Certificados digitales de la fnmt en

windows 7

Resumen

 ¿Qué es un certificado digital?

 Configuración del sistema operativo
 Solicitud del certificado de la FNMT-RCM
 Acreditación de la identidad en una Oficina de Registro
 Descarga e instalación del certificado digital
 Copia de seguridad del certificado de la FNMT
 Importación del certificado de la FNMT
 Uso en línea del certificado digital
 Artículos relacionados y de Ayuda

¿Qué es un certificado digital?

Un certificado digital es un documento electrónico que puede ayudarte a identificar al

propietario de un sitio web y a tomar decisiones sobre la confianza que merece el sitio
con respecto a la información personal o financiera. Los certificados son emitidos por
entidades emisoras de certificados cuya responsabilidad es confirmar la identidad de la
organización o del propietario del sitio web. Por tanto, es como un documento de
Identidad que te permite identificarte, firmar y cifrar electrónicamente documentos y
mensajes. Sus principales aplicaciones son:

 Autentificar la identidad del usuario, de forma electrónica, ante terceros.

 Realizar trámites electrónicos ante la Agencia Tributaria, la Seguridad Social,
las Cámaras y otros organismos oficiales.
 Trabajar con facturas electrónicas.
 Firmar digitalmente correo electrónico y todo tipo de documentos.
 Cifrar datos para que sólo el destinatario del documento pueda acceder a su
contenido.

Existen muy diversos tipos de certificados digitales, los cuales proporcionan la

identificación y el cifrado del sitio web que permiten garantizar conexiones seguras.
Uno de los más importantes para poder comunicarnos de forma segura con los
organismos públicos, como la Agencia Tributaria, la Seguridad Social, y otros
organismos de la Administración Central, Local o Autonómica, es el certificado emitido
por la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM)
que son certificados de la Clase 2 CA. En este artículo explico, de forma detallada, todo
el procedimiento que debes seguir en Windows 7 con Windows Internet Explorer 8 ó 9
para obtener y utilizar un certificado de la FNMT. Debes tener en cuenta que la parte
del proceso de obtención del certificado, hasta que pueda ser utilizado, debe realizarse
en el mismo equipo y en el mismo navegador, es decir, los procesos de solicitud e
instalación del certificado. Una vez ya esté listo para ser utilizado, puedes exportarlo
como copia de seguridad y usarlo en otros equipos con otros sistemas y navegadores.

Podemos dividir todo el proceso en varios capítulos:

 Configuración
 Solicitud
 Registro
 Descarga e instalación
 Exportación
 Importación
 Uso en línea

Configuración del sistema operativo y del explorador

de Internet

Antes de iniciar los procesos de solicitud, descarga e instalación del certificado de la

FNMT en Windows 7, es necesario preparar el entorno operativo para evitar cualquier
complicación imprevista, es decir tomar las medidas de seguridad idóneas que nos
eviten problemas y errores. Seguiremos este proceso de configuración:

Actualización del Sistema Operativo

Antes que nada, es importante tener el sistema actualizado con las últimas
actualizaciones de seguridad de Microsoft. Aunque tengas Windows 7 configurado para
recibir e instalar automáticamente dichas actualizaciones, no está de más echar un
vistazo:

 Accede al apartado Windows Update (Inicio > Todos los programas > Windows
Update) y pulsa en Buscar actualizaciones. Cuando termine la búsqueda,
descarga e instala las actualizaciones de seguridad recomendadas. Si es
necesario, reinicia el sistema:
Desinstalación de Internet Explorer 9 Beta

Si tienes instalada cualquier versión preliminar de Internet Explorer 9 (IE9 Beta ó IE9
RC) es totalmente aconsejable desinstalarla para llevar a cabo los procesos de solicitud
e instalación del certificado digital, que deben realizarse en una versión estable del
navegador. Aunque podría funcionar con IE9 Beta, no es nada recomendable. La
versión beta de Internet Explorer 9 es un software que todavía está en fase de desarrollo.
El término "beta" significa que el software todavía está siendo sometido a pruebas y no
se aconseja instalar en sistemas de producción. Lógicamente, los certificados digitales
se instalan en sistemas de producción.

