Pax Manager

Introduccion

El siguiente documento tiene como objetivo mostrar los distintos pasos para la obtención de un certificado digital válido solamente para el entorno de producción.

Como generar una solicitud de certificado (CSR) usando OpenSSL

Para obtener el certificado por primera vez, hay que dar de alta al DN. Para esto hay que presentar una “solicitud de certificado” o “Certificate Signing Request” (CSR). El CSR se genera usando la herramienta OpenSSL. En caso de no tenerlo instalado, puede bajar el utilitario de:

• http://www.slproweb.com//products/Win32OpenSSL.html
• http://www.openssl.org

Ahora bien, los pasos siguientes son:

    1. Generación de la clave privada

        La misma debe ser en formato PKCS10 con un mínimo de 2048 bits. 

            1. Abrir una ventana de comando cuya carpeta inicial sea la sub carpeta bin donde se instaló openssl:  

            C: \OpenSSL\bin 

            2. Ejecutar desde la línea de comando: openssl genrsa -out privada 2048

El archivo de la clave privada se guardará en la sub carpeta bin donde se instaló OPENSSL.

IMPORTANTE: Conservar el archivo de la clave privada en un lugar seguro. Será necesaria, junto con el certificado creado a partir de ella, para firmar los mensajes.

2. Generación del CSR 

1. Certificate Signing Request, que es la solicitud del certificado. 

    1. En la misma ventana de comando cuya carpeta inicial era la sub carpeta bin donde se instaló openssl: 

    C: \OpenSSL\bin ejecutamos el siguiente archivo generado de la siguiente manera:

    openssl req

    -new 

    -key MiClavePrivada.key

    -subj "/C=AR/O=Empresa/CN=Sistema/serialNumber=CUIT nnnnnnnnnnn"

    -out MiPedidoCSR.csr

Donde hay que reemplazar:

MiClavePrivada.key por nombre del archivo elegido en el primer paso (privada)

Empresa por el nombre de su empresa

Sistema por el nombre de su sistema cliente 

nnnnnnnnnnn por la CUIT (sólo los 11 dígitos, sin guiones) de la empresa o del programador (persona jurídica) 

MiPedidoCSR.csr por el nombre del archivo CSR que se va a crear (pedido)

Por ejemplo, para una empresa llamada “Maria del Carmen Rudel”, un sistema llamado “Fiscal Flow”, la CUIT 20123456789, con un archivo de clave privada llamado privada, así se crearía el CSR:

openssl req -new -key privada -subj "/C=AR/O=MiEmpresa/CN=Fiscal Flow/serialNumber=CUIT 20123456789" -out pedido

    2. Al finalizar esta primera parte en la carpeta bin habrá 2 archivos: privada y pedido (el cual será utilizado al momento de obtener el DN y el certificado). El archivo pedido deberá abrirlo con un editor (en lo posible block de notas o uno similar asegurándose que sea un editar que no agregue caracteres extras al abrirlo) y el contenido del archivo será similar a esto:

-----BEGIN CERTIFICATE REQUEST-----

MIIClTCCAX0CAQAwUDELMAkGA1UEBhMCQVIxEjAQBgNVBAoTCVNPUE9SVEVX UzES MBAGA1UEAxMJU09QT1JURVdTMRkwFwYDVQQFExBDVUlUIDIwMTkwMTc4MTU0 MIIB IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyu7TZTjKEdXEZPR4wIhFOw1S ... QMNYAgJ/J2Zyy2JzxtsHzZDN1oM1SJbG9KyA5Rp02QZMMMsMWIIYKQLsoM5QAPQH DWxkDa8dm7tBylM3u5+XT5G+w1xH4WjRHViAmUH2U+hTmaVAj7qSxsQzR/5HWoKX cnMXsTGvi/5Y9q9kuOw6csm43z5XvxT4BBBKZn6FqWqSwUKxVuaJU8Q= 

-----END CERTIFICATE REQUEST-----

Como crear un certificado nuevo

Para crear un certificado nuevo, necesitamos tener acceso al portal de AFIP con CUIT y Clave Fiscal para ingresar a la aplicación web interactiva Administración de certificados digitales. Aquí se detallará cómo adherirse a la misma.

