Académique Documents
Professionnel Documents
Culture Documents
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
NDICE
1 CONSIDERACIONES GENERALES .............................................................................................................. 2
1.1 OBJETO...............................................................................................................................................2
1.2 ALCANCE.............................................................................................................................................2
2 CARACTERIZACIN DE LOS PERFILES DE CERTIFICADOS DE SEDE, SELLO Y EMPLEADO
PBLICO .................................................................................................................................................................. 3
2.1 NIVELES DE ASEGURAMIENTO ...............................................................................................................3
2.2 CLASIFICACIN DE CAMPOS/TAXONOMA ...............................................................................................5
3 IDENTIFICADOR DE OBJETOS ..................................................................................................................... 7
4 IDENTIDAD ADMINISTRATIVA ...................................................................................................................... 7
4.1 SUBJECT NAME ...................................................................................................................................8
4.2 SUBJECT ALTERNATIVE NAME ..............................................................................................................9
5 GUA DE CUMPLIMENTACIN DE CAMPOS DE LOS CERTIFICADOS. ................................................... 9
5.1 SELLO ELECTRNICO PARA LA ACTUACIN AUTOMATIZADA ...................................................................13
5.2 SEDE ELECTRNICA ADMINISTRATIVA ..................................................................................................15
5.3 EMPLEADO PBLICO18
6 ALGORITMOS ............................................................................................................................................... 20
7 CERTIFICADO DE SUBCA ........................................................................................................................... 22
8 CERTIFICADO DE SEDE ELECTRNICA ADMINISTRATIVA ................................................................... 27
8.1 CAMPOS COMUNES A LOS DOS NIVELES...............................................................................................27
8.2 NIVEL ALTO .......................................................................................................................................31
8.3 NIVEL MEDIO .....................................................................................................................................33
9 CERTIFICADO DE SELLO ELECTRNICO ................................................................................................ 35
9.1 CAMPOS COMUNES A LOS DOS NIVELES...............................................................................................35
9.2 NIVEL ALTO .......................................................................................................................................39
9.3 NIVEL MEDIO .....................................................................................................................................42
10 CERTIFICADO DE EMPLEADO PBLICO .................................................................................................. 44
10.1 CRITERIOS DE COMPOSICIN DEL CAMPO CN PARA UN CERTIFICADO DE EMPLEADO PBLICO.................44
10.2 CAMPOS COMUNES A LOS DOS NIVELES...............................................................................................45
10.3 NIVEL ALTO, FUNCIONES SEGREGADAS EN TRES PERFILES DE CERTIFICADO .........................................49
10.4 NIVEL MEDIO .....................................................................................................................................59
11 CUADROS RESUMEN .................................................................................................................................. 62
12 ANEXO: PERFILES BSICOS DE INTEROPERABILIDAD PARA LOS CERTIFICADOS DE PERSONA
FSICA, PERSONA JURDICA Y ENTIDADES SIN PERSONALIDAD JURDICA, USADOS EN LAS
RELACIONES CON LA ADMINISTRACIN GENERAL DEL ESTADO .............................................................. 68
12.1 PERFILES PARA LOS CERTIFICADOS DE PERSONA FSICA, JURDICA Y ENTIDADES SON PERSONALIDAD
JURDICA ........................................................................................................................................................68
13 ANEXO: REFERENCIAS .............................................................................................................................. 73
Pgina 1 de 73
483AFA7835C0CF999551DF4992EE945D
1 Consideraciones generales
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.1 Objeto
1.2 Alcance
Se trata del documento de referencia para los certificados derivados de la Ley 11/2007, de 22
de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos, de acuerdo con
las diversas configuraciones acordadas, atendiendo a los diferentes niveles de
aseguramiento.
Segn el artculo 24.1 del Real Decreto 1671/2009, de 6 de noviembre, por el que se
desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrnico de los
ciudadanos a los Servicios Pblicos, la poltica de firma electrnica y certificados en el mbito
de la Administracin General del Estado y de sus organismos pblicos est constituida por
las directrices y normas tcnicas aplicables a la utilizacin de certificados y firma electrnica
dentro de su mbito de aplicacin.
De acuerdo al artculo 18.1 del Real Decreto 4/2010, de 8 de enero, por el que se regula el
Esquema Nacional de Interoperabilidad en el mbito de la Administracin electrnica, la
Administracin General del Estado definir una poltica de firma electrnica y de certificados
que servir de marco general de interoperabilidad para la autenticacin y el reconocimiento
mutuo de firmas electrnicas dentro de su mbito de actuacin. No obstante, dicha poltica
podr ser utilizada como referencia por otras Administraciones pblicas para definir las
polticas de certificados y firmas a reconocer dentro de sus mbitos competenciales.
Segn el artculo 18.4, los perfiles comunes de los campos de los certificados definidos por la
poltica de firma electrnica y de certificados posibilitarn la interoperabilidad entre las
aplicaciones usuarias, de manera que tanto la identificacin como la firma electrnica
Pgina 2 de 73
483AFA7835C0CF999551DF4992EE945D
generada a partir de estos perfiles comunes puedan ser reconocidos por las aplicaciones sin
ningn tipo de restriccin tcnica, semntica u organizativa. Dichos certificados sern los
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Estos perfiles aplican a los mecanismos de identificacin y firma electrnica del Real Decreto
1671/2009 previstos para la AGE; y por tanto, no afectan al hecho de que la AGE admitir
para los procedimientos administrativos electrnicos cualquier certificado reconocido emitido
en el mbito europeo de aplicacin de la Directiva de firma electrnica, y en consonancia con
las obligaciones derivadas de dicha Directiva, de la Ley 59/2003 y las que puedan derivar de
futuras regulaciones en la materia.
En este apartado se describen los campos que componen los diferentes perfiles de los
certificados de sede, sello y empleado pblico. Antes se debe tener en cuenta una serie de
cuestiones descritas a continuacin, que se tratarn como recomendaciones, las cuales
deben estar en lnea con lo dictado en la poltica concreta de certificacin.
Cada uno de los diferentes niveles conllevar un grado de confianza, debido en gran
medida a los requisitos tcnicos y de seguridad que lleve asociados cada servicio pblico
electrnico.
o Nivel medio:
Este nivel corresponde a una configuracin de mecanismos de seguridad
apropiada para la mayora de aplicaciones.
El riesgo previsto por este nivel (siguiendo la recomendacin de la OCDE):
Infraccin de seguridad (ej.: el robo de identidad)
Puede producir prdidas econmicas moderadas
Pgina 3 de 73
483AFA7835C0CF999551DF4992EE945D
Prdida de informacin sensible o crtica.