Para desinstalar Internet Explorer 9 Beta en Windows 7 sigue estos pasos:

1. Pulsa en el botón Inicio.

2. Escribe Programas en el cuadro de búsqueda y, a continuación, pulsa en
Programas y característicasdel Panel de control.
3. Pulsa en Ver actualizaciones instaladas.
4. Pulsa con el botón secundario en Windows Internet Explorer 9y, a continuación,
pulsa en Desinstalar. Cuando aparezca la pregunta, haz clic en Sí.
 5. Por último, reinicia el sistema para finalizar el proceso de desinstalación de
Internet Explorer 9 y restaurar la versión anterior de Internet Explorer.

Al reiniciar el sistema, obtendrás de nuevo la versión estable de Internet Explorer 8.

Cuando el certificado personal de la FNMT se haya instalado correctamente y esté en

perfectas condiciones de uso, podrás volver a instalar, si lo deseas, la versión estable de
Internet Explorer 9.

Instalación del Hotfix 2078942 de Microsoft

Es absolutamente necesario instalar esta actualización de Microsoft en Windows 7 antes

de proceder a la solicitud del certificado de la FNMT. Sin esta actualización es más que
probable que se produzca un error. El problema, que no es específico de la FNMT,
afecta a todos los equipos con Windows 7 que incluyan un mecanismo de"enrollment".
Como consecuencia, el control de solicitud de certificados (CertEnroll) no funciona con
Internet Explorer 8 en equipos que ejecutan Windows 7 cuando se incluye en un
elemento FRAME o IFRAME en la página web, que es el caso de la página de la
FNMT. Tienes más información sobre este problema en el blog de desarrolladores
MSDN de Microsoft:

CertEnroll control won't work when hosted inside a frame/iframe in IE8

Para resolver esta situación, instala el hotfix 322891 relacionado con el artículo de la
Knowledge Base 2078942 de Microsoft, mientras la entidad de certificación (FNMT)
no actualice sus páginas teniendo en cuenta ciertas recomendaciones (tal como se indica
en el blog de MSDN), y mientras Microsoft no lo incluya en el próximo service pack
para Windows 7:

The CertEnroll control does not work in Internet Explorer 8 on a computer that is
running Windows 7 or Windows Server 2008 R2

Sigue este procedimiento para instalar el Hotfix 322891:

1. Pulsa en el siguiente enlace para solicitar el citado Hotfix:

http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2078942
2. Acepta los términos de la licencia que aparecen en pantalla
3. Elige el paquete adecuado para instalar según tu versión de Windows 7. Las
opciones son:

**Windows 7/WindowsServer 2008 R2 (x86) – Para Windows 7 de 32 bits

**Windows 7/WindowsServer 2008 R2 (x64) – Para Windows 7 de 64 bits
**Windows 7/WindowsServer 2008 R2 (ia64) – Para Arquitectura Intel (Intel
Itanium) de 64 bits

Seguramente, el sistema detectará la versión de tu sistema operativo y te

ofrecerá la opción directamente.
4. Propociona tu dirección de correo electrónico, escribe los 6 caracteres que se
muestran en la imagen, y pulsa en Solicitar revisión.
5. Microsoft te enviará un email con el enlace para descargar el paquete. En dicho
correo también se te enviará una contraseña para poder instalarlo. En la mayoría
de los casos, se recibe el mensaje antes de que pasen cinco minutos. Sin
embargo, debido a irregularidades en algunos sistemas de entrega de correo
electrónico esta recepción puede retrasarse. El correo será enviado por la cuenta
"hotfix@microsoft.com". Si estás usando algún tipo de filtro de correo no
deseado, se recomienda que agregues el dominio "hotfix@microsoft.com” y
“microsoft.com” a la lista de elementos de correo electrónicos seguros. Esto
evitará que tu correo sea enviado a la carpeta de correo electrónico no deseado.
6. Una vez recibido el correo electrónico, descarga el hotfix en el Escritorio.
7. Crea una carpeta nueva llamada Hotfix_322891, y ejecuta el Hotfix para
descomprimir los archivos en ella, utilizando la contraseña que te han enviado
en el correo electrónico.
8. Por último, ejecuta el archivo MSU que se halla en la carpeta para instalar la
revisión. No es necesario reiniciar
Instalación de las librerías CAPICOM

