guía de administración de sealsign dss (digital signature services) · 2020-03-26 · sealsign...

2017 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 0 de 65

elevenpaths.com

Guía de administración de Sealsign DSS (Digital Signature Services) V 4.1

07.03.2019


Contenidos 1. Introducción ................................................................................................................................................................................... 3 2. Tareas de Configuración ............................................................................................................................................................... 4

2.1. Herramienta de administración .......................................................................................................................................... 4 2.2. Configuración de parámetros del Proxy Corporativo ....................................................................................................... 4 2.3. Gestión de proveedores PKCS#11 ...................................................................................................................................... 5

2.3.1. Consulta de los proveedores PKCS#11 configurados .................................................................. 5 2.3.2. Añadir un nuevo proveedor PKCS#11 ............................................................................................ 6 2.3.3. Modificar un proveedor PKCS#11 ................................................................................................... 6 2.3.4. Eliminar un proveedor PKCS#11 ..................................................................................................... 6

2.4. Configuración de la Autoridad de Validación de Certificados ......................................................................................... 7 2.4.1. Administración Revoke ( autoridad de validación) ....................................................................... 8 2.4.2. Configuración del Caché de Validación ....................................................................................... 23 2.4.3. Consultar el Contenido del Caché de Validación ........................................................................ 24 2.4.4. Eliminar una Entrada del Caché de Validación ........................................................................... 24 2.4.5. Eliminar Todo el Contenido del Caché de Validación ................................................................ 24 2.4.6. Configuración del Caché de CRLs ................................................................................................. 25 2.4.7. Consultar el Contenido del Caché de CRLs ................................................................................. 25 2.4.8. Eliminar una Entrada del Caché de CRLs..................................................................................... 25 2.4.9. Eliminar Todo el Contenido del Caché de CRLs .......................................................................... 25 2.4.10. Configuración del Caché de Respuestas OCSP .......................................................................... 26 2.4.11. Consultar el Contenido del Caché de Respuestas OCSP ........................................................... 26 2.4.12. Eliminar una Entrada del Caché de Respuestas OCSP .............................................................. 27 2.4.13. Eliminar Todo el Contenido del Caché de Respuestas OCSP ................................................... 27 2.4.14. Configuración de la Auditoría ........................................................................................................ 27 2.4.15. Consultar el Registro de Auditoría................................................................................................ 27 2.4.16. Eliminar el Contenido del Registro de Auditoría ......................................................................... 28 2.4.17. Configuración del Servicio de Descargas Programadas ............................................................ 28 2.4.18. Configuración del Servicio de Descargas Mediante CDPs......................................................... 29 2.4.19. Configuración del proveedor Revoke Provider ........................................................................... 29 2.4.20. Comportamiento de Revoke Provider en Operaciones de Descarga ...................................... 30 2.4.21. Comportamiento de Revoke Provider en Operaciones de Validación .................................... 31 2.4.22. Parámetros de Configuración de Revoke Provider .................................................................... 31 2.4.23. Otros Aspectos de Configuración de Revoke Provider .............................................................. 39 2.4.24. Ejemplos de Configuración de Revoke Provider......................................................................... 39

2.5. Configuración de Metashield ............................................................................................................................................. 40 2.6. Configuración de Shadow .................................................................................................................................................. 41 2.7. Configuración de parámetros de Firma Electrónica ....................................................................................................... 43 2.8. Configuración de parámetros de Verificación de Firma Electrónica ............................................................................ 45 2.9. Gestión de claves centralizadas ........................................................................................................................................ 45

2.9.1. Gestión de certificados de servidor .............................................................................................. 46 2.9.2. Reglas de Uso .................................................................................................................................. 54

2.10. Repositorio Seguro .................................................................................................................................................. 58 2.10.1. Configuración de parámetros DSR ............................................................................................... 58 2.10.2. Gestión de propiedades de DSR ................................................................................................... 59 2.10.3. Búsqueda en el repositorio de DSR .............................................................................................. 60

2.11. Configuración de la autoridad local de Sellado de Tiempo ................................................................................ 61 2.12. Gestión de servidores de Sellado de Tiempo ....................................................................................................... 61


2.12.1. Consulta de la lista de servidores de Sellado de Tiempo .......................................................... 61 2.12.2. Añadir un nuevo servidor de Sellado de Tiempo ........................................................................ 62 2.12.3. Modificar la configuración de un servidor de Sellado de Tiempo ............................................ 62 2.12.4. Eliminar un servidor de Sellado de tiempo ................................................................................. 62

2.13. Auditoría .................................................................................................................................................................... 63 2.13.1. Configuración de la Auditoría ........................................................................................................ 63 2.13.2. Consultar el registro de Auditoría ................................................................................................. 63 2.13.3. Eliminar el contenido del registro de Auditoría .......................................................................... 63

3. Resolución de problemas ........................................................................................................................................................... 64 4. Recursos ....................................................................................................................................................................................... 64


1. Introducción SealSign DSS (Digital Signature Services) es un producto desarrollado íntegramente por ElevenPaths dirigido a facilitar la integración de la firma electrónica en las aplicaciones corporativas.

Aunque a priori el procedimiento de firma electrónica es sencillo (calculo y cifrado del hash del documento), existen multitud de perfiles/formatos de firma, así como innumerables escenarios que puede resultar complejos y costosos tanto en proceso como en tiempo. Además, muchos de estos perfiles requieren obtener elementos externos al sistema, como CRLs o respuestas OCSP de las entidades certificadoras, sellos de tiempo de terceros, etc. Junto con todo esto, cada vez es más habitual que el documento y la clave privada del firmante están separados en sistemas remotos, por ejemplo, un usuario firmando desde un explorador de Internet un documento residente en el servidor.

Todo ello redunda en que la adopción de los procesos de firma electrónica en las aplicaciones corporativas suponga un problema a la hora de gestionar todos y cada uno de los elementos implicados en el procedimiento.

SealSign DSS está formado por un motor de firma electrónica que recibe las peticiones de operaciones de firma, a través de diversos servicios web, desde multitud de aplicaciones cliente, realizando las operaciones requeridas según los parámetros generales configurados por el administrador o según los parámetros personalizados que llegan en la petición del cliente.

SealSign DSS soporta multitud de perfiles de firma siendo capaz de acceder a proveedores externos para obtener todos y cada uno de los elementos implicados en cada perfil de manera completamente transparente a la aplicación cliente. La versión actual de SealSign DSS soporta los siguientes formatos de firma: CMS, CAdES, XMLDigSig, XAdES, PDF, PAdES, Microsoft Office y OpenOffice.

Una de las ventajas que proporciona SealSign DSS es la firma distribuida, que permite resolver los escenarios planteados de una forma muy flexible y sencilla. La firma distribuida consiste en realizar todo el proceso de firma en el lado del servidor salvo el cifrado del hash que se produce en el lado del cliente, donde reside la clave privada del firmante. De esta forma se unifica y optimiza la obtención de elementos externos y se reduce drásticamente la información intercambiada.

Además de los servicios de firma SealSign DSS proporciona servicios de validación de firma usando una autoridad de validación de certificados (TrustID Revoke Server) que permite obtener el estado de cualquier certificado, conectándose a multitud de proveedores de certificados externos a la organización de una manera centralizada y configurable por el administrador.

Una de las problemáticas en los procesos de firma electrónica es la gestión de los certificados y claves usados para la firma de documentos. Para resolver esto, SealSign DSS proporciona un almacén de certificados y claves dentro de su base de datos de configuración. Además, tanto en los procesos de firma en servidor como en los procesos de firma distribuida en cliente, SealSign DSS es capaz de usar certificados guardados en almacenes externos, tanto en los almacenes de certificados de Windows como en almacenes accesibles a través de módulos PKCS#11.

Otro de los elementos que forman parte de los procesos de firma electrónica es el uso de sellos de tiempo que aseguran el momento exacto en el que se produce una firma. A la hora de gestionar la generación de sellos de tiempo, SealSign DSS permite tanto la creación de sellos mediante el uso de una autoridad local como la invocación de autoridades de sellado de tiempo externos a la organización.


Por último, SealSign dispone de un servicio de auditoría configurable que permite trazar todas las operaciones de firma, validación y sello de tiempo realizadas por el servidor.

2. Tareas de Configuración

! La información acerca de las licencias está detallada en el documento “SealSign – Licencias.pdf".

2.1. Herramienta de administración La administración y configuración de SealSign DSS se realiza de manera centralizada mediante la web de administración. Para abrir esta, simplemente será necesario ejecutar una instancia en un navegador hasta la dirección http://servername:portnumber/SealSignDSSWeb.

A la hora de ejecutar la herramienta de administración, por defecto, sólo los usuarios miembros del del grupo SealSignDSS Admins del servidor pueden administrar la configuración de SealSign DSS. Por tanto, la primera tarea que debe realizar un administrador antes de poder administrar el servidor es añadir las cuentas de usuario adecuadas a dicho grupo.

2.2. Configuración de parámetros del Proxy Corporativo Para cumplir con los requisitos de los distintos tipos de firma, el servidor de SealSign DSS puede necesitar comunicación con proveedores externos que proporcionan servicios variados como, por ejemplo, servicios de sellado de tiempo o de validación de certificados.

Si la comunicación con el exterior se realiza a través de un servidor proxy, será necesario configurar los parámetros del proxy corporativo en la web de administración de SealSign. Para configurarlos parámetros del proxy en el servidor de SealSign, se pueden realizar los siguientes pasos:

1. Abrir la web de administración de SealSign DSS.

2. En la página principal seleccionar el enlace Configurar parámetros del proxy corporativo del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Configuración del Proxy del menú de la izquierda.


3. Aparecerá la página de parámetros de configuración del proxy.

4. Pinchando en el campo Utilizar Proxy se habilitarán el resto de parámetros de la página.

5. Configurar los valores de los campos Nombre del Host y Puerto. En caso de que el proxy sea autenticado se deberá configurar una cuenta de Usuario y una Contraseña.

6. Por último, pulsar el botón Guardar para actualizar la configuración del servidor.

2.3. Gestión de proveedores PKCS#11 A la hora de acceder a contenedores de certificados externos, SealSign DSS puede utilizar, además de los proveedores de servicios criptográficos (CSPs) instalados en el equipo, otros módulos PKCS#11 desarrollados por terceros. Para ello, además de la instalación del proveedor en el servidor, es necesario configurar la lista de proveedores PKCS#11 que debe manejar SealSign DSS.

2.3.1. Consulta de los proveedores PKCS#11 configurados

Para ver la lista de proveedores PKCS#11 configurados en el servidor se pueden realizar los siguientes pasos:



2. En la página principal seleccionar el enlace Gestionar el registro de proveedores PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Proveedores PKCS#11 del menú de la izquierda.

3. Aparecerá la lista de todos los proveedores PKCS#11 configurados en el servidor.

2.3.2. Añadir un nuevo proveedor PKCS#11

Para añadir un nuevo proveedor PKCS#11, se pueden realizar los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Registrar un nuevo proveedor PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma. Existe también un enlace desde la lista de proveedores PKCS#11 consultada en el apartado anterior.

2. Especificar los parámetros de configuración del proveedor:

a. El campo Nombre es un campo obligatorio que sirve de etiqueta para conocer el proveedor que se está tratando.

b. El campo Librería es el path completo de la librería de enlace dinámico (DLL) del proveedor PKCS#11. Para su correcto funcionamiento, es necesario asegurarse de que el proveedor esté correctamente instalado en todos los servidores de SealSign DSS.

3. Pulsar el botón Insertar.

2.3.3. Modificar un proveedor PKCS#11

Para modificar la configuración de un proveedor PKCS#11 se pueden realizar los siguientes pasos:

1. Acceder a la Lista de Proveedores PKCS#11, para ello, en la página principal seleccionar el enlace Gestionar el registro de proveedores PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Proveedores PKCS#11 del menú de la izquierda.

2. En la lista de proveedores PKCS#11 seleccionar el enlace del proveedor que se desea modificar.

3. Realizar las modificaciones deseadas.

4. Pulsar el botón Guardar.

2.3.4. Eliminar un proveedor PKCS#11

Para eliminar un proveedor PKCS#11 se pueden realizar los siguientes pasos:


1. Acceder a la Lista de Proveedores PKCS#11, para ello, en la página principal seleccionar el enlace Gestionar el registro de proveedores PKCS#11 del grupo Tareas Relativas a la Configuración General de la Plataforma o bien seleccionar el enlace Proveedores PKCS#11 del menú de la izquierda.

2. En la lista de proveedores PKCS#11, pulsar la Cruz que se encuentra a la izquierda del proveedor que se desee eliminar.

2.4. Configuración de la Autoridad de Validación de Certificados Con la introducción de la firma digital en empresas y organismos además de las necesidades surgidas en cuanto al aprovechamiento de las ventajas del uso de certificados en sistemas y aplicaciones, cada vez más, surgen problemas a la hora de integrar y gestionar certificados emitidos por proveedores de servicios de certificación externos a la organización.

Estos problemas van desde la dependencia del PSC externo a la hora de comprobar la validez de los certificados, los tiempos de publicación de sus listas de revocación o la disponibilidad de conectividad con su infraestructura (incluso desde cada equipo de la organización) hasta la necesidad de esperar a que un usuario notifique al PSC cuando su certificado se ve comprometido si en la organización se está trabajando con certificados personales tales como los del DNI Electrónico o los certificados CERES de la Fábrica Nacional de Moneda y Timbre.

La resolución de la problemática de validación en SealSign DSS se puede hacer de dos modos:

1. Utilizando los módulos CryptoAPI de Windows que provee la capacidad de realizar consultas online a PSCs externos, pero, dado el carácter generalista de esta librería, no es capaz de resolver algunas problemáticas como el acceso a las CRLs de la FNMT o al OCSP Responder de la policía para validar DNIs electrónicos o como el acceso a servidores secundarios cuando los servidores principales no están accesibles.

2. Utilizando la autoridad de validación de certificados digitales local SealSign Revoke Server que permite integrar en la organización múltiples PSCs externos manteniendo el control del proceso de validación, centralizando la comprobación de revocación y aportando funciones de auditoría, caché, descarga de CRLs y respuestas OCSP y listas locales de revocación.

El método recomendado para realizar la validación en SealSign DSS es la integración de SealSign Revoke Server puesto que es capaz de solucionar la problemática completa de una manera sencilla y centralizada. Para más información acudir a la documentación de SealSign Revoke Server.

Para realizar la configuración de los parámetros de la autoridad de validación en el servidor de SealSign, se pueden realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Autoridad de Validación del menú de la izquierda.

3. Seleccionando el campo Utilizar Revoke Server como autoridad de validación de certificados se habilita el uso de SealSign Revoke Server como autoridad de validación de certificados. Desmarcando el campo, se habilita el uso de CryptoAPI para resolver la problemática de validación.


