Onesait Ecosystems · Editran/FF Firma Electrónica Manual de instalación y usuario Windows Enero 2020 Índice Índice 1. Introducción ................................................................................................................................................................ 4 2. Descripción .................................................................................................................................................................. 5 Arquitectura ...................................................................................................................................................... 5 Características generales de las interfaces gráficas .......................................................................................... 5 3. Uso genérico de Onesait Ecosystems · Editran/FF ...................................................................................................... 7 4. Administrador de Onesait Ecosystems · Editran/FF .................................................................................................... 8 Barras de menú y herramientas ....................................................................................................................... 9 Menú “Administrador” ................................................................................................................................. 9 Menú “Operaciones”.................................................................................................................................. 11 Menú Ver.................................................................................................................................................... 14 Menú Consultas.......................................................................................................................................... 14 Menú Ayuda ............................................................................................................................................... 15 Alta de perfiles ................................................................................................................................................ 15 Alta de Usuarios de Editran/FF ................................................................................................................... 15 Alta de Aplicaciones de Editran/FF............................................................................................................. 17 Alta o asociación de usuarios a una aplicación .......................................................................................... 22 Alta de grupo en una aplicación ................................................................................................................. 24 Introducir un usuario en un grupo ............................................................................................................. 25 Alta condiciones mancomunadas............................................................................................................... 26 Editar, modificar perfiles ................................................................................................................................ 29 Desligar un Usuario de un Grupo ............................................................................................................... 29 Eliminar perfiles .............................................................................................................................................. 29 5. Usuario de Onesait Ecosystems · Editran/FF ............................................................................................................... 2 Barras de menú y herramientas ....................................................................................................................... 4 Menú “Usuario” ........................................................................................................................................... 4 Menú “Operaciones” .................................................................................................................................... 4 Consultas ...................................................................................................................................................... 6 Operaciones principales sobre los ficheros ...................................................................................................... 8 Procedimiento de firma ............................................................................................................................... 8 Eliminar una firma ...................................................................................................................................... 10 Comentarios ............................................................................................................................................... 10 Mover/Rechazar/Eliminar .......................................................................................................................... 12 Operaciones principales sobre las aplicaciones .............................................................................................. 13 Habilitar envío/Aceptar la aplicación ......................................................................................................... 13 Deshabilitar el envío/Rechazar la aplicación .............................................................................................. 14 Validar la emisión – recepción ................................................................................................................... 15 Onesait Ecosystems Editran 2 Índice Inicializar la aplicación ................................................................................................................................ 16 Descifrar/Descomprimir los ficheros. ......................................................................................................... 16 Enviar correo electrónico de notificación ....................................................................................................... 17 Estados de las aplicaciones ............................................................................................................................. 17 Estados de los ficheros ................................................................................................................................... 19 Estados de los grupos ..................................................................................................................................... 20 6. Módulos visualizadores y validadores ...................................................................................................................... 21 Visualizadores ................................................................................................................................................. 21 Validadores ..................................................................................................................................................... 22 7. Comandos ................................................................................................................................................................. 23 Visualizadores y validadores ........................................................................................................................... 23 Visualizar .................................................................................................................................................... 23 Validador .................................................................................................................................................... 23 EnviarDN ......................................................................................................................................................... 24 EstadoApl ........................................................................................................................................................ 25 MovAplFF ........................................................................................................................................................ 25 MovNoFir ........................................................................................................................................................ 26 EnvMailFF........................................................................................................................................................ 26 AceptaFF ......................................................................................................................................................... 27 OrdenaPerfiles ................................................................................................................................................ 27 MigraPerfiles ................................................................................................................................................... 27 Servicio Editran/FF .......................................................................................................................................... 28 Proceso Java Editran Signature Services para firmas XAdES........................................................................... 28 8. Licencia ...................................................................................................................................................................... 31 9. Movilidad .................................................................................................................................................................. 32 Configuración en el servidor Windows ........................................................................................................... 32 Requisitos ................................................................................................................................................... 32 Certificado SSL ............................................................................................................................................ 32 Arranque de la aplicación web FFMobileBackend.war .............................................................................. 36 Instalación de las Apps en los dispositivos móviles ........................................................................................ 36 Requisitos ................................................................................................................................................... 36 Instalación en dispositivos móviles iOS ...................................................................................................... 36 Instalación en dispositivos móviles Android .............................................................................................. 38 Uso de la aplicación ........................................................................................................................................ 39 10. Puesta en marcha del producto ................................................................................................................................ 44 Onesait Ecosystems Editran 3 1.Introducción 1. Introducción Onesait Ecosystem - Editran/FF es una aplicación que engloba todas las operaciones que requieren la firma y la verificación de la firma de ficheros antes y después de ser intercambiados entre dos extremos. Para ello establece una relación entre los ficheros a firmar y los usuarios firmantes, asegurando que se han cumplimentado todas las firmas necesarias, y que todas son correctas, tanto en el extremo emisor como en el extremo receptor. Básicamente, el sistema está integrado por los siguientes elementos: Usuario: elemento asociado a certificados digitales de persona física o jurídica. El certificado es el elemento con el que se realizan las firmas. Los Usuarios Locales se corresponden con los propietarios de los certificados con los que se puede acceder a Editran/FF para visualizar y firmar los ficheros de las aplicaciones. Por su parte, los Usuarios Remotos se corresponden con los propietarios de los certificados con los que están firmados los ficheros recibidos de otra entidad. Aplicación: es el elemento que identifica un conjunto de ficheros que están en un mismo directorio, generalmente todos ellos con un mismo formato, sobre los que se quiere realizar o validar un mismo tipo de firma y a la que se asocian determinados usuarios. Puede tener dos propósitos: firmar ficheros o verificar firmas recibidas. Se establece una relación entre cada aplicación y los usuarios que deben firmar dichos ficheros especificando, mediante los parámetros / atributos de dichos elementos, las normas de funcionamiento a seguir en cada caso. La funcionalidad que presta Onesait Ecosystem - Editran/FF se reparte entre dos interfaces gráficas: AdminFF: con ella se configura el sistema Onesait Ecosystem - Editran/FF, dando de alta, modificando y eliminando el conjunto de parámetros que definen a cada usuario, a cada aplicación y a las relaciones entre ambos. UserFF: permite a los signatarios validar, visualizar y firmar con sus certificados digitales los ficheros de datos de las aplicaciones para firmar a las que estén asociados. En las aplicaciones para verificar, permite validar y extraer el contenido de las firmas recibidas de otra entidad. Onesait Ecosystem - Editran/FF se puede ejecutar en la plataforma Windows en la que existe CryptoAPI de Microsoft. Onesait Ecosystems Editran 4 2.Descripción 2. Descripción Onesait Ecosystem - Editran/FF, en adelante Editran/FF, está diseñado modularmente, de manera que su funcionalidad está englobada en partes independientes, ligadas entre sí por diferentes interfaces de programación. De esta forma cada componente implementa una parte del funcionamiento de Editran/FF y libera al resto del conocimiento interno de este. Arquitectura El sistema está compuesto por los siguientes módulos: CONFIGURACIÓN: conjunto de parámetros que definen los perfiles de aplicaciones, usuarios y relaciones entre ambos. ADMINISTRADOR: interfaz gráfica para la gestión de la configuración. USUARIO: interfaz gráfica desde la que se lanzan las peticiones de firma o verificación de firma a Editran/FF. Editran/CD: módulo que gestiona las solicitudes de firma y verificación de firma de ficheros. Editran/FF: conjunto de funciones que determina, a partir de los perfiles de configuración, qué solicitudes de Usuarios y Aplicaciones son permitidas para, a continuación, lanzárselas a Editran/CD. El objetivo del presente manual es la explicación detallada del funcionamiento de las dos interfaces gráficas del sistema Editran/FF y de otros módulos que amplían y completan la funcionalidad del producto. Características generales de las interfaces gráficas La manera de operar con las interfaces gráficas AdminFF y UserFF es muy sencilla e intuitiva, más si el usuario está familiarizado con el sistema operativo Windows y en concreto con su explorador de archivos. Así, Aplicaciones y Usuarios se ordenan en una jerarquía de árbol y se describen en vistas con forma de lista. Se verá como las interfaces persiguen la comodidad del usuario permitiendo, a menudo, que una misma operación puede realizarse desde el menú de la pantalla, la barra de tareas o el menú que aparece al mostrar el botón derecho del ratón (menú contextual). Onesait Ecosystems Editran 5 2.Descripción Cada selección en el árbol determina una vista del panel derecho, en concreto una tabla con filas y columnas. Cada fila se refiere a un elemento (usuario, aplicación, fichero, relación aplicación – grupo o relación aplicación – grupo – usuario) cuyos parámetros, en general, son los campos de cada columna (en algunos casos aparece información adicional). Haciendo doble clic sobre las cabeceras de las columnas, las filas se reordenan según ese campo. Además, el ancho de cada columna puede ser modificado para la completa visualización de la información. Onesait Ecosystems Editran 6 3.Uso genérico de Onesait Ecosystems Editran/FF 3. Uso genérico de Onesait Ecosystems · Editran/FF En general el proceso completo de uso de la aplicación Editran/FF podría seguir los siguientes pasos: La situación de partida es tener configuradas, desde la interfaz AdminFF, una aplicación de firma con ciertos usuarios locales en un extremo y una aplicación de verificación, con el mismo nombre y los mismos usuarios de la de firma, pero de tipo remoto, en el otro extremo. La interfaz UserFF ofrecerá a cada usuario local los ficheros que, según la configuración realizada, pueden visualizar y firmar. Cuando los usuarios acceden a cada fichero y lo firman, se crea en el directorio de firmas un nuevo fichero con el mismo nombre que el firmado pero con extensión .p7b o .xsig. Según la configuración definida, cuando todos los ficheros de la aplicación tengan las firmas suficientes, un usuario habilitará el envío de la aplicación. Este proceso genera un nuevo fichero de firma cuyo contenido es la lista de ficheros de la aplicación y los DN de los certificados de los usuarios que han firmado cada uno de ellos. La habilitación para el envío se puede realizar también de manera forzada, es decir, incluso si faltan firmas, siempre que se haya otorgado este permiso a alguno de los usuarios en la configuración. Envío del contenido de los directorios de firmas o de datos del extremo emisor al extremo receptor. En el extremo receptor se valida la recepción (queda generado un fichero de aceptación de recepción). Envío al extremo emisor del fichero de aceptación de recepción. Validación en el extremo emisor de la Emisión-Recepción (queda generado un fichero con esta información). A continuación, se van a describir con detalle cada una de las tareas enumeradas en esos siete pasos. Onesait Ecosystems Editran 7 4.Administrador de Onesait Ecosystems Editran/FF 4. Administrador de Onesait Ecosystems · Editran/FF La interfaz gráfica AdminFF facilita la generación y modificación de toda