CAPICOM es un control ActiveX o una librería (según el caso) de Microsoft que

proporciona una interfaz COM para Microsoft CryptoAPI (también llamada
Cryptographic Application Programming Interface). CAPICOM permite usar un
conjunto de funciones de CryptoAPI para permitir a los desarrolladores de aplicaciones
incorporar de forma sencilla la funcionalidad de firma digital y encriptación en sus
aplicaciones. Debido a que utiliza COM, los desarrolladores de aplicaciones pueden
acceder a esta funcionalidad en una serie de entornos de programación tales como
Microsoft Visual Basic, Visual Basic Script, Active Server Pages (ASP), Microsoft
JScript, C + +, Delphi, Java, PHP y otros.

CAPICOM se puede empaquetar como un control ActiveX, para ser instalado en los
navegadores y permitir a los desarrolladores Web utilizarla en aplicaciones basadas en
Web (ASP, PHP, etc.). Además, CAPICOM cuenta con un SDK (kit de desarrollo de
software o Software Development Kit) con las librerías necesarias para que sea usado
por lenguajes de programación para desarrollar aplicaciones de escritorio.

De esta forma, con CAPICOM podremos implementar la utilidad de uso de certificados

digitales en nuestras aplicaciones casi sin esfuerzo, pues todas las funciones necerias
para el acceso a estos certificados ya están implementadas y listas para ser usadas.

Sin embargo, en Windows 7, CAPICOM no hubiera sido necesario instalarlo, ya que

todas las funciones desempeñadas por CAPICOM pueden ser sustituidas por .NET
Framework, que ya se instala mediente Windows Update. El problema viene cuando
todavía muchas aplicaciones Web que trabajan con certificados digitales, llaman a
CAPICOM, y si estas librerías no están instaladas, se producen errores con los
certificados. Por esta razón, aconsejo instalar CAPICOM en Windows 7 de forma
independiente a .NET Framework.

Para instalar y poder utilizar CAPICOM, sigue estos pasos:

1. Descarga el ejecutable CAPICOM 2.1.0.2 desde este enlace

2. Desactiva el Control de Cuentas de Usuario (UAC). Para ello, desde el menú
Inicio, escribe msconfig en el cuadro de búsqueda y, a continuación, pulsa en
msconfig.exe. En el cuadro de Configuración del sistema pulsa en la pestaña
Herramientas y marca Cambiar configuración de UAC. Pulsa en Iniciar y se
abrirá la ventana de configuración de UAC. Sitúa el control deslizante abajo de
todo (No notificarme nunca) y pulsa Aceptar. No reinicies el sistema todavía.
3. Ejecuta el archivo Capicom_2.1.0.2_FNMT_RCM descargado para instalar la
aplicación, y reinicia el sistema
 4. Después de reiniciar, registra la librería Capicom.dll, de la siguiente manera:
desde el menú Inicio, escribe el siguiente comando en el cuadro de búsqueda y, a
continuación, pulsa Enter:

Windows 7 de 32 bits: regsvr32 %windir%\System32\capicom.dll

Windows 7 de 64 bits: regsvr32 %windir%\SysWOW64\capicom.dll

Finalmente, aparecerá un mensaje de confirmación que debes aceptar. De esta forma,

tendremos disponible CAPICOM y se podrá utilizar para firmar datos y código
digitalmente, comprobar firmas digitales, proteger la privacidad de datos, hacer hash de
datos y cifrar y descifrar datos, entre otras aplicaciones.

Instalación/Actualización de los certificados raíz en Internet Explorer

La FNMT-RCM pertenece a los Miembros del Programa de certificados Raíz de

Windows (Programa creado por Microsoft). Debido al cambio en la forma de trabajo de
Microsoft con los certificados raíz de las entidades de certificación y a la creación del
mencionado programa, los certificados raíz han pasado a instalarse a través de
actualizaciones de seguridad. A partir de Windows Vista, y por tanto también en
Windows 7, los certificados emitidos por las Entidades de certificación raíz de
confianza se instalan de forma automática en el explorador de Internet al acceder online
a las citadas entidades.

Cuando visitas un sitio Web seguro (HTTPS usando SSL), o lees un correo electrónico
seguro, o descargas un control ActiveX firmado digitalmente, y se encuentra un nuevo
certificado raíz en el sitio, el software de verificación de cadena de certificados de
Windows comprueba la Actualización de Microsoft y si aparece ese certificado raíz, se
descarga e instala en el navegador de forma automática y transparente para el usuario.

No obstante, se recomienda que los sistemas que ejecutan Windows cliente en entornos
desconectados (por ejemplo, cuando el mecanismo de actualización automática no
funciona, ya que la conectividad a Microsoft Update no está disponible) instalen el
paquete de actualización de certificados raíz. El paquete de actualización se instalará en
Windows Vista y Windows 7 como una solución en entornos desconectados, pero no se
recomienda en sistemas que tienen conectividad de red con Microsoft Update.

Se puede descargar e instalar la última actualización de esta lista (22 de octubre de

2010) desde este enlace:
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roo
tsupd.exe

Más información sobre el Programa de Miembros de Certificados Raíz:

Windows root certificate program members

Configuración de seguridad en Internet Explorer 8/9

Para empezar, es importante partir desde una configuración predeterminada de
seguridad en Internet Explorer. De forma predeterminada, Internet Explorer está
configurado para proporcionar un nivel de seguridad que puede protegerte de las
amenazas más corrientes cuando se explora Internet, como spyware u otros tipos de
código malintencionado. Esta configuración puede ayudarte a protegerte de amenazas
de seguridad conocidas, como sitios web que instalan complementos u otros programas
sin tu conocimiento. No obstante, para poder llevar a cabo todo el proceso de solicitud e
instalación de las claves pública y privada en el sitio web de la FNMT sin ningún tipo
de complicaciones, debes otorgarle al sitio un nivel de seguridad adecuado que te evite
problemas. Para adoptar esta configuración especial de Internet Explorer, sigue este
proceso completo:

1. Desactiva el Control de Cuentas de Usuario (UAC) si está activado. Para ello,

desde el menú Inicio, escribe msconfig en el cuadro de búsqueda y, a
continuación, pulsa en msconfig.exe. En el cuadro de Configuración del sistema
pulsa en la pestaña Herramientas y marca Cambiar configuración de UAC. Pulsa
en Iniciar y se abrirá la ventana de configuración de UAC. Sitúa el control
deslizante abajo de todo (No notificarme nunca) y pulsa Aceptar.

2. Reinicie el sistema para implementar los cambios.

3. Restablece la configuración predeterminada de IE8/IE9, con lo cual éste volverá
al estado en el que se encontraba cuando se instaló en el equipo por primera vez.
Para llevarlo a cabo sigue estos pasos:

1. Cierra todas las ventanas de Internet Explorer y del Explorador de

Windows que tengas abiertas.
2. Abre Internet Explorer.
3. Pulsa en el menú Herramientas y, a continuación, en Opciones de
Internet.
 4. Pulsa en la pestaña Opciones avanzadas y, a continuación, en
Restablecer.
5. Selecciona la casilla Eliminar configuración personal si deseas quitar
datos del historial de exploración, de proveedores de búsquedas y de
aceleradores, de páginas principales y de filtrado InPrivate.
6. En el cuadro de diálogo Restablecer configuración de Internet Explorer,
pulsa en Restablecer.
7. Cuando Internet Explorer termine de restaurar los valores
predeterminados, pulsa en Cerrar y, a continuación, en Aceptar.
8. Cierra Internet Explorer. Los cambios surtirán efecto la próxima vez que
abras Internet Explorer.

Para más información sobre el restablecimiento de la configuración original de

IE8, puedes consultar el siguiente artículo:
Cómo restablecer la configuración original de IE8 (RIES)

4. Establece la configuración de seguridad específica para el sitio Web. Abre

Internet Explorer 8 y pulsa en Herramientas > Opciones de Internet > Seguridad.

