Guía de Administración de SealSign DSS

ElevenPaths, innovación radical y disruptiva en seguridad

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 2 de 19

Contenidos

1 Introducción ............................................................................................................... 3

2 Tareas de Configuración .............................................................................................. 5

2.1 Herramienta de administración ................................................................................................ 5

2.2 Configuración de parámetros del Proxy Corporativo ............................................................... 5

2.3 Gestión de proveedores PKCS#11 ............................................................................................ 5

2.3.1 Consulta de los proveedores PKCS#11 configurados ................................................................. 5

2.3.2 Añadir un nuevo proveedor PKCS#11 ........................................................................................ 6

2.3.3 Modificar un proveedor PKCS#11 .............................................................................................. 6

2.3.4 Eliminar un proveedor PKCS#11 ................................................................................................. 6

2.4 Configuración de la Autoridad de Validación de Certificados .................................................. 6

2.5 Configuración de parámetros de Firma Electrónica ................................................................. 8

2.6 Configuración de parámetros de Verificación de Firma Electrónica ........................................ 9

2.7 Gestión de claves centralizadas .............................................................................................. 10

2.7.1 Gestión de certificados de servidor .......................................................................................... 10

2.7.2 Reglas de Uso ........................................................................................................................... 13

2.8 Configuración de la autoridad local de Sellado de Tiempo .................................................... 14

2.9 Gestión de servidores de Sellado de Tiempo ......................................................................... 14

2.9.1 Consulta de la lista de servidores de Sellado de Tiempo ......................................................... 15

2.9.2 Añadir un nuevo servidor de Sellado de Tiempo ..................................................................... 15

2.9.3 Modificar la configuración de un servidor de Sellado de Tiempo ............................................ 15

2.9.4 Eliminar un servidor de Sellado de tiempo .............................................................................. 16

2.10 Auditoría ................................................................................................................................. 16

2.10.1 Configuración de la Auditoría ................................................................................................... 16

2.10.2 Consultar el registro de Auditoría ............................................................................................ 16

2.10.3 Eliminar el contenido del registro de Auditoría ....................................................................... 16

3 Resolución de problemas ........................................................................................... 17

4 Recursos .................................................................................................................... 18


1 Introducción

SealSign Digital Signature Services es un producto desarrollado íntegramente por ElevenPaths dirigido a facilitar la integración de la firma electrónica en las aplicaciones corporativas.

Aunque a priori el procedimiento de firma electrónica es sencillo (calculo y cifrado del hash del documento), existen multitud de perfiles/formatos de firma así como innumerables escenarios que puede resultar complejos y costosos tanto en proceso como en tiempo. Además muchos de estos perfiles requieren obtener elementos externos al sistema, como CRLs o respuestas OCSP de las entidades certificadoras, sellos de tiempo de terceros, etc. Junto con todo esto, cada vez es más habitual que el documento y la clave privada del firmante están separados en sistemas remotos, por ejemplo un usuario firmando desde un explorador de Internet un documento residente en el servidor.

Todo ello redunda en que la adopción de los procesos de firma electrónica en las aplicaciones corporativas suponga un problema a la hora de gestionar todos y cada uno de los elementos implicados en el procedimiento.

SealSign DSS está formado por un motor de firma electrónica que recibe las peticiones de operaciones de firma, a través de diversos servicios web, desde multitud de aplicaciones cliente, realizando las operaciones requeridas según los parámetros generales configurados por el administrador o según los parámetros personalizados que llegan en la petición del cliente.

SealSign DSS soporta multitud de perfiles de firma siendo capaz de acceder a proveedores externos para obtener todos y cada uno de los elementos implicados en cada perfil de manera completamente transparente a la aplicación cliente. La versión actual de SealSign DSS soporta los siguientes formatos de firma: CMS, CAdES, XMLDigSig, XAdES, PDF, PAdES, Microsoft Office y OpenOffice.

Una de las ventajas que proporciona SealSign DSS es la firma distribuida, que permite resolver los escenarios planteados de una forma muy flexible y sencilla. La firma distribuida consiste en realizar todo el proceso de firma en el lado del servidor salvo el cifrado del hash que se produce en el lado del cliente, donde reside la clave privada del firmante. De esta forma se unifica y optimiza la obtención de elementos externos y se reduce drásticamente la información intercambiada.

Además de los servicios de firma SealSign DSS proporciona servicios de validación de firma usando una autoridad de validación de certificados (TrustID Revoke Server) que permite obtener el estado de cualquier certificado, conectándose a multitud de proveedores de certificados externos a la organización de una manera centralizada y configurable por el administrador.

Una de las problemáticas en los procesos de firma electrónica es la gestión de los certificados y claves usados para la firma de documentos. Para resolver esto, SealSign DSS proporciona un almacén de certificados y claves dentro de su base de datos de configuración. Además, tanto en los procesos de firma en servidor como en los procesos de firma distribuida en cliente, SealSign DSS es capaz de usar certificados guardados en almacenes externos, tanto en los almacenes de certificados de Windows como en almacenes accesibles a través de módulos PKCS#11.

Otro de los elementos que forman parte de los procesos de firma electrónica es el uso de sellos de tiempo que aseguran el momento exacto en el que se produce una firma. A la hora de gestionar la generación de sellos de tiempo, SealSign DSS permite tanto la creación de sellos mediante el uso de


una autoridad local como la invocación de autoridades de sellado de tiempo externos a la organización.

Por último, SealSign dispone de un servicio de auditoría configurable que permite trazar todas las operaciones de firma, validación y sello de tiempo realizadas por el servidor.


2 Tareas de Configuración

La información acerca de las licencias está detallada en el documento “SealSign – Licencias.pdf".

2.1 Herramienta de administración La administración y configuración de SealSign DSS se realiza de manera centralizada mediante la web de administración. Para abrir esta, simplemente será necesario ejecutar una instancia de Internet Explorer y navegar hasta la dirección http://servername:portnumber/ SealSignDSSWeb.

A la hora de ejecutar la herramienta de administración, por defecto, sólo los usuarios miembros del del grupo SealSignDSS Admins del servidor pueden administrar la configuración de SealSign DSS. Por tanto, la primera tarea que debe realizar un administrador antes de poder administrar el servidor es añadir las cuentas de usuario adecuadas a dicho grupo.

2.2 Configuración de parámetros del Proxy Corporativo

Para cumplir con los requisitos de los distintos tipos de firma, el servidor de SealSign DSS puede necesitar comunicación con proveedores externos que proporcionan servicios variados como, por ejemplo, servicios de sellado de tiempo o de validación de certificados.

Si la comunicación con el exterior se realiza a través de un servidor proxy, será necesario configurar los parámetros del proxy corporativo en la web de administración de SealSign. Para configurarlos parámetros del proxy en el servidor de SealSign, se pueden realizar los siguientes pasos:

1. Abrir la web de administración de SealSign DSS.

2. En la página principal seleccionar el enlace Configurar parámetros del proxy corporativo del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Configuración del Proxy del menú de la izquierda.

3. Aparecerá la página de parámetros de configuración del proxy.

4. Pinchando en el campo Utilizar Proxy se habilitarán el resto de parámetros de la página.

5. Configurar los valores de los campos Nombre del Host y Puerto. En caso de que el proxy sea autenticado se deberá configurar una cuenta de Usuario y una Contraseña.

6. Por último, pulsar el botón Guardar para actualizar la configuración del servidor.

2.3 Gestión de proveedores PKCS#11

A la hora de acceder a contenedores de certificados externos, SealSign DSS puede utilizar, además de los proveedores de servicios criptográficos (CSPs) instalados en el equipo, otros módulos PKCS#11 desarrollados por terceros. Para ello, además de la instalación del proveedor en el servidor, es necesario configurar la lista de proveedores PKCS#11 que debe manejar SealSign DSS.

2.3.1 Consulta de los proveedores PKCS#11 configurados Para ver la lista de proveedores PKCS#11 configurados en el servidor se pueden realizar los siguientes pasos:


http://es.slideshare.net/elevenpaths/104-seal-sign-licencias

http://es.slideshare.net/elevenpaths/104-seal-sign-licencias


2. En la página principal seleccionar el enlace Gestionar el registro de proveedores PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Proveedores PKCS#11 del menú de la izquierda.

3. Aparecerá la lista de todos los proveedores PKCS#11 configurados en el servidor.

2.3.2 Añadir un nuevo proveedor PKCS#11 Para añadir un nuevo proveedor PKCS#11, se pueden realizar los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Registrar un nuevo proveedor PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma. Existe también un enlace desde la lista de proveedores PKCS#11 consultada en el apartado anterior.

