Come gestire i certificati digitali in diversi browser web

I certificati digitali Sono diventati essenziali per identificarsi sui siti elettronici, firmare documenti, autenticarsi sulle intranet aziendali o convalidare connessioni sicure. Eppure, molte persone non sanno esattamente dove si trovano, come visualizzarli o cosa fare quando il loro browser non li supporta. In questa guida pratica, abbiamo raccolto tutto il necessario per gestirli in un unico posto. diversi browser e sistemi.

Vediamo passo dopo passo come individuare, importare e verificare i certificati in Windows e macOS, quali impostazioni toccare in Chrome, Internet Explorer/Edge e Adobe Acrobat Lettore e come distribuire le autorità di certificazione sui dispositivi ChromeOS gestitoAbbiamo anche incluso i requisiti tipici che alcuni luoghi pubblici richiedono ancora, insieme a una nota sulla compatibilità con i dispositivi mobili, così non sarete colti di sorpresa.

Cos'è un certificato digitale e a cosa serve?

Un certificato digitale È un file che collega la tua identità a una chiave crittografica per proteggere comunicazioni e firme. Questo ti consente di eseguire procedure amministrative, autenticarti ai servizi, convalidare i siti web o firmare documenti con piena validità legale. Questo non è lo stesso della firma digitale: il certificato verifica l'identità, mentre la firma viene utilizzata per sigillare i documenti in modo verificabile.

Ci certificati di persona fisica, proxy, server, CA intermedia o radice, e ognuno svolge un ruolo nella catena di fiducia. Capire quale tipo è installato e dove risiede (computer, browser o un token/DNIe) è fondamentale affinché il browser lo proponga quando opportuno.

Nei browser come Chrome o Firefox, la convalida del sito HTTPS e la selezione del certificato client si basano sugli archivi dei certificati. autorità di certificazione (CA). Quando si installa una nuova CA radice o intermedia, o si importa il certificato personale, assicurarsi di posizionarlo nell'archivio corretto per evitare errori di attendibilità.

Oltre ai certificati utente, molte applicazioni e pagine richiedono che il computer consideri attendibile un Calcestruzzo CA (ad esempio, da un ente pubblico o da un'azienda). Questa attendibilità si ottiene installando la CA nel repository appropriato e, se applicabile, abilitando l'integrazione con il sistema operativo o con il repository del programma.

Dove si trovano e come visualizzare i certificati in ciascun sistema?

Prima di importare qualsiasi cosa è bene sapere dove controllare cosa è installatoSia su Windows che su macOS sono disponibili strumenti nativi per esplorare i certificati utente, computer e CA.

Windows

Su Windows, apri il file Gestore dei certificati Utilizzando Windows + R, digitare "certmgr.msc". Si aprirà una console in cui è possibile esaminare i certificati personali, i certificati di altre persone e le autorità radice o intermedie.

1. Nel pannello di sinistra vai a Personale → Certificati per visualizzare le credenziali utente utilizzate per l'autenticazione o la firma.
2. Esplorare Autorità di certificazione radice attendibili e, se applicabile, intermedi per verificare la catena di fiducia installata.
3. Fare doppio clic su un certificato per visualizzarne il contenuto emittente, scadenza e usi permesso.

Se devi importare una copia del tuo certificato personale in Chrome su Windows, ricorda che Chrome utilizza Windows Store, quindi l'importazione avviene tramite il sistema stesso. Di seguito è riportata la procedura guidata di importazione passo dopo passo.

macOS

Su macOS, i certificati vengono gestiti con Accesso portachiaviAprilo da Spotlight (cmd + Spazio) e digitarne il nome per avviarlo. Questa utility centralizza le credenziali di sistema e utente.

1. Nella barra laterale scegli Accesso o Sistema a seconda del tipo di certificato che si desidera esaminare.
2. Utilizza il filtro in alto «Certificati» per mostrare solo questo tipo di elementi.
3. Fare doppio clic per vedere i dettagli come ente emittente e data di scadenzaCiò conferma che si tratta del certificato corretto.

Se hai bisogno di nuovi certificati per procedure o firme, assicurati di installarli nel portachiavi corretto (utente o sistema) a seconda di chi deve utilizzarli e delle autorizzazioni richieste.

