalar antes su módulo criptográfico y el software SmartID o IDOne de SmartAccess)
  • ¿Se puede emplear la tarjeta de la FNMT con certificado CERES Clase 2 CA para iniciar sesión? - SI (pero igualmente necesito el software SmartID de SmartAccess, estos certificados no incorporan la información de inicio de sesión Windows)
  • ¿Qué smartcard y certificado puedo usar para iniciar sesión sin tener que usar el software de SmartAccess? - Un certificado profesional que contenga la información de inicio de sesión Windows (UPN) contenido en cualquier smartcard criptográfica con drivers para Windows
  • Y ¿Quien emite estos certificados? Los puede emitir mi propia empresa poniendo en marcha una PKI o bien solicitarlos a la FNMT (certificados APE), FirmaProfesional, Camerfirma, CatCert, IZENPE, ACCV, etc. especificando el UPN o nombre de inicio de sesión del usuario en formato usuario@dominio
  • ¿Es sencillo de poner en marcha? - DEPENDE (Por suerte existe una artículo en la web de Microsoft que lo explica "Guidelines for enabling smart card logon with third-party certification authorities" o como alternativa en SmartAccess nos ofrecemos a ayudarte a montarlo.

Un saludo
Rames

No hay comentarios: