Onesait Ecosystems · Editran/FF
Firma Electrónica
Manual de instalación y usuario
Windows
Enero 2020
Índice
Índice
1.
Introducción ................................................................................................................................................................ 4
2.
Descripción .................................................................................................................................................................. 5
Arquitectura ...................................................................................................................................................... 5
Características generales de las interfaces gráficas .......................................................................................... 5
3.
Uso genérico de Onesait Ecosystems · Editran/FF ...................................................................................................... 7
4.
Administrador de Onesait Ecosystems · Editran/FF .................................................................................................... 8
Barras de menú y herramientas ....................................................................................................................... 9
Menú “Administrador” ................................................................................................................................. 9
Menú “Operaciones”.................................................................................................................................. 11
Menú Ver.................................................................................................................................................... 14
Menú Consultas.......................................................................................................................................... 14
Menú Ayuda ............................................................................................................................................... 15
Alta de perfiles ................................................................................................................................................ 15
Alta de Usuarios de Editran/FF ................................................................................................................... 15
Alta de Aplicaciones de Editran/FF............................................................................................................. 17
Alta o asociación de usuarios a una aplicación .......................................................................................... 22
Alta de grupo en una aplicación ................................................................................................................. 24
Introducir un usuario en un grupo ............................................................................................................. 25
Alta condiciones mancomunadas............................................................................................................... 26
Editar, modificar perfiles ................................................................................................................................ 29
Desligar un Usuario de un Grupo ............................................................................................................... 29
Eliminar perfiles .............................................................................................................................................. 29
5.
Usuario de Onesait Ecosystems · Editran/FF ............................................................................................................... 2
Barras de menú y herramientas ....................................................................................................................... 4
Menú “Usuario” ........................................................................................................................................... 4
Menú “Operaciones” .................................................................................................................................... 4
Consultas ...................................................................................................................................................... 6
Operaciones principales sobre los ficheros ...................................................................................................... 8
Procedimiento de firma ............................................................................................................................... 8
Eliminar una firma ...................................................................................................................................... 10
Comentarios ............................................................................................................................................... 10
Mover/Rechazar/Eliminar .......................................................................................................................... 12
Operaciones principales sobre las aplicaciones .............................................................................................. 13
Habilitar envío/Aceptar la aplicación ......................................................................................................... 13
Deshabilitar el envío/Rechazar la aplicación .............................................................................................. 14
Validar la emisión – recepción ................................................................................................................... 15
Onesait Ecosystems Editran
2
Índice
Inicializar la aplicación ................................................................................................................................ 16
Descifrar/Descomprimir los ficheros. ......................................................................................................... 16
Enviar correo electrónico de notificación ....................................................................................................... 17
Estados de las aplicaciones ............................................................................................................................. 17
Estados de los ficheros ................................................................................................................................... 19
Estados de los grupos ..................................................................................................................................... 20
6.
Módulos visualizadores y validadores ...................................................................................................................... 21
Visualizadores ................................................................................................................................................. 21
Validadores ..................................................................................................................................................... 22
7.
Comandos ................................................................................................................................................................. 23
Visualizadores y validadores ........................................................................................................................... 23
Visualizar .................................................................................................................................................... 23
Validador .................................................................................................................................................... 23
EnviarDN ......................................................................................................................................................... 24
EstadoApl ........................................................................................................................................................ 25
MovAplFF ........................................................................................................................................................ 25
MovNoFir ........................................................................................................................................................ 26
EnvMailFF........................................................................................................................................................ 26
AceptaFF ......................................................................................................................................................... 27
OrdenaPerfiles ................................................................................................................................................ 27
MigraPerfiles ................................................................................................................................................... 27
Servicio Editran/FF .......................................................................................................................................... 28
Proceso Java Editran Signature Services para firmas XAdES........................................................................... 28
8.
Licencia ...................................................................................................................................................................... 31
9.
Movilidad .................................................................................................................................................................. 32
Configuración en el servidor Windows ........................................................................................................... 32
Requisitos ................................................................................................................................................... 32
Certificado SSL ............................................................................................................................................ 32
Arranque de la aplicación web FFMobileBackend.war .............................................................................. 36
Instalación de las Apps en los dispositivos móviles ........................................................................................ 36
Requisitos ................................................................................................................................................... 36
Instalación en dispositivos móviles iOS ...................................................................................................... 36
Instalación en dispositivos móviles Android .............................................................................................. 38
Uso de la aplicación ........................................................................................................................................ 39
10. Puesta en marcha del producto ................................................................................................................................ 44
Onesait Ecosystems Editran
3
1.Introducción
1. Introducción
Onesait Ecosystem - Editran/FF es una aplicación que engloba todas las operaciones que requieren la firma y la
verificación de la firma de ficheros antes y después de ser intercambiados entre dos extremos. Para ello establece una
relación entre los ficheros a firmar y los usuarios firmantes, asegurando que se han cumplimentado todas las firmas
necesarias, y que todas son correctas, tanto en el extremo emisor como en el extremo receptor.
Básicamente, el sistema está integrado por los siguientes elementos:
Usuario: elemento asociado a certificados digitales de persona física o jurídica. El certificado es el elemento con
el que se realizan las firmas. Los Usuarios Locales se corresponden con los propietarios de los certificados con los
que se puede acceder a Editran/FF para visualizar y firmar los ficheros de las aplicaciones. Por su parte, los
Usuarios Remotos se corresponden con los propietarios de los certificados con los que están firmados los ficheros
recibidos de otra entidad.
Aplicación: es el elemento que identifica un conjunto de ficheros que están en un mismo directorio, generalmente
todos ellos con un mismo formato, sobre los que se quiere realizar o validar un mismo tipo de firma y a la que se
asocian determinados usuarios. Puede tener dos propósitos: firmar ficheros o verificar firmas recibidas.
Se establece una relación entre cada aplicación y los usuarios que deben firmar dichos ficheros especificando,
mediante los parámetros / atributos de dichos elementos, las normas de funcionamiento a seguir en cada caso.
La funcionalidad que presta Onesait Ecosystem - Editran/FF se reparte entre dos interfaces gráficas:
AdminFF: con ella se configura el sistema Onesait Ecosystem - Editran/FF, dando de alta, modificando y eliminando
el conjunto de parámetros que definen a cada usuario, a cada aplicación y a las relaciones entre ambos.
UserFF: permite a los signatarios validar, visualizar y firmar con sus certificados digitales los ficheros de datos de
las aplicaciones para firmar a las que estén asociados. En las aplicaciones para verificar, permite validar y extraer
el contenido de las firmas recibidas de otra entidad.
Onesait Ecosystem - Editran/FF se puede ejecutar en la plataforma Windows en la que existe CryptoAPI de Microsoft.
Onesait Ecosystems Editran
4
2.Descripción
2. Descripción
Onesait Ecosystem - Editran/FF, en adelante Editran/FF, está diseñado modularmente, de manera que su funcionalidad
está englobada en partes independientes, ligadas entre sí por diferentes interfaces de programación. De esta forma
cada componente implementa una parte del funcionamiento de Editran/FF y libera al resto del conocimiento interno
de este.
Arquitectura
El sistema está compuesto por los siguientes módulos:
CONFIGURACIÓN: conjunto de parámetros que definen los perfiles de aplicaciones, usuarios y relaciones entre
ambos.
ADMINISTRADOR: interfaz gráfica para la gestión de la configuración.
USUARIO: interfaz gráfica desde la que se lanzan las peticiones de firma o verificación de firma a Editran/FF.
Editran/CD: módulo que gestiona las solicitudes de firma y verificación de firma de ficheros.
Editran/FF: conjunto de funciones que determina, a partir de los perfiles de configuración, qué solicitudes de
Usuarios y Aplicaciones son permitidas para, a continuación, lanzárselas a Editran/CD.
El objetivo del presente manual es la explicación detallada del funcionamiento de las dos interfaces gráficas del sistema
Editran/FF y de otros módulos que amplían y completan la funcionalidad del producto.
Características generales de las interfaces gráficas
La manera de operar con las interfaces gráficas AdminFF y UserFF es muy sencilla e intuitiva, más si el usuario está
familiarizado con el sistema operativo Windows y en concreto con su explorador de archivos.
Así, Aplicaciones y Usuarios se ordenan en una jerarquía de árbol y se describen en vistas con forma de lista. Se verá
como las interfaces persiguen la comodidad del usuario permitiendo, a menudo, que una misma operación puede
realizarse desde el menú de la pantalla, la barra de tareas o el menú que aparece al mostrar el botón derecho del ratón
(menú contextual).
Onesait Ecosystems Editran
5
2.Descripción
Cada selección en el árbol determina una vista del panel derecho, en concreto una tabla con filas y columnas. Cada fila
se refiere a un elemento (usuario, aplicación, fichero, relación aplicación – grupo o relación aplicación – grupo –
usuario) cuyos parámetros, en general, son los campos de cada columna (en algunos casos aparece información
adicional).
Haciendo doble clic sobre las cabeceras de las columnas, las filas se reordenan según ese campo. Además, el ancho de
cada columna puede ser modificado para la completa visualización de la información.
Onesait Ecosystems Editran
6
3.Uso genérico de Onesait Ecosystems Editran/FF
3. Uso genérico de Onesait Ecosystems · Editran/FF
En general el proceso completo de uso de la aplicación Editran/FF podría seguir los siguientes pasos:
La situación de partida es tener configuradas, desde la interfaz AdminFF, una aplicación de firma con ciertos
usuarios locales en un extremo y una aplicación de verificación, con el mismo nombre y los mismos usuarios
de la de firma, pero de tipo remoto, en el otro extremo.
La interfaz UserFF ofrecerá a cada usuario local los ficheros que, según la configuración realizada, pueden
visualizar y firmar. Cuando los usuarios acceden a cada fichero y lo firman, se crea en el directorio de firmas
un nuevo fichero con el mismo nombre que el firmado pero con extensión .p7b o .xsig.
Según la configuración definida, cuando todos los ficheros de la aplicación tengan las firmas suficientes, un
usuario habilitará el envío de la aplicación. Este proceso genera un nuevo fichero de firma cuyo contenido es
la lista de ficheros de la aplicación y los DN de los certificados de los usuarios que han firmado cada uno de
ellos. La habilitación para el envío se puede realizar también de manera forzada, es decir, incluso si faltan
firmas, siempre que se haya otorgado este permiso a alguno de los usuarios en la configuración.
Envío del contenido de los directorios de firmas o de datos del extremo emisor al extremo receptor.
En el extremo receptor se valida la recepción (queda generado un fichero de aceptación de recepción).
Envío al extremo emisor del fichero de aceptación de recepción.
Validación en el extremo emisor de la Emisión-Recepción (queda generado un fichero con esta información).
A continuación, se van a describir con detalle cada una de las tareas enumeradas en esos siete pasos.
Onesait Ecosystems Editran
7
4.Administrador de Onesait Ecosystems Editran/FF
4. Administrador de Onesait Ecosystems · Editran/FF
La interfaz gráfica AdminFF facilita la generación y modificación de toda la configuración necesaria para el
funcionamiento del producto. Dicha configuración requiere dar de alta aplicaciones, usuarios e interrelacionarlos a
través de una serie de parámetros que a continuación se van a detallar.
Editran/FF solicitará al usuario una confirmación para todas aquellas operaciones que supongan dar de alta, modificar
o eliminar los perfiles de configuración.
La interfaz muestra dos ramas principales, Usuarios y Aplicaciones bajo las cuales se irá añadiendo cada nuevo
elemento.
Tanto los elementos del árbol como las filas de las listas pueden ser seleccionados y arrastrados debiendo ser siempre
el destino un elemento del árbol. Editran/FF devolverá los siguientes mensajes cuando se practique un movimiento no
permitido:
El doble clic, tanto en los elementos del árbol que no tienen descendientes como en las filas de las listas, muestra el
detalle del elemento: un diálogo con los campos del perfil correspondiente.
Onesait Ecosystems Editran
8
4.Administrador de Onesait Ecosystems Editran/FF
Barras de menú y herramientas
A continuación se describen los diferentes menús y submenús y las tareas que se pueden realizar desde ellos.
Menú “Administrador”
4.1.1.1 Configuración de actuaciones automáticas
Seleccionando este menú se mostrará el diálogo:
Primera firma automática: marcando esta opción se realizará una firma sobre cada nuevo fichero en el
directorio de las aplicaciones de manera inmediata. Para ello la aplicación deberá tener asociado un usuario
de tipo “Local” con el atributo “Firmante automático”, deberá estar arrancado el servicio Editran/FF y, si el
modo de firma de la aplicación es XAdES, además el servicio Editran Signature Services. Esta firma se realizará
siempre en primer lugar y de manera automática, por ello el certificado asociado al firmante automático
deberá haber sido instalado sin habilitar la protección segura de clave privada. Mientras esta primera firma
no se produzca, ningún otro usuario firmante asociado a la aplicación podrá acceder a los ficheros para
firmarlos. Una vez que se ha realizado esta firma, cualquier modificación en el fichero de datos sería detectada
por el producto mostrando esta firma como incorrecta, por lo que el uso de esta funcionalidad supone un
mecanismo de seguridad sobre la información que se va a firmar.
Pestaña “Envío de emails”
Envío automático de emails de notificación de ficheros disponibles: este parámetro permite habilitar el
envío de emails de notificación de nuevos ficheros para firmar a todos los usuarios que tengan ficheros
pendientes de firma. Sólo recibirán esta notificación los usuarios que tengan configurada una dirección de
email en su perfil y siempre que en el puesto servidor esté arrancado el servicio Editran/FF. Por realizarse
Onesait Ecosystems Editran
9
4.Administrador de Onesait Ecosystems Editran/FF
desde un servicio Windows, esta funcionalidad se presta exclusivamente bajo SMTP por lo que, en caso de
activarse, deberán cumplimentarse obligatoriamente los parámetros del recuadro “Configuración del servidor
SMTP” en la misma pestaña.
Envío de emails desde los puestos firmantes: este parámetro permite habilitar el envío de emails desde
UserFF, tanto entre los propios usuarios como para las notificaciones de tareas que Editran/FF informa en el
email configurado en la aplicación. En caso de activarse, se deberá seleccionar uno de:
“Utilizar cliente de Microsoft Outlook”: es imprescindible que el cliente de Microsoft Outlook esté
instalado y correctamente configurado.
o
“Utilizar servidor estándar SMTP”: en este caso deberán cumplimentarse obligatoriamente los
parámetros del recuadro “Configuración del servidor SMTP” en la misma pestaña.
Configuración del servidor SMTP: recoge todos los parámetros necesarios para realizar envíos de emails
mediante SMTP. Todos los campos son obligatorios y deberán rellenarse siempre que se quiera activar “Envío
automático de emails de notificación de ficheros disponibles” y/o “Envío de emails desde los puestos
firmantes” con “Utilizar servidor estándar SMTP”. La contraseña para la autenticación se almacena cifrada.
Pestaña “Conexión a servidores”
Esta pestaña recoge todos los parámetros necesarios para que el acceso desde los puestos firmantes tanto al
servidor que aloja los ficheros de perfiles como al que contiene los ficheros a firmar y las firmas se puede
realizar de manera automática y transparente para los usuarios firmantes. Si los ficheros de perfiles y los que
se van a firmar van a estar en un mismo servidor, se marcará el check “Servidor común para los ficheros de
configuración y para ficheros a firmar” y la columna “Servidor de ficheros a firmar” quedará deshabilitada. En
este caso se indicará un directorio del que dependan los otros dos así como un usuario que tenga permiso de
lectura, escritura y ejecución en dichos directorios.
Las conexiones que se establecen son a
\\IP o nombreDNS\Recurso o directorio compartido
con el usuario
Dominio del usuario\Usuario
Onesait Ecosystems Editran
10
4.Administrador de Onesait Ecosystems Editran/FF
y la
Contraseña para la autenticación
El botón “Comprobar conexión” permite confirmar que los valores indicados son correctos.
Una vez que se pulsa “Guardar” se generarán dos ficheros .cfg en el directorio indicado en el fichero “path”. Se
deberá copiar el fichero cnx.cfg en el directorio de instalación de EditranFF de cada uno de los puestos firmantes
desde los que se va a ejecutar UserFF.exe.
Si los parámetros de esta pestaña no se configuran, deberá realizarse la conexión a los servidores de manera
manual desde cada puesto firmante.
4.1.1.2 Salir
Seleccionando este menú se cerrará la interfaz Administrador de Editran/FF
Menú “Operaciones”
La mayoría de los submenús del menú “Operaciones”, se mostrará habilitado o no en función del tipo de elemento
que esté seleccionado en el árbol. Es también el menú contextual que aparece al pulsar el botón derecho del ratón.