Refutacin de una transaccin con impacto econmico
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
significativo.
Asimismo, el riesgo previsto por este nivel corresponde al nivel 3 de garanta
previsto en la Poltica Bsica de Autenticacin de IDABC.
Los mecanismos de seguridad aceptables incluyen los certificados X.509 en
software. En los casos de certificados emitidos a personas, se corresponde
con el de un "certificado reconocido", como se define en la Ley 59/2003 para
firma electrnica avanzada, sin dispositivo seguro de creacin de firma.
o Nivel alto:
Este nivel corresponde a una configuracin de mecanismos de seguridad
apropiada para las aplicaciones que precisan medidas adicionales, en
atencin al anlisis de riesgo realizado.
El riesgo previsto por este nivel (siguiendo la recomendacin de la OCDE):
Infraccin de seguridad
Prdidas econmicas importantes
Prdida de informacin altamente sensible o crtica.
Refutacin de una transaccin con impacto econmico muy
significativo.
Asimismo, el riesgo previsto por este nivel corresponde al nivel 4 de garanta
previsto en la Poltica Bsica de Autenticacin de IDABC.
Los mecanismos de seguridad aceptables incluyen los certificados X.509 en
hardware. En los casos de certificados emitidos a personas, se corresponde
con el de "firma electrnica reconocida", como se define en la Ley 59/2003.
1
El certificado de cifrado es opcional.
Pgina 4 de 73
483AFA7835C0CF999551DF4992EE945D
Los certificados incluirn implcitamente, para cada perfil definido, el nivel de aseguramiento
que le corresponde mediante un identificador nico: el identificador del objeto Identidad
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Administrativa.
Hay un conjunto de campos dentro de los certificados digitales (como Subject, Key Usage...),
que segn estn definidos en los diferentes estndares, se encuentran incluidos en
extensiones opcionales, si bien, en el uso real de certificados, estos campos se emplean casi
de forma habitual ya que sin ellos, el uso de los certificados no sera completo/correcto.
De todos los campos y extensiones posibles para los certificados digitales X509 v3 indicados
en la RFC5280 se consideran recomendables todos aquellos utilizados en este documento
para describir los diferentes perfiles de certificados. Adicionalmente, existen campos y
extensiones que se consideran obligatorios para una correcta/completa adecuacin del
certificado a los perfiles derivados de la Ley 11/2007, y se marcarn en la columna R
(recomendado) con un S. No se podrn aadir ni modificar los usos de las claves
definidos en los perfiles de este documento, correspondientes al campo Key Usage. Para el
certificado de sede no se podrn establecer en el campo Extended Key Usage, usos que
impliquen la realizacin de firma electrnica (no repudio). Para el certificado de sello no se
podrn establecer en el campo Extended Key Usage, usos cuya finalidad sea la identificacin
de una maquina.
Pgina 5 de 73
483AFA7835C0CF999551DF4992EE945D
Los campos singulares acordados para identificar al certificado de sello electrnico son:
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
o Fijos:
Descripcin del tipo de certificado
Nombre de la entidad suscriptora
Nmero de Identificacin Fiscal de entidad suscriptora
o Opcionales:
Denominacin de sistema o componente informtico
Direccin de correo electrnico
Datos de identificacin personal del titular del rgano administrativo:
Nombre de pila
Primer apellido
Segundo apellido
DNI o NIE
Los campos singulares acordados para identificar al certificado de sede electrnica son:
o Fijos:
Descripcin del tipo de certificado
Nombre descriptivo de la sede electrnica
Denominacin de Nombre del dominio / direccin IP
Nombre de la entidad suscriptora
NIE de la entidad suscriptora
o Opcionales: Ninguno
Los campos singulares acordados para identificar al certificado de empleado pblico son:
o Fijos:
Descripcin del tipo de certificado
Datos de identificacin personal de titular del certificado
Nombre de pila
Primer apellido
Segundo apellido
DNI o NIE
Nombre de la entidad en la que est suscrito el empleado
NIE de la entidad
o Opcionales:
Unidad a la que est adscrito el cargo o puesto que desempea el empleado
pblico
Cargo o puesto de trabajo.
Nmero de identificacin de personal (NIP, NRP,)
Direccin de correo electrnico
Pgina 6 de 73
483AFA7835C0CF999551DF4992EE945D
3 Identificador de objetos
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Dentro de los certificados existirn campos comunes a los ya vigentes o estandarizados, ej:
commonName (cuyo objectId es 2.5.4.3) o serialNumber (cuyo objectId es 2.5.4.5). Tambin
disponen de un conjunto de campos nuevos o propietarios llamados Identidad
Administrativa, la cual identifica al Suscriptor del certificado de forma unvoca y completa.
Se utilizar el nmero ISO/IANA del MPR 2.16.724.1.3.5.X.X como base para identificarlo, de
este modo se establecera un identificador unvoco a nivel internacional, haciendo que
cualquier prestador pueda utilizarlo.
Ejemplos:
4 Identidad administrativa
Pgina 7 de 73
483AFA7835C0CF999551DF4992EE945D
b) Semntica: el uso que actualmente se le est dando al campo CommonName, es un
poco arbitrario, para evitar esta situacin se separa claramente la informacin en
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
varios OIDs (uno para nombre, otro para primer apellido, segundo apellido etc.)
Deben cumplir con la normativa RFC 5280 (x.509 Public Key Infraestructure. Certificate and
Certificate Revocation List CRL Profile)
El nombre del suscriptor para cualquier prestador de servicios de certificacin dado. Dicho
prestador podr emitir ms de un certificado al mismo suscriptor con el mismo nombre (por
ejemplo, en el periodo de renovacin del certificado).
- IETF RFC 5280: Incorpora los atributos X.520 ms habituales, para cualquier tipo de
nombre dentro del certificado.
- IETF RFC 3739: Perfila el empleo de los atributos X.520 ms habituales, para su uso
en los nombres dentro de certificados reconocidos.
Pgina 8 de 73
483AFA7835C0CF999551DF4992EE945D
4.2 Subject Alternative Name
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
La especificacin IETF RFC 5280 prev el empleo de los siguientes tipos de datos:
De todos ellos se puede contener ms de una instancia (por ejemplo, diversas direcciones de
correo electrnico).
Todos estos nombres deben ser verificados por el prestador de servicios de certificacin,
cuando se incluyan en los certificados.