1. Pulsa en Sitios de Confianza.

2. Desplaza el control deslizante hacia abajo hasta seleccionar nivel Bajo.
3. Pulsa en el botón Sitios.
4. En la parte inferior, desmarca la opción Requerir comprobación del
servidor (https://) para todos los sitios de la zona.
5. En el cuadro de texto Agregar este sitio Web a la zona agrega las
siguientes direcciones URL:

http://*.fnmt.es
https://*.fnmt.es

pulsando en Agregarpara cada dirección URL. Por último, pulsa en

Cerrar.
6. Pulsa ahora en Nivel personalizado y habilita las siguientes opciones de
configuración para estas URLs en el apartado Controles y complementos
de ActiveX:

 Comportamiento de binarios y de scripts

 Descargar los controles ActiveX firmados.
 Descargar los controles ActiveX sin firmar.
 Ejecutar controles y complementos de ActiveX.
 Generar scripts de los controles ActiveX marcados como seguros
para scripts.
 Inicializar y generar scripts de los controles ActiveX no marcados
como seguros para scripts.
 Pedir intervención del usuario automática para controles ActiveX
 Permitir que todos los controles ActiveX no usados anteriormente
se ejecuten sin preguntar.
 Permitir scriptlets.
 7. Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes
aceptar.
8. Pulsa, a continuación, en el icono Internetde la pestaña Seguridad.
9. Desplaza el control deslizante hacia abajo, hasta seleccionar nivel Medio.
10. Pulsa en Nivel personalizado y busca en el apartado Controles y
complementos de ActiveXla opción:

Inicializar y generar scripts de los controles de activeX no marcados

como seguros para scripts. Marca esta opción en Preguntar.
11. Pulsa en Aceptar; te aparecerá un mensaje de confirmación que debes
aceptar.
12. Pulsa, a continuación, en la pestaña Opciones avanzadas
13. En el cuadro Configuración, accede al apartado Examinary desmarca la
casilla de verificación Habilitar extensiones de explorador de terceros.
14. Por último, pulsa Aplicary Aceptar.
15. Cierra Internet Explorer para que se apliquen los cambios

Solicitud del certificado de la FNMT-RCM

A partir de este momento, ya puedes solicitar tu certificado personal. Para obtener el

certificado necesario y poder utilizar los servicios de firma digital, debes solicitarlo en
la página web de la Fábrica Nacional de Moneda y Timbre, http://www.cert.fnmt.es

Inicia Internet Explorer 8 y accede a la citada página web, http://www.cert.fnmt.es, y

pulsa en Obtenga el CERTIFICADO de usuario en la parte superior derecha de la
misma. Antes de iniciar el proceso de solicitud, es conveniente leerse la Declaración de
Prácticas de Certificación.

Nota: es muy importante desactivar cualquier antivirus, firewall de terceros y cualquier

otro programa de seguridad (antispyware, antimalware, antipop-ups...) que esté iniciado,
antes de proceder a la solicitud del certificado. Desactiva estos programas desde la
bandeja de sistema (al lado del reloj).

A continuación, pulsa en Solicitud vía internet de su Certificado y se mostrará la página

para que introduzcas tu NIF, tal como se muestra en esta imagen:
Introduce tu NIF en la casilla y pulsa en Enviar petición. Automáticamente, te aparecerá
en pantalla un mensaje de confirmación de acceso web para realizar una operación de
certificado digital en tu nombre, tal como aparece en la imagen:

lsa en Sí. Te aparecerá inmediatamente el código de la solicitud. Imprime esta página, o

en su defecto apunta este código, y guárdalo en lugar seguro. Lo necesitarás para acabar
de cumplimentar la solicitud en la oficina de registro, y también para la descarga de tu
certificado una vez se haya generado.

Acreditación de la identidad en una Oficina de

Registro
Con el código de solicitud obtenido en el paso anterior, deberás personarte físicamente
en una oficina de registro para acreditar tu identidad, por ejemplo en cualquier
delegación de la Agencia Tributaria. La documentación a presentar será:

 DNI o tarjeta de residencia (NIE)

 ódigo de solicitud del certificado

En la Oficina de Registro te validarán el código y deberás firmar por triplicado el

documento de "Solicitud de Certificado". Si dispones de una dirección de correo
electrónico válida, puedes facilitarla para que te envíen la confirmación de solicitud.
Una vez recibida la confirmación (que suele ser al cabo de unas 24-48 horas) de que se
ha procesado correctamente la solicitud, ya puedes descargar el certificado digital desde
el sitio web.