4.1.2.1. Nuevo
Permite dar de alta en los perfiles un elemento del tipo correspondiente a la rama seleccionada. El botón
barra de herramientas ofrece la misma funcionalidad.
de la
4.1.2.2. Nuevo grupo/Condiciones para firma mancomunada
Dependiendo del tipo de validación para firmas necesaria que se haya definido para la aplicación, permite dar de alta
un nuevo grupo o un nuevo conjunto de condiciones o reglas de firma mancomunada. El botón
herramientas ofrece la misma funcionalidad.
de la barra de
4.1.2.3. Editar
Muestra el detalle, el conjunto de parámetros que definen el elemento del árbol que esté seleccionado. El botón
de la barra de herramientas ofrece la misma funcionalidad.
4.1.2.4. Eliminar
Elimina el conjunto de parámetros que constituyen el elemento del árbol que esté seleccionado. El botón
barra de herramientas ofrece la misma funcionalidad.
de la
Onesait Ecosystems Editran
11
4.Administrador de Onesait Ecosystems Editran/FF
4.1.2.5. Alta con copia
Permite crear una nueva aplicación con el mismo conjunto de parámetros que aquella que se encuentre seleccionada
en el árbol, a excepción del nombre que deberá ser diferente.
En el proceso se copian también los grupos o las condiciones mancomunadas y los usuarios que tiene asociados la
original. Una vez que se realice la copia es importante editar la aplicación y definir para ella otro conjunto de directorios
de datos, firmas, rechazo y envío o cualesquiera otros que deban ser diferentes a los de la aplicación original.
4.1.2.6. Cifrado de datos
Editran/FF puede cifrar los ficheros de una aplicación una vez que esta se ha habilitado para el envío, quedando así su
contenido protegido a partir de ese momento y durante el envío entre los extremos. Si la intención del usuario receptor
es recibir los ficheros con esta cualidad, cada extremo deberá realizar los pasos que a continuación se van a describir
y a los que se accederán desde este submenú.
1.
Generar Certificado para Cifrar: el usuario Administrador del extremo que va a recibir los ficheros seleccionará
este submenú y accederá al siguiente diálogo en el que se muestran en la lista de la derecha todas las aplicaciones
de recepción que se encuentren en los perfiles. Mediante el botón “<<” irá llevando a la lista de la izquierda
aquellas aplicaciones que desea recibir cifradas (el botón “>>” deshace la acción anterior). Lo siguiente será
indicar la ubicación y el nombre del fichero que se va a generar (deberá tener extensión “.p7b”). Por último, se
pulsará el botón “Firmar”. La aplicación pedirá al usuario que seleccione entre los certificados asociados a su alias,
aquel con el que va a firmar, a continuación la contraseña.
Onesait Ecosystems Editran
12
4.Administrador de Onesait Ecosystems Editran/FF
Si todo es correcto, visualizará un mensaje informativo del éxito de la operación.
Este fichero se enviará al otro extremo y este lo almacenará. A continuación, seleccionará el menú “Operaciones”->
“Cifrado de Datos” -> “Insertar el Certificado para el Cifrado”.
2.
Insertar el Certificado para el Cifrado: lo primero que solicita el diálogo es la ubicación del fichero firmado que
recibió del otro extremo, generado con el paso antes descrito. Una vez completado este campo se habilita el botón
con el texto “Obtener Datos de la Firma” que permite visualizar la información del certificado propiamente, así
como, en la lista de la izquierda, la enumeración de las aplicaciones que se incluyeron en el fichero. Sin embargo,
esta lista no es definitiva, podrá ser modificada eliminando cualquiera de ellas o añadiendo otras que se
encuentren en la lista de la derecha, las de firma de este extremo. Por último, se especificará dónde se va a
guardar este certificado para el cifrado.
Onesait Ecosystems Editran
13
4.Administrador de Onesait Ecosystems Editran/FF
Una vez que el usuario pulse el botón “Insertar”, visualizará un mensaje informativo del éxito de la operación. Al
realizar esta acción, los perfiles de todas las aplicaciones que hayan quedado en la lista “Aplicaciones a cifrar con el
certificado” verán modificada su configuración con los parámetros necesarios para cifrar sus ficheros.
4.1.2.7. Actualizar
Refresca el contenido del árbol y de la lista. El botón
de la barra de herramientas ofrece la misma funcionalidad.
Menú Ver
Utilice los submenús de Ver para ocultar o mostrar en la interfaz las barras de herramientas y de estado.
Menú Consultas
Utilice este submenú para consultar el log de Editran/FF. Es el mismo log que se puede consultar desde cada puesto
firmante, véase 5.1.3.3.
Onesait Ecosystems Editran
14
4.Administrador de Onesait Ecosystems Editran/FF
El botón
de la barra de herramientas ofrece la misma funcionalidad.
Menú Ayuda
Utilice este submenú para acceder a la información “Acerca de” de la interfaz Administrador de Editran/FF y para
definir o consultar la ubicación de los perfiles de configuración del producto. El botón
ofrece la misma funcionalidad.
de la barra de herramientas
Alta de perfiles
Para comenzar a utilizar el AdminFF es necesario establecer el directorio donde se guardarán los perfiles de Editran/FF
y los logs.
Para ello, debe seleccionar el menú en la barra de menú “Ayuda->Acerca de AdminFF…” o pulsar el botón
barra de tareas.
de la
En el campo “Ubicación de los perfiles de Editran/FF” se indicará la ruta de directorios donde se guardarán los perfiles.
Esta ruta deberá ser accesible desde cada puesto firmante y quedará almacenada en un fichero llamado “path” en el
mismo directorio que el ejecutable AdminFF.exe. El fichero path deberá trasladarse también al directorio de instalación
de cada puesto firmante.
Siempre que se modifique el contenido de “path” se deberá cerrar y volver a abrir la interfaz AdminFF para actualizar
el cambio.
Una vez que se den de alta y/o modifiquen perfiles, es recomendable realizar una copia de seguridad de los ficheros
.cfg que se encuentren en el directorio indicado en el fichero path.
Alta de Usuarios de Editran/FF
Para dar de alta un nuevo usuario de Editran/FF, se debe seleccionar en el árbol la rama “Usuarios” y a continuación
acceder al menú “Operaciones -> Nuevo” (también desde menú contextual del botón derecho del ratón) o bien pulsar
el primer botón de la barra de herramientas
.
En el diálogo de Usuario que aparece se definirá un valor para cada uno de los parámetros que constituyen el perfil de
configuración. Se describen a continuación.
Onesait Ecosystems Editran
15
4.Administrador de Onesait Ecosystems Editran/FF
Alias: identificador del usuario que se va a dar de alta. Es el nombre que el signatario usará para acceder a UserFF.
Tipo: este campo puede tener dos únicos valores:
o
Local: un usuario de este tipo podrá acceder a UserFF.exe para visualizar y firmar los ficheros de las
aplicaciones de firma a las que esté asociado y/o para habilitar su envío. También podrá validar y
visualizar el contenido de las firmas recibidas en las aplicaciones para verificar con las que esté
relacionado.
o
Remoto: de este tipo son los usuarios asociados a los certificados con el que llegarán firmados los
ficheros de una aplicación cuyo propósito sea verificar las firmas. Los usuarios de este tipo no pueden
acceder a UserFF.exe.
E-Mail: dirección de correo electrónico del usuario. En ella recibirá notificaciones tanto desde Editran/FF
como comunicaciones de otros usuarios realizadas desde UserFF. Este dato imprescindible para que el usuario
reciba el aviso de nuevos ficheros disponibles para firmar.
Certificados: recoge tres de los campos correspondientes a los certificados con los que el usuario va a firmar
(usuario local) o del usuario cuyas firmas se van a verificar (usuario remoto): DN o sujeto del certificado, DN
del emisor y número de serie. Se pueden añadir hasta tres certificados diferentes para cada usuario. El usuario
podrá firmar indistintamente con cualquiera de los certificados que tenga asociados. Cuando se estén dando
de alta usuarios de tipo local (van a firmar), si los certificados propios están instalados o son accesibles desde
la máquina donde se esté ejecutando AdminFF, se pulsará el botón “Inst” de este diálogo para acceder a una
tabla que mostrara todos ellos y seleccionar aquellos con los que va a firmar el usuario. En caso contrario, o
si el usuario que se está dando de alta es de tipo remoto (se van a verificar sus firmas), se recomienda utilizar
la herramienta EnviarDN en los equipos de los usuarios donde estén instalados los certificados. Desde esa
herramienta se puede copiar la información al portapapeles, enviarla por correo o generar un fichero. Una
vez que esta información se encuentre en el equipo en el que se están dando de alta los perfiles, utilice los
botones “Port” de este diálogo para pegar la información copiada en portapapeles o copiada desde un correo
electrónico o el botón “Fich” para localizar y leer el fichero que se generó con “EnviarDN”. Es imprescindible
que el DN, el emisor y el número de serie introducidos sean exactamente iguales que los del certificado
(mayúsculas, minúsculas, espacios, separadores de valor y atributo). Los certificados podrán ser personales
o de empresa y haber sido emitidos por cualquier CA reconocida.
La aplicación “EnviarDN” (el ejecutable es EnviarDN.exe) se describe en la sección 7.2.
Administrador: otorga al usuario permiso para acceder a la configuración del producto. Cuando accede a
AdminFF un usuario “Administrador”, visualizará una ventana como la siguiente en la que deberá introducir
Onesait Ecosystems Editran
16
4.Administrador de Onesait Ecosystems Editran/FF
su alias y a continuación la contraseña de su certificado. Si ninguno de los usuarios locales en los perfiles tiene
marcado este atributo, cualquiera podrá acceder a la consulta y modificación de perfiles.
Firmante automático: los usuarios de este tipo serán siempre de tipo local, deberán tener asociado un
certificado que esté instalado en el equipo servidor y que no tenga habilitada la protección segura de clave
privada ni solicite contraseña para su uso (motivo por el que no deberían ser Administrador del producto).
Este usuario podrá y tendrá que firmar siempre (cualquier importe), no formará parte de grupos ni de reglas
mancomunadas. La función de este tipo de usuarios es firmar en primer lugar y de manera inmediata cada
nuevo fichero que se detecte en el directorio de datos de las aplicaciones a las que se encuentre asociado.
Siempre que una aplicación tenga asociado un usuario de este tipo, ningún otro usuario asociado a la
aplicación podrá firmar antes que este. Para habilitar esta funcionalidad, deberá estar activado el parámetro
“Primera firma automática” del diálogo que se muestra en el menú “Administrador -> Configuración de
actualizaciones automáticas”, en el puesto servidor estar arrancado el Servicio Editran/FF y, si se van a realizar
firmas modo XAdES, también el servicio Editran Signature Services. Una vez que se ha realizado esta firma,
cualquier modificación en el fichero de datos sería detectada por el producto mostrando esta firma como
incorrecta, por lo que el uso de esta funcionalidad supone un mecanismo de seguridad sobre la información
que se va a firmar.
Una vez que se pulse el botón “Guardar” este usuario quedará almacenado con los parámetros definidos en el fichero
“user.cfg” y se añadirá como subrama del árbol “Locales” o “Remotos”, según el tipo especificado, así como en la vista
de la derecha (lista).
Alta de Aplicaciones de Editran/FF
Para dar de alta una nueva aplicación de Editran/FF, se debe seleccionar en el árbol la rama “Aplicaciones” y a
continuación acceder al menú “Operaciones -> Nuevo” (también desde menú contextual del botón derecho del ratón)
o bien pulsar el botón
de la barra de herramientas.
Se describen a continuación los parámetros que el sistema requiere para dar de alta una nueva aplicación.
Nombre: identificador de la aplicación que se va a dar de alta. Para el primer carácter se permiten los caracteres:
A...Z@#$. Para los siguientes son posibles: A...Z0...9@#$-{
Propósito: las aplicaciones pueden ser o bien para firmar o bien para verificar firmas. Si se selecciona la opción
“Nuevo” desde las ramas “De firma de ficheros” o “De verificación de firmas”, este campo se rellena de forma
automática.
Onesait Ecosystems Editran
17
4.Administrador de Onesait Ecosystems Editran/FF
--- Firmas --
Modo de firma: indica el formato de las firmas que se van a realizar desde la aplicación. Los modos implementados
se engloban en dos tipos: PKCS#7 (el fichero de firma tiene formato PKCS#7 y extensión.p7b) y XAdES (el fichero
de firma tiene formato XML y extensión .xsig). Dentro de cada uno de estos formatos de firma existen a su vez
varias modalidades, se describen brevemente a continuación:
PKCS#7 detached: el fichero de firma no incluye el fichero original. Requiere el envío del fichero de
datos y del de la firma al el extremo receptor/validador.
PKCS#7 attached: el fichero de firma incluye el fichero de datos.
XAdES Detached Interna Implícita: el fichero de firma incluye el fichero de datos. En este modo los
nodos del fichero de datos y los de las firmas realizadas sobre el fichero se disponen al mismo nivel
bajo el nodo raíz. Si el fichero de datos que se firma no tiene formato XML, se incorpora en base64.
XAdES Detached Interna Explícita: disposición igual que la descrita en el modo implícito, pero en
este caso no se incluye el fichero de datos propiamente sino su hash. Este formato es adecuado para
ficheros muy grandes. Requiere el envío del fichero de datos y del de firma al extremo
receptor/validador.
XAdES Detached Interno Explícito Un Fichero: es una variación del modo anterior propietaria de
Iberpay en la que se concatena el fichero de datos a continuación del de firma, quedando ambos en
un mismo fichero físico. Esta modalidad sólo admite ficheros XML y una única firma.
Onesait Ecosystems Editran
18
4.Administrador de Onesait Ecosystems Editran/FF
XAdES Detached Externa: el fichero de firma no incluye el fichero de datos. Es una variación de los
modos internos en los que en lugar del fichero de datos lo que se incluye es una dirección URI donde
se localiza el fichero de datos físicamente.
XAdES Enveloped: el fichero de firma incluye el fichero de datos. En este caso los nodos de firma son
hijos del nodo del fichero de datos. Con este modo sólo se pueden firmar ficheros de formato XML.
XAdES Enveloping Implícito: el fichero de firma incluye el fichero de datos. En este caso el nodo del
fichero de datos es hijo del nodo de la firma. Si el fichero firmado no es XML, se incorpora en base
64. Este formato sólo admite una firma.
XAdES Enveloping Explicito: disposición igual que la descrita para el modo implícito, pero en este
caso no se incluye el fichero de datos propiamente sino su hash. Este formato es adecuado para
ficheros muy grandes. Requiere el envío del fichero de datos y del de firma al extremo
receptor/validador. Este formato sólo admite una firma.
El campo “El fichero de firmas contiene el fichero de datos” es informativo, se marca o desmarca automáticamente
en función del modo de firma escogido, no es posible configurarlo por parte del Administrador.
La utilización de cualquiera de los modos de firma XAdES requiere disponer de una instalación de Java en la
máquina. Además dicha instalación deberá incluir necesariamente la extensión Java Cryptography Extension (JCE)
Unlimited Strength Jurisdiction Policy Files. La funcionalidad para los modos de firmas XAdES se realiza por medio
del servicio XAdES que deberá estar correctamente arrancado (desde UserFF se ejecuta automáticamente si
start_xades.bat está configurado de manera adecuada), véase 7.11.
Validación de firmas necesarias: Editran/FF ofrece dos formas para establecer los diferentes conjuntos de
usuarios que deben firmar los ficheros. Atendiendo a las necesidades de cada entidad, las firmas requeridas para
cada fichero (tanto el número de firmas como los firmantes concretos que pueden hacerlo) pueden definirse por
medio de Usuarios/Grupos o de Reglas Mancomunadas:
o
Usuarios/grupos
Un usuario puede formar parte de un grupo o estar fuera de todos pero no puede participar
de ambas formas simultáneamente.
Un usuario no puede formar parte de más de un grupo o conjunto de usuarios.
Para poder considerar cada fichero suficientemente firmado, todos los conjuntos de
usuarios deben cumplirse: los usuarios que estén fuera de grupo deben firmar siempre (es
el caso de los usuarios automáticos) y en cada grupo debe alcanzarse el número mínimo de
firmas (firmas obligatorias) y no puede superarse el número máximo (firmas permitidas).
El importe máximo de los ficheros que cada usuario puede firmar en la aplicación es
constante y no depende de la actuación o no de otros firmantes.
El alta de grupos se explica de forma detallada en la sección 4.2.4.
o
Habilitar orden de los firmantes: se marcará esta opción cuando las firmas de los usuarios
asociados a la aplicación deban realizarse en una secuencia determinada. Si el orden en el
que tienen que firmar los usuarios es indiferente, este parámetro no deberá activarse. En
el perfil del usuario en la aplicación se establecerá el nivel de cada uno.
Reglas mancomunadas:
Cada usuario puede formar parte de tantas condiciones como resulten necesarias.
Se considera un fichero suficientemente firmado cuando se cumple una de las condiciones.
Los usuarios que no forman parte de ninguna condición, no podrán firmar. A excepción de
los usuarios automáticos que no pueden participar en ninguna de las reglas y sin embargo
siempre tienen que firmar.
El importe máximo de los ficheros que el usuario puede firmar en la aplicación no es
constante, puede variar en función de en compañía de quien los firme, es decir, en función
de las condiciones mancomunadas en las que participe. Los usuarios sólo podrán firmar los
ficheros cuyo importe no supere ninguno de los límites establecidos en las diferentes
condiciones en las que esté relacionado.