Esta identidad, que denominamos "identidad administrativa ", la puede construir el prestador,
de forma que se disponga de toda la informacin de forma homognea dentro del certificado,
especialmente debido a que algunos componentes de los nombres tienen semntica
diferente, en funcin del tipo de certificado.
La finalidad de esta propuesta es la de emplear los mismos nombres para todos los
certificados, de forma que exista un marco comn. De este modo, se asignar exactamente
el mismo nombre a sellos, sedes, organizaciones, puestos y unidades, etc. para toda la
Administracin General del Estado.
En cuanto a las normas de codificacin de los campos, en general no hay reglas complejas
de nomenclatura puesto que recomendado por la RFC 5280 se usa UTF-82 string, puesto que
2
Para mas informacin ver RFC 2279 mejorada en 3629 (UTF-8, a transformation format of ISO 10646)
Pgina 9 de 73
483AFA7835C0CF999551DF4992EE945D
codifica grupos de caracteres internacionales incluyendo caracteres del alfabeto latino con
diacrticos (, , , , , , etc.) Por ejemplo, el carcter ee (), que se representa
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
en unicode como 0x00F1. Las recomendaciones que se deben seguir en todo momento
vienen descritas en la columna Formato/Observaciones dentro de cada perfil descrito en el
documento, donde se incluye: el tipo de campo, su longitud y un breve ejemplo.
Junto con las recomendaciones particulares en cada perfil, se habran de seguir los
siguientes consejos para todos los literales variables:
Todos los literales se introducen en maysculas, con las excepciones del nombre de
dominio/subdominio y el correo electrnico que estarn en minsculas.
No incluir tildes en los literales alfabticos
No incluir ms de un espacio entre cadenas alfanumricas.
No incluir caracteres en blanco al principio ni final de cadenas alfanumricas.
Se admite la inclusin de abreviaturas en base a una simplificacin, siempre que no
supongan dificultad en la interpretacin de la informacin.
A continuacin se detallan una serie listas y recomendaciones para rellenar dichos campos
junto con unas propuestas para su gestin que complementan convenientemente el perfil de
los certificados. Se comienza con una aproximacin a campos genricos que se aplican en la
mayora de los certificados.
Pgina 10 de 73
483AFA7835C0CF999551DF4992EE945D
MINISTERIO DE DEFENSA
MINISTERIO DE ECONOMIA Y COMPETITIVIDAD
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
MINISTERIO DE FOMENTO
MINISTERIO DE INDUSTRIA, ENERGIA Y TURISMO
MINISTERIO DEL INTERIOR
MINISTERIO DE JUSTICIA
MINISTERIO DE PRESIDENCIA
MINISTERIO DE SANIDAD ,SERVICIOS SOCIALES E
IGUALDAD
MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL
MINISTERIO DE HACIENDA Y ADMINISTRACIONES
PUBLICAS
FUERZAS Y CUERPOS DE SEGURIDAD DEL ESTADO
FUERZAS ARMADAS
ADMINISTRACION DE JUSTICIA
ENTIDADES PUBLICAS EMPRESARIALES Y ORGANISMOS PUBLICOS CON
REGIMEN ESPECIFICO
En cuanto a las Unidades, el campo incluido tanto en Subject como en Subject alternative
name identifica la unidad organizativa, en la que est incluido el suscriptor del certificado.
Para rellenarlo se debe tener el cuenta el formato requerido (string UTF8 [RFC 5280] size
128) siguiendo en la medida de lo posible la nomenclatura descrita en documento
Unidades.doc
Pgina 11 de 73
483AFA7835C0CF999551DF4992EE945D
CONCEPTO POSICIONES
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Este campo incluido tanto en Subject como en Subject alternative name identifica el puesto o
cargo de la persona fsica que le vincula con la Administracin, organismo o entidad de
derecho pblico suscriptora del certificado. Para rellenarlo se debe tener el cuenta el formato
requerido (string UTF8 [RFC 5280] size 128), siguiendo, en la medida de lo posible, la
nomenclatura descrita en documento vinculado Tabla descripcin puestos RCP-APE 14-11-
2007.xls adjunto. Se trata de una foto a da 14/11/07 en el Registro Central de Personal,
sujeta a variacin diaria e incluye diferentes hojas en funcin de los colectivos de personal
recogidos. Dichas descripciones estn en texto libre, excepto para personal laboral de
convenio nico.
Dentro del documento se incluyen tres hojas con las descripciones ms frecuentes de:
JEFE DE SECCION'
CONSEJERO
SECRETARIO GENERAL
JEFE DE SERVICIO
ABOGADO DEL ESTADO
DIRECTOR DE PROGRAMA
VOCAL ASESOR
ANALISTA DE SISTEMAS
ANALISTA PROGRAMADOR
OPERARIO
ADMINISTRATIVO
AUXILIAR ADMINISTRATIVO
ORDENANZA
ASESOR
JEFE DE REA
Pgina 12 de 73
483AFA7835C0CF999551DF4992EE945D
5.1 Sello electrnico para la actuacin automatizada
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Si bien el artculo 18.2 de la Ley 11/2007 determina la inclusin del nmero de identificacin
fiscal y la denominacin correspondiente, pudiendo contener la identidad de la persona titular
en el caso de los sellos electrnicos de rganos administrativos, se recomienda la insercin
de esta identidad, dada la garanta que ello ofrece a los destinatarios de las firmas y procesos
de autenticacin electrnica.
Este caso de uso consiste en la emisin de un sello de aplicacin general para todos los
sistemas y servicios de un organismo, como por ejemplo podra suceder en un sello de
Ministerio. Este uso ha de acompaarse de procedimientos de seguridad complementarios
que solventen la vulnerabilidad existente al replicar las claves e instalarlas en diferentes
servidores de aplicaciones, y que ofrezcan las mayores garantas a los ciudadanos y
administraciones receptores de las firmas electrnicas realizadas con dicho certificado.
1. En general, debe realizarse un anlisis de riesgos y del entorno, del que se derive la
posibilidad de empleo de un sello para todos los usos.
Pgina 13 de 73
483AFA7835C0CF999551DF4992EE945D
2. En estos casos, es necesario realizar la designacin conveniente el nombre del
sistema o componente informtico, dado que habra de ser generalista para englobar
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Este caso se basa en la emisin de un sello a una unidad orgnica dentro de una
organizacin como un Departamento ministerial. El certificado de sello identificara y
autenticara a dicha unidad de forma unvoca, aunque el NIF correspondiente se asociara al
organismo o Departamento ministerial del que dependiera.