la configuración necesaria para el funcionamiento del producto. Dicha configuración requiere dar de alta aplicaciones, usuarios e interrelacionarlos a través de una serie de parámetros que a continuación se van a detallar. Editran/FF solicitará al usuario una confirmación para todas aquellas operaciones que supongan dar de alta, modificar o eliminar los perfiles de configuración. La interfaz muestra dos ramas principales, Usuarios y Aplicaciones bajo las cuales se irá añadiendo cada nuevo elemento. Tanto los elementos del árbol como las filas de las listas pueden ser seleccionados y arrastrados debiendo ser siempre el destino un elemento del árbol. Editran/FF devolverá los siguientes mensajes cuando se practique un movimiento no permitido: El doble clic, tanto en los elementos del árbol que no tienen descendientes como en las filas de las listas, muestra el detalle del elemento: un diálogo con los campos del perfil correspondiente. Onesait Ecosystems Editran 8 4.Administrador de Onesait Ecosystems Editran/FF Barras de menú y herramientas A continuación se describen los diferentes menús y submenús y las tareas que se pueden realizar desde ellos. Menú “Administrador” 4.1.1.1 Configuración de actuaciones automáticas Seleccionando este menú se mostrará el diálogo: Primera firma automática: marcando esta opción se realizará una firma sobre cada nuevo fichero en el directorio de las aplicaciones de manera inmediata. Para ello la aplicación deberá tener asociado un usuario de tipo “Local” con el atributo “Firmante automático”, deberá estar arrancado el servicio Editran/FF y, si el modo de firma de la aplicación es XAdES, además el servicio Editran Signature Services. Esta firma se realizará siempre en primer lugar y de manera automática, por ello el certificado asociado al firmante automático deberá haber sido instalado sin habilitar la protección segura de clave privada. Mientras esta primera firma no se produzca, ningún otro usuario firmante asociado a la aplicación podrá acceder a los ficheros para firmarlos. Una vez que se ha realizado esta firma, cualquier modificación en el fichero de datos sería detectada por el producto mostrando esta firma como incorrecta, por lo que el uso de esta funcionalidad supone un mecanismo de seguridad sobre la información que se va a firmar. Pestaña “Envío de emails” Envío automático de emails de notificación de ficheros disponibles: este parámetro permite habilitar el envío de emails de notificación de nuevos ficheros para firmar a todos los usuarios que tengan ficheros pendientes de firma. Sólo recibirán esta notificación los usuarios que tengan configurada una dirección de email en su perfil y siempre que en el puesto servidor esté arrancado el servicio Editran/FF. Por realizarse Onesait Ecosystems Editran 9 4.Administrador de Onesait Ecosystems Editran/FF desde un servicio Windows, esta funcionalidad se presta exclusivamente bajo SMTP por lo que, en caso de activarse, deberán cumplimentarse obligatoriamente los parámetros del recuadro “Configuración del servidor SMTP” en la misma pestaña. Envío de emails desde los puestos firmantes: este parámetro permite habilitar el envío de emails desde UserFF, tanto entre los propios usuarios como para las notificaciones de tareas que Editran/FF informa en el email configurado en la aplicación. En caso de activarse, se deberá seleccionar uno de: “Utilizar cliente de Microsoft Outlook”: es imprescindible que el cliente de Microsoft Outlook esté instalado y correctamente configurado. o “Utilizar servidor estándar SMTP”: en este caso deberán cumplimentarse obligatoriamente los parámetros del recuadro “Configuración del servidor SMTP” en la misma pestaña. Configuración del servidor SMTP: recoge todos los parámetros necesarios para realizar envíos de emails mediante SMTP. Todos los campos son obligatorios y deberán rellenarse siempre que se quiera activar “Envío automático de emails de notificación de ficheros disponibles” y/o “Envío de emails desde los puestos firmantes” con “Utilizar servidor estándar SMTP”. La contraseña para la autenticación se almacena cifrada. Pestaña “Conexión a servidores” Esta pestaña recoge todos los parámetros necesarios para que el acceso desde los puestos firmantes tanto al servidor que aloja los ficheros de perfiles como al que contiene los ficheros a firmar y las firmas se puede realizar de manera automática y transparente para los usuarios firmantes. Si los ficheros de perfiles y los que se van a firmar van a estar en un mismo servidor, se marcará el check “Servidor común para los ficheros de configuración y para ficheros a firmar” y la columna “Servidor de ficheros a firmar” quedará deshabilitada. En este caso se indicará un directorio del que dependan los otros dos así como un usuario que tenga permiso de lectura, escritura y ejecución en dichos directorios. Las conexiones que se establecen son a \\IP o nombreDNS\Recurso o directorio compartido con el usuario Dominio del usuario\Usuario Onesait Ecosystems Editran 10 4.Administrador de Onesait Ecosystems Editran/FF y la Contraseña para la autenticación El botón “Comprobar conexión” permite confirmar que los valores indicados son correctos. Una vez que se pulsa “Guardar” se generarán dos ficheros .cfg en el directorio indicado en el fichero “path”. Se deberá copiar el fichero cnx.cfg en el directorio de instalación de EditranFF de cada uno de los puestos firmantes desde los que se va a ejecutar UserFF.exe. Si los parámetros de esta pestaña no se configuran, deberá realizarse la conexión a los servidores de manera manual desde cada puesto firmante. 4.1.1.2 Salir Seleccionando este menú se cerrará la interfaz Administrador de Editran/FF Menú “Operaciones” La mayoría de los submenús del menú “Operaciones”, se mostrará habilitado o no en función del tipo de elemento que esté seleccionado en el árbol. Es también el menú contextual que aparece al pulsar el botón derecho del ratón. 4.1.2.1. Nuevo Permite dar de alta en los perfiles un elemento del tipo correspondiente a la rama seleccionada. El botón barra de herramientas ofrece la misma funcionalidad. de la 4.1.2.2. Nuevo grupo/Condiciones para firma mancomunada Dependiendo del tipo de validación para firmas necesaria que se haya definido para la aplicación, permite dar de alta un nuevo grupo o un nuevo conjunto de condiciones o reglas de firma mancomunada. El botón herramientas ofrece la misma funcionalidad. de la barra de 4.1.2.3. Editar Muestra el detalle, el conjunto de parámetros que definen el elemento del árbol que esté seleccionado. El botón de la barra de herramientas ofrece la misma funcionalidad. 4.1.2.4. Eliminar Elimina el conjunto de parámetros que constituyen el elemento del árbol que esté seleccionado. El botón barra de herramientas ofrece la misma funcionalidad. de la Onesait Ecosystems Editran 11 4.Administrador de Onesait Ecosystems Editran/FF 4.1.2.5. Alta con copia Permite crear una nueva aplicación con el mismo conjunto de parámetros que aquella que se encuentre seleccionada en el árbol, a excepción del nombre que deberá ser diferente. En el proceso se copian también los grupos o las condiciones mancomunadas y los usuarios que tiene asociados la original. Una vez que se realice la copia es importante editar la aplicación y definir para ella otro conjunto de directorios de datos, firmas, rechazo y envío o cualesquiera otros que deban ser diferentes a los de la aplicación original. 4.1.2.6. Cifrado de datos Editran/FF puede cifrar los ficheros de una aplicación una vez que esta se ha habilitado para el envío, quedando así su contenido protegido a partir de ese momento y durante el envío entre los extremos. Si la intención del usuario receptor es recibir los ficheros con esta cualidad, cada extremo deberá realizar los pasos que a continuación se van a describir y a los que se accederán desde este submenú. 1. Generar Certificado para Cifrar: el usuario Administrador del extremo que va a recibir los ficheros seleccionará este submenú y accederá al siguiente diálogo en el que se muestran en la lista de la derecha todas las aplicaciones de recepción que se encuentren en los perfiles. Mediante el botón “<<” irá llevando a la lista de la izquierda aquellas aplicaciones que desea recibir cifradas (el botón “>>” deshace la acción anterior). Lo siguiente será indicar la ubicación y el nombre del fichero que se va a generar (deberá tener extensión “.p7b”). Por último, se pulsará el botón “Firmar”. La aplicación pedirá al usuario que seleccione entre los certificados asociados a su alias, aquel con el que va a firmar, a continuación la contraseña. Onesait Ecosystems Editran 12 4.Administrador de Onesait Ecosystems Editran/FF Si todo es correcto, visualizará un mensaje informativo del éxito de la operación. Este fichero se enviará al otro extremo y este lo almacenará. A continuación, seleccionará el menú “Operaciones”-> “Cifrado de Datos” -> “Insertar el Certificado para el Cifrado”. 2. Insertar el Certificado para el Cifrado: lo primero que solicita el diálogo es la ubicación del fichero firmado que recibió del otro extremo, generado con el paso antes descrito. Una vez completado este campo se habilita el botón con el texto “Obtener Datos de la Firma” que permite visualizar la información del certificado propiamente, así como, en la lista de la izquierda, la enumeración de las aplicaciones que se incluyeron en el fichero. Sin embargo, esta lista no es definitiva, podrá ser modificada eliminando cualquiera de ellas o añadiendo otras que se encuentren en la lista de la derecha, las de firma de este extremo. Por último, se especificará dónde se va a guardar este certificado para el cifrado. Onesait Ecosystems Editran 13 4.Administrador de Onesait Ecosystems Editran/FF Una vez que el usuario pulse el botón “Insertar”, visualizará un mensaje informativo del éxito de la operación. Al realizar esta acción, los perfiles de todas las aplicaciones que hayan quedado en la lista “Aplicaciones a cifrar con el certificado” verán modificada su configuración con los parámetros necesarios para cifrar sus ficheros. 4.1.2.7. Actualizar Refresca el contenido del árbol y de la lista. El botón de la barra de herramientas ofrece la misma funcionalidad. Menú Ver Utilice los submenús de Ver para ocultar o mostrar en la interfaz las barras de herramientas y de estado. Menú Consultas Utilice este submenú para consultar el log de Editran/FF. Es el mismo log que se puede consultar desde cada puesto firmante, véase 5.1.3.3. Onesait Ecosystems Editran 14 4.Administrador de Onesait Ecosystems Editran/FF El botón de la barra de herramientas ofrece la misma funcionalidad. Menú Ayuda Utilice este submenú para acceder a la información “Acerca de” de la interfaz Administrador de Editran/FF y para definir o consultar la ubicación de los perfiles de configuración del producto. El botón ofrece la misma funcionalidad. de la barra de herramientas Alta de perfiles Para comenzar a utilizar el AdminFF es necesario establecer el directorio donde se guardarán los perfiles de Editran/FF y los logs. Para ello, debe seleccionar el menú en la barra de menú “Ayuda->Acerca de AdminFF…” o pulsar el botón barra de tareas. de la En el campo “Ubicación de los perfiles de Editran/FF” se indicará la ruta de directorios donde se guardarán los perfiles. Esta ruta deberá ser accesible desde cada puesto firmante y quedará almacenada en un fichero llamado “path” en el mismo directorio que el ejecutable AdminFF.exe. El fichero path deberá trasladarse también al directorio de instalación de cada puesto firmante. Siempre que se modifique el contenido de “path” se deberá cerrar y volver a abrir la interfaz AdminFF para actualizar el cambio. Una vez que se den de alta y/o modifiquen perfiles, es recomendable realizar una copia de seguridad de los ficheros .cfg que se encuentren en el directorio indicado en el fichero path. Alta de Usuarios de Editran/FF Para dar de alta un nuevo usuario de Editran/FF, se debe seleccionar en el árbol la rama “Usuarios” y a continuación acceder al menú “Operaciones -> Nuevo” (también desde menú contextual del botón derecho del ratón) o bien pulsar el primer botón de la barra de herramientas . En el diálogo de Usuario que aparece se definirá un valor para cada uno de los parámetros que constituyen el perfil de configuración. Se describen a continuación. Onesait Ecosystems Editran 15 4.Administrador de Onesait Ecosystems Editran/FF Alias: identificador del usuario que se va a dar de alta. Es el nombre que el signatario usará para acceder a UserFF. Tipo: este campo puede tener dos únicos valores: o Local: un usuario de este tipo podrá acceder a UserFF.exe para visualizar y firmar los ficheros de las aplicaciones de firma a las que esté asociado y/o para habilitar su envío. También podrá validar y visualizar el contenido de las firmas recibidas en las aplicaciones para verificar con las que esté relacionado. o Remoto: de este tipo son los usuarios asociados a los certificados con el que llegarán firmados los ficheros de una aplicación cuyo propósito sea verificar las firmas. Los usuarios de este tipo no pueden acceder a UserFF.exe. E-Mail: dirección de correo electrónico del usuario. En ella recibirá notificaciones tanto desde Editran/FF como comunicaciones de otros usuarios realizadas desde UserFF. Este dato imprescindible para que el usuario reciba el aviso de nuevos ficheros disponibles para firmar. Certificados: recoge tres de los campos correspondientes a los certificados con los que el usuario va a firmar (usuario local) o del usuario cuyas firmas se van a verificar (usuario remoto): DN o sujeto del certificado, DN del emisor y número de serie. Se pueden añadir hasta tres certificados diferentes para cada usuario. El usuario podrá firmar indistintamente con cualquiera de los certificados que tenga asociados. Cuando se estén dando de alta usuarios de tipo local (van a firmar), si los certificados propios están instalados o son accesibles desde la máquina donde se esté ejecutando AdminFF, se pulsará el botón “Inst” de este diálogo para acceder a una tabla que mostrara todos ellos y seleccionar aquellos con los que va a firmar el usuario. En caso contrario, o si el usuario que se está dando de alta es de tipo remoto (se van a verificar sus firmas), se recomienda utilizar la herramienta EnviarDN en los equipos de los usuarios donde estén instalados los certificados. Desde esa herramienta se puede copiar la información al portapapeles, enviarla por correo o generar un fichero. Una vez que esta información se encuentre en el equipo en el que se están dando de alta los perfiles, utilice los botones “Port” de este diálogo para pegar la información copiada en portapapeles o copiada desde un correo electrónico o el botón “Fich” para localizar y leer el fichero que se generó con “EnviarDN”. Es imprescindible que el DN, el emisor y el número de serie introducidos sean exactamente iguales que los del certificado (mayúsculas, minúsculas, espacios, separadores de valor y atributo). Los certificados podrán ser personales o de empresa y haber sido emitidos por cualquier CA reconocida. La aplicación “EnviarDN” (el ejecutable es EnviarDN.exe) se describe en la sección 7.2. Administrador: otorga al usuario permiso para acceder a la configuración del producto. Cuando accede a AdminFF un usuario “Administrador”, visualizará una ventana como la siguiente en la que deberá introducir Onesait Ecosystems Editran 16 4.Administrador de Onesait Ecosystems Editran/FF su alias y a continuación la contraseña de su certificado. Si ninguno de los usuarios locales en los perfiles tiene marcado este atributo, cualquiera podrá acceder a la consulta y modificación de perfiles. Firmante automático: los usuarios de este tipo serán siempre de tipo local, deberán tener asociado un certificado que esté instalado en el equipo servidor y que no tenga habilitada la protección segura de clave privada ni solicite contraseña para su uso (motivo por el que no deberían ser Administrador del producto). Este usuario podrá y tendrá que firmar siempre (cualquier importe), no formará parte de grupos ni de reglas mancomunadas. La función de este tipo de usuarios es firmar en primer lugar y de manera inmediata cada nuevo fichero que se detecte en el directorio de datos de las aplicaciones a las que se encuentre asociado. Siempre que una aplicación tenga asociado un usuario de este tipo, ningún otro usuario asociado a la aplicación podrá firmar antes que este. Para habilitar esta funcionalidad, deberá estar activado el parámetro “Primera firma automática” del diálogo que se muestra en el menú “Administrador -> Configuración de actualizaciones automáticas”, en el puesto servidor estar arrancado el Servicio Editran/FF y, si se van a realizar firmas modo XAdES, también el servicio Editran Signature Services. Una vez que se ha realizado esta firma, cualquier modificación en el fichero de datos sería detectada por el producto mostrando esta firma como incorrecta, por lo que el uso de esta funcionalidad supone un mecanismo de seguridad sobre la información que se va a firmar. Una vez que se pulse el botón “Guardar” este usuario quedará almacenado con los parámetros definidos en el fichero “user.cfg” y se añadirá como subrama del árbol “Locales” o “Remotos”, según el tipo especificado, así como en la vista de la derecha (lista). Alta de Aplicaciones de Editran/FF Para dar de alta una nueva aplicación de Editran/FF, se debe seleccionar en el árbol la rama “Aplicaciones” y a continuación acceder al menú “Operaciones -> Nuevo” (también desde menú contextual del botón derecho del ratón) o bien pulsar el botón de la barra de herramientas. Se describen a continuación los parámetros que el sistema requiere para dar de alta una nueva aplicación. Nombre: identificador de la aplicación que se va a dar de alta. Para el primer carácter se permiten los caracteres: A...Z@#$. Para los siguientes son posibles: A...Z0...9@#$-{ Propósito: las aplicaciones pueden ser o bien para firmar o bien para verificar firmas. Si se selecciona la opción “Nuevo” desde las ramas “De firma de ficheros” o “De verificación de firmas”, este campo se rellena de forma automática. Onesait Ecosystems Editran 17 4.Administrador de Onesait Ecosystems Editran/FF --- Firmas -- Modo de firma: indica el formato de las firmas que se van a realizar desde la aplicación. Los modos implementados se engloban en dos tipos: PKCS#7 (el fichero de firma tiene formato PKCS#7 y extensión.p7b) y XAdES (el fichero de firma tiene formato XML y extensión .xsig). Dentro de cada uno de estos formatos de firma existen a su vez varias modalidades, se describen brevemente a continuación: PKCS#7 detached: el fichero de firma no incluye el fichero original. Requiere el envío del fichero de datos y del de la firma al el extremo receptor/validador. PKCS#7 attached: el fichero de firma incluye el fichero de datos. XAdES Detached Interna Implícita: el fichero de firma incluye el fichero de datos. En este modo los nodos del fichero de datos y los de las firmas realizadas sobre el fichero se disponen al mismo nivel bajo el nodo raíz. Si el fichero de datos que se firma no tiene formato XML, se incorpora en base64. XAdES Detached Interna Explícita: disposición igual que la descrita en el modo implícito, pero en este caso no se incluye el fichero de datos propiamente sino su hash. Este formato es adecuado para ficheros muy grandes. Requiere el envío del fichero de datos y del de firma al extremo receptor/validador. XAdES Detached Interno Explícito Un Fichero: es una variación del modo anterior propietaria de Iberpay en la que se concatena el fichero de datos a continuación del de firma, quedando ambos en un mismo fichero físico. Esta modalidad sólo admite ficheros XML y una única firma. Onesait Ecosystems Editran 18 4.Administrador de Onesait Ecosystems Editran/FF XAdES Detached Externa: el fichero de firma no incluye el fichero de datos. Es una variación de los modos internos en los que en lugar del fichero de datos lo que se incluye es una dirección URI donde se localiza el fichero de datos físicamente. XAdES Enveloped: el fichero de firma incluye el fichero de datos. En este caso los nodos de firma son hijos del nodo del fichero de datos. Con este modo sólo se pueden firmar ficheros de formato XML. XAdES Enveloping Implícito: el fichero de firma incluye el fichero de datos. En este caso el nodo del fichero de datos es hijo del nodo de la firma. Si el fichero firmado no es XML, se incorpora en base 64. Este formato sólo admite una firma. XAdES Enveloping Explicito: disposición igual que la descrita para el modo implícito, pero en este caso no se incluye el fichero de datos propiamente sino su hash. Este formato es adecuado para ficheros muy grandes. Requiere el envío del fichero de datos y del de firma al extremo receptor/validador. Este formato sólo admite una firma. El campo “El fichero de firmas contiene el fichero de datos” es informativo, se marca o desmarca automáticamente en función del modo de firma escogido, no es posible configurarlo por parte del Administrador. La utilización de cualquiera de los modos de firma XAdES requiere disponer de una instalación de Java en la máquina. Además dicha instalación deberá incluir necesariamente la extensión Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files. La funcionalidad para los modos de firmas XAdES se realiza por medio del servicio XAdES que deberá estar correctamente arrancado (desde UserFF se ejecuta automáticamente si start_xades.bat está configurado de manera adecuada), véase 7.11. Validación de firmas necesarias: Editran/FF ofrece dos formas para establecer los diferentes conjuntos de usuarios que deben firmar los ficheros. Atendiendo a las necesidades de cada entidad, las firmas requeridas para cada fichero (tanto el número de firmas como los firmantes concretos que pueden hacerlo) pueden definirse por medio de Usuarios/Grupos o de Reglas Mancomunadas: o Usuarios/grupos Un usuario puede formar parte de un grupo o estar fuera de todos pero no puede participar de ambas formas simultáneamente. Un usuario no puede formar parte de más de un grupo o conjunto de usuarios. Para poder considerar cada fichero suficientemente firmado, todos los conjuntos de usuarios deben cumplirse: los usuarios que estén fuera de grupo deben firmar siempre (es el caso de los usuarios automáticos) y en cada grupo debe alcanzarse el número mínimo de firmas (firmas obligatorias) y no puede superarse el número máximo (firmas permitidas). El importe máximo de los ficheros que cada usuario puede firmar en la aplicación es constante y no depende de la actuación o no de otros firmantes. El alta de grupos se explica de forma detallada en la sección 4.2.4. o Habilitar orden de los firmantes: se marcará esta opción cuando las firmas de los usuarios asociados a la aplicación deban realizarse en una secuencia determinada. Si el orden en el que tienen que firmar los usuarios es indiferente, este parámetro no deberá activarse. En el perfil del usuario en la aplicación se establecerá el nivel de cada uno. Reglas mancomunadas: Cada usuario puede formar parte de tantas condiciones como resulten necesarias. Se considera un fichero suficientemente firmado cuando se cumple una de las condiciones. Los usuarios que no forman parte de ninguna condición, no podrán firmar. A excepción de los usuarios automáticos que no pueden participar en ninguna de las reglas y sin embargo siempre tienen que firmar. El importe máximo de los ficheros que el usuario puede firmar en la aplicación no es constante, puede variar en función de en compañía de quien los firme, es decir, en función de las condiciones mancomunadas en las que participe. Los usuarios sólo podrán firmar los ficheros cuyo importe no supere ninguno de los límites establecidos en las diferentes condiciones en las que esté relacionado. Onesait Ecosystems Editran 19 4.Administrador de Onesait Ecosystems Editran/FF No es posible establecer el orden en el que se realizan las firmas. El alta de condiciones mancomunadas se explica de forma detallada en la sección 4.2.6. --- Ficheros -- Directorios: seleccionando las pestañas de la tabla, se podrán configuran los directorios asociados a la aplicación. Son los siguientes: o Ficheros a firmar/Ficheros recibidos: cuando el propósito de la aplicación es firmar, se escribirá la ruta de los ficheros de datos. Esta ruta admite caracteres comodín (‘*’, ‘?’). Los ficheros se pueden comprimir (requiere licencia específica) y/o cifrar. Cuando el propósito de la aplicación es verificar firmas, se escribirá aquí una ruta de directorio, aquel donde quedarán los ficheros de datos extraídos de las firmas (o que acompañan a estas en los modos que no los incluyen). o Firmas: recoge la ubicación de las firmas de los ficheros: las que se generan en las aplicaciones para firmar y las que se reciben en las aplicaciones para verificar. Puede coincidir con el directorio de los ficheros de datos. En este caso se recomienda utilizar expresiones regulares en la pestaña “Ficheros a firmar” para evitar que las firmas sean consideradas ficheros a firmar. o Envío: si se define, es el directorio al que se moverán los ficheros de datos y/o firmas, cuando se habilite la aplicación o, si la aplicación no requiere fichero de habilitación, cuando todos los ficheros alcancen el número de firmas necesarias y todas ellas sean correctas. El tipo de ficheros que se mueve queda determinado por las opciones seleccionadas a la derecha del botón “…”: “Datos” y/o “Firmas”. Cuando sólo se seleccione la opción “Firmas”, los ficheros de datos también serán movidos, pero a un directorio llamado “D” bajo este. Una vez que se realiza el movimiento de los ficheros al directorio de envío, la validación del estado de la aplicación se realizará sobre este directorio. El proceso de firma no se podrá reanudar (los usuarios no verán ficheros disponibles para firmar) mientras existan ficheros en este directorio. o Mover/Rechazar: es el directorio por defecto al que se moverán los ficheros de datos que se rechacen, es decir, que se saquen del circuito de firmas por parte de los usuarios asociados a la aplicación que tengan permiso para ello. Si este campo se deja en blanco y alguno de los usuarios asociados a la aplicación tiene que rechazar algún fichero, se le ofrecerá un diálogo en el que podrá definir el directorio al que moverá los ficheros en ese momento. o Certificado para cifrar: siempre que se haya seleccionado la opción “Cifrar” en la pestaña “Ficheros a firmar”, se deberá definir aquí la localización del certificado que se usará para cifrar. El cifrado se explica de forma detallada en la sección 4.1.2.6. o Plantilla (en aplicaciones para firmar)/Política XAdES (enaplicaciones para verificar): cuando se haya seleccionado uno cualquiera de los modos de firma XAdES, se deberá definir aquí la localización de la plantilla a utilizar, si la aplicación es para firmar, o de la política, si la aplicación es para verificar y el nivel de protección utilizado en las firmas es EPES. Las plantillas son documentos XML, según esquema propietario de Editran/FF y entregado en la distribución (en XAdES/rsc), que reúnen un conjunto de características que son configurables para el modo de firma elegida, tales como nivel de protección (BES o EPES), versión de SHA para obtener el hash del documento, versión SHA de algoritmo RSA con el que se firma, etiquetas obligatorias, etc. Con el producto se distribuyen diferentes plantillas con las configuraciones más utilizadas, se encuentran en el directorio XAdES/plantillas de la instalación. Si ninguna se adaptara a las necesidades requeridas, se podrá escribir otra, siempre cumpliendo el esquema indicado. Cuando el nivel de protección utilizado en el extremo validador sea EPES, necesariamente se deberá especificar en este directorio de la aplicación para verificar la ubicación del fichero de política que se debe aplicar en el proceso. El fichero de política es otro fichero XML, esta vez según un esquema propietario de XAdES, que recoge las características exigidas para considerar correctas las firmas recibidas. En el directorio XAdES/politicas de la instalación se encuentra el fichero de la política de la Agencia General del Estado (AGE). El uso en el extremo firmante de aquellas plantillas del directorio XAdES/plantillas con “EPES-AGE” en el nombre garantiza el cumplimiento de la política AGE en el extremo receptor y validador de dichas firmas. Por el contrario, si el extremo validador va a utilizar como nivel de Onesait Ecosystems Editran 20 4.Administrador de Onesait Ecosystems Editran/FF protección BES, dejará este campo en blanco y el extremo firmante indicará una plantilla para nivel de protección BES (en las de la distribución son todas aquellas con “BES” en el nombre). Visualizador/Validador: se indicará por medio de este parámetro el formato de los ficheros que se van a validar, visualizar y firmar en esta aplicación. Si no se desea la visualización del contenido antes de la firma (opción no recomendada) o se quieren mezclar en el directorio “Ficheros a firmar” ficheros de diferentes formatos, se debe seleccionar <Ninguno> en el combo. El combo muestra todos los módulos visualizadores y validadores incluidos en el producto, véase apartado 6.1. Cuando el visualizador que se va a utilizar es de la norma de Transferencias (tanto en formato plano como en formato XML) se recomienda escoger aquí el programa Resumen que sólo muestra la cabecera y los totales del fichero. Después, en el perfil usuario – aplicación de aquellos usuarios que deban visualizar el contenido completo del fichero (las transferencias individuales) se escogerá el módulo RRHH y para el resto se dejará el módulo Resumen, que es el que aparecerá por defecto. Importe total máximo permitido en los ficheros (€): este parámetro permite limitar el importe máximo de los ficheros que se pueden firmar. --- Certificados --Verificar cadena de certificación: su selección desencadena la validación (en cuanto a estructura, contenido, uso y fecha de caducidad) de todos los certificados de autoridad (raíz e intermedios) de la cadena de certificación del que se ha utilizado para firmar. Este proceso es obligatorio para los modos de firma XAdES, por lo que esté parámetro quedará marcado automáticamente cuando se seleccione uno de esos modos. Verificar estado de revocación: su selección desencadena la validación del estado de revocación del certificado elegido para firmar, es decir, conocer si la autoridad que lo emitió lo sigue considerando válido o no. El lugar donde se debe verificar esta información forma parte de la información contenida en los certificados. Si la ubicación es una dirección https, la máquina desde la que se realiza la validación deberá tener salida a internet y tener correctamente configurados los parámetros que se escriben con XAdES/bin/configuración_xades.cfg. --- Habilitación --- Sí / No: el fichero de habilitación es un fichero resumen con formato propietario de Editran/FF. Recoge el nombre de cada fichero de la aplicación que se encuentre en el directorio de datos, los DN de los certificados con los que se ha firmado, el nombre del fichero de firma resultante y, cuando procede, un comentario informando de que faltan firmas. Este fichero se creará en las aplicaciones en las que se marque la opción “Sí” y no se creará en caso contrario. La presencia de firmas incorrectas o inválidas en la aplicación es incompatible con la generación de este fichero. Puede ser creado de manera manual o automática y sólo por parte de los usuarios que tengan permiso para ello. El fichero de habilitación, con el contenido arriba descrito, queda firmado por el usuario que lo genera, se almacena en el directorio de firmas de la aplicación con el mismo nombre que esta y la extensión .p7b. Si la aplicación es para verificar firmas, el parámetro indica si se va a recibir o no el fichero de habilitación. Habilitación automática: cuando se haya seleccionado la opción “Sí”, se podrá marcar además esta opción para que la generación del fichero de habilitación se desencadene a continuación de la última firma necesaria para los ficheros de una aplicación, siempre que el usuario que haya realizado esa última firma tenga permiso para habilitar. Aunque el proceso en este caso se desencadena automáticamente, el usuario podrá cancelar su generación si así lo desea. Si no se marca esta opción, la aplicación permanecerá sin el fichero de habilitación hasta que un usuario de la aplicación, con el permiso oportuno, proceda a su generación de manera manual. Proceso posterior a la habilitación: en este parámetro se puede indicar el nombre de un programa o fichero batch que ejecute cierta tarea que se quiera lanzar tras la habilitación, si la aplicación es para firmar, o tras la aceptación si es para verificar firmas. E-Mail Notificaciones: siempre que se haya configurado el envío de e-mails (véase 4.1.1.1) en esta dirección se recibirán diversas notificaciones genéricas de Editran/FF, por ejemplo cuando se habilite la aplicación, cuando se rechace un fichero, etc. Los campos “Compresión” y “Cifrado” en las pestaña “Ficheros a firmar”, las pestañas “Envío”, “Mover/Rechazar” y “Certificado para cifrar” de la tabla “Directorios” y “Habilitación automática” son propios de las aplicaciones para firmar y quedan por tanto deshabilitados cuando se define una aplicación cuyo propósito sea verificar firmas. Onesait Ecosystems Editran 21 4.Administrador de Onesait Ecosystems Editran/FF Una vez completado el formulario se procederá a “Guardar”, quedando así la nueva aplicación almacenada con estos parámetros en “aplicFF.cfg” y se añadirá en el árbol a una de las subramas “De firma de ficheros” o “De verificación de firmas”, según el propósito que tenga, en la lista de la derecha. Alta o asociación de usuarios a una aplicación Esta operación se podrá hacer seleccionando el usuario en el árbol y arrastrándolo a la aplicación destino, o bien seleccionando el usuario en la vista: “Usuarios de Editran/FF”, “Usuarios Locales de Editran/FF” o “Usuarios remotos de Editran/FF” e igualmente arrastrándolo a la aplicación destino. Desde cualquiera de estas opciones el programa pregunta: Si la respuesta es afirmativa, dependiendo del tipo de usuario y el tipo de aplicación, se muestran los diálogos que se describen a continuación. Usuario local en aplicación para firmar: Onesait Ecosystems Editran 22 4.Administrador de Onesait Ecosystems Editran/FF Usuario: nombre del usuario asociado. Este parámetro no es editable. Grupo: si el usuario en la aplicación forma parte de un grupo, se muestra aquí su nombre (en el apartado 4.2.4 se verá cómo crear grupos en las aplicaciones y en 4.2.5 cómo añadir usuarios de la aplicación al grupo. Este parámetro no es editable. Aplicación: nombre de la aplicación a la que se ha asociado el usuario. Este parámetro no es editable. Visualizador y validador: nombre del módulo ejecutable con el que se validan y presentan los ficheros de datos que se van a firmar. El combo recoge todos los módulos visualizadores y validadores incluidos en el producto y mostrará seleccionado por defecto el mismo que se escogió para la aplicación. Uno y otro deben coincidir siempre excepto cuando el visualizador que se va a utilizar es de la norma de Transferencias (tanto en formato plano como en formato XML). En este caso, se debe especificar a nivel de aplicación el programa Resumen y solamente en este perfil y a los usuarios que corresponda, se indicará el módulo RRHH, este módulo permitirá al usuario visualizar el contenido completo de los ficheros y por lo tanto las transferencias individuales. Importe total máximo permitido en los ficheros (€): es el importe total de los ficheros de la aplicación que puede firmar este usuario como máximo. Nivel de firma: mediante este parámetro la aplicación puede regular el orden de los firmantes. Existen cinco niveles, siendo el nivel 5 el que se refiere al firmante jerárquicamente inferior y así sucesivamente hasta el nivel 1 que corresponderá al usuario con más categoría de la estructura y que será el último en firmar. En la aplicación puede haber más de un usuario con el mismo nivel. El combo aparecerá habilitado si en la