ALTAS MANUAL DE USUARIO DEL SERVICIO DE CERTIFICADOS

ALTAS MANUAL DE USUARIO DEL SERVICIO DE CERTIFICADOS Versión 1.5 Área de Aplicaciones Especiales y Arquitectura de Software Framework Atlas Servicio de Certificados Hoja de Control Título Manual de Usuario del Servicio de Certificados Documento de Referencia NORMATIVA ATLAS Responsable Área de Aplicaciones Especiales y Arquitectura de Software Versión 1.5 Fecha Versión 26/10/2012 Registro de Cambios Versión Causa del Cambio Responsable del Cambio Fecha del Cambio Área de Integración y Arquitectura de 1.0 1.1 1.2 1.3 1.4 Versión inicial del documento En ATLAS 1.0.3 la implementación del Servicio se ha modificado por lo tanto este documento ha sido ampliamente modificado. Modificación de apartados 3.2.1 y 3.2.2 para reflejar cambios en nomenclatura de variable app.id.asf Añadido enlace a aplicación de ejemplo en portal ATLAS Actualización a ASF 5. Eliminado apartado 3.1.3, los ficheros de configuración de ASF ya no necesitan residir en la aplicación. Apartado 3.2.1, eliminados parámetros no necesarios. Apartado 3.2.2, nuevas variables de configuración para ASF Se modifica el nombre del área Modificado apartado 3.2.2 para configurar SSL en Weblogic Aplicaciones 27/01/2010 Área de Integración y Arquitectura de Aplicaciones 27/10/2010 Area de Integración y Arquitectura de Aplicaciones 16/02/2011 Area de Integración y Arquitectura de Aplicaciones 18/05/2011 Área de Aplicaciones Especiales y Arquitectura de Software 13/06/2012 Área de Aplicaciones Especiales y 1.4 Modificado apartado 3.2.2 para configurar SSL en Weblogic 1.5 Añadido punto 4.7 para indicar operaciones no estándar en ASF Añadidos múltiples ejemplos de Área de Aplicaciones Especiales y nuevas funcionalidades Arquitectura de Software añadidas. Apartado 3.1.3, añadida clase de servicio para inyectar servicio ASF. Arquitectura de Software 2 de 41 29/08/2012 19/10/2012 Framework Atlas Servicio de Certificados Índice 1. INTRODUCCIÓN ................................................................................................................................................................ 4 1.1. 1.2. AUDIENCIA OBJETIVO ...................................................................................................................................................... 4 CONOCIMIENTOS PREVIOS ............................................................................................................................................... 4 2. DESCRIPCIÓN .................................................................................................................................................................... 5 3. INSTALACIÓN Y CONFIGURACIÓN............................................................................................................................. 6 3.1. INSTALACIÓN .............................................................................................................................................................. 6 3.1.1. Paso 1: Añadir la dependencia al módulo de Seguridad ........................................................................................ 6 3.1.2. Paso 2: Incluir la ruta de definición del servicio ‘asfService’ ................................................................................ 7 3.1.3. Paso 3: Inyectar el Servicio en las clases que lo requieran.................................................................................... 7 3.2. CONFIGURACIÓN ....................................................................................................................................................... 8 3.2.1. Configuración básica .............................................................................................................................................. 8 3.2.2. Configuración avanzada ......................................................................................................................................... 9 3.2.3. Configuración del plugin de Jetty para trabajar como servidor seguro ............................................................... 12 3.2.4. Configuración de Weblogic para trabajar como servidor seguro ........................................................................ 14 4. USO ...................................................................................................................................................................................... 21 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 4.9. 4.10. 4.11. 4.12. 4.13. 4.14. 4.15. 4.16. 5. OBTENCIÓN DE DATOS DE UN CERTIFICADO DIGITAL ..................................................................................................... 21 COMPROBACIÓN DE ACCESO DE UN CERTIFICADO .......................................................................................................... 22 CIFRADO Y DESCIFRADO DE DATOS CON CLAVE ............................................................................................................. 23 CIFRADO Y DESCIFRADO DE DATOS CON CERTIFICADO .................................................................................................. 24 FIRMA ELECTRÓNICA EN SERVIDOR ............................................................................................................................... 25 FIRMA DE PDF ................................................................................................................................................................ 25 FIRMA DE FICHEROS XML ............................................................................................................................................. 27 FIRMA XADES .............................................................................................................................................................. 30 VALIDACIÓN DE FIRMAS ELECTRÓNICAS........................................................................................................................ 31 VERIFICACIÓN DE UN CERTIFICADO DIGITAL ............................................................................................................. 32 VERIFICACIÓN DE FIRMA PDF .................................................................................................................................... 33 VALIDACIÓN DE FIRMA XMLDSIG ............................................................................................................................ 34 VALIDACIÓN DE FIRMA XADES ................................................................................................................................ 34 EXTRACCIÓN DE INFORMACIÓN DE FIRMA DE UN DOCUMENTO XML ........................................................................ 35 INDICAR OPERACIÓN NO ESTÁNDAR DE ASF .............................................................................................................. 37 APLICACIÓN DE EJEMPLO ........................................................................................................................................... 39 ENLACES RELACIONADOS .......................................................................................................................................... 41 3 de 41 Framework Atlas Servicio de Certificados Contenido 1. INTRODUCCIÓN Este documento contiene el manual de uso del servicio de certificados del módulo de seguridad del framework Atlas. En él se incluye información sobre cómo utilizar dicho componente en una aplicación, así como información acerca de la configuración de los parámetros fundamentales del componente. 1.1. Audiencia objetivo El lector objetivo de este documento es toda aquella persona que esté desarrollando una aplicación basada en el framework Atlas y desee acceder a la plataforma ASF. 1.2. Conocimientos Previos Para un completo entendimiento del documento, el lector deberá tener conocimientos previos sobre las siguientes tecnologías: - Lenguaje Java - Spring Framework - Conocimientos básicos de ASF y certificados digitales X.509 Para saber más sobre dichas tecnologías, consultar los accesos referenciados en el apartado 5 de este documento, “Enlaces Relacionados”. 4 de 41 Framework Atlas Servicio de Certificados 2. DESCRIPCIÓN El servicio de Spring “asfService” que incluye el módulo de seguridad de Atlas, provee las siguientes funcionalidades: · Obtención de datos de un certificado · Cifrado y descifrado de datos simétrico con clave · Cifrado y descifrado asimétrico con certificado · Firma electrónica en servidor · Firma electrónica en cliente (en documento aparte) · Verificación de firmas electrónicas · Validación de certificados digitales 5 de 41 Framework Atlas Servicio de Certificados 3. INSTALACIÓN Y CONFIGURACIÓN 3.1. INSTALACIÓN El Servicio de Certificados para ASF viene incluido en el módulo de seguridad de atlas que, a su vez, viene incluido en el arquetipo web. Para poder utilizarlo, bastará con incluir la dependencia de este módulo en el fichero pom.xml del proyecto, añadir la ruta correspondiente al fichero xml de Spring en la variable ‘configLocations’, y definir en el contexto de Spring la configuración del servicio para la aplicación. 3.1.1. Paso 1: Añadir la dependencia al módulo de Seguridad Atención Este paso no es necesario si el proyecto se ha generado a partir del arquetipo web, servicioweb o documentumweb de Atlas. Para añadir la dependencia al módulo de seguridad dentro de nuestro proyecto maven hay que añadir una entrada “dependency” en la sección “dependencies” del fichero “pom.xml” del proyecto, como se puede ver en el siguiente ejemplo: pom.xml [...] atlasfrm atlasfrm-seguridad-lib ${atlasfrm-seguridad-lib} [...] 6 de 41 Framework Atlas Servicio de Certificados 3.1.2. Paso 2: Incluir la ruta de definición del servicio ‘asfService’ La librería de seguridad ya contiene una definición del servicio ‘asfService’ dentro del contexto de Spring. Bastará con incluir la siguiente ruta dentro de la configuración de los ‘configLocations’ (usualmente en el fichero web.xml): classpath:/conf/applicationContext-asf.xml A continuación se muestra un ejemplo de configLocations en el fichero web.xml: web.xml Este parámetro indica la localización exacta de los ficheros de configuración de SPRING contextConfigLocation classpath:/conf/applicationContext-security.xml; classpath:/conf/applicationContext-security-hostPolitica.xml; classpath:/conf/applicationContext-componentes.xml; classpath:/conf/atlas-trazas-application-context.xml; classpath:/conf/applicationContext-asf.xml; classpath:/conf/applicationContext-general.xml; classpath:/conf/applicationContext-database.xml; 3.1.3. Paso 3: Inyectar el Servicio en las clases que lo requieran Para inyectar el Servicio previamente definido, se pasa como “property” al bean que lo vaya a usar, que debe tener el método “set” correspondiente. Para más información sobre cómo inyectar referencias, se puede consultar la documentación de Spring. applicationContext-services.xml xxxx.services.MiServiceImpl.java public class MiServiceImpl implements MiService { private AsfService asfService; public void setAsfService(AsfService asfService) { this.asfService = asfService; } ... } 7 de 41 Framework Atlas Servicio de Certificados 3.2. CONFIGURACIÓN 3.2.1. Configuración básica En el modo básico de configuración, esto es, tomando todos los valores por defecto (ver tabla de apartado 3.2.2) solo será necesario configurar los valores del fichero ‘environment.properties’, principalmente el parámetro ‘asf.cipherKey’ que establece la clave de cifrado simétrico para la aplicación (siempre que se use esta funcionalidad). environment.properties ###################################################### # Fichero de variables de configuración específicas # # para el entorno LOCAL # ###################################################### [...] # Recursos de ASF asf.clientJSUrl=https://desarrollo.madrid.org/asf_firma570/js/WS.js asf.cipherKey=************* El resto de parámetros ya están configurados para funcionar correctamente en el entorno local de desarrollo. También será necesario configurar el parámetro ‘app.id.asf’ en el fichero ‘environment.properties’ con el valor dado de alta para la aplicación en el servidor de ASF. Si se quiere asignar a esta variable el nombre de la aplicación se configurará ${app.name} (app.name está definida en el fichero conf/application.properties). environment.properties ###################################################### # Fichero de propiedades donde se configuran todos # # los parametros de la aplicación que no necesitan # # una configuración diferente para cada entorno (su # # valor es el mismo en el entorno de desarrollo # # local, validación y producción) # ###################################################### [...] # Ids de aplicacion app.id.asf=APL_DEMO #app.id.asf=${app.name} app.id.certificate=EJPL #app.id.certificate=${app.name} 8 de 41 Framework Atlas Servicio de Certificados 3.2.2. Configuración avanzada Si se necesita cambiar la configuración por defecto del servicio de ASF será necesario redefinir el bean ‘asfConfiguration’ en el contexto de Spring. Las propiedades de configuración se pueden definir en el mismo fichero de Spring o en un fichero aparte. El siguiente ejemplo, además de los parámetros de configuración básica, se cambia el valor por defecto de la propiedad ‘signEncoding’ (las variables asf.clientJSUrl, asf.cipherKey y app.id.asf son tomadas por maven del fichero environment.properties): applicationContext-services.xml En este ejemplo, la propiedad ‘applicationIdForAllOperations’ realiza un set del valor en las propiedades ‘invokingApp’, ‘signApplicationId’ y ‘verifySignatureApplicationId’. Esto es así para simplificar la configuración. Los valores de las propiedades ‘clientJsUrl’ y ‘cipherKey’ hacen referencia a las propiedades ‘asf.clientJSUrl’ y ‘asf.cipherKey’ del fichero ‘environment.properties’ (reemplazadas por sus valores en la ejecución de maven). Si cualquier otra variable de configuración es susceptible de cambio con el entorno, deben definirse de esta forma. En el siguiente ejemplo se utiliza un fichero de propiedades como base de configuración: applicationContext-services.xml src/main/resources/conf/asf.properties 9 de 41 Framework Atlas Servicio de Certificados ########################################################## # Variables de configuración de la aplicación para ASF # ########################################################## # Configuracion general de ASF asfConfiguration.invokingApp = ${app.id.asf} asfConfiguration.signEncoding = iso-8859-1 # Configuración de la firma asfConfiguration.signApplicationId = ${app.id.asf} asfConfiguration.signRegisterRevocation = false asfConfiguration.signIgnoreVerificationCaches = false asfConfiguration.signSequential = true asfConfiguration.signTimestamp = false # Configuración de la validación asfConfiguration.verifySignatureApplicationId = ${app.id.asf} asfConfiguration.verifyRegisterNoRepudiation = false asfConfiguration.verifySignatureCheckRevocation = false asfConfiguration.verifyIgnoreVerificationCaches = true asfConfiguration.verifyAddSignature = false # Configuración de la validación de certificados asfConfiguration.verifyCheckCertificateRevocation = true asfConfiguration.verifyCheckCertificateValidity = true # Configuración para la firma en cliente asfConfiguration.clientJsUrl = ${asf.clientJSUrl} # Configuración para cifrado/descifrado sin certificado asfConfiguration.cipherKey = ${asf.cipherKey} asfConfiguration.cipherMode = CBC asfConfiguration.cipherAlgorithm = 3DES asfConfiguration.cipherOperationTypeEn = 3 asfConfiguration.cipherOperationTypeDe = 4 asfConfiguration.cipherPadding = PKCS5Padding A continuación se muestra una tabla con todos los atributos configurables de la clase AsfConfiguration: Atributo invokingApp Descipción Id de la aplicación en ASF. La aplicación debe Obligatorio Valor por defecto SI Sin valor por estar dada de alta en ASF verifySignatureApplicationId Id de la aplicación en ASF usado en operaciones de defecto SI verificación de firmas. signApplicationId invokingApp Id de la aplicación en ASF para operaciones de SI firma. signRegisterRevocation Valor de Valor de invokingApp Registrar (o no) las revocaciones. 10 de 41 NO false Framework Atlas Servicio de Certificados signIgnoreVerificationCaches Ignorar (o no) la caché de verificaciones en firma. NO false signEncoding Codificación de caracteres en firma NO iso-8859-1 signSequential Firma secuencial NO true signTimestamp Incluír (o no) sellos de tiempo en la firmas. NO false verifyRegisterNoRepudiation Almacenar (o no) la información necesaria para NO false NO false garantizar el no repudio. verifySignatureCheckRevocati Comprobar (o no) el estado de revocación del on cerificado firmante. verifyAddSignature verifyAddSignature NO false verifyIgnoreVerificationCache Ignorar (o no) la caché de verificaciones. NO true verifyCheckCertificateRevocat Verificar (o no) el estado de revocación del NO true ion cerificado al validar los certificados. verifyCheckCertificateValidity Verificar (o no) el estado de validez (caducidad) del NO true s cerificado al comprobar el cetificado. cipherAlgorithm Algoritmo de cifrado simétrico con clave NO 3DES cipherKey Clave de cifrado simétrico SI Sin valor por defecto cipherMode Modo de cifrado simétrico NO CBC cipherPadding Padding de cifrado NO PKCS5Padding clientJsUrl URL del Javascript de firma en cliente SI Sin valor por defecto ficheroLog Ruta y nombre de los ficheros de log de ASF NO Sin valor por defecto nivelLog Nivel de trazas de ASF, puede ser ‘10’, ‘20’ o ‘30’. NO ‘30’ hace que se muestren todas las trazas secureCall Si vale true las llamadas al servidor de ASF se realizarán de forma segura 11 de 41 Sin valor por defecto NO false Framework Atlas Servicio de Certificados keystoreType Tipo de almacén de claves para comunicación NO segura keystoreFile defecto Ruta al almacén de claves para comunicación NO segura keystorePass Sin valor por defecto Clave de acceso al almacén de claves para NO comunicación segura keystoreKeyAlias Sin valor por Sin valor por defecto Alias de la clave a utilizar para comunicación segura NO Sin valor por defecto searchInApplication Si el servicio de ASF no puede localizar en el NO true sistema los ficheros de propiedades, este parámetro indica si deben buscarse en el classpath de aplicación y en sus librerías. 3.2.3. Configuración del plugin de Jetty para trabajar como servidor seguro Atención Este paso no es necesario si el proyecto se ha generado a partir del arquetipo web, servicioweb o documentumweb de Atlas. Para poder probar la aplicación con un servidor seguro, es necesario configurar el plugin de Jetty para maven. Serán necesarios los siguientes elementos: · Almacén de certificados con las CAs cuyos certificados se admitirán. Para la fase de pruebas bastará con la CA de desarrollo de ICM. El almacén debe terminar en .keystore. Este fichero se llamará truststore.keystore. · Almacen de certificados con el certificado de servidor y toda su cadena de certificación. Para la fase de pruebas se podrá utilizar uno de los certificados de la CA de pruebas de ICM disponible. El almacen deberá terminar en .keystore. El fichero se llamará keystore.keystore. Ambos almacenes de certificados se almacenarán en la ruta /src/test/resources/ssl del proyecto web. 12 de 41 Framework Atlas Servicio de Certificados A continuación se reconfigurará el plugin de Jetty para la ejecución SSL: · WantClientAuth: si es ‘true’ se pedirá certificado en la conexión SSL, aunque será opcional. De esta forma si no se aporta certificado, se mostrará el login tradicional. · NeedClientAuth: si es ‘true’ el certificado de cliente en la conexión será necesario y no se pasará del punto inicial sin aportar uno. Pom.xml del proyecto web 13 de 41 Framework Atlas Servicio de Certificados org.mortbay.jetty jetty-maven-plugin ${jetty-maven-plugin.version} [...] 9080 60000 9443 60000 ${project.build.testOutputDirectory}/ssl/keystore.keystore desarrollo desarrollo ${project.build.testOutputDirectory}/ssl/truststore.keystore desarrollo true false commons-dbcp commons-dbcp ${padre.commons.dbcp.version} com.oracle ojdbc14 ${padre.oracle.version} 3.2.4. Configuración de Weblogic para trabajar como servidor seguro Para poder probar la aplicación con un servidor seguro, es necesario configurar el servidor Weblogic. No se podrán hacer pruebas de la aplicación directamente con un servidor jetty. Los pasos a seguir para configurar el servidor como seguro, utilizando los certificados de prueba de icm, son: · Paso 1: Activar el SSL en Weblogic: Acceder a la consola de Weblogic, que normalmente está en la URL http://localhost:7001/console. En la consola, en Entorno->Servidores, pinchar en el servidor AdminServer para acceder a su configuración: 14 de 41 Framework Atlas Servicio de Certificados En la pestaña Configuración-> General, activar la casilla “Puerto de recepción de SSL activado”: 15 de 41 Framework Atlas Servicio de Certificados Salvar los cambios y en la pestaña Configuracion->SSL->Advanzadas establecer el parámetro “Comportamiento de Certificado de Cliente Bidireccional” a “Certificados de Cliente Solicitados Pero No Aplicados”. Salvar los cambios. · Paso 2: Configurar los almacenes de certificados en Weblogic: Los certificados SSL para weblogic pueden descargarse del sitio web de ArquitecturaSW. También pueden obtenerse de un arquetipo web en la ruta src/test/resources/ssl. El contenido del paquete son dos ficheros: keystore.jks y truststore.jks. Estos almacenes ya están preconfigurados para el uso en un servidor de aplicaciones. Deben dejarse estos ficheros en una ruta conocida del disco duro para su posterior referencia. En adelante, se asumirá que están en la ruta: D:\Oracle\Middleware\ssl. En la consola de Weblogic, en Entorno->Servidores seleccionar el servidor AdminServer: 16 de 41 Framework Atlas Servicio de Certificados En la pestaña Configuración -> Almacenes de Claves, en el parámetro Almacenes de Claves pulsar el botón Cambiar: 17 de 41 Framework Atlas Servicio de Certificados Seleccionar “Identidad Personalizada y Protección Personalizada” y guardar cambios. 