Cómo obtener un certificado

Chile 🇨🇱

Debes obtener un Certificado digital para "firma electrónica simple" (típicamente etiquetado para uso en el SII o Servicio de Impuestos Internos) en alguna de las siguientes entidades:

Nota: Para Banco Bice el titular del certificado debe ser la misma persona que firmó con el banco la autorización de operación a Shinkansen.

• ABANCERT
• BPO Advisors | Firma Ya
• e-certchile
• E-Sign | Firma.cl
• Sovos | Autoriza.cl
• Thomas Signe

💡

Recomendamos obtener 2 certificados con 1 año de duración.

Si quieres evitar downtime, tener redundancia en certificados puede ser muy útil. En caso de ocurrir algún imprevisto de seguridad, podrás dar de baja el certificado afectado y seguir operando con el otro. Para eso es importante que administres los certificados de manera diferenciada (para evitar que al quedar comprometido uno sea automáticamente comprometido el otro).

También recomendamos sólo 1 año de duración porque rotar tu(s) certificado(s) frecuentemente es una buena práctica. No ganas mucho con comprar un certificado de 3 años si de todas formas querrás rotar tus certificados más frecuentemente

Cada entidad tiene su propio proceso de validación de identidad, el que se puede realizar online u offline. El proceso de obtención de certificado lo debe realizar un apoderado de la empresa que tenga facultades para realizar transferencias de fondos desde cuentas corrientes. Este certificado permitirá firmar las transacciones a nombre de este apoderado.

El resultado de este proceso será un archivo con extensión .pfx que se descargará en el computador del apoderado. El archivo estará protegido por una contraseña que el apoderado debe recordar (si la ingresó) o tomar nota (si fue generada por la entidad que generó el certificado).

Colombia 🇨🇴, México 🇲🇽 y Perú 🇵🇪

En el caso de Colombia, México y Perú; puedes usar un certificado autofirmado. Usa el siguiente comando para generar un certificado y recuerda reemplazar <<fin_name>> por el nombre de tu empresa o el nombre que desees darle al certificado.

openssl req -x509 -newkey rsa:4096 -nodes -keyout private-key-encrypted_key.pem -out certificates.pem -sha256 -days 365 -pubkey

ℹ️

El comando anterior no funciona en Windows En Windows, puedes usar Git Bash o WSL para ejecutar el comando anterior. De lo contrario tendrás que usar PowerShell para generar un pfx y exportar los certificados puedes encontrar ejemplos aquí.

Este comando generará un certificado autofirmado que dura 365 días. Puedes ajustar la duración cambiando el valor del parámetro -days Pero te recomendamos que la duración no sea mayor a un año.

Es importante que la llave privada (private-key-encrypted.pem) sea custodiada bajo los mayores estándares de confidencialidad de tu organización. Nunca debe ser enviada a Shinkansen ni a otro actor de la red. Recomendamos también que el acceso en producción a este archivo y/o la clave que lo protege sea limitado mediante mecanismos propios o los ofrecidos por sistemas de gestión de llaves (Key Management System, KMS) y/o secretos.

Tips para manejar el certificado y su llave privada

🔒

Ejemplos de canales seguros y confidenciales

En caso de usar un gestor de secretos y contraseñas (ej: 1Password), una bóveda compartida solamente entre ambas personas sería un canal seguro y confidencial.

Si tu Slack o Teams está correctamente asegurado (ej: 2FA), un canal privado entre ambas personas también puede funcionar. En tal caso, borrar el mensaje después del envío es una precaución recomendada.

Si tienes dudas sobre esto, puedes preguntarnos en el canal de seguridad y te aconsejamos sobre tu caso particular.

Manejo del archivo PFX

Recomendamos que el archivo pfx sea enviado por el apoderado a la persona encargada de seguridad mediante un canal seguro y confidencial determinado por dicha persona encargada.

Una vez que la persona encargada de seguridad tiene en su poder el archivo pfx, debe separarlo en el certificado público (material no sensible) y la llave privada (información sensible). Por ejemplo:

• Para extraer los certificados públicos, puedes usar este comando openssl (necesitarás la contraseña del archivo pfx)

  Shell

  openssl pkcs12 -in certificate.pfx -nokeys -out certificates.pem
  

• Para extraer la llave privada y cifrarla nuevamente, puedes usar este comando. Nota que la primera clave que te pedirá será la contraseña del archivo pfx (que te la entregará el apoderado), pero luego deberás ingresar una passphrase nueva en dos oportunidades. Recomendamos que generes esa passphrase aleatoreamente y no sea igual a la clave original del archivo pfx.

  Shell

  openssl pkcs12 -in certificate.pfx -nocerts -out private-key-encrypted.pem
  

como resultado de estos pasos, tendrás dos archivos:

• certificates.pem: el certificado público
• private-key-encrypted.pem: la llave privada cifrada

⚠️

No olvides eliminar el archivo PFX

Una vez confirmes que el certificado y su llave están operando correctamente, recomendamos eliminar el archivo PFX para evitar cualquier fuga accidental.

Envío del certificado a Shinkansen

Debes enviar el certificado (certificates.pem) obtenido en los pasos anteriores a Shinkansen. Puedes hacerlo mediante el canal seguro y confidencial que hayas acordado con la persona encargada de seguridad de tu organización o también puedes Cargarlo directamente en el Dashboard de Shinkansen, bajo la sección Configuración > Certificados.

Por otro lado, la llave privada (private-key-encrypted.pem) debes custodiarla bajo los mayores estándares de confidencialidad de tu organización. Nunca debe ser enviada a Shinkansen ni a otro actor de la red. Recomendamos también que el acceso en producción a este archivo y/o la clave que lo protege sea limitado mediante mecanismos propios o los ofrecidos por sistemas de gestión de llaves (Key Management System, KMS) y/o secretos.