aplicación se marcó “Habilitar orden de los firmantes”. Siguiente firmante: cuando el usuario asociado que se describe en este diálogo firma un fichero, y siempre que se haya configurado el envío de e-mails, el usuario seleccionado en este combo recibirá una notificación informando de que ya puede firmar dicho fichero. Mover/rechazar/eliminar ficheros: este campo otorga al usuario permiso para mover, rechazar y eliminar ficheros cuando lo considere necesario. Habilitar el envío cuando estén todas las firmas: este parámetro y el siguiente se refieren al permiso que se le otorga al usuario en cuanto a la habilitación de la aplicación. Si se activa este primer campo, el usuario podrá habilitar el envío de la aplicación siempre y cuando todos los ficheros de la aplicación cuenten con todas las firmas necesarias y todas ellas sean correctas. Habilitar el envío aunque falten firmas (forzadamente): este campo se visualiza solamente cuando se ha activado el anterior. Seleccionarlo implica otorgar a este usuario permiso además para habilitar la aplicación, en cualquier caso, incluso si faltan firmas. Los siguientes campos aparecen habilitados sólo cuando el modo de firma seleccionado en la aplicación es tipo XAdES, son opcionales. Si se rellenan, dicha información aparecerá en los nodos correspondientes de la firma resultante: SignatureProductionPlace: es el lugar físico donde se realiza la firma. Se puede rellenar la ciudad, la provincia, el código postal y/o el país. SignerRole: recoge el papel que tiene el firmante en la organización. CommytmentTypeIndication: recoge la acción del firmante sobre el documento. Usuario local en aplicación para verificar: Onesait Ecosystems Editran 23 4.Administrador de Onesait Ecosystems Editran/FF Además del nombre del usuario y la aplicación que se van a relacionar, se muestran los campos: Cuando estén todas las firmas: si se selecciona este campo el usuario podrá aceptar la aplicación recibida siempre y cuando todos los ficheros cuenten con las firmas suficientes y todas sean correctas. Aunque falten firmas: este campo aparece solamente cuando se ha activado el anterior. Seleccionarlo implica otorgar a este usuario permiso para aceptar la aplicación, en cualquier caso, incluso si faltan firmas o alguna/s de la/s que se han recibido es/son incorrectas. Con los usuarios remotos no aparece ningún diálogo, ya que sus perfiles solo constan de los nombres de usuario y aplicación. En todos los casos la nueva relación Aplicación-Usuario quedará almacenada en el fichero “aplicgroupuserff.cfg” y aparecerá en el árbol una nueva rama de la aplicación bajo el “Extremo local” o el “Extremo remoto” según el tipo de usuario. Alta de grupo en una aplicación Para dar de alta un nuevo grupo en una aplicación de Editran/FF, se debe seleccionar en el árbol la rama de la aplicación y a continuación acceder al menú “Operaciones -> Nuevo grupo/Condiciones para firma mancomunada” (también desde menú contextual del botón derecho del ratón) o bien pulsar el botón de la barra de herramientas. La aplicación necesariamente deberá tener establecido “Usuarios/Grupos” en el apartado “Validación de firmas necesarias”. Se describen a continuación los parámetros que el sistema requiere en este caso. Aplicación: nombre de la aplicación en la que se va a crear un grupo. Este parámetro no es editable. Grupo: nombre del grupo que se va a crear. Usar número de firmas obligatorias: parámetro para establecer un número mínimo de integrantes del grupo que deben firmar cada fichero de la aplicación. Cuando se selecciona, se muestra un nuevo parámetro donde se debe indicar esa cantidad. Se recomienda introducir en el grupo una cantidad de usuarios superior al número de firmas obligatorias para garantizar el flujo de firma cuando alguno de los usuarios se encuentre ausente. Usar número de firmas permitidas: parámetro para establecer un número máximo de integrantes del grupo que pueden firmar cada fichero de la aplicación. Cuando se selecciona, se muestra un nuevo parámetro donde se debe indicar esa cantidad. Onesait Ecosystems Editran 24 4.Administrador de Onesait Ecosystems Editran/FF El número de firmas permitidas no puede ser inferior al de firmas obligatorias. Una vez que se seleccione “Guardar” esta nueva relación Aplicación-Grupo quedará alojada en el fichero “aplicgroupff.cfg”. En AdminFF, si la aplicación es para firmar, el grupo se añadirá bajo la rama “Extremo local” de la aplicación, si es para verificar, bajo “Extremo remoto”. Introducir un usuario en un grupo Para poder realizar esta operación es necesario que el usuario ya esté relacionado previamente con la aplicación y que tanto el grupo como el usuario estén bajo la misma rama “Extremo local” o “Extremo remoto”. Cumplido este requisito, será suficiente seleccionar el usuario o bien en el árbol o bien en cualquiera de las vistas: “Usuarios y grupos de la Aplicación...”, “Usuarios y grupos locales de la Aplicación...”, “Usuarios y grupos remotos de la Aplicación...” y arrastrarlo hasta el grupo de destino en el árbol. Automáticamente coloca el usuario bajo la rama del grupo en el árbol y escribe el nombre del grupo bajo la columna “Grupo” en la vista de la derecha. Respecto a los ficheros de configuración, esta operación no añade una nueva relación, sino que modifica la que ya existía entre el usuario y la aplicación en el fichero “aplicgroupuserff.cfg” sustituyendo el valor nulo del parámetro “Grupo” por el nuevo valor. Onesait Ecosystems Editran 25 4.Administrador de Onesait Ecosystems Editran/FF Alta condiciones mancomunadas Para dar de alta nuevas condiciones de firma mancomunada en una aplicación de Editran/FF, se debe seleccionar en el árbol la rama de la aplicación y a continuación acceder al menú “Operaciones -> Nuevo grupo/Condiciones para firma mancomunada” (también desde menú contextual del botón derecho del ratón) o bien pulsar el botón barra de herramientas. de la La aplicación necesariamente deberá tener establecido “Reglas mancomunadas” en el apartado “Validación de firmas necesarias”. Se mostrará un diálogo con los siguientes elementos: Aplicación – Propósito: información relativa a la aplicación a la que se va a añadir la regla, este campo no son editables. Condiciones: lista que recoge todas las condiciones establecidas para la aplicación. Nueva condición: botón para dar de alta una nueva regla mancomunada. Modificar condición: botón para hacer cambios en una condición ya existente. Salir: botón para cerrar el diálogo. Onesait Ecosystems Editran 26 4.Administrador de Onesait Ecosystems Editran/FF Al pulsar el botón “Nueva condición”, se habilita la zona inferior del diálogo donde se muestran los parámetros necesarios para configurar una nueva regla o condición. Son: Usuarios locales/remotos de la aplicación: lista con la totalidad de usuarios de la aplicación. Los usuarios mostrados son los de tipo local en las aplicaciones para firmar o los de tipo remoto en las que tienen como propósito verificar. Usuarios de la condición: lista de los usuarios que van a participar en la condición que se va a crear. Para añadir usuarios a esta lista, seleccione tantos como sea necesario en la lista “Usuarios locales/remotos de la aplicación” y utilice el botón . Para eliminar usuarios de esta lista, selecciónelos y pulse . Nº firmas necesarias: cantidad de firmantes de la lista “Usuarios de la condición” que deben firmar cada fichero para dar la condición por cumplida. La participación en la condición de una cantidad de usuarios superior al número de firmas necesarias, garantiza la continuidad del flujo de firma cuando alguno de los firmantes se encuentre ausente. Importe máximo: importe máximo que pueden tener los ficheros que se firmen con esta regla. Se indicará ‘0’ cuando no haya límite. Onesait Ecosystems Editran 27 4.Administrador de Onesait Ecosystems Editran/FF Cuando se hayan completado todos los campos, se pulsará “Guardar” para dar de alta la nueva condición. La nueva condición se añadirá a la lista superior, “Condiciones” y la parte inferior quedará deshabilitada. Onesait Ecosystems Editran 28 4.Administrador de Onesait Ecosystems Editran/FF Realice esta operación para dar de alta tantas condiciones de firma mancomunada como sean necesarias. La introducción de condiciones redundantes o innecesarias podría ralentizar el proceso de validación puesto que se comprueba una a una, y en el orden en el que se dan de alta, hasta encontrar la primera que se cumple. Editar, modificar perfiles Si se desea acceder al perfil guardado para un usuario o una aplicación, tanto para visualizarlo como para modificarlo, se podrá seleccionar el elemento concreto en el árbol o en cualquiera de las vistas: Si el elemento es un usuario “Usuarios”, “Locales” o “Remotos” Si el elemento es una aplicación “Aplicaciones”, “De firma de ficheros” o “De verificación de fimas” Si el elemento es un grupo nombre del grupo debajo de ”Extremo local” o de “Extremo remoto” dentro de la aplicación. Si el elemento es un usuario ya asociado a una aplicación nombre del usuario debajo de ”Extremo local” o de “Extremo remoto” dentro de la aplicación, y dentro de grupo o no. Y a continuación, o bien desplegar el menú “Operaciones -> Editar” (también desde menú contextual del botón derecho del ratón), o bien pulsar el segundo botón de la barra de herramientas elemento seleccionado en el árbol o la lista. o hacer doble clic sobre el En cada caso se mostrará el diálogo con los parámetros correspondientes al elemento (los mismos que ya se han visto en los apartados explicativos del alta de cada elemento). Se podrán modificar los valores que aparezcan habilitados y con “Guardar” establecer esos nuevos valores en los perfiles. Si el elemento son las condiciones mancomunadas -> se seleccionará en el árbol o en la lista al elemento de la aplicación y a continuación se accederá al menú “Operaciones -> Nuevo grupo/Condiciones para firma mancomunada” (también desde menú contextual del botón derecho del ratón) o bien pulsar el botón de la barra de herramientas. Se mostrará el diálogo “Condiciones de firma mancomunada” que se ha visto en el apartado 4.2.6. Seleccionando la condición a modificar y pulsando el botón “Modificar condición”, se habilitará la zona inferior del diálogo donde se podrán escribir los nuevos valores. Se pulsará “Guardar” para establecer los nuevos valores en los perfiles. Desligar un Usuario de un Grupo Para extraer un usuario de un grupo, se debe seleccionar la rama de dicho usuario bajo el grupo y arrastrarlo hasta la rama de la aplicación en el árbol. Eliminar perfiles Para eliminar el perfil guardado para un usuario, una aplicación, un grupo o el vínculo de un usuario a una aplicación, se seleccionará el elemento concreto en el árbol, o en la lista del panel de la derecha, y a continuación, o bien desplegar el menú “Operaciones -> Eliminar” (también desde menú contextual del botón derecho del ratón), o bien pulsar el tercer botón de la barra de tareas o también pulsar la tecla ‘SUPR’. Si lo que se quiere eliminar es el vínculo de un usuario a una aplicación, y el usuario se encuentra formando parte de un grupo, se arrastrará primero hasta la rama de la aplicación para sacarlo del grupo (véase 4.3.1) antes de proceder a eliminarlo. Para eliminar condiciones mancomunadas, se seleccionará en el árbol o en la lista al elemento de la aplicación y a continuación se accederá al menú “Operaciones -> Nuevo grupo/Condiciones para firma mancomunada” (también desde menú contextual del botón derecho del ratón) o bien pulsar el botón de la barra de herramientas. Se mostrará el diálogo “Condiciones de firma mancomunada” que se ha visto en el apartado 4.2.6. Seleccionando la condición a eliminar y pulsando SUPR del teclado, la condición desaparecerá de la lista “Condiciones” y quedará eliminada. Onesait Ecosystems Editran 29 5.Usuario de Onesait Ecosystems Editran/FF 5. Usuario de Onesait Ecosystems · Editran/FF Una vez configurados en AdminFF los perfiles de usuarios, aplicaciones y relaciones entre ambos, los usuarios podrán acceder a la interfaz gráfica UserFF para validar, visualizar y firmar los ficheros de las aplicaciones a las que se encuentren relacionados, o simplemente consultar cuáles son los ficheros de esa aplicación y visualizarlos. Así mismo desde UserFF podrán habilitar el envío de las aplicaciones para firmar y aceptar las firmas de las aplicaciones para verificar. El usuario introducirá en la siguiente pantalla el nombre o alias del usuario con el que ha sido dado de alta, el sistema le solicitará el código PIN de su certificado. Si existiera en el equipo más de uno de los certificados asociados al usuario, se mostrará un diálogo donde este deberá seleccionar uno de ellos. Si el certificado lo requiere, seguidamente se solicitará el PIN. Seguidamente, de manera automática: Si se configuró en AdminFF.exe, se realizará la conexión con el servidor de ficheros. Se levantará el servicio XAdES si hay alguna aplicación que va a utilizar alguno de sus modos y siempre que XAdES/bin/start_xades.bat esté correctamente configurado (se recomienda comprobar en XAdES/logs/out.log). Si el usuario logeado es uno de los que están configurados en los perfiles, se le mostrará una interfaz que de nuevo tiene dos ramas principales. Aplicaciones: recoge las aplicaciones a las que está vinculado el usuario. Esta rama está dedicada a la consulta. Haciendo doble clic sobre una aplicación en el árbol se despliega la estructura de la aplicación, mostrando todos sus usuarios y grupos. El usuario logeado es remarcado mediante un icono diferente al de los demás usuarios. Seleccionando en el árbol una aplicación, la vista de la derecha mostrará información de cada usuario asociado a ella. Por su parte, la selección de un grupo muestra los parámetros del perfil de la relación aplicación – grupo (número firmas obligatorias y número de firmas permitidas) y la del usuario un listado de los ficheros de la aplicación y el estado de firma en el que se encuentran. Onesait Ecosystems Editran 2 5.Usuario de Onesait Ecosystems Editran/FF Si el usuario seleccionado en la rama es el logeado, se habilitarán en los menús las operaciones de los ficheros. Si el usuario seleccionado es cualquier otro, únicamente se podrá consultar el estado de sus firmas respecto a cada fichero de la aplicación. Ficheros a firmar: es la rama que aparece seleccionada por defecto, muestra en el panel de la derecha la lista de ficheros de las diferentes aplicaciones que el usuario puede firmar. En concreto, la vista muestra el nombre del fichero, el nombre de la aplicación a la que pertenece, el importe total del fichero (en los formatos en los que proceda), el alias de los usuarios que ya lo han firmado así como el de los que lo han comentado. La finalidad de esta rama es visualización y firma de los ficheros que el usuario tiene pendientes. El proceso de firma se explicará con más detalle en el apartado 5.2.1. Onesait Ecosystems Editran 3 5.Usuario de Onesait Ecosystems Editran/FF Barras de menú y herramientas A continuación se describen los diferentes menús y submenús y las tareas que se pueden realizar desde ellos. Los menús y los botones aparecerán habilitados o deshabilitados en función del elemento que se haya seleccionado en la vista. Menú “Usuario” 5.1.1.1. Entrar con otro usuario Mediante este menú se cerrará la sesión del usuario logeado y se podrá reanudar con otro diferente. 5.1.1.2. Salir Cierra la sesión del usuario y la ventana. Menú “Operaciones” 5.1.2.1. Fichero Este menú ofrece todas las tareas que se pueden realizar con los ficheros. Los submenús que a continuación se describen, se mostrarán habilitados cuando el elemento que esté seleccionado en la lista del panel derecho sea un fichero: Firmar: desencadena el proceso de firma, véase 5.2.1. El botón ofrece la misma funcionalidad. Eliminar la firma: desde aquí se podrá borrar la firma del fichero siempre que el fichero no tenga firmas de otros usuarios. El botón ofrece la misma funcionalidad. Para más información, véase 5.2.2. Comentarios: abre un diálogo que permite hacer anotaciones respecto al fichero para que el resto de firmantes puedan verlo, véase 5.2.3. Rechazar/mover/eliminar: abre un diálogo que permite completar la información necesaria para sacar el fichero del circuito de firmas, o bien moviéndolo a otro directorio o bien eliminándolo por completo. Esta operación sólo la podrán realizar los usuarios que en los perfiles tengan el permiso correspondiente. Para más información, véase 5.2.4. 5.1.2.2. Aplicación Este menú ofrece todas las tareas que se pueden realizar con las aplicaciones. Los submenús que a continuación se describen, se mostrarán habilitados cuando el elemento que esté seleccionado en el árbol o en la lista del panel derecho sea una aplicación: Onesait Ecosystems Editran 4 5.Usuario de Onesait Ecosystems Editran/FF v Habilitar (F)/Aceptar(R): desencadena el proceso de habilitar la aplicación si la aplicación es para firmar o de aceptarla si la aplicación es para verificar firmas. Esta operación sólo la podrán realizar los usuarios que en los perfiles tengan el permiso correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil. El botón de la barra de tareas ofrece la misma funcionalidad. - La habilitación es la generación de un fichero, con formato propio de Editran/FF, que resume la situación actual de cada fichero de la aplicación (respecto a quien lo ha firmado, cuales son los ficheros de firma resultantes y si falta alguna firma). El fichero queda en el directorio de firmas con el mismo nombre que la aplicación y la extensión .p7b. Mientras se encuentre en dicho directorio, el proceso de firma queda detenido. En el extremo en el que se verifican las firmas y se ha recibido la habilitación, la aceptación es la generación de un fichero, con formato propio de Editran/FF que supone la confirmación de la aplicación recibida, opcionalmente puede recoger una observación. El fichero queda en el directorio de firmas con el mismo nombre que la aplicación y extensión .Rec.Acept.p7b. Deshabilitar (F)/ Rechazar (V): si la aplicación es para firmar, se eliminará el fichero de habilitación y si es para verificar, creará un fichero de rechazo de la aplicación. El fichero de rechazo tiene formato propio de Editran/FF, quedará en el directorio de firmas con el mismo nombre que la aplicación y extensión .Rec. Recha.p7b. Recoge el motivo del rechazo de la aplicación recibida. El botón de la barra de tareas ofrece la misma funcionalidad. Validar la Emisión-Recepción: si la aplicación es para firmar y se ha recibido del extremo receptor el fichero de aceptación o el de rechazo, desde aquí se podrá generar un nuevo fichero, con formato propio de Editran/FF, con el que se da por finalizado el envío y recepción de las firmas. El fichero queda en el directorio de firmas con el mismo nombre que la aplicación seguido de la extensión .ValEmiRec.p7b. Mientras este fichero se encuentre en el directorio, el proceso de firma de la aplicación quedará detenido. El botón de la barra de tareas ofrece la misma funcionalidad. Inicializar: devuelve la aplicación a su situación inicial, eliminado todas las firmas. Sólo podrán realizar esta operación los usuarios que tengan permiso para habilitar/aceptar la aplicación. El botón de la barra de tareas ofrece la misma funcionalidad. Descifrar/descomprimir los ficheros: si la aplicación seleccionada es para verificar firmas y se han recibido los ficheros comprimidos y/o cifrados, desde aquí se podrán descomprimir y descifrar. 