3. Se recomienda emitir certificados a la unidad orgnica para su uso general, por todas
las aplicaciones, si bien resulta tambin aceptable emitir sellos especficos para
aplicaciones diferentes, cuando se acredite esta necesidad.
Otra variante consiste en designar el sello al sistema o plataforma que realiza la aplicacin de
la identificacin y firma electrnica.
Ejemplo: Denominacin de sistema o componente informtico: Registro electrnico.
Pgina 14 de 73
483AFA7835C0CF999551DF4992EE945D
5.2 Sede electrnica administrativa
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 15 de 73
483AFA7835C0CF999551DF4992EE945D
Caso I: uso de certificados de sede electrnica en granjas de servidores
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1. La primera opcin consiste en emitir un certificado para cada servidor, de forma que se
deben producir tantos certificados como mquinas fsicas existen.
Con todo, siendo la primera opcin la ms recomendable, existen otros modelos, que
resultan ms correctos, como por ejemplo crear una sede electrnica lgica, con
independencia del nmero de servidores que existan fsicamente, mediante balanceadores
de carga.
En este caso, puede existir un nico certificado de sede electrnica, pero como asume todo
el trabajo de establecimiento y gestin del canal seguro, se recomienda el empleo de bienes
de equipo criptogrficos de alta capacidad de trabajo dedicados de forma especfica.
Pgina 16 de 73
483AFA7835C0CF999551DF4992EE945D
centro de datos del prestador del servicio de hosting, o de forma posterior, con las
debidas medidas de seguridad.
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2. Una vez se haya realizado la generacin segura de las claves, se pueden solicitar los
certificados correspondientes, instalarlos e inicializar la plataforma, todo ello con
controles apropiados.
2. La segunda situacin resulta anloga a la del caso de hosting de servicios, pero con la
particularidad de que la Administracin cede tambin la gestin de claves y de
certificados a la empresa prestadora del servicio.
3. En aquellos casos en que sea preciso utilizar servicios de hosting externos que no
permitan la instalacin de los certificados de sede definidos en este documento, ya sea
por razones tcnicas o por poltica interna del prestador de servicios, se podrn utilizar
certificados que, an no cumpliendo los perfiles especificados en este documento,
identifiquen claramente la Administracin responsable, segn lo recogido en el artculo
18.1 del Real Decreto 1671/2009 En estos casos, los organismos pblicos de la AGE
velarn porque se implanten las medidas de seguridad adecuadas para garantizar la
identificacin y autenticacin de la Sede y la integridad y disponibilidad del certificado
Pgina 17 de 73
483AFA7835C0CF999551DF4992EE945D
utilizado. Esta circunstancia se har constar en la misma Sede electrnica y se
comunicar a los departamentos responsables de la gestin de certificados admitidos
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
En el caso de los certificados del personal al servicio de la AGE designado como empleado
pblico, la casustica en la asignacin de informacin a los certificados es an mayor que en
el caso de sede y sello electrnico. A ello se suma el amplio volumen de certificados a emitir
previstos y la diversidad de Prestadores que se prev que emitan dichos certificados.
Este caso de uso consiste en determinadas personas, que por razn de su cargo o puesto de
trabajo ostentan otros cargos en otros organismos dependientes o vinculados al organismo
principal, como por ejemplo sucede con el Director General de un Ministerio que es
presidente de un Ente Pblico dependiente del mismo.
Pgina 18 de 73
483AFA7835C0CF999551DF4992EE945D
En relacin con esta situacin, se pueden realizar las siguientes recomendaciones:
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Este caso de uso consiste en determinas personas que, por razn de su rol o funcin, se
encuentran habilitados para actuar en diferentes rganos u organismos, y, de forma bastante
particular, se refiere a los empleados con habilitacin nacional, como sucede con los
secretarios, interventores y tesoreros de administracin, que pueden actuar en diversos
organismos diferentes, en funcin de las necesidades.
Este caso de uso resulta similar al anteriormente presentado, con la diferencia de que, en
este caso, por tratarse de funciones transversales a diversos departamentos y, en algunos
caso, a diversas administraciones, resulta recomendable centralizar la emisin y gestin
posterior de los certificados en algn organismo, como por ejemplo, el colegio
correspondiente o en la unidad administrativa oportuna, de acuerdo con la normativa vigente.
En estos casos, no se deber posteriormente emitir certificados a estos roles, en cada uno de
los rganos u organismos en que estn temporalmente adscritos, aunque ello podr suceder
cuando se acredite la necesidad, como tambin se ha presentado anteriormente (tarjetas de
acceso fsico o lgico, por ejemplo).
Este caso de uso contempla las necesidades de gestin y uso de los certificados cuando se
necesita cifrado, dado que no es obligatorio que el sistema lo ofrezca.
Pgina 19 de 73
483AFA7835C0CF999551DF4992EE945D
claves, debern implantarse mtodos de cifrado mediante claves simtricas bajo el control
y responsabilidad de cada Administracin Pblica.
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
00001234
DNI sin letra Blanco, 1, 2 DNI 00001234-1
00001234-2
Secuencial generado por
N Desde 01/01/2003 0001234-N
el sistema Otro
Construido partiendo del documento
3, 4, 5, 6, 7, 8, 9 Antes de 01/01/2003 0001234-3
documento presentado
6 Algoritmos
A continuacin se muestran una serie de requisitos en el campo de los algoritmos, los cuales
pueden resultar interesantes para crear un marco comn entre los prestadores.
Es importante particularizar el empleo de algoritmos y sus longitudes de clave en los
diferentes perfiles propuestos para los tres certificados nuevos.
Pgina 20 de 73
483AFA7835C0CF999551DF4992EE945D
certificado. Los dos niveles de aseguramiento recogidos en apartado 2 del presente
documento se considerarn dentro de dicho escenario.
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Por lo tanto, se ofrecen las siguientes opciones, que han sido debidamente recogidas en los
casos de uso de los perfiles reflejados en el presente documento. Se distingue su aplicacin
en un nivel de aseguramiento alto y medio.
3
Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters form Secure Electronic Signatures,
Part I
Pgina 21 de 73
483AFA7835C0CF999551DF4992EE945D
Entidades finales:
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
A continuacin se describen los campos que componen los tres certificados derivados de la
Ley 11/2007 (certificado de sede electrnica, certificado de sello electrnico y certificado de
empleado pblico), dividiendo cada uno de ellos entre los niveles de aseguramiento en el que
nos encontremos (medio o alto). Dentro de cada perfil se ha dividido a su vez entre campos
propios del certificado y sus extensiones.
