Para aquellos que les interesa este tema, me descargué tanto el certificado
de la CA de la XETID como el de su CA superior, y usando la herramienta
keytool que creo que viene por defecto el linux, no estoy seguro, y viene
con la JDK de Java se pueden visulizar los fichero .pem. También descargué
el de enzona.xetid.cu
Resaltaré en rojo donde aparece en el enlace a las listas de revocación de
certificados. La descargan y ahí aparecen los numeros de serie.
Estas listas son usadas por los sistemas para automaticamente revocar
certificados que tengan instalados.
NOTA: el sistema que usaron como base, o sea no lo hicieron desde 0, bien
por ellos, es EJBCA. Se puede ver pues al acceder a su UI, por ejemplo:
https://certificados.xetid.cu/externalra-gui/precios.xhtml aparece
"externalra-gui" que es típico por defecto de este sistema.
EJBCA, es un paquete de software de autoridad de certificación de
infraestructura de clave pública de software gratuito mantenido y
patrocinado por la empresa sueca PrimeKey Solutions AB, que posee los
derechos de autor de la mayoría de los códigos.
*A lo mejor dentro de poco veremos directrices para los administradores de
red de instalar certificados como estos en sus sistemas.*
*Este es el de la entidad certificadora de la XETID. Se puede ver la cadena
de certificados pues incluye la referencia a la CA que firmó su
certificado. Incluso si abren este certificado en el navegador les mostrará
ambos certificados.*
*Ojo, este no es el certificado del sistema enzona.xetid.cu
<http://enzona.xetid.cu>, el certificado de ese sistema fue emitido por la
CA del Xetid.*
C:\certs>keytool -v -printcert -file AutoridadCertificadoraXETID.pem
Picked up JAVA_TOOL_OPTIONS: -Dfile.encoding=UTF8
Propietario: CN=Autoridad Certificadora XETID, OU=XETID, O=Unión de
Industrias Militares, L=Boyeros, ST=La Habana, C=CU
*Emisor: CN=Autoridad de Certificación Servicio Central Cifrado,
OU=Autoridad Raíz, O=Infraestructura de Llave Pública de la República de
Cuba, L=Boyeros, ST=La Habana, C=CU, EMAILADDRESS=admonpki@xxxxxxxxxxxxx
<admonpki@xxxxxxxxxxxxx>*Número de serie: 4a817c801
Válido desde: Thu Apr 21 15:12:20 EDT 2016 hasta: Sun Apr 19 15:12:20 EDT
2026
Huellas digitales del Certificado:
MD5: 00:68:11:BA:FC:BE:74:32:70:A6:E9:FD:75:22:B6:75
SHA1: F7:39:F1:42:83:9F:3D:B6:04:06:FC:1D:19:71:B6:54:DE:DD:B5:0A
SHA256:
0D:60:BC:EC:3A:DA:F7:C6:A5:B2:01:E8:F0:A8:83:88:DA:FC:F2:84:FC:EE:82:5C:F8:AE:FB:B1:2A:95:0C:3D
Nombre del Algoritmo de Firma: SHA512withRSA
Versión: 3
Extensiones:
#1: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
0000: 16 69 43 65 72 74 69 66 69 63 61 64 6F 20 44 69 .iCertificado Di
0010: 67 69 74 61 6C 20 47 65 6E 65 72 61 64 6F 20 70 gital Generado p
0020: 61 72 61 20 6C 61 20 41 75 74 6F 72 69 64 61 64 ara la Autoridad
0030: 20 64 65 20 43 65 72 74 69 66 69 63 61 63 69 F3 de Certificaci.
0040: 6E 20 49 6E 74 65 72 6D 65 64 69 61 3A 20 41 75 n Intermedia: Au
0050: 74 6F 72 69 64 61 64 20 43 65 72 74 69 66 69 63 toridad Certific
0060: 61 64 6F 72 61 20 58 45 54 49 44 adora XETID
#2: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false
AuthorityInfoAccess [
[
accessMethod: ocsp
* accessLocation: URIName: http://ocsp.sercencif.cu/va/status/ocsp
<http://ocsp.sercencif.cu/va/status/ocsp>*]
]
#3: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 0A 99 A2 E6 71 66 DD E9 D2 61 01 C3 CD 17 E9 3C ....qf...a.....<
0010: 87 63 1E 91 .c..