5.1.2.3. Mostrar Si el elemento que está seleccionado en la ventana es un fichero, muestra su contenido editado de manera amigable, si es una aplicación y está habilitada, aceptada, rechazada o validada la emisión-recepción, muestra el contenido de estos ficheros editados de manera amigable. Onesait Ecosystems Editran 5 5.Usuario de Onesait Ecosystems Editran/FF Consultas 5.1.3.1. Hash de los ficheros Muestra un diálogo que facilita la consulta del hash de los ficheros de datos de cada aplicación. En el diálogo es posible configurar tanto el algoritmo de hash con el que se quiere calcular como el formato con el que se desea visualizar. A través del botón “Copiar todos” se copia en el portapapeles el hash de todos los ficheros de la aplicación que esté seleccionada en el combo con el algoritmo y formato que estén marcados. El botón misma funcionalidad. de la barra de tareas ofrece la 5.1.3.2. Resumen de la aplicación Muestra un diálogo con toda la información que el usuario puede requerir de cada Aplicación. Supone una alternativa más rápida a la consulta rama a rama, aplicación por aplicación, en el árbol. Se puede consultar: Onesait Ecosystems Editran 6 5.Usuario de Onesait Ecosystems Editran/FF Las características estáticas de la aplicación, si está cifrada, comprimida, si tiene requiere fichero de habilitación, el formato, etc. (los parámetros que se especificaron en AdminFF). Las características dinámicas, por ejemplo, el estado actual de la aplicación (que dependerá de las firmas que existan en ese momento), el estado particular de cada fichero respecto a cada usuario de la aplicación e información sobre si se cumplen o no los grupos (número de firmas obligatorias y permitidas) o las condiciones mancomunadas, según corresponda. Los ficheros de habilitación y de aceptación rechazo, cuando existan. Desde este diálogo además se puede ir a firmar ficheros cuando aún alguno esté pendiente de recibir la misma. Modificando la selección del combo, se puede consultar el estado de cualquiera de las aplicaciones en las que el usuario logeado es firmante. El botón ofrece la misma funcionalidad. 5.1.3.3. Consultar log Muestra un diálogo con todos los registros de log anotados por el sistema. La consulta se puede filtrar por nombre de aplicación y por fecha, se puede visualizar el detalle de cada registro y comprobar la integridad del log para saber si ha podido ser manipulado. El fichero de log tiene un formato propio de EDItran/FF y está securizado: cualquier manipulación del fichero sería detectada por Editran/FF. La integridad del fichero se puede comprobar a través del botón “Comprobar” del apartado “Integridad del fichero”. Onesait Ecosystems Editran 7 5.Usuario de Onesait Ecosystems Editran/FF El botón de la barra de tareas ofrece la misma funcionalidad. 5.1.3.4. Consultar integridad Comprueba la integridad del fichero de log en cuanto a si ha sido manipulado externamente a Editran/FF. Ofrece la misma funcionalidad que el botón “Comprobar” del diálogo del Log. 5.1.3.5. Actualizar la información Refresca el contenido del árbol y de la lista. El botón de la barra de herramientas ofrece la misma funcionalidad. Operaciones principales sobre los ficheros Procedimiento de firma La tarea de firmar se puede realizar desde la rama “Ficheros a firmar” del árbol o desde la subrama con el nombre del usuario firmante que cuelga de la rama Aplicaciones -> Propósito -> Nombre de la aplicación. El fichero sólo aparecerá como disponible para el usuario 1. 2. 3. Si forma parte de alguna aplicación a la que se encuentre asociado el usuario. Si aún no tiene el número de firmas necesarias. Si supera el control de validación (orden de firmantes, importe del fichero, etc.). La interfaz ofrece tres maneras para hacerlo: 1. El menú “Operaciones” –> “Fichero” -> “Firmar”. 2. El segundo botón de la barra de herramientas 3. El menú contextual (botón derecho del ratón). 4. Si la rama seleccionada es “Ficheros a firmar”, haciendo doble clic sobre la fila del fichero en la lista. . Onesait Ecosystems Editran 8 5.Usuario de Onesait Ecosystems Editran/FF El sistema mostrará el contenido del fichero con el visualizador asociado en el diálogo de la relación entre el usuario y la aplicación. Todos los visualizadores de ficheros incluidos en el sistema Editran/FF (véase 6.1) permiten, además de firmar, imprimir todo el fichero, un listado o un resumen del mismo o generar un PDF con el contenido editado. Si el certificado con el que se va a firmar se instaló con nivel de seguridad alto, si es de tarjeta o si han transcurrido 5 minutos desde que se introdujo por última vez, se solicitará el PIN. Cuando el fichero se firma con éxito, estando seleccionada la rama “Ficheros a firmar”, el fichero firmado desaparece de la lista. Por el contrario, si la firma se realiza estando seleccionado el usuario logeado bajo la rama “Aplicaciones”, el fichero mostrará su nuevo estado respecto a él, normalmente “Fichero firmado correctamente” y el nombre del usuario aparecerá bajo la columna “Firmado por” Onesait Ecosystems Editran 9 5.Usuario de Onesait Ecosystems Editran/FF El fichero de firma se guardará en el directorio de firmas que se haya especificado en el perfil de la aplicación, con la extensión correspondiente al tipo de firma elegido, .p7b o .xsig. Si a continuación debieran firmar otros usuarios desde el mismo interfaz de Usuario de Editran/FF se seleccionará el menú “Usuario ->Entrar como otro usuario” repitiéndose a continuación el proceso aquí descrito. Eliminar una firma Esta operación requiere un estado de fichero firmado y se realiza teniendo seleccionado en la lista (panel derecho) el fichero de una de las tres siguientes formas: 1. Desde el menú “Operaciones –> Fichero -> Eliminar Firma” 2. El botón 3. El menú contextual (botón derecho del ratón). de la barra de herramientas. Se podrá eliminar una firma únicamente si el fichero no tiene además firmas realizadas por otros usuarios. Se mostrará un mensaje Y el fichero volverá al estado “Puede Firmar”. Comentarios Se puede realizar, teniendo seleccionado en la lista (panel derecho) el fichero, de una de las dos siguientes formas: 1. Desde el menú “Operaciones –> Fichero -> Eliminar Firma” 2. El menú contextual (botón derecho del ratón). Onesait Ecosystems Editran 10 5.Usuario de Onesait Ecosystems Editran/FF Permite tanto visualizar comentarios ya existentes como publicar otros nuevos. Cuando existen comentarios sobre el fichero, al pulsar esta opción el usuario verá un diálogo como éste: En él se recoge la lista de todos los comentarios que se han hecho sobre ese fichero. Cada uno consta del nombre del comentarista, la fecha en la que lo publicó y el texto del comentario propiamente. El usuario podrá desde aquí modificar y/o eliminar aquellos comentarios de los que es autor. Pulsando el botón “Publicar”, o cuando hasta ese momento no exista ningún comentario sobre el fichero, el diálogo que se abrirá será éste: Los comentarios se almacenan firmados y cada vez que son consultados se comprueba su integridad. Onesait Ecosystems Editran 11 5.Usuario de Onesait Ecosystems Editran/FF Cuando existen comentarios sobre un fichero, en las listas antes mencionadas aparece, bajo la columna “Comentado por…”, el icono de un documento seguido de los nombres de los usuarios, separados por “;”, que han realizado los mismos. El asterisco junto al nombre indica que el usuario es el logeado. Mover/Rechazar/Eliminar Se puede realizar, teniendo seleccionado en la lista (panel derecho) el fichero, de una de las dos siguientes formas: 1. Desde el menú “Operaciones –> Fichero -> Rechazar/Mover/Eliminar” 2. El menú contextual (botón derecho del ratón). Permite sacar del circuito el fichero seleccionado, moviéndolo a otro directorio o incluso eliminándolo. Esta operación queda registrada en el log. Sólo la pueden realizar los usuarios a los que se haya otorgado el permiso correspondiente en los perfiles. Se muestra el diálogo: Onesait Ecosystems Editran 12 5.Usuario de Onesait Ecosystems Editran/FF El fichero se podrá eliminar a través del botón “Eliminar” o desplazar a otro directorio mediante el botón “Mover”. Si en la aplicación se indicó un directorio para los rechazos, aparecerá escrito. En cualquier caso se podrá utilizar el botón “…” para elegir otra ubicación. Editran/FF no dispone de ningún automatismo para recuperar esos ficheros y devolverlos a su ubicación original. Operaciones principales sobre las aplicaciones Todas las operaciones que se describen a continuación generan una entrada en el log. Habilitar envío/Aceptar la aplicación Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación, de una de las tres siguientes formas: 1. Desde el menú “Operaciones –> Aplicación -> Habilitar (F)/Aceptar(V)” 2. El botón 3. El menú contextual (botón derecho del ratón). de la barra de tareas. Desencadena el proceso de habilitar la aplicación si la aplicación es para firmar o de aceptarla si la aplicación es para verificar firmas. Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario tengan el permiso correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil. Habilitar una aplicación (en aplicaciones para firmar) La habilitación es la generación de un fichero, con formato propio de Editran/FF, que resume la situación actual de cada fichero de la aplicación (respecto a quien lo ha firmado, cuales son los ficheros de firma resultantes y si falta alguna firma). El fichero queda en el directorio de firmas con el mismo nombre que la aplicación y la extensión .p7b. Mientras se encuentre en dicho directorio, el proceso de firma queda detenido. Cuando en los perfiles de la aplicación se haya seleccionado “Habilitación automática”, existan todos los ficheros de firma asociados a cada uno de los ficheros del directorio de datos y todos sean correctos, el sistema preguntará automáticamente: En cambio, si la habilitación se provoca manualmente por parte del usuario: Solicitándose a continuación, en ambos casos, el PIN del certificado al usuario si han transcurrido más de 5 minutos de inactividad. Si la aplicación se va a cifrar también se solicitará el PIN del certificado del cifrado. Cuando faltan ficheros por firmar, y el usuario tenga permiso para habilitar incluso si faltan firmas, el mensaje siguiente lo informa: Onesait Ecosystems Editran 13 5.Usuario de Onesait Ecosystems Editran/FF Lo siguiente será decidir si se desea mover los ficheros firmados, y sus firmas, a otra carpeta: En caso afirmativo, dichos ficheros desaparecerán de sus carpetas de origen y se desplazarán a la carpeta “No Firma” que se crea, si no existe, bajo el directorio donde se alojan los ficheros de datos. Este proceso evita que los ficheros que no estén firmados se envíen cuando si hay un proceso que lo hace automáticamente cuando existe el fichero de habilitación de la aplicación. Además, si se configuró compresión en el perfil de la aplicación, se mostrará un diálogo informativo semejante al siguiente: Finalmente, se genera automáticamente un fichero de habilitación firmado por este usuario y la aplicación alcanzará uno de los siguientes estados: “Habilitado el envío”, "Habilitado el envío sin todas las firmas (forzadamente)" o "Habilitado el envío. Cifrada y/o comprimida". Si en la aplicación se configuró un directorio de envío, en este momento se moverán a él los ficheros de datos y/o los de firma, según se haya indicado en la configuración. A partir de ese momento la validación de la aplicación se hace sobre ese directorio y el flujo de firma queda detenido mientras existan ficheros en él. Aceptar una aplicación (en aplicaciones para verificar firmas) En el extremo en el que se verifican las firmas y se ha recibido la habilitación, la aceptación es la generación de un nuevo fichero de firma, con formato propio de Editran/FF, que supone la confirmación de la aplicación recibida, opcionalmente puede recoger una observación. El fichero queda en el directorio de firmas con el mismo nombre que la aplicación y extensión .Rec.Acept.p7b. Si procede, previamente a la aceptación, se habrá descifrado y/o descomprimido (véase 5.3.5). Realizando esta operación, la aplicación alcanzará el estado “Recepción aceptada”. Deshabilitar el envío/Rechazar la aplicación Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación, de una de las tres siguientes formas: Onesait Ecosystems Editran 14 5.Usuario de Onesait Ecosystems Editran/FF 1. Desde el menú “Operaciones –> Aplicación -> Deshabilitar (F)/Rechazar(V)” 2. El botón 3. El menú contextual (botón derecho del ratón). de la barra de tareas. Desencadena el proceso de deshabilitar la aplicación si la aplicación es para firmar o de rechazarla si la aplicación es para verificar firmas. - La deshabilitación de una aplicación para firmar es la eliminación del fichero de habilitación de la aplicación. Cuando se pulsa “Aceptar”, el fichero de habilitación se elimina y la aplicación pasa al estado “Firmada. No habilitado el envío”. - En el extremo en el que se verifican las firmas y se ha recibido la habilitación, el rechazo supone la generación de un fichero con formato propio de Editran/FF que quedará en el directorio de firmas con el mismo nombre que la aplicación y extensión .Rec. Recha.p7b. Recoge el motivo del rechazo de la aplicación recibida. La aplicación alcanzará el estado “Recepción Rechazada”. Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario tengan el permiso correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil. Validar la emisión – recepción Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación para firmar, de una de las tres siguientes formas: 4. Desde el menú “Operaciones –> Aplicación -> Validar la Emisión - Recepción” 5. El botón 6. El menú contextual (botón derecho del ratón). de la barra de tareas. Si la aplicación es para firmar y se ha recibido del extremo receptor el fichero de aceptación o el de rechazo, desde aquí se podrá generar un nuevo fichero, con formato propio de Editran/FF con el que se da por finalizado el envío y recepción de las firmas. El fichero queda en el directorio de firmas con el mismo nombre que la aplicación seguido de la extensión .ValEmiRec.p7b. Mientras este fichero se encuentre en el directorio, el proceso de firma de la aplicación quedará detenido. La aplicación alcanzará el estado “Emisión-Recepción aceptada”. Onesait Ecosystems Editran 15 5.Usuario de Onesait Ecosystems Editran/FF Si el usuario tiene el permiso correspondiente en perfiles, podrá validar la emisión-recepción incluso desde el estado “Recepción Rechazada”. En este caso visualizará el mensaje: Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario tengan el permiso correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil. Inicializar la aplicación Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación, de una de las tres siguientes formas: 1. Desde el menú “Operaciones –> Aplicación -> Inicializar” 2. El botón 3. El menú contextual (botón derecho del ratón). de la barra de tareas. Si la aplicación es para firmar, elimina todos los ficheros de firma, y devuelve la aplicación al estado “Faltan todas las firmas”. Si la aplicación es para verificar, elimina tanto los ficheros de datos como los ficheros de firma y devuelve la aplicación al estado “No recibida”. Esta operación sólo la podrán realizar los usuarios que en el perfil de la relación aplicación-usuario tengan el permiso correspondiente y sobre las aplicaciones que tengan configurado “Sí” en el apartado “Habilitación” del perfil. Descifrar/Descomprimir los ficheros. Se puede realizar, teniendo seleccionado en el árbol (panel izquierdo) o en la lista (panel derecho) una aplicación para verificar firmas, de una de las tres siguientes formas: 1. Desde el menú “Operaciones –> Aplicación -> Descifrar/Descomprimir los ficheros (V)r” 2. El menú contextual (botón derecho del ratón). Cuando la aplicación para verificar firmas ha recibido los ficheros, estos se deberán descomprimir y/o descifrar antes de realizar cualquier otra operación (aceptar o rechazar). Esta operación sólo puede realizarse desde un equipo que tenga acceso a la ubicación del certificado para cifrado que se indicó en perfiles. Cuando el usuario pulse “Aceptar”, Editran/FF solicitará la contraseña del certificado a utilizar en el descifrado. El siguiente mensaje muestra el nombre del fichero descifrado, pero aún comprimido: Onesait Ecosystems Editran 16 5.Usuario de Onesait Ecosystems Editran/FF Seguidamente otro mensaje informativo de la descompresión. Finalmente, el siguiente mensaje confirmará el éxito de la tarea: Enviar correo electrónico de notificación Esta operación se realiza desde el botón de la barra de herramientas. Sirve para enviar desde la interfaz correos electrónicos a otros usuarios locales. Para ello deberá estar debidamente configurado el envío de emails en AdminFF.exe. El combo ofrece los alias de todos los usuarios locales dados de alta. La selección de cada uno escribe automáticamente la dirección en el campo “e-mail/s”, siempre que se haya indicado la misma en el perfil de usuario correspondiente. En caso contrario se podrán escribir manualmente. Se pueden añadir tantas direcciones como sean necesarias, siempre separadas por ‘;’. Estados de las aplicaciones Una aplicación de Editran/FF alcanza diferentes estados según se van firmando los ficheros asociados a ésta y realizando las operaciones correspondientes. El estado de la aplicación marca de forma inequívoca el momento en que se encuentra ésta, así como las posibles acciones que se pueden realizar sobre ella. A continuación, se muestran todos los estados que puede adoptar una aplicación de Editran/FF, así como una breve descripción: Onesait Ecosystems Editran 17 5.Usuario de Onesait Ecosystems Editran/FF Estado Descripción 0 - Faltan todas las firmas No hay ningún fichero firmado. 