Tambin se propone, a modo de orientativo, un certificado de CA raz tipo para poder ser
utilizado por prestadores y Administraciones que deseen comenzar la emisin de los nuevos
perfiles de certificados.
La actualizacin de estos algoritmos y longitudes mnimas estarn dictados por las directrices
de seguridad del CCN y de la futura regulacin europea sobre firma electrnica. Estas
directrices contemplarn los periodos de migracin y de transicin.
7 Certificado de SubCA
1. X.509v1 Field -
1.2. Serial Number Nmero identificativo nico S Integer. SerialNumber = ej: 111222.
del certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20 octetos (1-
2159)
Se utilizar para identificar de manera
unvoca el certificado
1.3. Signature SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo de
Algorithm Signature , longitud de clave algoritmo. Al tratarse de un certificado
de 2048 bits o superior. raz las restricciones son mayores que
las de los dems certificados. OID
2.16.840.1.101.3.4.2
Pgina 22 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.5. Validity 12 aos (recomendado) S Los datos de validez creados antes del
2050 se codificarn utilizando UTCTime.
A partir del 2050 se utilizar la
codificacin GeneralizedTime en la cual
se utilizan dos dgitos ms para
especificar el ao (4 en lugar de 2)
1.5.2.Not After Fecha de fin de validez S Fecha fin de validez, formato: UTCTime
YYMMDDHHMMSSZ
Pgina 23 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.6.1.Country (C) Estado cuya ley rige el CN S C = p. ej: ES (PrintableString) Size [RFC
del Subject 5280] 3
1.7. Subject Public Key Clave pblica del prestador, S Campo para transportar la clave pblica
Info codificada de acuerdo con el y para identificar el algoritmo con el cual
algoritmo criptogrfico. se utiliza la clave. (String UTF8)
Pgina 24 de 73
483AFA7835C0CF999551DF4992EE945D
7.1.1 Extensiones del certificado
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2. X.509v3 Extensions -
2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.
2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.
Pgina 25 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 26 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1. X.509v1 Field -
1.2. Serial Number Nmero identificativo nico S Integer. SerialNumber = ej: 111222.
del certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20 octetos
(1- 2159)
Se utilizar para identificar de manera
unvoca el certificado
Pgina 27 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.4. Validity 3 aos (recomendado) S Los datos de validez creados antes del
2050 se codificarn utilizando
UTCTime. A partir del 2050 se utilizar
la codificacin GeneralizedTime en la
cual se utilizan dos dgitos ms para
especificar el ao (4 en lugar de 2)
Pgina 28 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.6. Subject Public Key Clave pblica de la sede, S Campo para transportar la clave
Info codificada de acuerdo con pblica y para identificar el algoritmo
el algoritmo criptogrfico. con el cual se utiliza la clave. (String
UTF8)
2. X.509v3 Extensions -
2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.
Pgina 29 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.
Pgina 30 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
A continuacin se describen los campos diferenciados para los niveles alto y medio debido a
su contenido o sus OIDs de Identidad administrativa:
8.2.1 Certificado:
1. X.509v1 Field -
1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26
Pgina 31 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 32 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Formato/Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
8.3.1 Certificado:
1. X.509v1 Field -
1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de al menos 1024 certificado de nivel alto), y longitud de
bits al menos 1024 bits. OID 1.3.14.3.2.26
Pgina 33 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 34 de 73
483AFA7835C0CF999551DF4992EE945D
9 Certificado de sello electrnico
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Indicar que, por motivos de compatibilidad, es posible la inclusin en el Common Name del
Subject ciertos atributos que pudieran ser necesarios para el tratamiento, como es el caso del
nombre de la entidad suscriptora o responsable del sello, y su NIF.
1. X.509v1 Field -
1.2. Serial Number Nmero identificativo nico del S Integer. SerialNumber = ej: 111222.
certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20
octetos (1- 2159)
Se utilizar para identificar de
manera unvoca el certificado
Pgina 35 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.3.5.Serial Number Nmero nico de identificacin NIF = NIF entidad suscriptora ej:
de la entidad, aplicable de S2833002 (Printable String) Size =
acuerdo con el pas. En Espaa, 9
NIF.
1.5. Subject Todos los campos destinados a S Segn la RFC5280 esta parte se ha
identificar/describir el de rellenar con carcter obligatorio
custodio/responsable del Segn la ETSI-QC se debe reflejar
certificado sern codificados obligatoriamente el campo Country
utilizando UTF-8
Ver RFC3739 / ETSI 101862
1.5.1.Country (C) Estado cuya ley rige el nombre, S C = p. ej: ES (PrintableString) Size
que ser "Espaa" por tratarse [RFC 5280] 3
de entidades pblicas.
Pgina 36 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.5.6.Given Name Nombre de pila, de acuerdo con Nombre de pila del responsable del
documento de identidad certificado de acuerdo con el DNI o
(DNI/Pasaporte) en caso de extranjero en el
pasaporte. (String UTF8) Size 40
p. ej: JUAN ANTONIO
1.6. Subject Public Key Clave pblica del sello, S Campo para transportar la clave
Info codificada de acuerdo con el pblica y para identificar el
algoritmo criptogrfico. algoritmo con el cual se utiliza la
clave. (String UTF8)
2. X.509v3 Extensions -
2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.
Pgina 37 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.
Pgina 38 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
A continuacin se describen los campos diferenciados para los niveles alto y medio debido a
su contenido o sus OIDs de Identidad administrativa:
9.2.1 Certificado
1. X.509v1 Field -
1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048
por tratarse de un certificado de nivel
alto. OID 1.3.14.3.2.26
Pgina 39 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.2.2.1. CPS Pointer URL de la DPC o, en S URL de las condiciones de uso ej:
su caso, documento www.minhap.es/certica/emision/dpc. Se
legal de tercero. recomienda que siempre se referencie
a travs de un link. (IA5String).
