MPR TI 20 1178 @firma Admin Is Trac Ion MAN

MPR-TI-20-1178-@Firma-Administracion-MAN-017
Manual de la herramienta de Administracin de @firma 5.3.1_08
Documento n: Revisin: Fecha: Perodo de retencin:
MPR-TI-20-1178-@Firma-Administracion-MAN 017 09-11-2010 Permanente durante su perodo de vigencia + 3 aos despus de su anulacin
1/111 MPR-TI-20-1178-@Firma-Administracion-MAN
TELVENT Manual de Administracin de @firma 5.3.1_08
CONTROL DE COMPROBACIN Y APROBACIN

Documento n: Revisin: Fecha: MPR-TI-20-1178-@Firma-Administracion-MAN 017 09-11-2010
REALIZADO
29-08-2006 Luis Lozano Ayala Analista Firma Electrnica Pablo Pizarro Armendriz Analista Firma Electrnica Pedro Luis Alvarez Ossorio Torres Analista Firma Electrnica Moiss Manuel Infante Gmez Analista Firma Electrnica
29-08-2006 Miguel ngel Ager Vzquez Analista Firma Electrnica Jos ngel Romn Lpez Analista Firma Electrnica Juan Jos Lpez Portillo Programador Jose Antonio Garca Garca Analista
COMPROBADO
09-11-2010 Manuel Reyes Cayetano Director tcnico @firma
APROBADO
09-11-2010 Manuel Reyes Cayetano Director tcnico @firma
2/111
MPR-TI-20-1178-@Firma-Administracion-MAN
CONTROL DE MODIFICACIONES
Rev. Fecha Autor/es Descripcin
1 29/08/2006 LLA, PPA, PLAT, JAMC, RCVC Documentacin inicial
2 25/10/2006 MMIG Correccin de diversas erratas.
3 09/03/2007 RCVC Actualizacin del punto 4.3.9 Gestion de Cach de Nivel 1 de Certificados
4 03/04/2007 MMIG Inclusin de la funcionalidad de Estadsticas Federadas
5 25/05/2007 MAAV Inclusin de la funcionalidad de configuracin del servidor OCSP y aplicaciones para la autenticacin de peticiones OCSP.
6 03/07/2007 JARL Actualizada la documentacin con la introduccin de la funcionalidad de restricciones a la poltica de certificacin.
3/111
7 29/01/2008 AMVG Actualizada la documentacin con la de un nuevo tipo de asicacin Expresin Regular para el mapeo de campos lgicos.
8 05/02/2008 JAGG Inclusin de la funcionalidad necesaria para activar/desactivar la cach de CRLs.
9 21/05/2008 JARL Inclusin de informacin correspondiente a: - Control de acceso a la Herramienta de Administracin. Nmero de intentos y bloqueo de usuarios. - Autorizacin de operaciones crticas. Gestin de keystore, contraseas y usuarios. - Validacin de contenido de contraseas de usuarios en la creacin y modificacin.
10 04/06/2008 JJLP Modificacin de las imgenes para poder convertir el documento a HTML correctamente.
11 09/06/2008 JAGG Modificacin de las imgenes adaptndolas a la versin 5.3 de @firma.
12 16/06/2008 JJLP Generacin de anclas para cada uno de los apartados. Se usa la nomenclatura siguiente: Apartado: REF<Nmero de apartado separado por _>. Ej. REF5_3_1_1 Anexo: ANEXO_<Nmero anexo separado por _>. Ej. ANEXO_II_7_1
13 25/06/2008 MRC Aadido Anexo III: Uso seguro de la plataforma

14 17/12/2009 MAAV / JAGG Se modifica el apartado 1.3.3.5.1 aadiendo una aclaracin sobre los campos multivaluados. Se modifican las referencias a MAP por referencias a MPR. Se adapta el manual a la versin 5.3.1_01 de @firma.
15 10/03/2010 JAGG Se adapta el manual a la versin 5.3.1_02 de @firma.
5/111
CONTROL DE DISTRIBUCIN
Propiedad del documento:

Este documento pertenece al Ministerio de Presidencia y posee un carcter de pblico para uso y distribucin en mbitos autorizados por el MPR, segn se recoge en la declaracin de privacidad.
Declaracin de privacidad:
El contenido de este documento est sujeto al protocolo de libre distribucin dentro del entorno definido.
Copias Electrnicas:
La distribucin de este documento ha sido controlada a travs del sistema de informacin.
Copias en Papel:
La vigencia de las copias impresas en papel est condicionada a la coincidencia de su estado de revisin con el que aparece en el sistema electrnico de distribucin de documentos. El control de distribucin de copias en papel para su uso en proyectos u otras aplicaciones es responsabilidad de los usuarios del sistema electrnico de informacin. Fecha de impresin 09 de noviembre de 2010
6/111
ndice
Objeto.....................................................................................................................................................8 Alcance ...................................................................................................................................................8 Siglas.......................................................................................................................................................9 Documentos de Referencia................................................................................................................10 Mdulo de Administracin de la Plataforma @Firma ....................................................................11 1.1 1.2 1.3 Descripcin General ...........................................................................................................11 Acceso al interfaz grfico del mdulo de Administracin ..................................................13 Componentes.....................................................................................................................16 1.3.1 Gestin PSCs .........................................................................................................17 1.3.2 Gestion de Mtodos de Validacin ........................................................................25 1.3.3 Gestin de Polticas de Certificacin ......................................................................31 1.3.4 Gestin de Aplicaciones y Unidades Organizativas ................................................42 1.3.5 Gestion de Usuarios ...............................................................................................56 1.3.6 Gestion de Keystores y Contraseas. .....................................................................63 1.3.7 Gestin de Tareas...................................................................................................71 1.3.8 Gestion de Alarmas................................................................................................73 1.3.9 Gestion de Cach de Estado de Certificados. Cach de Nivel 1 ............................75 1.3.10 Gestion de Descargas de CRLs. Cach de nivel 2...................................................76 1.3.11 Importacin / Exportacin de polticas de certificacin ..........................................79 1.3.12 Gestin de Plataformas Federadas y Unidades Organizativas................................84 1.3.13 Configuracin del servidor OCSP ...........................................................................97
Anexo I. Caso Prctico: Utilizacin de CRLs particionadas y descarga en cach L2 ..................99 1.4 1.5 1.6 1.7 1.8 Configuracin del PSC .....................................................................................................100 Adicin del certificado emisor de las CRLs en el almacn de confianza de CRLs...........100 Configuracin de los mtodos de validacin ...................................................................102 Asignacin de los mtodos de validacin ........................................................................104 Creacin de las tareas de descarga de las CRLs ..............................................................104
Anexo II. Caso prcticos. Definicin de mtodos de validacin: Tipo Asociacin Expresin Regular ....................................................................................................................................................106 1.9 Expresiones regulares estndar de Java............................................................................106
1.10 Referencias a otos campos lgicos...................................................................................108 1.11 Ejemplos prcticos............................................................................................................109 1.11.1 Ejemplo utilizacin expresin de Java ..................................................................109 1.11.2 Ejemplo utilizacin expresin de Java y el valor de un campo lgico...................109 Anexo III. Recomendaciones de uso seguro de la plataforma @Firma 5 ..................................111
7/111
Objeto Es objeto de este documento describir la herramienta de administracin de la plataforma de Validacin y Firma Electrnica, @firma v5.0.
Alcance El presente documento recoge un manual de administracin y casos prcticos para gestionar la plataforma de validacin y firma electrnica, @firma 5. Los objetivos globales de este proceso son: Describir la utilizacin del interfaz grfico del mdulo de Administracin. Enumerar y describir los componentes que forman dicho mdulo. Mostrar varios casos prcticos de uso del mdulo de Administracin.
8/111
Siglas
CA CPD CRL DES FTP HTTPS IP LDAP OCSP OID PSC SOAP SSL UO URI URL XAdESBES XAdEST XMLDSignature CRL
Autoridad de Confianza CRL Distribution Point Lista de Revocacin de Certificados Data Encryption Standard File Transfer Protocol HyperText Transport Protocol Secure Internet Protocol Lightweight Directory Access Protocol Online Certificate Status Protocol Object Identifier Prestador de Servicios de Certificacin Simple Object Access Protocol Secure Socket Layer Unidad Organizativa Uniform Resource Identifier Uniform Resource Locator XML Advanced Electronic Signature Basic Electronic Signature XML Advanced Electronic Signature Timestamping XML Advanced Electronic Signature Certificate Revocation List
9/111
Documentos de Referencia
-
Documento TI-20-1178-@Firma-InstalacionyDespliegue-MAN, Manual de Instalacin y despliegue de la plataforma @Firma 5.
10/111
Mdulo de Administracin de la Plataforma @Firma 1.1 Descripcin General
El mdulo de Administracin de la plataforma de @Firma v5.0 tiene como objetivo permitir la configuracin de todos los elementos, susceptibles de ello, que conforman la plataforma. Entre sus caractersticas principales se encuentran: Centralizacin de la configuracin. Todos los parmetros de configuracin de la plataforma @firma han sido agrupados en un nico elemento de configuracin, independientemente de los nodos del cluster que conforma la plataforma y de los servicios ofrecidos por la misma. Administracin remota de la plataforma @firma y Administracin delegada. La administracin delegada permite que los propios organismos usuarios de la plataforma configuren sus aplicaciones y generen sus reportes de consultas y estadsticas de uso. Para mayor detalle, consulten el manual especfico de Administracin Delegada. Securizacin. El sistema de administracin se encuentra protegido por un triple sistema de seguridad: o Sistema de logado para usuarios basado en usuario y contrasea. El nivel de acceso de los distintos usuarios se establecer en base a unos roles que determinarn el campo de accin.
o Securizacin de las comunicaciones mediante https. o Cifrado de la configuracin. La configuracin de la plataforma es cifrada a la hora de serializarse a disco. Backup del fichero de configuracin, dando la posibilidad de recuperar configuraciones anteriores (por seguridad, es necesario tener acceso a la plataforma por consola y ser administrador de la misma).
Los elementos o componentes que permite gestionar mediante sus interfaces grficos este mdulo son: Usuarios. Mediante este componente es posible definir los usuarios encargados de administrar, monitorizar y auditar la plataforma. Unidades organizativas y aplicaciones. Este componente realiza la administracin de unidades organizativas y gestin de aplicaciones, permitiendo configurar diversos aspectos como la poltica de certificacin que se aplicar, securizacin de los servicios web, firma de las respuestas, custodia de documentos, etc. Almacenes de certificados y contraseas. Mediante este componente se pueden configurar los distintos almacenes de certificados registrados en la plataforma y las contraseas que utiliza la plataforma.
Prestadores de servicios de certificacin. Este componente permite registrar y modificar los prestadores que van a ser considerados por la plataforma, as como aquellos tipos de certificados que puede emitir cada uno de ellos y su informacin (informacin DPC, discriminador de tipo de certificado, etc). Polticas de certificacin. Este componente define las diferentes polticas de certificacin que podrn aplicarse a las aplicaciones registradas en la plataforma. Se define como poltica de certificacin, al conjunto constituido por un certificado patrn (con sus corrientes campos lgicos) y a los diferentes mapeos de los tipos de certificados aplicados sobre dicho certificado patrn. Mtodos de validacin. Este componente registra los distintos mecanismos de validacin de certificados as como la configuracin necesaria para el correcto funcionamiento de cada uno de ellos. Alarmas. Mediante este componente los administradores de la plataforma podrn configurar los destinatarios que deben ser informados, mediante un e-mail, por el lanzamiento de cada uno de los tipos de alarmas existentes en el sistema. Tambin permite configurar el servidor de correo a utilizar. Tareas. Este componente permite administrar procesos que sern ejecutados peridicamente por la plataforma en segundo plano. Cach de estado de validacin de certificados. A travs de este componente es posible configurar ciertos parmetros que permiten que los mtodos de validacin de certificados optimicen el tiempo de obtencin del estado de revocacin de certificados. Este componente permitir configurar la cach de primer nivel de la plataforma. Planificador de descargas de CRLs. Este componente es el encargado de gestionar las tareas que van a permitir la descarga/actualizacin peridica de las CRLs de los prestadores reconocidos por la plataforma, as como los accesos a las mismas. Estas CRLs conformarn una cach de segundo nivel que permitir una mayor eficiencia a la hora de consultar el estado de los certificados a validar. Importacin y Exportacin de polticas de confianza. Este componente permite la generacin de un fichero XML que contiene la informacin de las polticas de validacin especificadas por el administrador, para posteriormente importar dicha informacin en otra plataforma @firma, o bien en la misma para restaurar la informacin en caso de inconsistencia de la misma. Plataformas Federadas. Este componente realiza la administracin de las plataformas federadas, permitiendo configurar diversos aspectos como el certificado asociado a cada plataforma, los mtodos de validacin de dicha plataforma, etc. Gestin del Servidor OCSP. Permite la configuracin de los parmetros de funcionamiento del servidor OCSP que incorpora la plataforma.
12/111
1.2
Acceso al interfaz grfico del mdulo de Administracin
Para acceder al interfaz grfico del mdulo de Administracin es necesario dirigirse a alguna de las siguientes URL:
Modo Securizado Modo normal
https://IP_MAQUINA/Administracion/index.html http://IP_MAQUINA:PUERTO/Administracion/index.html
Donde IP_MAQUINA es la direccin IP de la plataforma @firma, y PUERTO es el puerto de escucha por el cual han sido configurado/s el/los servidor/es de aplicaciones que aloja/n la plataforma. Por defecto esto puertos son: 443 (Modo Securizado) y 80, 8080 (Modo normal). Una vez insertada la URL en el navegador debe aparecer la siguiente pantalla:
Figura 1 Interfaz de acceso al mdulo de Administracin de @firma

TELVENT Manual de Administracin de @firma 5.3.1_08 13/111 MPR-TI-20-1178-@Firma-Administracion-MAN
Esta es la pantalla de login del mdulo de administracin. Se debe introducir el usuario y password de un usuario (con rol administrador) registrado en la plataforma para poder acceder a dicho mdulo. En caso de indicar un usuario y/o password incorrectos nos aparecer una pantalla de error que muestra el error que ha ocurrido:
Figura 2 Ventana de Error en el proceso de Logado
Otra posibilidad de mensaje de error es el que se da si la plataforma tiene configurada el rol administrador como bloqueable, en el caso que el usuario no inserte correctamente su contrasea muestra el nmero de intentos restantes.
Figura 3 Ventana de Error en el proceso de Logado con nmero de intentos
En el caso de sobrepasar el nmero de intentos el usuario ser bloqueado mostrando el siguiente mensaje:
Figura 4 Ventana de Error en el proceso de Logado con nmero de intentos sobrepasado
Si el usuario que intenta acceder se encuentra bloqueado se muestra el siguiente mensaje:
14/111
Figura 5 Ventana de Error en el proceso de Logado, usuario bloqueado
Si todo ha ido bien se acceder al interfaz grfico del mdulo de administracin, el cual nos permite administrar todos los componentes (aplicaciones, PSCs, alarmas, etc.) comentados anteriormente:
Figura 6 Mdulo de Administracin de @firma
15/111
1.3
Componentes
Mediante el interfaz grfico del mdulo de administracin es posible gestionar varios aspectos de la plataforma @firma, los cuales estn agrupados en componentes. El acceso a la configuracin de estos componentes se realiza desde dicho interfaz, como muestra la siguiente figura:
Figura 7 - Mdulo de Administracin de @firma
Los iconos enmarcados en la parte superior de la imagen habilitan el acceso a las interfaces grficas que permiten la gestin de los diferentes componentes contemplados en el mdulo de administracin de la plataforma. A continuacin se muestra relacin de componentes e iconos: Gestin de PSCs. Gestin de Mtodos de Validacin. Gestin de Polticas. Gestin de Aplicaciones y Unidades Organizativas. Gestin de Usuarios. Gestin de Keystores y Contraseas. Gestin de Tareas. Gestin de Alarmas.
Gestin de Cach de nivel 1. Gestin de Descargas de CRLs. Cach nivel 2. Importacin / Exportacin de polticas de validacin Gestin de Plataformas Federadas Gestin del servidor OCSP. Ayuda.
Estos componentes de administracin tambin estn accesibles desde el men desplegable que se encuentra en la cabecera del interfaz, denominado Componentes. En los siguientes aparatados se describirn para cada componente los interfaces grficos que lo conforman, funcionalidades que permiten realizar y la informacin que gestionan.
1.3.1
Gestin PSCs
Los PSCs (Prestadores de servicios de certificacin), conforman la base sobre la que se asienta cualquier infraestructura de PKI. Acreditan la identidad de entidades externas mediante la emisin de certificados digitales x.509v3. Es por tanto primordial establecer un conjunto de PSCs que acoten o definan el mbito de confianza del sistema. Por otro lado, cada PSC define en su correspondiente Declaracin de Prcticas de Certificacin (DPC) un conjunto de tipologas de certificados finales que puede emitir. Cada tipo de certificado tendr un significado especfico y ser reconocido en un contexto determinado. As por ejemplo, podrn existir tipos de certificados de personas fsicas, jurdicas, para componentes, etc. Toda esta informacin debe ser registrada previamente en la plataforma con el fin de poder establecer un mbito de confianza entre el sistema y los diferentes PSCs, y de discriminar cada PSC y los tipos de certificados que emite. Para ello se proporciona el mdulo de gestin de PSCs que permitir el registro de cada uno de los prestadores y tipos de certificados que van a ser reconocidos por el sistema. Este proceso conlleva por un lado la determinacin de las dependencias existentes entre las distintas CAs, y por otro la verificacin de la cadena de confianza que garantiza que la identidad del propietario del certificado tiene validez en la fecha presente y cumple con los requisitos definidos en la RFC 3280. Los PSCs se darn de alta mediante el registro en el sistema de sus certificados X509 v3 y de la informacin necesaria para el tratamiento y gestin de los certificados que pueden emitir. Este mecanismo de gestin permitir definir la manera de discriminar el tipo de cada certificado.
1.3.1.1 Alta de Prestador de Servicios de Certificacin Para dar de alta la jerarqua de certificacin es necesario disponer de los certificados X509 v3 asociados a todas y cada una de las entidades a registrar, es decir, el certificado de la CA raz, de
las CA intermedias, en caso de existir, y certificados de ejemplo de cada uno de los tipos de certificados que pueden emitir los PSCs. Una vez pulsado el botn de Gestin de Prestadores , para poder dar de alta a un prestador de certificados ser necesario pulsar sobre el botn Alta PSC. Tras ello se mostrar la ventana de alta de Prestadores, en la que ser necesario especificar los siguientes datos: Alias o nombre identificativo de la CA con el que ser mostrado el Prestador en el rbol de Prestadores. Ruta donde se encuentra el certificado X509 v3 asociado al Prestador. URL donde se encuentra publicada la ltima DPC del Prestador. La ltima versin de la DPC. El domicilio social del Prestador. Identificador de particin. Ser necesario nicamente cuando el Prestador emita CRLs particionadas y se pretenda validar contra ellas los certificados emitidos. Para ms informacin se remite al lector a la gestin de mtodos de validacin y de tareas de descarga. Por ltimo, ser necesario especificar si la CA que se va a registrar es una raz de certificacin o no. Generalmente una CA es raz de confianza si ha sido autoemitida y se confa en ella. Con esta opcin se permite establecer como races de confianza, CAs que no han sido autoemitidas.
Figura 8 Interfaz de alta de Prestador de Servicios de Certificacin

Es necesario tener en cuenta que a la hora de aadir una jerarqua de certificacin siempre es necesario hacerlo partiendo desde la raz de la misma, ya que a la hora de agregar un PSC el sistema verificar si su emisor ya se encuentra dado de alta (salvo que el PSC se est dando de alta como raz de confianza). La plataforma realizar una validacin del certificado (integridad y fechas de validez) procediendo a registrarlo en el sistema, ubicado en su nivel jerrquico correspondiente. Si el certificado no es vlido o no se han especificado todos los datos necesarios se mostrar un mensaje de error, y el PSC no ser aadido a la configuracin.
Figura 9 Interfaz de Error de Alta de PSC
En caso contrario, mostrar una pantalla indicando que el Prestador ha sido dado de alta correctamente.
Figura 10 PSC dado de alta correctamente
Una vez dada de alta la jerarqua de certificacin de los prestadores, se deben dar de alta los diferentes tipos de certificados X509 v3 que pueden emitir con el fin de que el sistema pueda reconocerlos. Para ello, en primer lugar, se seleccionar del rbol de prestadores aqul que emite el tipo de certificado concreto que se va a registrar. La pantalla que aparece a la derecha con la informacin sobre el prestador contiene diversos botones en su parte inferior.
19/111
Figura 11 rbol de Gestin de PSCs
1.3.1.1.1 Alta de Tipo de Certificado
Para aadir un tipo de certificado se debe pulsar sobre el botn Alta tipo de certificado abrindose una pantalla como la que se muestra a continuacin.
Figura 12 - Interfaz de Alta de tipo de Certificado
Para dar de alta un tipo de certificado ser necesario rellenar los siguientes campos: Identificador. Nombre identificativo del tipo de certificado a dar de alta. Los identificadores de tipo de certificado son nicos para cada prestador, pero pueden repetirse en diferentes prestadores.
Certificado de ejemplo. Ruta de un certificado X509 v3 del tipo que se quiere dar de alta. Este certificado permitir al administrador definir los criterios de discriminacin del tipo de certificado de forma rpida e intuitiva dado que podr navegar por los diferentes campos que lo componen y seleccionarlos con un simple clic de ratn. Descripcin. Literal utilizado para especificar una descripcin ms detallada del tipo de certificado. URL Perfil Certificado. URL donde el PSC publica la informacin concreta acerca del tipo de certificado, bien sea una DPC o cualquier otro tipo de documento. ltima Versin Perfil. Especifica qu versin del tipo de certificado se est utilizando. Almacenar Certificado Ejemplo. Como ya se ha comentado, los certificados de ejemplo se utilizan para facilitar la tarea de discriminacin del certificado as como para realizar la configuracin de mapeos. Para ello, y con el fin de poder modificar dicha informacin en un futuro, es necesario que el sistema almacene el certificado de ejemplo. Sin embargo, dado que puede darse el caso de que no se desee que el certificado sea almacenado en el sistema por diversos motivos (confidencialidad, proteccin de datos, etc.), se permite especificar si el certificado ser almacenado o simplemente ser utilizado por el sistema para llevar a cabo el alta del tipo de certificado. En este ltimo caso, a la hora de definir los mapeos, o de modificar los discriminadores posteriormente, ser necesario dar de alta temporalmente un certificado de ejemplo, o bien introducir la informacin de forma manual (no se recomienda dado que no se podra comprobar su funcionamiento real en tiempo de administracin).
Una vez rellenos los datos requeridos en la pantalla anterior se debe pulsar sobre el botn Siguiente que abrir (si la informacin introducida es correcta) la pantalla de definicin del discriminador de tipo de certificado.
Figura 13 Definicin del discriminador de un tipo de certificado

En la parte izquierda se muestra un rbol que muestra de forma jerrquica toda la informacin que contiene el certificado de ejemplo especificado en la pantalla anterior. Pulsando sobre cada elemento se ir desplegando la estructura, hasta mostrar los campos finales que componen el certificado, y en la parte derecha aparecer la ruta del elemento que se ha seleccionado as como su valor correspondiente. En caso de que no exista un certificado de ejemplo para realizar este proceso, la ruta del campo a especificar tendra que ser introducida manualmente en el campo Atributo del certificado. Los campos que aparecen en la pantalla se describen a continuacin: Atributo del certificado. Especificar una ruta que especificar de forma inequvoca el atributo del certificado que ser utilizado para realizar el proceso de discriminacin. Esta ruta puede ser introducida a mano y tendr el formato: {GENERAL || EXTENSION::NOMBRE_CAMPO[::NOMBRE_SUBCAMPO]} Algunos ejemplos de rutas vlidas:
{GENERAL::Subject::CommonName} {GENERAL::Issuer} {GENERAL::SerialNumber} {EXTENSION::CertificatePolicies::policyIdentifiers}
Valor. Mostrar el valor del campo del certificado que se haya seleccionado en el rbol de atributos. No mostrar nada si la ruta se especifica manualmente. Aplica Patrn. Es la nica opcin disponible actualmente, e indica que el valor del campo obtenido del certificado a partir de la ruta especificada ser comparado tal cual con un valor literal especificado por el administrador. Tipo de comparacin. Es un men desplegable que contiene los tres tipos de operadores de comparacin que se pueden llevar a cabo entre el valor del campo especificado del certificado y el valor literal definido por el administrador. Los tipos son MATCH (realiza una comparacin en la que se pueden utilizar expresiones regulares), EQUAL (realiza una comparacin literal de las cadenas), DISTINCT (evala si las cadenas son distintas de forma literal). Valor Constante. Almacenar el valor con el que ser comparado por medio del operador especificado con el valor obtenido del certificado por medio de la ruta especificada.
Tras especificar el discriminador, se pulsar el botn Dar de Alta, y el sistema completar el alta del tipo de certificado asociado al prestador especificado.
22/111
1.3.1.2 Modificacin de Prestador de Servicios de Certificacin El mdulo de administracin nos permite modificar los datos de los PSCs, para ello, primero se tiene que seleccionar el PSC que se quiere modificar, en el rbol de prestadores. En la parte derecha de la pantalla se presentar una ventana con los datos del prestador, donde se podrn modificar los datos. Uno de los aspectos ms importantes que se pueden modificar es el estado actual del propio PSC. Los posibles estados son: Funcionando correctamente. En caso de que el certificado est vigente, no revocado y no se encuentre dado de baja. Sin determinar. El estado del certificado no se ha podido determinar debido a una falta de conectividad con el prestador o a cualquier otro problema ajeno a la plataforma. El certificado se tratar como si fuera vlido, pero el sistema notificar del cambio de estado por medio de una alarma que podr ser visualizada por medio del mdulo de auditora. Suspendido. El certificado se encuentra revocado y por tanto no es de confianza, as como tampoco ninguno de los certificados que han sido emitidos por ste. Baja o caducidad. Indica que un prestador ya no es de confianza bien por decisin del administrador, o bien porque su certificado X509 haya expirado.
Figura 14 Interfaz de gestin de PSC
1.3.1.3 Baja de Prestador de Servicios de Certificacin Adems de las opciones anteriores, el mdulo de administracin permite eliminar un prestador de certificados del rbol de PSCs, para realizar esto lo nico que se tendra que hacer es
seleccionar el PSC que se quiera borrar, y en la pantalla donde aparecen los datos del prestador, pulsar sobre el botn Eliminar PSC. Antes de eliminarse la plataforma solicitar la confirmacin de la operacin. Si se acepta, aparecer un mensaje indicando la correcta finalizacin de la operacin, o si por el contrario ha habido algn error tambin lo comunicar. Por motivos de seguridad no se permite eliminar un prestador si se encuentra registrado en el sistema algn descendiente del mismo o bien un tipo de certificado asociado a l. En ese caso, ser necesario eliminar previamente los descendientes. 1.3.1.4 Generacin informe PSCs En infraestructuras complejas donde existe una gran cantidad de PSCs y aplicaciones integradas, y donde es necesario definir mltiples polticas de validacin para satisfacer los requisitos de funcionamiento de dichas aplicaciones, puede llegar a ser complicada la gestin del conocimiento de qu configuraciones existen definidas en el sistema. Con el fin de mejorar dicha gestin, @firma permite la generacin de informes en formato excel que agrupan toda la informacin relacionada con PSCs, aplicaciones, y las polticas de validacin que actan como elemento de unin, de forma que se pueda extraer de manera sencilla qu poltica se encuentra asignada a cada aplicacin, y qu Tipos de Certificados se encuentran definidos bajo dicha poltica, diferenciando tambin aquellos que se encuentran deshabilitados y/o restringidos temporalmente para una aplicacin concreta. El botn Generar Informe en la pantalla de Gestin de PSCs, permite la generacin de los informes en Excel. Tras ello, el sistema consultar al usuario qu desea hacer con el fichero, guardarlo a disco o abrilo.
Figura 15 Generacin de informe PSCs
24/111
1.3.2
Gestion de Mtodos de Validacin
Los mtodos de validacin definirn cmo se llevar a cabo la obtencin del estado de revocacin de los certificados soportados por la plataforma, desde los certificados de prestador, hasta los certificados finales. Los mtodos de validacin se dan de alta en la plataforma de manera independiente a los prestadores, pudiendo ser asignados a ellos posteriormente a travs de las polticas de validacin, definiendo tambin la prioridad en que sern utilizados. Esto permite utilizar un mismo mtodo de validacin para diferentes prestadores sin necesidad de duplicar la informacin. Para poder acceder a la Gestin de Mtodos de Validacin, se pulsar sobre el botn , tras lo cual aparecer en la parte izquierda de la pantalla el rbol de mtodos de validacin registrados en la plataforma.
Figura 16 Interfaz de gestin de Mtodo de Validacin
Los mtodos se agrupan dependiendo del protocolo utilizado para realizar la consulta, distinguindose as los siguientes: CRL (HTTP, FTP, LDAP directo y segmentado), OCSP (HTTP) y SOAP (HTTP y HTTPS).
1.3.2.1 Alta de Mtodos de Validacin Para registrar en el sistema un nuevo mtodo de validacin se pulsar el botn Alta Met. Val., ubicado en la parte superior del rbol de mtodos. La ventana de alta contiene los siguientes parmetros a introducir:
Identificador: identificador nico en el sistema asignado al mtodo de verificacin. Tipo: especificar el protocolo utilizado para realizar la consulta. Actualmente estn disponibles los protocolos CRL, OCSP y WEB SERVICE. Dependiendo del protocolo seleccionado, la informacin a especificar en el siguiente paso ser diferente. Usar Distribution Point: habitualmente los certificados X.509 v3 suelen incluir unas extensiones donde se especifica una o varias URIs de acceso para la consulta de estado del propio certificado. Si se activa esta casilla la plataforma utilizar siempre como primer punto de acceso la informacin contenida en el certificado y slo en caso de no poder acceder a dicho origen se utilizara el especificado en el mtodo (si se ha definido uno). URL Servidor: URL de acceso al recurso para la consulta de estado del certificado. Timeout conexin: timeout en milisegundos definido para el establecimiento de conexin con la URL de destino. Timeout lectura: timeout en milisegundos definido para la lectura del recurso (CRL) o bien la respuesta del servidor (OCSP).
Figura 17 Interfaz de alta de Mtodo de Validacin. Paso 1
Una vez especificados los parmetros requeridos y tras pulsar el botn continuar, se mostrar la siguiente pantalla del proceso. Dependiendo del protocolo seleccionado la pantalla mostrar diferentes parmetros a completar. Si es seleccionado el protocolo OCSP, los parmetros requeridos sern:
26/111
Tipo de acceso. Define el protocolo de transporte utilizado para realizar la comunicacin. Actualmente el nico disponible es el http (engloba tambin https). Intervalo permitido. Define en segundos el tiempo mximo aceptable entre la firma de la respuesta OCSP por parte del servidor OCSP, y la fecha de recepcin del mensaje en la plataforma. La plataforma rechazar las respuestas que no se ajusten a dicho tiempo. Firmar peticiones: Indica si se firman las peticiones OCSP que enva la plataforma. Certificados para autenticacin OCSP: Se seleccionar el certificado con el cual se firmarn las peticiones OCSP. Los certificados disponibles para esta operacin deben haber sido dados de alta previamente en el keystore KeystoreClienteOCSP (vase la gestin de keystores y contraseas). RequestorName Obligatorio: Indica si se debe incluir el campo RequestorName en las peticionesOCSP. La inclusin de este campo es obligatorio si las peticiones van firmadas. Identificador de la aplicacin: En el caso de que RequestorName sea obligatorio o bien que las peticiones deban ir firmadas, se debe especificar el identificador de cliente OCSP. Este identificador ser acordado con el PSC correspondiente.
Figura 18 Interfaz de alta de Mtodo de Validacin. Paso 2 OCSP
Si la opcin elegida ha sido CRL, ser necesario configurar algunos parmetros ms. Estos son: Tipo acceso. Se identificar el protocolo que se va a utilizar para acceder al origen de la informacin de estado. Los tipos disponibles son: http (https), ftp, ldap directo y ldap segmentado. Validar CRL. Indica a la plataforma si se debe validar la CRL cada vez que vaya a ser consultada para obtener el estado de un certificado. Esta opcin se debe deshabilitar
nicamente si la CRL a consultar se va a almacenar en la cach de segundo nivel y se desea que no se verifique cada vez que se vaya a consultar (el proceso de verificacin s se llevar a cabo siempre en el momento de la descarga). Ruta LDAP. En caso de tratarse de un protocolo de acceso por LDAP, se indicar la ruta dentro del mismo donde se encuentra la CRL (por ejemplo: cn=*,cn=ARC DNIE 001,OU=DNIE,o=Direccion General de la Policia,c=ES). Siempre se introducir la ruta LDAP especificando el acceso desde el nodo hoja hasta la raz del rbol. Id. Emisor CRL: se especificar el identificador del certificado que emite la CRL. El emisor de la CRL debe encontrarse registrado en el Keystore de certificados de confianza para CRLs correspondiente (consultar la gestin de Keystores). En caso contrario, la plataforma rechazar la CRL durante el proceso de validacin de la misma. Tipo Autenticacin: especifica el tipo de autenticacin que requiere el acceso al origen de la informacin. Los mtodos disponibles actualmente son: sin autenticacin o bien mediante credenciales de tipo usuario/contrasea. Usuario: identificador del usuario en caso de especificarse el tipo de autenticacin usuario/contrasea. Id. Contrasea: identificador asociado a la contrasea que se utilizar junto con el usuario especificado. Las contraseas se definen en el mdulo de gestin de contraseas que se detalla ms adelante en este documento (ver gestin de keystores y contraseas). Almacenar CRL: indica si la CRL especificada por el mtodo de validacin debe ser almacenada en la cach de segundo nivel con el fin de optimizar los procesos de validacin. Cachear CRL: indica si la CRL especificada por el mtodo de validacin debe ser almacenada en una cach intermedia por encima de la base de datos con el fin de optimizar los tiempos de acceso en aquellas CRLs de gran tamao. Esta casilla tan solo se podr activar si tambin est activada la de almacenar CRL. Tipo de repositorio: indica si la CRL debe ser almacenada en la plataforma como un fichero, o bien en la Base de Datos de CRLs. Nombre fichero repositorio: especifica el nombre con el que ser almacenada la CRL. Tipo Nomenclatura: puede ser Fija, el nombre de la CRL ser el especificado en el campo anterior, o bien Secuencial, en cuyo caso el nombre de la CRL se conformar mediante un prefijo y un nmero secuencial en base al formato definido en el campo anterior (este formato tiene un tipo de nomenclatura especial). Este ltimo tipo se utiliza para los accesos a CRLs particionadas como por ejemplo las del DNI electrnico y nicamente podr ser utilizado para la obtencin de CRLs por las tareas de descarga que conforman la cach de nivel 2. (En el Anexo I se muestra un ejemplo prctico) Cuando el tipo de nomenclatura es Secuencial, el formato del campo Nombre fichero repositorio debe contener una cadena literal, y dos caracteres especiales:
* las ocurrencias de este carcter sern sustituidas en tiempo de descarga de la CRL por un nmero generado de forma secuencial desde 0 hasta N-1, siendo N el nmero de particiones que conforman la CRL y que se define a continuacin. ? las ocurrencias de este carcter sern sustituidas en tiempo de descarga de la CRL por un literal que debe haber sido definido en la tarea de que se encarga de la descarga peridica de la CRL. Este literal se denomina identificador de particin (para ms informacin ir a la gestin de tareas de descarga de CRLs o cach de segundo nivel).
Un ejemplo de CRL particionada sera el siguiente: A6B4D3EEDDFF-55.crl, donde: A6B4D3EEDDFF es un identificador de particin. 55 es el nmero de particin. Por tanto, para definir este identificador de CRL, debera utilizarse la expresin: ?-*.crl Nmero Particiones: en caso de especificar un tipo de nomenclatura secuencial, se debe especificar el nmero de particiones de las que constar la CRL. El sistema descargar una por una las CRLs desde 0 hasta N-1
Figura 19 - Interfaz de alta de Mtodo de Validacin. Paso 2 CRL
Y por ltimo si la eleccin hubiese sido WEB SERVICE, los parmetros a especificar seran los siguientes:
29/111
Figura 20 - Interfaz de alta de Mtodo de Validacin. Paso 2 WEB SERVICE
Tipo de Acceso. Especifica si el acceso se realizar por medio del protocolo http o https. Id. Aplicacin. Especificar el identificador de la aplicacin (incluyendo su unidad organizativa en caso de existir) que ser utilizado en las consultas para obtener el estado de los certificados. El identificador especificado deber encontrarse dado de alta por tanto en la plataforma que va a ser objeto de la consulta. Autorizacin de Servicios Web. En caso de se requiera securizacin de los mensajes SOAP enviados a la plataforma de destino (la securizacin a utilizar es configurada por dicha plataforma a nivel de aplicacin) se deber especificar el par usuario / password si la securizacin es por credenciales usuario / password, o bien seleccionar el certificado de la lista existente en caso de autenticacin por certificado.
Para finalizar el alta, se debe pulsar el botn Dar de alta y el sistema registrar el nuevo mtodo de validacin.
1.3.2.2 Modificacin de un Mtodo de Validacin Para modificar cualquier parmetro especificado en un mtodo de validacin es necesario seleccionar en el rbol de mtodos, ubicado en la parte izquierda de la pantalla de gestin, el mtodo de validacin que se quiere modificar. En la parte derecha de la pantalla se mostrar toda la informacin disponible de dicho mtodo. Para modificar la informacin simplemente especifique los nuevos valores y pulse el botn Modificar para que el sistema registre los cambios.
30/111
Figura 21 Pantalla de consulta de informacin de un mtodo de validacin por WEB SERVICE
1.3.2.3 Baja de Mtodos de Validacin Para eliminar un mtodo de validacin, deber seleccionarlo mediante el rbol de mtodos de validacin. En la pantalla de consulta de datos que aparece en la parte derecha, pulse sobre el botn Eliminar y la plataforma proceder a realizar el proceso de borrado.
1.3.3 Gestin de Polticas de Certificacin Una poltica de validacin o certificacin especifica un conjunto de prestadores y tipos de certificados que van a conformar un mbito de confianza. Adems, las polticas permiten especificar de manera concreta cmo se va a llevar a cabo la validacin de los certificados admitidos por dicha poltica (mtodos de validacin), la informacin que se debe extraer de los certificados (certificado patrn), y la manera de obtenerla (configuracin de mapeos).
Cada una de las aplicaciones dadas de alta en la plataforma, tendr asociada una poltica de validacin que determinar los tipos de certificados que soportar as como el modo en que se llevar a cabo la validacin. Cada poltica define la informacin genrica que se va a extraer de los certificados por medio de una estructura de informacin denominada Certificado Patrn, que no es ms que un conjunto de campos lgicos que poseen asociados identificadores nicos. Posteriormente, en la definicin de los mapeos se especificar cmo se debe extraer cada campo lgico para cada tipo de certificado concreto. El certificado patrn permite representar cualquier certificado X.509 v3 de manera homognea por medio de una estructura de tipo Campo / Valor, lo que permite a las aplicaciones abstraerse de la tipologa y estructura de los certificados. Las polticas tienen asociadas una versin de poltica que permite conocer si se han realizado modificaciones sobre ella. Cada vez que se realiza una modificacin sobre el certificado patrn la versin de la poltica aumenta.
Figura 22 Interfaz de gestin de Polticas de Certificacin
1.3.3.1 Alta de una Poltica de Certificacin Para realizar el alta de una poltica, se debe pulsar el botn Alta Poltica ubicado en la parte superior del rbol de polticas situado en la parte izquierda de la pantalla. Tras ello se mostrar la pantalla de alta.
32/111
Figura 23 Pantalla de alta de poltica de validacin
Los campos a especificar son: IdPolitica. Identificador nico en el sistema de la poltica a crear. Descripcin. Descripcin breve de la poltica. Basada en la poltica. Permite crear un duplicado de una poltica ya existente. Esta opcin es muy til si la poltica a crear es muy similar a otra ya registrada.
Tras pulsar el botn Dar de Alta, la poltica ser registrada en el sistema.
1.3.3.2 Definicin del Certificado Patrn Tras crear una poltica, el siguiente paso ser definir el certificado patrn asociado a ella (o proceder a modificarlo en caso de haber creado la poltica a partir de otra ya existente). Para ello, se seleccionar la poltica especfica y en la parte derecha de la pantalla, la pestaa Certificado
Patrn.
Figura 24 Pantalla de gestin de polticas. Certificado Patrn

33/111
Los campos del certificado patrn se darn de alta uno a uno por medio del botn Alta de campo. En la pantalla de alta del campo lgico se deber especificar el identificador nico del campo lgico, as como una descripcin detallada de la informacin que albergar.
Figura 25 Pantalla de alta de poltica de validacin
Una vez dado de alta el campo lgico, se mostrar en la parte derecha de la pantalla junto con todos sus datos y dos botones, que permitirn editar la informacin del mismo o eliminarlo de la configuracin.
Figura 26 Pantalla de gestin de polticas. Modificacin de campo lgico
34/111
1.3.3.3 Asignacin de tipos de certificados a una poltica Una vez definido el Certificado Patrn se proceder a asignar a la poltica los tipos de certificados que va a admitir. Para ello, se seleccionar la poltica en el rbol de polticas y en la pantalla derecha aparecer la informacin general de la misma. En la parte inferior de dicha pantalla se debe pulsar el botn Aadir Tipo Certificado que desplegar una pantalla como la siguiente, donde aparecern de manera jerrquica todos los prestadores que emiten tipos de certificados.
Figura 27 Pantalla de gestin de polticas. Alta de tipo de certificado
Seleccionaremos del rbol el tipo de certificado que deseamos aadir a la poltica y pulsaremos el botn Aadir. Al aadir el tipo de certificado a la poltica de certificacin se nos mostrar una ventana en la que nos pregunta si deseamos restringir ese tipo de certificado para la poltica seleccionada.
Figura 28 Pantalla de gestin de polticas. Restringir tipo certificado dado de alta

En el caso de contestar afirmativamente el tipo de certificado aadido quedar restringido para todas las aplicaciones que tengan por poltica de certificacin la poltica seleccionada. Se repetir el mismo proceso hasta completar los tipos de certificados que deseemos asignar a la poltica.
1.3.3.4 Configuracin de los Mtodos de Validacin por Prestador Tras el registro de los tipos de certificados en la poltica, se debern definir qu mtodos de validacin van a ser usados por cada prestador as como la prioridad asignada a cada uno para comprobar el estado de los certificados emitidos por l. Los mtodos de validacin se asignarn de manera jerrquica, esto es, una configuracin de mtodos asignada a un determinado prestador define cmo se va a realizar la consulta de estado para todos los certificados que se encuentran bajo su jerarqua, siempre y cuando sus nodos intermedios no redefinan dicha poltica, en cuyo caso se aplicar la misma filosofa. Por ejemplo, dada la siguiente jerarqua:
Figura 29 Jerarqua de certificacin
Se puede asignar el mtodo de validacin A a la CA AC RAIZ DNIE SHA2, y el mtodo B a la CA AC DNIE 001 SHA2. De este modo, al validar cualquiera de los tipos de certificados (firma o identidad) emitidos por la CA AC DNIE 001 SHA2, se utilizar el mtodo B, mientras que para validar la CA propiamente dicha, se utilizar el mtodo A. Por tanto, por regla general siempre se obtendrn los mtodos de validacin configurados para el emisor del certificado a validar. Para realizar la asignacin de mtodos a un determinado prestador, debe seleccionarse del rbol de polticas ubicado a la izquierda de la pantalla, tras lo cual aparecer en la parte derecha la configuracin de mtodos. Se deber pulsar entonces el botn Aadir, mostrndose una ventana con los mtodos de validacin registrados en el sistema. Tras seleccionar el mtodo deseado se pulsar el botn Aadir y el sistema almacenar la nueva configuracin. Si se desea eliminar un mtodo de la lista, basta con seleccionarlo y pulsar el botn Quitar El orden en que aparecen los mtodos de validacin en la lista ser el orden en el que sern utilizados por la plataforma a la hora de consultar la informacin de un certificado, de manera que si no se puede obtener dicha informacin, se ir utilizando uno tras otro de forma secuencial. Para modificar el orden de los mtodos, se debe seleccionar aqul que deseamos mover y utilizar las flechas ubicadas a la derecha de la tabla. Una vez que se ha conseguido
el orden deseado se debe pulsar el botn Guardar Orden o en caso contrario los cambios se perdern al cerrar la pantalla.
Figura 30 Ventana de asignacin de mtodos de validacin a un PSC
1.3.3.5 Definicin de mapeos para tipos de certificados El ltimo paso para completar la configuracin de la poltica es la definicin de los mapeos por medio de los cuales se define cmo se extrae la informacin especificada por el certificado patrn para cada tipo de certificado definido en la poltica. Para definir la configuracin de mapeos, en la pantalla de gestin de polticas se debe seleccionar el tipo de certificado ubicado dentro de su jerarqua correspondiente en la poltica a modificar. En la parte derecha de la pantalla aparecer la lista de campos lgicos definidos por el certificado patrn. A cada uno de estos campos lgicos puede asignrsele un mapeo especfico que determinar qu informacin va a contener, y cmo se extraer del certificado correspondiente.
Figura 31 Ventana de gestin de polticas. Definicin de mapeos.
Cada campo lgico posee dos botones asociados mediante los cuales se podr editar (o definir) el mapeo del campo, o bien eliminar la configuracin del mapeo, lo que significa que no se extraer informacin del certificado para completar dicho campo lgico.
1.3.3.5.1 Seleccin de mapeo de campo lgico
Tras pulsar el botn de edicin de un mapeo, aparecer la pantalla de seleccin de mapeos, donde en la parte izquierda se puede observar un rbol que agrupa toda la informacin existente en el certificado y mediante el cual se podrn seleccionar los campos que definirn la configuracin del mapeo. En la parte derecha se muestra el nombre del campo lgico que estamos editando y el tipo de mapeo seleccionado. Dependiendo del tipo, los datos a especificar sern diferentes.
Figura 32 Ventana de edicin de mapeos I
Los tipos de mapeos disponibles son los siguientes: Libre. Permite definir un literal constante para el campo lgico en cuestin. Un ejemplo de ello puede ser para definir el campo tipo de certificado, donde para cualquier certificado de un tipo determinado, el valor siempre va a ser el mismo. Simple. Permite asignar a un campo lgico el valor de un atributo especfico del certificado. Dicho atributo se seleccionar haciendo clic sobre el campo deseado ubicado en el rbol de atributos de la parte izquierda de la pantalla, o bien establecindolo de forma manual (en caso de que el tipo de certificado no tenga asociado un certificado X509 de ejemplo). Su formato es: GENERAL || EXTENSION::NOMBRE_CAMPO[::NOMBRE_SUBCAMPO] Algunos ejemplos de rutas vlidas:
GENERAL::Subject::CommonName GENERAL::Issuer
GENERAL::SerialNumber EXTENSION::CertificatePolicies::policyIdentifiers
Figura 33 Ventana de edicin de mapeos II
Compleja. Permite extraer una subcadena del valor de un atributo del certificado por medio de la especificacin de delimitadores. En primer lugar se debe seleccionar del rbol de atributos del certificado el campo donde se encuentra la informacin que queremos extraer. Una vez hecho esto, se mostrar en la parte derecha la ruta del campo as como su valor actual. El siguiente paso ser especificar el delimitador, que puede estar conformado por uno o varios caracteres, y el nmero de token a obtener. Tras especificar toda esta informacin, si se pulsa el botn con la lupa, el sistema obtendr el token especificado y lo mostrar en el campo Resultado, pudiendo comprobar as si la configuracin establecida es correcta o no.
39/111
Figura 34 Ventana de edicin de mapeos III
Anagrama Fiscal. El anagrama fiscal es una cadena de caracteres formada a partir del nombre, apellidos y NIF, que permite identificar unvocamente a una persona fsica. Para generar el anagrama fiscal, se debe especificar cada uno de los campos que lo conforman. Para ello, se selecciona del rbol de atributos del certificado y se arrastra hacia el campo correspondiente de la parte derecha de la pantalla. Una vez especificados todos los campos, si se pulsa sobre el botn lupa, se generar el anagrama fiscal asociado a dichos datos.
Figura 35 Ventana de edicin de mapeos IV
Apellidos. Permite separar y extraer cada uno de los apellidos de una persona, cuando se encuentran especificados en un atributo del certificado y siempre y cuando los apellidos vayan separados por espacios en blanco (en caso contrario se recomienda utilizar el mapeo de tipo complejo). Para extraer un apellido, se seleccionar el atributo del certificado que
contiene la informacin, apareciendo su ruta y valor en los campos correspondientes de la parte derecha de la pantalla. Seleccionaremos si se quiere extraer el primer o segundo apellido, y se pulsar sobre el botn lupa para comprobar el resultado.
Figura 36 Ventana de edicin de mapeos V
Concatenacin. Permite asignar a un campo lgico el resultado de concatenar el valor de varios campos lgicos. Podemos concatenar hasta tres campos lgico seleccionndolos de las listas desplegables que aparecen.
Figura 37 Ventana de edicin de mapeos VI
En el caso de que en el certificado existan atributos multivaluados (atributos con idntico nombre pero distinto valor), solo aparecer en el rbol de atributos un nico nombre de
atributo pero su valor se mostrar concatenando el nombre del atributo junto con cada valor correspondiente tantas veces como valores distintos existan. Expresin Regular: Permite extraer una subcadena del valor de un atributo del certificado aplicando expresiones regulares de Java y/o haciendo referencia al valor de otro campo lgico del certificado. En primer lugar se debe seleccionar del rbol de atributos del certificado el campo donde se encuentra la informacin que queremos extraer. En siguiente paso es introducir una expresin regular de Java y/o el valor de un campo lgico ya definido (para indicar que queremos hacer referencia al valor de un campo lgico, se indicara ${NOMBRE_CAMPO_LOGICO}) al que se quiere hacer referencia, despus se indicar el grupo de captura al que se asociar el campo lgico. Tras especificar dicha informacin, si se pulsa el botn con la lupa, el sistema devolver el valor del campo lgico y mostrar en el campo Resultado, pudiendo comprobar si se han introducido correctamente los datos. (Para ms informacin sobre expresiones de Java ver anexo)
Figura 38 Ventana de edicin de mapeos VII
Tras finalizar la configuracin del mapeo, se pulsar el botn Modificar Mapeo, quedando dicha configuracin asignada al campo lgico correspondiente. En el caso de que en el certificado existan atributos multivaluados (atributos con idntico nombre pero distinto valor), solo aparecer en el rbol de atributos un nico nombre de atributo pero su valor se mostrar concatenando el nombre del atributo junto con cada valor correspondiente tantas veces como valores distintos existan.
1.3.4 Gestin de Aplicaciones y Unidades Organizativas
La plataforma @firma publica sus servicios de cara a aplicaciones externas, convirtindose as en la base de la infraestructura de clave pblica sobre la que se asienta todo el sistema. Con el fin de poder identificar y organizar cada una de estas aplicaciones y poder aplicarles configuraciones
diferentes segn sus necesidades, se definen las unidades organizativas (UOs) y los identificadores de aplicacin. Las unidades organizativas permiten agrupar aplicaciones y otras unidades organizativas, formando de esta forma una estructura jerrquica. No obstante, no es necesario que las aplicaciones pertenezcan a alguna unidad organizativa. La plataforma permite configurar a nivel de aplicacin aspectos tales como la poltica de validacin, de firma, de custodia, informacin acerca el responsable de la aplicacin, etc. Toda esta informacin determinar las reglas aplicadas a los servicios ofrecidos por la plataforma. Para acceder a la gestin de aplicaciones y unidades organizativas se debe pulsar el botn destinado a tal efecto ubicado en la botonera superior o bien en el men desplegable.
Figura 39 Interfaz de gestin de UOs y Aplicaciones
En la parte izquierda del interfaz se muestra un rbol que aloja las unidades organizativas y aplicaciones registradas en la plataforma y cuyo nodo raz es root (unidad organizativa vaca). En la zona central se visualizar la informacin de configuracin del elemento seleccionado, que podr ser una unidad organizativa o bien una aplicacin. Mediante este gestor es posible realizar las siguientes operaciones: Sobre unidades organizativas o Alta de unidades organizativas. o Modificacin de unidades organizativas. o Baja de unidades organizativas.
Sobre las aplicaciones: o Alta de aplicaciones. o Modificacin de aplicaciones. o Baja de aplicaciones.
A continuacin sern las diferentes operaciones as como los datos que intervienen en cada una de ellas.
1.3.4.1 Alta de una Unidad Organizativa Para registrar una nueva UO en la plataforma es necesario posicionarse sobre el nodo del rbol de UOs y aplicaciones sobre el cual se desea crear la nueva UO. Este nodo debe ser o el nodo raz (root) o cualquier otro nodo que represente una unidad organizativa, ya que las aplicaciones no pueden tener nodos hijos.
Figura 40 Interfaz de gestin de UOs y aplicaciones. Alta UO
Tras esto, se pulsar el botn Alta y cumplimentamos el formulario de Alta de aplicaciones y Unidades organizativas seleccionando como Tipo de Alta Unidad Organizativa, una cadena como identificador nico y un nombre para la UO.
44/111
Figura 41 Ventana de registro de UO
Tras pulsar el botn Dar de Alta la nueva UO quedar registrada en la plataforma.
Figura 42 Alta de UO correcta
1.3.4.2 Modificacin de una Unidad Organizativa Para actualizar una UO registrada en la plataforma es necesario posicionarse sobre la unidad que se desea modificar en el rbol de UOs y aplicaciones. En la parte derecha de la pantalla aparecer la informacin de la UO, que podr ser modificada libremente. Los datos susceptibles de ser actualizados para una unidad organizativa son: Identificador de unidad organizativa. Nombre de unidad organizativa.
45/111
Para guardar los cambios, pulse el botn Modificar ubicado en la parte inferior de la pantalla, y el sistema registrar la nueva informacin.
Figura 43 Interfaz de gestin de UOs y aplicaciones. Modificacin de UO
Figura 44 Modificacin UO correcta
1.3.4.3 Baja de una Unidad Organizativa Para eliminar una UO registrada en la plataforma es necesario posicionarse sobre la unidad que se desea borrar en el rbol de UOs y aplicaciones. Para eliminar la UO, se pulsar el botn Baja ubicado en la parte inferior derecha de la pantalla.
46/111
Figura 45 Interfaz de gestin de UOs y aplicaciones. Baja de UO
Figura 46 Confirmacin de baja de UO
Si la unidad organizativa tiene nodos hijos, la plataforma mostrar una ventana indicando esta situacin y volviendo a solicitar la confirmacin del borrado:
Figura 47 Confirmacin de baja de UO con nodos hijos
47/111
Por ltimo, la plataforma mostrar una ventana indicando el resultado de la operacin.
Figura 48 Baja de UO correcta
1.3.4.4 Alta de una Aplicacin Para registrar una nueva aplicacin en la plataforma es necesario posicionarse sobre el nodo del rbol de UOs y aplicaciones sobre el cual se desea crear la nueva aplicacin. Este nodo debe ser o el nodo raz (root) o cualquier otro nodo que represente una unidad organizativa, ya que las aplicaciones no pueden tener nodos hijos.
Figura 49 Interfaz de gestin de UOs y aplicaciones. Alta de aplicacin
Tras esto, se pulsa Alta y se cumplimenta el formulario de Alta de aplicaciones y Unidades organizativas seleccionando como tipo de alta Aplicacin. En este momento se mostrarn los parmetros que son configurables para una aplicacin y que debern ser completados.
Figura 50 Ventana de registro de Aplicacin I
Los parmetros configurables para una aplicacin son los siguientes: Nombre Aplicacin: Nombre por el cual ser identificada la aplicacin en la plataforma. Datos sobre el responsable de la aplicacin: Debern introducirse el nombre y apellidos del responsable, su direccin de correo electrnico y un nmero de telfono de contacto. Formato de la firma de Respuesta: formato de firma empleado por una aplicacin para firmar los mensajes SOAP de respuesta ante una peticin a un servicio Web publicado por la plataforma. Los posible formatos son: o Sin Firma o XMLDSignature (Firma XML bsica) o XAdESBES (Firma XML avanzada) o XAdEST (Firma XML avanzada con sellado temporal) Inclusin del Token de Seguridad: formato del certificado introducido en la firma de Respuesta. Los posibles formatos son: o KeyValue, Mdulo y exponente de la Clave pblica
o X509Data, Certificado X.509 en base64 o BinarySecurityToken, Certificado X.509 referenciado por SecurityTokenReference
Por defecto se recomienda utilizar la opcin BinarySecurityToken para las aplicaciones desarrolladas sobre plataformas Microsoft en .NET. Poltica de custodia de documentos: determina que debe hacer la plataforma con los documentos que son firmados mediante esta aplicacin. Los posibles valores son Con Custodia de documentos y Sin Custodia de documentos.
Figura 51 Ventana de registro de Aplicacin II
Poltica de TimeStamp: Indica si la plataforma aplicar un sellado temporal para las peticiones de firma. Sus posibles valores son Con TimeStamp y Sin TimeStamp. Poltica de certificacin: poltica de certificacin definida en la plataforma @firma y que definir los prestadores y tipos de certificados soportados para la aplicacin, los mtodos de validacin a utilizar, la configuracin del mapeo de campos de certificado, etc. Administracin delegada: mediante este dato es posible conocer si la aplicacin podr ser administrada remotamente. Es necesario especificar el usuario (deber estar habilitado para ello, ver roles de usuario) encargado de la administracin. Certificado empleado en la firma de las respuestas de servicios Web: si las respuestas producidas por la aplicacin estn configuradas para ser firmadas, este parmetro indica el certificado empleado para ello.
Figura 52 Ventana de registro de Aplicacin III
Mtodo de autorizacin de ejecucin de servicios Web: mediante este parmetro se le indica a la plataforma el mtodo de seguridad empleado para la ejecucin de servicios Web por una aplicacin. Estos mtodos siguen el estndar WS-Security. Los mtodos empleados son: o Sin mtodo de autorizacin: no se aplica ninguna mediada de seguridad para ejecutar los servicios Web para una aplicacin. o Usuario y Password: mediante este mtodo es necesario que las peticiones SOAP realizadas contengan el tag de seguridad UserNameToken y que el usuario y password alojados en dicho tag estn registrados para la aplicacin que intenta ejecutar el servicio Web. Para registrar estos usuarios es necesario seleccionar el mtodo de autorizacin Mediante Usuario y Password e introducir tantos usuarios como se desee en la lista de usuarios mediante los campos que se encuentran en la parte inferior de la lista.
51/111
Figura 53 Formulario de securizacin de servicios Web para aplicaciones. Mtodo Usuario/Password
o Certificado: mediante este mtodo es necesario que las peticiones SOAP realizadas contengan el tag de seguridad BinarySecurityToken y estn firmadas por alguno de los certificados registrados para la aplicacin que intenta ejecutar el servicio Web. Para registrar los certificados vlidos es necesario seleccionar el mtodo de autorizacin Mediante Certificados y seleccionar tantos certificados como se desee de la lista de certificados disponibles y moverlos a la lista de certificados seleccionados. Los certificados disponibles para esta operacin son los ubicados en el keystore AlmacenAutorizacionWS (vase la gestin de keystores y contraseas).
Figura 54 Formulario de servicio OCSP Web para aplicaciones.
Servicio OCSP. Permite configurar los parmetros de acceso al servicio OCSP de la plataforma para cada aplicacin. Con el fin de poder aplicar esta configuracin a las aplicaciones, es necesario que las peticiones OCSP vengan firmadas, o bien que al menos se incluya el campo RequestorName, con el fin de poder identificar a la aplicacin llamante. En caso de no incluirse este campo, las aplicaciones utilizarn la configuracin de la aplicacin de sistema ocspresponder. Los parmetros que se pueden configurar son:
o Habilitar servicio OCSP: Indica si la aplicacin permite el uso del Servicio OCSP, es decir si permite la recepcin de peticiones OCSP. En caso de no estar habilitado, el sistema devolver un mensaje de error a la aplicacin con el mensaje
unauthorized.
o Modo Firma Peticiones OCSP. nicamente puede configurarse si se encuentra habilitado el servicio OCSP para la aplicacin correspondiente. Indica si las peticiones de cliente pueden o deben ser firmadas. Las configuraciones posibles son: Modo estricto: Se requiere que las peticiones OCSP enviadas a la plataforma estn firmadas. Cualquier peticin no firmada ser rechazada con un mensaje de error sigRequired. Modo relajado. La firma de la peticin es opcional. Este modo tiene una problemtica asociada y es que es posible que un cliente incluya un RequestorName que no est asignado a l, suplantando as a dicho cliente. Para solventar esto, se recomienda activar el modo estricto, de forma que se pueda garantizar la identidad del cliente. Este modo nicamente debe utilizarse para aplicaciones en fase de adaptacin a las firmas de mensajes OCSP. o Certificados para autenticacin OCSP. Se permite especificar qu certificados podrn ser utilizados por el cliente para realizar la firma de las peticiones OCSP. Si la firma se realiza con un certificado diferente, el sistema devolver un mensaje unauthorized. La lista de certificados que aparecen en dicha tabla son aquellos que han sido previamente incorporados al keystore AlmacenAutorizacionWS (vase la gestin de keystores y contraseas). Restricciones a la Poltica de Certificacin. Permite configurar que tipos de certificados, de los incluidos en la poltica asignada, estn operativos para la aplicacin.
Figura 55 Restricciones a la Poltica de Certificacin.
En la tabla Restricciones a la Poltica de Certificacin se listan todos los certificados incluidos en la poltica elegida en el campo Seleccin de poltica. La seleccin de un tipo de certificado indica que ese certificado est habilitado para la aplicacin, en caso contrario el tipo de certificado estara restringido.
Tras pulsar el botn Dar de Alta la nueva aplicacin quedar registrada en la plataforma con los valores que han sido introducidos.
Figura 56 Alta de aplicacin correcta
1.3.4.5 Modificacin de una Aplicacin Para actualizar una aplicacin registrada en la plataforma es necesario posicionarse sobre la aplicacin que se desea modificar en el rbol de UOs y aplicaciones. En este momento, la plataforma mostrar los datos de la aplicacin seleccionada.
Figura 57 - Interfaz de gestin de UOs y aplicaciones. Modificacin de aplicacin
Ahora, tan solo es necesario modificar aquellos parmetros que se deseen actualizar y pulsar Modificar. Tras realizar esto, la plataforma mostrar una ventana indicando el resultado de la actualizacin.
54/111
Figura 58 Modificacin de aplicacin correcta
Los datos susceptibles de ser actualizados son: Nombre de la aplicacin Datos sobre el responsable de la aplicacin. Formato de la firma Poltica de custodia de documentos. Poltica de TimeStamp. Poltica de certificacin. Datos sobre la administracin delegada de la aplicacin. Certificado empleado en la firma de las respuestas. Mtodo de autorizacin de servicios Web. Tambin es posible modificar cualquier parmetro que necesite el mtodo de autorizacin para su correcto funcionamiento como puede ser seleccionar un certificado para el mtodo Mediante Certificados. Restricciones a la poltica de certificacin.
1.3.4.6 Baja de una Aplicacin Para eliminar una aplicacin registrada en la plataforma es necesario posicionarse sobre la aplicacin que se desea borrar en el rbol de UOs y aplicaciones. Hay que tener en cuenta que al eliminar una aplicacin no ser posible recibir ms peticiones de validacin o firma con el identificador de la aplicacin seleccionado.
55/111
Figura 59 - Interfaz de gestin de UOs y aplicaciones. Baja de aplicacin
Tras esto, se pulsa Baja y se mostrar una pantalla similar a la siguiente, indicando que la operacin se ha realizado correctamente:
Figura 60 Baja de aplicacin correcta
Para comprobar que los datos han sido actualizados es necesario verificar que la aplicacin no aparece en el rbol de UOs y aplicaciones.
1.3.5
Gestion de Usuarios
La gestin de usuarios consiste en administrar aquellos usuarios que participan en la administracin o auditoria de la plataforma. Esta gestin slo podr llevarse a cabo por los administradores de la plataforma.
56/111
Figura 61 - Interfaz de gestin de Usuarios
Los usuarios estn organizados mediante roles, pudiendo pertenecer a varios. Los roles que se han tenido en cuenta en la plataforma son: Rol Administracin. Podr configurar todos los parmetros del sistema. Rol Auditoria. Tendr acceso al Registro de Eventos y al Histrico de Alarmas a travs del cliente de auditoria. Gestin Delegada. Podr configurar los parmetros de las aplicaciones a las que est asociado. Auditoria delegada. Tendr acceso a las transacciones de las aplicaciones a las que est asociado.
Las operaciones que puede realizar un administrador de la plataforma mediante este componente del mdulo de administracin son: Alta de usuario. Modificacin de usuario. Baja de usuario.
Las anteriores operaciones estn catalogadas como crticas por lo que como medida de seguridad antes de realizarse se solicita al usuario sus credenciales mediante la siguiente ventana:
Figura 62 - Ventana de Login de Autorizacin a una Operacin Crtica
1.3.5.1 Alta de Usuario Mediante esta operacin se aade un nuevo usuario a la plataforma @firma. Para ello, debemos acceder al interfaz de gestin de usuarios y pulsar el botn Alta Usuario.
Figura 63 - Interfaz de gestin de Usuarios. Alta de usuario
En la pantalla de alta de usuario se deben completar los siguientes datos: Login: nombre de usuario en la plataforma para el nuevo usuario.
Password: clave de acceso del nuevo usuario en la plataforma. Nombre: nombre del nuevo usuario. Apellidos: apellidos del nuevo usuario. E-mail: direccin de correo electrnico del nuevo usuario. Roles: roles que desempear el nuevo usuario.
Figura 64 Ventana de registro de usuario
Como medida de seguridad se aconseja que las contraseas de los usuarios cumplan unos requisitos mnimos de contenido, estos requisitos se establecen en la configuracin general de la plataforma y se detallan en el manual de instalacin y despliegue de la plataforma [TI-20-1178@Firma-InstalacionyDespliegue-MAN]. Si la contrasea establecida no cumple los requisitos mnimos establecidos se muestra un mensaje de contrasea no valida.
Figura 65 Ventana de contrasea incorrecta.
Una vez completada la informacin, se pulsar el botn Dar de alta. Si todo ha ido bien, aparecer la siguiente pantalla:
Figura 66 Alta de usuario correcta
Al volver al interfaz de gestin de usuarios, se podr observar como el nuevo usuario aparece en la lista de usuarios registrados en la plataforma.
1.3.5.2 Modificacin de Usuario Mediante esta operacin se actualizan los datos de un usuario de la plataforma. Los datos susceptibles de ser actualizados son el nombre y apellidos del usuario, el e-mail y los roles que desempea. Para realizar una modificacin de datos de usuario es necesario seleccionar un usuario de la lista de usuarios registrados que se muestra en la parte izquierda del interfaz. Al seleccionar el usuario se mostrarn sus datos, los cuales podrn ser actualizados.
Figura 67 - Interfaz de gestin de Usuarios. Modificacin de usuarios
Una vez actualizados sus datos se pulsa Modificar, provocando que sus datos sean modificados permanentemente.
Previamente a la modificacin se corroborar que la contrasea es valida, de no ser as se mostrar un mensaje de error.
Figura 68 Ventana de contrasea incorrecta.
Si todo es correcto, tras realizar la operacin, la plataforma mostrar una ventana con el resultado de la operacin.
Figura 69 Modificacin de usuario correcta
Para comprobar que los datos han sido actualizados seleccionamos el usuario que ha sido modificado de la lista de usuarios registrados y verificamos que la informacin que aparece en la zona central es la que ha sido introducida.
1.3.5.3 Baja de Usuario Para eliminar un usuario registrado de la plataforma es necesario posicionarse sobre el usuario que se desea borrar en la lista de usuarios. En este momento se mostrarn los datos del usuario en la zona central del interfaz.
61/111
Figura 70 - Interfaz de gestin de Usuarios. Baja de usuario
Ahora es necesario pulsar el botn Baja. Hecho esto, la plataforma solicita la confirmacin de la plataforma.
Figura 71 Confirmacin de borrado de usuario
Por ltimo, la plataforma muestra un mensaje indicando que la operacin se ha realizado correctamente.
Figura 72 Baja de usuario correcta
62/111
Para comprobar que el usuario ha sido dado de baja como usuario registrado, es necesario verificar que no se encuentra en la lista de usuarios registrados de la plataforma que aparece en la parte izquierda del interfaz.
1.3.6
Gestion de Keystores y Contraseas.
Un keystore es, bsicamente, un almacn que pueden contener claves privadas y certificados pblicos X.509 v3. Los keystores se encuentran securizados por contraseas que sern especificadas en la gestin de contraseas. La gestin de keystores y contraseas se encuentra unificada, de forma que la pantalla de gestin muestra en su parte izquierda un rbol con dos nodos principales. El primero contiene los keystores del sistema, mientras que el segundo contiene las contraseas definidas.
Figura 73 Interfaz de Gestin de Keystores y Contraseas
La plataforma emplea estas claves criptogrficas para proporcionar funciones de integridad, confidencialidad y autenticacin. De forma que el uso no autorizado, modificacin o sustitucin podra causar la prdida de seguridad por ello se hace esencial manejar de forma segura la gestin de todo el ciclo de vida de las claves privadas, para ello se han catalogado las siguientes operacines como crticas: Alta de contrasea. Modificacin de contrasea. Baja de contrasea. Importar certificado. Importar par de claves.
Modificar alias. Eliminar certificado.
Cualquiera de las anteriores operaciones solicitar las credenciales del usuario para su autorizacin.
Figura 74 Interfaz de autorizacin a operacin crtica
1.3.6.1 Keystores Si se expande el nodo de keystores, podemos visualizar todos los almacenes existentes. Si seleccionamos uno de los almacenes se visualizarn los certificados / claves privadas que contiene. Los keystores no se pueden dar de alta o baja mediante la herramienta de administracin, sino que ya se encuentran definidos por la plataforma previamente. Cada keystore tiene un papel especfico dentro del sistema: AlmacenAutorizacionWS. Contiene los certificados en los que confiar el sistema cuando reciba una peticin SOAP securizada por el mtodo BinarySecurityToken. Si una aplicacin intenta realizar una peticin a la plataforma y el certificado utilizado para securizar el mensaje no se encuentra presente en dicho almacn, se devolver el error correspondiente. AlmacenConfianzaAdmDelegada. Contiene el / los certificados utilizados por la Administracin Delegada para securizar mediante WSS los mensajes que intercambiar con la plataforma central @Firma. AlmacenConfianzaCRL. Contiene los certificados de CA en los que debe confiar la plataforma como emisores de CRLs. Al validar cualquier CRL, el sistema verificar si el certificado del emisor de la misma se encuentra en el almacn de confianza. Si no es as, se rechazar la CRL por motivos de seguridad. AlmacenConfianzaOCSP. Contiene los certificados de CA en los que debe confiar la plataforma como emisores (firmantes) de respuestas OCSP. Al validar una respuesta OCSP, el sistema verificar si el certificado del firmante de la misma se encuentra en el almacn de confianza. Si no es as, se rechazar la respuesta por motivos de seguridad.
AlmacenConfianzaPF. Contiene los certificados utilizados por las Plataformas Federadas para firmar las Estadsticas Federadas. Al importar unas Estadsticas Federadas, el sistema verificar si el certificado del firmante de la misma se encuentra en el almacn de confianza. Si no es as, se rechazar la respuesta por motivos de seguridad. AlmacenConfianzaSSL. Contiene los certificados en los que confiar la plataforma para las conexiones SSL contra servidores de terceros. AlmacenPSCs. Contiene los certificados de los prestadores que se encuentran dados de alta en la plataforma por medio del mdulo de gestin de prestadores. Este almacn no deber ser modificado por medio de la gestin de keystores, salvo en el caso de modificacin de certificados caducados, o cualquier otro error que requiera dicha intervencin. AlmacenTiposCertificado. Contiene los certificados de ejemplo utilizados al dar de alta los tipos de certificados. Estos certificados nicamente sern utilizados por los asistentes de definicin de discriminadores y de mapeos. El alta o baja de estos certificados debe realizarse preferiblemente desde el mdulo de gestin de prestadores. CertificadosSistema. Contiene las claves privadas que utilizar el sistema para realizar procesos internos como pueden ser el firmado de logs, comunicaciones con componentes internos, etc. KeystoreMValSOAP. Contiene las claves privadas con las que se securizarn los mensajes SOAP (mediante WSS) realizadas a otras plataformas @Firma para consultar el estado de revocacin de certificados. Las claves contenidas en este almacn aparecern disponibles en la pantalla de Alta y Modificacin de mtodos de validacin SOAP. KeystoreOCSP. Contiene las claves privadas que utilizar el Servidor OCSP para firmar las respuestas. Atencin: para poder utilizar los certificados contenidos en este keystore para la firma de respuestas OCSP es imprescindible que sus cadenas de certificacin estn dadas de alta como Prestadores de confianza de la plataforma. Para ms informacin sobre el proceso de alta vase el apartado Alta de PSCs en este mismo documento. KeystoreServidor. Contiene las claves privadas con las que se van a llevar a cabo las operaciones de firma requeridas por las aplicaciones integradas. En la gestin de aplicaciones se pueden especificar los certificados que van a tener disponibles cada una de las aplicaciones dadas de alta en la plataforma.
65/111
Figura 75 - Interfaz de gestin de Keystores (Seleccin de un keystore)
Al seleccionar un keystore, se muestra en la parte derecha de la pantalla su contenido distribuido en una tabla donde se indica: Tipo: indica si lo que se almacena es un certificado o una clave privada, identificado por los iconos de clave privada Alias: Alias del keystore. Editar: Si aparece el smbolo los datos del certificado pueden ser editados y al pulsar sobre dicho icono aparece una ventana que permite modificar los datos del certificado. o certificado .
66/111
Figura 76 - Ventana de Insercin de Datos de Certificado
En la ventana, adems de mostrarse los datos del certificado se ofrece la posibilidad de modificar el alias, exportar el certificado o simplemente eliminarlo.
1.3.6.1.1 Importar Certificados
La opcin de importar certificados permite importar un certificado X.509 v3 en un keystore. Para importar un certificado, se debe pulsar sobre el keystore deseado en el rbol de keystores. En la parte derecha de la pantalla se debe pulsar el botn Importar certificado, que abrir una ventana de dilogo donde se podr especificar la ruta local donde se encuentra el certificado a importar, o bien mediante el botn que permitir seleccionarlo en el sistema de archivos.
Figura 77 Dilogo de seleccin de certificado a importar
Tras pulsar el botn Continuar, y tras verificar el sistema que el fichero contiene un certificado vlido, se mostrar una ventana con el alias con el que se desea aadir el certificado. Este alias puede ser modificado segn se desee.
67/111
Figura 78 Dilogo de modificacin de alias de certificado.
Para finalizar la importacin, se debe pulsar el botn Aceptar.