4. Si se habilita el uso de SealSign Revoke Server será necesario configurar los siguientes campos:

a. El campo URL del servicio de Revoke Server indica la dirección dónde se encuentra instalado el servidor de Revoke. Normalmente tendrá la forma http://server_name: port/revocation.asmx donde server_name y port indicarán el nombre del servidor y puerto en el que está instalado SealSign Revoke Server.

b. El campo Usuario indicará un nombre de usuario si se habilitó el acceso autenticado al servidor SealSign Revoke Server o una cadena vacía si el acceso es anónimo.

c. El campo Contraseña indicará la contraseña para el acceso al servidor si se habilitó el acceso autenticado a SealSign Revoke Server o una cadena vacía si el acceso es anónimo.


Por otro lado en esta versión de SealSign la consola de administración de SealSign Revoke Server se integra en la consola de administración de Sealign DSS.

2.4.1. Administración Revoke ( autoridad de validación)

Una vez Pinchas en el botón Administración Revoke se abre una nueva ventana que incluye la administración del revoke server.


Introducción

Con la introducción de la firma digital en empresas y organismos además de las necesidades surgidas en cuanto al aprovechamiento de las ventajas del uso de certificados en sistemas y aplicaciones, cada vez más, surgen problemas a la hora de integrar y gestionar certificados emitidos por proveedores de servicios de certificación externos a la organización.

Estos problemas van, desde la dependencia del PSC externo a la hora de comprobar la validez de los certificados, pasando por los tiempos de publicación de sus listas de revocación o la disponibilidad de conectividad con su infraestructura (incluso desde cada equipo de la organización) hasta la necesidad de esperar a que un usuario notifique al PSC cuándo su certificado se ve comprometido si en la organización se está trabajando con certificados personales tales como los del DNI Electrónico o los certificados CERES de la Fábrica Nacional de Moneda y Timbre. Revoke Server es una autoridad de validación de certificados digitales local que permite integrar en la organización múltiples PSCs externos manteniendo el control del proceso de validación, centralizando la comprobación de revocación y aportando funciones de auditoría, caché, descarga de CRLs, respuestas OCSP y listas locales de revocación.

Configuración clientes. Parámetros de conexión y comportamiento agentes.

En este apartado se pueden establecer los parámetros para los agentes en equipos cliente. Estos parámetros definen el modo en el que los agentes se conectan, gestionan su caché local y otros tipos de comportamiento.

Una vez dentro del menú hay que configurar diversos elementos:


1. Parámetros de Conexión desde los Agentes: • Host: Nombre o dirección IP del servidor de Revoke al que se conectará el agente. • Puerto: Número de puerto para la conexión con el servicio web de TrustID® Revoke.

Valor por defecto: 80. • Cuenta de Usuario: Nombre de usuario para la conexión con el servicio web de

TrustID® Revoke. Si el acceso al servidor es anónimo se deberá dejar este valor vacío. • Contraseña: Clave de acceso para la conexión con el servicio web de TrustID®

Revoke. Si el acceso al servidor es anónimo se deberá dejar este valor vacío. • Timeout de Resolución de Nombres (Seg.): Tiempo límite empleado en cada

petición para resolver el nombre del servidor, expresado en segundos. El valor 0, por defecto, indica tiempo ilimitado.

• Timeout de Conexión (Seg.): Tiempo límite empleado en cada petición para realizar la conexión TCP con el servidor Web, expresado en segundos. El valor 0 indica tiempo ilimitado. El valor por defecto es 60 segundos.

• Timeout de Envío (Seg.): Tiempo límite empleado en cada petición para realizar la petición SOAP contra el servidor Web, expresado en segundos. El valor 0 indica tiempo ilimitado. El valor por defecto es 30 segundos.

• Timeout de Recepción de la Respuesta (Seg.): Tiempo límite empleado en cada petición para recibir la respuesta SOAP del servidor Web, expresado en segundos. El valor 0 indica tiempo ilimitado. El valor por defecto es 30 segundos.

2. Parámetros de Conexión desde los Agentes: • Deshabilitar Caché: permite desactivar/activar la creación y uso de un caché de

resultados en el cliente. El caché en los clientes se utiliza tanto para minimizar el número de peticiones que se realizan al servidor como para resolver las consultas en caso de no tener conexión con el servidor

• Tiempo de Vida de Entradas de Certificados Correctos (Seg.): permite especificar el tiempo en segundos, que los resultados de las consultas de certificados válidos van a permanecer en el caché del cliente.

• Tiempo de Vida de Entradas de Certificados Raíz (Seg.): permite especificar el tiempo en segundos, que los resultados de las consultas de certificados raíz van a permanecer en el caché del cliente.

• Tiempo de Vida de Entradas de Certificados Revocados (Seg.): permite especificar el tiempo en segundos, que los resultados de las consultas de certificados revocados van a permanecer en el caché del cliente.

• Tiempo de Vida de Entradas de Certificados Suspendidos (Seg.): permite especificar el tiempo en segundos, que los resultados de las consultas de certificados con estado suspendido van a permanecer en el caché del cliente.

3. Otros Parámetros • Habilitar Auditoría: permite habilitar/deshabilitar la auditoría del agente. Si la

auditoría del agente está habilitada, Revoke Server incluirá un evento de auditoría por cada consulta con resultado correcto o con resultado revocado en el visor de sucesos del equipo cliente


• Tiempo de Vida de la Configuración (Seg.): permite especificar el tiempo de validez en segundos de la configuración en el agente. Transcurrido este tiempo, la configuración se toma como no válida y se debe volver a realizar una nueva consulta al servidor.

• Permitir Reglas para Todos los Emisores: fuerza al agente a que la consulta de todos los certificados de todos los emisores se realice a través del servidor de Revoke Server. En caso de estar desactivada esta opción, sólo aquellos certificados emitidos por las entidades emisoras configuradas en la lista de entidades emisoras serán verificados a través del servidor, (véase el apartado Gestión de Entidades Emisoras). Además, habilitando/deshabilitando esta opción se conseguirá habilitar/deshabilitar la aparición del valor (Todas) en la lista de entidades emisoras cuando se añade una regla de validación, (véase el apartado Añadir una Nueva Regla de Validación).

• Continuar con la Cadena de Proveedores en el Agente Si No Hay Conexión con el Servidor: cuando está activada, indica al agente que en caso de no tener conexión con el servidor la consulta de certificados continuará la cadena de proveedores de revocación instalada en el equipo cliente, es decir, continuará con el método de comprobación de revocación nativo del sistema

Configuración Servicio. Parámetros de conexión y comportamiento agentes.

En este apartado se pueden establecer los parámetros de configuración de la parte servidora, que afectan al comportamiento del caché y al comportamiento en caso de error en el procesamiento de una petición.

Una vez dentro del menú hay que configurar diversos elementos:

1. Parámetros de Caché del Servicio. • Deshabilitar Caché: permite desactivar/activar la creación y uso de un caché de

respuestas de validación en las consultas al servidor. Para más información ver el apartado Caché de Validación.

• Tiempo de Vida de Entradas de Certificados Correctos (Seg.): permite especificar el tiempo en segundos, que los resultados de las consultas de certificados válidos van a permanecer en el caché del servidor.

• Tiempo de Vida de Entradas de Certificados Raíz (Seg.): Raíz permite especificar el tiempo en segundos, que los resultados de las consultas de certificados raíz van a permanecer en el caché del servidor.

• Tiempo de Vida de Entradas de Certificados Revocados (Seg.): permite especificar el tiempo en segundos, que los resultados de las consultas de certificados revocados van a permanecer en el caché del servidor.


• Tiempo de Vida de Entradas de Certificados Suspendidos (Seg.): permite especificar el tiempo en segundos, que los resultados de las consultas de certificados con estado suspendido van a permanecer en el caché del servidor.

2. Otros Parámetros. • Continuar con la Cadena de Proveedores en el Agente Si No Se Pudo Obtener el

Estado del Certificado: indica que, en caso de que un certificado no cumpla ninguna de las reglas de validación definidas en el servidor, se retornará al llamador para que éste continúe con el procesamiento del certificado según su propia configuración. Esta funcionalidad está implementada, pero si el llamador del servicio web es una aplicación propietaria esta funcionalidad dependerá de la implementación de dicha aplicación

• Continuar el Procesamiento de Reglas en Caso de Error: cuando está activada, indica al servicio que si se produce un error en la ejecución de una regla se continúe con la ejecución de la siguiente regla. En caso de estar desactivada, cuando se produzca un error, éste se retornará directamente al cliente.

• Continuar el Procesamiento de Reglas en Caso de que un Proveedor Externo Retorne Offline: cuando está activada, indica al servicio que, si en la ejecución de una regla que implique la invocación de un proveedor externo, éste retorna un error de conexión, se continúe con la ejecución de la siguiente regla. En caso de estar desactivada, cuando se produzca un error de este tipo, el error se retornará directamente al cliente

Gestión de Entidades Emisoras

Para poder definir reglas aplicables a certificados de una entidad emisora concreta, es necesario que esta esté configurada en el servidor de Revoke Server. En este apartado se describe como realizar las tareas de configuración y mantenimiento relativas a la lista de entidades emisoras.

• Consulta de Entidades Emisoras Configuradas

Para ver la lista de entidades emisoras configuradas en el servidor se pueden seguir los siguientes pasos:

1. Abrir la web de administración RevokeAdmin.

2. En la página principal seleccionar el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestion de Ent. Emisoras del menú de la izquierda.

3. Aparecerá la lista de todas las entidades emisoras configuradas para la creación de reglas.


• Añadir una Nueva Entidad Emisora

Para añadir una nueva entidad emisora sobre la que crear reglas de validación de certificados, se pueden seguir los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Añadir una nueva entidad emisora de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados. El mismo enlace está disponible también desde la Vista de Entidades Emisoras.

2. Especificar los parámetros de configuración de la entidad emisora:

a. El campo Nombre Común (CN) es un campo obligatorio y su contenido debe ser exactamente igual al que aparece como CN en el asunto del certificado de la entidad emisora.

a. El campo Descripción es una descripción opcional para la identificación de la entidad emisora.

b. Programación Descargas: en caso de requerir la descarga programada mediante el servicio de descargas offline, aquí se especificarán tanto la hora como los días de la semana en los que el servicio realizará la descarga de objetos correspondientes a esta entidad emisora. Para más información ver apartado Servicio de Descargas Programadas.

4. Pulsar el botón Insertar. • Modificar una Entidad Emisora

Para modificar la configuración de una entidad emisora se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Entidades Emisoras. Para ello, en la página principal seleccionar el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestión de Ent. Emisoras del menú de la izquierda.

2. En la lista de Entidades Emisoras seleccionar el enlace de la entidad emisora que se desea modificar.


4. Pulsar el botón Guardar. • Eliminar una Entidad Emisora

Para eliminar una entidad emisora se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Entidades Emisoras, para ello, en la página principal seleccionar el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestión de Ent. Emisoras del menú de la izquierda.

2. En la lista de Entidades Emisoras, pulsar el botón con forma de cruz que se encuentra a la izquierda de la entidad que se desee eliminar.


Gestión de Listas

En Revoke Server es posible definir reglas con condiciones aplicables según la pertenencia o no a una lista de valores. En este apartado se describe cómo crear nuevas listas de valores y realizar las tareas de mantenimiento sobre las mismas.

• Consulta de Listas Configuradas

Para ver la lista de entidades emisoras configuradas en el servidor se pueden seguir los siguientes pasos:

1. Abrir la web de administración RevokeAdmin.

2. En la página principal seleccionar el enlace Gestionar listas del grupo Tareas Relativas a Listas o bien seleccionar el enlace Gestión de Listas del menú de la izquierda.

3. Aparecerá una tabla con el nombre y la descripción de todas las listas configuradas hasta el momento.

• Añadir una Nueva Lista

Para añadir una nueva lista de valores al servidor de Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Añadir una nueva lista del grupo Tareas Relativas a Listas. El mismo enlace está disponible también desde la Vista de Gestión de Listas.

2. Especificar un valor para el Nombre de la lista y, opcionalmente, una Descripción para la misma.

3. Pulsar el botón Insertar. • Añadir o Eliminar valores de una Lista

Para añadir o eliminar valores a la lista se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Gestión de Listas, para ello, en la página principal seleccionar el enlace Gestionar listas del grupo Tareas Relativas a Listas o bien seleccionar el enlace Gestión de Listas del menú de la izquierda.

2. En la tabla de Listas mostrada, seleccionar el enlace correspondiente a la lista de valores que se desea modificar.

3. Pulsar el botón Elementos.

4. Para añadir nuevos valores a la lista:


a. En la nueva ventana indicar el nuevo valor y pulsar el botón Insertar.

b. Repetir este proceso el paso anterior tantas veces como valores se deseen añadir a la lista.

c. Pulsar el botón Cancelar para finalizar la inserción de valores a la lista.

5. Para eliminar valores de la lista pulsar la Cruz que se encuentra a la izquierda del valor que se desee eliminar.

• Modificar una Lista

Para modificar la configuración de una lista de valores se pueden seguir los siguientes pasos:


2. En la tabla de Listas mostrada, seleccionar el enlace correspondiente a la lista de valores que se desea modificar.


4. Pulsar el botón Guardar. • Eliminar una Lista

Para eliminar una lista de valores se pueden seguir los siguientes pasos:


2. En la tabla de Listas, pulsar el botón con forma de cruz que se encuentra a la izquierda de la Lista que se desee eliminar.

Gestión de Proveedores Lógicos

En Revoke Server las validaciones de certificados que se deban realizar de manera externa a la autoridad de validación, tales como consultas de CRLs o con servidores OCSP se llevan a cabo por parte de proveedores lógicos que aparecerán como acciones tanto de las reglas de validación como de las reglas de descarga.