Pgina 40 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.3.2.4. DNI/NIE del DNI o NIE del O DNI/NIE responsable= ej: 00000000G
responsable responsable del Sello (String UTF8) Size = 9
OID: 2.16.724.1.3.5.2.1.4
2.3.2.6. Nombre de pila Nombre de pila del O N = Nombre de pila del responsable del
responsable del certificado de acuerdo con el DNI o en
certificado caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.2.1.6
Ej: JUAN ANTONIO
2.3.2.7. Primer apellido Primer apellido del O SN1 = Primer apellido del responsable
responsable del del certificado de acuerdo con el DNI o
certificado en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.2.1.7
ej: DE LA CAMARA
Pgina 41 de 73
483AFA7835C0CF999551DF4992EE945D
9.3 Nivel Medio
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
9.3.1 Certificado
2. X.509v1 Field -
2.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de al menos 1024 certificado de nivel alto), y longitud de
bits al menos 1024 bits.. OID 1.3.14.3.2.26
Pgina 42 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 43 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Ejemplos:
Pgina 44 de 73
483AFA7835C0CF999551DF4992EE945D
10.2 Campos comunes a los dos niveles
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1. X.509v1 Field -
1.2. Serial Number Nmero identificativo nico S Integer. SerialNumber = ej: 111222.
del certificado. Establecido automticamente por la
Entidad de Certificacin. [RFC5280]
integer positivo, no mayor 20 octetos
(1- 2159)
Se utilizar para identificar de manera
unvoca el certificado
Pgina 45 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.4. Validity 3 aos (recomendado) S Los datos de validez creados antes del
2050 se codificarn utilizando
UTCTime. A partir del 2050 se utilizar
la codificacin GeneralizedTime en la
cual se utilizan dos dgitos ms para
especificar el ao (4 en lugar de 2)
Pgina 46 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
1.6. Subject Public Key Info Clave pblica de la S Campo para transportar la clave
persona, codificada de pblica y para identificar el algoritmo
acuerdo con el algoritmo con el cual se utiliza la clave. (String
criptogrfico. UTF8)
2. X.509v3 Extensions -
2.1. Authority Key Identifier Presente, de acuerdo con S Medio para identificar la clave pblica
RFC 5280. correspondiente a la clave privada
utilizada para firmar un certificado, por
ejemplo en los casos en que el emisor
tiene mltiples claves de firma.
2.1.1.Key Identifier Presente, de acuerdo con Identificador de la clave pblica del
RFC 5280. emisor (String UTF8)
Pgina 47 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.2. Subject Key Identifier Presente, de acuerdo con S Identificador de la clave pblica del
RFC 5280. suscriptor o poseedor de claves
(derivada de utilizar la funcin de Hash
sobre la clave pblica del sujeto).
Medio para identificar certificados que
contienen una clave pblica particular
y facilita la construccin de rutas de
certificacin.
Pgina 48 de 73
483AFA7835C0CF999551DF4992EE945D
10.3 Nivel Alto, funciones segregadas en tres perfiles de certificado
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
10.3.1.1 Certificado
Campo Contenido R Observaciones
1. X.509v1 Field -
1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26
Pgina 49 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
4
Extensin generalmente utilizada por productos S/MIME
Pgina 50 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.4.2.4. DNI/NIE DNI o NIE del responsable F DNI/NIE responsable= ej: 00000000G
del (String UTF8) Size = 10
responsable
OID: 2.16.724.1.3.5.3.1.4
Se corresponde con el
NRP o NIP
2.4.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI o
en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.7
Ej: DE LA CAMARA
Pgina 51 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
10.3.2.1 Certificado
Campo Contenido R Observaciones
1. X.509v1 Field -
1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26
Pgina 52 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 53 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.5.2.4. DNI/NIE DNI o NIE del responsable F DNI/NIE responsable= ej: 00000000G
del del Sello (String UTF8) Size = 10
responsable
OID: 2.16.724.1.3.5.3.1.4
2.5.2.6. Nombre Nombre de pila del F N = Nombre de pila del responsable del
de pila responsable del certificado certificado de acuerdo con el DNI o en
caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.6
Ej: JUAN ANTONIO
2.5.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI o
en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.7
Ej: DE LA CAMARA
5
Extensin generalmente utilizada por productos S/MIME
Pgina 54 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.5.3.User Principal UPN para smart card logon O Campo destinado a incluir el smart card
Name (UPN) logon del sistema en que trabaje el
responsable del certificado.
10.3.3.1 Certificado
Campo Contenido R Observaciones
1. X.509v1 Field -
1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 2048 bits certificado raz), y longitud de 2048 por
tratarse de un certificado de nivel alto.
OID 1.3.14.3.2.26
Pgina 55 de 73
483AFA7835C0CF999551DF4992EE945D
10.3.3.2 Extensiones del certificado
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 56 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.5.2.4. DNI/NIE DNI o NIE del responsable F DNI/NIE responsable= ej: 00000000G
del del Sello (String UTF8) Size = 10
responsable
OID: 2.16.724.1.3.5.3.1.4
6
Extensin generalmente utilizada por productos S/MIME
Pgina 57 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.5.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI
o en caso de extranjero en el
pasaporte. (String UTF8) Size 40
OID: 2.16.724.1.3.5.3.1.7
Ej: DE LA CAMARA
Pgina 58 de 73
483AFA7835C0CF999551DF4992EE945D
10.4 Nivel Medio
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
10.4.1 Certificado
Campo Contenido R Observaciones
1. X.509v1 Field -
1.1. Signature Algorithm SHA-1/ SHA-2 con RSA S String UTF8 (40). Identificando el tipo
Signature y longitud de de algoritmo, (ms laxo que el del
clave de 1024 bits certificado raz), y longitud de 1024 por
tratarse de un certificado de nivel
medio. OID 1.3.14.3.2.26
Pgina 59 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
7
Extensin generalmente utilizada por productos S/MIME
Pgina 60 de 73
483AFA7835C0CF999551DF4992EE945D
Campo Contenido R Observaciones
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
2.5.2.6. Nombre Nombre de pila del F N = Nombre de pila del responsable del
de pila responsable del certificado certificado de acuerdo con el DNI o en
caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.2.6
Ej: JUAN ANTONIO
2.5.2.7. Primer Primer apellido del F SN1 = Primer apellido del responsable
apellido responsable del certificado del certificado de acuerdo con el DNI o
en caso de extranjero en el pasaporte.
(String UTF8) Size 40
OID: 2.16.724.1.3.5.3.2.7
Ej: DE LA CAMARA
2.5.2.8. Segundo Segundo apellido del F SN2 = Segundo apellido del
apellido responsable del certificado responsable del certificado de acuerdo
con el DNI o en caso de extranjero en
el pasaporte. (String UTF8) Size 40
En caso de no existir el segundo
apellido, se dejar en blanco (sin
ningn carcter).