1.3.6.1.2 Importar Par de Claves
La opcin de importar un par de claves permite importar una clave privada as como su certificado X.509 v3 en un keystore. Para realizar la importacin, se debe pulsar sobre el keystore deseado en el rbol de keystores. En la parte derecha de la pantalla se debe pulsar el botn Importar Par de Claves, que abrir una ventana de dilogo donde se debe especificar: Keystore. Ruta local donde se encuentra el keystore del que se va a extraer el / los pares de claves. Para seleccionar el fichero desde el sistema de archivos, pulse el botn . Los formatos aceptados por el sistema son Java KeyStore y PKCS12. Contrasea. Contrasea con la que se encuentra securizado el keystore del que se va a obtener el par de claves.
Figura 79 Dilogo de seleccin del keystore
Una vez seleccionado el keystore, se pulsa el botn Continuar y el sistema leer el contenido del mismo, permitiendo al usuario seleccionar aquellos pares de claves que desea importar, tras lo cual se pulsar el botn Importar Seleccionados para que la importacin se lleve a cabo.
68/111
Figura 80 Dilogo de seleccin del par de claves a importar
1.3.6.2 Contraseas. Con el fin de securizar las contraseas que se utilizan en la plataforma, cada una debe estar identificada con un alias o cadena identificativa. Gracias a esto, las contraseas se dan de alta en el mdulo de gestin de contraseas, y cuando es necesario especificar alguna contrasea en el resto de mdulos del sistema, se especifica su alias. Al expandir el nodo de contraseas se muestra todas las contraseas configuradas en la aplicacin. Al seleccionar una de ellas, en la parte derecha, se muestra la informacin permitiendo modificarla o eliminarla.
Figura 81 - Ventana de gestin de contraseas
69/111
Un caso especial de contraseas son las utilizadas para securizar los keystores. Estas contraseas tienen un formato de alias especfico: repositorio.contrasenya.[NOMBRE_ALMACEN] . Por ejemplo: repositorio.contrasenya.AlmacenPSCs
1.3.6.2.1 Alta de Contraseas.
Para dar de alta una contrasea, se debe pulsar el botn Alta Contrasea que se encuentra ubicado en la parte superior del rbol de keystores y contraseas. La ventana de alta permitir introducir los siguientes datos: Alias. Identificador de la contrasea que ser utilizado en el resto de mdulos para identificar la contrasea a utilizar. Contrasea. Valor de la contrasea. Confirmar Contrasea. Por seguridad, se pedir que introduzca de nuevo la contrasea.
Figura 82 - Ventana de alta de contraseas
1.3.6.2.2 Baja de Contraseas.
Para dar de baja una contrasea, se debe seleccionar del rbol de contraseas aquella que se desea eliminar. En la parte derecha de la pantalla se mostrar la informacin de la contrasea y el botn Eliminar que permitir el borrado de la contrasea.
1.3.6.2.3 Modificacin de Contraseas.
Para modificar una contrasea, se debe seleccionar del rbol de contraseas aquella que se desea modificar. En la parte derecha de la pantalla se mostrar la informacin de la contrasea, que podr ser modificada. Una vez hecho esto, se pulsar el botn Modificar para que el sistema registre los cambios.
70/111
1.3.7
Gestin de Tareas
Se entiende por tarea una operacin que se ejecuta en un determinado instante de tiempo. Para llevar a cabo dicha operacin se debe implementar una clase java que extienda de la clase abstracta com.telventi.afirma.mplanificacion.Tarea y en el mtodo ejecutar se deben llevar a cabo las operaciones de la tarea. El instante de tiempo en que se ejecuta la tarea puede definirse de varios modos. As, existen tareas de ejecucin diaria, peridicas (de periodo distinto a 24 horas) o tareas de ejecucin nica (llamadas Por fecha). Cuando se selecciona la opcin Gestin de Tareas, aparece una ventana dividida verticalmente en dos. En la parte izquierda puede verse la lista de tareas disponibles y, seleccionando cualquiera de las tareas, se pueden ver los datos de la misma en la parte derecha de la ventana.
Figura 83 - Ventana de Configuracin de Tareas
Si nos paramos un momento en la parte derecha de la ventana podemos ver que se puede establecer el nombre de la tarea, la clase que lleva a cabo las operaciones de la tarea y la lista de planificadores que se le asocian.
1.3.7.1 Tipos de planificadores. Llegados a este punto, debemos definir los tipos de planificadores: Planificadores Peridicos: Permiten ejecutar la tarea repetitivamente cada cierto tiempo especificado como el periodo. Planificadores Diarios: Son una especializacin de los planificadores peridicos en los que el periodo es de 24 horas. Por Fecha: Se ejecutan una sola vez en una fecha concreta.
Para los dos primeros tipos, adems del periodo hay que identificar la fecha de la primera ejecucin, para el ltimo basta con definir la fecha de ejecucin. Ha de tenerse en cuenta que una tarea puede tener varios planificadores y se ejecutar cada vez que se cumpla el plazo de ejecucin de alguno de los planificadores que tiene definidos.
1.3.7.2 Crear una tarea. Para crear una tarea el usuario debe pulsar el botn situado en la parte superior a la izquierda y que est etiquetado como Alta Tarea. Se mostrar una ventana en la que se pueden establecer los datos de la tarea. Una vez terminado se ha de presionar Alta Tarea para almacenar los cambios.
Figura 84 - Ventana de Alta de Tarea
Obsrvese que al menos se debe especificar un planificador (ver apartado anterior).
1.3.7.3 Modificar una Tarea. Para modificar una tarea previamente creada, primero hay que seleccionarla en la tabla de Tareas de la izquierda y aparecer a la derecha los datos de la tarea seleccionada. Si lo que se quiere modificar es el nombre o la clase que ejecuta la tarea, se debe, una vez realizado los cambios en alguno de los parmetros, pulsar el botn Modificar Tarea. Si lo que se pretende es cambiar los planificadores, vea los puntos siguientes.
1.3.7.4 Aadir un planificador a una Tarea. Teniendo como referente la Figura 83, los pasos para aadir un planificador son: en primer lugar seleccionar la tarea en la lista de la izquierda, posteriormente definir los datos del planificador
mediante los controles que estn bajo el epgrafe Datos Planificador y por ltimo pulsar Nuevo Planificador.
1.3.7.5 Modificar un planificador de la Tarea. De nuevo tomamos como referencia la Figura 83. Para modificar un planificador, se debe seleccionar la tarea en la lista de la izquierda, seleccionar el planificador en cuestin en la lista de planificadores, cambiar los datos del planificador mediante los controles que estn bajo el epgrafe Datos Planificador y pulsar Modificar Planificador.
1.3.7.6 Eliminar un planificador de una Tarea. Para eliminar un planificador, se debe seleccionar la tarea en la lista de la izquierda, seleccionar el planificador en cuestin en la lista de planificadores y pulsar Eliminar Planificador. De nuevo se est tomando como referencia la Figura 83.
1.3.8
Gestion de Alarmas.
Una Alarma es una seal de que en el sistema ha ocurrido una anomala. En el caso de la plataforma @Firma, cada alarma tiene definida un protocolo de actuacin y un determinado nmero de destinatarios a los que se debe avisar en caso de que dicha alarma se produzca. Las alarmas originadas en el sistema pueden consultarse haciendo uso de la herramienta Auditora (para consultar el histrico de alarmas por fecha y para ver en tiempo real las alarmas que se estn generando). Actualmente existen definidas las siguientes alarmas en la plataforma (tanto las alarmas como el procedimiento de actuacin se encuentran definidos en el documento TI-20-1178-@FirmaAlarmas)
1.3.8.1 Modificacion del Servidor de Correo asociado a las alarmas. Como se ha mencionado anteriormente, cada alarma debe ser notificada a los destinatarios que tenga definidos. Para hacerlo se hace uso de un servidor de correo que puede configurarse mediante la pestaa Servidor de Correo.
73/111
Figura 85 - Ventana de Gestin del Servidor de Correo de Alarmas
Pulsando Guardar se almacenan los cambios realizados.
1.3.8.2 Modificacion de los Destinatarios de una Alarma Si se selecciona la Pestaa Alarmas y posteriormente se selecciona una Alarma de la lista de la izquierda, se pueden aadir destinatarios a la alarma, modificar los destinatarios de la misma o eliminar destinatarios.
Figura 86 - Ventana de Gestin de Alarmas.
74/111
Para crear un destinatario, introducir su correo y pulsar Nuevo Destinatario. Para modificar un destinatario debe seleccionarse en la lista y, tras cambiar los datos deseados, pulsar Modificar Destinatario. Para eliminar un destinatario seleccionarlo en la lista y pulsar Eliminar Destinatario.
1.3.9
Gestion de Cach de Estado de Certificados. Cach de Nivel 1
Dado que los servicios que presta la plataforma requieren unos tiempos de respuesta muy cortos, e informacin actualizada en el momento de realizar dicha peticin, se hace indispensable disponer de mecanismos que optimicen los procedimientos de validacin, y por ende, del mdulo de Validacin, que es, sin duda, el mdulo que necesita una mayor cantidad de recursos tanto en tiempo de ejecucin como de memoria. En sta lnea se encuentra la cach de Estados de Certificados. De los procesos realizados por el mdulo de Validacin, la consulta del estado de revocacin de certificados, es de los ms realizados. En cada proceso de validacin de un certificado o proceso de firma, se realizan varias comprobaciones de estados de certificados. El objetivo que buscamos con la incorporacin de una Cach de estados es optimizar el tiempo de respuesta en este proceso. Por ltimo es importante conocer algo del funcionamiento de la cach: se distinguen dos tipos de accesos al estado de los certificados, aquellos que se consultan va OCSP (servidor externo a la plataforma) y aquellos que estn almacenados en la base de datos de la plataforma y que son actualizados peridicamente por un servicio de la plataforma. Dicho servicio puede configurarse haciendo uso de la opcin de Gestin de Tareas de Descarga de CRLS que se detalla posteriormente en este mismo documento y conforma el nivel 2 de la cach. A las CRLS almacendas en la cach que son del primer tipo las llamaremos Entradas CRLS-OCSP y a las de segundo tipo Entradas CRLS. Los datos obtenidos va OCSP tienen un tiempo de validez no superior a los 300 segundos y por tanto deben ser refrescados pasado ste tiempo.
1.3.9.1 Modificacin de los parmetros de Cach. Se pueden modificar 4 parmetros de la cach: Tiempo Vida Entradas CRL: Tiempo, en segundos, que se desea mantener en cach el estado de un certificado obtenido va CRL. Se ha estimado que el valor ptimo de este parmetro es de 300 segundos (5 minutos). Tiempo Vida Entradas OCSP: Tiempo, en segundos, que se desea mantener en cach el estado de un certificado obtenido va OCSP. Se ha estimado que el valor ptimo de este parmetro es de 300 segundos (5 minutos).
75/111
Intervalo de Refresco para entradas CRL: Tiempo, en segundos, pasado el cual se recorren todas las entradas de cach de CRL para comprobar que no han sobrepasado el Tiempo de Vida de Entradas CRL. El valor de ste parmetro debe ser siempre cercano al valor del Tiempo de Vida Entradas CRL especificado. Un valor correcto sera 280 segundos. Intervalo de Refresco para entradas OCSP: Tiempo, en segundos, pasado el cual se recorren todas las entradas de cach de OCSP para comprobar que no han sobrepasado el Tiempo de Vida de Entradas OCSP especificado. El valor de ste parmetro debe ser siempre cercano al valor del Tiempo de Vida Entradas OCSP. Un valor correcto sera 280 segundos. Nmero de Entradas OCSP: Nmero de entradas de CRLS en la cach que son actualizadas va OCSP (nmero de entradas CRLS-OCSP en la cach). El valor ptimo estimado es de 2048 entradas. Nmero de Entradas CRL: Nmero de entradas de CRLS en la cach que son actualizadas haciendo uso del servicio de Descarga de CRLS (nivel 2 de la cach). El valor ptimo que se ha estimado para ste parmetro es de 2048 entradas.
Figura 87 - Interfaz de Gestin de Cach L1
1.3.10 Gestion de Descargas de CRLs. Cach de nivel 2
Como se describe en el punto anterior, el nivel 2 de la cach lo compone una base de datos de CRLs que se actualizan automticamente mediante una tarea configurable en la plataforma utilizando la opcin de Gestin de Descargas de CRLs. La mejora que se busca est clara: evitar accesos redundantes a los diferentes Prestadores obteniendo la CRL una nica vez y almacenndola en un servidor (Base de Datos) para que sea recuperada oportunamente. Como la validez de la CRL obtenida no es indefinida, la base de datos de CRLs debe actualizarse cada cierto tiempo que puede ser definido por el usuario.
Figura 88 - Interfaz de Gestin de Tareas de Descarga de CRLs I
Para la descarga de cada CRL debe especificarse una tarea de descarga independiente (salvo en el caso de las CRLs particionadas del EDNI, para lo cual se definir una nica tarea para la descarga de las N particiones). Las tareas de descarga se muestran en la parte izquierda de la pantalla, y su informacin en la parte derecha. Las tareas realizarn la descarga de CRLs haciendo uso de la informacin contenida en los mtodos de validacin especificados en la plataforma. Dicha informacin incluye el protocolo de comunicaciones, la ubicacin de la CRL, su nombre, etc.
1.3.10.1
Dar de alta una nueva Tarea de descarga de CRLs
En la parte superior del rbol de tareas de descarga, existe un botn Alta Tarea que permitir crear una nueva tarea de descarga.
77/111
Figura 89 Pantalla de alta de grupo de descarga
Los datos a completar para el alta son los siguientes: Identificador. Identificador nico de la tarea de descarga a crear. Tiempo Refresco. Intervalo de tiempo en minutos entre cada descarga de la CRL. Tipo Descarga. Puede ser Simple o Mltiple. Una tarea de descarga de tipo Simple, permite la descarga de una nica CRL con un nombre especfico. Las tareas de tipo Mltiple permite la descarga de CRLs particionadas del DNI Electrnico y su misin es la descarga de un nmero bien definido de CRLs con identificadores variables que utilizan un patrn fijo en su composicin. Nmero de particiones. Este parmetro nicamente est disponible para tareas de tipo Mltiple, y especifica el nmero de CRLs que deben descargarse para cada particin especificada posteriormente.
Una vez completada esta informacin, se pulsa el botn Dar de Alta, crendose la tarea.
1.3.10.1.1 Modificacin de grupo de descarga de CRLs
Para completar el alta de la tarea, es necesario realizar otro paso adicional. Del men de tareas se selecciona la tarea que se acaba de dar de alta, mostrndose su informacin en la parte derecha de la pantalla. En caso de haber especificado el tipo Mltiple en el alta de la tarea, es necesario definir cada una de las particiones que se deben descargar de la CRL. Como ya se ha comentado una CRL particionada es una CRL completa que se divide en un nmero determinado de archivos de CRL. Estos archivos tienen un nombre diferente pero que se ajusta a un determinado patrn y que se compone de una cadena literal constante, un nmero de CRL y un identificador de particin. Los
identificadores de particin se dan de alta por medio de la tabla Particiones A Descargar y de los botones Aadir y Eliminar. Por ltimo, y tras especificar las particiones (en caso de ser necesario), se deben especificar los mtodos de descarga que se van a utilizar para obtener la informacin de las CRLs a descargar. Estos mtodos se corresponden con los mtodos de validacin previamente aadidos, ademas para que la descarga tenga efecto hemos debido marcar la casilla Almacenar CRL al dar de alta el mtodo de validacin. Al igual que en la configuracin de mtodos de validacin para los Prestadores, en este caso se podrn especificar varios, definiendo la prioridad en que sern utilizados. Tanto las particiones como los mtodos de descargar se modifican directamente sobre la configuracin, sin necesidad de tener que pulsar el botn Modificar para llevar a cabo este proceso.
Figura 90 Modificacin de grupo de descarga
1.3.11 Importacin / Exportacin de polticas de certificacin
Esta funcionalidad permite la generacin de un fichero XML que contiene la informacin de las polticas de validacin especificadas por el administrador, para posteriormente importar dicha informacin en otra plataforma @firma, o bien en la misma para restaurar la informacin en caso de inconsistencia de la misma.
79/111
La informacin exportada ser firmada por la plataforma con el fin de que en el proceso de importacin se pueda verificar la integridad de la informacin y la identidad del firmante. Para acceder a la funcionalidad de importacin / exportacin, se debe pulsar el botn ubicado en la barra superior, o bien mediante el men Componentes. En la pantalla que aparece, se muestran dos solapas, cada una para realizar el proceso de importacin y exportacin respectivamente.
Figura 91 Pantalla de gestin de Importacin / Exportacin de polticas de certificacin
1.3.11.1
Exportacin de polticas de certificacin
La exportacin de polticas es un proceso sencillo, donde el Administrador nicamente debe seleccionar las polticas a exportar, elegir la versin de la plataforma a la que se va a destinar dicha exportacin en un men desplegable, marcar si fuera necesario que se exporten los certificados de ejemplo y decidir la ubicacin y nombre del fichero resultante. La pantalla de Exportacin se muestra al pulsar sobre la pestaa correspondiente, y consta de una tabla donde aparecern las polticas actualmente definidas en la plataforma. De cada poltica se muestra su identificador (primera columna) y su descripcin (segunda columna). Los checkbox que aparecen junto a los identificadores permitirn seleccionar o deseleccionar las polticas a exportar.
Tras seleccionar las polticas deseadas, se deber indicar en el desplegable la versin de la plataforma a la que se va a destinar la exportacin. Opcionalmente se pueden exportar los certificados de ejemplo (certificados tipo) marcando el checkbox inferior. Luego se pulsar el botn Exportar y se abrir una ventana del navegador con un cuadro de dilogo mediante el cual se podr visualizar el fichero generado o guardarlo con el nombre deseado en el pc local.
Figura 92 Pantalla de Exportacin de polticas de certificacin
1.3.11.2
Importacin de polticas de certificacin
El proceso de importacin obtendr la informacin de polticas de un fichero dado, y tras su verificacin, proceder a aadir la informacin en el sistema.
81/111
Figura 93 Pantalla de Importacin de polticas de certificacin
Para importar un fichero, en la pantalla de importacin se debe introducir la ruta local donde se encuentra el fichero XML, o bien pulsar el botn para que se despliegue una ventana de seleccin de ficheros mediante la cual podremos navegar por el sistema de archivos para especificar el fichero a importar. Debido a que es posible que en la configuracin a importar existan elementos que ya se encuentran definidos en la configuracin de la plataforma, se proporciona un checkbox donde se puede especificar si de debe sobrescribir dicha informacin. Tras especificar los campos necesarios, se pulsar el botn Importar, inicindose as el proceso de verificacin del contenido del fichero a importar. La verificacin estribar en dos aspectos fundamentales; por un lado se verificar que la firma del fichero sea correcta, y por otro si se est intentando importar configuracin de una poltica ya existente en el sistema. En caso de que la comprobacin de la firma falle, el sistema mostrar un mensaje de error, y el proceso se detendr. En el caso en que exista una poltica a importar que ya se encuentre registrada en el sistema, se mostrar la siguiente pantalla.
Figura 94 Pantalla de Importacin de polticas de certificacin