En este apartado se describe cómo gestionar la lista de proveedores lógicos en Revoke Server. • Consulta de Proveedores Lógicos

Para ver la lista de proveedores lógicos configurados en el servidor se pueden seguir los siguientes pasos:

1. En la página principal, seleccionar el enlace Gestión de Proveedores del menú de la izquierda.

2. Aparecerá una tabla con el nombre y la descripción de todos los proveedores lógicos disponibles hasta el momento.

• Añadir un Nuevo Proveedor Lógico

Para añadir un nuevo proveedor lógico a la configuración de SealSign Revoke Server se pueden seguir los siguientes pasos:

1. En la Vista de Gestión de Proveedores seleccionar el enlace Añadir un nuevo proveedor lógico.

2. Especificar los parámetros de configuración del nuevo proveedor lógico:

a. El campo Nombre es un campo obligatorio. Este es el nombre que aparecerá como acción al crear una regla de validación.

b. El campo Descripción es una descripción opcional para la identificación del proveedor lógico.

c. El campo Proveedor Físico indica el tipo de proveedor que ejecutará la acción. En la actualidad están definidos dos tipos de proveedores físicos:

i. Revoke Provider: Es el proveedor por defecto y, por tanto, el que se debería usar siempre que sea posible. Provee funcionalidades de descarga y validación de CRLs y respuestas OCSP mediante protocolos http, https, ldap, ldaps, ftp, ftps y file, así como de una gestión de caché de CRLs y de respuestas OCSP que optimizan el acceso a las mismas.

ii. CAPI: La validación se realizará por los mecanismos definidos por el API de criptografía de Windows (CryptoAPI), es decir mediante el uso de librerías que implementan el interfaz de un Revocation Provider. Este proveedor se proporciona por compatibilidad con versiones anteriores y sólo debería usarse en


el caso de que se haya desarrollado un Revocation Provider de CryptoAPI personalizado para dichas versiones.

d. El valor del campo Parámetro de Configuración dependerá del proveedor físico seleccionado:

i. Para el proveedor Revoke Provider, el parámetro de configuración es una cadena XML que definirá el comportamiento del mismo. Más información en el apartado Configuración del proveedor Revoke Provider.

ii. Para el proveedor CAPI, el parámetro de configuración deberá contener el nombre de la librería que implementa el interfaz de Revocation Provider y que se desea utilizar para este proveedor.

3. Pulsar el botón Insertar. • Modificar un Proveedor Lógico

Para modificar la configuración de un proveedor lógico se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Gestión de Proveedores, para ello, en la página principal seleccionar el enlace Gestión de Proveedores del menú de la izquierda.

2. En la tabla de Proveedores Lógicos mostrada, seleccionar el enlace correspondiente al proveedor que se desea modificar.


4. Pulsar el botón Guardar. • Eliminar un Proveedor Lógico

Para eliminar un proveedor lógico se pueden seguir los siguientes pasos:

5. Acceder a la Vista de Gestión de Proveedores, para ello, en la página principal seleccionar el enlace Gestión de Proveedores del menú de la izquierda.

6. En la tabla de Proveedores Lógicos, pulsar el botón con forma de cruz que se encuentra a la izquierda del proveedor que se desee eliminar.

Gestión de Reglas de Validación

El funcionamiento de la validación de SealSign Revoke Server se basa en la creación de reglas que aplican una acción en función de un orden de ejecución y en función del cumplimiento de una condición. En este apartado se describe cómo configurar y mantener la lista de reglas de validación de SealSign Revoke Server.

• Consulta de Reglas de Validación

Para ver la lista de reglas de validación configuradas en el servidor se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Validación o bien seleccionar el enlace Reglas de Validación del menú de la izquierda.


2. Aparecerá una tabla con la lista de reglas de validación configuradas. En esta tabla se incluye tanto el nombre de la regla como el indicador de si está habilitada o no, la entidad emisora a la que aplica, los atributos que definen la condición de aplicación y, por último, la acción que se aplicará.

• Añadir una Nueva Regla de Validación

Para añadir una nueva regla de validación a la configuración de SealSign Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Añadir una nueva regla de validación del grupo Tareas Relativas a Reglas de Validación. El mismo enlace está disponible también desde la página de Gestión de Reglas de Validación.

2. Especificar los parámetros generales de la nueva regla de validación:

a. El campo Nombre es un campo obligatorio. Este es el nombre que aparecerá en la lista de reglas de validación.

b. El campo Descripción es una descripción opcional para la identificación de la regla.

c. El campo Habilitada indica si la regla estará habilitada para su ejecución o se creará deshabilitada. Es posible habilitarla posteriormente modificando la regla de validación.

3. Especificar los parámetros de la condición de la nueva regla de validación, es decir, se definirán los criterios necesarios para distinguir los certificados sobre los que aplicará la regla:

a. En el campo Entidad Emisora se seleccionará el nombre de la entidad emisora de los certificados sobre los que se aplicará la regla (siempre y cuando se cumpla el resto de la condición). En el desplegable aparecerán los nombres de las entidades emisoras configurados en el servidor, (véase apartado Gestión de Entidades Emisoras). Además, en función de la configuración del servicio, en el desplegable puede aparecer el valor (Todas) que indica que la condición se aplicará a los certificados de cualquier entidad emisora, (véase apartado Configurar Parámetros del Agente).

b. En el campo Atributo se seleccionará el nombre del atributo del certificado que se utilizará para establecer la condición. En función del atributo que se seleccione, los dos siguientes campos (Extensión y OID) permanecerán habilitados o deshabilitados.

c. El campo Extensión sólo se habilitará si en el campo Atributo se seleccionó el valor Extension. En este campo se indicará el OID de la extensión del certificado que se desea utilizar para establecer la condición. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

d. El campo OID sólo se habilitará si en el campo Atributo se seleccionó el valor Extension o el valor Subject. En este campo se indicará el OID del valor del campo de la extensión o del subject indicados. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

e. En el campo Operador se seleccionará el operador que se aplicará a la condición.


f. En el campo Valor 1 se especificará el valor requerido para la condición. En caso de haber seleccionado el operador Contenido en Lista o No Contenido en Lista aparecerá el botón Buscar a la derecha del campo, pulsando este botón se mostrarán las listas de valores disponibles, (véase el apartado Gestión de Listas), pulsando sobre la lista en cuestión esta se copiará en el valor del campo.

g. El campo Valor 2 sólo se habilitará si en el campo Operador se seleccionó un operador que requiera dos valores, es decir, si se seleccionó el operador Entre Exclusive o Entre Inclusive.

4. Especificar los parámetros de la acción que se ejecutará si se cumple la condición:

a. En el campo Acción se seleccionará alguno de los siguientes valores:

i. Aceptar si los certificados que cumplan la condición deben ser mostrados como válidos.

ii. Revocar si los certificados que cumplan la condición deben ser mostrados como revocados.

iii. Proveedor Externo si los certificados que cumplan la condición deben ser verificados utilizando un proveedor externo, (véase el apartado Gestión de Proveedores Lógicos).

b. El campo Razón sólo estará habilitado si la acción seleccionada es Revocar. En este campo se seleccionará la razón que se especificará para revocar el certificado.

c. El campo Proveedor Externo sólo estará habilitado si la acción seleccionada es Proveedor Externo. En este campo se seleccionará el proveedor externo que se utilizará para verificar el certificado.

5. Marcar el check Crear Regla de Descarga si se desea crear una regla de descarga con los mismos parámetros que la regla de validación. Este campo solamente se habilitará si la acción de la regla de validación es invocar a un proveedor externo puesto que no tiene sentido una regla de descarga del tipo Aceptar/Revocar.

6. Pulsar el botón Insertar. • Modificar una Regla de Validación

Para modificar la configuración de una regla de validación se pueden seguir los siguientes pasos:

1. Acceder a la Gestión de Reglas de Validación, para ello, en la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Validación o bien seleccionar el enlace Reglas de Validación del menú de la izquierda.

2. En la lista de Reglas de Validación, seleccionar el enlace correspondiente a la regla que se desea modificar.




! Si durante el proceso de creación de la regla de validación, se creó una regla de descarga similar, las modificaciones de dicha regla de validación NO se aplicarán a la regla de descarga. Por tanto, si se desea la modificación de la regla de descarga será necesario realizarla de manera manual.

• Cambiar el orden de ejecución de las Reglas de Validación

Las reglas de validación se ejecutarán según el orden en el que aparecen en la Vista de Gestión de Reglas empezando por la que está en la primera posición de la lista. Para cambiar el orden de ejecución de las reglas de validación se pueden seguir los siguientes pasos:


2. En la lista de Reglas de Validación, pulsar los botones Arriba o Abajo que se encuentran a la izquierda de la regla para subir o bajar una posición en el orden de ejecución.

! Si durante el proceso de creación de la regla de validación, se creó una regla de descarga similar, las modificaciones de dicha regla de validación NO se aplicarán a la regla de descarga. Por tanto, si se desea la reordenación de la regla de descarga será necesario realizarla de manera manual.

• Eliminar una Regla de Validación

Para eliminar una regla de validación se pueden seguir los siguientes pasos:


2. En la lista de Reglas de Validación, pulsar el botón con forma de cruz que se encuentra a la izquierda de la regla que se desee eliminar.

! Si durante el proceso de creación de la regla de validación, se creó una regla de descarga similar, las modificaciones de dicha regla de validación NO se aplicarán a la regla de descarga. Por tanto, si se desea la eliminación de la regla de descarga será necesario realizarla de manera manual.

Gestión de Reglas de Descarga

El funcionamiento de la descarga de objetos de revocación de SealSign Revoke Server se basa en la creación de reglas que aplican una acción en función de un orden de ejecución y en función del cumplimiento de una condición. En este apartado se describe cómo configurar y mantener la lista de reglas de descarga de SealSign Revoke Server.

• Consulta de Reglas de Descarga

Para ver la lista de reglas de descarga configuradas en el servidor se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Descarga o bien seleccionar el enlace Reglas de Descarga del menú de la izquierda.


2. Aparecerá una tabla con la lista de reglas de descarga configuradas. En esta tabla se incluye tanto el nombre de la regla como el indicador de si está habilitada o no, la entidad emisora a la que aplica, los atributos que definen la condición de aplicación y, por último, la acción que se aplicará.

• Añadir una Nueva Regla de Descarga

Para añadir una nueva regla de descarga a la configuración de SealSign Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Añadir una nueva regla de descarga del grupo Tareas Relativas a Reglas de Descarga. El mismo enlace está disponible también desde la página de Gestión de Reglas de Descarga.

2. Especificar los parámetros generales de la nueva regla de descarga:

a. El campo Nombre es un campo obligatorio. Este es el nombre que aparecerá en la lista de reglas de descarga.

b. El campo Descripción es una descripción opcional para la identificación de la regla.

c. El campo Habilitada indica si la regla estará habilitada para su ejecución o se creará deshabilitada. Es posible habilitarla posteriormente modificando la regla de descarga.

3. Especificar los parámetros de la condición de la nueva regla de descarga, es decir, se definirán los criterios necesarios para distinguir los certificados sobre los que aplicará la regla:

a. En el campo Entidad Emisora se seleccionará el nombre de la entidad emisora de los certificados sobre los que se aplicará la regla (siempre y cuando se cumpla el resto de la condición). En el desplegable aparecerán los nombres de las entidades emisoras configurados en el servidor, (véase apartado Gestión de Entidades Emisoras). Además, en función de la configuración del servicio, en el desplegable puede aparecer el valor (Todas) que indica que la condición se aplicará a los certificados de cualquier entidad emisora (Ver apartado Configuración de Agentes en Equipos Cliente).

b. En el campo Atributo se seleccionará el nombre del atributo del certificado que se utilizará para establecer la condición. En función del atributo que se seleccione, los dos siguientes campos (Extensión y OID) permanecerán habilitados o deshabilitados.

c. El campo Extensión sólo se habilitará si en el campo Atributo se seleccionó el valor Extension. En este campo se indicará el OID de la extensión del certificado que se desea utilizar para establecer la condición. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

d. El campo OID sólo se habilitará si en el campo Atributo se seleccionó el valor Extension o el valor Subject. En este campo se indicará el OID del valor del campo de la extensión o del subject indicados. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

e. En el campo Operador se seleccionará el operador que se aplicará a la condición.


f. En el campo Valor 1 se especificará el valor requerido para la condición. En caso de haber seleccionado el operador Contenido en Lista o No Contenido en Lista aparecerá el botón Buscar a la derecha del campo, pulsando este botón se mostrarán las listas de valores disponibles (Ver apartado Gestión de Listas), pulsando sobre la lista en cuestión esta se copiará en el valor del campo.

g. El campo Valor 2 sólo se habilitará si en el campo Operador se seleccionó un operador que requiera dos valores, es decir, si se seleccionó el operador Entre Exclusive o Entre Inclusive.

4. Especificar los parámetros de la acción que se ejecutará si se cumple la condición:

a. El campo Acción siempre será invocar a un proveedor externo puesto que no tiene sentido una regla de descarga que indique Aceptar/Revocar.

b. En el campo Proveedor Externo se seleccionará el proveedor externo que se utilizará para realizar la descarga de la información de revocación correspondiente al certificado.

5. Marcar la casilla de verificación Crear Regla de Validación si se desea crear una regla de validación con los mismos parámetros que la regla de descarga.

6. Pulsar el botón Insertar. • Modificar una Regla de Descarga

Para modificar la configuración de una regla de descarga se pueden seguir los siguientes pasos:

1. Acceder a la Gestión de Reglas de Descarga, para ello, en la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Descarga o bien seleccionar el enlace Reglas de Descarga del menú de la izquierda.

2. En la lista de Reglas de Descarga, seleccionar el enlace correspondiente a la regla que se desea modificar.


Pulsar el botón Guardar.

! Si durante el proceso de creación de la regla de descarga, se creó una regla de validación, las modificaciones de dicha regla de descarga NO se aplicarán a la regla de validación. Por tanto, si se desea la modificación de la regla de validación será necesario realizarla de manera manual.

• Cambiar el orden de ejecución de las Reglas de Descarga

Las reglas de descarga se ejecutarán según el orden en el que aparecen en la Vista de Gestión de Reglas empezando por la que está en la primera posición de la lista. Para cambiar el orden de ejecución de las reglas de descarga se pueden seguir los siguientes pasos:



5. En la lista de Reglas de Descarga, pulsar los botones Arriba o Abajo que se encuentran a la izquierda de la regla para subir o bajar una posición en el orden de ejecución.

! Si durante el proceso de creación de la regla de descarga, se creó una regla de validación similar, las modificaciones de dicha regla de descarga NO se aplicarán a la regla de validación. Por tanto, si se desea la eliminación de la regla de validación será necesario realizarla de manera manual.

• Eliminar una Regla de Descarga

Para eliminar una regla de descarga se pueden seguir los siguientes pasos:


7. En la lista de Reglas de Descarga pulsar el botón con forma de cruz que se encuentra a la izquierda de la regla que se desee eliminar.

! Si durante el proceso de creación de la regla de descarga, se creó una regla de validación similar, las modificaciones de dicha regla de descarga NO se aplicarán a la regla de validación. Por tanto, si se desea la eliminación de la regla de validación será necesario realizarla de manera manual.

Recarga de la Configuración

Con el objetivo de obtener un mayor rendimiento, parte de la configuración de SealSign Revoke Server es cargada en memoria por parte del motor de reglas. Por este motivo, los cambios de configuración o de reglas no van a ser tenidas en cuenta a menos que se realice la recarga de la configuración en el motor de reglas.

Esta carga de la configuración se realiza cuando se arranca el worker process del pool de Internet Information Server al que pertenece la aplicación servidora de Revoke Server.