1 – Faltan firmas No se han firmado todos los ficheros por todos los usuarios necesarios. 2 - Hay alguna firma incorrecta Alguna/s de las firmas se ha realizado con un certificado no válido o el fichero firmado y el original no coinciden. 3 – Firmada. No habilitado el envío Se han firmado todos los ficheros por todos los usuarios pero aún no se ha habilitado el envío. 4 – Habilitado el envío Se han firmado todos los ficheros de la aplicación por parte de todos los usuarios, todas las firmas son correctas y se ha habilitado su envío. La información recogida en el fichero de habilitación se cumple. 5 – Recepción aceptada Las firmas recibidas en la aplicación son correctas y se ha firmado la aceptación de la recepción. 6 – Recepción rechazada Alguna de las firmas recibidas no es correcta y se firmado el rechazo de la aplicación. 7 – No recibida En aplicaciones para verificar, no se ha recibido el fichero de habilitación de una aplicación de recepción o, si la aplicación no requiere habilitación, ningún fichero de firma. 8 – Emisión-Recepción aceptada Se ha recibido la aceptación de la aplicación por parte del extremo remoto y se ha firmado la validación de toda la operación. 9 – Habilitado el envío sin todas las firmas (forzadamente) La aplicación se ha habilitado para su envío sin estar todas las firmas necesarias. 10 – Habilitada. Cifrada y/o comprimida La aplicación se ha habilitado y se han cifrado y/o comprimido los datos. 11 – No existen Ficheros de Datos No hay ficheros asociados a la aplicación (directorio de ficheros a firmar vacío). 12 – Habilitado el envío con certificado inválido Se ha habilitado la aplicación con un certificado no válido (no encontrado, revocado, caducado...) 13 – Aplicación firmada. No requiere fichero de habilitación. Cuando la aplicación está configurada con firma attached, todos los ficheros están completamente firmados y no se requiere fichero de habilitación. 14 – Habilitado el envío. Faltan ficheros de datos El fichero de habilitación contiene información de ficheros de datos que sin embargo ya no se encuentran en el directorio. 15 – Fichero de habilitación inválido Existe un fichero de habilitación de la aplicación, pero ha sido manipulado manualmente después de haberse generado y Editran/FF no puede interpretarlo. 16 - Fichero de aceptación de emisión-recepción invalido Existe un fichero de aceptación de emisión-recepción de la aplicación, pero ha sido manipulado manualmente después de haberse generado y Editran/FF no puede interpretarlo. 17 - Fichero de aceptación de recepción inválido Existe un fichero de aceptación de recepción de la aplicación, pero ha sido manipulado manualmente después de haberse generado y Editran/FF no puede interpretarlo.. 18 - Fichero de rechazo de recepción inválido Existe un fichero de rechazo de recepción de la aplicación, pero ha sido manipulado manualmente después de haberse generado y Editran/FF no puede interpretarlo. Onesait Ecosystems Editran 18 5.Usuario de Onesait Ecosystems Editran/FF Estado Descripción 19 - Emisión-Recepción aceptada con certificado inválido El certificado con el que se ha firmado la aceptación de la emisiónrecepción no es válido (no encontrado, revocado, caducado...). 20 - Recepción aceptada con certificado inválido El certificado con el que se ha firmado la aceptación de la recepción no es válido (no encontrado, revocado, caducado...). 21 - Recepción rechazada con certificado inválido El certificado con el que se ha firmado el rechazo de la recepción no es válido (no encontrado, revocado, caducado...). 22 - Habilitado el envío. Alguna firma es incorrecta La aplicación está habilitada, pero validando alguna/s de las firmas en él mencionadas, se obtiene que se ha realizado con un certificado no válido o que el fichero firmado y el original no coinciden. 23 - Habilitado el envío. Falta alguna firma Alguna de las firmas del directorio se ha eliminado con posterioridad a la realización de la habilitación. 24 - Habilitado el envío. Algún fichero de datos/firma es nuevo En los directorios de datos y/o firmas hay algún fichero que se ha añadido con posterioridad a la realización de la habilitación. Desde el dialogo de Usuario se pueden consultar los estados de todas las aplicaciones asociadas a un usuario desplegando la rama Aplicaciones. Ésta podría ser una tarea costosa si existieran muchas aplicaciones debido a que el número de cálculos a realizar es elevado. Si sólo se pretende ver los estados de las aplicaciones para firmar o para verificar se recomienda abrir el árbol utilizando el +/- y a continuación pulsar sobre la rama correspondiente. Si lo que se desea es consultar el estado de una aplicación en concreto lo más conveniente es utilizar el “Resumen de la Aplicación” (véase 5.1.3.2). El estado de la aplicación puede ser solicitado desde una aplicación externa utilizando el comando “EstadoApl.exe” que retorna el número asociado a cada estado (ver sección 7.3). Estados de los ficheros De la misma manera que la aplicación tiene en todo momento asociado un estado que depende de las firmas realizadas sobre los ficheros de estas, los ficheros también tienen los suyos propios. Son los que a continuación se muestran: Estado 0 – Fichero no firmado 1 – Fichero firmado correctamente 2 – Firma inválida 3 – No puede firmar: orden (nivel de firma) 4 – No puede firmar: max. firmas 5 – Puede firmar 6 – Fichero cifrado y/o comprimido 7 – No puede firmar: habilitado el envío 8 – No se puede firmar: mancomunada 9 – Fichero con firmas suficientes Descripción Es fichero no ha sido firmado por ese usuario. El usuario ha firmado el fichero. La firma del fichero es inválida. Posible modificación del fichero de datos o de firma con posterioridad a la realización de la misma. El usuario no puede firmar debido al orden de firmas, hay otros usuarios que deben firmar antes para que él pueda firmar. El usuario no puede firmar debido a que el fichero ya ha alcanzado el número máximo de firmas por fichero (número de firmas permitidas). El usuario puede firmar el fichero. El fichero está cifrado y/o comprimido, hasta que no se descifre y/o descomprima no se podrá validar la firma. El usuario no puede firmar debido a que la aplicación está habilitada para el envío. En aplicaciones con validación mancomunada, ninguna de las condiciones en las que está el usuario puede llegar a cumplirse, el usuario no puede firmar ese fichero. En aplicaciones con validación mancomunada, el fichero ya cumple al menos una de las condiciones mancomunadas. Onesait Ecosystems Editran 19 5.Usuario de Onesait Ecosystems Editran/FF Estado 10-Fichero no es de la norma asociada a la aplicación 11- No se pudo comprobar el estado del fichero (XAdES) 12 - No puede firmar: superado el importe máximo permitido Descripción El fichero no se ha podido validar/visualizar con la norma asociada a la aplicación. En aplicaciones con modio de firma XAdES, la firma asociada a un fichero existe pero no se ha podido verificar porque el servidor XAdES no está arrancado o bien configurado. El fichero tiene un importe total superior al máximo que se le permite al usuario en el perfil de la relación aplicación – usuario. Estados de los grupos Los grupos de usuarios dentro de las aplicaciones también tienen asociados una serie de estados que se detallan a continuación: Estado 0 – Faltan todas las firmas 1 – Faltan firmas 2 – Faltan todas las firmas 3 – Faltan firmas 4 – Grupo firmado 5 – No puede firmar: orden (nivel de firma) 6 - Datos cifrados/comprimidos 7 – Hay firmas incorrectas Descripción En aplicaciones de emisión, ningún usuario del grupo ha firmado ningún fichero. En aplicaciones de emisión, hay usuarios que no han firmado ficheros. En aplicaciones de recepción, ningún usuario del grupo ha firmado ningún fichero. En aplicaciones de recepción, hay usuarios que no han firmado ficheros. Ya han firmado todos los Usuarios necesarios para que el grupo esté completamente firmado. Ningún usuario del grupo puede firmar porque hay otro grupo o usuario que debe firmar antes. El grupo es de recepción, los datos están cifrados. Hay alguna firma de un usuario del grupo que tiene alguna firma inválida. Posible modificación del fichero de datos. Onesait Ecosystems Editran 20 6. Módulos visualizadores y validadores 6. Módulos visualizadores y validadores Como se ha mencionado en varias ocasiones a lo largo de este manual, el sistema Editran/FF ofrece programas dedicados a visualizar y validar los ficheros del tipo: SEPA 19 (esquemas básico y B2B): formato plano de adeudos directos (Presentaciones, Rechazos, Devoluciones y Retrocesiones) ISO 20022 para emisión de Adeudos Directos SEPA (Presentaciones, Rechazos, Devoluciones y Retrocesiones): formato XML (esquemas básico y B2B) SEPA 34-14 (versiones Resumen y RRHH): formato plano para emisión de transferencias y cheques ISO 20022 para emisión de Transferencias y Cheques (versiones Resumen y RRHH): formato XML AEB 60: recaudación de tributos y otros ingresos municipales. AEB 63: embargos. AEB 68: emisión de pagos domiciliados. Confirming de las entidades: Banesto, BBVA, importación de BBVA, BSCHURQ, Caja Madrid, Banco Popular, Banco Pastor, Banco Valencia, y gestión integral de pagos nacional de Bankinter. Consignaciones Judiciales Ficheros del Ministerio de Medio Ambiente y Medio Rural y Marino: correcciones mensuales, correcciones de pagos, correcciones de pagos FEADER, cuadros 5 y 6, declaraciones pesca, desviaciones, fondos FEADER, fuera plazo, irregularidades 3 y 5, pagos capítulos, pagos mensuales, pagos mensuales pesca, pagos semanales, pagos semanales FEADER, petición fondos pesca, petición fondos semanales, programación financiera, programación financiera FEADER y programación pesca FEADER. En el combo donde el administrador decide qué visualizador asociar al fichero, los visualizadores del Ministerio de Medio Ambiente y Medio Rural y Marino se encuentran englobados en la opción Visualizadores del Ministerio MARM, siendo el propio programa el que decide qué visualizador es el adecuado para mostrarlo. Visualizador Genérico (visualiza documentos como: MS Word, MS Excel, MS Power Point, Imágenes JPG, Gif, Documentos PDF, Ficheros txt, Ficheros HTML, Ficheros XML, etc. Para utilizarlos en el sistema Editran/FF, el usuario que configure los perfiles deberá indicarlo en los campos “Visualizador y Validador” del diálogo de la aplicación y en “Visualizador” de la relación aplicación – usuario. Se pueden ejecutar desde comando también como se verá en el apartado 7.1. Los visualizadores ISO requieren tener instalado y funcionando JAVA versión 7 o superior. Visualizadores Los visualizadores realizan en primer lugar una validación de formato y contenido del fichero, asegurando que ambos son coherentes y cumplen la norma de la Asociación Española de Banca, o el organismo correspondiente en cada caso, para cada tipo de ficheros. Si estas validaciones no finalizan con resultado positivo, el fichero no llegará a visualizarse y el programa informará al usuario firmante de la causa del error con un mensaje del tipo: Onesait Ecosystems Editran 21 6. Módulos visualizadores y validadores Si el fichero resulta válido el diálogo lo mostrará. Para una visualización más cómoda se han escrito en color negro todos aquellos datos que son contenido del fichero y en azul la descripción o título de los mismos. Desde el mismo diálogo se puede imprimir el fichero completo (con el mismo formato del diálogo) o bien sólo el resumen (los datos más relevantes del contenido). Esta es la apariencia del diálogo si el fichero sigue la norma SEPA 34-14: Validadores La validación consiste en la comparación del parámetro “Criterio de validación” de la aplicación, que deberá ser una cifra entera, con el valor del campo “Suma de Importes” (del registro de totales) del fichero. Este parámetro, y la validación descrita, se aplicarán a todos los usuarios asociados con la aplicación. Si la cifra es menor que el total del fichero aparecerá un mensaje del tipo: Significará que el usuario sólo podrá firmar ficheros cuyo dato “Suma de Importes” sea inferior a dicha cantidad. Si esta validación resultara positiva aún el sistema comprobará lo mismo con el campo “Parámetro de Validación” de la relación Aplicación – Usuario (si se completó), siendo esta restricción sólo para el usuario concreto de la relación. Únicamente si el usuario supera las validaciones contenidas en los perfiles podrá firmar el fichero que, en cualquiera de los casos, siempre podrá ser visualizado. Onesait Ecosystems Editran 22 7. Comandos 7. Comandos Algunas de las funciones que ofrece el sistema Editran/FF, y que se han detallado en diversos puntos del manual, se encuentran también disponibles en forma de comandos, pudiéndose de esta manera utilizar de forma independiente. En esta versión dichas funciones son: validación de los diferentes tipos de ficheros que se pueden visualizar: los AEB, confirming y los del Ministerio MARM, envío o almacén del DN de un certificado y consulta de estado de una aplicación. En este apartado se va a describir el uso de cada uno de estos programas o comandos. Visualizadores y validadores Los programas que realizan estas dos funcionalidades son todos los programas que se han descrito en la sección 6: SEPA19,exe, ISOAdeudos.jar, SEPA3414.exe, SEPA3414RRHH.exe, ISOTranf.jar, ISOTransfRRHH.jar, AEB58.exe, AEB60.exe, AEB63.exe, AEB68.exe, ConfirmingBanesto.exe, ConfirmingBBVA.exe, ConfirmingImportaciónBBVA.exe, ConfirmingBSCHURQ.exe, ConfirmingCajaMadrid.exe, ConfirmingBancoPopular.exe, ConfirmingPastor.exe, ConfirmingValencia.exe, GIP_Nacional.exe, EVMM.exe (*), ConsignacionesJudiciales.exe y VerOffice.exe. (*) Ejecutando este programa es el propio comando el que ejecuta el validador/visualizador adecuado al tipo de fichero que se desea tratar de entre los formatos posibles que utiliza el Ministerio del Medio Ambiente y Medio Rural y Marino. Los parámetros que admiten estos comandos pueden ser consultados escribiendo su nombre en la línea de comandos, por ejemplo, escribiendo “SEPA3414.exe”: Visualizar Para obtener esta funcionalidad se habrá de escribir en línea de comandos el nombre del programa seguido de un espacio y a continuación el path del fichero a tratar, por ejemplo: sepa3414 [path del fichero SEPA 34-14] donde: [path del fichero]: localización del fichero en el sistema. El comando en este uso abre el diálogo con el contenido del fichero y permite firmar e imprimir el mismo. Validador Para obtener esta funcionalidad se requieren dos parámetros, como se puede ver en el siguiente ejemplo: sepa3414 -v[valor máximo] [path del fichero SEPA 34-14] donde: -v[valor máximo]: número entero que representa la cantidad máxima que el usuario podrá firmar, y que será la que se compare con el campo “Suma de importes” del registro de totales del fichero. Dependiendo del signo que acompañe a este número entero, el valor máximo, ocurrirán dos cosas: Onesait Ecosystems Editran 23 7. Comandos 1. Signo negativo: el comando abre el diálogo de edición del fichero, pero no brinda al usuario la posibilidad de firmarlo. Signo positivo: en este caso el comando reaccionará de manera distinta dependiendo del resultado de la comparación entre el parámetro y la suma de importes. Valor máximo < suma de importes: el comando informará al usuario con un mensaje del tipo: Valor máximo > suma de importes: el comando retorna un código interno que permite continuar el proceso de firma. [path del fichero]: localización del fichero en el sistema. EnviarDN Ideado para facilitar la administración de los perfiles al Administrador de Editran/FF, arrancando esta utilidad, el usuario podrá enviar por correo electrónico el DN, o guardarlo en un fichero de texto, copiarlo al portapapeles para luego pegarlo en la casilla correspondiente (véase 4.2.1) del usuario en AdminFF.exe o bien simplemente visualizarlo. Seleccionando los distintos botones de “Certificados” se pueden visualizar los certificados que se encuentran en los diferentes almacenes. Una vez seleccionado el certificado se puede consultar, copiar en el portapapeles los datos necesarios para los perfiles, o bien generar un fichero con dichos datos para enviarlo por mail al Administrador de Editran/FF. Para eso se pueden seleccionar los botones de la parte inferior del dialogo o los iconos situados en la barra de herramientas del dialogo. Onesait Ecosystems Editran 24 7. Comandos EstadoApl A través de este comando, el usuario podrá consultar el estado en el que se encuentra la aplicación. Su uso se describe a continuación: estadoapl <nombre de la aplicación> [estado esperado] Donde: <nombre de la aplicación>: parámetro que le indica al comando la aplicación sobre la que se desea obtener información. El parámetro es obligatorio [estado esperado]: mediante un número entero, en este parámetro se podrá especificar un número entero asociado a uno de los posibles estados de la aplicación. Este parámetro es opcional. La lista de estados asociados a una aplicación se puede consultar en la