2. Especificar los parámetros de configuración del proveedor:

a. El campo Nombre es un campo obligatorio que sirve de etiqueta para conocer el proveedor que se está tratando.

b. El campo Librería es el path completo de la librería de enlace dinámico (DLL) del proveedor PKCS#11. Para su correcto funcionamiento, es necesario asegurarse de que el proveedor esté correctamente instalado en todos los servidores de SealSign DSS.

3. Pulsar el botón Insertar.

2.3.3 Modificar un proveedor PKCS#11 Para modificar la configuración de un proveedor PKCS#11 se pueden realizar los siguientes pasos:

1. Acceder a la Lista de Proveedores PKCS#11, para ello, en la página principal seleccionar el enlace Gestionar el registro de proveedores PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Proveedores PKCS#11 del menú de la izquierda.

2. En la lista de proveedores PKCS#11 seleccionar el enlace del proveedor que se desea modificar.

3. Realizar las modificaciones deseadas.

4. Pulsar el botón Guardar.

2.3.4 Eliminar un proveedor PKCS#11 Para eliminar un proveedor PKCS#11 se pueden realizar los siguientes pasos:

1. Acceder a la Lista de Proveedores PKCS#11, para ello, en la página principal seleccionar el enlace Gestionar el registro de proveedores PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Proveedores PKCS#11 del menú de la izquierda.

2. En la lista de proveedores PKCS#11, pulsar la Cruz que se encuentra a la izquierda del proveedor que se desee eliminar.

2.4 Configuración de la Autoridad de Validación de Certificados

Con la introducción de la firma digital en empresas y organismos además de las necesidades surgidas en cuanto al aprovechamiento de las ventajas del uso de certificados en sistemas y aplicaciones, cada vez más, surgen problemas a la hora de integrar y gestionar certificados emitidos por proveedores de servicios de certificación externos a la organización.


Estos problemas van desde la dependencia del PSC externo a la hora de comprobar la validez de los certificados, los tiempos de publicación de sus listas de revocación o la disponibilidad de conectividad con su infraestructura (incluso desde cada equipo de la organización) hasta la necesidad de esperar a que un usuario notifique al PSC cuando su certificado se ve comprometido si en la organización se está trabajando con certificados personales tales como los del DNI Electrónico o los certificados CERES de la Fábrica Nacional de Moneda y Timbre.

La resolución de la problemática de validación en SealSign DSS se puede hacer de dos modos:

1. Utilizando los módulos CryptoAPI de Windows que provee la capacidad de realizar consultas online a PSCs externos pero, dado el carácter generalista de estas librería, no es capaz de resolver algunas problemáticas como el acceso a las CRLs de la FNMT o al OCSP Responder de la policía para validar DNIs electrónicos o como el acceso a servidores secundarios cuando los servidores principales no están accesibles.

2. Utilizando la autoridad de validación de certificados digitales local TrustID® Revoke Server que permite integrar en la organización múltiples PSCs externos manteniendo el control del proceso de validación, centralizando la comprobación de revocación y aportando funciones de auditoría, caché, descarga de CRLs y respuestas OCSP y listas locales de revocación.

El método recomendado para realizar la validación en SealSign DSS es la integración de TrustID® Revoke Server puesto que es capaz de solucionar la problemática completa de una manera sencilla y centralizada. Para más información acudir a la documentación de TrustID® Revoke Server.

Para realizar la configuración de los parámetros de la autoridad de validación en el servidor de SealSign, se pueden realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Autoridad de Validación del menú de la izquierda.

3. Seleccionando el campo Utilizar Revoke Server como autoridad de validación de certificados se habilita el uso de TrustID® Revoke Server como autoridad de validación de certificados. Desmarcando el campo, se habilita el uso de CryptoAPI para resolver la problemática de validación.

4. Si se habilita el uso de TrustID® Revoke Server será necesario configurar los siguientes campos:

a. El campo URL del servicio de Revoke Server indica la dirección dónde se encuentra instalado el servidor de Revoke. Normalmente tendrá la forma http://server_name: port/revocation.asmx donde server_name y port indicarán el nombre del servidor y puerto en el que está instalado TrustID® Revoke Server.

b. El campo Usuario indicará un nombre de usuario si se habilitó el acceso autenticado al servidor TrustID® Revoke Server o una cadena vacía si el acceso es anónimo.

c. El campo Contraseña indicará la contraseña para el acceso al servidor si se habilitó el acceso autenticado a TrustID® Revoke Server o una cadena vacía si el acceso es anónimo.



2.5 Configuración de parámetros de Firma Electrónica

SealSign DSS permite realizar la configuración de algunos parámetros de firma electrónica de manera general y centralizada. Para configurar estos parámetros el administrador puede realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar parámetros de firma electrónica del grupo Tareas Relativas a la Firma Electrónica y Verificación o bien seleccionar el enlace Parámetros de Firma del menú de la izquierda.

3. En la página de parámetros de firma se pueden configurar los siguientes valores:

a. Parámetros Generales de Firma:

i. El campo Comprobar Cadena de Certificación del Certificado Firmante indica si el servidor deberá construir la cadena de certificados correspondiente al certificado de firma recibido, de manera que, si la cadena no es válida y de confianza en el servidor de SealSign, el servidor retornará un error en el proceso de firma.

ii. El campo Comprobar Estado de Revocación indica si el servidor deberá verificar si el certificado de firma recibido está revocado o no, de manera que, si el certificado está revocado, el servidor retornará un error en el proceso de firma.

iii. El campo Servidor de Sellado de Tiempo por Defecto permite seleccionar, de la lista de servidores de sellado de tiempo configurados en SealSign, cuál se utilizará en las operaciones de firma que requieran sellos de tiempo.

b. Firma de Documentos XML (XAdES):

i. El campo Añadir Transformación XPath de Eliminación de Firmas indica si el servidor aplicará la plantilla de transformación XPath para la eliminación de firmas previas antes de realizar la firma de un documento XML.

ii. El campo Firma XAdES-X de Tipo 2 permite configurar que las firmas con el perfil XAdES-X y XAdES-XL cumplan con el tipo 2 del estándar XAdES-X en lugar de ser de tipo 1 (valor por defecto).

c. Firma de Mensajes CMS (CAdES):

i. El campo Firma CAdES-X de Tipo 2 permite configurar que las firmas con el perfil CAdES-X y CAdES-XL cumplan con el tipo 2 del estándar CAdES-X en lugar de ser de tipo 1 (valor por defecto).

d. Firma de Documentos PDF (PAdES Basic):

i. El campo Incluir Timestamp permite configurar si se incluir un sello de tiempo a la hora de firmar documentos PDF.

ii. El campo Incluir Información de Revocación indica si dentro de la firma se incluirán las CRLs o respuestas OCSPs relacionadas con los certificados involucrados en el proceso.

iii. El campo Visualizar Widget de Firma indica si el documento PDF resultante tras la firma mostrará el visualizador (Widget) de firma con la información de la misma.


iv. El campo Posicionar Widget Automáticamente indica si el visualizador de firma se posiciona automáticamente o si se deben utilizar los valores configurados en los 2 siguientes campos. Si el Widget se posiciona automáticamente aparecerá en la esquina superior derecha del documento PDF resultante.

v. El campo Posición del Widget - Coordenada X permite configurar la coordenada X de la posición del Widget en pixels desde el ángulo inferior izquierdo de la página.

vi. El campo Posición del Widget - Coordenada Y permite configurar la coordenada Y de la posición del Widget en pixels desde el ángulo inferior izquierdo de la página.

vii. El campo Tamaño Automático del Widget indica si el visualizador de firma se redimensionará automáticamente o si se deben utilizar los valores configurados en los 2 siguientes campos.

viii. El campo Alto del Widget permite configurar, en pixels, la altura del visualizador de firma.

ix. El campo Ancho del Widget permite configurar, en pixels, la anchura del visualizador de firma.

x. El campo Rotación del Widget permite seleccionar el ángulo de rotación del visualizador de firma. Los posibles valores son 0º, 90º, 180º y 270º.

xi. El campo Incluir Widget en Todas las Páginas indica si el visualizador de firma se mostrará en todas las páginas del documento.

xii. El campo Incluir Widget Sólo en la Página Número indica el número de la página en la que se mostrará el visualizador de firma.

xiii. El campo Incluir Imagen de Fondo permite configurar la inclusión de una imagen en el Widget de firma.

xiv. El campo Imagen de Fondo permite seleccionar un fichero con la imagen que se mostrará como fondo del Widget. Es importante mencionar que el fichero debe estar en formato JPEG 2000 y que un fichero JPEG normal no es válido como imagen de fondo.

xv. El campo Alto de la Imagen permite configurar, en pixels, la altura que tiene la imagen seleccionada en el campo anterior.

xvi. El campo Ancho de la Imagen permite configurar, en pixels, la anchura que tiene la imagen seleccionada en el campo Imagen de Fondo.

xvii. El campo Autoajustar Imagen indica si la imagen de fondo se estirará para cubrir el ancho del visualizador de firma


2.6 Configuración de parámetros de Verificación de Firma Electrónica

SealSign DSS permite realizar la configuración de algunos parámetros que regirán el proceso de verificación de firma electrónica. Dicha configuración se realiza mediante los siguientes pasos:



2. En la página principal seleccionar el enlace Gestionar parámetros de verificación de firma electrónica del grupo Tareas Relativas a la Firma Electrónica y Verificación o bien seleccionar el enlace Parámetros de Verificación del menú de la izquierda.