18 de 41 Framework Atlas Servicio de Certificados Configurar los siguientes parámetros: · Identidad: o Almacén de Claves de Identidad Personalizado: ruta a keystore.jks (D:\Oracle\Middleware\ssl\keystore.jks). · o Tipo de Almacén de Claves de Identidad Personalizado: jks o Contraseña de Almacén de Claves de Identidad Personalizado: desarrollo o Confirmar Contraseña de Almacén de Claves de Identidad Personalizado: desarrollo Protección: o Almacén de Claves de Protección Personalizado: ruta a truststore.jks (D:\Oracle\Middleware\ssl\truststore.jks). o Tipo de Almacén de Claves de Protección Personalizado: jks o Contraseña de Almacén de Claves de Protección Personalizado: desarrollo o Confirmar Contraseña de Almacén de Claves de Protección Personalizado: desarrollo Guardar cambios. El servidor está ahora listo para su uso. · Paso 3: Crear variable de entorno para weblogic. o Establecer la variable JAVA_OPTIONS=-Dweblogic.security.SSL.allowSmallRSAExponent=true 19 de 41 Framework Atlas Servicio de Certificados · Paso 4: Importar el certificado cliente en el navegador. Una vez realizados estos pasos, ya estamos listos para probar aplicaciones con SSL instaladas en el servidor Weblogic. El puerto por defecto SSL de Weblogic es el 7002. Los certificados de pruebas de la CA de Icm pueden descargarse en la ruta: http://desarrollo.madrid.org/certificados/descarga_de_certificados.htm. 20 de 41 Framework Atlas Servicio de Certificados 4. USO Una vez configurado el entorno para el uso del componente, puede procederse a su utilización. 4.1. Obtención de datos de un certificado digital Para obtener los datos de un certificado digital, se utiliza el método “getDatosCertificado”, que recibe el certificado X509 en base64 o en una instancia X509Certificate cuyos datos se quieren obtener. El método devuelve un objeto “atlas.core.seguridad.asf.domain.DatosCertificado”. En el siguiente ejemplo, se muestra un método de un ManagedBean de JSF que recoge los datos de un certificado para pintarlos en pantalla. AsfBean.java /** * Obtiene los datos de un certificado para pintar su contenido * @return id de página */ public String obtenerDatosCertificado() { try { this.datosCertificado = this.asfService.getDatosCertificado(strCertificado); } catch (ServiceException e) { log.error("Error obteniendo datos de certificado.", e); AtlasFacesUtils.addErrorMessage(e.getMessage()); } return NavigationResults.SUCCESS; } /** * Obtención de los datos de certificado de login de usuario * @return DatosCertificado con los datos del certificado de login * @throws ServiceException si hubo algún problema */ private DatosCertificado getDatosCertificadoLogin() throws ServiceException { // Obtenemos el certificado de login del request X509Certificate[] chain = (X509Certificate[]) FacesContext. getCurrentInstance().getExternalContext().getRequestMap(). get("javax.servlet.request.X509Certificate"); if (chain == null || chain.length == 0) { log.warn("No se ha detectado certificado de autenticacion"); return null; } // Llamar al servicio de ASF para obtener los datos del certificado return this.asfService.getDatosCertificado(chain[0]); } 21 de 41 Framework Atlas Servicio de Certificados 4.2. Comprobación de acceso de un certificado En aplicaciones donde el acceso de los usuarios se realice mediante certificado, es posible restringir los tipos de certificado a un subconjunto de los admitidos por ICM. En ASF se realiza la configuración de certificados admitidos en una operación y posteriormente, en la aplicación se consulta si el certificado aportado por el usuario está dentro de este conjunto. AsfService.java /** * Obtiene información de acceso del certificado pasado, sobre la operación de * verificacion en ASF * @param datosCert objeto con la información del certificado a comprobar * @return true si el certificado tiene acceso; false en caso contrario * @throws ServiceException si hubo problemas en la comprobacion */ boolean comprobarAcceso(DatosCertificado datosCert) throws ServiceException; /** * Obtiene información de acceso del certificado pasado, sobre la operación de * verificacion en ASF * @param cert objeto con la información del certificado a comprobar * @return true si el certificado tiene acceso; false en caso contrario * @throws ServiceException si hubo problemas en la comprobacion */ boolean comprobarAcceso(X509Certificate cert) throws ServiceException; Atención Estos métodos solo podrán utilizarse en la creación de políticas de seguridad propias de la aplicación según la normativa de ATLAS. A continuación se muestra un ejemplo de uso de esta funcionalidad: Ejemplo de uso DatosCertificado datosCert = this.asfService.getDatosCertificadoDeAlias("2w"); boolean ok = this.asfService.comprobarAcceso(datosCert); log.info("El certificado '2w' tiene acceso a la aplicación: " + ok); 22 de 41 Framework Atlas Servicio de Certificados 4.3. Cifrado y descifrado de datos con clave Para el cifrado de datos con clave se utiliza el método ‘cifrar’. Su correspondiente método de descifrado es ‘descifrar’. A continuación se muestra un extracto de la interfaz de servicio: AsfService.java /** * Cifrar texto con clave simétrica * @param texto texto a cifrar * @return mensaje cifrado * @throws ServiceException si hubo algún problema */ String cifrar(String texto) throws ServiceException; /** * Descifrar texto con clave simétrica * @param texto texto a descifrar * @return texto descifrado * @throws ServiceException si hubo algún problema */ String descifrar(String texto) throws ServiceException; La clave de cifrado a usar se establece en el objeto de configuración del servicio ‘AsfConfiguration’, parámetro ‘cypherKey’. El siguiente ejemplo de uso muestra una operación de cifrado y descifrado obteniendo así el texto original. Ejemplo de uso String texto = "Ejemplo de cifrado/descifrado"; log.info("Texto original: '" + texto + "'"); // Cifrar texto con clave String cifrado = null; try { cifrado = this.asfService.cifrar(texto); } catch (ServiceException e) { log.error("Error cifrando datos.", e); } log.info("Texto cifrado: '" + cifrado + "'"); // Descifrar texto con clave String descifrado = null; try { descifrado = this.asfService.descifrar(cifrado); } catch (ServiceException e) { log.error("Error descifrando datos.", e); } log.info("Texto descifrado: '" + descifrado + "'"); 23 de 41 Framework Atlas Servicio de Certificados 4.4. Cifrado y descifrado de datos con certificado Para el cifrado de datos con clave se utiliza