Onesait Ecosystems Editran
19
4.Administrador de Onesait Ecosystems Editran/FF
No es posible establecer el orden en el que se realizan las firmas.
El alta de condiciones mancomunadas se explica de forma detallada en la sección 4.2.6.
--- Ficheros --
Directorios: seleccionando las pestañas de la tabla, se podrán configuran los directorios asociados a la
aplicación. Son los siguientes:
o
Ficheros a firmar/Ficheros recibidos: cuando el propósito de la aplicación es firmar, se escribirá la
ruta de los ficheros de datos. Esta ruta admite caracteres comodín (‘*’, ‘?’). Los ficheros se pueden
comprimir (requiere licencia específica) y/o cifrar. Cuando el propósito de la aplicación es verificar
firmas, se escribirá aquí una ruta de directorio, aquel donde quedarán los ficheros de datos extraídos
de las firmas (o que acompañan a estas en los modos que no los incluyen).
o
Firmas: recoge la ubicación de las firmas de los ficheros: las que se generan en las aplicaciones para
firmar y las que se reciben en las aplicaciones para verificar. Puede coincidir con el directorio de los
ficheros de datos. En este caso se recomienda utilizar expresiones regulares en la pestaña “Ficheros
a firmar” para evitar que las firmas sean consideradas ficheros a firmar.
o
Envío: si se define, es el directorio al que se moverán los ficheros de datos y/o firmas, cuando se
habilite la aplicación o, si la aplicación no requiere fichero de habilitación, cuando todos los ficheros
alcancen el número de firmas necesarias y todas ellas sean correctas. El tipo de ficheros que se
mueve queda determinado por las opciones seleccionadas a la derecha del botón “…”: “Datos” y/o
“Firmas”. Cuando sólo se seleccione la opción “Firmas”, los ficheros de datos también serán movidos,
pero a un directorio llamado “D” bajo este. Una vez que se realiza el movimiento de los ficheros al
directorio de envío, la validación del estado de la aplicación se realizará sobre este directorio. El
proceso de firma no se podrá reanudar (los usuarios no verán ficheros disponibles para firmar)
mientras existan ficheros en este directorio.
o
Mover/Rechazar: es el directorio por defecto al que se moverán los ficheros de datos que se
rechacen, es decir, que se saquen del circuito de firmas por parte de los usuarios asociados a la
aplicación que tengan permiso para ello. Si este campo se deja en blanco y alguno de los usuarios
asociados a la aplicación tiene que rechazar algún fichero, se le ofrecerá un diálogo en el que podrá
definir el directorio al que moverá los ficheros en ese momento.
o
Certificado para cifrar: siempre que se haya seleccionado la opción “Cifrar” en la pestaña “Ficheros
a firmar”, se deberá definir aquí la localización del certificado que se usará para cifrar. El cifrado se
explica de forma detallada en la sección 4.1.2.6.
o
Plantilla (en aplicaciones para firmar)/Política XAdES (enaplicaciones para verificar): cuando se
haya seleccionado uno cualquiera de los modos de firma XAdES, se deberá definir aquí la localización
de la plantilla a utilizar, si la aplicación es para firmar, o de la política, si la aplicación es para verificar
y el nivel de protección utilizado en las firmas es EPES. Las plantillas son documentos XML, según
esquema propietario de Editran/FF y entregado en la distribución (en XAdES/rsc), que reúnen un
conjunto de características que son configurables para el modo de firma elegida, tales como nivel de
protección (BES o EPES), versión de SHA para obtener el hash del documento, versión SHA de
algoritmo RSA con el que se firma, etiquetas obligatorias, etc. Con el producto se distribuyen
diferentes plantillas con las configuraciones más utilizadas, se encuentran en el directorio
XAdES/plantillas de la instalación. Si ninguna se adaptara a las necesidades requeridas, se podrá
escribir otra, siempre cumpliendo el esquema indicado. Cuando el nivel de protección utilizado en el
extremo validador sea EPES, necesariamente se deberá especificar en este directorio de la aplicación
para verificar la ubicación del fichero de política que se debe aplicar en el proceso. El fichero de
política es otro fichero XML, esta vez según un esquema propietario de XAdES, que recoge las
características exigidas para considerar correctas las firmas recibidas. En el directorio
XAdES/politicas de la instalación se encuentra el fichero de la política de la Agencia General del
Estado (AGE). El uso en el extremo firmante de aquellas plantillas del directorio XAdES/plantillas con
“EPES-AGE” en el nombre garantiza el cumplimiento de la política AGE en el extremo receptor y
validador de dichas firmas. Por el contrario, si el extremo validador va a utilizar como nivel de
Onesait Ecosystems Editran
20
4.Administrador de Onesait Ecosystems Editran/FF
protección BES, dejará este campo en blanco y el extremo firmante indicará una plantilla para nivel
de protección BES (en las de la distribución son todas aquellas con “BES” en el nombre).
Visualizador/Validador: se indicará por medio de este parámetro el formato de los ficheros que se van a
validar, visualizar y firmar en esta aplicación. Si no se desea la visualización del contenido antes de la firma
(opción no recomendada) o se quieren mezclar en el directorio “Ficheros a firmar” ficheros de diferentes
formatos, se debe seleccionar <Ninguno> en el combo. El combo muestra todos los módulos visualizadores
y validadores incluidos en el producto, véase apartado 6.1. Cuando el visualizador que se va a utilizar es de
la norma de Transferencias (tanto en formato plano como en formato XML) se recomienda escoger aquí el
programa Resumen que sólo muestra la cabecera y los totales del fichero. Después, en el perfil usuario –
aplicación de aquellos usuarios que deban visualizar el contenido completo del fichero (las transferencias
individuales) se escogerá el módulo RRHH y para el resto se dejará el módulo Resumen, que es el que
aparecerá por defecto.
Importe total máximo permitido en los ficheros (€): este parámetro permite limitar el importe máximo de los
ficheros que se pueden firmar.
--- Certificados --Verificar cadena de certificación: su selección desencadena la validación (en cuanto a estructura, contenido, uso
y fecha de caducidad) de todos los certificados de autoridad (raíz e intermedios) de la cadena de certificación del
que se ha utilizado para firmar. Este proceso es obligatorio para los modos de firma XAdES, por lo que esté
parámetro quedará marcado automáticamente cuando se seleccione uno de esos modos.
Verificar estado de revocación: su selección desencadena la validación del estado de revocación del certificado
elegido para firmar, es decir, conocer si la autoridad que lo emitió lo sigue considerando válido o no. El lugar donde
se debe verificar esta información forma parte de la información contenida en los certificados. Si la ubicación es
una dirección https, la máquina desde la que se realiza la validación deberá tener salida a internet y tener
correctamente configurados los parámetros que se escriben con XAdES/bin/configuración_xades.cfg.
--- Habilitación ---
Sí / No: el fichero de habilitación es un fichero resumen con formato propietario de Editran/FF. Recoge el nombre
de cada fichero de la aplicación que se encuentre en el directorio de datos, los DN de los certificados con los que
se ha firmado, el nombre del fichero de firma resultante y, cuando procede, un comentario informando de que
faltan firmas. Este fichero se creará en las aplicaciones en las que se marque la opción “Sí” y no se creará en caso
contrario. La presencia de firmas incorrectas o inválidas en la aplicación es incompatible con la generación de este
fichero. Puede ser creado de manera manual o automática y sólo por parte de los usuarios que tengan permiso
para ello. El fichero de habilitación, con el contenido arriba descrito, queda firmado por el usuario que lo genera,
se almacena en el directorio de firmas de la aplicación con el mismo nombre que esta y la extensión .p7b. Si la
aplicación es para verificar firmas, el parámetro indica si se va a recibir o no el fichero de habilitación.
Habilitación automática: cuando se haya seleccionado la opción “Sí”, se podrá marcar además esta opción para
que la generación del fichero de habilitación se desencadene a continuación de la última firma necesaria para los
ficheros de una aplicación, siempre que el usuario que haya realizado esa última firma tenga permiso para
habilitar. Aunque el proceso en este caso se desencadena automáticamente, el usuario podrá cancelar su
generación si así lo desea. Si no se marca esta opción, la aplicación permanecerá sin el fichero de habilitación
hasta que un usuario de la aplicación, con el permiso oportuno, proceda a su generación de manera manual.
Proceso posterior a la habilitación: en este parámetro se puede indicar el nombre de un programa o fichero batch
que ejecute cierta tarea que se quiera lanzar tras la habilitación, si la aplicación es para firmar, o tras la aceptación
si es para verificar firmas.
E-Mail Notificaciones: siempre que se haya configurado el envío de e-mails (véase 4.1.1.1) en esta dirección se
recibirán diversas notificaciones genéricas de Editran/FF, por ejemplo cuando se habilite la aplicación, cuando se
rechace un fichero, etc.
Los campos “Compresión” y “Cifrado” en las pestaña “Ficheros a firmar”, las pestañas “Envío”, “Mover/Rechazar” y
“Certificado para cifrar” de la tabla “Directorios” y “Habilitación automática” son propios de las aplicaciones para
firmar y quedan por tanto deshabilitados cuando se define una aplicación cuyo propósito sea verificar firmas.
Onesait Ecosystems Editran
21
4.Administrador de Onesait Ecosystems Editran/FF
Una vez completado el formulario se procederá a “Guardar”, quedando así la nueva aplicación almacenada con estos
parámetros en “aplicFF.cfg” y se añadirá en el árbol a una de las subramas “De firma de ficheros” o “De verificación
de firmas”, según el propósito que tenga, en la lista de la derecha.
Alta o asociación de usuarios a una aplicación
Esta operación se podrá hacer seleccionando el usuario en el árbol y arrastrándolo a la aplicación destino, o bien
seleccionando el usuario en la vista: “Usuarios de Editran/FF”, “Usuarios Locales de Editran/FF” o “Usuarios remotos
de Editran/FF” e igualmente arrastrándolo a la aplicación destino.
Desde cualquiera de estas opciones el programa pregunta:
Si la respuesta es afirmativa, dependiendo del tipo de usuario y el tipo de aplicación, se muestran los diálogos que se
describen a continuación.
Usuario local en aplicación para firmar:
Onesait Ecosystems Editran
22
4.Administrador de Onesait Ecosystems Editran/FF
Usuario: nombre del usuario asociado. Este parámetro no es editable.
Grupo: si el usuario en la aplicación forma parte de un grupo, se muestra aquí su nombre (en el apartado
4.2.4 se verá cómo crear grupos en las aplicaciones y en 4.2.5 cómo añadir usuarios de la aplicación al grupo.
Este parámetro no es editable.
Aplicación: nombre de la aplicación a la que se ha asociado el usuario. Este parámetro no es editable.
Visualizador y validador: nombre del módulo ejecutable con el que se validan y presentan los ficheros de
datos que se van a firmar. El combo recoge todos los módulos visualizadores y validadores incluidos en el
producto y mostrará seleccionado por defecto el mismo que se escogió para la aplicación. Uno y otro deben
coincidir siempre excepto cuando el visualizador que se va a utilizar es de la norma de Transferencias (tanto
en formato plano como en formato XML). En este caso, se debe especificar a nivel de aplicación el programa
Resumen y solamente en este perfil y a los usuarios que corresponda, se indicará el módulo RRHH, este
módulo permitirá al usuario visualizar el contenido completo de los ficheros y por lo tanto las transferencias
individuales.
Importe total máximo permitido en los ficheros (€): es el importe total de los ficheros de la aplicación que
puede firmar este usuario como máximo.
Nivel de firma: mediante este parámetro la aplicación puede regular el orden de los firmantes. Existen cinco
niveles, siendo el nivel 5 el que se refiere al firmante jerárquicamente inferior y así sucesivamente hasta el
nivel 1 que corresponderá al usuario con más categoría de la estructura y que será el último en firmar. En la
aplicación puede haber más de un usuario con el mismo nivel. El combo aparecerá habilitado si en la
aplicación se marcó “Habilitar orden de los firmantes”.
Siguiente firmante: cuando el usuario asociado que se describe en este diálogo firma un fichero, y siempre
que se haya configurado el envío de e-mails, el usuario seleccionado en este combo recibirá una notificación
informando de que ya puede firmar dicho fichero.
Mover/rechazar/eliminar ficheros: este campo otorga al usuario permiso para mover, rechazar y eliminar
ficheros cuando lo considere necesario.
Habilitar el envío cuando estén todas las firmas: este parámetro y el siguiente se refieren al permiso que
se le otorga al usuario en cuanto a la habilitación de la aplicación. Si se activa este primer campo, el usuario
podrá habilitar el envío de la aplicación siempre y cuando todos los ficheros de la aplicación cuenten con
todas las firmas necesarias y todas ellas sean correctas.
Habilitar el envío aunque falten firmas (forzadamente): este campo se visualiza solamente cuando se ha
activado el anterior. Seleccionarlo implica otorgar a este usuario permiso además para habilitar la
aplicación, en cualquier caso, incluso si faltan firmas.
Los siguientes campos aparecen habilitados sólo cuando el modo de firma seleccionado en la aplicación es tipo XAdES,
son opcionales. Si se rellenan, dicha información aparecerá en los nodos correspondientes de la firma resultante:
SignatureProductionPlace: es el lugar físico donde se realiza la firma. Se puede rellenar la ciudad, la
provincia, el código postal y/o el país.
SignerRole: recoge el papel que tiene el firmante en la organización.
CommytmentTypeIndication: recoge la acción del firmante sobre el documento.
Usuario local en aplicación para verificar:
Onesait Ecosystems Editran
23
4.Administrador de Onesait Ecosystems Editran/FF
Además del nombre del usuario y la aplicación que se van a relacionar, se muestran los campos:
Cuando estén todas las firmas: si se selecciona este campo el usuario podrá aceptar la aplicación recibida siempre
y cuando todos los ficheros cuenten con las firmas suficientes y todas sean correctas.
Aunque falten firmas: este campo aparece solamente cuando se ha activado el anterior. Seleccionarlo implica
otorgar a este usuario permiso para aceptar la aplicación, en cualquier caso, incluso si faltan firmas o alguna/s de
la/s que se han recibido es/son incorrectas.
Con los usuarios remotos no aparece ningún diálogo, ya que sus perfiles solo constan de los nombres de usuario y
aplicación.
En todos los casos la nueva relación Aplicación-Usuario quedará almacenada en el fichero “aplicgroupuserff.cfg” y
aparecerá en el árbol una nueva rama de la aplicación bajo el “Extremo local” o el “Extremo remoto” según el tipo de
usuario.
Alta de grupo en una aplicación
Para dar de alta un nuevo grupo en una aplicación de Editran/FF, se debe seleccionar en el árbol la rama de la aplicación
y a continuación acceder al menú “Operaciones -> Nuevo grupo/Condiciones para firma mancomunada” (también
desde menú contextual del botón derecho del ratón) o bien pulsar el botón
de la barra de herramientas. La
aplicación necesariamente deberá tener establecido “Usuarios/Grupos” en el apartado “Validación de firmas
necesarias”.
Se describen a continuación los parámetros que el sistema requiere en este caso.
Aplicación: nombre de la aplicación en la que se va a crear un grupo. Este parámetro no es editable.
Grupo: nombre del grupo que se va a crear.
Usar número de firmas obligatorias: parámetro para establecer un número mínimo de integrantes del grupo que
deben firmar cada fichero de la aplicación. Cuando se selecciona, se muestra un nuevo parámetro donde se debe
indicar esa cantidad. Se recomienda introducir en el grupo una cantidad de usuarios superior al número de firmas
obligatorias para garantizar el flujo de firma cuando alguno de los usuarios se encuentre ausente.
Usar número de firmas permitidas: parámetro para establecer un número máximo de integrantes del grupo que
pueden firmar cada fichero de la aplicación. Cuando se selecciona, se muestra un nuevo parámetro donde se debe
indicar esa cantidad.
Onesait Ecosystems Editran
24
4.Administrador de Onesait Ecosystems Editran/FF
El número de firmas permitidas no puede ser inferior al de firmas obligatorias.
Una vez que se seleccione “Guardar” esta nueva relación Aplicación-Grupo quedará alojada en el fichero
“aplicgroupff.cfg”. En AdminFF, si la aplicación es para firmar, el grupo se añadirá bajo la rama “Extremo local” de la
aplicación, si es para verificar, bajo “Extremo remoto”.
Introducir un usuario en un grupo
Para poder realizar esta operación es necesario que el usuario ya esté relacionado previamente con la aplicación y que
tanto el grupo como el usuario estén bajo la misma rama “Extremo local” o “Extremo remoto”. Cumplido este
requisito, será suficiente seleccionar el usuario o bien en el árbol o bien en cualquiera de las vistas: “Usuarios y grupos
de la Aplicación...”, “Usuarios y grupos locales de la Aplicación...”, “Usuarios y grupos remotos de la Aplicación...” y
arrastrarlo hasta el grupo de destino en el árbol.