]
*[CN=Autoridad de Certificación Servicio Central Cifrado, OU=Autoridad
Raíz, O=Infraestructura de Llave Pública de la República de Cuba,
L=Boyeros, ST=La Habana, C=CU, EMAILADDRESS=admonpki@xxxxxxxxxxxxx
<admonpki@xxxxxxxxxxxxx>]*SerialNumber: [ 02540be4 01]
]
#4: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#5: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
[DistributionPoint:
* [URIName: http://crl.sercencif.cu/va/crls/search.cgi?alias=ACSCC
<http://crl.sercencif.cu/va/crls/search.cgi?alias=ACSCC>]*]]
#6: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]
#7: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: BE 8C 37 49 C2 EF 3D 19 CC A1 55 8D 6E C9 11 A9 ..7I..=...U.n...
0010: 41 67 33 D0 Ag3.
]
]
*Este es el certificado de la CA raíz padre al parecer, es el que está
autofirmado, como siempre está autofirmado el certificado de cualquier CA
que sea raíz.*
C:\certs>keytool -v -printcert -file
AutoridaddeCertificacinServicioCentralCifrado.pem
Picked up JAVA_TOOL_OPTIONS: -Dfile.encoding=UTF8
*Propietario: CN=Autoridad de Certificación Servicio Central Cifrado,
OU=Autoridad Raíz, O=Infraestructura de Llave Pública de la República de
Cuba, L=Boyeros, ST=La Habana, C=CU, EMAILADDRESS=admonpki@xxxxxxxxxxxxx
<admonpki@xxxxxxxxxxxxx>Emisor: CN=Autoridad de Certificación Servicio
Central Cifrado, OU=Autoridad Raíz, O=Infraestructura de Llave Pública de
la República de Cuba, L=Boyeros, ST=La Habana, C=CU,
EMAILADDRESS=admonpki@xxxxxxxxxxxxx <admonpki@xxxxxxxxxxxxx>*
Número de serie: 2540be401
Válido desde: Mon Dec 14 16:26:33 EST 2015 hasta: Tue Dec 10 16:26:33 EST
2030
Huellas digitales del Certificado:
MD5: 32:D2:D7:50:2A:42:60:F2:1B:F7:24:68:F1:99:6F:AB
SHA1: 67:F8:58:9B:BB:97:E4:38:CD:30:79:02:CB:38:01:12:46:62:70:13
SHA256:
97:BC:06:77:9B:BA:D0:80:00:37:66:7E:01:3D:43:95:BF:DF:A4:F9:23:B8:1E:8F:02:00:E9:E9:A8:A8:93:3F
Nombre del Algoritmo de Firma: SHA512withRSA
Versión: 3
Extensiones:
#1: ObjectId: 2.16.840.1.113730.1.13 Criticality=false
0000: 16 5F 43 65 72 74 69 66 69 63 61 64 6F 20 64 65 ._Certificado de
0010: 20 6C 61 20 41 75 74 6F 72 69 64 61 64 20 52 61 la Autoridad Ra
0020: ED 7A 20 64 65 20 6C 61 20 49 6E 66 72 61 65 73 .z de la Infraes
0030: 74 72 75 63 74 75 72 61 20 64 65 20 4C 6C 61 76 tructura de Llav
0040: 65 20 50 FA 62 6C 69 63 61 20 64 65 20 6C 61 20 e P.blica de la
0050: 52 65 70 FA 62 6C 69 63 61 20 64 65 20 43 75 62 Rep.blica de Cub
0060: 61 a
#2: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false
AuthorityInfoAccess [
[
accessMethod: ocsp
accessLocation: URIName: http://ocsp.sercencif.cu/va/status/ocsp
]
]
#3: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 0A 99 A2 E6 71 66 DD E9 D2 61 01 C3 CD 17 E9 3C ....qf...a.....<
0010: 87 63 1E 91 .c..
