Obtener Certificado

Cómo obtener un certificado válido para Shinkansen

Cómo obtener un certificado

Chile 🇨🇱

Debes obtener un Certificado digital para "firma electrónica simple" (típicamente etiquetado para uso en el SII o Servicio de Impuestos Internos) en alguna de las siguientes entidades:

Nota: Para Banco Bice el titular del certificado debe ser la misma persona que firmó con el banco la autorización de operación a Shinkansen.

💡

Recomendamos obtener 2 certificados con 1 año de duración.

Si quieres evitar downtime, tener redundancia en certificados puede ser muy útil. En caso de ocurrir algún imprevisto de seguridad, podrás dar de baja el certificado afectado y seguir operando con el otro. Para eso es importante que administres los certificados de manera diferenciada (para evitar que al quedar comprometido uno sea automáticamente comprometido el otro).

También recomendamos sólo 1 año de duración porque rotar tu(s) certificado(s) frecuentemente es una buena práctica. No ganas mucho con comprar un certificado de 3 años si de todas formas querrás rotar tus certificados más frecuentemente

Cada entidad tiene su propio proceso de validación de identidad, el que se puede realizar online u offline. El proceso de obtención de certificado lo debe realizar un apoderado de la empresa que tenga facultades para realizar transferencias de fondos desde cuentas corrientes. Este certificado permitirá firmar las transacciones a nombre de este apoderado.

El resultado de este proceso será un archivo con extensión .pfx que se descargará en el computador del apoderado. El archivo estará protegido por una contraseña que el apoderado debe recordar (si la ingresó) o tomar nota (si fue generada por la entidad que generó el certificado).

Colombia 🇨🇴, México 🇲🇽, Perú 🇵🇪 (Y Ambiente de Desarrollo)

En el caso de Colombia, México, Perú y para el ambiente de desarrollo; puedes usar un certificado autofirmado. Usa el siguiente comando para generar un certificado y recuerda reemplazar <<fin_name>> por el nombre de tu empresa o el nombre que desees darle al certificado.

openssl req -x509 -newkey rsa:4096 -nodes -keyout private-key-encrypted_key.pem -out certificates.pem -sha256 -days 365 -pubkey

ℹ️

El comando anterior no funciona en Windows En Windows, puedes usar Git Bash o WSL para ejecutar el comando anterior. De lo contrario tendrás que usar PowerShell para generar un pfx y exportar los certificados puedes encontrar ejemplos aquí.

Este comando generará un certificado autofirmado que dura 365 días. Puedes ajustar la duración cambiando el valor del parámetro -days Pero te recomendamos que la duración no sea mayor a un año.

Es importante que la llave privada (private-key-encrypted.pem) sea custodiada bajo los mayores estándares de confidencialidad de tu organización. Nunca debe ser enviada a Shinkansen ni a otro actor de la red. Recomendamos también que el acceso en producción a este archivo y/o la clave que lo protege sea limitado mediante mecanismos propios o los ofrecidos por sistemas de gestión de llaves (Key Management System, KMS) y/o secretos.

Tips para manejar el certificado y su llave privada

🔒

Ejemplos de canales seguros y confidenciales

En caso de usar un gestor de secretos y contraseñas (ej: 1Password), una bóveda compartida solamente entre ambas personas sería un canal seguro y confidencial.

Si tu Slack o Teams está correctamente asegurado (ej: 2FA), un canal privado entre ambas personas también puede funcionar. En tal caso, borrar el mensaje después del envío es una precaución recomendada.

Si tienes dudas sobre esto, puedes preguntarnos en el canal de seguridad y te aconsejamos sobre tu caso particular.

Manejo del archivo PFX

Recomendamos que el archivo pfx sea enviado por el apoderado a la persona encargada de seguridad mediante un canal seguro y confidencial determinado por dicha persona encargada.

Una vez que la persona encargada de seguridad tiene en su poder el archivo pfx, debe separarlo en el certificado público (material no sensible) y la llave privada (información sensible). Por ejemplo:

  • Para extraer los certificados públicos, puedes usar este comando openssl (necesitarás la contraseña del archivo pfx)

    openssl pkcs12 -in certificate.pfx -nokeys -out certificates.pem
    

    En algunas ocasiones, el proveedor de certificados puede usar algún algoritmo de cifrado que ya no sea soportado por tu versión de OpenSSL. En ese caso, puedes usar el siguiente comando:

    openssl pkcs12 -in certificate.pfx -nokeys -out certificates.pem -provider legacy -provider default
    
  • Para extraer la llave privada y cifrarla nuevamente, puedes usar este comando. Nota que la primera clave que te pedirá será la contraseña del archivo pfx (que te la entregará el apoderado), pero luego deberás ingresar una passphrase nueva en dos oportunidades. Recomendamos que generes esa passphrase aleatoriamente y no sea igual a la clave original del archivo pfx.

    openssl pkcs12 -in certificate.pfx -nocerts -out private-key-encrypted.pem
    

como resultado de estos pasos, tendrás dos archivos:

  • certificates.pem: el certificado público
  • private-key-encrypted.pem: la llave privada cifrada

⚠️

No olvides eliminar el archivo PFX

Una vez confirmes que el certificado y su llave están operando correctamente, recomendamos eliminar el archivo PFX para evitar cualquier fuga accidental.

Envío del certificado a Shinkansen

Para que puedas operar en la red de Shinkansen, necesitas enviarnos el certificado con la llave publica (certificates.pem) obtenido en los pasos anteriores. Puedes hacerlo mediante el Dashboard bajo la sección Configuración > Certificados.

Por otro lado, la llave privada (private-key-encrypted.pem) debes custodiarla bajo los mayores estándares de confidencialidad de tu organización. Nunca debe ser enviada a Shinkansen ni a otro actor de la red. Recomendamos también que el acceso en producción a este archivo y/o la clave que lo protege sea limitado mediante mecanismos propios o los ofrecidos por sistemas de gestión de llaves (Key Management System, KMS) y/o secretos.