1. Acceder con clave fiscal en el portal de AFIP http://www.afip.gob.ar 

2. Ingresar la CUIT del usuario y su contraseña

    3. Seleccionar el servicio “Administrador de Relaciones de Clave Fiscal”

4. En el Administrador de Relaciones pulsar “Adherir servicio”.

5. Seleccionar “Servicios interactivos” de AFIP

6. Elegir en la lista el servicio Administración de certificados digitales.

7. Confirmo la operación

IMPORTANTE: 

En el recuadro AUTORIZANTE figurará el CUIT y NOMBRE del usuario que se logueo en la pagina de AFIP

    En el recuadro REPRESENTANDO debe figurar el CUIT y RAZÓN SOCIAL de la empresa que desea emitir factura          electrónica.

    En el recuadro SERVICIO figurará el que estamos dando adhesión (Administración de Certificados Digitales).

    En el recuadro REPRESENTANTE debe figurar el mismo CUIT que figura en AUTORIZANTE.

    8. Cerrar la sesión y volver a acceder con clave fiscal. El servicio estará disponible.

    9. La primera acción a realizar en el servicio, será determinar en nombre de quien se transaccionará.

El sistema presenta la pantalla con un desplegable conteniendo todas las personas que han autorizado al usuario para Administrar sus Certificados Digitales.

Aquí seleccionaremos la empresa que utilizará los Webservices, es decir la empresa que solicitará el Certificado Digital (en el Paso 7, quien figura en el recuadro REPRESENTANDO).

NOTA: En el caso de que el mismo usuario sea el que solicita el certificado digital, y ninguna otra persona le hubiera delegado el servicio, esta pantalla es omitida por el sistema, ya que el usuario solo podría seleccionarse a si mismo.

    10. Inicialmente la pantalla se presenta vacía, ya que la empresa no tiene Certificados Digitales habilitados. Para solicitar     un nuevo certificado digital, deberá presionar el botón “Agregar Alias”. 

La solicitud de un nuevo certificado le requiere que ingrese dos datos: el Alias del certificado y un archivo CSR.

El alias es el nombre descriptivo que la persona quiera para distinguir sus certificados. Internamente AFIP asociará al Alias del certificado, la CUIT de la empresa solicitante. Por ejemplo, podemos anotar “facturacion-1” 

El archivo CSR es el archivo de texto generado en el paso 2. Generación del CSR, al cual le dimos el nombre de "pedido" y se encuentra en la sub carpeta bin donde se instaló openssl: C: \OpenSSL\bin

11. Luego de completar el alias y subir el archivo CSR, el sistema muestra la pantalla inicial, ahora con el nuevo certificado solicitado. 

12. Al seleccionar la opción de Ver el detalle del certificado, el sistema trae la información que contenía la solicitud generada.

En la primer sección de la página muestra los datos identificatorios del Computador Fiscal: CUIT, Alias, y DN (Distinguish Name). 

La segunda tabla tiene el listado de certificados digitales asociados. Utilizando el “Descargar” podremos obtener el certificado digital emitido (Archivo CRT), que en conjunto con la Clave

Privada generada al momento de realizar la solicitud (paso 1. Generación de la clave privada), vamos a utilizar para producir el Certificado Digital (Archivo PFX) que instalaremos.

Renovación de certificados digitales

Los certificados emitidos por AFIP tienen una vigencia establecida al momento de la emisión. Una vez vencidos ya no podrá operar más con ese certificado. Para continuar utilizándolo tendremos que solicitar un nuevo certificado asociado a esa empresa. 

Para esto, deberemos utilizar el botón “Agregar Certificado”. Este botón nos remite a la pantalla de solicitud de Certificado, donde deberemos consignar el mismo Alias y enviar un nuevo CSR para la generación de un nuevo certificado.