Automáticamente coloca el usuario bajo la rama del grupo en el árbol y escribe el nombre del grupo bajo la columna
“Grupo” en la vista de la derecha.
Respecto a los ficheros de configuración, esta operación no añade una nueva relación, sino que modifica la que ya
existía entre el usuario y la aplicación en el fichero “aplicgroupuserff.cfg” sustituyendo el valor nulo del parámetro
“Grupo” por el nuevo valor.
Onesait Ecosystems Editran
25
4.Administrador de Onesait Ecosystems Editran/FF
Alta condiciones mancomunadas
Para dar de alta nuevas condiciones de firma mancomunada en una aplicación de Editran/FF, se debe seleccionar en
el árbol la rama de la aplicación y a continuación acceder al menú “Operaciones -> Nuevo grupo/Condiciones para
firma mancomunada” (también desde menú contextual del botón derecho del ratón) o bien pulsar el botón
barra de herramientas.
de la
La aplicación necesariamente deberá tener establecido “Reglas mancomunadas” en el apartado “Validación de firmas
necesarias”.
Se mostrará un diálogo con los siguientes elementos:
Aplicación – Propósito: información relativa a la aplicación a la que se va a añadir la regla, este campo no son
editables.
Condiciones: lista que recoge todas las condiciones establecidas para la aplicación.
Nueva condición: botón para dar de alta una nueva regla mancomunada.
Modificar condición: botón para hacer cambios en una condición ya existente.
Salir: botón para cerrar el diálogo.
Onesait Ecosystems Editran
26
4.Administrador de Onesait Ecosystems Editran/FF
Al pulsar el botón “Nueva condición”, se habilita la zona inferior del diálogo donde se muestran los parámetros
necesarios para configurar una nueva regla o condición. Son:
Usuarios locales/remotos de la aplicación: lista con la totalidad de usuarios de la aplicación. Los usuarios
mostrados son los de tipo local en las aplicaciones para firmar o los de tipo remoto en las que tienen como
propósito verificar.
Usuarios de la condición: lista de los usuarios que van a participar en la condición que se va a crear. Para
añadir usuarios a esta lista, seleccione tantos como sea necesario en la lista “Usuarios locales/remotos de la
aplicación” y utilice el botón
. Para eliminar usuarios de esta lista, selecciónelos y pulse
.
Nº firmas necesarias: cantidad de firmantes de la lista “Usuarios de la condición” que deben firmar cada
fichero para dar la condición por cumplida. La participación en la condición de una cantidad de usuarios
superior al número de firmas necesarias, garantiza la continuidad del flujo de firma cuando alguno de los
firmantes se encuentre ausente.
Importe máximo: importe máximo que pueden tener los ficheros que se firmen con esta regla. Se indicará ‘0’
cuando no haya límite.
Onesait Ecosystems Editran
27
4.Administrador de Onesait Ecosystems Editran/FF
Cuando se hayan completado todos los campos, se pulsará “Guardar” para dar de alta la nueva condición. La
nueva condición se añadirá a la lista superior, “Condiciones” y la parte inferior quedará deshabilitada.
Onesait Ecosystems Editran
28
4.Administrador de Onesait Ecosystems Editran/FF
Realice esta operación para dar de alta tantas condiciones de firma mancomunada como sean necesarias. La
introducción de condiciones redundantes o innecesarias podría ralentizar el proceso de validación puesto que
se comprueba una a una, y en el orden en el que se dan de alta, hasta encontrar la primera que se cumple.
Editar, modificar perfiles
Si se desea acceder al perfil guardado para un usuario o una aplicación, tanto para visualizarlo como para modificarlo,
se podrá seleccionar el elemento concreto en el árbol o en cualquiera de las vistas:
Si el elemento es un usuario “Usuarios”, “Locales” o “Remotos”
Si el elemento es una aplicación “Aplicaciones”, “De firma de ficheros” o “De verificación de fimas”
Si el elemento es un grupo nombre del grupo debajo de ”Extremo local” o de “Extremo remoto” dentro de la
aplicación.
Si el elemento es un usuario ya asociado a una aplicación nombre del usuario debajo de ”Extremo local” o de
“Extremo remoto” dentro de la aplicación, y dentro de grupo o no.
Y a continuación, o bien desplegar el menú “Operaciones -> Editar” (también desde menú contextual del botón
derecho del ratón), o bien pulsar el segundo botón de la barra de herramientas
elemento seleccionado en el árbol o la lista.
o hacer doble clic sobre el
En cada caso se mostrará el diálogo con los parámetros correspondientes al elemento (los mismos que ya se han visto
en los apartados explicativos del alta de cada elemento). Se podrán modificar los valores que aparezcan habilitados y
con “Guardar” establecer esos nuevos valores en los perfiles.
Si el elemento son las condiciones mancomunadas -> se seleccionará en el árbol o en la lista al elemento de la
aplicación y a continuación se accederá al menú “Operaciones -> Nuevo grupo/Condiciones para firma
mancomunada” (también desde menú contextual del botón derecho del ratón) o bien pulsar el botón
de la
barra de herramientas. Se mostrará el diálogo “Condiciones de firma mancomunada” que se ha visto en el
apartado 4.2.6. Seleccionando la condición a modificar y pulsando el botón “Modificar condición”, se habilitará
la zona inferior del diálogo donde se podrán escribir los nuevos valores. Se pulsará “Guardar” para establecer los
nuevos valores en los perfiles.
Desligar un Usuario de un Grupo
Para extraer un usuario de un grupo, se debe seleccionar la rama de dicho usuario bajo el grupo y arrastrarlo hasta la
rama de la aplicación en el árbol.
Eliminar perfiles
Para eliminar el perfil guardado para un usuario, una aplicación, un grupo o el vínculo de un usuario a una aplicación,
se seleccionará el elemento concreto en el árbol, o en la lista del panel de la derecha, y a continuación, o bien desplegar
el menú “Operaciones -> Eliminar” (también desde menú contextual del botón derecho del ratón), o bien pulsar el
tercer botón de la barra de tareas
o también pulsar la tecla ‘SUPR’. Si lo que se quiere eliminar es el vínculo de
un usuario a una aplicación, y el usuario se encuentra formando parte de un grupo, se arrastrará primero hasta la rama
de la aplicación para sacarlo del grupo (véase 4.3.1) antes de proceder a eliminarlo.
Para eliminar condiciones mancomunadas, se seleccionará en el árbol o en la lista al elemento de la aplicación y a
continuación se accederá al menú “Operaciones -> Nuevo grupo/Condiciones para firma mancomunada” (también
desde menú contextual del botón derecho del ratón) o bien pulsar el botón
de la barra de herramientas. Se
mostrará el diálogo “Condiciones de firma mancomunada” que se ha visto en el apartado 4.2.6. Seleccionando la
condición a eliminar y pulsando SUPR del teclado, la condición desaparecerá de la lista “Condiciones” y quedará
eliminada.
Onesait Ecosystems Editran
29
5.Usuario de Onesait Ecosystems Editran/FF
5. Usuario de Onesait Ecosystems · Editran/FF
Una vez configurados en AdminFF los perfiles de usuarios, aplicaciones y relaciones entre ambos, los usuarios podrán
acceder a la interfaz gráfica UserFF para validar, visualizar y firmar los ficheros de las aplicaciones a las que se
encuentren relacionados, o simplemente consultar cuáles son los ficheros de esa aplicación y visualizarlos. Así mismo
desde UserFF podrán habilitar el envío de las aplicaciones para firmar y aceptar las firmas de las aplicaciones para
verificar.
El usuario introducirá en la siguiente pantalla el nombre o alias del usuario con el que ha sido dado de alta, el sistema
le solicitará el código PIN de su certificado.
Si existiera en el equipo más de uno de los certificados asociados al usuario, se mostrará un diálogo donde este deberá
seleccionar uno de ellos. Si el certificado lo requiere, seguidamente se solicitará el PIN.
Seguidamente, de manera automática:
Si se configuró en AdminFF.exe, se realizará la conexión con el servidor de ficheros.
Se levantará el servicio XAdES si hay alguna aplicación que va a utilizar alguno de sus modos y siempre que
XAdES/bin/start_xades.bat esté correctamente configurado (se recomienda comprobar en
XAdES/logs/out.log).
Si el usuario logeado es uno de los que están configurados en los perfiles, se le mostrará una interfaz que de nuevo
tiene dos ramas principales.
Aplicaciones: recoge las aplicaciones a las que está vinculado el usuario. Esta rama está dedicada a la consulta.
Haciendo doble clic sobre una aplicación en el árbol se despliega la estructura de la aplicación, mostrando
todos sus usuarios y grupos. El usuario logeado es remarcado mediante un icono diferente al de los demás
usuarios. Seleccionando en el árbol una aplicación, la vista de la derecha mostrará información de cada
usuario asociado a ella. Por su parte, la selección de un grupo muestra los parámetros del perfil de la relación
aplicación – grupo (número firmas obligatorias y número de firmas permitidas) y la del usuario un listado de
los ficheros de la aplicación y el estado de firma en el que se encuentran.
Onesait Ecosystems Editran
2
5.Usuario de Onesait Ecosystems Editran/FF
Si el usuario seleccionado en la rama es el logeado, se habilitarán en los menús las operaciones de los ficheros.
Si el usuario seleccionado es cualquier otro, únicamente se podrá consultar el estado de sus firmas respecto
a cada fichero de la aplicación.
Ficheros a firmar: es la rama que aparece seleccionada por defecto, muestra en el panel de la derecha la lista
de ficheros de las diferentes aplicaciones que el usuario puede firmar. En concreto, la vista muestra el nombre
del fichero, el nombre de la aplicación a la que pertenece, el importe total del fichero (en los formatos en los
que proceda), el alias de los usuarios que ya lo han firmado así como el de los que lo han comentado. La
finalidad de esta rama es visualización y firma de los ficheros que el usuario tiene pendientes. El proceso de
firma se explicará con más detalle en el apartado 5.2.1.
Onesait Ecosystems Editran
3
5.Usuario de Onesait Ecosystems Editran/FF
Barras de menú y herramientas
A continuación se describen los diferentes menús y submenús y las tareas que se pueden realizar desde ellos. Los
menús y los botones aparecerán habilitados o deshabilitados en función del elemento que se haya seleccionado en la
vista.
Menú “Usuario”
5.1.1.1. Entrar con otro usuario
Mediante este menú se cerrará la sesión del usuario logeado y se podrá reanudar con otro diferente.
5.1.1.2. Salir
Cierra la sesión del usuario y la ventana.
Menú “Operaciones”
5.1.2.1. Fichero
Este menú ofrece todas las tareas que se pueden realizar con los ficheros. Los submenús que a continuación se
describen, se mostrarán habilitados cuando el elemento que esté seleccionado en la lista del panel derecho sea un
fichero:
Firmar: desencadena el proceso de firma, véase 5.2.1. El botón
ofrece la misma funcionalidad.
Eliminar la firma: desde aquí se podrá borrar la firma del fichero siempre que el fichero no tenga firmas de
otros usuarios. El botón
ofrece la misma funcionalidad. Para más información, véase 5.2.2.
Comentarios: abre un diálogo que permite hacer anotaciones respecto al fichero para que el resto de
firmantes puedan verlo, véase 5.2.3.
Rechazar/mover/eliminar: abre un diálogo que permite completar la información necesaria para sacar el
fichero del circuito de firmas, o bien moviéndolo a otro directorio o bien eliminándolo por completo. Esta
operación sólo la podrán realizar los usuarios que en los perfiles tengan el permiso correspondiente. Para más
información, véase 5.2.4.
5.1.2.2. Aplicación
Este menú ofrece todas las tareas que se pueden realizar con las aplicaciones. Los submenús que a continuación se
describen, se mostrarán habilitados cuando el elemento que esté seleccionado en el árbol o en la lista del panel
derecho sea una aplicación:
Onesait Ecosystems Editran
4
5.Usuario de Onesait Ecosystems Editran/FF
v
Habilitar (F)/Aceptar(R): desencadena el proceso de habilitar la aplicación si la aplicación es para firmar o
de aceptarla si la aplicación es para verificar firmas. Esta operación sólo la podrán realizar los usuarios que
en los perfiles tengan el permiso correspondiente y sobre las aplicaciones que tengan configurado “Sí” en
el apartado “Habilitación” del perfil. El botón
de la barra de tareas ofrece la misma funcionalidad.
-
La habilitación es la generación de un fichero, con formato propio de Editran/FF, que resume la
situación actual de cada fichero de la aplicación (respecto a quien lo ha firmado, cuales son los
ficheros de firma resultantes y si falta alguna firma). El fichero queda en el directorio de firmas
con el mismo nombre que la aplicación y la extensión .p7b. Mientras se encuentre en dicho
directorio, el proceso de firma queda detenido.
En el extremo en el que se verifican las firmas y se ha recibido la habilitación, la aceptación es la
generación de un fichero, con formato propio de Editran/FF que supone la confirmación de la
aplicación recibida, opcionalmente puede recoger una observación. El fichero queda en el
directorio de firmas con el mismo nombre que la aplicación y extensión .Rec.Acept.p7b.
Deshabilitar (F)/ Rechazar (V): si la aplicación es para firmar, se eliminará el fichero de habilitación y si es
para verificar, creará un fichero de rechazo de la aplicación. El fichero de rechazo tiene formato propio de
Editran/FF, quedará en el directorio de firmas con el mismo nombre que la aplicación y extensión .Rec.
Recha.p7b. Recoge el motivo del rechazo de la aplicación recibida. El botón
de la barra de tareas ofrece
la misma funcionalidad.
Validar la Emisión-Recepción: si la aplicación es para firmar y se ha recibido del extremo receptor el
fichero de aceptación o el de rechazo, desde aquí se podrá generar un nuevo fichero, con formato propio
de Editran/FF, con el que se da por finalizado el envío y recepción de las firmas. El fichero queda en el
directorio de firmas con el mismo nombre que la aplicación seguido de la extensión .ValEmiRec.p7b.
Mientras este fichero se encuentre en el directorio, el proceso de firma de la aplicación quedará detenido.
El botón
de la barra de tareas ofrece la misma funcionalidad.
Inicializar: devuelve la aplicación a su situación inicial, eliminado todas las firmas. Sólo podrán realizar esta
operación los usuarios que tengan permiso para habilitar/aceptar la aplicación. El botón
de la barra
de tareas ofrece la misma funcionalidad.
Descifrar/descomprimir los ficheros: si la aplicación seleccionada es para verificar firmas y se han recibido
los ficheros comprimidos y/o cifrados, desde aquí se podrán descomprimir y descifrar.
5.1.2.3. Mostrar
Si el elemento que está seleccionado en la ventana es un fichero, muestra su contenido editado de manera amigable,
si es una aplicación y está habilitada, aceptada, rechazada o validada la emisión-recepción, muestra el contenido de
estos ficheros editados de manera amigable.
Onesait Ecosystems Editran
5
5.Usuario de Onesait Ecosystems Editran/FF
Consultas
5.1.3.1. Hash de los ficheros
Muestra un diálogo que facilita la consulta del hash de los ficheros de datos de cada aplicación. En el diálogo es posible
configurar tanto el algoritmo de hash con el que se quiere calcular como el formato con el que se desea visualizar. A
través del botón “Copiar todos” se copia en el portapapeles el hash de todos los ficheros de la aplicación que esté
seleccionada en el combo con el algoritmo y formato que estén marcados. El botón
misma funcionalidad.
de la barra de tareas ofrece la
5.1.3.2. Resumen de la aplicación
Muestra un diálogo con toda la información que el usuario puede requerir de cada Aplicación. Supone una alternativa
más rápida a la consulta rama a rama, aplicación por aplicación, en el árbol.
Se puede consultar:
Onesait Ecosystems Editran
6
5.Usuario de Onesait Ecosystems Editran/FF
Las características estáticas de la aplicación, si está cifrada, comprimida, si tiene requiere fichero de
habilitación, el formato, etc. (los parámetros que se especificaron en AdminFF).
Las características dinámicas, por ejemplo, el estado actual de la aplicación (que dependerá de las firmas que
existan en ese momento), el estado particular de cada fichero respecto a cada usuario de la aplicación e
información sobre si se cumplen o no los grupos (número de firmas obligatorias y permitidas) o las
condiciones mancomunadas, según corresponda.
Los ficheros de habilitación y de aceptación rechazo, cuando existan.
Desde este diálogo además se puede ir a firmar ficheros cuando aún alguno esté pendiente de recibir la misma.
Modificando la selección del combo, se puede consultar el estado de cualquiera de las aplicaciones en las que el
usuario logeado es firmante.
El botón
ofrece la misma funcionalidad.
5.1.3.3. Consultar log
Muestra un diálogo con todos los registros de log anotados por el sistema. La consulta se puede filtrar por nombre de
aplicación y por fecha, se puede visualizar el detalle de cada registro y comprobar la integridad del log para saber si ha
podido ser manipulado. El fichero de log tiene un formato propio de EDItran/FF y está securizado: cualquier
manipulación del fichero sería detectada por Editran/FF. La integridad del fichero se puede comprobar a través del
botón “Comprobar” del apartado “Integridad del fichero”.