tabla de la sección 5.5. MovAplFF Este comando inicializa una aplicación borrando todos sus ficheros asociados o moviéndolos a otro directorio. Si la aplicación es de firma, los ficheros que se eliminan son los de firma, si por el contrario es de verificación los ficheros que se eliminan o mueven son tanto los de datos como los de firma. Su modo de uso es el siguiente: Onesait Ecosystems Editran 25 7. Comandos MovNoFir El comando MovNoFir.exe mueve los ficheros de una aplicación de Editran/FF que no estén firmados por todos los signatarios pertinentes. En concreto los traslada desde el directorio de datos, definido en el perfil de la aplicación, hasta el subdirectorio “No Firma” que se crea, si no existe, colgando directamente del primero. Si el fichero tuviera alguna firma asociada, también la moverá a ese mismo subdirectorio. Forma de uso: EnvMailFF Mediante el ejecutable EnvMailFF.exe se puede enviar una aplicación de Editran/FF por Email. Onesait Ecosystems Editran 26 7. Comandos En la interfaz en primer lugar se debe escoger la aplicación de Editran/FF cuyos ficheros se quieren enviar, a continuación, el email de origen, de destino, el asunto y el mensaje. Si no se define nada en el apartado “Envío con SMTP”, Editran/FF enviará el email mediante el cliente de Microsoft Office Outlook que haya instalado en el ordenador donde se ejecute el programa. Si el envío se va a realizar con SMTP y el servidor requiere autenticación, el usuario deberá marcar el check y completar los campos Usuario y Contraseña que se mostrarán en el diálogo. Por último, el usuario deberá elegir qué tipo de ficheros desea enviar como adjuntos en el correo: los de datos, firmas y/o habilitación. Al seleccionar cada una de las clases de archivos, se añaden a la lista todos los ficheros correspondientes a esa categoría y por defecto todos se marcan para enviar. Si el usuario no quisiera adjuntar alguno de ellos simplemente tendrá que desmarcar su check en la primera columna de la lista. AceptaFF Es un procedimiento automático para aceptar o rechazar una aplicación de Editran/FF para verificar firmas. El proceso en primer lugar valida las firmas y extrae los documentos de datos cuando estos están incluidos en la firma. Forma de Uso: Es muy importante que el certificado asociado al usuario que aceptará o rechazará la aplicación de Editran/FF esté instalado en el sistema y configurado para que no requiera pin o contraseña, de lo contrario el procedimiento no podría llevarse a cabo de manera automática. El resultado del proceso es un nuevo fichero de firma, cuyo contenido es el nombre de la aplicación y una observación. OrdenaPerfiles Comando para crear una copia de los perfiles con los alias de usuario y aplicación ordenados alfabéticamente. Los antiguos son renombrados con el sufijo “.old” y quedan almacenados en el mismo directorio. MigraPerfiles Utilidad para migrar los perfiles desde cualquier versión a la que esté en curso. No requiere ningún parámetro. Crea una copia de los ficheros de perfiles que se encuentren en la ubicación recogida en el fichero path con el formato correspondiente a los perfiles de la versión en curso. Los ficheros de la versión anterior quedan en el mismo directorio renombrados con la extensión .vsant. Una vez realizada la migración se debe comprobar, perfil a perfil, que los datos son correctos y completar aquellos que existen por primera vez en la versión actual y que la migración deja en blanco. Antes de comenzar la migración, se deberá comprobar que no existe ningún fichero con extensión .vsant en el directorio. Onesait Ecosystems Editran 27 7. Comandos Servicio Editran/FF Mediante el servicio de Windows de Editran/FF se podrá realizar la comprobación de las firmas digitales antes de realizar el envío por Editran, realizar la primera firma automática sobre los ficheros y enviar emails de notificación de ficheros pendientes de firma a los usuarios. Existen 3 opciones para poder instalar el Servicio: Mediante el batch instala_servFF_reg.bat. Este batch crea el servicio de Editran/FF en base a la ruta de la instalación de EditranFF guardado en el registro HKEY_LOCAL_MACHINE\SOFTWARE\INDRA\EDITRANFF\Installpath. Mediante el batch instala_servFF.bat. Es una alternativa al otro batch de instalación. Éste recoge como parámetro la ruta de instalación en lugar de buscarlo al registro de Windows. El modo de uso sería: instala_servFF.bat [path de instalación de EditranFF] Mediante comando: Se utiliza el comando de Windows sc con la siguiente sintaxis: sc create EDITRANFF type= own start= auto error= normal BinPath=[ruta de instalación de EDITRAN/FF]\ServicioFF.exe DisplayName= "EDITRAN/FF" El servicio debe arrancarse con una cuenta que tenga privilegios de administrador. Una vez configurado aparecerá un servicio llamado EDITRAN/FF en los Servicios de Windows y cuando sea arrancado iniciará un programa llamado ServicioFF.exe. Este servicio escuchará las peticiones por el puerto TCP 8300. Proceso Java Editran Signature Services para firmas XAdES Toda la funcionalidad relacionada con los modos de firmas XAdES se realiza por medio del paquete Signature Services entregado con el producto. Para utilizar este servicio necesariamente se deberá disponer de una instalación de Java la extensión Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File tanto en el puesto servidor como en cada uno de los puestos firmantes. Onesait Ecosystems Editran 28 7. Comandos Bajo el directorio de la instalación se encuentra la siguiente estructura de directorios: XAdES bin: contiene una serie de batch. configuración_xades.bat: por defecto el proceso Java Editran Signature Services para firmas XAdES se arranca en 127.0.0.1 por el puerto 7760, se utiliza el truststore en XAdES\rsc\truststore. Si se desea configurar algún valor diferente para estos parámetros o el puesto en el que se va a arrancar el servicio requiere proxy para la salida a internet, se ejecutará y se escribirán los nuevos valores. gestor_truststore.bat: batch para administrar el almacén de certificados de CA XAdES\rsc\truststore\truststore.pfx incluido en la instalación. Permite consultar, añadir y eliminar los certificados almacenados así como modificar la contraseña que lo protege. Si se modifica la password, deberá ejecutarse a continuación XAdES\bin\configuración_xades.bat para actualizar el nuevo valor en la configuración. obten_dn.bat: batch para consulta y obtención de los datos de los certificados necesarios para los perfiles. start_xades.bat: batch para arrancar el proceso Java Editran Signature Services para firmas XAdES. Se deberá editar y configurar adecuadamente el valor de la ruta de XAdES en: set XADES_PATH=C:\EditranFF.600\XAdES En los puestos firmantes, desde UserFF.exe el proceso se arranca automáticamente, cuando instale el producto y ejecute UserFF.exe, compruebe en XAdES\logs\out.log que el servicio queda arrancado. En el puesto servidor, el proceso se puede arrancar: 1) De manera manual ejecutando start_xades.bat 2) De manera automática: se creará un acceso directo de start_xades.bat, se y se arrastrará a la carpeta Inicio de Windows. 3) Instalándolo como Servicio Windows (véase el punto wrapper de este apartado). Una vez arrancado el proceso, se deberá comprobar en XAdES\logs\out.log el éxito de la operación. stop_xades.bat: batch para detener el proceso Java Editran Signature Services para firmas XAdES. Se deberá editar y configurar adecuadamente el valor de la ruta de XAdES en: set XADES_PATH= C:\EDItranFF.600\XAdES Cuando se cierra UserFF.exe, el proceso Java Editran Signature Services se detiene automáticamente. conf: contiene los ficheros de configuración relativos al proceso Java Editran Signature Services. Edite log4j.properties para modificar el nivel de información en el fichero de log, el número de ficheros de log que desea guardar, el tamaño máximo, el nombre, etc. crl doc lib logs: contiene el fichero de log out.log con toda la información relativa al proceso Java Editran Signature Services para firmas XAdES: si está arrancado el proceso y las características y resultado de cada firma y verificación de firma realizada. plantillas: contiene las plantillas entregadas con el producto con diferentes conjuntos de parámetros para la firma de cada uno de los modos. Se pueden modificar y añadir otras siempre que cumplan el esquema XAdES\rsc\plantillafirma.xsd propietario de Editran/FF. políticas: contiene el fichero de política de la Agencia General del Estado, según la que están hechas las plantillas en el directorio plantillas que tienen EPES-AGE en su nombre. rsc: contiene truststore\truststore.pfx, el almacén con los certificados de CA de todos los certificados que se van a utilizar para firmar o cuyas firmas se van a verificar. El almacén se puede visualizar y modificar con “XAdES\bin\gestor_truststore.bat”. Si se detecta que en truststore.pfx falta algún certificado de CA (resultado de verificación “No se confía en la CA”), podrá añadirse por medio de dicha utilidad. utils wrapper: contiene los elementos necesarios para instalar Editran Signature Services como servicio Windows en el puesto servidor. El servicio sólo se puede instalar de esta forma si se va a utilizar exclusivamente para realizar la primera firma automática y para verificar firmas. En los puestos clientes no se puede instalar así el Onesait Ecosystems Editran 29 7. Comandos proceso dado que los servicios Windows no pueden solicitar la password de los certificados durante la realización de las firmas. Se realizarán los siguientes pasos: 1. En XAdES\wrapper\conf del directorio de XAdES, editar el fichero wrapper.conf y configurar adecuadamente la ruta de instalación de XAdES en: # Directorio de ejecucion wrapper.working.dir=C:\EditranFF.600\XAdES 2. Opcional: comprobar si el servicio funcionará antes de instalarlo ejecutando el batch XAdESTest.bat de este directorio. Si no aparece ningún mensaje de error, el servicio funcionará correctamente. 3. Instalar el Servicio de Windows Editran Signature Services ejecutando el batch InstallXAdES.bat de este directorio. 4. Configurar un usuario con permisos adecuados en el Inicio de sesión del Servicio Editran Signature Services. Onesait Ecosystems Editran 30 8. Licencia 8. Licencia UserFF, AdminFF, los visualizadores, otros comandos y librerías incluidos en la instalación de Editran/FF necesitan para su funcionamiento la existencia de una licencia correcta y en vigor. Se puede consultar qué complementos de Editran/FF posee la licencia, su estado y su caducidad tanto desde AdminFF como desde UserFF, pulsando sobre el icono Onesait Ecosystems Editran 31 9. Movilidad 9. Movilidad La versión 6.0.0 de Editran/FF incorpora la posibilidad de firmar y verificar ficheros desde dispositivos móviles en los sistemas operativos iOS y Android. Esta modalidad de uso puede simultanearse con la aplicación de escritorio en ordenadores y portátiles. Los mismos usuarios dados de alta en los perfiles pueden acceder a la aplicación nativa de su dispositivo haciendo uso de cualquiera de los tres certificados en su perfil que se hayan instalado en la aplicación. En esta versión dichas firmas sólo pueden ser de tipo XAdES y para ficheros de formatos de Adeudos y Transferencias. A continuación se describen, los requisitos y pasos a realizar para el uso del producto en este nuevo formato. Configuración en el servidor Windows Requisitos Instalación de Java 8 o superior con la extensión JCE (Java Cryptography Extensión). Dirección fija o bajo dominio / DNS en internet, que deberá aceptar conexiones remotas. Contará con un certificado SSL emitido por un CA de confianza reconocida (Tawte, Verisign, etc) para el nombre de la máquina / dominio / IP en internet. Una instalación de la parte de Administrador de Editran/FF. Desde este servidor deberán ser visibles las máquinas en las que se encuentren los perfiles de Editran/FF y los ficheros a firmar y verificar. Certificado SSL La conexión entre los dispositivos y la aplicación web será del tipo https. Por ello el servidor en el que se instale la aplicación web deberá disponer de un certificado SSL emitido para el nombre de la máquina / dominio / IP en internet por una CA reconocida. En concreto dicho certificado deberá incluir las siguientes características: En su DN, se cumplirá que el campo CN=[dominio/DNS en internet] Si se van a conectar dispositivos iOS de versión 13 o superior, además deberá cumplirse: El certificado SSL deberá estar emitido por una de las siguientes CA: https://support.apple.com/es-es/HT207177 El certificado SSL y todos los de la cadena de CA que lo emite deben tener una longitud de clave de 2048 o superior El certificado SSL, y todos los de la ruta de certificación, utilizarán algoritmo de hash SHA-2 o superior. El certificado SSL Incluirá el nombre del DNS en la extensión Subject Alternative Name del certificado. Los certificados que hayan sido emitidos después del 1 de julio de 2019: Deberán tener la propiedad extendida Enhanced Key Usage con valor 1.3.6.1.5.5.7.3.1, cuyo significado es TLS Web server authentication. La diferencia entre las fechas “Hasta” y “Desde” del certificado no podrá ser superior a 825 días. 9.1.2.1. Pasos a realizar si el servidor Windows no dispone aún de un certificado SSL 1) Creación de keystore y de pareja de claves con keytool: keytool es una utilidad incluida en el directorio bin de cualquier instalación Java. En una ventana cmd, desde el directorio bin de la instalación de Java se ejecutará: keytool -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore keystore.p12 -validity 730 -dname "CN=[dominio/DNS del servidor en internet], O=[Nombre empresa], L=[Localidad], S=[Provincia], C=[País con dos letras], OU=[Departamento]" -ext san=dns:[dominio/DNS del servidor en internet] -ext eku=1.3.6.1.5.5.7.3.1 Donde se han incluido todos los atributos necesarios para obtener una conexión SSL válida tanto para Android como para iOS, versión 13 incluida. Los valores entre [] serán sustituidos por los correspondientes a la máquina donde se instalará la aplicación web (sin ‘[]’, por ejemplo CN=midominio.es, O=Mi empresa S.A., etc.). Una vez ejecutada la sentencia, se solicitará la contraseña por pantalla, dos veces para comprobación (*). Una vez introducidas, se habrá creado el fichero “keystore.p12” en el directorio. Se realizará una copia de seguridad de Onesait Ecosystems Editran 32 9. Movilidad “keystore.p12”, es el almacén que incluye la clave privada del certificado y el único en el que se deberá importar el certificado devuelto por la CA. (*)Si se utilizan valores diferentes a tomcat, keystore.p12, y password como password, deberá realizarse el paso “Modificar application.properties”. 2) Creaccion del CSR o solicitud para la CA elegida: se ejecutará el siguiente comando para generar la solicitud de certificado o CSR que se enviará a la autoridad certificadora elegida. keytool -certreq -alias tomcat -file csr.txt -keystore keystore.p12 donde “tomcat” es el alias definido en el paso 1), “csr.txt” es un ejemplo de nombre para el fichero generado y “keystore.p12” es el almacén creado en el paso 1). De nuevo se solicitará por pantalla la password del almacén, deberá ser la misma que la definida en el paso 1). Una vez obtenido el fichero (csr.txt en el ejemplo), se enviará a la CA elegida. 3) Inclusión del certificado devuelto por la CA en el keystore: una vez recibido el fichero .crt por parte de la CA, se deberá importar en el keystore creado en el paso 1). Antes se deberá importar cada uno de los certificados públicos de la ruta de certificación del certificado emitido por la autoridad. Esos certificados se podrán haber recibido junto con el certificado o se podrán descargar de la página web de la CA correspondiente. Se procederá de la siguiente manera: keytool -import -alias root -file root.crt -keystore keystore.p12 Donde “root” es un ejemplo de alias que se le puede dar a este certificado en el keystore, “root.crt” es un ejemplo de nombre del fichero que contiene el certificado raíz (si no estuviera en el directorio bin de la instalación de Java, deberá escribirse la ruta completa) y “keystore.p12” es el keystore que se creó en el paso 1). Se solicitará la password por pantalla, deberá introducirse la misma que se definió en el paso 1) y a continuación se mostrará una pregunta sobre si se confía en el certificado, se responderá SI. De la misma manera se ejecutará, para tantos certificados intermedios como incluya la ruta de certificación del certificado recibido: keytool -import -alias intermedio1 -file intermedio_1.crt -keystore keystore.p12 … keytool -import -alias intermedion -file intermedio_n.crt -keystore keystore.p12 Donde “intermedio1”, “intermedion” son ejemplos de alias que se pueden utilizar para etiquetar estos certificados en el keystore e “intermedio_1.crt”, “intermedio_n.crt” son ejemplos de nombres de los ficheros que contienen los certificados (si no estuvieran en el directorio bin de la instalación de Java, deberá escribirse la ruta completa). Por último, se importará el certificado SSL, de la siguiente manera: keytool -import -alias tomcat -file certificado_recibido.crt -keystore keystore.p12 9.1.2.2. Pasos a realizar si el servidor Windows ya dispone de un certificado SSL En este caso, si a la aplicación web se conectarán dispositivos iOS, se comprobará en primer lugar si el certificado cumple los requisitos recogidos en 9.1.2. En caso afirmativo, se deberá disponer del mismo en formato .p12 o pfx y deberá incluir su clave privada. Para ello: 1) Exportar el certificado con formato .p12: si el certificado estuviera instalado en el servidor, desde internet explorer (Opciones de internet -> Pestaña “Contenido” -> Botón “Certifcados”) o desde certmgr.msc, se seleccionará en la lista el certificado correspondiente y se pulsará el botón “Exportar”, realizando a continuación los siguientes pasos: Onesait Ecosystems Editran 33 9. Movilidad Onesait Ecosystems Editran 34 9. Movilidad 2) Importar el certificado exportado en 1) en un keystore: una vez que se dispone del certificado SSL ya exportado con extensión .p12, se ejecutará: keytool -importkeystore -deststorepass <password> -destkeypass <password> -destkeystore keystore.p12 -srckeystore <ruta certificado .p12> -srcstoretype PKCS12 -srcstorepass <password> -alias <alias> Donde <password> es la password que se definió en la ventana 4 del el paso 1), “keystore.p12” es el nombre del keystore que se va a crear, <ruta certificado .p12> es la ubicación del fichero .p12 obtenido en el paso 1) y <alias> debe coincidir con el nombre descriptivo del certificado que se ha exportado en el paso 1). Si el certificado no tuviera ese elemento, no se escribirá –alias <alias> en la llamada. El keystore obtenido mediante 9.1.2.1 o 9.1.2.2 se colocará en el directorio de instalación de EditranFF del servidor donde se va a arrancar la aplicación web. 9.1.2.3. Modificación de application.properties Si en la generación del keystore se han utilizado valores diferentes a: keystore.p12 para el nombre del keytore password para la password del certificado y del propio keystore tomcat como alias del certificado en el keystore o se va a levantar la aplicación web por un puerto diferente al puerto 443 Se deberá: 1) Abrir el fichero FFMobileBachend.war con algún programa para descomprimir (7-zip, Winzip, etc.). Onesait Ecosystems Editran 35 9. Movilidad 2) Se extraerá el fichero application.properties que está en “WEB-INF\classes” y se editará para asignarle los valores correspondientes en las líneas que se resaltan en color verde: # Define a custom port instead of the default 8080 server.port=443 # Tell Spring Security (if used) to require requests over HTTPS security.require-ssl=true # The format used for the keystore server.ssl.key-store-type=PKCS12 # The path to the keystore containing the certificate server.ssl.key-store=keystore.p12 # The password used to generate the certificate server.ssl.key-store-password=password # The alias mapped to the certificate server.ssl.key-alias=tomcat Si se realizó 9.1.2.2 y el certificado no tiene alias o nombre descriptivo, se dejará server.ssl.key-alias= sin valor. 