Por este motivo, una vez cambiados los parámetros de configuración o las reglas de validación y descarga será necesario reciclar el pool de IIS en cada uno de los servidores de SealSign Revoke Server.

Caché de Validación

Con el objetivo de eliminar consultas tanto a la base de datos SealSign Revoke Server como a las listas de revocación de certificados de emisores externos y conseguir mejoras en el rendimiento del servicio, SealSign Revoke Server implementa un sistema de caché para 4 tipos de respuesta en las consultas de validación según configuración: un caché para los certificados raíz, otro para los certificados correctos, un tercer caché para los certificados revocados, y por último, un caché para los certificados con estado suspendido.

2.4.2. Configuración del Caché de Validación

Tanto la activación y desactivación del sistema de caché como la configuración del tiempo de vida de cada uno de los tipos de caché se realiza desde la página de configuración del servicio (véase apartado Configuración del Servicio).


2.4.3. Consultar el Contenido del Caché de Validación

Para ver el contenido del caché de validación del sistema se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Ver y gestionar entradas del caché de validación del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Validación del menú de la izquierda.

2. Aparecerá una tabla con los últimos registros incluidos en el caché de validación del servidor.

3. En la parte superior de la página aparecen unos campos de filtrado con los que el administrador podrá refinar el resultado de la búsqueda. Para ello el administrador deberá introducir/seleccionar los valores adecuados en los campos de filtrado y pulsar el botón Buscar.

4. Pulsando las flechas que aparecen en la parte inferior de la tabla de resultados se puede navegar por las páginas de resultado de la consulta.

2.4.4. Eliminar una Entrada del Caché de Validación

Para eliminar una entrada del caché de validación se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de Validación, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de validación del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Validación del menú de la izquierda.

2. Localizar la entrada del caché que se desea borrar refinando la búsqueda o navegando por los resultados.

3. Pulsar el botón con forma de cruz que se encuentra a la izquierda de la entrada que se desee eliminar.

2.4.5. Eliminar Todo el Contenido del Caché de Validación

Para eliminar todas las entradas contenidas en el caché se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de Validación, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de validación del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Validación del menú de la izquierda.

2. Pulsar el enlace Borrar todas las entradas del caché que se encuentra en la parte inferior de la página.


Caché de CRLs

Con el objetivo de eliminar consultas/descargas de las listas de revocación de certificados de emisores externos y conseguir mejoras en el rendimiento del servicio, SealSign Revoke Server, (mediante el proveedor físico Revoke Provider), implementa un sistema de caché que almacena y gestiona las CRLs descargadas. De este modo, en posteriores descargas/validaciones, si la CRL es válida (campo ThisUpdate <= Fecha actual y NextUpdate > Fecha actual) se usará la CRL cacheada en lugar de realizar una nueva descarga de la misma.

Es importante remarcar que sólo aquellos certificados a los que se le apliquen reglas basadas en el proveedor Revoke Provider se beneficiarán de esta funcionalidad.

2.4.6. Configuración del Caché de CRLs

El caché de CRLs está activo por defecto para todas las reglas basadas en el proveedor físico Revoke Provider, aunque es posible desactivarlo a nivel de proveedor lógico, es decir, mediante la configuración de Revoke Provider, (véase el apartado Configuración del proveedor Revoke Provider).

2.4.7. Consultar el Contenido del Caché de CRLs


1. En la página principal seleccionar el enlace Ver y gestionar entradas del caché de CRLs del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de CRLs del menú de la izquierda.

2. Aparecerá una tabla con los últimos registros incluidos en el caché de CRLs del servidor.



2.4.8. Eliminar una Entrada del Caché de CRLs

Para eliminar una entrada del caché de CRLs se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de CRLs, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de CRLs del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de CRLs del menú de la izquierda.



2.4.9. Eliminar Todo el Contenido del Caché de CRLs



1. Acceder al Visor del Caché de CRLs, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de CRLs del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de CRLs del menú de la izquierda.


Caché de Respuestas OCSP

Aunque el protocolo OCSP está pensado para realizar consultas online a los prestadores de servicios de certificación, la definición de dicho protocolo especifica que la respuesta puede incluir, de manera opcional, un campo NextUpdate que indica un periodo de validez para dichas respuestas.

Con el objetivo de eliminar consultas a OCSP responders externos a la organización, SealSign Revoke Server, mediante el proveedor físico Revoke Provider, implementa un sistema de caché que almacena y gestiona las respuestas OCSP descargadas que incluyan el campo NextUpdate. De este modo, en posteriores descargas/validaciones, si la respuesta OCSP es válida (campo ThisUpdate <= Fecha actual y NextUpdate > Fecha actual) se usará la respuesta cacheada en lugar de realizar una nueva consulta al responder externo.

Es importante remarcar que sólo aquellos certificados a los que se le apliquen reglas basadas en el proveedor Revoke Provider se beneficiarán de esta funcionalidad.

! Actualmente las respuestas OCSP emitidas por el OCSP responder del DNI electrónico (http://ocsp.dnie.es) no incluyen el campo NextUpdate. Por tanto, los servidores de SealSign Revoke Server NO cachearán ninguna respuesta OCSP correspondiente al DNI electrónico español.

2.4.10. Configuración del Caché de Respuestas OCSP

El caché de respuestas OCSP está activo por defecto para todas las reglas basadas en el proveedor físico Revoke Provider, aunque es posible desactivarlo a nivel de proveedor lógico, es decir, mediante la configuración de Revoke Provider. Más información en el apartado Configuración del proveedor Revoke Provider.

2.4.11. Consultar el Contenido del Caché de Respuestas OCSP


1. En la página principal seleccionar el enlace Ver y gestionar entradas del caché de respuestas OCSP del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Resp. OCSP del menú de la izquierda.

2. Aparecerá una tabla con los últimos registros incluidos en el caché de respuestas OCSP del servidor.




2.4.12. Eliminar una Entrada del Caché de Respuestas OCSP

Para eliminar una entrada del caché de respuestas OCSP se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de Respuestas OCSP, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de respuestas OCSP del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Resp. OCSP del menú de la izquierda.



2.4.13. Eliminar Todo el Contenido del Caché de Respuestas OCSP


1. Acceder al Visor del Caché de Respuestas OCSP, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de respuestas OCSP del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Resp. OCSP del menú de la izquierda.


Auditoría

SealSign Revoke Server dispone de un sistema de auditoría que permitirá al administrador conocer qué consultas y qué descargas se realizan en el sistema, quién las realiza y el resultado de las mismas. En este apartado se describe cómo configurar y visualizar la auditoría de SealSign Revoke Server.

2.4.14. Configuración de la Auditoría

Para configurar el servicio de auditoría de SealSign Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Configurar parámetros de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Configuración Auditoría del menú de la izquierda.

2. Seleccionar la opción adecuada según si se desean que en la auditoría se incluyan las respuestas con estado revocado, con estado correcto, las que hayan sido resueltas en el caché del servidor o las operaciones de descarga de CRLs y respuestas OCSP.


2.4.15. Consultar el Registro de Auditoría

Para ver el contenido del registro de auditoría se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Ver registro de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Registro de Auditoría del menú de la izquierda.


2. Aparecerá una tabla con los registros de auditoría incluidos en el sistema en la fecha actual.



2.4.16. Eliminar el Contenido del Registro de Auditoría

Para eliminar el contenido de todas las entradas del registro de auditoría se pueden seguir los siguientes pasos:


2. Pulsar el enlace Borrar todas las entradas del registro de auditoría que se encuentra debajo del resultado de la consulta.

Servicio de Descargas Programadas de CRLs/Respuestas OCSP

Con el objetivo de optimizar aún más el acceso a la información de revocación correspondiente a un certificado, además de los diferentes sistemas de caché explicados con anterioridad, SealSign Revoke Server incluye un servicio que permite descargar tanto CRLs como respuestas OCSP de manera programada en momentos de bajo uso del sistema.

Con el servicio de descargas programadas, el administrador puede decidir en qué momento obtener la información de revocación de las entidades emisoras configuradas en el servidor de SealSign Revoke Server, de forma que sólo aquellas CRLs/respuestas OCSP que no hayan sido descargadas o que hayan caducado serán obtenidas y cacheadas en el momento programado.

En las versiones anteriores de SealSign Revoke Server esta descarga se basaba en el almacenamiento de los diferentes CDPs de los certificados, realizándose la descarga mediante el proveedor de revocación estándar de CryptoAPI de Windows (cryptnet.dll). Este proveedor tiene diversas limitaciones en cuanto a los protocolos que soporta y el acceso a servidores autenticados. A partir de la versión 2.0 de SealSign Revoke Server, el servicio de descarga programada se basa en el almacenamiento de los certificados y en la aplicación de las reglas de descarga definidas en el servidor, beneficiándose así de la potencia y flexibilidad del proveedor Revoke Provider.

En cualquier caso, por motivos de compatibilidad con las versiones anteriores, el mecanismo de descarga basado en el CDP sigue estando soportado en la versión actual.

2.4.17. Configuración del Servicio de Descargas Programadas

La configuración del servicio de descargas programadas se realiza desde la configuración de cada entidad emisora. Se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Entidades Emisoras. Seleccionar en la página principal el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestión de Ent. Emisoras del menú de la izquierda.


2. En la lista de Entidades Emisoras seleccionar el enlace de la entidad emisora que se desea modificar.

3. En Programación Descargas de CRLs/Respuestas OCSP especificar la hora y los días de la semana en las que se debe producir la descarga de la información de revocación de los certificados de la entidad.

4. Pulsando el botón Certificados se puede ver la información de los certificados de la entidad emisora de los que se realizará la descarga programada, además de tener la posibilidad de añadir o eliminar nuevos certificados.

5. Pulsando el botón CDPs se pueden ver los paths de las CRLs que serán descargadas para la entidad emisora en cuestión, así como añadir o eliminar nuevos paths de CRLs.

6. Pulsar el botón Guardar para guardar los cambios de configuración.

2.4.18. Configuración del Servicio de Descargas Mediante CDPs

Tal y como se ha explicado anteriormente, el mecanismo de descargas basado en CDPs que existía en las versiones anteriores se mantiene por motivos de compatibilidad. Para que este mecanismo funcione correctamente hay que tener en cuenta lo siguiente:

1. El servidor de SealSign Revoke Server NO almacenará de manera automática los CDPs de los certificados que se validen. Por tanto, la provisión de esta información deberá realizarse de manera manual o por procesos externos a SealSign Revoke Server.

2. La descarga de los diferentes CDPs NO se basa en CryptoAPI sino en Revoke Provider de manera que la descarga de las CRLs se almacenará directamente en las tablas de caché de CRLs del proveedor y no físicamente en una carpeta del servidor como hace CryptoAPI.

3. Aunque para la descarga se utilice Revoke Provider, dado que la información de entrada es un simple CDP, no será posible aplicar las reglas de descarga configuradas.

4. Se ha habilitado un nuevo mecanismo que permite realizar una configuración específica para cada emisor de certificado. Esta configuración se lleva a cabo editando el fichero %program files%\TrustID Revoke Server\RevokeSrv.exe.config y añadiendo un elemento <issuer name= ...> por cada emisor de certificados cuya configuración por defecto se desee modificar.

5. El contenido del elemento <issuer name= ...> es igual a los XML de configuración del proveedor Revoke Provider. En el fichero RevokeSrv.exe.config original hay un ejemplo de configuración para certificados CERES.

Esta configuración solamente es necesaria si se desea usar el mecanismo de descargas basado en CDPs. Si se va a utilizar el nuevo mecanismo basado en certificados y reglas NO es necesario modificar el fichero RevokeSrv.exe.config de manera manual.

2.4.19. Configuración del proveedor Revoke Provider

El nuevo proveedor físico Revoke Provider es un proveedor de validación/descargas flexible y configurable que permite la obtención y consulta de la información de revocación correspondiente a un certificado de manera completamente personalizada.


El proveedor físico Revoke Provider soporta protocolos http, https, ldap, ldaps, ftp, ftps, file así como ocsp tanto de manera anónima como autenticada. Permite configurar tanto URLs de destino de la consulta como distintos parámetros de autenticación admitiendo tanto acceso anónimo como autenticado con usuario y contraseña o, incluso, con certificados (según protocolo).

Es posible, además, configurar y gestionar un caché tanto de CRLs como de respuestas OCSP que obtienen mejoras en el rendimiento del servicio. Más información sobre el caché en los apartados Caché de CRLs y Caché de Respuestas OCSP de este mismo documento.

2.4.20. Comportamiento de Revoke Provider en Operaciones de Descarga

En operaciones de descarga, el funcionamiento por defecto (sin parámetros) del proveedor es el siguiente:

1. Obtener el contenido del OID 1.3.6.1.5.5.7.48.1 (OCSP) de la extensión Authority Info Access (AIA) del certificado.

2. Acceder al caché de respuestas OCSP e intentar obtener una respuesta OCSP válida para el certificado. Si se obtiene una respuesta válida devolverla y no continuar con el proceso.

3. Componer una petición OCSP e invocar al OCSP Responder obtenido en el paso 1.

4. Cachear y devolver la respuesta obtenida en el paso 3.

5. Si no se pudo obtener el valor del OID 1.3.6.1.5.5.7.48.1 de la extensión AIA (el valor o la extensión no existen) o se produjo un error al componer, invocar u obtener la respuesta OCSP, se intenta la obtención de las CRLs asociadas.

6. Para obtener la CRL asociada al certificado se enumeran los distintos Distribution Points incluidos en la extensión CRL Distribution Point (CDP).

7. Para cada Distribution Point:

a. Se accede al caché para intentar obtener una CRL cacheada y válida. Si se obtiene una CRL válida se salta al paso 10.

b. Si no se obtiene una CRL válida, cada uno de los Distribution Point se consideran una URL completa y accesible de manera anónima y se intenta descargar el objeto apuntado.

c. Si la descarga de un Distribution Point se realiza con éxito ya no se sigue con la descarga del siguiente Distribution Point y se trata el objeto como una CRL.

8. La CRL obtenida en el paso anterior se considera la CRL base correspondiente al certificado.

9. Una vez encontrada una CRL base se accede a la extensión Freshest CRL para intentar obtener una Delta CRL si la hubiera.

10. Si la extensión Freshest CRL tiene valor, esta incluirá una lista de Distribution Points para descargar la Delta CRL. Por tanto, se repiten el paso 7 para obtener la Delta CRL.

11. Si se pudo obtener una Base CRL y, opcionalmente, una Delta CRL se cachean y se retornan. En caso contrario se retorna un error.


2.4.21. Comportamiento de Revoke Provider en Operaciones de Validación

En operaciones de validación, el funcionamiento por defecto (sin parámetros) del proveedor es el siguiente:

12. Obtiene la información de revocación correspondiente al certificado realizando una operación de descarga según los pasos especificados en el apartado anterior.