también el método ‘cifrar’, aunque los parámetros a pasar son diferentes de los del apartado anterior. Su correspondiente método de descifrado es ‘descifrar’. A continuación se muestra un extracto de la interfaz de servicio: AsfService.java /** * Cifrar texto con certificado * @param texto texto a cifrar * @param aliasCertificado alias del certificado de firma en plataforma ASF * @return texto cifrado * @throws ServiceException si ha habido problemas en el firmado */ String cifrar(String texto, String aliasCertificado) throws ServiceException; /** * Descifrar texto con certificado * @param texto texto a descifrar * @param aliasCertificado alias del certificado de firma en plataforma ASF * @return texto descifrado * @throws ServiceException si ha habido problemas en el descifrado */ String descifrar(String texto, String aliasCertificado) throws ServiceException; El certificado cuyo alias se pasa en los métodos de cifrado y descifrado deberá estar dado de alta en la plataforma ASF para el id de aplicación configurado. El siguiente ejemplo de uso muestra una operación de cifrado y descifrado obteniendo así el texto original. Ejemplo de uso String texto = "Texto de ejemplo"; String aliasCertificado = "2w"; // Certificado instalado en ASF log.info("Texto original: '" + texto + "'"); // Cifrar texto con certificado String cifrado = null; try { cifrado = this.asfService.cifrar(texto, aliasCertificado); } catch (ServiceException e) { log.error("Error cifrando datos.", e); } log.info("Texto cifrado: '" + cifrado + "'"); // Descifrar texto con certificado String descifrado = null; try { descifrado = this.asfService.descifrar(cifrado, aliasCertificado); } catch (ServiceException e) { log.error("Error descifrando datos.", e); } log.info("Texto descifrado: '" + descifrado + "'"); 24 de 41 Framework Atlas Servicio de Certificados 4.5. Firma electrónica en servidor La firma electrónica de unos datos permite garantizar su integridad (que no ha sido modificada desde que se firmó) y el no repudio (no se puede negar haber firmado los datos); opcionalmente también permite garantizar que los datos fueron firmados en un momento determinado. Para realizar una firma electrónica en servidor, ser utiliza el método “firmar”, que recibe dos parámetros: un array de bytes con los datos a firmar y una cadena con el alias del certificado con el que se quieren firmar (tiene que estar definido previamente en ASF para la aplicación). El método devuelve una cadena con la firma codificada en base 64. Este tipo de firma sirve para textos y datos binarios. AsfService.java /** * Realiza una firma digital de los datos pasados con el certificado identificado * por el alias * @param datos datos para realizar la firma digital * @param alias alias del certificado en la plataforma ASF * @return firma digital * @throws ServiceException si hubo algún problema */ String firmar(byte[] datos, String alias) throws ServiceException; A continuación se muestra un ejemplo de uso de firmado con certificado: Ejemplo de uso String texto = "Texto de ejemplo"; String aliasCertificado = "1r"; // Tiene que estar dado de alta en ASF log.info("Texto original: '" + texto + "'"); // Firmado String firma = null; try { firma = this.asfService.firmar(texto.getBytes(), aliasCertificado); } catch (ServiceException e) { log.error("Error realizando firma.", e); } log.info("Firma: '" + firma + "'"); 4.6. Firma de Pdf La firma PDF en servidor puede realizarse llamando al siguiente método del servicio: AsfService.java 25 de 41 Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros Pdf. * @param alias alias del certificado de firma en la plataforma ASF * @param inPdf documento PDF a firmar * @return documento PDF firmado * @throws ServiceException si hubo algún problema */ byte[] firmarPdf(String alias, byte[] inPdf) throws ServiceException; Como parámetros han de pasarse el alias del certificado en la plataforma ASF y el contenido del fichero PDF a firmar. El resultado será el contenido del fichero PDF ya firmado. Para ejecutar esta operación debe haberse solicitado previamente el alta de la aplicación en ASF, así como de una operación de firma y un certificado asociado a esta operación (cuyo alias será el que habrá que pasar al método). A continuación se muestra un ejemplo de uso de este método: Ejemplo de uso // leer pdf de pruebas de disco File f = new File("pdfSignTest.pdf"); byte[] pdf = ... Realizar lectura de fichero ... // firmar pdf byte[] signed = this.asfService.firmarPdf("2w", pdf); // Grabar fichero firmado File fout = new File("pdf_signed.pdf"); out = new FileOutputStream(fout); out.write(signed); out.close(); Se pueden personalizar algunos aspectos de la firma del fichero PDF a través de la clase atlas.core.seguridad.asf. domain.PdfSignAppearance. Los valores personalizables son: · Coordenadas x,y de la caja de firma. · Altura y anchura de la caja de firma. · Página donde se ubicará la parte visible de la firma. · Visibilidad de la caja de firma. A continuación se muestra un ejemplo donde la caja de firma se ubicará en la página 3 del documento pdf: AsfService.java 26 de 41 Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros Pdf. * @param alias alias del certificado de firma en la plataforma ASF * @param inPdf documento PDF a firmar * @param usarTsa usar sello de tiempo? * @param apariencia información de la visualización de la firma * @return documento PDF firmado * @throws ServiceException si hubo algún problema */ byte[] firmarPdf(String alias, byte[] inPdf, boolean usarTsa, PdfSignAppearance apariencia) throws ServiceException; Este método permite también incluir un sello de tiempo (usarTsa) en la firma Pdf. Ejemplo de uso // leer pdf de pruebas de disco File f = new File("pdfSignTest.pdf"); byte[] pdf = ... Realizar lectura de fichero ... // firmar pdf pagina 3 PdfSignAppearance apariencia = new PdfSignAppearance(); apariencia.setPage(3); signed = this.asfService.firmarPdf("2w", pdf, false, apariencia); // Grabar fichero firmado File fout = new File("pdf_signed.pdf"); out = new FileOutputStream(fout); out.write(signed); out.close(); 4.7. Firma de ficheros XML La firma XML se realiza en formato XMLDsig. En el siguiente apartado se mostrará la firma XAdES (también para ficheros XML). En la firma XMLDsig básica se ejecuta una firma de tipo Enveloping en el documento xml completo. En este tipo de firma, el tag raíz del documento XML será el tag de firma, y el documento original quedará englobado dentro de la estructura de la firma. AsfService.java 27 de 41 Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros XML en formato XMLDsig enveloping * (el tag de firma es la raiz del Xml original que queda embebido dentro). * La firma digital se realiza sobre todo el documento Xml de entrada * (se firma el tag raiz). * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXml(String alias, byte[] xml) throws ServiceException; Solo será necesario indicar el alias del certificado en la plataforma ASF y el documento XML a firmar. Ejemplo de uso String xml = "" + "Test de firmado XML"; // Firma enveloping de todo el XML String envelopingFull = this.asfService.firmarXml("2w", xml.getBytes()); En el