3. En la página de parámetros de verificación firma se pueden configurar los siguientes valores:

a. El campo Comprobar Cadena de Certificación del Certificado Firmante indica si el servidor deberá construir la cadena de certificados correspondiente al certificado de firma, de manera que, si la cadena no es válida y de confianza en el servidor de SealSign, el servidor retornará un error en el proceso de verificación.

b. El campo Comprobar Estado de Revocación indica si el servidor deberá verificar si el certificado de firma está revocado o no, de manera que, si el certificado está revocado, el servidor retornará un error en el proceso de verificación.

c. El campo Incluir información extendida de los sellos de tiempo indica si en la respuesta del proceso de verificación se incluirá la información correspondiente a cada uno de los sellos de tiempo y sus firmas.

d. El campo Incluir únicamente firmas de tipo documento en los archivos PDF indica si el proceso de verificación de documentos PDF deberá incluir todas las firmas extendidas (por ejemplo las firmas de cifrado de PDF) o solamente las firmas de tipo documento (las de usuario).


2.7 Gestión de claves centralizadas

Dentro de las funcionalidades provistas por SealSign DSS está la posibilidad de realizar firma electrónica de documentos con certificados almacenados en el servidor. Los certificados de servidor de SealSign DSS pueden residir dentro de la plataforma de firma o referenciar almacenes externos Windows y PKCS#11. El administrador deberá configurar qué certificados de servidor van a poderse usar y quién va a tener acceso a cada uno de ellos para las operaciones de firma realizadas por la plataforma.

2.7.1 Gestión de certificados de servidor En este menú de la administración se pueden añadir las referencias a certificados tanto internos como externos que posteriormente estarán disponibles para la creación de Reglas de Uso en los mismos.

2.7.1.1 Consulta de la lista de certificados de servidor Para ver la lista de los certificados de servidor disponibles se pueden realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar certificados de servidor del grupo Tareas Relativas a Certificados de Servidor o bien seleccionar el enlace Certificados de Servidor del menú de la izquierda llamado Claves Centralizadas.

3. Aparecerá la lista de todos los certificados de servidor que podrán ser utilizados en los procesos de firma.

2.7.1.2 Añadir un nuevo certificado de servidor Para añadir un nuevo certificado de servidor a la lista, se pueden realizar los siguientes pasos:

1. En la página principal de la web de Administración se deberá seleccionar el enlace Importar un nuevo certificado de servidor del grupo Tareas Relativas a Certificados de Servidor. Existe


también un enlace desde la lista de certificados de servidor consultada en el apartado anterior.

2. En la página de certificados de servidor configurar los siguientes valores:

a. El campo Fichero permite seleccionar el fichero .pfx que contiene el certificado que será importado dentro del almacén de certificados de SealSign.

b. En el campo Contraseña deberá indicarse la contraseña que tiene el fichero seleccionado en el campo anterior.

c. En el valor Recordar Contraseña se especificará si el servidor deberá almacenar la contraseña de este fichero para no volver a requerirla cuando se vaya a usar el certificado o si, por el contrario, se requerirá al usuario que proporcione esta contraseña cada vez.

d. El campo Nombre Descriptivo permite, opcionalmente, indicar una descripción más extensa del certificado.

e. El campo Administrado Únicamente por el Propietario permite al propietario del certificado restringir la gestión y uso del certificado únicamente a su usuario de Windows. De esta forma, ningún otro usuario ni administrador del sistema podrán hacer uso del mismo.

f. El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario del nuevo certificado y que, por tanto, tendrá acceso al mismo. Además del propietario es posible crear delegados que también podrán hacer uso de este certificado. La creación de delegados se realiza modificando la configuración del certificado de servidor tras añadirlo por primera vez.

g. En el valor Requerir Contraseña SealSign se puede forzar la necesidad de crear una contraseña específica de SealSign necesaria cada vez que se vaya a usar el certificado dentro de la plataforma.

h. El campo Contraseña SealSign se configurará la contraseña comentada en el campo anterior.