13. Si la información de revocación es una respuesta OCSP, se sigue la especificación del RFC 2560 (Online Certificate Status Protocol - OCSP) para acceder a los campos de la respuesta y componer los valores de retorno del proveedor.

14. Si la información de revocación obtenida es una CRL base o una CRL base + una CRL Delta, se sigue la especificación del RFC 3280 (Certificate and Certificate Revocation List (CRL) Profile) para acceder a los campos de la respuesta y componer los valores de retorno del proveedor.

2.4.22. Parámetros de Configuración de Revoke Provider

Tal y como se ha comentado en apartados anteriores, es posible modificar el comportamiento por defecto del proveedor físico Revoke Provider creando un proveedor lógico basado en dicho proveedor físico y pasándole una cadena XML con la configuración adecuada.

Los diferentes elementos que se pueden incluir en el documento XML de configuración son los siguientes: • Sección <configuration>

Es el elemento raíz de la configuración y por tanto es obligatorio, cualquier configuración de Revoke Provider debe ir entre los tags <configuration></configuration>.

• Elemento <disablecache>

Permite deshabilitar/habilitar el caché de CRLs/Respuestas OCSP para la regla a la que se aplica la configuración. El comportamiento por defecto es tener habilitado el cache.

Los posibles valores son: • <disablecache>true</disablecache> El caché de CRLs/OCSP estará deshabilitado. • <disablecache>false</disablecache> El caché de CRLs/OCSP estará habilitado.

• Elemento <disablecrlvalidation>

Permite deshabilitar/habilitar la funcionalidad de validación de CRLs del provider. Por defecto, Revoke Provider valida que la CRL descargada esté firmada con algún certificado emitido por el mismo emisor que el certificado que se está validando. Esto implica, que los certificados cuya CRL se pretenda descargar deben ser certificados de confianza en el servidor de Revoke. Este comportamiento se puede desactivar mediante la inclusión de este elemento.

Los posibles valores son: • <disablecrlvalidation>true</disablecrlvalidation> Deshabilitar la validación. • <disablecrlvalidation>false</disablecrlvalidation> Habilitar la validación.

• Elemento <method>


Fuerza la obtención de la información de revocación mediante CRLs o mediante una respuesta OCSP. Si no se añade este elemento a la configuración, el comportamiento de Revoke Provider por defecto es intentar primero obtener una respuesta OCSP y si no se consigue intentar la obtención de una CRL.

Los posibles valores son: • <method>ocsp</method> La verificación/descarga se realiza mediante OCSP. • <method>crl</method> La verificación/descarga se realiza mediante CRLs.

• Elemento <alternateurl>

Permite especificar la url que se utilizará para la obtención de las CRLs correspondientes al certificado (si el método elegido es crl) o la url del OCSP Responder (si el método elegido es ocsp). Por defecto, Revoke Provider accede al contenido de las extensiones AIA o CDP para obtener la información de revocación (véase el apartado Comportamiento de Revoke Provider en Operaciones de Descarga). Especificando un valor para el elemento <alternateurl>, Revoke Provider ignorará el contenido de estas extensiones y utilizará la url especificada.

Como ejemplo, para poder validar el certificado raíz del DNI electrónico, dado que este certificado no tiene ni AIA ni CDP, el proveedor del DNI electrónico incluido en la instalación de SealSign Revoke Server incluye la siguiente configuración:

<alternateurl>http://ocsp.dnielectronico.es</alternateurl> • Elemento <defaultprotocol>

Permite especificar el protocolo que se utilizará para la obtención de CRLs/respuestas OCSP. En algunos casos, las extensiones CDP o AIA de los certificados no incluyen en la url el protocolo que se debe usar para el acceso a la información de revocación. Mediante la inclusión del elemento <defaultprotocol> se puede configurar qué protocolo se usará para dicho acceso.

Este es el caso de los certificados emitidos por la Fábrica Nacional de Moneda y Timbre bajo la entidad emisora FNMT Clase 2 CA, de ahí que el proveedor para la validación/descargas de certificados CERES incluido en la instalación de SealSign Revoke Server contenga la siguiente configuración:

<defaultprotocol>ldap</defaultprotocol>

Los posibles valores son: • <defaultprotocol>http</defaultprotocol> Usar el protocolo HTTP. • <defaultprotocol>https</defaultprotocol> Usar el protocolo HTTPS. • <defaultprotocol>ldap</defaultprotocol> Usar el protocolo LDAP. • <defaultprotocol>ldaps</defaultprotocol> Usar el protocolo LDAP sobre SSL. • <defaultprotocol>ftp</defaultprotocol> Usar el protocolo FTP. • <defaultprotocol>ftps</defaultprotocol> Usar el protocolo FTP sobre SSL. • <defaultprotocol>file</defaultprotocol> Usar el protocolo FILE.

• Sección <protocols>

Con el proveedor Revoke Provider, es posible configurar diversos parámetros para cada uno de los protocolos especificados. Dado que en el acceso a la información de revocación pueden estar implicados uno o más protocolos (la extensión CDP puede contener diversas URLs cada una con un protocolo distinto), en la configuración del proveedor pueden aparecer una o más configuraciones de protocolos.


La sección <protocols> es un elemento contenedor de las distintas configuraciones de protocolos. Si se añaden una o más elementos <protocol> estos siempre deberán estar dentro de la sección <protocols>.

La sección <protocols> contendrá uno o varios de los siguientes elementos: • <protocol name="http" .../> Configuración para el protocolo HTTP • <protocol name="https" .../> Configuración para el protocolo HTTPS • <protocol name="ldap" .../> Configuración para el protocolo LDAP • <protocol name="ldaps" .../> Configuración para el protocolo LDAP sobre SSL • <protocol name="ftp" .../> Configuración para el protocolo FTP • <protocol name="ftps" .../> Configuración para el protocolo FTP sobre SSL • <protocol name="file" .../> Configuración para el protocolo FILE • <protocol name="ocsp" .../> Configuración para el protocolo OCSP

• Elemento <protocol>

El elemento <protocol> permite especificar parámetros tanto de autenticación como de uso de proxy así como algunos parámetros específicos de cada protocolo. Este elemento siempre deberá contener el atributo name que especificará qué protocolo se está configurando en cada elemento. El resto de atributos es opcional y su uso dependerá del protocolo en sí.

Las siguientes tablas recogen los atributos válidos y su significado para cada uno de los protocolos:


Atributo Valores Comentarios <protocol name="http" .../>

username Nombre de usuario para establecer una conexión HTTP autenticada.

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza de manera anónima.

password Contraseña del usuario para establecer una conexión HTTP autenticada.

<protocol name="https" .../>

username Nombre de usuario para establecer una conexión HTTP autenticada.

Por defecto, si no se especifica un valor para el atributo username o para el atributo pkcs12file la conexión se realiza de manera anónima.

password Contraseña del usuario para establecer una conexión HTTP autenticada.

pkcs12file Path completo del fichero .pfx para una conexión autenticada con certificados.

Por defecto, si no se especifica un valor para el atributo username o para el atributo pkcs12file la conexión se realiza de manera anónima.

pkcs12password Contraseña del fichero .pfx para la conexión autenticada con certificados.

<protocol name="ldap" .../>

ldapservername Nombre del servidor LDAP con el que se deberá establecer la conexión.

ldapserverport Puerto del servidor LDAP con el que se deberá establecer la conexión.


Atributo Valores Comentarios

ldapcontainer Permite especificar el Distinguished Name del contenedor LDAP a partir del cual se realizará la consulta.

El valor de ldapcontainer se concatena con el último elemento del DN especificado en la ruta de acceso LDAP original (extraída del CDP del certificado o configurada mediante el elemento <alternateurl>).

usessl true / false Aunque se especifique protocolo ldap, se puede forzar el uso de SSL indicando el valor true. El valor por defecto es false.

username Nombre de usuario para establecer una conexión LDAP autenticada.

Independientemente de lo que se configure en el atributo username, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.

password Contraseña del usuario para establecer una conexión LDAP autenticada.

ldapauthenticationtype

anonymous basic negotiate digest sicily dpa msn external kerberos

Permite especificar el tipo de autenticación que se utilizará para el acceso al directorio LDAP. El valor por defecto es anonymous.


Independientemente de lo que se configure en el atributo pkcs12file, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.


<protocol name="ldaps" .../>

ldapservername Nombre del servidor LDAP con el que Siempre se utilizará LDAP sobre SSL.


Atributo Valores Comentarios se deberá establecer la conexión.

ldapserverport Puerto del servidor LDAP con el que se deberá establecer la conexión.

ldapcontainer Permite especificar el Distinguished Name del contenedor LDAP a partir del cual se realizará la consulta.

El valor de ldapcontainer se concatena con el último elemento del DN especificado en la ruta de acceso LDAP original (extraída del CDP del certificado o configurada mediante el elemento <alternateurl>).

username Nombre de usuario para establecer una conexión LDAP autenticada

Independientemente de lo que se configure en el atributo username, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.

password Contraseña del usuario para establecer una conexión LDAP autenticada.

ldapauthenticationtype

anonymous basic negotiate digest sicily dpa msn external kerberos

Permite especificar el tipo de autenticación que se utilizará para el acceso al directorio LDAP. El valor por defecto es anonymous.


Independientemente de lo que se configure en el atributo pkcs12file, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.


<protocol name="ftp" .../>


Atributo Valores Comentarios username Nombre de usuario para establecer

una conexión FTP autenticada. Por defecto, si no se especifica un valor para el atributo username la conexión se realiza de manera anónima.

password Contraseña del usuario para establecer una conexión FTP autenticada.

usessl true / false Aunque se especifique protocolo FTP, se puede forzar el uso de SSL indicando el valor true. El valor por defecto es false.

<protocol name="ftps" .../>

username Nombre de usuario para establecer una conexión FTP autenticada.

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza de manera anónima.

password Contraseña del usuario para establecer una conexión FTP autenticada.

<protocol name="file" .../>

username Nombre de usuario para establecer un acceso usando el esquema file:// con conexión autenticada.

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza con las credenciales del usuario que ejecuta el pool de IIS.

password Contraseña del usuario para establecer una conexión file:// autenticada.

<protocol name="ocsp" .../>

pkcs12file Path completo del fichero .pfx que contiene el certificado con el que se firmarán las peticiones OCSP firmadas.

Si el OCSP responder al que se va a lanzar la consulta requiere que las peticiones vayan firmadas, se puede especificar en este atributo un fichero .pfx que contenga el certificado y la clave privada asociada con la que se firmarán las peticiones.


Atributo Valores Comentarios Por defecto, si no se especifica un valor para el atributo pkcs12file las peticiones OCSP se componen sin firmar.

pkcs12password Contraseña del fichero .pfx para la firma de peticiones OCSP.

includenonce true / false Indica si se desea incluir el valor aleatorio nonce definido en el protocolo OCSP. El valor por defecto es false.

username Nombre de usuario para establecer un acceso usando el esquema file:// con conexión autenticada

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza con las credenciales del usuario que ejecuta el pool de IIS.

password Contraseña del usuario para establecer una conexión file:// autenticada


2.4.23. Otros Aspectos de Configuración de Revoke Provider

A la hora de la correcta configuración del proveedor Revoke Provider es necesario tener en cuenta los siguientes aspectos:

15. Las peticiones OCSP tanto firmadas como no firmadas deben incluir el certificado emisor del certificado que se desea verificar. Para obtener este certificado emisor, Revoke Provider intenta construir la ruta de certificación. Es, por tanto, necesario que todos los certificados de dicha ruta se encuentren en los contenedores de certificados de confianza del equipo.

16. Por defecto, Revoke Provider valida que la CRL descargada esté firmada con algún certificado emitido por el mismo emisor que el certificado que se está validando. Esto implica, que los certificados emisores del certificado cuya CRL se pretenda descargar deben encontrarse en los contenedores de certificados de confianza del equipo.

17. Todos los nombres de los elementos XML de configuración deben expresarse en minúsculas puesto que las cadenas/documentos XML son case-sensitive,

2.4.24. Ejemplos de Configuración de Revoke Provider

En este apartado se recogen algunos ejemplos de documentos XML de configuración de Revoke Provider para algunos escenarios comunes.

• Configuración del acceso a un servidor HTTP autenticado con usuario y contraseña:

<configuration> <method>crl</method> <alternateurl>http://servername/myca.crl</alternateurl> <protocols>

<protocol name="http" username="Cuenta_de_usuario" password="Contraseña"/>

</protocols> </configuration>

• Configuración del acceso LDAP de la FNMT para certificados CERES:

La configuración que se añade en la instalación por defecto para el acceso al directorio LDAP de la Fábrica Nacional de Moneda y Timbre es la que se muestra a continuación. Es importante recalcar que, para poder acceder a dicho directorio, es necesario modificar la configuración incluyendo un username y una password válidos.

<configuration> <method>crl</method> <defaultprotocol>ldap</defaultprotocol> <protocols>

<protocol name="ldap" ldapservername="ldap.cert.fnmt.es" ldapserverport="389" ldapauthenticationtype="basic" username="CN=USUARIO_PENDIENTE_DE_CONFIGURAR" password="CONTRASEÑA_PENDIENTE_DE_CONFIGURAR"/>


Configuración del acceso al OCSP Responder del DNI electrónico:

La configuración que se añade en la instalación por defecto para las consultas al OCSP Responder del DNI electrónico es la que se muestra a continuación. Aunque los certificados de ciudadano contienen la


información adecuada para que Revoke Provider pueda acceder (sin necesidad de configuración) a este OCSP responder, esto no sucede así con el certificado raíz del DNI electrónico puesto que no posee ni la extensión AIA ni la extensión CDP, de ahí que se añada esta configuración:

<configuration> <method>ocsp</method> <alternateurl>http://ocsp.dnie.es</alternateurl>

</configuration>

Configuración del acceso a un OCSP Responder que requiera peticiones firmadas: <configuration>

<method>ocsp</method> <protocols>

<protocol name="ocsp" pkcs12file="\\MyServer\CertificateShare\SignedOCSP.pfx" pkcs12password="Contraseña" />


2.5. Configuración de Metashield En esta nueva versión de SealSign se ha integrado un nuevo servicio que ofrece una respuesta integral en la aplicación de políticas de prevención sobre la gestión documental de una organización.

Metashield y protege los entornos documentales mediante el análisis, filtrado y tratamiento de metadatos proporcionando a las organizaciones el máximo control sobre su información.

Con este servicio antes de firmar un documento con SealSign puede limpiar los metadatos del mismo mejorando la seguridad del documento a firmar y evitando que información adicional del documento sea visible ante una posible fuga de información.

Se puede encontrar toda la información referente en:

https://www.elevenpaths.com/es/tecnologia/metashield/index.html

A la hora de poder configurar Metashield vamos al menú de la izquierda y pinchamos sobre Metashield Settings.