Descarga e instalación del certificado digital

Antes que nada, es muy importante asegurarse que la configuración del sistema y de
seguridad de Internet Explorer 8 no se haya modificado desde que se realizó la solicitud.
Accede de nuevo a la página web de la FNMT, www.cert.fnmt.es, y pulsa en Obtenga el
CERTIFICADO de usuario en la parte superior derecha de la misma. A continuación,
pulsa en Descarga de su Certificado de Usuario. En el formulario que aparece, escribe el
NIF y el código de solicitud ya validado y pulsa en Enviar petición, tal como se aprecia
en la imagen:

Al cabo de unos instantes, si no hay ningún problema, se descargarán e instalarán de

forma automática dos certificados:
  Certificado AC RAIZ FNMT-RCM, que se instala en el almacén Entidades de
certificación raíz de confianza
 Certificado personal a tu nombre, de la FNMT, que se instala en el almacén
Personal

y te aparecerá la página conforme se ha instalado con éxito tu certificado:

Para comprobar que ambos certificados se han instalado de forma correcta en Internet
Explorer 8, accede al menú Herramientas > Opciones de Internet > Contenido >
Certificados. En la pestaña Personal, observa que aparece tu certificado instalado. Pulsa
en Very observa, en la pestaña General, que aparece el dibujo de una llave con el
enunciado Tiene una clave privada correspondiente a este certificado. Pulsa ahora en
Aceptarpara cerrar la ventana, y pulsa en Opciones avanzadas. En esta ventana, marca
todos los propósitos que aparecen disponibles para este certificado digital, y de nuevo
pulsa Aceptar.

Seguidamente, pulsa en la pestaña Entidades de certificación raíz de confianza, y entre

las entidades de confianza debe aparecerte el certificado AC RAIZ FNMT-RCM (o bien
FNMT Clase 2 CA). Selecciónalo y pulsa en Opciones avanzadas. En esta ventana,
marca todos los propósitos que aparecen disponibles para este certificado digital, y de
nuevo pulsa en Aceptary Cerrar.

Si todo esto es correcto, ya sólo te queda comprobar que funcione el certificado vía
online, y crear una copia de seguridad del mismo.

Nota: La sola instalación del certificado de la FNMT de forma automática NO ES

SUFICIENTE SEGURIDAD para el usuario. Es necesario que protejas la clave privada
mediante contraseña para que sólo tú puedas acceder a tu información privada a través
de Internet. Si no proteges el certificado, cualquiera podrá utilizarlo en tu nombre. Para
protegerlo antes de su uso, debes realizar una exportación del mismo, en un archivo de
copia de seguridad, y acto seguido volverlo a importar al navegador. En este proceso
exportación/importación la clave privada se protege mediante una contraseña. Para
saber cómo hacerlo, lee los apartados Copia de seguridad del certificado de la FNMT e
Importación del certificado de la FNMT de este artículo.

Restablecimiento de la seguridad en el sistema e Internet Explorer

Una vez descargado el certificado de la FNMT, y comprobado que se halla

correctamente instalado en el almacén Personal de certificados, es necesario revertir la
configuración de seguridad de Internet Explorer a los niveles recomendados:

En primer lugar, vuelve a activar el Control de Cuentas de Usuario (UAC) deshaciendo

los pasos anteriores y reinicia el sistema para implementar los cambios.

Abre Internet Explorer y restablece la seguridad predeterminada: pulsa en Herramientas

> Opciones de Internet > Seguridad, y haz clic en Restablecer todas las zonas al nivel
predeterminado. Pulsa Aplicar y Aceptarpara cerrar el cuadro de diálogo.

Activa de nuevo los programas que habías deshabilitado anteriormente desde la bandeja
de sistema, especialmente los programas de protección contra software no deseado y de
protección antivirus.

Copia de seguridad del certificado de la FNMT

Una vez instalado el certificado y verificado que se halla en el almacén Personal, es

necesario realizar una copia de seguridad del mismo. De esta forma, cuando realices de
nuevo la importación de este archivo de copia de seguridad al navegador, habrás
protegido el certificado y su clave privada asociada mediante contrtaseña, para que sólo
tú puedas utilizarlo. Además, con este archivo de exportación podrás instalarlo en
cualquier otro equipo y en cualquier otra versión de Internet Explorer, o volverlo a
instalar si te ves obligado a formatear el sistema. Para realizar la exportación, sigue este
procedimiento:

1. Pulsa en Inicio. En el cuadro de búsqueda escribe certmgr.msc y pulsa Enter.

2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en
Continuar.
3. En el Administrador de Certificados de Usuario, pulsa en Personal >
Certificados. En el panel de la derecha, aparecerá tu certificado de la FNMT:
4. Selecciona el certificado y pulsa en el menú Acción > Todas las tareas >
Exportar.
5. En el Asistente para exportación de certificados, pulsa Siguientey marca la
opción Exportar la clave privada, tal como muestra la figura:
 De forma predeterminada, la protección de alto nivel (también conocida como
iteration count) está habilitada en el Asistente para exportación de certificados
cuando se exporta un certificado con su clave privada asociada. La protección
segura no es compatible con algunos programas, por lo que deberás desactivar la
casilla Permitir protección segura si utilizas la clave privada con algún programa
que no sea compatible con la protección segura.

6. En la siguiente pantalla, elige el formato de exportación: Intercambio de

información personal: PKCS #12 (.PFX). Seguramente aparecerá ya marcada
esta opción por defecto al tratarse de un certificado con una clave privada
exportable. De las tres casillas que siguen, marca únicamenteExportar todas las
propiedades extendidas y pulsa Siguiente:

7. En el siguiente cuadro, escribe una contraseña para la clave privada, confírmala

y pulsa Siguiente.
8. A continuación, especifica una ruta y un nombre de archivo para la copia de
seguridad:
 9. Pulsa en Siguientey en Finalizar. La exportación ya se ha completado. Es muy
importante guardar esta copia en un lugar seguro, como un disquete, o una
unidad de almacenamiento.

Nota sobre los formatos de archivo de los certificados: Las operaciones de importación
y exportación de certificados admiten cuatro formatos de archivo:

1. Intercambio de información personal (PKCS #12). El formato Intercambio de

información personal (PFX, también denominado PKCS #12) admite el
almacenamiento seguro de certificados, claves privadas y todos los certificados
en una ruta de certificación. El formato PKCS #12 es el único formato de
archivo que se puede usar para exportar un certificado y su clave privada.
2. Estándar de sintaxis de cifrado de mensajes (PKCS #7). El formato PKCS #7
admite el almacenamiento de certificados y todos los certificados en la ruta de
certificación.
3. DER binario codificado X.509. El formato de reglas de codificación distinguible
(DER) admite el almacenamiento de un certificado único. Este formato no
admite el almacenamiento de la clave privada o la ruta de certificación.
4. X.509 codificado base 64. El formato Base64 admite el almacenamiento de un
certificado único. Este formato no admite el almacenamiento de la clave privada
o la ruta de certificación.
Importación del certificado de la FNMT

Para incorporar un certificado personal expedido por la FNMT a un equipo nuevo, y que
tienes guardado en una copia de seguridad, debes proceder de la siguiente manera:

1. Pulsa en Inicio. En el cuadro de búsqueda escribe certmgr.msc y pulsa Enter.

2. Si te aparece la ventana de diálogo del Control de cuentas de usuario, pulsa en
Continuar.
3. En el Administrador de Certificados de Usuario, selecciona la carpeta Personaly
pulsa en Acción > Todas las tareas > Importar. Se ejecutará el Asistente para
importación de certificados. Pulsa Siguiente.
4. En Nombre de archivo, pulsa en Examinary localiza la ruta donde tienes el
archivo de copia de seguridad. En la parte inferior de la ventana, elige el formato
de archivo: Intercambio de información personal (*.pfx;*.p12) y localiza en la
carpeta la copia del certificado. Pulsa Siguiente:

5. En el siguiente cuadro de diálogo, debes escribir la contraseña de la clave

privada (la misma que pusiste al realizar la copia de seguridad) y marca las tres
casillas de verificación:

o Habilitar protección segura de clave privada

o Marcar esta clave como exportable
 o Incluir todas las propiedades extendidas

Pulsa Siguiente

6. A continuación, elige Colocar todos los certificados en el siguiente almacén.

Pulsa en Examinar y elige el almacén Personal. Pulsa en Siguientey en Finalizar.
7. Inmediatamente te aparecerá un cuadro de diálogo para crear un elemento
protegido mediante CryptoAPI, cuyo nivel de seguridad por defecto es medio:
8. Pulsa en Nivel de seguridady elige el nivel Altopara establecer una contraseña.
Esto es muy importante para que nadie pueda acceder a datos confidenciales
usando tu certificado. Pulsa Siguiente y establece una contraseña para el
elemento protegido:

9. Por último, pulsa en Finalizary en Aceptar. La importación del certificado con

su clave privada se habrá completado de forma correcta:
Uso en línea del certificado digital

La utilización del certificado de la FNMT en línea es muy sencillo. Como ya he

mencionado, antes de utilizar el certificado digital es necesario protegerlo mediante
contraseña, utilizando para ello la exportación y la importación, ya que la simple
instalación automática no protege la clave privada. Accede a un sitio web seguro de la
Administración, o de la Seguridad Social, por ejemplo, para solicitar una información o
descargar un archivo que requiera certificado digital. En primer lugar aparecerá una
ventana emergente solicitando identificación mediante firma digital:

Elige el certificado, si tienes más de uno, y pulsa Aceptar. A continuación, te solicitará

permiso para usar la clave privada. Pulsa en Conceder permisoy escribe la contraseña de
la clave privada
Pulsa Aceptar, e inmediatamente tendrás acceso a tu información confidencial.

Más información

Para la correcta visualización de la página web de la AEAT y la realización de los

trámites electrónicos, es necesario que tu navegador tenga establecidos ciertos
parámetros en su configuración. Para configurar Internet Explorer 8 en Windows 7 y
poder realizar las siguientes acciones sin problema te recomiendo que accedas a Internet
Explorer como administrador. Para ello, pulsa sobre el icono de Internet Explorer con el
botón derecho del ratón y elige Ejecutar como administrador para abrir una ventana. La
opción Habilitar modo protegido, activada por defecto en Windows 7, impide que el
certificado electrónico funcione correctamente en la página web de la AEAT. Para que
no aparezca ningún error sigue estas instrucciones:

Accede a Herramientasen el menú de la parte superior del navegador y entra en

Opciones de Internet.

En la pestaña Seguridadpulsa Restablecer todas las zonas al nivel predeterminado;

marca el icono Sitios de confianzay pulsa en el botón Sitiosque se habilita para agregar
las siguientes direcciones:

https://*.aeat.es
https://*.agenciatributaria.gob.es

La casilla Requerir comprobación del servidor (https:) para todos los sitios de esta
zonadebe estar marcada.

De vuelta en la pestaña Seguridad, aún con el icono Sitios de confianzamarcado,

desmarca la casilla Habilitar modo protegido (...)que aparece en la parte inferior de esta
pestaña y pulsa el botón inferior Nivel personalizado.

En la nueva ventana baja hasta la opción Tener acceso a origen de datos entre
dominiosy marca la casilla Habilitar.

En la pestaña Privacidad desmarca la casilla Activar el bloqueador de elementos

emergentes.

En la pestaña Opciones avanzadaspulsa en Restaurar configuración avanzada.

A continuación, accede a la pestaña Contenidoy pulsa el botón Certificados. Dentro de

la pestaña Personal, haz doble clic sobre tu certificado.

Dentro de la pestaña Detallesaccede a Editar propiedadesy marca la opción Habilitar

todos los propósitos para este certificado. Si tienes más de un certificado instalado en el
equipo es recomendable asignarle un nombre a cada certificado en Nombre descriptivo,
ya que en Windows 7 la ventana de elección del certificado muestra sólo el nombre
descriptivo del certificado (no muestra el nombre o el NIF); te sugiero que sea un
nombre fácilmente reconocible para seleccionarlo correctamente.

Acepta las ventanas para que los cambios se mantengan y de vuelta en la ventana
Certificadosentra en la pestaña Entidades de certificación raíz de confianza, ya que estas
acciones debes realizarlas también para el certificado raíz de la entidad emisora.
Selecciona el certificado raíz de tu entidad emisora y haz doble clic sobre él (por
ejemplo, si se trata de la FNMT deberás seleccionar el certificado "FNMT Clase 2
CA").

Dentro de la pestaña Detalles, accede a Editar propiedadesy marca la opción Habilitar

todos los propósitos para este certificado. Pulsa Aceptar. Para terminar pulsa Aplicary
Aceptar. Para que el cambio sea efectivo es necesario que cierres todas las páginas de
Internet Explorer.