Certificados y aprovisionamiento
Referencia técnica para certificados y aprovisionamiento dentro del cliente local.
Objetivo
Esta guía describe cómo configurar y operar certificados de firma en el cliente local.
Modos de certificado
Certificado local (PKCS#12)
El certificado existe en el equipo y el cliente local lo referencia:
- archivo
PKCS#12 - alias
- thumbprint
- subject
Buenas prácticas:
- guardar el archivo en una carpeta protegida del runtime local
- no guardar el password en texto plano en
settings.json - registrar thumbprint y fecha de vencimiento
Store seguro de plataforma
Recomendado cuando la plataforma lo soporta.
Ejemplos:
- Windows Certificate Store
- macOS Keychain
- Android Keystore
- iOS Keychain
Buenas prácticas:
- referenciar por alias o thumbprint
- no exportar el secreto al host
- dejar la validación al store del sistema
Aprovisionamiento desde servidor
El punto de emisión puede solicitar el certificado al servidor si tiene permiso para hacerlo. El servidor entrega el material cifrado con metadata asociada (thumbprint esperado, backend, fecha de vencimiento). El host instala el certificado y ejecuta doctor para validar vigencia y correspondencia.
Principios de seguridad
- no transmitir certificados en claro
- auditar descarga, instalación y rotación
- validar que el certificado corresponde al emisor esperado
- aplicar permisos del punto de emisión antes de cualquier solicitud
Señales que la UI debería mostrar
- backend activo
- thumbprint
- subject o alias
- fecha de vencimiento
- última validación
Diagnóstico ante falla
- verificar permisos del punto de emisión
- verificar conectividad con el servidor
- verificar correspondencia entre RUT emisor y certificado
- verificar vigencia del certificado
- ejecutar
doctor