Una vez dentro del menú para poder configurar los parámetros existentes y se habiliten todas las opciones es necesario marcar el check Clean Metadata.

Una vez marcado se habilitan las otras opciones de configuración:


- Metashield service URL: En este campo hay que indicar la dirección del servidor de metashield que esté instalado en su organización.

- Service Type: Son dos tipos de gestión de los documentos que se pueden realizar. o Standalone: Realiza una gestión individual y personalizada sobre el tipo de tratamiento

que quieras aplicar sobre los metadatos. Configura tus propias reglas y ponlas en práctica sobre los archivos documentales o multimedia que elijas, de manera sencilla protegiendo tu información.

o Corporate: Administra, centraliza y controla la aplicación de políticas preventivas de seguridad corporativas. Obtén información estadística de resultados en tiempo real incorporando la Consola de Administración de Metashield y controla la información oculta que pueda filtrar la red de tu organización.

Para más información https://www.elevenpaths.com/es/tecnologia/metashield/index.html

2.6. Configuración de Shadow En esta nueva versión de SealSign se ha integrado un nuevo servicio que permite la trazabilidad de los documentos mediante el uso de técnicas de marcas de agua digitales invisibles. Este servicio proporciona evidencias en caso de que se produzcan fugas de información confidencial, ayudando a la identificación de los responsables de la infracción.

Shadow convierte cada copia de un documento en única, gracias a la inserción de marcas de agua indetectables. De esta forma, Shadow consigue que cada copia sea singular y, al mismo tiempo, aparentemente idéntica al documento original. La información oculta, que permite identificar al propietario o al receptor del documento, es resistente a las distorsiones que se producen en el proceso de impresión y escaneado de documentos.

Shadow es capaz de detectar dónde se han producido las fugas de información y quién ha sido el responsable de las mismas, tanto si han sido accidentales como si han sido intencionadas.

Se puede encontrar toda la información referente en:

https://www.elevenpaths.com/es/tecnologia/shadow/index.html


A la hora de poder configurar Shadow vamos al menú de la izquierda y pinchamos sobre Shadow Settings.

Una vez dentro del menú para poder configurar los parámetros existentes y se habiliten todas las opciones es necesario marcar el check Insert Mask.

Una vez marcado se habilitan las otras opciones de configuración:

- URL: En este campo hay que indicar la dirección del servidor de Shadow. - User Account: Usuario del servicio de shadow. - Password: Contraseña del servicio de shadow. - Mark Lenght: Es la longitud de la marca de agua.

Para más información https://www.elevenpaths.com/es/tecnologia/shadow/index.html


2.7. Configuración de parámetros de Firma Electrónica SealSign DSS permite realizar la configuración de algunos parámetros de firma electrónica de manera general y centralizada. Para configurar estos parámetros el administrador puede realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar parámetros de firma electrónica del grupo Tareas Relativas a la Firma Electrónica y Verificación o bien seleccionar el enlace Parámetros de Firma del menú de la izquierda.

3. En la página de parámetros de firma se pueden configurar los siguientes valores:

a. Parámetros Generales de Firma:

i. El campo Comprobar Cadena de Certificación del Certificado Firmante indica si el servidor deberá construir la cadena de certificados correspondiente al certificado de firma recibido, de manera que, si la cadena no es válida y de confianza en el servidor de SealSign, el servidor retornará un error en el proceso de firma.

ii. El campo Comprobar Estado de Revocación indica si el servidor deberá verificar si el certificado de firma recibido está revocado o no, de manera que, si el certificado está revocado, el servidor retornará un error en el proceso de firma.

iii. El campo Servidor de Sellado de Tiempo por Defecto permite seleccionar, de la lista de servidores de sellado de tiempo configurados en SealSign, cuál se utilizará en las operaciones de firma que requieran sellos de tiempo.

iv. El campo Servidor de Backup de Sellado de Tiempo por Defecto permite seleccionar, de la lista de servidores de sellado de tiempo configurados en SealSign, cuál se utilizará en las operaciones de firma que requieran sellos de tiempo en el servidor de BackUp.

b. Firma de Documentos XML (XAdES):

i. El campo Añadir Transformación XPath de Eliminación de Firmas indica si el servidor aplicará la plantilla de transformación XPath para la eliminación de firmas previas antes de realizar la firma de un documento XML.

ii. El campo Firma XAdES-X de Tipo 2 permite configurar que las firmas con el perfil XAdES-X y XAdES-XL cumplan con el tipo 2 del estándar XAdES-X en lugar de ser de tipo 1 (valor por defecto).

c. Firma de Mensajes CMS (CAdES):

i. El campo Firma CAdES-X de Tipo 2 permite configurar que las firmas con el perfil CAdES-X y CAdES-XL cumplan con el tipo 2 del estándar CAdES-X en lugar de ser de tipo 1 (valor por defecto).

d. Firma de Documentos PDF (PAdES Basic):


i. El campo Incluir Timestamp permite configurar si se incluir un sello de tiempo a la hora de firmar documentos PDF.

ii. El campo Incluir Información de Revocación indica si dentro de la firma se incluirán las CRLs o respuestas OCSPs relacionadas con los certificados involucrados en el proceso.

iii. El campo Visualizar Widget de Firma indica si el documento PDF resultante tras la firma mostrará el visualizador (Widget) de firma con la información de la misma.

iv. El campo Posicionar Widget Automáticamente indica si el visualizador de firma se posiciona automáticamente o si se deben utilizar los valores configurados en los 2 siguientes campos. Si el Widget se posiciona automáticamente aparecerá en la esquina superior derecha del documento PDF resultante.

v. El campo Posición del Widget - Coordenada X permite configurar la coordenada X de la posición del Widget en pixels desde el ángulo inferior izquierdo de la página.

vi. El campo Posición del Widget - Coordenada Y permite configurar la coordenada Y de la posición del Widget en pixels desde el ángulo inferior izquierdo de la página.

vii. El campo Tamaño Automático del Widget indica si el visualizador de firma se redimensionará automáticamente o si se deben utilizar los valores configurados en los 2 siguientes campos.

viii. El campo Alto del Widget permite configurar, en pixels, la altura del visualizador de firma.

ix. El campo Ancho del Widget permite configurar, en pixels, la anchura del visualizador de firma.

x. El campo Rotación del Widget permite seleccionar el ángulo de rotación del visualizador de firma. Los posibles valores son 0º, 90º, 180º y 270º.

xi. El campo Incluir Widget en Todas las Páginas indica si el visualizador de firma se mostrará en todas las páginas del documento.

xii. El campo Incluir Widget Sólo en la Página Número indica el número de la página en la que se mostrará el visualizador de firma.

xiii. El campo Incluir Imagen de Fondo permite configurar la inclusión de una imagen en el Widget de firma.

xiv. El campo Imagen de Fondo permite seleccionar un fichero con la imagen que se mostrará como fondo del Widget. Es importante mencionar que el fichero debe estar en formato JPEG 2000 y que un fichero JPEG normal no es válido como imagen de fondo.

xv. El campo Alto de la Imagen permite configurar, en pixels, la altura que tiene la imagen seleccionada en el campo anterior.


xvi. El campo Ancho de la Imagen permite configurar, en pixels, la anchura que tiene la imagen seleccionada en el campo Imagen de Fondo.

xvii. El campo Autoajustar Imagen indica si la imagen de fondo se estirará para cubrir el ancho del visualizador de firma


2.8. Configuración de parámetros de Verificación de Firma Electrónica SealSign DSS permite realizar la configuración de algunos parámetros que regirán el proceso de verificación de firma electrónica. Dicha configuración se realiza mediante los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar parámetros de verificación de firma electrónica del grupo Tareas Relativas a la Firma Electrónica y Verificación o bien seleccionar el enlace Parámetros de Verificación del menú de la izquierda.

3. En la página de parámetros de verificación firma se pueden configurar los siguientes valores:

a. El campo Comprobar Cadena de Certificación del Certificado Firmante indica si el servidor deberá construir la cadena de certificados correspondiente al certificado de firma, de manera que, si la cadena no es válida y de confianza en el servidor de SealSign, el servidor retornará un error en el proceso de verificación.

b. El campo Comprobar Estado de Revocación indica si el servidor deberá verificar si el certificado de firma está revocado o no, de manera que, si el certificado está revocado, el servidor retornará un error en el proceso de verificación.

c. El campo Incluir información extendida de los sellos de tiempo indica si en la respuesta del proceso de verificación se incluirá la información correspondiente a cada uno de los sellos de tiempo y sus firmas.

d. El campo Incluir únicamente firmas de tipo documento en los archivos PDF indica si el proceso de verificación de documentos PDF deberá incluir todas las firmas extendidas (por ejemplo, las firmas de cifrado de PDF) o solamente las firmas de tipo documento (las de usuario).


2.9. Gestión de claves centralizadas Dentro de las funcionalidades provistas por SealSign DSS está la posibilidad de realizar firma electrónica de documentos con certificados almacenados en el servidor. Los certificados de servidor de SealSign DSS pueden residir dentro de la plataforma de firma o referenciar almacenes externos Windows y PKCS#11. El administrador deberá configurar qué certificados de servidor van a poderse usar y quién va a tener acceso a cada uno de ellos para las operaciones de firma realizadas por la plataforma.


2.9.1. Gestión de certificados de servidor

En este menú de la administración se pueden añadir las referencias a certificados tanto internos como externos que posteriormente estarán disponibles para la creación de Reglas de Uso en los mismos.

Consulta de la lista de certificados de servidor

Para ver la lista de los certificados de servidor disponibles se pueden realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar certificados de servidor del grupo Tareas Relativas a Certificados de Servidor o bien seleccionar el enlace Certificados de Servidor del menú de la izquierda llamado Claves Centralizadas.

3. Aparecerá la lista de todos los certificados de servidor que podrán ser utilizados en los procesos de firma.

Añadir un nuevo certificado de servidor

Para añadir un nuevo certificado de servidor a la lista, se pueden realizar los siguientes pasos:

1. En la página principal de la web de Administración se deberá seleccionar el enlace Importar un nuevo certificado de servidor del grupo Tareas Relativas a Certificados de Servidor. Existe también un enlace desde la lista de certificados de servidor consultada en el apartado anterior.

2. En la página de certificados de servidor configurar los siguientes valores:

a. El campo Fichero permite seleccionar el fichero .pfx que contiene el certificado que será importado dentro del almacén de certificados de SealSign.

b. En el campo Contraseña deberá indicarse la contraseña que tiene el fichero seleccionado en el campo anterior.

c. En el valor Recordar Contraseña se especificará si el servidor deberá almacenar la contraseña de este fichero para no volver a requerirla cuando se vaya a usar el certificado o si, por el contrario, se requerirá al usuario que proporcione esta contraseña cada vez.

d. El campo Nombre Descriptivo permite, opcionalmente, indicar una descripción más extensa del certificado.

e. El campo Administrado Únicamente por el Propietario permite al propietario del certificado restringir la gestión y uso del certificado únicamente a su usuario de Windows. De esta forma, ningún otro usuario ni administrador del sistema podrán hacer uso del mismo.

f. El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario del nuevo certificado y que, por tanto, tendrá acceso al mismo. Además del propietario es posible crear delegados que también podrán hacer uso de este certificado. La creación de delegados se realiza modificando la configuración del certificado de servidor tras añadirlo por primera vez.


g. En el valor Requerir Contraseña SealSign se puede forzar la necesidad de crear una contraseña específica de SealSign necesaria cada vez que se vaya a usar el certificado dentro de la plataforma.

h. El campo Contraseña SealSign se configurará la contraseña comentada en el campo anterior.

3. Pulsando el botón Importar el certificado quedará guardado dentro del almacén de certificados de SealSign.

Añadir una referencia a un certificado externo de servidor

Cuando el certificado esté almacenado en un lugar externo al almacén de certificados servidor de SealSign, será necesario añadir una referencia al mismo en la configuración de los certificados de servidor. Para ello se deberán realizar los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Añadir una referencia a un certificado externo de servidor del grupo Tareas Relativas a Certificados de Servidor. Existe también un enlace desde la lista de certificados de servidor consultada en el apartado anterior.

2. En la página de referencias de certificados de servidor configurar los siguientes valores:

a. En el campo Tipo de Almacén se seleccionará que tipo de almacén contiene el certificado. En concreto se puede seleccionar entre los valores:

i. WindowsStore para certificados guardados en el almacén de certificados del usuario actual de Windows.

ii. WindowsSystemStore para certificados guardados en el almacén de certificados de equipo del servidor de SealSign.

iii. PKCS11Store para certificados guardados en almacenes externos accesibles mediante un módulo PCKS#11.

b. Tras seleccionar el tipo de almacén, se deberá pulsar el botón Seleccionar Certificado. Aparecerá una ventana que o bien mostrará los certificados disponibles (WindowsStore y WindowsSystemStore) o bien solicitará la selección del Proveedor PKCS#11, el Slot y la Contraseña para acceso al certificado (PKCS11Store).

c. Una vez seleccionado el certificado, la página mostrará el Asunto, Número de Serie, Entidad Emisora, Fechas de Validez y si hay una Contraseña Requerida por el Almacén.

d. El campo Nombre Descriptivo permite, opcionalmente, indicar una descripción más extensa del certificado.

e. El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario del nuevo certificado y que, por tanto, tendrá acceso al mismo. Además del propietario es posible crear delegados que también podrán hacer uso de este certificado. La creación de delegados se realiza modificando la configuración del certificado de servidor tras añadirlo por primera vez.


f. En el valor Recordar Contraseña se especificará si el servidor deberá almacenar la contraseña de este certificado para no volver a requerirla cuando se vaya a usar o si, por el contrario, se requerirá al usuario que proporcione esta contraseña cada vez.

g. En el campo Contraseña deberá indicarse la contraseña que tiene el certificado seleccionado.

h. En el valor Requerir Contraseña SealSign se puede forzar la necesidad de crear una contraseña específica de SealSign necesaria cada vez que se vaya a usar el certificado dentro de la plataforma.

i. El campo Contraseña SealSign se configurará la contraseña comentada en el campo anterior.

3. Pulsando el botón Insertar el certificado quedará guardado dentro del almacén de certificados de SealSign.

SealSign Certificates Expiration Service. Configuración SMTP

Esta configuración es necesaria para utilizar el servicio de Windows SealSign Certificates Expiration Service.

El servicio permite de forma automática enviar diariamente un listado por correo de todos los certificados caducados y a punto de caducar de todos los usuarios, así como enviar un listado a cada usuario con sus certificados a punto de caducar.

Se lleva a cabo desde la web de administración de SealSign:

La configuración esta dividida en 2 partes. Los parámetros del envió de correos a través de SMTP y los parámetros de expiración de certificados.