siguiente ejemplo, la firma seguirá siendo de tipo Enveloping, pero se indica el Id del tag a firmar. No se firmará el documento completo, solo el bloque del tag cuyo Id se ha indicado. AsfService.java /** * Realiza una firma digital para ficheros XML en formato XMLDsig enveloping * (el tag de firma es la raiz del Xml original que queda embebido dentro). * La firma digital se realiza sobre el tag cuyo ID se indica en el parámetro * idToSign. Es obligatorio que el tag a firmar tenga un atributo de nombre * 'id' y un valor que identifique univocamente al nodo dentro del documento Xml. * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @param idToSign id del tag a firmar. Ej.: "idBody" * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXml(String alias, byte[] xml, String idToSign) throws ServiceException; Ejemplo de uso String xml = "" + "Test de firmado XML"; // Firma enveloping de parte del XML String envelopingPart = this.asfService.firmarXml("2w", xml.getBytes(), "idBody"); 28 de 41 Framework Atlas Servicio de Certificados En este ejemplo, en lugar de firmarse el tag como en el caso anterior, solo se firmará el tag . En el siguiente ejemplo, la firma será de tipo Enveloped, es decir, la estructura del documento original no se alterará. El tag de firma se insertará como hijo del tag indicado. AsfService.java /** * Realiza una firma digital para ficheros XML en formato XMLDsig. Si se indica * el parámetro insertSignTagName, la firma se realizará en formato * 'enveloped' (el tag de firma se inserta como hijo del nodo cuyo nombre * se ha especificado en el parámetro); en caso contrario, la firma será de * tipo enveloping. * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @param idToSign id del tag a firmar. Ej.: "idBody" * @param insertSignTagName nombre del tag debajo del cual colocar la firma. * Ej.: "head" * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXml(String alias, byte[] xml, String idToSign, String insertSignTagName) throws ServiceException; Ejemplo de uso String xml = "" + "Test de firmado XML"; // Firma enveloped String enveloped = this.asfService.firmarXml("2w", xml.getBytes(), "idBody", "head"); 29 de 41 Framework Atlas Servicio de Certificados En este ejemplo, el tag raíz del documento XML seguirá siendo . Se firmará el tag y el elemento de la firma se insertará como hijo del tag . 4.8. Firma XAdES La firma XAdES es otro formato de firma XML. Es una extensión de la firma XMLDsig y presenta una estructura de tipo Enveloped. Existen tres tipo de firma XAdES soportada por ATLAS: · XAdES BES: firma de tipo básico, la más simple de todas. · XAdES T: firma básica con sello de tiempo. · XAdES XL: añade los propios certificados y listas de revocación a los documentos firmados para permitir la verificación en el futuro incluso si las fuentes originales (de consulta de certificados o de las listas de revocación) no estuvieran ya disponibles. Los servicios disponibles para esta firma son los siguientes: AsfService.java /** * Realiza una firma digital para ficheros XML en formato XAdES (Basico). La firma * digital se realiza sobre todo el documento Xml de entrada (se firma el tag raiz). * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXadesBes(String alias, byte[] xml) throws ServiceException; AsfService.java /** * Realiza una firma digital para ficheros XML en formato XAdES-T * (Basico + timestamp). La firma digital se realiza sobre todo el documento Xml) * de entrada (se firma el tag raíz. * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXadesT(String alias, byte[] xml) throws ServiceException; AsfService.java 30 de 41 Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros XML en formato XAdES-XL * (Basico + extended long-term). La * firma digital se realiza sobre todo el documento Xml de entrada (se firma el tag * raiz). * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXadesXL(String alias, byte[] xml) throws ServiceException; A continuación un ejemplo de uso: Ejemplo de uso String xml = "" + "Test de firmado XML"; log.info("Ejecutando firma..."); String xmlFirmado = this.asfService.firmarXadesBes("2w", xml.getBytes()); 4.9. Validación de firmas electrónicas La validación de la firma electrónica de unos datos permite comprobar su integridad (que no ha sido modificada desde que se firmó) y el no repudio (no se puede negar haber firmado los datos); opcionalmente también permite garantizar que los datos fueron firmados en un momento determinado. Para validar una firma electrónica, ser utiliza el método “validar”, que recibe dos parámetros: un array de bytes con los datos originales y una cadena con la firma codificada en base 64. El método devuelve una enumeración de tipo “SignatureStatus”. AsfService.java /** * Realiza una validación de la firma digital pasada respecto al texto * @param signedData datos de firma digital * @param firma texto original con el que se ha realizado la firma * @return SignatureEstatus con el estado de la firma * @throws ServiceException si hubo algún problema */ SignatureStatus validarFirma(byte[] signedData, String firma) throws ServiceException; 31 de 41 Framework Atlas Servicio de Certificados Ejemplo de uso // Validación de firma String texto = "Texto de ejemplo"; String firma = "[...]"; // firma del texto en formato Base64 try { // La firma será correcta, el resultado será SignatureStatus.OK SignatureStatus estado = this.asfService.validarFirma(texto.getBytes(), firma); log.info("Estado para texto: " + estado); // El texto firmado ha sido modificado (toUpperCase()), el resultado será // SignatureStatus.NOT_VALID estado = this.asfService.validarFirma(texto.toUpperCase().getBytes(), firma); log.info("Estado para texto modificado: " + estado); } catch (ServiceException e) { log.error("Error verificando firma.", e); } 4.10. Verificación de un certificado digital La verificación de un certificado digital permite comprobar que es válido (que no está caducado, que no ha sido revocado, que se confía en su emisor, que no ha sido modificado desde su emisión…). Para verificar un certificado electrónico, ser utiliza el método “getEstadoCertificado”. Este método acepta instancias de X509Certificate y representaciones en base64 de un certificado (formato PEM). El resultado de este método es un objeto de tipo ‘CertificateStatus’. Test de ejemplo de comprobación de estado de certificado 32 de 41 Framework Atlas Servicio de Certificados String aliasRevocado = "4g"; String aliasCorrecto = "2w"; String pemCertificate = // certificado '2w' "-----BEGIN CERTIFICATE-----\n" + "MIID1jCCAz+gAwIBAgIBcDANBgkqhkiG9w0BAQUFADCBnzELMAkGA1UEBhMCRVMx\n" + "[...]" + "e2tbPsZ7/W7hxNFdCI0EPXdEQTSYS6MoVfY=\n" + "-----END CERTIFICATE-----\n"; try { CertificateStatus status = this.asfService.getEstadoCertificado( getCertificate(aliasRevocado)); assertEquals(status, CertificateStatus.REVOKED); status = this.asfService.getEstadoCertificado(getCertificate(aliasCorrecto)); assertEquals(status, CertificateStatus.OK); // Certificado en formato PEM status = this.asfService.getEstadoCertificado(pemCertificate); assertEquals(status, CertificateStatus.OK); } catch (ServiceException e) { fail("Error de certificado: "