3) Se guardarán los cambios realizados y se incorporará de nuevo el fichero “application.properties” en “WEBINF\classes” de “FFMobileBackend.war”. Arranque de la aplicación web FFMobileBackend.war Por último se levantará la aplicación web FFMobileBackend.war de una de las siguientes maneras: 1) Mediante XAdES/bin/start_mob.bat. Se editará en primer lugar para adaptar el valor de “set EDITRANFF_PATH=”. A continuación se ejecutará el batch y se comprobará en XAdES/logs/outMov.log que se ha arrancado correctamente. 2) Instalándola como servicio Windows con InstallMobileBackend. Se editará en primer lugar el fichero “XAdES/wrapper/conf/wrapper_mb.conf” para adaptar el valor de “wrapper.working.dir=” si no coincide con el valor por defecto. A continuación ejecutar “XAdES/wrapper/InstallMobileBackend.bat”, el servicio se habrá instalado con el nombre “EditranFF Mobile Backend”. A continuación se pulsará botón derecho -> Propiedades para arrancarlo con una cuenta de usuario con permiso de lectura, escritura y ejecución en los directorios de ficheros. Comprobar en “XAdES/logs/outMov.log” que se ha arrancado correctamente. Instalación de las Apps en los dispositivos móviles Requisitos Los dispositivos podrán ser smartphones o tablets. Los sistemas operativos soportados son Android (versión mínima 7) e iOS (versión mínima 12). Las Apps son ajenas a los certificados que ya estuvieran instalados en los dispositivos, incluso si son los mismos que se han asociado al usuario en los perfiles de configuración con AdminFF.exe. Los certificados necesariamente deberán ser instalados específicamente para las Apps tal y como se describe en los siguientes apartados. Instalación en dispositivos móviles iOS 1) Mediante la aplicación iTunes, se conectará el dispositivo al PC y se pulsara sobre el icono del dispositivo (resaltado en rojo en la imagen). Onesait Ecosystems Editran 36 9. Movilidad 2) Desde el explorador de Windows, se arrastrará EditranFF.ipa desde su localización en el PC hasta el área “En mi dispositivo” (resaltada en rojo en la imagen). La zona parpadeará unos instantes y en el dispositivo ya se podrá visualizar el icono de la aplicación. 3) En iTunes, seleccionar “Ajustes - > Archivos compartidos”, en la lista de Apps en el panel derecho deberá visualizarse la app EDITRANFF, se seleccionará. A continuación, mediante el botón “Añadir archivo”, se localizarán en el PC el/los certificados que el usuario va a utilizar para firmar desde el dispositivo móvil. Los certificados deberán tener formato .pfx o .p12, incluir la clave privada y ser alguno/s de los que el usuario tiene asociados en los perfiles de la configuración realizada con AdminFF.exe. Onesait Ecosystems Editran 37 9. Movilidad 4) Una vez desconectado el dispositivo del PC y ya en el dispositivo, se seleccionará “Ajustes -> General -> Gestión de perfiles y dispositivos”, y ahí el perfil “Indra Sistemas, S.A.” en el apartado “APP EMPRESARIAL”. Se pulsará sobre “Confiar en Indra Sistemas S.A.” y en el botón “Confiar” de la ventana emergente. 5) En el dispositivo, pulsar sobre el icono de la app EDITRANFF y pulsar “Permitir” en la ventana emergente que solicita permiso para las notificaciones. Instalación en dispositivos móviles Android 1) Conectar el dispositivo a un PC. En el PC, pulsar sobre “Abrir dispositivo para ver archivos”. Es posible que, para poder ver el árbol de carpetas del dispositivo en el PC, sea necesario seleccionar “Transferir ficheros” en los ajustes para conexión con dispositivos y USB en el dispositivo. 2) En el PC, localizar la carpeta Download del dispositivo y crear una nueva carpeta de nombre Editran bajo ella. 3) Colocar en el nuevo directorio Editran tanto la app EDITRANFF.apk como los certificados que el usuario va a utilizar para firmar desde el dispositivo. Los certificados deberán tener formato .pfx o .p12, incluir la clave privada y ser alguno/s de los que el usuario tiene asociados en los perfiles de la configuración realizada con AdminFF.exe. 4) Desconectar el dispositivo del PC. En el dispositivo, desplazarse a la carpeta Download/Editran y pulsar sobre EDITRANFF.apk para instalarla. Se deberán aceptar todos los permisos solicitados en las ventanas emergentes. Onesait Ecosystems Editran 38 9. Movilidad Uso de la aplicación 1) Cuando se accede por primera vez, la app solicita la URL de conexión al servidor en el que se ha levantado la aplicación web. Se escribirá con el formato: https://[dominio/DNS del servidor en internet]:[puerto] Donde [dominio/DNS del servidor en internet] es el valor que estará mencionado en el certificado SSL según se recoge en la introducción de 9.1.2 y el puerto será el que recoge la línea (443 es el valor por defecto) # Define a custom port instead of the default 8080 server.port=443 del fichero application.properties contenido en FFMobileBackend.war, véase 9.1.2.3. Por ejemplo: https://midominio.es:443 A continuación la app solicitará la introducción de las contraseñas de los certificados personales instalados en la App para el usuario. Este paso se realizará una única vez, en adelante la App no volverá a solicitarlos. En su lugar utilizará como mecanismo de seguridad, cada vez que se seleccione para acceder a la aplicación o para firmar un fichero, el propio mecanismo de protección del dispositivo (código de desbloqueo, huella, etc.). Onesait Ecosystems Editran 39 9. Movilidad 2) La App solicitará por pantalla el alias que el usuario tiene en la aplicación Editran/FF, es decir, el que se configuró para ese usuario mediante AdminFF.exe, y seguidamente se deberá introducir el mecanismo del seguridad del dispositivo (en el ejemplo de la imagen, la huella). 3) Se visualizarán los datos correspondientes a los certificados personales que el usuario tiene asociados en el perfil de configuración. De todos ellos, aparecerán habilitados aquellos que se han instalado en la App con el Onesait Ecosystems Editran 40 9. Movilidad apartado 3) de 9.2 o de 9.3, según el sistema operativo correspondiente al dispositivo. Se seleccionará uno de ellos. 4) Cuando el usuario accede a la App lo hace a la vista por defecto, la que le muestra todos aquellos ficheros que están pendientes de su firma de tantas aplicaciones como aquellas en las que el usuario intervenga. En la barra de botones inferior aparecerá seleccionado el botón . El usuario seleccionará uno de los ficheros, lo visualizará pulsando sobre “Ver PDF”, lo firmará pulsando sobre el botón “Firmar” o lo rechazará (sacará del circuito), mediante el botón “Rechazar”. Onesait Ecosystems Editran 41 9. Movilidad Para firmar, se deberá volver a introducir el mecanismo de seguridad de bloqueo y acceso del dispositivo (PIN, huella, etc). Una vez realizada la firma, el fichero desaparece de la lista. Cuando se firme el último fichero de la lista de una aplicación y el usuario tenga el permiso correspondiente en los perfiles, el sistema comprobará si procede habilitar la aplicación. Es decir, si todos los ficheros tienen ya firmas suficientes (de acuerdo a los perfiles de configuración) y todas ellas son correctas, se generará el fichero de habilitación de la aplicación y la aplicación cambiará de estado. Onesait Ecosystems Editran 42 9. Movilidad 5) Seleccionando el botón de la barra inferior se accede una vista completa del estado de cada aplicación en la que está implicado el usuario y, dentro de cada aplicación, el estado de cada fichero respecto a cada usuario, Fichero firmado, Firma incorrecta, etc. Desde esta vista, seleccionando los ficheros bajo el usuario logeado, el usuario podrá volver a ver el contenido del fichero o eliminar la firma, siempre que el fichero no haya recibido aún firmas de otros usuarios. 6) Desde el botón de la barra inferior, el usuario logeado podrá consultar el certificado que seleccionó al entrar en la App, podrá desconectar la conexión con el servidor y modificar la recepción de notificaciones de nuevos ficheros para firmar. Onesait Ecosystems Editran 43 10. Puesta en marcha del producto 10. Puesta en marcha del producto Una vez que se ha visto en detalle el funcionamiento del producto, se explica a continuación una guía rápida para la puesta en marcha del producto, refiriendo a los apartados donde cada uno se ha explicado con detalle. En el puesto servidor: 1) Instalar el producto. 2) Disponer de licencia. 3) Tener instalados todos los certificados de CA de los certificados que se van a usar para firmar y también aquellos cuyas firmas se van a validar. 4) Si se está realizando una actualización de versión del producto, copiar el fichero path de la versión anterior en el directorio de la nueva versión y realizar una copia backup de los antiguos ficheros .cfg de perfiles en otro directorio. Finalmente ejecutar MigraPerfiles.exe para actualizar los perfiles al formato correspondiente a la versión, véase 7.9. 5) Si se está realizando la instalación por primera vez, ejecutar AdminFF.exe y pulsar el menú “Ayuda->Acerca de AdminFF…” para realizar lo que se describe en 4.2 relativo a la ubicación de perfiles. Es importante recordar que la ubicación indicada deberá ser accesible también desde cada puesto firmante. 6) Dar de alta y/o modificar los perfiles de usuarios, aplicaciones y sus relaciones, véase 4.2. Para obtener los datos de los certificados personales necesarios para los perfiles de usuario, ejecutar EnviarDN en cada puesto firmante), según se explica en 4.2.1 y 7.2 (los certificados personales deberán estar ya instalados en dichos puestos) o enviar al puesto servidor los .cer (es la parte pública del certificado) de todos los certificados con los que se va a firmar y ejecutar XAdES/bin/obten_dn.sh para obtener dichos datos. Es importante recordar que las ubicaciones indicadas en el perfil de las aplicaciones para los ficheros a firmar, las firmas, el directorio de envío, etc, deberá ser accesible también desde cada puesto firmante. Una vez realizada la configuración, hacer una copia backup de los ficheros .cfg de perfiles en otro directorio. Ejemplo de instalación tipo respecto a los parámetros que requieren elección: Usuarios Un usuario de tipo Local y Automático al que se asociará un certificado que no tenga habilitada la protección segura de clave privada ni solicite contraseña para su uso (estos parámetros se configuran durante la instalación del certificado en el puesto servidor). Dos usuarios de tipo Local a los que se asociarán hasta tres certificados personales con clave privada, válidos para firmar, que hayan sido emitidos por cualquier CA reconocida. En este caso es muy recomendable que los certificados sí tengan habilitada la protección segura de clave privada y que se solicite la contraseña para su uso (estos parámetros se configuran durante la instalación de los certificados en los puestos de los firmantes). Aplicación Propósito -> Firmar Modo de firma -> XADES_DETACHED_INTERNA_IMPLICITA Directorio de datos aquel en el que se encuentren los ficheros que se van a firmar, tendrán todos un mismo formato y tipo de contenido. Directorio de firmas aquel en el que se dejarán las firmas obtenidas. Mover/rechazar directorio al que se moverán los ficheros que el usuario firmante decida sacar del circuito, siempre que se le haya otorgado el permiso correspondiente. Envío -> Directorio al que se moverán los ficheros una vez que todos ellos alcancen el número de firmas necesarias y todas ellas sean correctas. Se marcara Firmas para significar que será lo que se le enviará al otro extremo (con el modo de firma propuesto, el fichero de firma incluye el fichero firmado). Plantilla -> [Directorio de instalación de EditranFF]/XAdES/plantillas/pln-di-i-BES.xml Validación de firmas necesarias -> Usuarios/Grupos Visualizador el correspondiente al formato de los ficheros que se va a firmar. Habilitación Sí y Habilitación automática si el destinatario de las firmas tiene EditranFF en entono Windows, en caso contrario elegir No. Grupo Número de firmas obligatorias 2 Onesait Ecosystems Editran 44 10. Puesta en marcha del producto Una vez configurados los tres elementos, asociar a la aplicación los tres usuarios e introducir en el grupo a los dos que no tienen la propiedad Automático. Durante la asociación a la aplicación se otorgará a cada usuario los permisos según corresponda: permiso para habilitar la aplicación, para mover/rechazar ficheros, visualizador RRHH para ver contenido completo en el caso de las Transferencias, etc. 7) Si se va a hacer uso de la funcionalidad de primera firma automática y/o el envío de notificaciones de nuevos ficheros disponibles, instalar y arrancar el servicio Editran/FF (véase 7.10) con una cuenta de usuario que tenga permiso de lectura, escritura y ejecución en los directorios. Este usuario deberá disponer en su almacén de certificados personales aquel con el que se va a realizar la primera firma automática. 8) Si se va a firmar o se van a verificar firmas con alguno de los modos XAdES, arrancar también el proceso Editran Signature Services con XAdES/bin/start_xades.bat o instalarlo y arrancarlo como servicio de Windows (véase 7.11) con una cuenta de usuario que tenga permiso de lectura, escritura y ejecución en los directorios. 9) Si se va a firmar desde dispositivos móviles, el servidor Windows deberá tener un certificado SSL emitido a su nombre, el certificado deberá ser importado en un almacén keystore y dicho keystore deberá estar en el directorio de instalación de EditranFF. Si es necesario, modificar los valores de application.properties en FFMobileBackend.war y a continuación arrancar el proceso EditranFF Mobile Backend con XAdES/bin/start_mob.bat o instalarlo y arrancarlo como servicio Windows (véase 9.1.3). En los puestos firmantes: 1) 2) 3) 4) 5) 6) 7) 8) 9) Instalar el producto. Disponer de licencia. Copiar el fichero path de la instalación del puesto servidor en el directorio de instalación del puesto firmante. Si en AdminFF se ha configurado la pestaña “Conexión a servidores” desde el menú “Configuración de actuaciones automáticas”, copiar ademásel fichero cnx.cfg del directorio de perfiles en el directorio de instalación del puesto firmante. Tener instalados todos los certificados o estar accesibles los certificados cuyos datos se han indicado para el usuario en los perfiles. Comprobar con EnviarDN que todos ellos aparecen en el almacén de certificados propios. Si en alguna de las aplicaciones en las que está implicado el usuario se utiliza alguno de los modos de firma XAdES, editar “XAdES\bin\start_xades.bat” y “XAdES\bin\stop_xades.bat” para modificar, si es necesario, el valor de ”set XADES_PATH=”. Asímismo ejecutar “XAdES\bin\configuracion_xades.bat” si se tiene que modificar el puerto por el que debe arrancar el proceso Java para firmas XAdES o cualquier otro de los valores por defecto de la configuración. Ejecutar UserFF.exe, introducir el alias del usuario, seleccionar uno de los certificados que tiene asociados y comprobar que se realiza la conexión al servidor de los ficheros de perfiles y al servidor de los ficheros a firmar de la siguiente manera: seleccionar en el árbol “Aplicaciones -> De firma de ficheros -> [Nombre_aplicación] > [Nombre_usuario]” y comprobar que en el panel derecho aparece la lista de ficheros correspondiente a cada aplicación. Si es así, las conexiones a los servidores se habrán realizado correctamente. Estas conexiones se realizan de manera automática si se ha configurado en 4.1.1.1 y si se ha copiado en el directorio de instalación del puesto firmante el fichero de configuración cnx.cfg (si no es posible se muestra error), de lo contrario deberán prepararse manualmente. Si en alguna de las aplicaciones en las que está implicado el usuario se utiliza alguno de los modos de firma XAdES, comprobar en XAdES/logs/out.log que el proceso Java para firma XAdES está arrancado. Si se va a firmar desde dispositivos móviles, instalar y configurar las aplicaciones nativas del sistema operativo correspondiente, véase 9.2. Onesait Ecosystems Editran 45 Persona de contacto [email protected] Avda. de Bruselas 35 28108 Alcobendas, Madrid, España T +34 91 480 50 00 F +34 91 480 50 80 www.minsait.com