OID: 2.16.724.1.3.5.3.2.8
Ej: ESPAOL
2.5.2.9. Correo Correo electrnico de la O Correo electrnico de la persona
electrnico persona responsable del responsable del certificado ie:
certificado juanantonio.delacamara.espanol@mpr.
es (String) Size [RFC 5280] 255
OID: 2.16.724.1.3.5.3.2.9
2.5.2.10. Unidad Unidad, dentro de la O Unidad = ej: SUBDIRECCION
organizativa Administracin, en la que GENERAL DE PROCESO DE DATOS
est incluida el suscriptor (String) Size [RFC 5280] 128
del certificado OID: 2.16.724.1.3.5.3.2.10
2.5.2.11. Puesto o Puesto desempeado por O Puesto = ej: ANALISTA
cargo el suscriptor del certificado PROGRAMADOR (String) Size [RFC
dentro de la administracin. 5280] 128
OID: 2.16.724.1.3.5.3.2.11
2.5.3.User Principal UPN para smart card logon O Campo destinado a incluir el smart card
Name (UPN) logon de Windows para el responsable
del certificado.
Pgina 61 de 73
483AFA7835C0CF999551DF4992EE945D
11 CUADROS RESUMEN
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Dentro del concepto VALORES se marcan entrecomillados y en negrita aquellos valores que
debern aparecer exactamente tal y como estn aqu expresados en los campos/
extensiones indicados.
Pgina 62 de 73
483AFA7835C0CF999551DF4992EE945D
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
SELLO Version V3
ELECTRNICO
Serial Number Nmero de serie
Issuer Distinguished Name (Country Nombre de la entidad emisora
(C), Organization (O), Organizational
Unit (OU), Common Name (CN)) Recomendado 3 aos
Signature Algorithm
CERTIFICADO Version V3
ELECTRNICO
DE EMPLEADO Serial Number Nmero de serie
PBLICO Issuer Distinguished Name (Country Nombre de la entidad emisora
(C), Organization (O), Organizational
Unit (OU), Common Name (CN)) Recomendado 3 aos
Pgina 63 de 73
483AFA7835C0CF999551DF4992EE945D
CERTIFICADO EXTENSIONES VALORES
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
OBLIGATORIAS
Pgina 64 de 73
483AFA7835C0CF999551DF4992EE945D
CERTIFICADO Authority Key Identifier Identificador de la clave pblica de la CA
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
ELECTRNICO
DE EMPLEADO Subject Key Identifier Identificados de la clave pblica del
subscriptor
PBLICO cRLDistributionPoint
(distributionPoint,) Informacin de acceso a la CRL
Authority Info Access Informacin de acceso a OCSP
(Access Method, Access
Location) Key Usage
o FIRMA ALTO: Content
Key Usage
Commitment
Extended Key Usage
o AUTENTICACIN ALTO: Digital
Qualified Certificate Signature
Statements o CIFRADO ALTO: Key
Certificate Policies (Policy Encipherment, Data
Identifier, Policy Qualifier Encipherment
ID [CPS Pointer, User o FIRMA, AUTENTICACIN Y
Notice]) CIFRADO NIVEL MEDIO: Digital
Subject Alternative Names Signature, Content
(Directory Name) Commitment, Key
Encipherment, Data
Encipherment
Extended Key Usage
o AUTENTICACIN ALTO: Email
Protection, Client
Authentication
o CIFRADO ALTO: Email
Protection, Client
Authentication
o FIRMA, AUTENTICACIN Y
CIFRADO NIVEL MEDIO: Email
Protection, Client
Authentication
Qualified Certificate Statements
o NIVEL ALTO: QcCompliance,
QcEuRetentionPeriod,
QcSSCD
o NIVEL MEDIO: QcCompliance,
QcEuRetentionPeriod
OID asignado por el PSC a la poltica bajo
la que se emite el certificado, URL de la
DPC y mensaje explcito.
IDENTIDAD ADMINISTRATIVA
EMPLEADO PUBLICO
Pgina 65 de 73
483AFA7835C0CF999551DF4992EE945D
CERTIFICADO CAMPOS VALORES
RECOMENDABLES
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 66 de 73
483AFA7835C0CF999551DF4992EE945D
CERTIFICADO Tipo de certificado OID: 2.16.724.1.3.5.3.x.1 = certificado
ELECTRNICO Nombre de la entidad electrnico de empleado pblico
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Pgina 67 de 73
483AFA7835C0CF999551DF4992EE945D
12 ANEXO 1: Perfiles bsicos de interoperabilidad para los certificados de
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Ante la falta de unos perfiles interoperables de persona fsica, jurdica y entidades sin
personalidad jurdica, los propuestos en este documento han sido recogidos en el que parece
un marco normativo ms apropiado para ellos: la Resolucin de la Poltica de Firma de la
Administracin General del Estado. De esta manera se da cumplimiento al mandato recogido
en el artculo 24 del Real Decreto 1671/2009 de desarrollo parcial de la Ley 11/2007, por el
que debe haber una poltica de firma y certificados, de la Administracin General del Estado,
constituida por las directrices y normas tcnicas aplicables a la utilizacin de certificados y
firma electrnica dentro de su mbito de aplicacin, lo que, afecta, a las relaciones de la
Administracin con los ciudadanos y entre sus distintos rganos.
En todo caso, los perfiles de los certificados, recogidos en esta Poltica de Firma y Perfiles de
certificados electrnicos, estarn en continua actualizacin, para adaptarse al estado del arte.
Especialmente, a lo que pueda derivarse de normativa de la Unin Europea. Para su
actualizacin se convocar al grupo de trabajo correspondiente, a travs de la CPCSAE.
12.1 Perfiles para los certificados de persona fsica, jurdica y entidades sin
personalidad jurdica
Obligatorios
Apellidos y Nombre del titular del certificado
En MAYSCULAS, separados nicamente por un espacio en blanco, de acuerdo con lo
indicado en el DNI/NIE. En caso de no existir el segundo apellido, se dejar en blanco (sin
ningn carcter)
Espacio en blanco
Pgina 68 de 73
483AFA7835C0CF999551DF4992EE945D
Guin, u otro smbolo carcter
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Espacio en blanco
Nmero de identificacin fiscal
Nmero de identificacin fiscal del titular, NIF, de acuerdo con lo indicado en su DNI o NIE.
Al NIF, tambin se le llama DNI o NIE.
Opcionales
Etiqueta NOMBRE,
De usarse, va delante de apellidos y nombre del titular, separada por un espacio.
Etiqueta NIF DNI NIE
El trmino NIF abarca tanto a DNI como a NIE. Se colocar tras el guin, u otro smbolo o
carcter de separacin, y delante del nmero de identificacin fiscal, separada, de ambos,
por un espacio. Caso de optar por la etiqueta DNI o NIE, en lugar de NIF, se usar aquella
que corresponda.