Onesait Ecosystems Editran
7
5.Usuario de Onesait Ecosystems Editran/FF
El botón
de la barra de tareas ofrece la misma funcionalidad.
5.1.3.4. Consultar integridad
Comprueba la integridad del fichero de log en cuanto a si ha sido manipulado externamente a Editran/FF. Ofrece la
misma funcionalidad que el botón “Comprobar” del diálogo del Log.
5.1.3.5. Actualizar la información
Refresca el contenido del árbol y de la lista. El botón
de la barra de herramientas ofrece la misma funcionalidad.
Operaciones principales sobre los ficheros
Procedimiento de firma
La tarea de firmar se puede realizar desde la rama “Ficheros a firmar” del árbol o desde la subrama con el nombre del
usuario firmante que cuelga de la rama Aplicaciones -> Propósito -> Nombre de la aplicación.
El fichero sólo aparecerá como disponible para el usuario
1.
2.
3.
Si forma parte de alguna aplicación a la que se encuentre asociado el usuario.
Si aún no tiene el número de firmas necesarias.
Si supera el control de validación (orden de firmantes, importe del fichero, etc.).
La interfaz ofrece tres maneras para hacerlo:
1.
El menú “Operaciones” –> “Fichero” -> “Firmar”.
2.
El segundo botón de la barra de herramientas
3.
El menú contextual (botón derecho del ratón).
4.
Si la rama seleccionada es “Ficheros a firmar”, haciendo doble clic sobre la fila del fichero en la lista.
.
Onesait Ecosystems Editran
8
5.Usuario de Onesait Ecosystems Editran/FF
El sistema mostrará el contenido del fichero con el visualizador asociado en el diálogo de la relación entre el usuario y
la aplicación.
Todos los visualizadores de ficheros incluidos en el sistema Editran/FF (véase 6.1) permiten, además de firmar,
imprimir todo el fichero, un listado o un resumen del mismo o generar un PDF con el contenido editado.
Si el certificado con el que se va a firmar se instaló con nivel de seguridad alto, si es de tarjeta o si han transcurrido 5
minutos desde que se introdujo por última vez, se solicitará el PIN.
Cuando el fichero se firma con éxito, estando seleccionada la rama “Ficheros a firmar”, el fichero firmado desaparece
de la lista. Por el contrario, si la firma se realiza estando seleccionado el usuario logeado bajo la rama “Aplicaciones”,
el fichero mostrará su nuevo estado respecto a él, normalmente “Fichero firmado correctamente” y el nombre del
usuario aparecerá bajo la columna “Firmado por”
Onesait Ecosystems Editran
9
5.Usuario de Onesait Ecosystems Editran/FF
El fichero de firma se guardará en el directorio de firmas que se haya especificado en el perfil de la aplicación, con la
extensión correspondiente al tipo de firma elegido, .p7b o .xsig.
Si a continuación debieran firmar otros usuarios desde el mismo interfaz de Usuario de Editran/FF se seleccionará el
menú “Usuario ->Entrar como otro usuario” repitiéndose a continuación el proceso aquí descrito.
Eliminar una firma
Esta operación requiere un estado de fichero firmado y se realiza teniendo seleccionado en la lista (panel derecho) el
fichero de una de las tres siguientes formas:
1.
Desde el menú “Operaciones –> Fichero -> Eliminar Firma”
2.
El botón
3.
El menú contextual (botón derecho del ratón).
de la barra de herramientas.
Se podrá eliminar una firma únicamente si el fichero no tiene además firmas realizadas por otros usuarios.
Se mostrará un mensaje
Y el fichero volverá al estado “Puede Firmar”.
Comentarios
Se puede realizar, teniendo seleccionado en la lista (panel derecho) el fichero, de una de las dos siguientes formas:
1.
Desde el menú “Operaciones –> Fichero -> Eliminar Firma”
2.
El menú contextual (botón derecho del ratón).
Onesait Ecosystems Editran
10
5.Usuario de Onesait Ecosystems Editran/FF
Permite tanto visualizar comentarios ya existentes como publicar otros nuevos.
Cuando existen comentarios sobre el fichero, al pulsar esta opción el usuario verá un diálogo como éste:
En él se recoge la lista de todos los comentarios que se han hecho sobre ese fichero. Cada uno consta del nombre del
comentarista, la fecha en la que lo publicó y el texto del comentario propiamente.
El usuario podrá desde aquí modificar y/o eliminar aquellos comentarios de los que es autor.
Pulsando el botón “Publicar”, o cuando hasta ese momento no exista ningún comentario sobre el fichero, el diálogo
que se abrirá será éste:
Los comentarios se almacenan firmados y cada vez que son consultados se comprueba su integridad.
Onesait Ecosystems Editran
11
5.Usuario de Onesait Ecosystems Editran/FF
Cuando existen comentarios sobre un fichero, en las listas antes mencionadas aparece, bajo la columna “Comentado
por…”, el icono de un documento seguido de los nombres de los usuarios, separados por “;”, que han realizado los
mismos. El asterisco junto al nombre indica que el usuario es el logeado.
Mover/Rechazar/Eliminar
Se puede realizar, teniendo seleccionado en la lista (panel derecho) el fichero, de una de las dos siguientes formas:
1.
Desde el menú “Operaciones –> Fichero -> Rechazar/Mover/Eliminar”
2.
El menú contextual (botón derecho del ratón).
Permite sacar del circuito el fichero seleccionado, moviéndolo a otro directorio o incluso eliminándolo. Esta operación
queda registrada en el log. Sólo la pueden realizar los usuarios a los que se haya otorgado el permiso correspondiente
en los perfiles.
Se muestra el diálogo:
Onesait Ecosystems Editran
12
5.Usuario de Onesait Ecosystems Editran/FF
El fichero se podrá eliminar a través del botón “Eliminar” o desplazar a otro directorio mediante el botón “Mover”. Si
en la aplicación se indicó un directorio para los rechazos, aparecerá escrito. En cualquier caso se podrá utilizar el botón
“…” para elegir otra ubicación. Editran/FF no dispone de ningún automatismo para recuperar esos ficheros y
devolverlos a su ubicación original.
Operaciones principales sobre las aplicaciones
Todas las operaciones que se describen a continuación generan una entrada en el log.
Habilitar envío/Aceptar la aplicación
Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación, de
una de las tres siguientes formas:
1.
Desde el menú “Operaciones –> Aplicación -> Habilitar (F)/Aceptar(V)”
2.
El botón
3.
El menú contextual (botón derecho del ratón).
de la barra de tareas.
Desencadena el proceso de habilitar la aplicación si la aplicación es para firmar o de aceptarla si la aplicación es para
verificar firmas. Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario
tengan el permiso correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación”
del perfil.
Habilitar una aplicación (en aplicaciones para firmar)
La habilitación es la generación de un fichero, con formato propio de Editran/FF, que resume la situación actual de
cada fichero de la aplicación (respecto a quien lo ha firmado, cuales son los ficheros de firma resultantes y si falta
alguna firma). El fichero queda en el directorio de firmas con el mismo nombre que la aplicación y la extensión .p7b.
Mientras se encuentre en dicho directorio, el proceso de firma queda detenido.
Cuando en los perfiles de la aplicación se haya seleccionado “Habilitación automática”, existan todos los ficheros de
firma asociados a cada uno de los ficheros del directorio de datos y todos sean correctos, el sistema preguntará
automáticamente:
En cambio, si la habilitación se provoca manualmente por parte del usuario:
Solicitándose a continuación, en ambos casos, el PIN del certificado al usuario si han transcurrido más de 5 minutos de
inactividad.
Si la aplicación se va a cifrar también se solicitará el PIN del certificado del cifrado.
Cuando faltan ficheros por firmar, y el usuario tenga permiso para habilitar incluso si faltan firmas, el mensaje siguiente
lo informa:
Onesait Ecosystems Editran
13
5.Usuario de Onesait Ecosystems Editran/FF
Lo siguiente será decidir si se desea mover los ficheros firmados, y sus firmas, a otra carpeta:
En caso afirmativo, dichos ficheros desaparecerán de sus carpetas de origen y se desplazarán a la carpeta “No Firma”
que se crea, si no existe, bajo el directorio donde se alojan los ficheros de datos. Este proceso evita que los ficheros
que no estén firmados se envíen cuando si hay un proceso que lo hace automáticamente cuando existe el fichero de
habilitación de la aplicación.
Además, si se configuró compresión en el perfil de la aplicación, se mostrará un diálogo informativo semejante al
siguiente:
Finalmente, se genera automáticamente un fichero de habilitación firmado por este usuario y la aplicación alcanzará
uno de los siguientes estados: “Habilitado el envío”, "Habilitado el envío sin todas las firmas (forzadamente)" o
"Habilitado el envío. Cifrada y/o comprimida".
Si en la aplicación se configuró un directorio de envío, en este momento se moverán a él los ficheros de datos y/o los
de firma, según se haya indicado en la configuración. A partir de ese momento la validación de la aplicación se hace
sobre ese directorio y el flujo de firma queda detenido mientras existan ficheros en él.
Aceptar una aplicación (en aplicaciones para verificar firmas)
En el extremo en el que se verifican las firmas y se ha recibido la habilitación, la aceptación es la generación de un
nuevo fichero de firma, con formato propio de Editran/FF, que supone la confirmación de la aplicación recibida,
opcionalmente puede recoger una observación. El fichero queda en el directorio de firmas con el mismo nombre que
la aplicación y extensión .Rec.Acept.p7b. Si procede, previamente a la aceptación, se habrá descifrado y/o
descomprimido (véase 5.3.5). Realizando esta operación, la aplicación alcanzará el estado “Recepción aceptada”.
Deshabilitar el envío/Rechazar la aplicación
Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación, de
una de las tres siguientes formas:
Onesait Ecosystems Editran
14
5.Usuario de Onesait Ecosystems Editran/FF
1.
Desde el menú “Operaciones –> Aplicación -> Deshabilitar (F)/Rechazar(V)”
2.
El botón
3.
El menú contextual (botón derecho del ratón).
de la barra de tareas.
Desencadena el proceso de deshabilitar la aplicación si la aplicación es para firmar o de rechazarla si la aplicación es
para verificar firmas.
-
La deshabilitación de una aplicación para firmar es la eliminación del fichero de habilitación de la aplicación.
Cuando se pulsa “Aceptar”, el fichero de habilitación se elimina y la aplicación pasa al estado “Firmada. No
habilitado el envío”.
-
En el extremo en el que se verifican las firmas y se ha recibido la habilitación, el rechazo supone la generación
de un fichero con formato propio de Editran/FF que quedará en el directorio de firmas con el mismo nombre
que la aplicación y extensión .Rec. Recha.p7b. Recoge el motivo del rechazo de la aplicación recibida. La
aplicación alcanzará el estado “Recepción Rechazada”.
Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario tengan el permiso
correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil.
Validar la emisión – recepción
Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación para
firmar, de una de las tres siguientes formas:
4.
Desde el menú “Operaciones –> Aplicación -> Validar la Emisión - Recepción”
5.
El botón
6.
El menú contextual (botón derecho del ratón).
de la barra de tareas.
Si la aplicación es para firmar y se ha recibido del extremo receptor el fichero de aceptación o el de rechazo, desde
aquí se podrá generar un nuevo fichero, con formato propio de Editran/FF con el que se da por finalizado el envío y
recepción de las firmas. El fichero queda en el directorio de firmas con el mismo nombre que la aplicación seguido de
la extensión .ValEmiRec.p7b. Mientras este fichero se encuentre en el directorio, el proceso de firma de la aplicación
quedará detenido. La aplicación alcanzará el estado “Emisión-Recepción aceptada”.
Onesait Ecosystems Editran
15
5.Usuario de Onesait Ecosystems Editran/FF
Si el usuario tiene el permiso correspondiente en perfiles, podrá validar la emisión-recepción incluso desde el estado
“Recepción Rechazada”. En este caso visualizará el mensaje:
Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario tengan el permiso
correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil.
Inicializar la aplicación
Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación, de
una de las tres siguientes formas:
1.
Desde el menú “Operaciones –> Aplicación -> Inicializar”
2.
El botón
3.
El menú contextual (botón derecho del ratón).
de la barra de tareas.
Si la aplicación es para firmar, elimina todos los ficheros de firma, y devuelve la aplicación al estado “Faltan todas las
firmas”. Si la aplicación es para verificar, elimina tanto los ficheros de datos como los ficheros de firma y devuelve la
aplicación al estado “No recibida”.
Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario tengan el permiso
correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil.
Descifrar/Descomprimir los ficheros.
Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación para
verificar firmas, de una de las tres siguientes formas:
1.
Desde el menú “Operaciones –> Aplicación -> Descifrar/Descomprimir los ficheros (V)r”
2.
El menú contextual (botón derecho del ratón).
Cuando la aplicación para verificar firmas ha recibido los ficheros, estos se deberán descomprimir y/o descifrar antes
de realizar cualquier otra operación (aceptar o rechazar). Esta operación sólo puede realizarse desde un equipo que
tenga acceso a la ubicación del certificado para cifrado que se indicó en perfiles.
Cuando el usuario pulse “Aceptar”, Editran/FF solicitará la contraseña del certificado a utilizar en el descifrado. El
siguiente mensaje muestra el nombre del fichero descifrado, pero aún comprimido:
Onesait Ecosystems Editran
16
5.Usuario de Onesait Ecosystems Editran/FF
Seguidamente otro mensaje informativo de la descompresión. Finalmente, el siguiente mensaje confirmará el éxito de
la tarea:
Enviar correo electrónico de notificación
Esta operación se realiza desde el botón
de la barra de herramientas. Sirve para enviar desde la interfaz correos
electrónicos a otros usuarios locales. Para ello deberá estar debidamente configurado el envío de emails en
AdminFF.exe.
El combo ofrece los alias de todos los usuarios locales dados de alta. La selección de cada uno escribe automáticamente
la dirección en el campo “e-mail/s”, siempre que se haya indicado la misma en el perfil de usuario correspondiente.
En caso contrario se podrán escribir manualmente. Se pueden añadir tantas direcciones como sean necesarias,
siempre separadas por ‘;’.
Estados de las aplicaciones
Una aplicación de Editran/FF alcanza diferentes estados según se van firmando los ficheros asociados a ésta y
realizando las operaciones correspondientes.
El estado de la aplicación marca de forma inequívoca el momento en que se encuentra ésta, así como las posibles
acciones que se pueden realizar sobre ella.
A continuación, se muestran todos los estados que puede adoptar una aplicación de Editran/FF, así como una breve
descripción:
Onesait Ecosystems Editran
17
5.Usuario de Onesait Ecosystems Editran/FF
Estado
Descripción
0 - Faltan todas las firmas
No hay ningún fichero firmado.
1 – Faltan firmas
No se han firmado todos los ficheros por todos los usuarios
necesarios.
2 - Hay alguna firma incorrecta
Alguna/s de las firmas se ha realizado con un certificado no válido
o el fichero firmado y el original no coinciden.
3 – Firmada. No habilitado el
envío
Se han firmado todos los ficheros por todos los usuarios pero aún
no se ha habilitado el envío.
4 – Habilitado el envío
Se han firmado todos los ficheros de la aplicación por parte de
todos los usuarios, todas las firmas son correctas y se ha habilitado
su envío. La información recogida en el fichero de habilitación se
cumple.
5 – Recepción aceptada
Las firmas recibidas en la aplicación son correctas y se ha firmado
la aceptación de la recepción.
6 – Recepción rechazada
Alguna de las firmas recibidas no es correcta y se firmado el rechazo
de la aplicación.
7 – No recibida
En aplicaciones para verificar, no se ha recibido el fichero de
habilitación de una aplicación de recepción o, si la aplicación no
requiere habilitación, ningún fichero de firma.
8 – Emisión-Recepción aceptada
Se ha recibido la aceptación de la aplicación por parte del extremo
remoto y se ha firmado la validación de toda la operación.
9 – Habilitado el envío sin todas
las firmas (forzadamente)
La aplicación se ha habilitado para su envío sin estar todas las
firmas necesarias.
10 – Habilitada. Cifrada y/o
comprimida
La aplicación se ha habilitado y se han cifrado y/o comprimido los
datos.
11 – No existen Ficheros de Datos
No hay ficheros asociados a la aplicación (directorio de ficheros a
firmar vacío).
12 – Habilitado el envío con
certificado inválido
Se ha habilitado la aplicación con un certificado no válido (no
encontrado, revocado, caducado...)
13 – Aplicación firmada. No
requiere fichero de habilitación.
Cuando la aplicación está configurada con firma attached, todos los
ficheros están completamente firmados y no se requiere fichero de
habilitación.
14 – Habilitado el envío. Faltan
ficheros de datos
El fichero de habilitación contiene información de ficheros de datos
que sin embargo ya no se encuentran en el directorio.
15 – Fichero de habilitación
inválido
Existe un fichero de habilitación de la aplicación, pero ha sido
manipulado manualmente después de haberse generado y
Editran/FF no puede interpretarlo.