0 downloads 141 Views 2MB Size

Story Transcript

ALTAS MANUAL DE USUARIO DEL SERVICIO DE CERTIFICADOS

Versión 1.5

Área de Aplicaciones Especiales y Arquitectura de Software

Framework Atlas Servicio de Certificados Hoja de Control

Título

Manual de Usuario del Servicio de Certificados

Documento de Referencia

NORMATIVA ATLAS

Responsable

Área de Aplicaciones Especiales y Arquitectura de Software

Versión

1.5

Fecha Versión

26/10/2012

Registro de Cambios Versión

Causa del Cambio

Responsable del Cambio

Fecha del Cambio

Área de Integración y Arquitectura de 1.0

1.1

1.2

1.3

1.4

Versión inicial del documento En ATLAS 1.0.3 la implementación del Servicio se ha modificado por lo tanto este documento ha sido ampliamente modificado. Modificación de apartados 3.2.1 y 3.2.2 para reflejar cambios en nomenclatura de variable app.id.asf Añadido enlace a aplicación de ejemplo en portal ATLAS Actualización a ASF 5. Eliminado apartado 3.1.3, los ficheros de configuración de ASF ya no necesitan residir en la aplicación. Apartado 3.2.1, eliminados parámetros no necesarios. Apartado 3.2.2, nuevas variables de configuración para ASF Se modifica el nombre del área Modificado apartado 3.2.2 para configurar SSL en Weblogic

Aplicaciones

27/01/2010

Área de Integración y Arquitectura de Aplicaciones

27/10/2010

Area de Integración y Arquitectura de Aplicaciones

16/02/2011

Area de Integración y Arquitectura de Aplicaciones

18/05/2011

Área de Aplicaciones Especiales y Arquitectura de Software

13/06/2012

Área de Aplicaciones Especiales y

1.4

Modificado apartado 3.2.2 para configurar SSL en Weblogic

1.5

Añadido punto 4.7 para indicar operaciones no estándar en ASF Añadidos múltiples ejemplos de Área de Aplicaciones Especiales y nuevas funcionalidades Arquitectura de Software añadidas. Apartado 3.1.3, añadida clase de servicio para inyectar servicio ASF.

