Cómo obtener un certificado#
Debes obtener un Certificado digital para "firma electrónica simple" (típicamente etiquetado para uso en el SII o Servicio de Impuestos Internos) en alguna de las siguientes entidades:Recomendamos obtener 2 certificados con 1 año de duración.Si quieres evitar downtime, tener redundancia en certificados puede ser muy útil. En caso de ocurrir algún imprevisto de seguridad, podrás dar de baja el certificado afectado y seguir operando con el otro. Para eso es importante que administres los certificados de manera diferenciada (para evitar que al quedar comprometido uno sea automáticamente comprometido el otro).También recomendamos sólo 1 año de duración porque rotar tu(s) certificado(s) frecuentemente es una buena práctica. No ganas mucho con comprar un certificado de 3 años si de todas formas querrás rotar tus certificados más frecuentemente
Cada entidad tiene su propio proceso de validación de identidad, el que se puede realizar online u offline. El proceso de obtención de certificado lo debe realizar un apoderado de la empresa que tenga facultades para realizar transferencias de fondos desde cuentas corrientes. Este certificado permitirá firmar las transacciones a nombre de este apoderado.El resultado de este proceso será un archivo con extensión .pfx que se descargará en el computador del apoderado. El archivo estará protegido por una contraseña que el apoderado debe recordar (si la ingresó) o tomar nota (si fue generada por la entidad que generó el certificado).Es importante que la llave privada sea custodiada bajo los mayores estándares de confidencialidad de tu organización. Nunca debe ser enviada a Conectados ni a otro actor de la red. Recomendamos también que el acceso en producción a este archivo y/o la clave que lo protege sea limitado mediante mecanismos propios o los ofrecidos por sistemas de gestión de llaves (Key Management System, KMS) y/o secretos.Tips para manejar el certificado y su llave privada#
🔒 Ejemplos de canales seguros y confidencialesEn caso de usar un gestor de secretos y contraseñas (ej: 1Password), una bóveda compartida solamente entre ambas personas sería un canal seguro y confidencial.Si tu Slack o Teams está correctamente asegurado (ej: 2FA), un canal privado entre ambas personas también puede funcionar. En tal caso, borrar el mensaje después del envío es una precaución recomendada.Si tienes dudas sobre esto, puedes preguntarnos en el canal de seguridad y te aconsejamos sobre tu caso particular.
Manejo del archivo PFX#
Recomendamos que el archivo pfx sea enviado por el apoderado a la persona encargada de seguridad mediante un canal seguro y confidencial determinado por dicha persona encargada.Una vez que la persona encargada de seguridad tiene en su poder el archivo pfx, debe separarlo en el certificado público (material no sensible) y la llave privada (información sensible). Por ejemplo:Para extraer los certificados públicos, puedes usar este comando openssl (necesitarás la contraseña del archivo pfx)
Para extraer la llave privada y cifrarla nuevamente, puedes usar este comando. Nota que la primera clave que te pedirá será la contraseña del archivo pfx (que te la entregará el apoderado), pero luego deberás ingresar una passphrase nueva en dos oportunidades. Recomendamos que generes esa passphrase aleatoreamente y no sea igual a la clave original del archivo pfx.
certificates.pem: el certificado público
private-key-encrypted.pem: la llave privada cifrada
⚠️ No olvides eliminar el archivo PFXUna vez confirmes que el certificado y su llave están operando correctamente, recomendamos eliminar el archivo PFX para evitar cualquier fuga accidental.
Envío del certificado a Conectados#
Debes enviar el certificado (certificates.pem) obtenido en los pasos anteriores a Conectados. Puedes hacerlo mediante el canal seguro y confidencial que hayas acordado con la persona encargada de seguridad de tu organización.Modified at 2024-05-23 16:22:47