16 - Fichero de aceptación de
emisión-recepción invalido
Existe un fichero de aceptación de emisión-recepción de la
aplicación, pero ha sido manipulado manualmente después de
haberse generado y Editran/FF no puede interpretarlo.
17 - Fichero de aceptación de
recepción inválido
Existe un fichero de aceptación de recepción de la aplicación, pero
ha sido manipulado manualmente después de haberse generado y
Editran/FF no puede interpretarlo..
18 - Fichero de rechazo de
recepción inválido
Existe un fichero de rechazo de recepción de la aplicación, pero ha
sido manipulado manualmente después de haberse generado y
Editran/FF no puede interpretarlo.
Onesait Ecosystems Editran
18
5.Usuario de Onesait Ecosystems Editran/FF
Estado
Descripción
19 - Emisión-Recepción aceptada
con certificado inválido
El certificado con el que se ha firmado la aceptación de la emisiónrecepción no es válido (no encontrado, revocado, caducado...).
20 - Recepción aceptada con
certificado inválido
El certificado con el que se ha firmado la aceptación de la recepción
no es válido (no encontrado, revocado, caducado...).
21 - Recepción rechazada con
certificado inválido
El certificado con el que se ha firmado el rechazo de la recepción
no es válido (no encontrado, revocado, caducado...).
22 - Habilitado el envío. Alguna
firma es incorrecta
La aplicación está habilitada, pero validando alguna/s de las firmas
en él mencionadas, se obtiene que se ha realizado con un
certificado no válido o que el fichero firmado y el original no
coinciden.
23 - Habilitado el envío. Falta
alguna firma
Alguna de las firmas del directorio se ha eliminado con
posterioridad a la realización de la habilitación.
24 - Habilitado el envío. Algún
fichero de datos/firma es nuevo
En los directorios de datos y/o firmas hay algún fichero que se ha
añadido con posterioridad a la realización de la habilitación.
Desde el dialogo de Usuario se pueden consultar los estados de todas las aplicaciones asociadas a un usuario
desplegando la rama Aplicaciones. Ésta podría ser una tarea costosa si existieran muchas aplicaciones debido a que el
número de cálculos a realizar es elevado. Si sólo se pretende ver los estados de las aplicaciones para firmar o para
verificar se recomienda abrir el árbol utilizando el +/- y a continuación pulsar sobre la rama correspondiente. Si lo que
se desea es consultar el estado de una aplicación en concreto lo más conveniente es utilizar el “Resumen de la
Aplicación” (véase 5.1.3.2).
El estado de la aplicación puede ser solicitado desde una aplicación externa utilizando el comando “EstadoApl.exe”
que retorna el número asociado a cada estado (ver sección 7.3).
Estados de los ficheros
De la misma manera que la aplicación tiene en todo momento asociado un estado que depende de las firmas realizadas
sobre los ficheros de estas, los ficheros también tienen los suyos propios. Son los que a continuación se muestran:
Estado
0 – Fichero no firmado
1 – Fichero firmado
correctamente
2 – Firma inválida
3 – No puede firmar: orden (nivel
de firma)
4 – No puede firmar: max. firmas
5 – Puede firmar
6 – Fichero cifrado y/o
comprimido
7 – No puede firmar: habilitado el
envío
8 – No se puede firmar:
mancomunada
9 – Fichero con firmas suficientes
Descripción
Es fichero no ha sido firmado por ese usuario.
El usuario ha firmado el fichero.
La firma del fichero es inválida. Posible modificación del fichero de
datos o de firma con posterioridad a la realización de la misma.
El usuario no puede firmar debido al orden de firmas, hay otros
usuarios que deben firmar antes para que él pueda firmar.
El usuario no puede firmar debido a que el fichero ya ha alcanzado
el número máximo de firmas por fichero (número de firmas
permitidas).
El usuario puede firmar el fichero.
El fichero está cifrado y/o comprimido, hasta que no se descifre y/o
descomprima no se podrá validar la firma.
El usuario no puede firmar debido a que la aplicación está
habilitada para el envío.
En aplicaciones con validación mancomunada, ninguna de las
condiciones en las que está el usuario puede llegar a cumplirse, el
usuario no puede firmar ese fichero.
En aplicaciones con validación mancomunada, el fichero ya cumple
al menos una de las condiciones mancomunadas.
Onesait Ecosystems Editran
19
5.Usuario de Onesait Ecosystems Editran/FF
Estado
10-Fichero no es de la norma
asociada a la aplicación
11- No se pudo comprobar el
estado del fichero (XAdES)
12 - No puede firmar: superado el
importe máximo permitido
Descripción
El fichero no se ha podido validar/visualizar con la norma asociada
a la aplicación.
En aplicaciones con modio de firma XAdES, la firma asociada a un
fichero existe pero no se ha podido verificar porque el servidor
XAdES no está arrancado o bien configurado.
El fichero tiene un importe total superior al máximo que se le
permite al usuario en el perfil de la relación aplicación – usuario.
Estados de los grupos
Los grupos de usuarios dentro de las aplicaciones también tienen asociados una serie de estados que se detallan a
continuación:
Estado
0 – Faltan todas las firmas
1 – Faltan firmas
2 – Faltan todas las firmas
3 – Faltan firmas
4 – Grupo firmado
5 – No puede firmar: orden (nivel
de firma)
6 - Datos cifrados/comprimidos
7 – Hay firmas incorrectas
Descripción
En aplicaciones de emisión, ningún usuario del grupo ha
firmado ningún fichero.
En aplicaciones de emisión, hay usuarios que no han firmado
ficheros.
En aplicaciones de recepción, ningún usuario del grupo ha
firmado ningún fichero.
En aplicaciones de recepción, hay usuarios que no han firmado
ficheros.
Ya han firmado todos los Usuarios necesarios para que el grupo
esté completamente firmado.
Ningún usuario del grupo puede firmar porque hay otro grupo
o usuario que debe firmar antes.
El grupo es de recepción, los datos están cifrados.
Hay alguna firma de un usuario del grupo que tiene alguna
firma inválida. Posible modificación del fichero de datos.
Onesait Ecosystems Editran
20
6. Módulos visualizadores y validadores
6. Módulos visualizadores y validadores
Como se ha mencionado en varias ocasiones a lo largo de este manual, el sistema Editran/FF ofrece programas
dedicados a visualizar y validar los ficheros del tipo:
SEPA 19 (esquemas básico y B2B): formato plano de adeudos directos (Presentaciones, Rechazos, Devoluciones y
Retrocesiones)
ISO 20022 para emisión de Adeudos Directos SEPA (Presentaciones, Rechazos, Devoluciones y Retrocesiones):
formato XML (esquemas básico y B2B)
SEPA 34-14 (versiones Resumen y RRHH): formato plano para emisión de transferencias y cheques
ISO 20022 para emisión de Transferencias y Cheques (versiones Resumen y RRHH): formato XML
AEB 60: recaudación de tributos y otros ingresos municipales.
AEB 63: embargos.
AEB 68: emisión de pagos domiciliados.
Confirming de las entidades: Banesto, BBVA, importación de BBVA, BSCHURQ, Caja Madrid, Banco Popular, Banco
Pastor, Banco Valencia, y gestión integral de pagos nacional de Bankinter.
Consignaciones Judiciales
Ficheros del Ministerio de Medio Ambiente y Medio Rural y Marino: correcciones mensuales, correcciones de
pagos, correcciones de pagos FEADER, cuadros 5 y 6, declaraciones pesca, desviaciones, fondos FEADER, fuera
plazo, irregularidades 3 y 5, pagos capítulos, pagos mensuales, pagos mensuales pesca, pagos semanales, pagos
semanales FEADER, petición fondos pesca, petición fondos semanales, programación financiera, programación
financiera FEADER y programación pesca FEADER.
En el combo donde el administrador decide qué visualizador asociar al fichero, los visualizadores del Ministerio de Medio
Ambiente y Medio Rural y Marino se encuentran englobados en la opción Visualizadores del Ministerio MARM, siendo
el propio programa el que decide qué visualizador es el adecuado para mostrarlo.
Visualizador Genérico (visualiza documentos como:
MS Word, MS Excel, MS Power Point, Imágenes JPG, Gif, Documentos PDF, Ficheros txt, Ficheros HTML,
Ficheros XML, etc.
Para utilizarlos en el sistema Editran/FF, el usuario que configure los perfiles deberá indicarlo en los campos
“Visualizador y Validador” del diálogo de la aplicación y en “Visualizador” de la relación aplicación – usuario.
Se pueden ejecutar desde comando también como se verá en el apartado 7.1.
Los visualizadores ISO requieren tener instalado y funcionando JAVA versión 7 o superior.
Visualizadores
Los visualizadores realizan en primer lugar una validación de formato y contenido del fichero, asegurando que ambos
son coherentes y cumplen la norma de la Asociación Española de Banca, o el organismo correspondiente en cada caso,
para cada tipo de ficheros. Si estas validaciones no finalizan con resultado positivo, el fichero no llegará a visualizarse y
el programa informará al usuario firmante de la causa del error con un mensaje del tipo:
Onesait Ecosystems Editran
21
6. Módulos visualizadores y validadores
Si el fichero resulta válido el diálogo lo mostrará. Para una visualización más cómoda se han escrito en color negro todos
aquellos datos que son contenido del fichero y en azul la descripción o título de los mismos.
Desde el mismo diálogo se puede imprimir el fichero completo (con el mismo formato del diálogo) o bien sólo el
resumen (los datos más relevantes del contenido).
Esta es la apariencia del diálogo si el fichero sigue la norma SEPA 34-14:
Validadores
La validación consiste en la comparación del parámetro “Criterio de validación” de la aplicación, que deberá ser una
cifra entera, con el valor del campo “Suma de Importes” (del registro de totales) del fichero. Este parámetro, y la
validación descrita, se aplicarán a todos los usuarios asociados con la aplicación. Si la cifra es menor que el total del
fichero aparecerá un mensaje del tipo:
Significará que el usuario sólo podrá firmar ficheros cuyo dato “Suma de Importes” sea inferior a dicha cantidad.
Si esta validación resultara positiva aún el sistema comprobará lo mismo con el campo “Parámetro de Validación” de la
relación Aplicación – Usuario (si se completó), siendo esta restricción sólo para el usuario concreto de la relación.
Únicamente si el usuario supera las validaciones contenidas en los perfiles podrá firmar el fichero que, en cualquiera de
los casos, siempre podrá ser visualizado.
Onesait Ecosystems Editran
22
7. Comandos
7. Comandos
Algunas de las funciones que ofrece el sistema Editran/FF, y que se han detallado en diversos puntos del manual, se
encuentran también disponibles en forma de comandos, pudiéndose de esta manera utilizar de forma independiente.
En esta versión dichas funciones son: validación de los diferentes tipos de ficheros que se pueden visualizar: los AEB,
confirming y los del Ministerio MARM, envío o almacén del DN de un certificado y consulta de estado de una aplicación.
En este apartado se va a describir el uso de cada uno de estos programas o comandos.
Visualizadores y validadores
Los programas que realizan estas dos funcionalidades son todos los programas que se han descrito en la sección 6:
SEPA19,exe, ISOAdeudos.jar, SEPA3414.exe, SEPA3414RRHH.exe, ISOTranf.jar, ISOTransfRRHH.jar, AEB58.exe,
AEB60.exe, AEB63.exe, AEB68.exe, ConfirmingBanesto.exe, ConfirmingBBVA.exe, ConfirmingImportaciónBBVA.exe,
ConfirmingBSCHURQ.exe, ConfirmingCajaMadrid.exe, ConfirmingBancoPopular.exe,
ConfirmingPastor.exe,
ConfirmingValencia.exe, GIP_Nacional.exe, EVMM.exe (*), ConsignacionesJudiciales.exe y VerOffice.exe.
(*) Ejecutando este programa es el propio comando el que ejecuta el validador/visualizador adecuado al tipo de fichero
que se desea tratar de entre los formatos posibles que utiliza el Ministerio del Medio Ambiente y Medio Rural y Marino.
Los parámetros que admiten estos comandos pueden ser consultados escribiendo su nombre en la línea de comandos,
por ejemplo, escribiendo “SEPA3414.exe”:
Visualizar
Para obtener esta funcionalidad se habrá de escribir en línea de comandos el nombre del programa seguido de un
espacio y a continuación el path del fichero a tratar, por ejemplo:
sepa3414 [path del fichero SEPA 34-14]
donde:
[path del fichero]: localización del fichero en el sistema.
El comando en este uso abre el diálogo con el contenido del fichero y permite firmar e imprimir el mismo.
Validador
Para obtener esta funcionalidad se requieren dos parámetros, como se puede ver en el siguiente ejemplo:
sepa3414 -v[valor máximo] [path del fichero SEPA 34-14]
donde:
-v[valor máximo]: número entero que representa la cantidad máxima que el
usuario podrá firmar, y
que será la que se compare con el campo “Suma de importes” del registro de totales del fichero. Dependiendo del
signo que acompañe a este número entero, el valor máximo, ocurrirán dos cosas:
Onesait Ecosystems Editran
23
7. Comandos
1.
Signo negativo: el comando abre el diálogo de edición del fichero, pero no brinda al usuario la posibilidad de
firmarlo.
Signo positivo: en este caso el comando reaccionará de manera distinta dependiendo del resultado de la comparación
entre el parámetro y la suma de importes.
Valor máximo < suma de importes: el comando informará al usuario con un mensaje del tipo:
Valor máximo > suma de importes: el comando retorna un código interno que permite continuar el proceso
de firma.
[path del fichero]: localización del fichero en el sistema.
EnviarDN
Ideado para facilitar la administración de los perfiles al Administrador de Editran/FF, arrancando esta utilidad, el usuario
podrá enviar por correo electrónico el DN, o guardarlo en un fichero de texto, copiarlo al portapapeles para luego
pegarlo en la casilla correspondiente (véase 4.2.1) del usuario en AdminFF.exe o bien simplemente visualizarlo.
Seleccionando los distintos botones de “Certificados” se pueden visualizar los certificados que se encuentran en los
diferentes almacenes.
Una vez seleccionado el certificado se puede consultar, copiar en el portapapeles los datos necesarios para los perfiles,
o bien generar un fichero con dichos datos para enviarlo por mail al Administrador de Editran/FF.
Para eso se pueden seleccionar los botones de la parte inferior del dialogo o los iconos situados en la barra de
herramientas del dialogo.
Onesait Ecosystems Editran
24
7. Comandos
EstadoApl
A través de este comando, el usuario podrá consultar el estado en el que se encuentra la aplicación. Su uso se describe
a continuación:
estadoapl <nombre de la aplicación> [estado esperado]
Donde:
<nombre de la aplicación>: parámetro que le indica al comando la aplicación sobre la que se desea obtener
información. El parámetro es obligatorio
[estado esperado]: mediante un número entero, en este parámetro se podrá especificar un número entero
asociado a uno de los posibles estados de la aplicación. Este parámetro es opcional.
La lista de estados asociados a una aplicación se puede consultar en la tabla de la sección 5.5.
MovAplFF
Este comando inicializa una aplicación borrando todos sus ficheros asociados o moviéndolos a otro directorio. Si la
aplicación es de firma, los ficheros que se eliminan son los de firma, si por el contrario es de verificación los ficheros que
se eliminan o mueven son tanto los de datos como los de firma. Su modo de uso es el siguiente:
Onesait Ecosystems Editran
25
7. Comandos
MovNoFir
El comando MovNoFir.exe mueve los ficheros de una aplicación de Editran/FF que no estén firmados por todos los
signatarios pertinentes. En concreto los traslada desde el directorio de datos, definido en el perfil de la aplicación, hasta
el subdirectorio “No Firma” que se crea, si no existe, colgando directamente del primero. Si el fichero tuviera alguna
firma asociada, también la moverá a ese mismo subdirectorio.
Forma de uso:
EnvMailFF
Mediante el ejecutable EnvMailFF.exe se puede enviar una aplicación de Editran/FF por Email.
Onesait Ecosystems Editran
26
7. Comandos
En la interfaz en primer lugar se debe escoger la aplicación de Editran/FF cuyos ficheros se quieren enviar, a
continuación, el email de origen, de destino, el asunto y el mensaje. Si no se define nada en el apartado “Envío con
SMTP”, Editran/FF enviará el email mediante el cliente de Microsoft Office Outlook que haya instalado en el ordenador
donde se ejecute el programa.
Si el envío se va a realizar con SMTP y el servidor requiere autenticación, el usuario deberá marcar el check y completar
los campos Usuario y Contraseña que se mostrarán en el diálogo.
Por último, el usuario deberá elegir qué tipo de ficheros desea enviar como adjuntos en el correo: los de datos, firmas
y/o habilitación. Al seleccionar cada una de las clases de archivos, se añaden a la lista todos los ficheros correspondientes
a esa categoría y por defecto todos se marcan para enviar. Si el usuario no quisiera adjuntar alguno de ellos simplemente
tendrá que desmarcar su check en la primera columna de la lista.