Literal (AUTENTICACION, FIRMA o CIFRADO)
Identifica la tipologa del certificado. En el caso de que se agrupen varios perfiles en un
nico certificado, no se deber incluir esta opcin. Este identificador siempre estar al final
del Common Name del Subject y entre parntesis, separado, por un espacio en blanco, del
nmero de identificacin fiscal.
Ejemplos:
Pgina 69 de 73
483AFA7835C0CF999551DF4992EE945D
Alternativa 2:
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Los datos del campo Subject del certificado debern tener la siguiente estructura:
PERSONAS FSICAS
Country (PrintableString) Se codificar de
acuerdo a ISO 3166-1-alpha-2 code
elements Size [RFC 5280] 3
CommonName Identidad del Titular del Certificado (se
recomienda usar el formato de la
alternativa 1)
Surname Apellidos
(como constan en el DNI/NIE)
GivenName Nombre propio
(como consta en el DNI/NIE)
SerialNumber NIF del titular (NIF es el nmero y letra
que aparece en el DNI NIE segn
corresponda)
Country especifica el contexto en el que el resto de atributos debe ser entendido. No implica
necesariamente nacionalidad del subject o pas de emisin del certificado.
Ejemplos:
PERSONAS FSICAS
Country ES
CommonName DE LA CAMARA ESPAOL JUAN ANTONIO
- DNI 00000000G
Surname DE LA CAMARA ESPAOL
GivenName JUAN ANTONIO
SerialNumber 00000000G
PERSONAS FSICAS
Country ES
CommonName NOMBRE EXTRANJERO EXTRANJERO
JUAN NIE X9999999J
Surname EXTRANJERO EXTRANJERO
GivenName JUAN
SerialNumber X1234567H
Pgina 70 de 73
483AFA7835C0CF999551DF4992EE945D
12.1.3 Personas Jurdicas o Entidades sin Personalidad Jurdica
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Alternativa 1:
Los datos de identificacin deben estar localizados en el Common Name del Subject
del certificado, con la siguiente estructura:
Obligatorios
Razn Social titular del certificado en MAYSCULAS
Espacio en blanco
Guin, u otro smbolo carcter, que separe la razn social y el nmero de
identificacin fiscal de la razn social
Espacio en blanco
Nmero de identificacin fiscal de la razn social
Espacio en blanco
Guin, u otro smbolo carcter, que separe el nmero de identificacin fiscal, de la
razn social, de apellidos y nombre de la persona fsica responsable del certificado
Espacio en blanco
Apellidos y Nombre del responsable en MAYSCULAS
Espacio en blanco
Guin, u otro smbolo carcter, que separe apellidos y nombre, de la persona fsica
responsable del certificado, de su nmero de identificacin fiscal
Espacio en blanco
Nmero de identificacin fiscal del responsable
Opcionales
Etiqueta ENTIDAD
De usarse, va delante de la razn social titular, separada por un espacio.
Etiqueta CIF NIF
De usarse, va delante del nmero de identificacin fiscal, de la razn social, y detrs
del guin u otro smbolo o carcter de separacin, separada, de ambos, por un
espacio.
Etiqueta NOMBRE
De usarse, va delante de apellidos y nombre, de la persona fsica responsable del
certificado, y detrs del guin u otro smbolo o carcter de separacin, separada, de
ambos por un espacio.
Etiqueta NIF DNI NIE
De usarse, va delante del nmero de identificacin fiscal del responsable, y detrs del
guin u otro smbolo o carcter de separacin, separada de, ambos, por un espacio.
Ejemplos:
Pgina 71 de 73
483AFA7835C0CF999551DF4992EE945D
Alternativa 2:
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
Los datos del campo Subject del certificado debern tener la siguiente estructura:
PERSONAS JURDICAS o
ENTIDADES SIN PERSONALIDAD JURDICA
Country (PrintableString) Se codificar de acuerdo a ISO
3166-1-
alpha-2 code elements Size [RFC 5280] 3
CommonName Razn Social
Surname Apellidos del responsable
(como constan en el DNI)
GivenName Nombre propio del responsable
(como consta en el DNI)
SerialNumber NIF del titular del certificado
(persona jurdica o entidad sin personalidad
jurdica)
1.3.6.1.4.1.18838.1.1 NIF del responsable
Ejemplos:
PERSONAS JURDICAS o
ENTIDADES SIN PERSONALIDAD JURDICA
Country ES
CommonName AGENCIA ESTATAL DE ADMINISTRACIN
TRIBUTARIA
Surname ESPAOL ESPAOL
GivenName JUAN
SerialNumber A28000001
1.3.6.1.4.1.18838.1.1 99999999R
PERSONAS JURDICAS o
ENTIDADES SIN PERSONALIDAD JURDICA
Country ES
CommonName RAZN SOCIAL
Surname EXTRANJERO EXTRANJERO
GivenName JUAN
SerialNumber A00000000
1.3.6.1.4.1.18838.1.1 X1234567H
Pgina 72 de 73
483AFA7835C0CF999551DF4992EE945D
13 ANEXO 2: Referencias
Cdigo de Verificacin Electrnico : 483A-FA78-35C0-CF99-9551-DF49-92EE-945D | Puede verificar la integridad del este documento en la siguiente direccin : https://sede.mpt.gob.es/valida
- ETSI TS 102280. x.509 V.3 Certificate Profile for Certificates Issued to Natural Persons.
- IETF RFC 2560. X.509 Internet Public Key Infrastructure. Online Certificate Status
Protocol - OCSP.
- IETF RFC 3279. Actualizada por RFC 4055, RFC 4491, RFC 5480, RFC 5758
Algorithms and Identifiers for the Internet X.509 Public Key Infrastructure. Certificate
and Certificate Revocation List (CRL) Profile.
- IETF RFC 5280. Internet X.509 Public Key Infrastructure. Certificate and Certificate
Revocation List (CRL) Profile.
- IETF RFC 3739. Actualizada por RFC 3279, RFC 5756 Internet X.509 Public Key
Infrastructure. Qualified Certificates Profile.
- IETF RFC 4055. Additional Algorithms and Identifiers for RSA Cryptography for use in
the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List
(CRL) Profile.
- IETF RFC 4491 y RFC 3279. Using the GOST R 34.10-94, GOST R 34.10-2001, and
GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure
Certificate and CRL Profile.
Pgina 73 de 73