Importa e gestisci i certificati in Google Chrome (Windows)

Per importare il tuo certificato in Chrome su Windows hai bisogno di un copia valida dello stesso. Deve essere un file .pfx o .p12 (icona di una busta aperta con un certificato e una chiave), che contiene il certificato e la sua chiave privata. Un file .cer senza chiave privata non può essere utilizzato per firmare o autenticare un utente.

Apri Chrome e vai a Impostazioni → Privacy e sicurezza → Sicurezza → Gestisci certificatiNell'angolo in alto a sinistra, vai su "I tuoi certificati" e, se appare, seleziona Gestisci i certificati importati da Windows per lavorare con il magazzino di sistema.

Nella scheda MONITOR PERSONALI Fare clic su "Importa" per avviare la "Procedura guidata di importazione". Questa procedura guidata ti guiderà attraverso i passaggi necessari per preparare tutto.

1. Clicca su Avanti e poi clicca su "Sfoglia" per individuare il tuo file .pfx o .p12. Nel menu a discesa della finestra di dialogo, seleziona "Condivisione delle informazioni personali» affinché venga visualizzato il file .pfx/.p12.
2. Se la tua copia ha una password, inseriscila. Seleziona anche la casella Contrassegna questa chiave come esportabile per poter effettuare un backup in futuro.
3. Scegli il tuo prodotto preferito "Seleziona automaticamente l'archivio certificati" e continuare con “Avanti” fino a “Fine”.

Se tutto va bene, vedrai il messaggio di successo e il certificato apparirà pronto nella Scheda personaleD'ora in poi, quando un sito web richiederà l'autenticazione, Chrome visualizzerà la finestra per selezionare il certificato appropriato.

Se il tuo file era un .cer senza chiave privata, verrà installato sotto "Altre persone" e non sarà valido per la firma o per procedure in uffici come l'AEAT. In tal caso, non sarà possibile rinnovare o esportare correttamente: sarà necessario richiedere un nuovo certificato al fornitore.

Configurare Internet Explorer/Edge per la selezione del certificato

Alcuni siti e servizi si basano ancora sulla classica integrazione di Windows con Internet Explorer/Edge. Se non ti viene richiesto il certificato quando accedi a un sito web con autenticazione e desideri appare il selettore, modificare questo comportamento nelle opzioni di sicurezza.

Vai a Strumenti → Opzioni Internet → Sicurezza → Internet e tocca "Livello personalizzato". Nella categoria corrispondente, seleziona l'opzione disattivare in "Non richiedere la selezione del certificato client quando esiste un certificato o nessun certificato." Ciò causerà il browser richiederà conferma anche se esiste un solo certificato valido.

Questa impostazione è molto utile quando si hanno più certificati o quando è necessario controllare quale identità presentare a un sede elettronica o un portale aziendale. Se hai ambienti a 64 bit con dipendenze più vecchie, ricorda che molti siti richiedevano l'utilizzo Internet Explorer a 32 bit insieme a Java a 32 bit.

Configurare e considerare attendibili i certificati in Adobe Acrobat Reader

Per convalidare le firme nei PDF, Adobe Acrobat Reader può fare affidamento su Windows Store oppure utilizzare il proprio archivio di certificati attendibile. A seconda dei casi, potrebbe interessarvi un'opzione o l'altra, in modo che riconosca le catene di fiducia come valide.

Utilizzo dell'archivio certificati di Windows con Adobe

Per prima cosa, installa il CA radice che ha emesso il certificato utilizzato per firmare i documenti. Scaricare il certificato dall'autorità competente e aprirlo facendo doppio clic su di esso per avviare la procedura guidata di Windows.

1. Nella scheda "Particolari" controlla gli attributi (emittente, impronta digitale, utilizzo) per confermare che si tratti del certificato corretto.
2. stampa "Installa certificato" e poi "Avanti".
3. Scegli il tuo prodotto preferito "Esaminare" e seleziona lo store "Trusted Issuers" Radice Autorità di certificazione).
4. Vai avanti con "Il prossimo" alla schermata finale e premere “Fine”.
5. Essere a CA radiceWindows ti chiederà conferma. Accetta con "Sì".

Quindi, apri Adobe Reader e vai a Modifica → PreferenzeIn "Sicurezza" clicca su "Preferenze avanzate" e vai alla scheda Integrazione di Windows. Controlla l'opzione Validazione delle firme in modo che Adobe consideri attendibile l'archivio di sistema durante la convalida dei PDF firmati.

