20110523

Instalando los certificados de FNMT en un iPhone

Sí, es posible utilizar los certificados emitidos por la FNMT desde el navegador Safari de un iPhone, sin embargo, se debe de tener en cuenta los riesgos que esto implica; no es posible (o al menos yo no he encontrado la opción ni ninguna referencia en los manuales) proteger con contraseña, una vez en el teléfono, el acceso a las claves privadas.
Por tanto, cualquier persona a la que permitamos acceder al móvil y a su navegador podría suplantarnos accediendo a cualquier página web que lo soporte. Así que, si alguien decide hacer esto, debería tener un cuidado extremo con permitir a nadie usar su teléfono móvil, además de asegurarse de utilizar una clave de bloqueo compleja (algo más que una clave numérica), y configurarlo para que se bloquee de forma automática.

Por esta razón, no recomendamos a nadie que siga estos pasos, salvo para algún tipo de uso experimental y temporal.

Una vez realizada la advertencia, empezamos con las instrucciones.


Creación de un perfil de configuración para iPhone
Lo que vamos a hacer es usar el mismo sistema que se se utiliza para instalar credenciales de acceso para una empresa, (para Exchange, VPN, etc.). Para ello, necesitamos tener instalada la "Utilidad de configuración iPhone" que se puede obtener de forma gratuita desde la web de soporte de  Apple: http://support.apple.com/kb/DL851?viewlocale=es_ES

Una vez instalada, necesitaremos también lo siguiente:
Certificado raíz clase 2 CA de FNMT (FNMT Clase 2 CA)
Certificado raíz de la RC-FNMT (AC RAIZ FNMT RCM)
- Certificado y clave privada de la identidad que queramos usar, asociados a una persona y un DNI concretos (aquí se explica cómo obtenerlo)

En mi caso, tengo todo en el sistema de llaveros (keychain) de Mac OS X, así que los exportaremos desde ahí.

Comenzamos con los certificados raíz. Habrá que exportar cada uno por separado a un archivo .cer distinto.




Después exportamos los certificados y claves privadas asociadas a mi identidad, usando un archivo .p12 y poniendo una contraseña segura. NUNCA se debería exportar esta información a un archivo sin contraseña.


Ahora abrimos la Utilidad Configuración iPhone y creamos un nuevo perfil de configuración.

Dentro de las opciones disponibles, elegiremos la categoría "Credenciales", e iremos añadiendo los certificados raíz y luego las credenciales de la identidad a usar.

Instalación del perfil
Una vez añadidos todos los certificados y claves necesarios, exportamos a un mensaje de correo la configuración. También sería posible, por ejemplo, exportar la configuración a un fichero y colgar este en una página web pero, como ya tengo configuradas cuentas de correo en el teléfono, esto es más rápido  y cómodo.

Ahora abrimos el mensaje de correo en el teléfono y pulsamos sobre el fichero de configuración adjunto. Esto lanzará automáticamente la app de ajustes que iniciará el proceso de instalación del perfil de configuración.

Tras comprobar que el perfil es el correcto, pulsamos en instalar.
  

Se nos informa de los certificados que se instalarán.

Introducimos la clave de bloqueo del teléfono.


Introducimos la contraseña que usamos al guardar antes el archivo .p12.

Ya está. Ahora podremos usar los certificados. Notar que desde esta misma opción de la aplicación de ajustes podremos borrar el perfil en el futuro si así lo quisiéramos.
 


Un ejemplo accediendo a la web de verificación del certificado de FNMT.


Notas
Es posible que haya problemas si se intentan utilizar directamente los archivos .der y .cer disponibles para descarga en la web de FNMT. Si así fuera, se puede solucionar importándolos a un llavero de Mac OS X y luego exportándolos de nuevo. Este proceso vuelve a empaquetar el certificado en un archivo, y suele corregir el fallo. Si no fuera así, se pueden exportar primero a formato .pem y luego volver a importar y exportar en formato .cer.

Insistimos en el tremendo riesgo que supone el que no se pueda proteger el acceso a la clave privada a través de una contraseña específica y depender únicamente de la contraseña de bloqueo del teléfono.

No hemos podido probar qué sucede al intentar instalar varias identidades distintas, pero la documentación nos hace sospechar que sólo una de ellas funcionaría.

Para más información se pueden consultar las páginas de Apple de recursos para el uso de iPhone en la empresa:

No hay comentarios:

Publicar un comentario en la entrada