3. Pulsando el botón Importar el certificado quedará guardado dentro del almacén de certificados de SealSign.

2.7.1.3 Añadir una referencia a un certificado externo de servidor Cuando el certificado esté almacenado en un lugar externo al almacén de certificados servidor de SealSign, será necesario añadir una referencia al mismo en la configuración de los certificados de servidor. Para ello se deberán realizar los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Añadir una referencia a un certificado externo de servidor del grupo Tareas Relativas a Certificados de Servidor. Existe también un enlace desde la lista de certificados de servidor consultada en el apartado anterior.

2. En la página de referencias de certificados de servidor configurar los siguientes valores:

a. En el campo Tipo de Almacén se seleccionará que tipo de almacén contiene el certificado. En concreto se puede seleccionar entre los valores:

i. WindowsStore para certificados guardados en el almacén de certificados del usuario actual de Windows.

ii. WindowsSystemStore para certificados guardados en el almacén de certificados de equipo del servidor de SealSign.


iii. PKCS11Store para certificados guardados en almacenes externos accesibles mediante un módulo PCKS#11.

b. Tras seleccionar el tipo de almacén, se deberá pulsar el botón Seleccionar Certificado. Aparecerá una ventana que o bien mostrará los certificados disponibles (WindowsStore y WindowsSystemStore) o bien solicitará la selección del Proveedor PKCS#11, el Slot y la Contraseña para acceso al certificado (PKCS11Store).

c. Una vez seleccionado el certificado, la página mostrará el Asunto, Número de Serie, Entidad Emisora, Fechas de Validez y si hay una Contraseña Requerida por el Almacén.

d. El campo Nombre Descriptivo permite, opcionalmente, indicar una descripción más extensa del certificado.

e. El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario del nuevo certificado y que, por tanto, tendrá acceso al mismo. Además del propietario es posible crear delegados que también podrán hacer uso de este certificado. La creación de delegados se realiza modificando la configuración del certificado de servidor tras añadirlo por primera vez.

f. En el valor Recordar Contraseña se especificará si el servidor deberá almacenar la contraseña de este certificado para no volver a requerirla cuando se vaya a usar o si, por el contrario, se requerirá al usuario que proporcione esta contraseña cada vez.

g. En el campo Contraseña deberá indicarse la contraseña que tiene el certificado seleccionado.

h. En el valor Requerir Contraseña SealSign se puede forzar la necesidad de crear una contraseña específica de SealSign necesaria cada vez que se vaya a usar el certificado dentro de la plataforma.

i. El campo Contraseña SealSign se configurará la contraseña comentada en el campo anterior.

3. Pulsando el botón Insertar el certificado quedará guardado dentro del almacén de certificados de SealSign.

2.7.1.4 Modificar un certificado de servidor Para modificar la configuración de un proveedor PKCS#11 se pueden realizar los siguientes pasos:

1. Acceder a la certificados de servidor, para ello, en la página principal seleccionar el enlace Gestionar certificados de servidor del grupo Tareas Relativas a Certificados de Servidor o bien seleccionar el enlace Certificados de Servidor del menú de la izquierda.

2. En la lista de certificados de servidor seleccionar el enlace del certificado que se desea modificar.

3. Pulsando el botón Guardar se actualizará la configuración del certificado en el servidor.

2.7.1.5 Eliminar un certificado de servidor Para eliminar un certificado de servidor se pueden realizar los siguientes pasos:

1. Acceder a la certificados de servidor, para ello, en la página principal seleccionar el enlace Gestionar certificados de servidor del grupo Tareas Relativas a Certificados de Servidor o bien seleccionar el enlace Certificados de Servidor del menú de la izquierda.

2. En la lista de certificados de servidor, pulsar la Cruz que se encuentra a la izquierda del certificado que se desee eliminar.


2.7.2 Reglas de Uso SealSign DSS permite la asociación de los certificados centralizados en las plataformas a reglas de uso que definirán quién y cómo puede utilizarlos.

2.7.2.1 Consulta de la lista de Reglas de Uso Para ver la lista de Reglas de Uso disponibles se pueden realizar los siguientes pasos:


2. En menú de la izquierda seleccionar el enlace Reglas de Uso del grupo Claves Centralizadas.

3. Aparecerá la lista de todas las reglas de uso que están disponibles.

2.7.2.2 Añadir una nueva Regla de Uso Para añadir una nueva Regla de Uso a la lista, se pueden realizar los siguientes pasos:

1. Seleccionamos el enlace Añadir una nueva regla de uso desde la lista de reglas de uso consultada en el apartado anterior.