AceptaFF
Es un procedimiento automático para aceptar o rechazar una aplicación de Editran/FF para verificar firmas. El proceso
en primer lugar valida las firmas y extrae los documentos de datos cuando estos están incluidos en la firma.
Forma de Uso:
Es muy importante que el certificado asociado al usuario que aceptará o rechazará la aplicación de Editran/FF esté
instalado en el sistema y configurado para que no requiera pin o contraseña, de lo contrario el procedimiento no podría
llevarse a cabo de manera automática. El resultado del proceso es un nuevo fichero de firma, cuyo contenido es el
nombre de la aplicación y una observación.
OrdenaPerfiles
Comando para crear una copia de los perfiles con los alias de usuario y aplicación ordenados alfabéticamente. Los
antiguos son renombrados con el sufijo “.old” y quedan almacenados en el mismo directorio.
MigraPerfiles
Utilidad para migrar los perfiles desde cualquier versión a la que esté en curso. No requiere ningún parámetro. Crea una
copia de los ficheros de perfiles que se encuentren en la ubicación recogida en el fichero path con el formato
correspondiente a los perfiles de la versión en curso. Los ficheros de la versión anterior quedan en el mismo directorio
renombrados con la extensión .vsant. Una vez realizada la migración se debe comprobar, perfil a perfil, que los datos
son correctos y completar aquellos que existen por primera vez en la versión actual y que la migración deja en blanco.
Antes de comenzar la migración, se deberá comprobar que no existe ningún fichero con extensión .vsant en el directorio.
Onesait Ecosystems Editran
27
7. Comandos
Servicio Editran/FF
Mediante el servicio de Windows de Editran/FF se podrá realizar la comprobación de las firmas digitales antes de realizar
el envío por Editran, realizar la primera firma automática sobre los ficheros y enviar emails de notificación de ficheros
pendientes de firma a los usuarios.
Existen 3 opciones para poder instalar el Servicio:
Mediante el batch instala_servFF_reg.bat. Este batch crea el servicio de Editran/FF en base a la ruta de la instalación
de EditranFF guardado en el registro HKEY_LOCAL_MACHINE\SOFTWARE\INDRA\EDITRANFF\Installpath.
Mediante el batch instala_servFF.bat. Es una alternativa al otro batch de instalación. Éste recoge como parámetro
la ruta de instalación en lugar de buscarlo al registro de Windows.
El modo de uso sería:
instala_servFF.bat [path de instalación de EditranFF]
Mediante comando:
Se utiliza el comando de Windows sc con la siguiente sintaxis:
sc create EDITRANFF type= own start= auto error= normal BinPath=[ruta de instalación de EDITRAN/FF]\ServicioFF.exe
DisplayName= "EDITRAN/FF"
El servicio debe arrancarse con una cuenta que tenga privilegios de administrador.
Una vez configurado aparecerá un servicio llamado EDITRAN/FF en los Servicios de Windows y cuando sea arrancado
iniciará un programa llamado ServicioFF.exe.
Este servicio escuchará las peticiones por el puerto TCP 8300.
Proceso Java Editran Signature Services para firmas XAdES
Toda la funcionalidad relacionada con los modos de firmas XAdES se realiza por medio del paquete Signature Services
entregado con el producto. Para utilizar este servicio necesariamente se deberá disponer de una instalación de Java la
extensión Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File tanto en el puesto servidor como
en cada uno de los puestos firmantes.
Onesait Ecosystems Editran
28
7. Comandos
Bajo el directorio de la instalación se encuentra la siguiente estructura de directorios:
XAdES
bin: contiene una serie de batch.
configuración_xades.bat: por defecto el proceso Java Editran Signature Services para firmas XAdES se
arranca en 127.0.0.1 por el puerto 7760, se utiliza el truststore en XAdES\rsc\truststore. Si se desea
configurar algún valor diferente para estos parámetros o el puesto en el que se va a arrancar el servicio
requiere proxy para la salida a internet, se ejecutará y se escribirán los nuevos valores.
gestor_truststore.bat: batch para administrar el almacén de certificados de CA
XAdES\rsc\truststore\truststore.pfx incluido en la instalación. Permite consultar, añadir y eliminar los
certificados almacenados así como modificar la contraseña que lo protege. Si se modifica la password,
deberá ejecutarse a continuación XAdES\bin\configuración_xades.bat para actualizar el nuevo valor
en la configuración.
obten_dn.bat: batch para consulta y obtención de los datos de los certificados necesarios para los
perfiles.
start_xades.bat: batch para arrancar el proceso Java Editran Signature Services para firmas XAdES. Se
deberá editar y configurar adecuadamente el valor de la ruta de XAdES en:
set XADES_PATH=C:\EditranFF.600\XAdES
En los puestos firmantes, desde UserFF.exe el proceso se arranca automáticamente, cuando instale el
producto y ejecute UserFF.exe, compruebe en XAdES\logs\out.log que el servicio queda arrancado.
En el puesto servidor, el proceso se puede arrancar:
1) De manera manual ejecutando start_xades.bat
2) De manera automática: se creará un acceso directo de start_xades.bat, se y se arrastrará a la
carpeta Inicio de Windows.
3) Instalándolo como Servicio Windows (véase el punto wrapper de este apartado).
Una vez arrancado el proceso, se deberá comprobar en XAdES\logs\out.log el éxito de la operación.
stop_xades.bat: batch para detener el proceso Java Editran Signature Services para firmas XAdES. Se
deberá editar y configurar adecuadamente el valor de la ruta de XAdES en:
set XADES_PATH= C:\EDItranFF.600\XAdES
Cuando se cierra UserFF.exe, el proceso Java Editran Signature Services se detiene automáticamente.
conf: contiene los ficheros de configuración relativos al proceso Java Editran Signature Services.
Edite log4j.properties para modificar el nivel de información en el fichero de log, el número de ficheros de log
que desea guardar, el tamaño máximo, el nombre, etc.
crl
doc
lib
logs: contiene el fichero de log out.log con toda la información relativa al proceso Java Editran Signature
Services para firmas XAdES: si está arrancado el proceso y las características y resultado de cada firma y
verificación de firma realizada.
plantillas: contiene las plantillas entregadas con el producto con diferentes conjuntos de parámetros para la
firma de cada uno de los modos. Se pueden modificar y añadir otras siempre que cumplan el esquema
XAdES\rsc\plantillafirma.xsd propietario de Editran/FF.
políticas: contiene el fichero de política de la Agencia General del Estado, según la que están hechas las
plantillas en el directorio plantillas que tienen EPES-AGE en su nombre.
rsc: contiene truststore\truststore.pfx, el almacén con los certificados de CA de todos los certificados que se
van a utilizar para firmar o cuyas firmas se van a verificar. El almacén se puede visualizar y modificar con
“XAdES\bin\gestor_truststore.bat”. Si se detecta que en truststore.pfx falta algún certificado de CA (resultado
de verificación “No se confía en la CA”), podrá añadirse por medio de dicha utilidad.
utils
wrapper: contiene los elementos necesarios para instalar Editran Signature Services como servicio Windows
en el puesto servidor. El servicio sólo se puede instalar de esta forma si se va a utilizar exclusivamente para
realizar la primera firma automática y para verificar firmas. En los puestos clientes no se puede instalar así el
Onesait Ecosystems Editran
29
7. Comandos
proceso dado que los servicios Windows no pueden solicitar la password de los certificados durante la
realización de las firmas.
Se realizarán los siguientes pasos:
1. En XAdES\wrapper\conf del directorio de XAdES, editar el fichero wrapper.conf y configurar adecuadamente
la ruta de instalación de XAdES en:
# Directorio de ejecucion
wrapper.working.dir=C:\EditranFF.600\XAdES
2. Opcional: comprobar si el servicio funcionará antes de instalarlo ejecutando el batch XAdESTest.bat de este
directorio. Si no aparece ningún mensaje de error, el servicio funcionará correctamente.
3. Instalar el Servicio de Windows Editran Signature Services ejecutando el batch InstallXAdES.bat de este
directorio.
4. Configurar un usuario con permisos adecuados en el Inicio de sesión del Servicio Editran Signature Services.
Onesait Ecosystems Editran
30
8. Licencia
8. Licencia
UserFF, AdminFF, los visualizadores, otros comandos y librerías incluidos en la instalación de Editran/FF necesitan para
su funcionamiento la existencia de una licencia correcta y en vigor.
Se puede consultar qué complementos de Editran/FF posee la licencia, su estado y su caducidad tanto desde AdminFF
como desde UserFF, pulsando sobre el icono
Onesait Ecosystems Editran
31
9. Movilidad
9. Movilidad
La versión 6.0.0 de Editran/FF incorpora la posibilidad de firmar y verificar ficheros desde dispositivos móviles en los
sistemas operativos iOS y Android. Esta modalidad de uso puede simultanearse con la aplicación de escritorio en
ordenadores y portátiles. Los mismos usuarios dados de alta en los perfiles pueden acceder a la aplicación nativa de su
dispositivo haciendo uso de cualquiera de los tres certificados en su perfil que se hayan instalado en la aplicación. En
esta versión dichas firmas sólo pueden ser de tipo XAdES y para ficheros de formatos de Adeudos y Transferencias. A
continuación se describen, los requisitos y pasos a realizar para el uso del producto en este nuevo formato.
Configuración en el servidor Windows
Requisitos
Instalación de Java 8 o superior con la extensión JCE (Java Cryptography Extensión).
Dirección fija o bajo dominio / DNS en internet, que deberá aceptar conexiones remotas.
Contará con un certificado SSL emitido por un CA de confianza reconocida (Tawte, Verisign, etc) para el
nombre de la máquina / dominio / IP en internet.
Una instalación de la parte de Administrador de Editran/FF.
Desde este servidor deberán ser visibles las máquinas en las que se encuentren los perfiles de
Editran/FF y los ficheros a firmar y verificar.
Certificado SSL
La conexión entre los dispositivos y la aplicación web será del tipo https. Por ello el servidor en el que se instale la
aplicación web deberá disponer de un certificado SSL emitido para el nombre de la máquina / dominio / IP en internet
por una CA reconocida. En concreto dicho certificado deberá incluir las siguientes características:
En su DN, se cumplirá que el campo CN=[dominio/DNS en internet]
Si se van a conectar dispositivos iOS de versión 13 o superior, además deberá cumplirse:
El certificado SSL deberá estar emitido por una de las siguientes CA:
https://support.apple.com/es-es/HT207177
El certificado SSL y todos los de la cadena de CA que lo emite deben tener una longitud de clave de 2048 o
superior
El certificado SSL, y todos los de la ruta de certificación, utilizarán algoritmo de hash SHA-2 o superior.
El certificado SSL Incluirá el nombre del DNS en la extensión Subject Alternative Name del certificado.
Los certificados que hayan sido emitidos después del 1 de julio de 2019:
Deberán tener la propiedad extendida Enhanced Key Usage con valor 1.3.6.1.5.5.7.3.1, cuyo significado es
TLS Web server authentication.
La diferencia entre las fechas “Hasta” y “Desde” del certificado no podrá ser superior a 825 días.
9.1.2.1. Pasos a realizar si el servidor Windows no dispone aún de un certificado SSL
1) Creación de keystore y de pareja de claves con keytool: keytool es una utilidad incluida en el directorio bin de
cualquier instalación Java. En una ventana cmd, desde el directorio bin de la instalación de Java se ejecutará:
keytool -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore keystore.p12 -validity
730 -dname "CN=[dominio/DNS del servidor en internet], O=[Nombre empresa], L=[Localidad], S=[Provincia],
C=[País con dos letras], OU=[Departamento]" -ext san=dns:[dominio/DNS del servidor en internet] -ext
eku=1.3.6.1.5.5.7.3.1
Donde se han incluido todos los atributos necesarios para obtener una conexión SSL válida tanto para Android
como para iOS, versión 13 incluida. Los valores entre [] serán sustituidos por los correspondientes a la máquina
donde se instalará la aplicación web (sin ‘[]’, por ejemplo CN=midominio.es, O=Mi empresa S.A., etc.). Una vez
ejecutada la sentencia, se solicitará la contraseña por pantalla, dos veces para comprobación (*). Una vez
introducidas, se habrá creado el fichero “keystore.p12” en el directorio. Se realizará una copia de seguridad de
Onesait Ecosystems Editran
32
9. Movilidad
“keystore.p12”, es el almacén que incluye la clave privada del certificado y el único en el que se deberá importar
el certificado devuelto por la CA.
(*)Si se utilizan valores diferentes a tomcat, keystore.p12, y password como password, deberá realizarse el
paso “Modificar application.properties”.
2) Creaccion del CSR o solicitud para la CA elegida: se ejecutará el siguiente comando para generar la solicitud
de certificado o CSR que se enviará a la autoridad certificadora elegida.
keytool -certreq -alias tomcat -file csr.txt -keystore keystore.p12
donde “tomcat” es el alias definido en el paso 1), “csr.txt” es un ejemplo de nombre para el fichero generado
y “keystore.p12” es el almacén creado en el paso 1). De nuevo se solicitará por pantalla la password del
almacén, deberá ser la misma que la definida en el paso 1). Una vez obtenido el fichero (csr.txt en el ejemplo),
se enviará a la CA elegida.
3) Inclusión del certificado devuelto por la CA en el keystore: una vez recibido el fichero .crt por parte de la CA,
se deberá importar en el keystore creado en el paso 1). Antes se deberá importar cada uno de los certificados
públicos de la ruta de certificación del certificado emitido por la autoridad. Esos certificados se podrán haber
recibido junto con el certificado o se podrán descargar de la página web de la CA correspondiente. Se procederá
de la siguiente manera:
keytool -import -alias root -file root.crt -keystore keystore.p12
Donde “root” es un ejemplo de alias que se le puede dar a este certificado en el keystore, “root.crt” es un
ejemplo de nombre del fichero que contiene el certificado raíz (si no estuviera en el directorio bin de la
instalación de Java, deberá escribirse la ruta completa) y “keystore.p12” es el keystore que se creó en el paso
1).
Se solicitará la password por pantalla, deberá introducirse la misma que se definió en el paso 1) y a continuación
se mostrará una pregunta sobre si se confía en el certificado, se responderá SI.
De la misma manera se ejecutará, para tantos certificados intermedios como incluya la ruta de certificación del
certificado recibido:
keytool -import -alias intermedio1 -file intermedio_1.crt -keystore keystore.p12
…
keytool -import -alias intermedion -file intermedio_n.crt -keystore keystore.p12
Donde “intermedio1”, “intermedion” son ejemplos de alias que se pueden utilizar para etiquetar estos
certificados en el keystore e “intermedio_1.crt”, “intermedio_n.crt” son ejemplos de nombres de los ficheros
que contienen los certificados (si no estuvieran en el directorio bin de la instalación de Java, deberá escribirse
la ruta completa).
Por último, se importará el certificado SSL, de la siguiente manera:
keytool -import -alias tomcat -file certificado_recibido.crt -keystore keystore.p12
9.1.2.2. Pasos a realizar si el servidor Windows ya dispone de un certificado SSL
En este caso, si a la aplicación web se conectarán dispositivos iOS, se comprobará en primer lugar si el
certificado cumple los requisitos recogidos en 9.1.2. En caso afirmativo, se deberá disponer del mismo en
formato .p12 o pfx y deberá incluir su clave privada. Para ello:
1) Exportar el certificado con formato .p12: si el certificado estuviera instalado en el servidor, desde internet
explorer (Opciones de internet -> Pestaña “Contenido” -> Botón “Certifcados”) o desde certmgr.msc, se
seleccionará en la lista el certificado correspondiente y se pulsará el botón “Exportar”, realizando a
continuación los siguientes pasos:
Onesait Ecosystems Editran
33
9. Movilidad
Onesait Ecosystems Editran
34
9. Movilidad
2)
Importar el certificado exportado en 1) en un keystore: una vez que se dispone del certificado SSL ya exportado
con extensión .p12, se ejecutará:
keytool -importkeystore -deststorepass <password> -destkeypass <password> -destkeystore keystore.p12 -srckeystore
<ruta certificado .p12> -srcstoretype PKCS12 -srcstorepass <password> -alias <alias>
Donde <password> es la password que se definió en la ventana 4 del el paso 1), “keystore.p12” es el nombre del keystore
que se va a crear, <ruta certificado .p12> es la ubicación del fichero .p12 obtenido en el paso 1) y <alias> debe coincidir
con el nombre descriptivo del certificado que se ha exportado en el paso 1).
Si el certificado no tuviera ese elemento, no se escribirá –alias <alias> en la llamada.
El keystore obtenido mediante 9.1.2.1 o 9.1.2.2 se colocará en el directorio de instalación de EditranFF del servidor
donde se va a arrancar la aplicación web.
9.1.2.3. Modificación de application.properties
Si en la generación del keystore se han utilizado valores diferentes a:
keystore.p12 para el nombre del keytore
password para la password del certificado y del propio keystore
tomcat como alias del certificado en el keystore
o se va a levantar la aplicación web por un puerto diferente al puerto 443
Se deberá:
1) Abrir el fichero FFMobileBachend.war con algún programa para descomprimir (7-zip, Winzip, etc.).