En ella aparece una tabla donde se muestran por filas las polticas duplicadas y cuya finalidad es la de especificar un nuevo nombre para las polticas a importar del fichero que ya se encuentran registrada en la plataforma. Para modificar el nombre con el que se importar una poltica, se debe modificar la caja de texto ubicada en la columna derecha. Una vez completado el proceso, se pulsar el botn Importar si se desea continuar el proceso, o Cancelar en caso contrario. Tras pulsar el botn Importar el sistema comenzar a importar la configuracin, proceso que dependiendo de la cantidad de informacin a importar puede tardar un rato. Una vez finalizada la importacin, se mostrar una ventana con el resultado del proceso, donde en forma de log, aparecern trazas informativas que indicarn todos los procesos que se han llevado a cabo. Las trazas pueden ser de tres tipos: INFORMACION. Son trazas meramente informativas que indican alguna accin que se ha llevado a cabo. Por ejemplo: Se ha aadido la poltica [DEFAULT_2] WARNING. Informan de una situacin especial que debe ser tenida en cuenta por el administrador, habindose realizado el proceso de importacin satisfactoriamente. Un ejemplo de ello puede ser la importacin de una contrasea que ya se encuentra dada de alta en el sistema, en cuyo caso se informar al administrador de que la contrasea no ha sido importada y que revise la configuracin para verificar que todo est correcto. ERROR. Una traza de este tipo indica un error grave que ha provocado que la informacin no se importe en la plataforma. Un ejemplo de ello es la verificacin fallida de la firma del fichero a importar.
Figura 95 Pantalla Resultado de importacin. Importacin satisfactoria
83/111
Figura 96 Pantalla Resultado de importacin. Importacin no realizada
Para cerrar la ventana de resultado y volver a la pantalla de importacin se pulsar el botn Aceptar.
1.3.12 Gestin de Plataformas Federadas y Unidades Organizativas
La plataforma @firma incluye un motor que permite la generacin y exportacin de informacin estadstica de las transacciones procesadas. En determinados escenarios, diferentes implantaciones de plataformas @firma pueden interaccionar entre s en un modelo que se denominado Federado. En este modelo es posible el intercambio de informacin estadstica entre plataformas con el fin de poder generar estadsticas generales de todo el sistema Federado. Cada una de las plataformas de las que se desea importar informacin para su posterior consulta se denomina Plataforma Federada. Las Plataformas Federadas deben ser registradas en la plataforma previamente con el fin de poder importar su informacin estadstica, permitiendo as que el sistema la reconozca y pueda asociar la informacin importada. Es importante destacar que cualquiera puede ser una Plataforma Federada respecto de otra, ya que todas las implantaciones de @firma permiten esta funcionalidad. Como ejemplo, podramos tener una plataforma desplegada en una Comunidad Autnoma, siendo las plataformas desplegadas en sus distintas provincias Federadas respecto de ella. Asimismo, la plataforma de la CA, podra ser Federada respecto de otra desplegada a nivel estatal. Para poder importar informacin estadstica de una determinada plataforma mediante la herramienta de Auditoria, primero se debe darla de alta dicha plataforma en la Herramienta de Administracin. Al igual que en la gestin de aplicaciones, las Plataformas Federadas pueden agruparse en Unidades Organizativas, de forma que se puede definir una jerarqua que permita ubicar las diferentes plataformas dentro de su organizacin.
Para acceder a la gestin de plataformas federadas y unidades organizativas se debe pulsar el botn destinado a tal efecto ubicado en la botonera superior o bien en el men desplegable, apareciendo la pantalla principal, tal y como muestra la figura siguiente.
Figura 97 Interfaz de gestin de Plataformas Federadas
En la parte izquierda de la interfaz se muestra un rbol que aloja las unidades organizativas y plataformas federadas registradas en la plataforma y cuyo nodo raz es root (unidad organizativa vaca). En la zona central se visualizar la informacin de configuracin del elemento seleccionado, que podr ser una unidad organizativa o bien una plataforma federada. Mediante este gestor es posible realizar las siguientes operaciones: Sobre unidades organizativas o Alta de unidades organizativas. o Modificacin de unidades organizativas. o Baja de unidades organizativas. Sobre las plataformas federadas:
o Alta de plataformas. o Modificacin de plataformas. o Baja de plataformas. A continuacin sern las diferentes operaciones as como los datos que intervienen en cada una de ellas. 1.3.12.1 Alta de una Unidad Organizativa
Para registrar una nueva UO en la plataforma es necesario posicionarse sobre el nodo del rbol de UOs y plataformas sobre el cual se desea crear la nueva UO. Este nodo debe ser o el nodo raz (root) o cualquier otro nodo que represente una unidad organizativa, ya que las aplicaciones no pueden tener nodos hijos.
Figura 98 Interfaz de gestin de UOs y aplicaciones. Alta UO
Tras esto, se pulsar el botn Alta y cumplimentamos el formulario de Alta de aplicaciones y Unidades organizativas seleccionando como Tipo de Alta Unidad Organizativa, una cadena como identificador nico y un nombre para la UO.
86/111
Figura 99 Ventana de alta de UO
Tras pulsar el botn Dar de Alta la nueva UO quedar registrada en la plataforma.
Figura 100 Alta de UO correcta
1.3.12.2
Modificacin de una Unidad Organizativa
Para actualizar una UO registrada en la plataforma es necesario posicionarse sobre la unidad que se desea modificar en el rbol de UOs y plataformas federadas. En la parte derecha de la pantalla aparecer la informacin de la UO, que podr ser modificada libremente. Los datos susceptibles de ser actualizados para una unidad organizativa son: Identificador de unidad organizativa. Nombre de unidad organizativa.
Para guardar los cambios, pulse el botn Modificar ubicado en la parte inferior de la pantalla, y el sistema registrar la nueva informacin.
Figura 101 Interfaz de gestin de UOs y plataformas federadas. Modificacin de UO
Figura 102 Modificacin UO correcta
1.3.12.3
Baja de una Unidad Organizativa
Para eliminar una UO registrada en la plataforma es necesario posicionarse sobre la unidad que se desea borrar en el rbol de UOs y plataformas federadas. Para eliminar la UO, se pulsar el botn Baja ubicado en la parte inferior derecha de la pantalla.
88/111
Figura 103 Interfaz de gestin de UOs y aplicaciones. Baja de UO
Figura 104 Confirmacin de baja de UO
Si la unidad organizativa tiene nodos hijos, la plataforma mostrar una ventana indicando esta situacin y volviendo a solicitar la confirmacin del borrado:
Figura 105 Confirmacin de baja de UO con nodos hijos
Por ltimo, la plataforma mostrar una ventana indicando el resultado de la operacin.
89/111
Figura 106 Baja de UO correcta
1.3.12.4
Alta de una Plataforma Federada
Para registrar una nueva plataforma federada en la plataforma es necesario posicionarse sobre el nodo del rbol de UOs y plataformas federadas sobre el cual se desea crear la nueva plataforma. Este nodo debe ser o el nodo raz (root) o cualquier otro nodo que represente una unidad organizativa, ya que las plataformas federadas no pueden tener nodos hijos.
Figura 107 Interfaz de gestin de UOs y Plataformas Federadas. Alta de plataforma
Tras esto, se pulsa Alta y se cumplimenta el formulario de Alta de Plataformas Federadas y Unidades organizativas seleccionando como tipo de alta Plataforma Federada. En este momento se mostrarn los parmetros que son configurables para una plataforma y que debern ser completados.
90/111
Figura 108 Ventana de registro de Plataforma Federada
Los parmetros configurables para una plataforma federada son los siguientes: Identificador: Identificador automticamente. interno para identificar la plataforma. Se genera
Alias Plataforma Federada: Alias por el cual ser nombrada la plataforma en la plataforma. Alias del Certificado: Alias del certificado utilizado por esta plataforma federada para firmar las Estadisticas que genere. El certificado se encontrara en el keystore: AlmacenConfianzaPF. (vase la gestin de keystores y contraseas) Habilitada: Indica si la plataforma federada est activa, solo se pueden importar estadsticas de plataformas federadas activas. Metodos de Validacin: Indica las URLs que esta plataforma publica para validar certificados. Esta informacin es importante debido a que las plataformas pueden interactuar entre s con el fin de llevar a cabo procesos de validacin de certificados, por lo que una nica operacin de validacin podra aparecer registrada ms de una vez, en caso de que una plataforma haya delegado esta accin en otra u otras. El hecho de
indicar las URLs de los servicios de validacin permite al sistema no incluir en las estadsticas (realizadas agrupando varias plataformas) aquellas transacciones cuyo destino ha sido una plataforma federada. Tras pulsar el botn Dar de Alta la nueva plataforma federada quedar registrada en la plataforma con los valores que han sido introducidos.
Figura 109 Alta de Plataforma Federada correcta
1.3.12.5
Modificacin de una Plataforma Federada
Para actualizar una plataforma federada registrada en la plataforma es necesario posicionarse sobre la plataforma que se desea modificar en el rbol de UOs y plataformas federadas. En este momento se mostrarn los datos de la plataforma federada seleccionada.
Figura 110 - Interfaz de gestin de UOs y plataformas federadas. Modificacin de plataforma