Configuración del servidor SMTP:


• Email para configurar la cuenta SMTP: Email para configurar la cuenta SMTP. • Contraseña de la cuenta SMTP: Contraseña del correo de configuración SMTP. • Dirección del servidor SMTP de la cuenta configurada: Servidor SMTP de la cuenta

configurada. • Puerto SMTP: Puerto de servidor SMTP. • Email que aparece como remitente: Email que aparecerá como remitente. • Nombre que se mostrará en el remitente: Nombre que se mostrará en el

remitente. • TLS/SSL: Si la cuenta SMTP utiliza esta configuración.

Parámetros del servicio de caducidad de certificados:

• Emails de los usuarios generales, separados por (;): Listado de los correos a los

cuales se les enviará diariamente el listado de todos los certificados caducados y a punto de caducar de todos los usuarios. Los correos de este listado deben ir separados por punto y coma.

• Número de días de aviso de certificados caducados: Tiempo en días, anterior a la fecha actual en el que se notificará de la existencia de un certificado caducado. Si un certificado lleva caducado más tiempo que el configurado en este campo, se dejará de informar de su caducidad.


• Días de notificación de certificados a punto de caducar: Tiempo en días, posterior a la fecha actual en el que se notificará de la existencia de un certificado a punto de caducar.

• Hora de envío de notificaciones (hh:mm): Es momento en el que se ejecutará el servicio de envío de email. Debe tener el siguiente formato hh:mm.

• Destinatarios de las notificaciones: Configuración de los usuarios a los que se les enviará por correo la información de los certificados caducados y a punto de caducar.

o Ninguno: A nadie. o Usuarios de los certificados: Envío de notificaciones de los certificados a

punto de caducar a los usuarios de los certificados. o Usuarios generales: Envío de notificaciones de los certificados caducados y

a punto de caducar a los usuarios configurados en “Emails de los usuarios generales separados por (;)”.

o Todos: Tanto a los usuarios de los certificados como a los usuarios generales.

Después de modificar la configuración es recomendable reiniciar el servicio SealSign Certificates Expiration Service.

Modificar un certificado de servidor

Para modificar la configuración de un proveedor PKCS#11 se pueden realizar los siguientes pasos:

1. Acceder a los certificados de servidor, para ello, en la página principal seleccionar el enlace Gestionar certificados de servidor del grupo Tareas Relativas a Certificados de Servidor o bien seleccionar el enlace Certificados de Servidor del menú de la izquierda.

2. En la lista de certificados de servidor seleccionar el enlace del certificado que se desea modificar.

3. Pulsando el botón Guardar se actualizará la configuración del certificado en el servidor.

• Nuevas funciones del certificado a modificar un certificado de servidor

Una vez hemos añadido un certificado en el servidor, el administrador realizar dos operaciones adicionales:

1. Cambiar la contraseña al certificado, pero para ello tiene que conocer la antigua.

2. Y puede bloquear el certificado para que no se pueda utilizar.

3. Pulsando el botón Guardar se actualizará la configuración del certificado en el servidor.


• Operaciones sobre el certificado de un usuario

La administración y configuración del certificado de usuario por parte de SealSign DSS se realiza de manera centralizada mediante la web de usuario. Para abrir esta, simplemente será necesario ejecutar una instancia en un navegador hasta la dirección http://servername:portnumber/SealSignDSSWeb/users/ y se pedirá usuario/contraseña para poder acceder a la web de administración del usuario y sus certificados.

Una vez dentro de la web del usuario, él puede realizar diferentes operaciones: • Añadir un nuevo certificado de servidor


Para añadir un nuevo certificado de servidor a la lista, se pueden realizar los siguientes pasos:

1. En la página principal de la web deberá seleccionar el enlace Importar un nuevo certificado de servidor.

2. En la página de certificados de servidor configurar los siguientes valores:

• El campo Fichero permite seleccionar el fichero .pfx que contiene el certificado que será importado dentro del almacén de certificados de SealSign.

• En el campo Contraseña deberá indicarse la contraseña que tiene el fichero seleccionado en el campo anterior.

• En el valor Recordar Contraseña se especificará si el servidor deberá almacenar la contraseña de este fichero para no volver a requerirla cuando se vaya a usar el certificado o si, por el contrario, se requerirá al usuario que proporcione esta contraseña cada vez.

• El campo Nombre Descriptivo permite, opcionalmente, indicar una descripción más extensa del certificado.

• El campo Administrado Únicamente por el Propietario permite al propietario del certificado restringir la gestión y uso del certificado únicamente a su usuario de Windows. De esta forma, ningún otro usuario ni administrador del sistema podrán hacer uso del mismo.

• El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario del nuevo certificado y que, por tanto, tendrá acceso al mismo. Además del propietario es posible crear delegados que también podrán hacer uso de este certificado. La creación de delegados se realiza modificando la configuración del certificado de servidor tras añadirlo por primera vez.

• En el valor Requerir Contraseña SealSign se puede forzar la necesidad de crear una contraseña específica de SealSign necesaria cada vez que se vaya a usar el certificado dentro de la plataforma.

• El campo Contraseña SealSign se configurará la contraseña comentada en el campo anterior.

• EL campo Emparejar con Latch que permite proteger asociar el certificado a una app móvil Latch, que permite autorizar el uso del certificado.

• Pulsando el botón Importar el certificado quedará guardado dentro del almacén de certificados de SealSign. • Añadir una referencia a un certificado externo de servidor

Cuando el certificado esté almacenado en un lugar externo al almacén de certificados servidor de SealSign, será necesario añadir una referencia al mismo en la configuración de los certificados de servidor. Para ello se deberán realizar los siguientes pasos:

3. En la página principal de la web de Administración seleccionar el enlace Añadir una referencia a un certificado externo de servidor del grupo Tareas Relativas a Certificados de Servidor. Existe también un enlace desde la lista de certificados de servidor consultada en el apartado anterior.


4. En la página de referencias de certificados de servidor configurar los siguientes valores:

• En el campo Tipo de Almacén se seleccionará que tipo de almacén contiene el certificado. En concreto se puede seleccionar entre los valores:

o WindowsStore para certificados guardados en el almacén de certificados del usuario actual de Windows.

o WindowsSystemStore para certificados guardados en el almacén de certificados de equipo del servidor de SealSign.

o PKCS11Store para certificados guardados en almacenes externos accesibles mediante un módulo PCKS#11.

• Tras seleccionar el tipo de almacén, se deberá pulsar el botón Seleccionar Certificado. Aparecerá una ventana que o bien mostrará los certificados disponibles (WindowsStore y WindowsSystemStore) o bien solicitará la selección del Proveedor PKCS#11, el Slot y la Contraseña para acceso al certificado (PKCS11Store).

• Una vez seleccionado el certificado, la página mostrará el Asunto, Número de Serie, Entidad Emisora, Fechas de Validez y si hay una Contraseña Requerida por el Almacén.

• El campo Nombre Descriptivo permite, opcionalmente, indicar una descripción más extensa del certificado.

• El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario del nuevo certificado y que, por tanto, tendrá acceso al mismo. Además del propietario es posible crear delegados que también podrán hacer uso de este certificado. La creación de delegados se realiza modificando la configuración del certificado de servidor tras añadirlo por primera vez.

• En el valor Recordar Contraseña se especificará si el servidor deberá almacenar la contraseña de este certificado para no volver a requerirla cuando se vaya a usar o si, por el contrario, se requerirá al usuario que proporcione esta contraseña cada vez.

• En el campo Contraseña deberá indicarse la contraseña que tiene el certificado seleccionado.

• En el valor Requerir Contraseña SealSign se puede forzar la necesidad de crear una contraseña específica de SealSign necesaria cada vez que se vaya a usar el certificado dentro de la plataforma.

• El campo Contraseña SealSign se configurará la contraseña comentada en el campo anterior.

• EL campo Emparejar con Latch que permite proteger asociar el certificado a una app móvil Latch, que permite autorizar el uso del certificado

• Pulsando el botón Insertar el certificado quedará guardado dentro del almacén de certificados de SealSign. • Opciones Latch- error al pinchar


2.9.2. Reglas de Uso

SealSign DSS permite la asociación de los certificados centralizados en las plataformas a reglas de uso que definirán quién y cómo puede utilizarlos.

• Consulta de la lista de Reglas de Uso

Para ver la lista de Reglas de Uso disponibles se pueden realizar los siguientes pasos:


• En menú de la izquierda seleccionar el enlace Reglas de Uso del grupo Claves Centralizadas.

• Aparecerá la lista de todas las reglas de uso que están disponibles. • Añadir una nueva Regla de Uso

Para añadir una nueva Regla de Uso a la lista, se pueden realizar los siguientes pasos:

1. Seleccionamos el enlace Añadir una nueva regla de uso desde la lista de reglas de uso consultada en el apartado anterior.

• En la página de reglas de uso de certificados de servidor configurar los siguientes valores:

5. El campo Nombre nos permite asignar una clave identificativa a la regla de uso.

6. El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario de la nueva regla de uso.

7. El campo Descripción permite, opcionalmente, indicar una descripción más extensa de la regla de uso.

8. El campo Válido Desde indica desde cuando la regla de uso estará vigente, pudiendo usar por tanto los certificados asociados a la misma.

9. El campo Válido Hasta indica hasta cuando la regla de uso estará vigente.

• Pulsando el botón Insertar la regla de uso quedará guardada. • Modificar una Regla de Uso

Para modificar la configuración de una regla de uso se pueden realizar los siguientes pasos:

1. Seleccionamos la regla de uso a modificar desde la lista de reglas de uso consultada en el apartado Consulta de la Lista de Reglas de Uso. En la página de edición de la regla de uso, se pueden gestionar los Parámetros Generales que se introdujeron en la inserción de la regla de uso además de los Filtros de Uso. Estos filtros se dividen en las siguientes categorías:

10. Certificados: En este apartado gestionamos que certificados están asociados a la regla de uso.

11. Usuarios Autorizados: En este apartado gestionamos que usuarios tienen acceso a la regla de uso además de indicar durante cuánto tiempo mediante las fechas Valido Desde y Valido Hasta.

12. Equipos: En este apartado gestionamos desde que maquinas se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda


utilizar únicamente desde una serie de máquinas especificadas en la regla. Este filtro admite como carácter comodín el %.

13. Procesos: En este apartado gestionamos desde que procesos (nombre del ejecutable Windows) se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una serie de procesos especificados en la regla. Este filtro admite como carácter comodín el %.

14. URLs: En este apartado gestionamos desde que URL se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una serie de URL especificados en la regla. Este filtro admite como carácter comodín el %. Este filtro solo aplica al navegador Internet Explorer, es decir, al proceso iexplore.exe.

• Pulsando el botón Guardar se actualizará la configuración de la regla de uso. • Eliminar una Regla de Uso

Para eliminar una regla de uso se pueden realizar los siguientes pasos:

1. Acceder a la lista de reglas de uso, para ello, en menú de la izquierda seleccionar el enlace Reglas de Uso del grupo Claves Centralizadas.

• En la lista de reglas de uso, pulsar la Cruz que se encuentra a la izquierda de la regla de uso que se desee eliminar.

Eliminar un certificado de servidor

Para eliminar un certificado de servidor se pueden realizar los siguientes pasos:

1. Acceder a los certificados de servidor, para ello, en la página principal seleccionar el enlace Gestionar certificados de servidor del grupo Tareas Relativas a Certificados de Servidor o bien seleccionar el enlace Certificados de Servidor del menú de la izquierda.

• En la lista de certificados de servidor, pulsar la Cruz que se encuentra a la izquierda del certificado que se desee eliminar.

Repositorio Seguro

SealSign DSR permite realizar la configuración los parámetros funcionales del repositorio seguro de

documentos. Para configurar estos parámetros el administrador puede realizar los siguientes pasos: Búsqueda en el repositorio de DSR

Para facilitar la administración de DSR y la gestión de su contenido se ha desarrollado una página

específica dentro de la administración para la búsqueda de objetos documentales insertados en DSR.

Para realizar una búsqueda en DSR:

1. Abrir la web de administración de SealSign.

2. En la página principal seleccionar el enlace Búsqueda en Repositorio del grupo Tareas Relativas al Repositorio Seguro de Documentos o bien seleccionar el enlace Búsqueda en Repositorio del apartado Repositorio Seguro del menú de la izquierda.


3. En la página de búsqueda se pueden configurar los siguientes filtros:

a. Fecha de Inicio, indica que solo aparecerán en la búsqueda objetos documentales insertados con fecha de inserción mayor o igual a la fecha de inicio indicada.

b. Fecha de Fin, indica que solo aparecerán en la búsqueda objetos documentales insertados con fecha de inserción menor o igual a la fecha de fin indicada.

c. Nombre de Fichero, indica que solo aparecerán en la búsqueda objetos documentales insertados cuyo nombre sea igual al nombre indicado. Para facilitar la búsqueda se puede utilizar comodines. El carácter comodín es %.

d. Path de Fichero, indica que solo aparecerán en la búsqueda objetos documentales insertados cuyo Path de inserción sea igual al Path indicado. Para facilitar la búsqueda se puede utilizar comodines. El carácter comodín es %.

e. Urn de Fichero, indica que solo aparecerán en la búsqueda objetos documentales insertados cuyo Urn de inserción sea igual al Urn indicado. Para facilitar la búsqueda se puede utilizar comodines. El carácter comodín es %. El Urn es el identificador global que utiliza DSR para los objetos documentales insertados.

f. Criterio de Búsqueda, que indica una sentencia de búsqueda similar a las utilizadas en las cláusulas WHERE de SQL. Los datos sobre los que se puede establecer un criterio de búsqueda son:

i. Name ii. Path

iii. Uri iv. Owner v. InsertionDate

vi. LastAccessDate vii. LastSignedDate

viii. UrlSource

ix. WebPreview x. MimeType

Un ejemplo de criterio de búsqueda seria:

“NAME LIKE ‘%’ OR PATH LIKE ‘%’”

Si existen metadatos asociados al repositorio, estos se pueden utilizar en los criterios

de búsqueda.

Ejemplo:

“NAME LIKE ‘%’ AND METADATA1 LIKE ‘%’”

Pulsar el botón Buscar y aparecerán los resultados de la búsqueda según los filtro

proporcionados. Se puede acceder al contenido del documento haciendo click en el link asociado al mismo.


Reglas de Uso

SealSign DSS permite la asociación de los certificados centralizados en las plataformas a reglas de uso que definirán quién y cómo puede utilizarlos.

