Obtener Certificado

Cómo obtener un certificado válido para Shinkansen

Cómo obtener un certificado

Chile

Debes obtener un Certificado digital para "firma electrónica simple" (típicamente etiquetado para uso en el SII o Servicio de Impuestos Internos) en alguna de las siguientes entidades:

Nota: Para Banco Bice el titular del certificado debe ser la misma persona que firmó con el banco la autorización de operación a Shinkansen.

Recomendado:

Otras alternativas (pueden generar algo de fricción en etapas iniciales):

💡

Recomendamos obtener 2 certificados con 1 año de duración.

Si quieres evitar downtime, tener redundancia en certificados puede ser muy útil. En caso de ocurrir algún imprevisto de seguridad, podrás dar de baja el certificado afectado y seguir operando con el otro. Para eso es importante que administres los certificados de manera diferenciada (para evitar que al quedar comprometido uno sea automáticamente comprometido el otro).

También recomendamos sólo 1 año de duración porque rotar tu(s) certificado(s) frecuentemente es una buena práctica. No ganas mucho con comprar un certificado de 3 años si de todas formas querrás rotar tus certificados más frecuentemente

Cada entidad tiene su propio proceso de validación de identidad, el que se puede realizar online u offline. El proceso de obtención de certificado lo debe realizar un apoderado de la empresa que tenga facultades para realizar transferencias de fondos desde cuentas corrientes. Este certificado permitirá firmar las transacciones a nombre de este apoderado.

El resultado de este proceso será un archivo con extensión .pfx que se descargará en el computador del apoderado. El archivo estará protegido por una contraseña que el apoderado debe recordar (si la ingresó) o tomar nota (si fue generada por la entidad que generó el certificado).

Tips para manejar el certificado y su llave privada

Recomendamos que el archivo pfx sea enviado por el apoderado a la persona encargada de seguridad mediante un canal seguro y confidencial determinado por dicha persona encargada.

🔒

Ejemplos de canales seguros y confidenciales

En caso de usar un gestor de secretos y contraseñas (ej: 1Password), una bóveda compartida solamente entre ambas personas sería un canal seguro y confidencial.

Si tu Slack o Teams está correctamente asegurado (ej: 2FA), un canal privado entre ambas personas también puede funcionar. En tal caso, borrar el mensaje después del envío es una precaución recomendada.

Si tienes dudas sobre esto, puedes preguntarnos en el canal de seguridad y te aconsejamos sobre tu caso particular.

Una vez que la persona encargada de seguridad tiene en su poder el archivo pfx, puedes separarlo en el certificado público (material no sensible) y la llave privada (información sensible). Por ejemplo:

  • Para extraer los certificados públicos, puedes usar este comando openssl (necesitarás la contraseña del archivo pfx)

    $ openssl pkcs12 -in certificate.pfx -nokeys -out certificates.pem
    
  • Para extraer la llave privada y cifrarla nuevamente, puedes usar este comando. Nota que la primera clave que te pedirá será la contraseña del archivo pfx (que te la entregará el apoderado), pero luego deberás ingresar una passphrase nueva en dos oportunidades. Recomendamos que generes esa passphrase aleatoreamente y no sea igual a la clave original del archivo pfx.

    $ openssl pkcs12 -in certificate.pfx -nocerts -out private-key-encrypted.pem
    

Tras realizar estos pasos puedes enviar tu certificado (certificates.pem) a Shinkansen.

Por otro lado, la llave privada (private-key-encrypted.pem) debes custodiarla bajo los mayores estándares de confidiencialidad de tu organización. Nunca debe ser enviada a Shinkansen ni a otro actor de la red. Recomendamos también que el acceso en producción a este archivo y/o la clave que lo protege sea limitado mediante mecanismos propios o los ofrecidos por sistemas de gestión de llaves (Key Mamangement System, KMS) y/o secretos.

⚠️

No olvides eliminar el archivo PFX

Una vez confirmes que el certificado y su llave están operando correctamente, recomendamos eliminar el archivo PFX para evitar cualquier fuga accidental.