Por ltimo, tan solo es necesario modificar aquellos parmetros que se deseen actualizar y pulsar Modificar. Tras realizar esto, la plataforma mostrar una ventana indicando el resultado de la actualizacin.
Figura 111 Modificacin de plataforma correcta
Los datos susceptibles de ser actualizados son: Alias de la plataforma federada. Alias del certificado. Habilitada. Mtodos de validacin.
Para modificar los mtodos de validacin se utilizan los botones Aadir y Eliminar. Pulsando Aadir se aade el mtodo escrito en el campo de texto y pulsando Eliminar se elimina el mtodo previamente seleccionado de la lista.
Figura 112- Modificacin de Mtodos de Validacin
1.3.12.6
Baja de una Plataforma Federada
Para eliminar una plataforma federada registrada en la plataforma es necesario posicionarse sobre la plataforma que se desea borrar en el rbol de UOs y plataformas. Hay que tener en cuenta que al eliminar una plataforma no ser posible importar ms estadsticas federadas de dicha plataforma.
93/111
Figura 113- Interfaz de gestin de UOs y Plataformas Federadas. Baja de plataforma
Tras esto, se pulsa Baja y se mostrar una pantalla similar a la siguiente, pidiendo la confirmacin de la eliminacin:
Figura 114 Confirmacin de baja de plataforma
Si se confirma la eliminacin aparece la siguiente ventana indicando que la operacin se ha realizado correctamente:
94/111
Figura 115 Baja de plataforma correcta
1.3.12.7
Mostrar Mapeos de una Plataforma Federada
Como en las distintas plataformas los mismos tipos de certificados definidos para cada prestador pueden tener distintos identificadores (ver 4.3.2 Gestin PSCs), aunque se refieran al mismo tipo de certificado, se hace necesario un mecanismo con el cual homogenizar esta informacin, los Mapeos de Tipos de Certificados. Cada plataforma federada tiene asociada una tabla de Mapeos de Tipos de Certificados en la que se asocia para cada tipo de certificado de esa plataforma federada (Tipo Origen), un tipo en la plataforma central (Tipo Destino), donde se importan las estadsticas.
Figura 116 - Interfaz de gestin de UOs y Plataformas Federadas. Mostrar Mapeos
95/111
Al pulsar Mostrar Mapeos aparece una ventana en cuya parte izquierda aparece una lista con todos los PSCs raz dados de alta en la plataforma y si pulsamos en alguno de ellos en la parte derecha nos aparece una tabla con los mapeos asociados a ese PSC.
Figura 117 - Mapeos Tipos de Certificados
Al lado de cada mapeo aparece el botn . Pulsando dicho botn nos aparecer una ventana con los distintos tipos de certificados dados de alta en la plataforma.
Figura 118 - Tipos de Certificados