Utilizzare lo store di Acrobat Reader

Acrobat Reader ha un negozio di fiducia e si basa su di essa per impostazione predefinita. Se preferisci gestirla internamente, importa la CA emittente direttamente nel programma in modo che riconosca come valide le firme emesse da quella catena.

1. Scarica certificato radice dall'autorità emittente corrispondente.
2. Apri Adobe Acrobat Reader. Nelle versioni precedenti, vai a Avanzate → Gestisci identità attendibili; nelle versioni moderne, vai a Documenti → Gestisci identità attendibili.
3. stampa "Aggiungi contatto" e poi “Sfoglia” per selezionare il certificato scaricato.
4. Nella finestra, seleziona la contatto appena importatoVerranno visualizzati i certificati contenuti nel file.
5. scegliere Certificato dell'autorità di certificazione e clicca su "Fidati". Seleziona la casella "Firme e come radice di fiducia" e accettare.
6. Termina con "Importare" e "Accetta". D'ora in poi, Acrobat convaliderà le firme che si basano su quella CA.

La scelta tra Windows Store o Acrobat Store dipende dall'ambiente: nelle organizzazioni che si affidano già a una CA a livello di sistema, integrazione con Windows Semplifica la manutenzione: se hai bisogno di controllare ogni trust di Adobe, lo store integrato ti dà autonomia.

Distribuzione di certificati su ChromeOS con Google Console

Negli ambienti gestiti, è possibile distribuire un CA aziendale per consentire ai dispositivi ChromeOS di considerare attendibili la tua rete e le tue applicazioni. Questa distribuzione viene eseguita dalla Console di amministrazione Google, caricando l'autorità come certificato attendibile.

Raccomandazioni precedenti: eseguire questa operazione nel fase iniziale distribuzione per garantire che gli utenti accedano ai siti senza interruzioni. Tieni presente che Formati LDAP:// non sono compatibili e puoi aggiungere un massimo di 50 certificati per unità organizzativa.

Per configurare l'AC, vai a Certificati nella console. Se si desidera applicarlo a tutti gli utenti e browser registrati, mantenere il livello organizzativo superiore; in caso contrario, scegliere un unità organizzativa secondariaQuindi, fai clic su "Crea certificato".

1. Assegna un nome al certificato.
2. Clicca su Caricare e seleziona un file PEM, CRT o CER. Supportato solo un certificato per file; verrà rifiutato se contiene più di un certificato o se non ne contiene nessuno. I certificati codificati DER non sono accettati.
3. In "Autorità di certificazione", scegli quale piattaforme verrà utilizzato come CA.
4. Risparmia con "Inserisci".

Per distribuire il certificato ai dispositivi, utilizzare un Wi-Fi aperto per gli ospitiI dispositivi ChromeOS si autenticheranno con Google e riceveranno il certificato TLS/SSL. Il certificato verrà applicato a tutti i dispositivi ChromeOS registrati sul dominio principale.

Trucco dell'amministratore: forzare il passaggio alla rete di produzione limitando la rete ospite (tempo di sessione o accesso a Internet) o reindirizzando a una pagina che indicare il cambiamento Rete Wi-Fi una volta scaricato il certificato.

a verificar che l'AC è stato applicato in un dispositivo ChromeOS gestito, seguire questi passaggi dal computer stesso:

1. apre chrome: // settings.
2. A sinistra, entra Privacy e sicurezza.
3. Clicca su Sicurezza.
4. Scorri fino a Impostazioni avanzate.
5. selezionare Gestisci i certificati.
6. Controlla che appaia autorità di certificazione che hai appena aggiunto.

Requisiti tipici per gli uffici elettronici e buone pratiche

Alcuni locali continuano a richiedere configurazioni molto specifiche per identificazione e firmaSebbene molte siano in fase di modernizzazione, è utile essere consapevoli di questi requisiti quando si lavora con piattaforme legacy.

Sistemi operativi che sono stati storicamente accettati includono Windows XP, Vista, 7, 8 e 8.1, così come Ubuntu 8–10 (32 bit). In quegli ambienti, il supporto per browser, Java e moduli crittografici ha fatto la differenza.