• Consulta de la lista de Reglas de Uso

Para ver la lista de Reglas de Uso disponibles se pueden realizar los siguientes pasos:


2. En menú de la izquierda seleccionar el enlace Reglas de Uso del grupo Claves Centralizadas.

3. Aparecerá la lista de todas las reglas de uso que están disponibles.

Añadir una nueva Regla de Uso

Para añadir una nueva Regla de Uso a la lista, se pueden realizar los siguientes pasos:

1. Seleccionamos el enlace Añadir una nueva regla de uso desde la lista de reglas de uso consultada en el apartado anterior.

• En la página de reglas de uso de certificados de servidor configurar los siguientes valores:

i. El campo Nombre nos permite asignar una clave identificativa a la regla de uso.

ii. El campo Propietario indica el nombre de la cuenta de usuario de Windows que actuará como propietario de la nueva regla de uso.

iii. El campo Descripción permite, opcionalmente, indicar una descripción más extensa de la regla de uso.

iv. El campo Válido Desde indica desde cuando la regla de uso estará vigente, pudiendo usar por tanto los certificados asociados a la misma.

v. El campo Válido Hasta indica hasta cuando la regla de uso estará vigente.

• Pulsando el botón Insertar la regla de uso quedará guardada. • Modificar una Regla de Uso

Para modificar la configuración de una regla de uso se pueden realizar los siguientes pasos:

a. Seleccionamos la regla de uso a modificar desde la lista de reglas de uso consultada en el apartado Consulta de la Lista de Reglas de Uso. En la página de edición de la regla de uso, se pueden gestionar los Parámetros Generales que se introdujeron en la inserción de la regla de uso además de los Filtros de Uso. Estos filtros se dividen en las siguientes categorías:

b. Certificados: En este apartado gestionamos que certificados están asociados a la regla de uso.

c. Usuarios Autorizados: En este apartado gestionamos que usuarios tienen acceso a la regla de uso además de indicar durante cuánto tiempo mediante las fechas Valido Desde y Valido Hasta.


d. Equipos: En este apartado gestionamos desde que maquinas se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una serie de máquinas especificadas en la regla. Este filtro admite como carácter comodín el %.

e. Procesos: En este apartado gestionamos desde que procesos (nombre del ejecutable Windows) se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una serie de procesos especificados en la regla. Este filtro admite como carácter comodín el %.

f. URLs: En este apartado gestionamos desde que URL se tiene acceso a la regla de uso. Con este filtro podemos configurar que un certificado para firmar una transacción se pueda utilizar únicamente desde una serie de URL especificados en la regla. Este filtro admite como carácter comodín el %. Este filtro solo aplica al navegador Internet Explorer, es decir, al proceso iexplore.exe.

• Pulsando el botón Guardar se actualizará la configuración de la regla de uso. • Eliminar una Regla de Uso

Para eliminar una regla de uso se pueden realizar los siguientes pasos:

1. Acceder a la lista de reglas de uso, para ello, en menú de la izquierda seleccionar el enlace Reglas de Uso del grupo Claves Centralizadas.

2. En la lista de reglas de uso, pulsar la Cruz que se encuentra a la izquierda de la regla de uso que se desee eliminar.

2.10. Repositorio Seguro

2.10.1. Configuración de parámetros DSR

SealSign DSR permite realizar la configuración de los parámetros funcionales del repositorio seguro de documentos. Para configurar estos parámetros el administrador puede realizar los siguientes pasos:

1. En la página principal seleccionar el enlace Configurar parámetros de acceso al repositorio del grupo Tareas Relativas al Repositorio Seguro de Documentos o bien seleccionar el enlace Configuración del Almacén del apartado Repositorio Seguro del menú de la izquierda.

2. En la página se pueden configurar los siguientes valores:

i. El campo Nombre del Repositorio indica un nombre de repositorio genérico para el Almacén Seguro de Documentos.

ii. El campo Certificado para el Cifrado del Repositorio configura el certificado de servidor con el que se realizara el cifrado de los documentos insertados en el Almacén Seguro de Documentos. Este certificado deberá haber sido añadido previamente al repositorio central de certificados de SealSign DSS.

iii. El campo Certificado para la Firma de Documentos configura el certificado de servidor con el que se realizara la firma electrónica de los documentos insertados en el Almacén


Seguro de Documentos. Esta firma electrónica es la encargada de mantener la integridad de los documentos insertados en el Almacén. Este certificado deberá haber sido añadido previamente al repositorio central de certificados de SealSign DSS.

iv. El campo Perfil de Firma indica el formato de firma electrónica avanzada que se aplicará a los documentos insertados en el Almacén Seguro de Documentos.

v. El campo Algoritmo de Función Resumen (Hash) indica la función de Hash que se utilizara para la realización de la firma electrónica de los documentos insertados en el Almacén Seguro de Documentos.

vi. El campo Periodo de Refirmado (Meses) indica cada cuantos meses es necesario realizar el refirmado y resellado de tiempo de los documentos existentes en el Almacén Seguro de Documentos.

vii. El campo Nivel de Compresión indica que nivel de compresión (LZMA2) se aplicara a los documentos insertados en el Almacén Seguro de Documentos.


2.10.2. Gestión de propiedades de DSR

Los objetos documentales insertados en DSR pueden contener metadatos asociados que se pueden

definir desde la herramienta de administración. Para ello:


2. En la página principal seleccionar el enlace Gestionar Propiedades de los documentos del grupo Tareas Relativas al Repositorio Seguro de Documentos o bien seleccionar el enlace Gestión de Propiedades del apartado Repositorio Seguro del menú de la izquierda.

3. En la página se pueden dar de alta las propiedades de la siguiente forma:

i. Hacer click en el enlace Añadir una nueva Propiedad. Aparecerá una nueva ventana con los parámetros de la propiedad.

ii. Dar un Nombre a la propiedad

iii. Establecer un Tipo para la propiedad. Estos pueden ser: a. Boolean b. String c. DateTime d. Number e. AnsiString

iv. Hacer click en el botón Insertar para guardar la nueva propiedad asociada a los documentos insertados en DSR.

4. Para dar de baja las propiedades, únicamente haga click en el símbolo X de la propiedad correspondiente.


2.10.3. Búsqueda en el repositorio de DSR

Para facilitar la administración de DSR y la gestión de su contenido se ha desarrollado una página específica dentro de la administración para la búsqueda de objetos documentales insertados en DSR.

• Para realizar una búsqueda en DSR:


2. En la página principal seleccionar el enlace Búsqueda en Repositorio del grupo Tareas Relativas al Repositorio Seguro de Documentos o bien seleccionar el enlace Búsqueda en Repositorio del apartado Repositorio Seguro del menú de la izquierda.

3. En la página de búsqueda se pueden configurar los siguientes filtros: a. Fecha de Inicio, indica que solo aparecerán en la búsqueda objetos documentales

insertados con fecha de inserción mayor o igual a la fecha de inicio indicada. b. Fecha de Fin, indica que solo aparecerán en la búsqueda objetos documentales

insertados con fecha de inserción menor o igual a la fecha de fin indicada. c. Nombre de Fichero, indica que solo aparecerán en la búsqueda objetos

documentales insertados cuyo nombre sea igual al nombre indicado. Para facilitar la búsqueda se puede utilizar comodines. El carácter comodín es %.

d. Path de Fichero, indica que solo aparecerán en la búsqueda objetos documentales insertados cuyo Path de inserción sea igual al Path indicado. Para facilitar la búsqueda se puede utilizar comodines. El carácter comodín es %.

e. Urn de Fichero, indica que solo aparecerán en la búsqueda objetos documentales insertados cuyo Urn de inserción sea igual al Urn indicado. Para facilitar la búsqueda se puede utilizar comodines. El carácter comodín es %. El Urn es el identificador global que utiliza DSR para los objetos documentales insertados.

f. Criterio de Búsqueda, que indica una sentencia de búsqueda similar a las utilizadas en las cláusulas WHERE de SQL. Los datos sobre los que se puede establecer un criterio de búsqueda son:

i. Name ii. Path

iii. Uri iv. Owner v. InsertionDate

vi. LastAccessDate vii. LastSignedDate

viii. UrlSource ix. WebPreview x. MimeType

Un ejemplo de criterio de búsqueda seria:


“NAME LIKE ‘%’ OR PATH LIKE ‘%’”

Si existen metadatos asociados al repositorio, estos se pueden utilizar en los criterios de búsqueda.

Ejemplo:

“NAME LIKE ‘%’ AND METADATA1 LIKE ‘%’”

Pulsar el botón Buscar y aparecerán los resultados de la búsqueda según los filtro proporcionados. Se puede acceder al contenido del documento haciendo click en el link asociado al mismo.

2.11. Configuración de la autoridad local de Sellado de Tiempo SealSign DSS permite tanto utilizar una autoridad local para crear los sellos de tiempo de las firmas electrónicas como utilizar proveedores externos de sellado de tiempo.

Para configurar la autoridad local de sellado de tiempo de SealSign se deben realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Configurar la autoridad de sellado de tiempo local del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Autoridad Local del menú de la izquierda.

3. En la página de configuración de la autoridad local de sellado de tiempo se pueden configurar los siguientes valores:

4. El campo Certificado de Servidor de Sellado de Tiempo permite seleccionar el certificado que se utilizará para firmar los sellos de tiempo emitidos por la autoridad local. Este certificado de servidor deberá haber sido incluido en la lista de certificados de servidor tal y como se explica en el apartado de Gestión de Certificados de Servidor.

5. El campo Almacenar Evidencias Digitales Emitidas permite configurar si el servidor deberá guardar una copia de los sellos de tiempo emitidos o no por si es necesario realizar un análisis posterior de los mismos.


2.12. Gestión de servidores de Sellado de Tiempo En aquellos escenarios en los que se deseen utilizar autoridades de sellado de tiempo externas será necesario añadir los parámetros de conexión adecuados en la configuración de SealSign DSS.

2.12.1. Consulta de la lista de servidores de Sellado de Tiempo

Para ver la lista de los servidores de sellado de tiempo disponibles se pueden realizar los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar conexiones a autoridades de sellado del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Servidores TSA del menú de la izquierda.


3. Aparecerá la lista de todos los servidores de sellado de tiempo que podrán ser utilizados en los procesos de firma.

2.12.2. Añadir un nuevo servidor de Sellado de Tiempo

Para añadir un nuevo servidor de sellado de tiempo a la lista, se pueden realizar los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Añadir una conexión a una autoridad de sellado de tiempo del grupo Tareas Relativas al Sellado de Tiempo. Existe también un enlace desde la lista de certificados de servidores de sellado de tiempo consultada en el apartado anterior.

En la página de servidores TSA configurar los siguientes valores:

i. El campo Nombre indica el nombre que se desea dar al nuevo servidor TSA configurado.

ii. En el campo URL deberá indicarse la dirección URL del servidor de sellado de tiempo.

iii. El valor Incluir Certificados del Servidor en la Respuesta especificará si el servidor incluirá los certificados de generación del sello de tiempo dentro de la respuesta emitida.

iv. El valor Incluir una Semilla ("Nonce") en la Petición especificará si el servidor de SealSign debe añadir una semilla distinta dentro de cada petición al servidor de TSA.

v. Si el servidor de sellado de tiempo requiere autenticación en las peticiones HTTP, se deberá habilitar el campo Utilizar Autenticación HTTP y configurar los valores adecuados en los campos Cuenta de Usuario y Contraseña.

Pulsando el botón Insertar la configuración del nuevo servidor de sellado de tiempo se añadirá a SealSign.

2.12.3. Modificar la configuración de un servidor de Sellado de Tiempo

Para modificar la configuración de un servidor de sellado de tiempo se pueden realizar los siguientes pasos:

1. Acceder a la lista de servidores de sellado de tiempo, para ello, en la página principal el enlace Gestionar conexiones a autoridades de sellado del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Servidores TSA del menú de la izquierda.

2. En la lista de servidores de sellado de tiempo seleccionar el enlace del servidor que se desea modificar.

3. Realizar las modificaciones correspondientes.

4. Pulsar el botón Guardar para actualizar la configuración del servidor.

2.12.4. Eliminar un servidor de Sellado de tiempo

Para eliminar un servidor de sellado de tiempo se pueden realizar los siguientes pasos:


1. Acceder a la lista de servidores de sellado de tiempo, para ello, en la página principal el enlace Gestionar conexiones a autoridades de sellado del grupo Tareas Relativas al Sellado de Tiempo o bien seleccionar el enlace Servidores TSA del menú de la izquierda.

2. En la lista de servidores TSA, pulsar la Cruz que se encuentra a la izquierda del servidor que se desee eliminar.

2.13. Auditoría SealSign DSS dispone de un sistema de auditoría que permitirá al administrador conocer qué operaciones se realizan en el sistema, quien las realiza y el resultado de las mismas. En este apartado se describe cómo configurar y visualizar la auditoría de SealSign DSS.

2.13.1. Configuración de la Auditoría

Para configurar el servicio de auditoría de SealSign DSS se deben realizar los siguientes pasos:

1. En la página principal seleccionar el enlace Configurar parámetros de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Configuración Auditoría del menú de la izquierda.

2. Seleccionar las opciones adecuadas según se desee que en la auditoría se incluyan las respuestas con estado de error o con estado de acierto.

3. Pulsar el botón Guardar. 2.13.2. Consultar el registro de Auditoría

Para ver el contenido del registro de auditoría se deben realizar los siguientes pasos:


2. Aparecerá una tabla con los registros de auditoría incluidos en el sistema en la fecha actual


4. Pulsando las flechas que aparecen en la parte inferior de la tabla de resultados se puede navegar por las páginas de resultado de la consulta. 2.13.3. Eliminar el contenido del registro de Auditoría

Para eliminar el contenido de todas las entradas del registro de auditoría se pueden seguir los siguientes pasos:


2. Pulsar el enlace Borrar todas las entradas del registro de auditoría que se encuentra debajo del resultado de la consulta.


3. Resolución de problemas Durante el proceso de instalación de SealSign, en el visor de sucesos de cada servidor se creará un log específico, denominado SealSign DSS. Si sucede algún error en la operativa del servidor, además de reportarse en la auditoría del producto, se irán incluyendo eventos con la descripción completa del error en el log creado a tal fin.

! En la "Guía de monitorización de SealSign", se incluyen todos los detalles acerca de cómo monitorizar el estado de salud de la plataforma y ver los posibles errores que se pueden dar durante su utilización.

4. Recursos Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además, en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.


Acerca de ElevenPaths En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU., Brasil, Argentina, y Colombia.

Tienes algo que contarnos, puedes hacerlo en: www.elevenpaths.com

Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

2019 © Telefónica Digital España, S.L.U. Todos los derechos reservados.

La información contenida en el presente documento es propiedad de Telefónica Digital España, S.L.U. (“TDE”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDE y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDE se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDE.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDE no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDE y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDE y sus filiales se reservan todos los derechos sobre las mismas.

guía de administración de sealsign dss (digital signature services) · 2020-03-26 · sealsign...

Documents