Pulsando dos veces en alguno de los tipos se modifica el mapeo, aunque para confirmar los cambios hay pulsar Aceptar, con mostrndose la siguiente ventana:
Figura 119 - Confirmar cambios mapeos.
1.3.13 Configuracin del servidor OCSP
La plataforma @firma incorpora un servidor OCSP que permite ofrecer un servicio de consulta de estado en tiempo real de cara a las aplicaciones integrantes. El servidor OCSP puede ser configurado por medio del mdulo de administracin de la plataforma @firma. Los parmetros que pueden configurarse por medio de esta pantalla estn relacionados con las firmas de los mensajes generados por el propio servidor, as como alguna restriccin a la hora de aceptar peticiones por parte de las aplicaciones usuarias. Para acceder a la configuracin del servidor OCSP de la plataforma se debe pulsar el botn destinado a tal efecto ubicado en la botonera superior o bien en el men desplegable.
Figura 120 Configuracin del servidor OCSP.
Podemos configurar los siguientes parmetros: Algoritmo de Hash: Algoritmo de hash a utilizar para la generacin de las firmas de los mensajes de respuesta OCSP. Algoritmo de Firma: Algoritmo de firma a utilizar para la inclusin de las firmas de los mensajes de respuesta OCSP.
Identificador certificado defecto: El servidor OCSP, siguiendo el estndar definido en la RFC2560, acta del siguiente modo a la hora de firmar una respuesta OCSP devuelta a una aplicacin concreta: 1. Se obtiene el emisor del certificado incluido en la peticin OCSP y del que se desea obtener informacin de revocacin, y se busca en el keystore correspondiente (KeystoreOCSP) un certificado habilitado para firma de respuestas OCSP (esto es, que incluya el atributo id-kp-OCSPSigning en la extensin extendedKeyUsage) que haya sido emitido por dicho PSC. 2. Si se encuentra un certificado que cumpla estos criterios, el servidor utilizar dicho certificado para firmar la respuesta. 3. Si no se encuentra ningn certificado que cumpla los requisitos, el servidor utilizar el certificado por defecto definido por su alias. Este alias deber ser especificado en el campo Identificador certificado defecto.
RequestorName Obligatorio. Las peticiones OCSP pueden incluir un identificador del cliente que realiza la peticin. Este identificador es el RequestorName, y su inclusin es nicamente obligatoria en caso de que la peticin venga firmada. La plataforma permite tambin de forma opcional obligar a los clientes OCSP para que incluyan dicho identificador independientemente de si la peticin ha sido firmada o no. De esta forma, el servidor OCSP puede restringir su servicio nicamente a aquellos clientes registrados en la plataforma y habilitados de la forma correspondiente en el mdulo de gestin de aplicaciones.
98/111
Anexos
Anexo I. Caso Prctico: Utilizacin de CRLs particionadas y descarga en cach L2 Se desea configurar los mecanismos de validacin de los certificados de DNI Electrnico por medio de sus CRLs particionadas. Las CRLs deben ser almacenadas localmente en la cach de nivel 2 y deben ser actualizadas peridicamente cada hora. El DNI Electrnico posee una jerarqua de certificacin donde el nodo raz (AC RAIZ DNIE SHA2) emite un nmero definido de CAs intermedias con la nomenclatura AC DNIE XXX SHA2. Cada una de estas CAs intermedias emitirn los mismos tipos de certificados que debern ser validados por medio de las CRLs emitidas por la CA especfica ARC DNIE 001.
Figura 121 Jerarqua de certificacin del EDNI
Dicha CA emite 1000 CRLs para cada una de las CAs intermedias del EDNI, por lo que se generarn 3000 CRLs, donde para cada CA se utilizar un identificador distinto para discriminar las CRLs. La nomenclatura que siguen los nombres de CRL es la siguiente: XXXXXXXXXX-N.crl Donde XXXXXXXXXX, se denomina identificador de particin, y es un identificador que ser nico para cada CA y permitir discriminar las CRLs asociadas a cada una de ellas. Este identificador es proporcionado por la CA y sus valores para cada una de ellas son: AC DNIE 001 SHA2: 1111111111 AC DNIE 002 SHA2: 2222222222
AC DNIE 003 SHA2: 3333333333
N es el nmero de la CRL que puede ir de 0 a 999. A continuacin se detalla cmo se debe realizar la configuracin para la descarga peridica y validacin de certificados mediante estas CRLs. Se parte del supuesto de que los Prestadores ya han sido dados de alta en la plataforma de la manera especificada en este mismo documento. 1.4 Configuracin del PSC
En primer lugar es necesario asignar el identificador de particin correspondiente a cada uno de las CAs intermedias. Para ello, debemos ir a la pantalla de gestin de prestadores y seleccionar el Prestador deseado. En nuestro caso, la CA AC DNIE 001 SHA2. En el campo Identificador de Particin deberemos introducir el identificador asociado a la CA y pulsar el botn Modificar. En este caso, el identificador a especificar es1111111111.
Figura 122 Asignacin de identificadores de particin
Se realizar el mismo proceso para las CAs AC DNIE 002 SHA2 y AC DNIE 003 SHA2 con los identificadores de particin apropiados. 1.5 Adicin del certificado emisor de las CRLs en el almacn de confianza de CRLs
Antes de proceder a crear los mtodos de validacin es necesario agregar los certificados de los emisores de las CRLs que se van a utilizar en el almacn de confianza destinado a tal efecto. Para ello, deberemos ir a la gestin de Keystores, y pulsar sobre el keystore AlmacenConfianzaCRL.
Figura 123 Adicin de certificados de confianza de emisores de CRL
Para aadir los certificados en el almacn, se debe pulsar el botn Importar Certificado, y en la ventana que aparece deberemos especificar fichero local que contiene el certificado asociado al emisor de CRLs que deseamos importar. En este caso se indicar el fichero que contiene el certificado de la CA ARC DNIE 001 SHA2 (CA intermedia cuya labor es firmar las CRLs para toda la jerarqua de certificacin del EDNI). En caso de no poseer el certificado, se puede exportar en la pantalla de consulta de datos de un prestador, en el mdulo de gestin de prestadores. Tras seleccionar el fichero y pulsar Aceptar, el sistema mostrar el alias con el que ser almacenado el certificado. Este alias no debe ser modificado, por lo que para finalizar, se pulsar Aceptar.
101/111
Figura 124 Introduccin del alias del certificado a importar
1.6
Configuracin de los mtodos de validacin
A continuacin se crearn los mtodos de validacin apropiados para el acceso a las CRLs de las CAs emisoras de CRLs. Dado que el emisor de las CRLs siempre es el mismo, nicamente ser necesario crear un mtodo de validacin que podr ser asignado a todas las CAs intermedias de la jerarqua del EDNI. Tras acceder a la gestin de mtodos de validacin y pulsar Alta Met. Val., se abrir la pantalla de alta, donde lo nico a destacar es que la URL del servidor debe especificar la URI donde cuelgan todas las CRLs particionadas (por tanto, todas las CRLs debern estar publicadas bajo en la misma ubicacin).
Figura 125 Alta del mtodo de validacin I
Tras pulsar el botn Continuar se pasar a la segunda pantalla de alta, donde se debern especificar los siguientes datos: Tipo Acceso. Segn el tipo de mtodo a utilizar para el acceso a la CRL. En este caso, ser http. Validar CRL. Se desactivar el check para que las CRLs nicamente se validen en la descarga y no cada vez que se consulten. Id Emisor CRL. Este dato es importante, ya que permitir validar la CRL en el momento de la descarga. La lista de emisores que aparecen en el men desplegable ser la lista de
certificados existentes en el keystore AlmacenConfianzaCRL, por lo que el emisor debe haberse dado de alta previamente. Campos de autenticacin. Esta informacin es independiente de si las CRLs son o no particionadas, por lo que se completarn segn las necesidades especficas. Almacenar CRL. Se activar el check con el fin de especificar los parmetros de almacenamiento de las CRLs en la cach de nivel 2 (incluido si se quiere cachear dicha CRL). Tipo de Repositorio. El repositorio utilizado en este caso ser BBDD. Nombre Fichero Repositorio. Segn la nomenclatura que seguirn las CRLs, el formato del nombre de la CRL ser el siguiente: ?-*.crl De esta forma, en tiempo de validacin de un certificado, el carcter ? ser sustituido por el identificador de la particin especificado en la configuracin del emisor de la CRL, mientras que el carcter * ser sustituido por el nmero de la particin que posee la informacin del certificado a validar (este nmero es calculado de forma interna por el sistema, en base a las especificaciones proporcionadas por la DGP). Nmero de particiones. En nuestro caso, se emitirn 1000 particiones de la CRL para cada CA intermedia.
Figura 126 Alta del mtodo de validacin II
En este ejemplo nicamente se ha creado un mtodo de validacin, sin embargo, si existieran diversas maneras de acceder a la CRL (por LDAP, FTP, etc.), se deberan crear mtodos de
validacin para contemplar estas posibilidades, lo que permitira acceder a la CRL an cuando alguno de ellos no estuviera activo. 1.7 Asignacin de los mtodos de validacin
Tras crear el mtodo de validacin, se deber asignar a cada una de las CAs intermedias de la jerarqua del EDNI, esto es, a las CAs AC DNIE 001 SHA2, AC DNIE 002 SHA2 y AC DNIE 003
SHA2.
1.8
Creacin de las tareas de descarga de las CRLs
El ltimo paso del proceso es la creacin de la tarea que se encargar de descargar y almacenar las CRLs en la cach de nivel 2. En el caso que nos aborda, como el emisor de las CRLs es el mismo, todas las CRLs estn ubicadas en el mismo lugar, y sus nombres poseen el mismo formato, nicamente ser necesario definir una tarea, que llevar a cabo la descarga de todas las CRLs. En la pantalla de gestin de descargas de CRLs, se debe pulsar el botn Alta Tarea. En la pantalla de Alta se debern especificar los siguientes datos.
Figura 127 Alta de la tarea de descarga
Identificador. El identificador del grupo de descarga. Tiempo Refresco. Segn las especificaciones deber ser de 60 minutos. Tipo Descarga. Especificaremos la opcin Mltiple que permitir la descarga de CRLs particionadas.
Nmero de particiones. Se especificarn 1000 particiones, lo que significa que existirn 1000 CRLs emitidas con cada identificador de particin.
Tras pulsar el botn Aceptar, la tarea ser dada de alta, debindose especificar en este momento las particiones y los mtodos de validacin a utilizar para descargar las CRLs. Para modificar la tarea de descarga recin creada, se seleccionar la misma en el rbol de tareas, mostrndose su configuracin en la parte derecha de la pantalla. A continuacin se aadirn los identificadores de particin definidos para cada una de las CAs emisoras. Para ello, se especificar el identificador en el cuadro Particin y se pulsar el botn Aadir. La tarea se modificar directamente sin necesidad de pulsar el botn Modificar.
Figura 128 Asignacin de identificadores de particin a una tarea
Para finalizar el proceso, se asignarn los mtodos de validacin a utilizar. En nuestro caso nicamente se aadir el mtodo que hemos creado anteriormente (CRL por http).
105/111
Figura 129 Asignacin de mtodos de validacin a una tarea
Una vez dada de alta la tarea, el sistema iniciar automticamente la descarga de las CRLs de forma secuencial, obteniendo 1000 CRLs por cada identificador de particin especificado, segn la nomenclatura especificada en el mtodo de validacin utilizado.
Anexo II. Caso prcticos. Definicin de mtodos de validacin: Tipo Asociacin Expresin Regular 1.9 Expresiones regulares estndar de Java
Una expresin regular es una manera de describir un conjunto de cadenas de texto a partir de unas caractersticas comunes compartidas por todas las cadenas del conjunto, es decir, una expresin regular nos permitir buscar patrones en una cadena de texto. Por ejemplo: la expresin a* describe el conjunto de cadenas de texto que empiezan por a, es decir: a*. aa, ab, ac, aab, aac, , antes, anterior, etc, Las expresiones regulares pueden usarse para buscar, editar o manipular texto (o datos). Par la definicin de expresiones regulares en Java, se pueden usar: Literales (como por ejemplo CN=). Lmites. Por ejemplo: ^ Comienzo de una lnea
$ Fin de una lnea \b Fin de palabra \B No es fin de palabra \A El principio de la cadena de entrada \G El final del ultimo patrn encajado \Z El final de la entrada pero el terminador final, si existe \z El final de la cadena de entrada Clases de caracteres (letras, nmeros, etc). Por ejemplo: . X* X+ X{n} X(n,} Cualquier caracter X, cero o ninguna vez X, una o mas veces X, exactamente n veces X, por lo menos n veces
X{n,m} X, por lo menos n veces pero no mas de m veces
Cuantificadores (una vez una o varias veces, entre una y tres veces).Por ejemplo: ? X* X+ X{n} X(n,} X, una o ninguna vez X, cero o ninguna vez X, una o mas veces X, exactamente n veces X, por lo menos n veces
X{n,m} X, por lo menos n veces pero no mas de m veces Grupos de captura (subexpresiones que puede ser tratadas a posteriori, una vez reconocidas). Los grupos se numeran contando los parntesis abiertos de izquierda a derecha (). El grupo de captura 0 siempre ser la expresin completa. Operadores lgicos (ste literal o ste otro). XY X seguido de Y
X|Y X o Y (X) X, como un grupo de cpatura
Por ejemplo, una expresin regular para describir el conjunto de cadenas de texto que puede contener el Subject del DNI electrnico de firma, podra ser de la siguiente: CN=(.*), givenName=(.*),SN=(.*), serialNumber=(.*),C=ES. Si la analizamos por partes vemos: CN=: es un literal (.*): Primer grupo de captura (primera subexpresin, definida entre parntesis). . (punto) Es una clase de caracteres (primera subexpresin, definida entre parntesis). *: (asterisco) Es un cuantificador, equivale a cualquier nmero de veces y se aplica al carcter, expresin, clase de caracteres, etc. Inmediantemente anterior.
givenName=: Otro literal. (.*): Es el segundo grupo de captura
Una vez definida, podemos hacer referencia a los distintos grupos de captura de forma independiente. As el primer grupo de captura se correspondera con el texto entre CN=y ,givenName=, es decir, el CommonName. Para ms informacin, consultar http://java.sun.com/j2se/1.4.2/docs/api/java/util/regex/Pattern.html 1.10 Referencias a otos campos lgicos Las expresiones regulares permiten describir un conjunto de cadenas a partir de unas propiedades comunes conocidas a priori y no admiten de manera estndar el uso de variables o referenciadas a otras cadenas distintas de las que se estn tratando. Para poder incluir en las expresiones regulares el valor de un campo lgico se indicar con la siguiente notacin:${NOMBRE_CAMPO_LOGICO}.
108/111
1.11 Ejemplos prcticos

1.11.1 Ejemplo utilizacin expresin de Java
Queremos definir el valor del campo lgico ApellidosResponsable, para ello seleccionamos el atributo del certificado Subject (que se carga en el campo de la pgina OID), cuyo valor se cargara en el campo de la pgina Valor.
De esta cadena queremos extrer los apellidos del responsable, para ello podemos definir la siguiente expresin regular, por ejemplo:
Si analizamos la expresin regular: CN= es un literal. (.*) Es un grupo de captura, en que indicamos que sea cualquier carcter (con el punto) y repetido 0 o x veces (con es asterisco) ,SN= es otro literal.
Al definir dicha expresin regular, hemos definido tres grupos de captura: El grupo de captura 0 ( siempre es toda la expresin): CN=Prueba_PerFisica_Nombre Prueba_Apellido1 Prueba_Apellido2,SN=Prueba_Apellido1 Prueba_Apellido2,givenName=Prueba_PerFisica_Nombre,C=ES,serialNumber=123456 78 Grupo de captura 1: Prueba_PerFisica_Nombre Prueba_Apellido1 Prueba_Apellido2 Grupo de captura 2: Prueba_Apellido1 Prueba_Apellido2 Grupo de captura 3: Prueba_PerFisica_Nombre,C=ES,serialNumber=12345678A
1.11.2 Ejemplo utilizacin expresin de Java y el valor de un campo lgico
Queremos extraer el valor de un campo lgico haciendo referencia al valor de otro campo lgico que a priori no conocemos puesto que variar en funcin del certificado.
109/111
Queremos obtener el valor del campo lgico segundoAplellidoResponsable, para ello seleccionamos el atributo del rbol de certificado Surname, que contiene ambos apellidos del responsable.
Por otro lado, en el campo lgico primerApellidoResponsable tenemos el valor del primer apellido, por lo que podemos obtener el segundo apellido haciendo referencia al primer apellido, por ejemplo, podemos definir lo siguiente:
Si analizamos la expresin regular: ${primerApellidoResponsable}: estamos haciendo referencia al valor del campo lgico primerApellidoResponsable que desconocemos a priori y que se obtiene en ese mismo instante. En este caso estamos definiendo un grupo de captura (valorcampo). (.*): Es un grupo de captura, en que indicamos que sea cualquier carcter (con el punto) y repetido 0 o x veces (con es asterisco).
Al definir dicha expresin regular obtenemos los siguientes grupos de captura: El grupo de captura 0 ( siempre es toda la expresin): Prueba_Apellido1 Prueba_Apellido2 Grupo de captura 1: Prueba_Apellido1 Grupo de captura 2: Prueba_Apellido2
110/111
Anexo III. Recomendaciones de uso seguro de la plataforma @Firma 5 A continuacin se ofrecen algunas recomendaciones para realizar un uso seguro de la plataforma desde el punto de vista del administrador: Mantener una poltica de contraseas que evite la repeticin de contraseas y obligue la creacin siguiendo los patrones de seguridad especificados en el documento TI-20-1178@Firma-Global-Normativa de Seguridad. Se recomienda usar XAdES-T para la firma de respuestas SOAP de la plataforma. En caso de no estar disponible, realizar XAdES-BES. Se debern firmar todas las respuestas de la plataforma. Se debe recomendar a los integradores la validacin de las firmas electrnicas frente los datos firmados, no basando la validacin solamente en los datos extrados de la firma electrnica. Se recomienda no usar los algoritmos MD2, MD5, MD2withRSA o MD5withRSA, mantenidos en la plataforma por motivos de compatibilidad hacia atrs. El acceso a la herramienta de administracin deber realizarse a travs de HTTPS.
111/111

MPR TI 20 1178 @firma Admin Is Trac Ion MAN

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MPR TI 20 1178 @firma Admin Is Trac Ion MAN

Transféré par

Droits d'auteur :

Formats disponibles

MPR-TI-20-1178-@Firma-Administracion-MAN-017

Manual de la herramienta de Administracin de @firma 5.3.1_08

Documento n: Revisin: Fecha: Perodo de retencin:

TELVENT Manual de Administracin de @firma 5.3.1_08

CONTROL DE COMPROBACIN Y APROBACIN

TELVENT Manual de Administracin de @firma 5.3.1_08

Rev. Fecha Autor/es Descripcin

1 29/08/2006 LLA, PPA, PLAT, JAMC, RCVC Documentacin inicial

Rev. Fecha Autor/es Descripcin

2 25/10/2006 MMIG Correccin de diversas erratas.

Rev. Fecha Autor/es Descripcin

Rev. Fecha Autor/es Descripcin

4 03/04/2007 MMIG Inclusin de la funcionalidad de Estadsticas Federadas

Rev. Fecha Autor/es Descripcin

Rev. Fecha Autor/es Descripcin

TELVENT Manual de Administracin de @firma 5.3.1_08

Rev. Fecha Autor/es Descripcin

Rev. Fecha Autor/es Descripcin

8 05/02/2008 JAGG Inclusin de la funcionalidad necesaria para activar/desactivar la cach de CRLs.

Rev. Fecha Autor/es Descripcin

Rev. Fecha Autor/es Descripcin

Rev. Fecha Autor/es Descripcin

11 09/06/2008 JAGG Modificacin de las imgenes adaptndolas a la versin 5.3 de @firma.

Rev. Fecha Autor/es Descripcin

Rev. Fecha Autor/es Descripcin

13 25/06/2008 MRC Aadido Anexo III: Uso seguro de la plataforma

TELVENT Manual de Administracin de @firma 5.3.1_08

Rev. Fecha Autor/es Descripcin

Rev. Fecha Autor/es Descripcin

15 10/03/2010 JAGG Se adapta el manual a la versin 5.3.1_02 de @firma.

Rev. Fecha Autor/es Descripcin

16 11/05/2010 JAGG Se adapta el manual a la versin 5.3.1_06 de @firma.

Rev. Fecha Autor/es Descripcin

17 09/11/2010 JAGG Se adapta el manual a la versin 5.3.1_08 de @firma.

TELVENT Manual de Administracin de @firma 5.3.1_08

Propiedad del documento:

TELVENT Manual de Administracin de @firma 5.3.1_08

TELVENT Manual de Administracin de @firma 5.3.1_08

TELVENT Manual de Administracin de @firma 5.3.1_08

TELVENT Manual de Administracin de @firma 5.3.1_08

Documento TI-20-1178-@Firma-InstalacionyDespliegue-MAN, Manual de Instalacin y despliegue de la plataforma @Firma 5.

TELVENT Manual de Administracin de @firma 5.3.1_08

Mdulo de Administracin de la Plataforma @Firma 1.1 Descripcin General

TELVENT Manual de Administracin de @firma 5.3.1_08

TELVENT Manual de Administracin de @firma 5.3.1_08

Acceso al interfaz grfico del mdulo de Administracin

Modo Securizado Modo normal

Figura 1 Interfaz de acceso al mdulo de Administracin de @firma

Figura 2 Ventana de Error en el proceso de Logado

Figura 3 Ventana de Error en el proceso de Logado con nmero de intentos

Figura 4 Ventana de Error en el proceso de Logado con nmero de intentos sobrepasado

Si el usuario que intenta acceder se encuentra bloqueado se muestra el siguiente mensaje:

TELVENT Manual de Administracin de @firma 5.3.1_08

Figura 5 Ventana de Error en el proceso de Logado, usuario bloqueado

Figura 6 Mdulo de Administracin de @firma

TELVENT Manual de Administracin de @firma 5.3.1_08

Figura 7 - Mdulo de Administracin de @firma

TELVENT Manual de Administracin de @firma 5.3.1_08

Figura 8 Interfaz de alta de Prestador de Servicios de Certificacin

Figura 9 Interfaz de Error de Alta de PSC

Figura 10 PSC dado de alta correctamente

TELVENT Manual de Administracin de @firma 5.3.1_08

Figura 11 rbol de Gestin de PSCs