Per quanto riguarda i browser, le versioni di Internet Explorer 7–11, Firefox (dalla versione 3.6 alla 42) e Chrome (dalla 11 alla 44). Se utilizzi un computer a 64 bit e un sito meno recente, potrebbe esserti richiesto di effettuare l'accesso Internet Explorer a 32 bit e utilizzare Java a 32 bit.

Molti uffici dell'Amministrazione Generale dello Stato convalidano attraverso il piattaforma @firmaPer la prima connessione è stato richiesto di installare il Certificato Red.esSe intendi utilizzare DNIe, avrai bisogno di modulo crittografico specifici e avere Java nelle versioni supportate (ad esempio, da 1.6.0.30 a 1.8.0.45). Non dimenticare di abilitare JavaScript nel browser.

Inoltre, potrebbe essere necessario includere determinati URL in "Siti attendibili» del browser, come http://sede.red.gob.es e https://sede.red.gob.es. E, se la sede centrale lo richiede, abilitare l' firma del file nel browser per poter inviare le domande con firma elettronica.

Browser supportati e note mobili

Per navigare e autenticarsi con un certificato su siti HTTPS, di solito sono compatibili Microsoft Edge, Internet Explorer, Mozilla Firefox, Google Chrome, Opera e SafariSi prega di notare che alcune funzionalità non sono presenti o sono limitate in versioni mobili di questi browser.

Se devi utilizzare il tuo certificato su un telefono, consulta la documentazione specifica del tuo sistema e browser. In molti casi, l'esperienza migliore per firma e autenticazione Continua a verificarsi sui desktop, soprattutto quando nei siti legacy sono coinvolti moduli crittografici, DNIe o dipendenze come Java.

Visualizzazione, esportazione e buone pratiche di custodia

Controllare regolarmente i certificati aiuta a evitare sorprese. scadenza o a causa della mancanza di fiducia nelle nuove catene. Su Windows, utilizzare certmgr.msc; su macOS, Accesso Portachiavi. Verificare l'emittente, l'utilizzo, le date e le impronte digitali per verificare che corrispondano a la tua identità e lo scopo previsto.

Quando esporti o importi, prova a conservare una copia protetto da password e contrassegnare la chiave come esportabile se si pianificano future migrazioni tra computer. Evitare di inviare PFX/P12 tramite e-mail non crittografata e controllare chi vi ha accesso. chiava privata, poiché è l'elemento più delicato dell'intero processo.

Se scopri che la copia che hai è una semplice .cer e il browser non ti consente di firmare o autenticarti, non perdere tempo: richiedi un nuovo certificato al fornitore, seguendo la sua procedura di verifica dell'identità, e ne conserva una copia di backup completa su un supporto sicuro fin dall'inizio.

Installa e considera attendibile un'autorità di certificazione radice (CA)

A volte, affinché il tuo browser o Adobe si fidino delle firme o delle connessioni interne, dovrai installare CA radice emittenteLa procedura tipica in Windows è quella di aprire il file CA, controllarne gli attributi in "Dettagli" e utilizzare "Installa certificato" per inserirlo nel repository "Trusted Issuers". Completa la procedura guidata e conferma il messaggio di sicurezza.

Una volta installata la CA, puoi decidere se Adobe Reader la considera attendibile. Windows Store (attivando "Convalida firme" nell'integrazione di Windows) oppure se preferisci importarlo direttamente nello store di Acrobat ("Gestione delle identità affidabili → Aggiungi contatto → Attendibilità). In questo modo eviterai avvisi di firme non valide sui tuoi documenti.

Se lavori in un'organizzazione che utilizza ChromeOS, distribuisci la CA da Console di Google caricare un file PEM/CRT/CER con un singolo certificato (non DER). Ricordare i limiti di 50 certificati per OU e che LDAP:// non sono supportati. Distribuisci con Wi-Fi ospite e convalida in "Gestisci certificati" sul dispositivo.

Con tutto quanto sopra, avrai ben coperti i casi più frequenti: visualizzazione dei certificati installati, importazione in Chrome (Windows), regolazione della selezione in Internet Explorer/Edge, integrazione con Adobe e distribuzione di CA per i dispositivi gestiti. La chiave è posizionare ogni elemento nel repository corretto, rivedere la catena di attendibilità e mantenere backup sicuri per non farsi cogliere impreparati quando ne hai più bisogno.