]
[CN=Autoridad de Certificación Servicio Central Cifrado, OU=Autoridad Raíz,
O=Infraestructura de Llave Pública de la República de Cuba, L=Boyeros,
ST=La Habana, C=CU, EMAILADDRESS=admonpki@xxxxxxxxxxxxx]
SerialNumber: [ 02540be4 01]
]
#4: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
#5: ObjectId: 2.5.29.31 Criticality=false
CRLDistributionPoints [
[DistributionPoint:
* [URIName: http://crl.sercencif.cu/va/crls/search.cgi?alias=ACSCC
<http://crl.sercencif.cu/va/crls/search.cgi?alias=ACSCC>]*]]
#6: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Key_CertSign
Crl_Sign
]
#7: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 0A 99 A2 E6 71 66 DD E9 D2 61 01 C3 CD 17 E9 3C ....qf...a.....<
0010: 87 63 1E 91 .c..
]
]
*Este es el certificado de enzona.xetid.cu <http://enzona.xetid.cu>En este
caso ellos mismos emiten su certificado, como mismo hacen las CA grandes
cuando van a sacar un sitio, no es una práctica solo de acá. O sea si ellos
son CA y necesitan un certificado, pues ellos mismos se lo generan y lo
firman con el par criptográfico de su CA.*
C:\certs>keytool -v -printcert -file enzona.cer
Picked up JAVA_TOOL_OPTIONS: -Dfile.encoding=UTF8
*Propietario: C=CU, O=XETID, OU=División de Seguridad y Tecnologías
Bancarias, CN=Prestador de Servicios de Certificación de ACXETIDEmisor:
CN=Autoridad Certificadora XETID, OU=XETID, O=Unión de Industrias
Militares, L=Boyeros, ST=La Habana, C=CU*Número de serie: 615b38c9f0107070
Válido desde: Wed Mar 06 09:52:19 EST 2019 hasta: Fri Mar 05 09:52:19 EST
2021
Huellas digitales del Certificado:
MD5: A6:59:15:02:0C:C0:F1:71:DC:01:0D:26:D8:DE:C2:04
SHA1: 09:B6:09:A0:8D:28:87:55:76:A8:FB:03:BA:E2:21:CA:A5:BC:84:E8
SHA256:
18:90:6A:84:F4:DB:86:E5:52:42:B8:87:D7:43:B0:00:F8:89:BD:F5:4B:13:5E:5E:37:3A:18:D2:EA:0C:87:ED
Nombre del Algoritmo de Firma: SHA512withRSA
Versión: 3
Extensiones:
#1: ObjectId: 1.3.6.1.5.5.7.1.1 Criticality=false
AuthorityInfoAccess [
[
accessMethod: ocsp
accessLocation: URIName: http://ocsp.xetid.cu
]
]
#2: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: BE 8C 37 49 C2 EF 3D 19 CC A1 55 8D 6E C9 11 A9 ..7I..=...U.n...
0010: 41 67 33 D0 Ag3.
]
]
#3: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:false
PathLen: undefined
]
*#4: ObjectId: 2.5.29.31 Criticality=falseCRLDistributionPoints [
[DistributionPoint: [URIName:
https://certificados.xetid.cu/externalra-gui/ocsp-crl.xhtml
<https://certificados.xetid.cu/externalra-gui/ocsp-crl.xhtml>]
CRLIssuer:[C=CU, ST=La Habana, L=Boyeros, O=Unión de Industrias Militares,
OU=XETID, CN=Autoridad Certificadora XETID]]]*
#5: ObjectId: 2.5.29.37 Criticality=true
ExtendedKeyUsages [
serverAuth
]
#6: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Key_Encipherment
]
#7: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
DNSName: certificados.xetid.cu
]
#8: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: F2 54 0E 28 CF 21 D1 11 E6 15 A1 1F 78 B5 CB 17 .T.(.!......x...
0010: 4E 4B D8 79 NK.y
]
]
C:\certs>