2. En la página de reglas de uso de certificados de servidor configurar los siguientes valores:

a. El campo Nombre nos permite asignar una clave identificativa a la regla de uso.

b. El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario de la nueva regla de uso.

c. El campo Descripción permite, opcionalmente, indicar una descripción más extensa de la regla de uso.

d. El campo Válido Desde indica desde cuando la regla de uso estará vigente, pudiendo usar por tanto los certificados asociados a la misma.

e. El campo Válido Hasta indica hasta cuando la regla de uso estará vigente.

3. Pulsando el botón Insertar la regla de uso quedará guardada.

2.7.2.3 Modificar una Regla de Uso Para modificar la configuración de una regla de uso se pueden realizar los siguientes pasos:

1. Seleccionamos la regla de uso a modificar desde la lista de reglas de uso consultada en el apartado Consulta de la Lista de Reglas de Uso. En la página de edición de la regla de uso, se pueden gestionar los Parámetros Generales que se introdujeron en la inserción de la regla de uso además de los Filtros de Uso. Estos filtros se dividen en las siguientes categorías:

a. Certificados: En este apartado gestionamos que certificados están asociados a la regla de uso.

b. Usuarios Autorizados: En este apartado gestionamos que usuarios tienen acceso a la regla de uso además de indicar durante cuanto tiempo mediante las fechas Valido Desde y Valido Hasta.

c. Equipos: En este apartado gestionamos desde que maquinas se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una serie de maquinas especificadas en la regla. Este filtro admite como carácter comodín el %.

d. Procesos: En este apartado gestionamos desde que procesos (nombre del ejecutable Windows) se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una


serie de procesos especificados en la regla. Este filtro admite como carácter comodín el %.

e. URLs: En este apartado gestionamos desde que URL se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una serie de URL especificados en la regla. Este filtro admite como carácter comodín el %. Este filtro solo aplica al navegador Internet Explorer, es decir, al proceso iexplore.exe.

2. Pulsando el botón Guardar se actualizará la configuración de la regla de uso.

2.7.2.4 Eliminar un certificado de servidor Para eliminar una regla de uso se pueden realizar los siguientes pasos:

1. Acceder a la lista de reglas de uso, para ello, en menú de la izquierda seleccionar el enlace Reglas de Uso del grupo Claves Centralizadas.

2. En la lista de reglas de uso, pulsar la Cruz que se encuentra a la izquierda de la regla de uso que se desee eliminar.

2.8 Configuración de la autoridad local de Sellado de Tiempo

SealSign DSS permite tanto utilizar una autoridad local para crear los sellos de tiempo de las firmas electrónicas como utilizar proveedores externos de sellado de tiempo.

Para configurar la autoridad local de sellado de tiempo de SealSign se deben realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Configurar la autoridad de sellado de tiempo local del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Autoridad Local del menú de la izquierda.

3. En la página de configuración de la autoridad local de sellado de tiempo se pueden configurar los siguientes valores:

a. El campo Certificado de Servidor de Sellado de Tiempo permite seleccionar el certificado que se utilizará para firmar los sellos de tiempo emitidos por la autoridad local. Este certificado de servidor deberá haber sido incluido en la lista de certificados de servidor tal y como se explica en el apartado de Gestión de Certificados de Servidor.

b. El campo Almacenar Evidencias Digitales Emitidas permite configurar si el servidor deberá guardar una copia de los sellos de tiempo emitidos o no por si es necesario realizar un análisis posterior de los mismos.


2.9 Gestión de servidores de Sellado de Tiempo

En aquellos escenarios en los que se deseen utilizar autoridades de sellado de tiempo externas será necesario añadir los parámetros de conexión adecuados en la configuración de SealSign DSS.


2.9.1 Consulta de la lista de servidores de Sellado de Tiempo Para ver la lista de los servidores de sellado de tiempo disponibles se pueden realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar conexiones a autoridades de sellado del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Servidores TSA del menú de la izquierda.

3. Aparecerá la lista de todos los servidores de sellado de tiempo que podrán ser utilizados en los procesos de firma.

2.9.2 Añadir un nuevo servidor de Sellado de Tiempo Para añadir un nuevo servidor de sellado de tiempo a la lista, se pueden realizar los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Añadir una conexión a una autoridad de sellado de tiempo del grupo Tareas Relativas al Sellado de Tiempo. Existe también un enlace desde la lista de certificados de servidores de sellado de tiempo consultada en el apartado anterior.