Onesait Ecosystems Editran
35
9. Movilidad
2) Se extraerá el fichero application.properties que está en “WEB-INF\classes” y se editará para asignarle los
valores correspondientes en las líneas que se resaltan en color verde:
# Define a custom port instead of the default 8080
server.port=443
# Tell Spring Security (if used) to require requests over HTTPS
security.require-ssl=true
# The format used for the keystore
server.ssl.key-store-type=PKCS12
# The path to the keystore containing the certificate
server.ssl.key-store=keystore.p12
# The password used to generate the certificate
server.ssl.key-store-password=password
# The alias mapped to the certificate
server.ssl.key-alias=tomcat
Si se realizó 9.1.2.2 y el certificado no tiene alias o nombre descriptivo, se dejará
server.ssl.key-alias=
sin valor.
3) Se guardarán los cambios realizados y se incorporará de nuevo el fichero “application.properties” en “WEBINF\classes” de “FFMobileBackend.war”.
Arranque de la aplicación web FFMobileBackend.war
Por último se levantará la aplicación web FFMobileBackend.war de una de las siguientes maneras:
1) Mediante XAdES/bin/start_mob.bat. Se editará en primer lugar para adaptar el valor de
“set EDITRANFF_PATH=”. A continuación se ejecutará el batch y se comprobará en XAdES/logs/outMov.log que
se ha arrancado correctamente.
2) Instalándola como servicio Windows con InstallMobileBackend. Se editará en primer lugar el fichero
“XAdES/wrapper/conf/wrapper_mb.conf” para adaptar el valor de “wrapper.working.dir=” si no coincide con
el valor por defecto. A continuación ejecutar “XAdES/wrapper/InstallMobileBackend.bat”, el servicio se habrá
instalado con el nombre “EditranFF Mobile Backend”. A continuación se pulsará botón derecho -> Propiedades
para arrancarlo con una cuenta de usuario con permiso de lectura, escritura y ejecución en los directorios de
ficheros. Comprobar en “XAdES/logs/outMov.log” que se ha arrancado correctamente.
Instalación de las Apps en los dispositivos móviles
Requisitos
Los dispositivos podrán ser smartphones o tablets.
Los sistemas operativos soportados son Android (versión mínima 7) e iOS (versión mínima 12).
Las Apps son ajenas a los certificados que ya estuvieran instalados en los dispositivos, incluso si son los
mismos que se han asociado al usuario en los perfiles de configuración con AdminFF.exe. Los certificados
necesariamente deberán ser instalados específicamente para las Apps tal y como se describe en los
siguientes apartados.
Instalación en dispositivos móviles iOS
1) Mediante la aplicación iTunes, se conectará el dispositivo al PC y se pulsara sobre el icono del dispositivo
(resaltado en rojo en la imagen).
Onesait Ecosystems Editran
36
9. Movilidad
2) Desde el explorador de Windows, se arrastrará EditranFF.ipa desde su localización en el PC hasta el área “En
mi dispositivo” (resaltada en rojo en la imagen).
La zona parpadeará unos instantes y en el dispositivo ya se podrá visualizar el icono de la aplicación.
3) En iTunes, seleccionar “Ajustes - > Archivos compartidos”, en la lista de Apps en el panel derecho deberá
visualizarse la app EDITRANFF, se seleccionará. A continuación, mediante el botón “Añadir archivo”, se
localizarán en el PC el/los certificados que el usuario va a utilizar para firmar desde el dispositivo móvil. Los
certificados deberán tener formato .pfx o .p12, incluir la clave privada y ser alguno/s de los que el usuario tiene
asociados en los perfiles de la configuración realizada con AdminFF.exe.
Onesait Ecosystems Editran
37
9. Movilidad
4)
Una vez desconectado el dispositivo del PC y ya en el dispositivo, se seleccionará “Ajustes -> General -> Gestión
de perfiles y dispositivos”, y ahí el perfil “Indra Sistemas, S.A.” en el apartado “APP EMPRESARIAL”. Se pulsará
sobre “Confiar en Indra Sistemas S.A.” y en el botón “Confiar” de la ventana emergente.
5) En el dispositivo, pulsar sobre el icono de la app EDITRANFF y pulsar “Permitir” en la ventana emergente que
solicita permiso para las notificaciones.
Instalación en dispositivos móviles Android
1) Conectar el dispositivo a un PC. En el PC, pulsar sobre “Abrir dispositivo para ver archivos”.
Es posible que, para poder ver el árbol de carpetas del dispositivo en el PC, sea necesario seleccionar “Transferir
ficheros” en los ajustes para conexión con dispositivos y USB en el dispositivo.
2) En el PC, localizar la carpeta Download del dispositivo y crear una nueva carpeta de nombre Editran bajo ella.
3) Colocar en el nuevo directorio Editran tanto la app EDITRANFF.apk como los certificados que el usuario va a
utilizar para firmar desde el dispositivo. Los certificados deberán tener formato .pfx o .p12, incluir la clave
privada y ser alguno/s de los que el usuario tiene asociados en los perfiles de la configuración realizada con
AdminFF.exe.
4) Desconectar el dispositivo del PC. En el dispositivo, desplazarse a la carpeta Download/Editran y pulsar sobre
EDITRANFF.apk para instalarla. Se deberán aceptar todos los permisos solicitados en las ventanas emergentes.
Onesait Ecosystems Editran
38
9. Movilidad
Uso de la aplicación
1) Cuando se accede por primera vez, la app solicita la URL de conexión al servidor en el que se ha levantado la
aplicación web.
Se escribirá con el formato:
https://[dominio/DNS del servidor en internet]:[puerto]
Donde [dominio/DNS del servidor en internet] es el valor que estará mencionado en el certificado SSL según se
recoge en la introducción de 9.1.2 y el puerto será el que recoge la línea (443 es el valor por defecto)
# Define a custom port instead of the default 8080
server.port=443
del fichero application.properties contenido en FFMobileBackend.war, véase 9.1.2.3.
Por ejemplo:
https://midominio.es:443
A continuación la app solicitará la introducción de las contraseñas de los certificados personales instalados en
la App para el usuario. Este paso se realizará una única vez, en adelante la App no volverá a solicitarlos. En su
lugar utilizará como mecanismo de seguridad, cada vez que se seleccione para acceder a la aplicación o para
firmar un fichero, el propio mecanismo de protección del dispositivo (código de desbloqueo, huella, etc.).
Onesait Ecosystems Editran
39
9. Movilidad
2) La App solicitará por pantalla el alias que el usuario tiene en la aplicación Editran/FF, es decir, el que se
configuró para ese usuario mediante AdminFF.exe, y seguidamente se deberá introducir el mecanismo del
seguridad del dispositivo (en el ejemplo de la imagen, la huella).
3) Se visualizarán los datos correspondientes a los certificados personales que el usuario tiene asociados en el
perfil de configuración. De todos ellos, aparecerán habilitados aquellos que se han instalado en la App con el
Onesait Ecosystems Editran
40
9. Movilidad
apartado 3) de 9.2 o de 9.3, según el sistema operativo correspondiente al dispositivo. Se seleccionará uno de
ellos.
4) Cuando el usuario accede a la App lo hace a la vista por defecto, la que le muestra todos aquellos ficheros que
están pendientes de su firma de tantas aplicaciones como aquellas en las que el usuario intervenga. En la barra
de botones inferior aparecerá seleccionado el botón
. El usuario seleccionará uno de los ficheros, lo
visualizará pulsando sobre “Ver PDF”, lo firmará pulsando sobre el botón “Firmar” o lo rechazará (sacará del
circuito), mediante el botón “Rechazar”.
Onesait Ecosystems Editran
41
9. Movilidad
Para firmar, se deberá volver a introducir el mecanismo de seguridad de bloqueo y acceso del dispositivo
(PIN, huella, etc). Una vez realizada la firma, el fichero desaparece de la lista.
Cuando se firme el último fichero de la lista de una aplicación y el usuario tenga el permiso correspondiente
en los perfiles, el sistema comprobará si procede habilitar la aplicación. Es decir, si todos los ficheros tienen
ya firmas suficientes (de acuerdo a los perfiles de configuración) y todas ellas son correctas, se generará el
fichero de habilitación de la aplicación y la aplicación cambiará de estado.
Onesait Ecosystems Editran
42
9. Movilidad
5) Seleccionando el botón
de la barra inferior se accede una vista completa del estado de cada aplicación en
la que está implicado el usuario y, dentro de cada aplicación, el estado de cada fichero respecto a cada usuario,
Fichero firmado, Firma incorrecta, etc.
Desde esta vista, seleccionando los ficheros bajo el usuario logeado, el usuario podrá volver a ver el contenido
del fichero o eliminar la firma, siempre que el fichero no haya recibido aún firmas de otros usuarios.
6) Desde el botón
de la barra inferior, el usuario logeado podrá consultar el certificado que seleccionó al entrar
en la App, podrá desconectar la conexión con el servidor y modificar la recepción de notificaciones de nuevos
ficheros para firmar.
Onesait Ecosystems Editran
43
10. Puesta en marcha del producto
10. Puesta en marcha del producto
Una vez que se ha visto en detalle el funcionamiento del producto, se explica a continuación una guía rápida para la
puesta en marcha del producto, refiriendo a los apartados donde cada uno se ha explicado con detalle.
En el puesto servidor:
1) Instalar el producto.
2) Disponer de licencia.
3) Tener instalados todos los certificados de CA de los certificados que se van a usar para firmar y también aquellos
cuyas firmas se van a validar.
4) Si se está realizando una actualización de versión del producto, copiar el fichero path de la versión anterior en
el directorio de la nueva versión y realizar una copia backup de los antiguos ficheros .cfg de perfiles en otro
directorio. Finalmente ejecutar MigraPerfiles.exe para actualizar los perfiles al formato correspondiente a la
versión, véase 7.9.
5) Si se está realizando la instalación por primera vez, ejecutar AdminFF.exe y pulsar el menú “Ayuda->Acerca de
AdminFF…” para realizar lo que se describe en 4.2 relativo a la ubicación de perfiles. Es importante recordar
que la ubicación indicada deberá ser accesible también desde cada puesto firmante.
6) Dar de alta y/o modificar los perfiles de usuarios, aplicaciones y sus relaciones, véase 4.2.
Para obtener los datos de los certificados personales necesarios para los perfiles de usuario, ejecutar EnviarDN
en cada puesto firmante), según se explica en 4.2.1 y 7.2 (los certificados personales deberán estar ya
instalados en dichos puestos) o enviar al puesto servidor los .cer (es la parte pública del certificado) de todos
los certificados con los que se va a firmar y ejecutar XAdES/bin/obten_dn.sh para obtener dichos datos.
Es importante recordar que las ubicaciones indicadas en el perfil de las aplicaciones para los ficheros a firmar,
las firmas, el directorio de envío, etc, deberá ser accesible también desde cada puesto firmante. Una vez
realizada la configuración, hacer una copia backup de los ficheros .cfg de perfiles en otro directorio.
Ejemplo de instalación tipo respecto a los parámetros que requieren elección:
Usuarios
Un usuario de tipo Local y Automático al que se asociará un certificado que no tenga habilitada la
protección segura de clave privada ni solicite contraseña para su uso (estos parámetros se configuran
durante la instalación del certificado en el puesto servidor).
Dos usuarios de tipo Local a los que se asociarán hasta tres certificados personales con clave privada,
válidos para firmar, que hayan sido emitidos por cualquier CA reconocida. En este caso es muy
recomendable que los certificados sí tengan habilitada la protección segura de clave privada y que se
solicite la contraseña para su uso (estos parámetros se configuran durante la instalación de los
certificados en los puestos de los firmantes).
Aplicación
Propósito -> Firmar
Modo de firma -> XADES_DETACHED_INTERNA_IMPLICITA
Directorio de datos aquel en el que se encuentren los ficheros que se van a firmar, tendrán todos
un mismo formato y tipo de contenido.
Directorio de firmas aquel en el que se dejarán las firmas obtenidas.
Mover/rechazar directorio al que se moverán los ficheros que el usuario firmante decida sacar del
circuito, siempre que se le haya otorgado el permiso correspondiente.
Envío -> Directorio al que se moverán los ficheros una vez que todos ellos alcancen el número de
firmas necesarias y todas ellas sean correctas. Se marcara Firmas para significar que será lo que se le
enviará al otro extremo (con el modo de firma propuesto, el fichero de firma incluye el fichero
firmado).
Plantilla -> [Directorio de instalación de EditranFF]/XAdES/plantillas/pln-di-i-BES.xml
Validación de firmas necesarias -> Usuarios/Grupos
Visualizador el correspondiente al formato de los ficheros que se va a firmar.
Habilitación Sí y Habilitación automática si el destinatario de las firmas tiene EditranFF en entono
Windows, en caso contrario elegir No.
Grupo
Número de firmas obligatorias 2
Onesait Ecosystems Editran
44
10. Puesta en marcha del producto
Una vez configurados los tres elementos, asociar a la aplicación los tres usuarios e introducir en el grupo a los
dos que no tienen la propiedad Automático. Durante la asociación a la aplicación se otorgará a cada usuario
los permisos según corresponda: permiso para habilitar la aplicación, para mover/rechazar ficheros,
visualizador RRHH para ver contenido completo en el caso de las Transferencias, etc.
7) Si se va a hacer uso de la funcionalidad de primera firma automática y/o el envío de notificaciones de nuevos
ficheros disponibles, instalar y arrancar el servicio Editran/FF (véase 7.10) con una cuenta de usuario que tenga
permiso de lectura, escritura y ejecución en los directorios. Este usuario deberá disponer en su almacén de
certificados personales aquel con el que se va a realizar la primera firma automática.
8) Si se va a firmar o se van a verificar firmas con alguno de los modos XAdES, arrancar también el proceso Editran
Signature Services con XAdES/bin/start_xades.bat o instalarlo y arrancarlo como servicio de Windows (véase
7.11) con una cuenta de usuario que tenga permiso de lectura, escritura y ejecución en los directorios.
9) Si se va a firmar desde dispositivos móviles, el servidor Windows deberá tener un certificado SSL emitido a su
nombre, el certificado deberá ser importado en un almacén keystore y dicho keystore deberá estar en el
directorio de instalación de EditranFF. Si es necesario, modificar los valores de application.properties en
FFMobileBackend.war y a continuación arrancar el proceso EditranFF Mobile Backend con
XAdES/bin/start_mob.bat o instalarlo y arrancarlo como servicio Windows (véase 9.1.3).
En los puestos firmantes:
1)
2)
3)
4)
5)
6)
7)
8)
9)
Instalar el producto.
Disponer de licencia.
Copiar el fichero path de la instalación del puesto servidor en el directorio de instalación del puesto firmante.
Si en AdminFF se ha configurado la pestaña “Conexión a servidores” desde el menú “Configuración de
actuaciones automáticas”, copiar ademásel fichero cnx.cfg del directorio de perfiles en el directorio de
instalación del puesto firmante.
Tener instalados todos los certificados o estar accesibles los certificados cuyos datos se han indicado para el
usuario en los perfiles. Comprobar con EnviarDN que todos ellos aparecen en el almacén de certificados
propios.
Si en alguna de las aplicaciones en las que está implicado el usuario se utiliza alguno de los modos de firma
XAdES, editar “XAdES\bin\start_xades.bat” y “XAdES\bin\stop_xades.bat” para modificar, si es necesario, el
valor de ”set XADES_PATH=”. Asímismo ejecutar “XAdES\bin\configuracion_xades.bat” si se tiene que
modificar el puerto por el que debe arrancar el proceso Java para firmas XAdES o cualquier otro de los valores
por defecto de la configuración.
Ejecutar UserFF.exe, introducir el alias del usuario, seleccionar uno de los certificados que tiene asociados y
comprobar que se realiza la conexión al servidor de los ficheros de perfiles y al servidor de los ficheros a firmar
de la siguiente manera: seleccionar en el árbol “Aplicaciones -> De firma de ficheros -> [Nombre_aplicación] > [Nombre_usuario]” y comprobar que en el panel derecho aparece la lista de ficheros correspondiente a cada
aplicación. Si es así, las conexiones a los servidores se habrán realizado correctamente.
Estas conexiones se realizan de manera automática si se ha configurado en 4.1.1.1 y si se ha copiado en el
directorio de instalación del puesto firmante el fichero de configuración cnx.cfg (si no es posible se muestra
error), de lo contrario deberán prepararse manualmente.
Si en alguna de las aplicaciones en las que está implicado el usuario se utiliza alguno de los modos de firma
XAdES, comprobar en XAdES/logs/out.log que el proceso Java para firma XAdES está arrancado.
Si se va a firmar desde dispositivos móviles, instalar y configurar las aplicaciones nativas del sistema operativo
correspondiente, véase 9.2.
Onesait Ecosystems Editran
45
Persona de contacto
[email protected]
Avda. de Bruselas 35
28108 Alcobendas,
Madrid, España
T +34 91 480 50 00
F +34 91 480 50 80
www.minsait.com