2. En la página de servidores TSA configurar los siguientes valores:

a. El campo Nombre indica el nombre que se desea dar al nuevo servidor TSA configurado.

b. En el campo URL deberá indicarse la dirección URL del servidor de sellado de tiempo.

c. El valor Incluir Certificados del Servidor en la Respuesta especificará si el servidor incluirá los certificados de generación del sello de tiempo dentro de la respuesta emitida.

d. El valor Incluir una Semilla ("Nonce") en la Petición especificará si el servidor de SealSign debe añadir una semilla distinta dentro de cada petición al servidor de TSA.

e. Si el servidor de sellado de tiempo requiere autenticación en las peticiones HTTP, se deberá habilitar el campo Utilizar Autenticación HTTP y configurar los valores adecuados en los campos Cuenta de Usuario y Contraseña.

3. Pulsando el botón Insertar la configuración del nuevo servidor de sellado de tiempo se añadirá a SealSign.

2.9.3 Modificar la configuración de un servidor de Sellado de Tiempo Para modificar la configuración de un servidor de sellado de tiempo se pueden realizar los siguientes pasos:

1. Acceder a la lista de servidores de sellado de tiempo, para ello, en la página principal el enlace Gestionar conexiones a autoridades de sellado del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Servidores TSA del menú de la izquierda.

2. En la lista de servidores de sellado de tiempo seleccionar el enlace del servidor que se desea modificar.

3. Realizar las modificaciones correspondientes.

4. Pulsar el botón Guardar para actualizar la configuración del servidor.


2.9.4 Eliminar un servidor de Sellado de tiempo Para eliminar un servidor de sellado de tiempo se pueden realizar los siguientes pasos:

1. Acceder a la lista de servidores de sellado de tiempo, para ello, en la página principal el enlace Gestionar conexiones a autoridades de sellado del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Servidores TSA del menú de la izquierda.

2. En la lista de servidores TSA, pulsar la Cruz que se encuentra a la izquierda del servidor que se desee eliminar.

2.10 Auditoría

SealSign DSS dispone de un sistema de auditoría que permitirá al administrador conocer qué operaciones se realizan en el sistema, quien las realiza y el resultado de las mismas. En este apartado se describe cómo configurar y visualizar la auditoría de SealSign DSS.

2.10.1 Configuración de la Auditoría Para configurar el servicio de auditoría de SealSign DSS se deben realizar los siguientes pasos:

1. En la página principal seleccionar el enlace Configurar parámetros de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Configuración Auditoría del menú de la izquierda.

2. Seleccionar las opciones adecuadas según se desee que en la auditoría se incluyan las respuestas con estado de error o con estado de acierto.

3. Pulsar el botón Guardar.

2.10.2 Consultar el registro de Auditoría Para ver el contenido del registro de auditoría se deben realizar los siguientes pasos:

1. En la página principal seleccionar el enlace Ver registro de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Registro de Auditoría del menú de la izquierda.

2. Aparecerá una tabla con los registros de auditoría incluidos en el sistema en la fecha actual

3. En la parte superior de la página aparecen unos campos de filtrado con los que el administrador podrá refinar el resultado de la búsqueda. Para ello el administrador deberá introducir/seleccionar los valores adecuados en los campos de filtrado y pulsar el botón Buscar.

4. Pulsando las flechas que aparecen en la parte inferior de la tabla de resultados se puede navegar por las páginas de resultado de la consulta.

2.10.3 Eliminar el contenido del registro de Auditoría Para eliminar el contenido de todas las entradas del registro de auditoría se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Ver registro de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Registro de Auditoría del menú de la izquierda.

2. Pulsar el enlace Borrar todas las entradas del registro de auditoría que se encuentra debajo del resultado de la consulta.


3 Resolución de problemas

Durante el proceso de instalación de SealSign, en el visor de sucesos de cada servidor se creará un log específico, denominado SealSign DSS. Si sucede algún error en la operativa del servidor, además de reportarse en la auditoría del producto, se irán incluyendo eventos con la descripción completa del error en el log creado a tal fin.


4 Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

http://blog.elevenpaths.com/

https://www.youtube.com/user/ElevenPaths

http://vimeo.com/elevenpaths

http://www.slideshare.net/elevenpaths/


La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Junio 2015

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

Technology

Guía de Administración de SealSign DSS