Arquitectura de Software

2 de 41

29/08/2012

19/10/2012

Framework Atlas Servicio de Certificados

Índice

1.

INTRODUCCIÓN ................................................................................................................................................................ 4 1.1. 1.2.

AUDIENCIA OBJETIVO ...................................................................................................................................................... 4 CONOCIMIENTOS PREVIOS ............................................................................................................................................... 4

2.

DESCRIPCIÓN .................................................................................................................................................................... 5

3.

INSTALACIÓN Y CONFIGURACIÓN............................................................................................................................. 6 3.1. INSTALACIÓN .............................................................................................................................................................. 6 3.1.1. Paso 1: Añadir la dependencia al módulo de Seguridad ........................................................................................ 6 3.1.2. Paso 2: Incluir la ruta de definición del servicio ‘asfService’ ................................................................................ 7 3.1.3. Paso 3: Inyectar el Servicio en las clases que lo requieran.................................................................................... 7 3.2. CONFIGURACIÓN ....................................................................................................................................................... 8 3.2.1. Configuración básica .............................................................................................................................................. 8 3.2.2. Configuración avanzada ......................................................................................................................................... 9 3.2.3. Configuración del plugin de Jetty para trabajar como servidor seguro ............................................................... 12 3.2.4. Configuración de Weblogic para trabajar como servidor seguro ........................................................................ 14

4.

USO ...................................................................................................................................................................................... 21 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. 4.8. 4.9. 4.10. 4.11. 4.12. 4.13. 4.14. 4.15. 4.16.

5.

OBTENCIÓN DE DATOS DE UN CERTIFICADO DIGITAL ..................................................................................................... 21 COMPROBACIÓN DE ACCESO DE UN CERTIFICADO .......................................................................................................... 22 CIFRADO Y DESCIFRADO DE DATOS CON CLAVE ............................................................................................................. 23 CIFRADO Y DESCIFRADO DE DATOS CON CERTIFICADO .................................................................................................. 24 FIRMA ELECTRÓNICA EN SERVIDOR ............................................................................................................................... 25 FIRMA DE PDF ................................................................................................................................................................ 25 FIRMA DE FICHEROS XML ............................................................................................................................................. 27 FIRMA XADES .............................................................................................................................................................. 30 VALIDACIÓN DE FIRMAS ELECTRÓNICAS........................................................................................................................ 31 VERIFICACIÓN DE UN CERTIFICADO DIGITAL ............................................................................................................. 32 VERIFICACIÓN DE FIRMA PDF .................................................................................................................................... 33 VALIDACIÓN DE FIRMA XMLDSIG ............................................................................................................................ 34 VALIDACIÓN DE FIRMA XADES ................................................................................................................................ 34 EXTRACCIÓN DE INFORMACIÓN DE FIRMA DE UN DOCUMENTO XML ........................................................................ 35 INDICAR OPERACIÓN NO ESTÁNDAR DE ASF .............................................................................................................. 37 APLICACIÓN DE EJEMPLO ........................................................................................................................................... 39

ENLACES RELACIONADOS .......................................................................................................................................... 41

3 de 41

Framework Atlas Servicio de Certificados Contenido 1. INTRODUCCIÓN Este documento contiene el manual de uso del servicio de certificados del módulo de seguridad del framework Atlas. En él se incluye información sobre cómo utilizar dicho componente en una aplicación, así como información acerca de la configuración de los parámetros fundamentales del componente. 1.1.

Audiencia objetivo

El lector objetivo de este documento es toda aquella persona que esté desarrollando una aplicación basada en el framework Atlas y desee acceder a la plataforma ASF. 1.2.

Conocimientos Previos

Para un completo entendimiento del documento, el lector deberá tener conocimientos previos sobre las siguientes tecnologías: -

Lenguaje Java

-

Spring Framework

-

Conocimientos básicos de ASF y certificados digitales X.509

Para saber más sobre dichas tecnologías, consultar los accesos referenciados en el apartado 5 de este documento, “Enlaces Relacionados”.

4 de 41

Framework Atlas Servicio de Certificados

2. DESCRIPCIÓN El servicio de Spring “asfService” que incluye el módulo de seguridad de Atlas, provee las siguientes funcionalidades: ·

Obtención de datos de un certificado

·

Cifrado y descifrado de datos simétrico con clave

·

Cifrado y descifrado asimétrico con certificado

·

Firma electrónica en servidor

·

Firma electrónica en cliente (en documento aparte)

·

Verificación de firmas electrónicas

·

Validación de certificados digitales

5 de 41

Framework Atlas Servicio de Certificados

3. INSTALACIÓN Y CONFIGURACIÓN 3.1.

INSTALACIÓN

El Servicio de Certificados para ASF viene incluido en el módulo de seguridad de atlas que, a su vez, viene incluido en el arquetipo web. Para poder utilizarlo, bastará con incluir la dependencia de este módulo en el fichero pom.xml del proyecto, añadir la ruta correspondiente al fichero xml de Spring en la variable ‘configLocations’, y definir en el contexto de Spring la configuración del servicio para la aplicación. 3.1.1.

Paso 1: Añadir la dependencia al módulo de Seguridad Atención

Este paso no es necesario si el proyecto se ha generado a partir del arquetipo web, servicioweb o documentumweb de Atlas.

Para añadir la dependencia al módulo de seguridad dentro de nuestro proyecto maven hay que añadir una entrada “dependency” en la sección “dependencies” del fichero “pom.xml” del proyecto, como se puede ver en el siguiente ejemplo:

pom.xml [...] atlasfrm atlasfrm-seguridad-lib ${atlasfrm-seguridad-lib} [...]

6 de 41

Framework Atlas Servicio de Certificados 3.1.2.

Paso 2: Incluir la ruta de definición del servicio ‘asfService’

La librería de seguridad ya contiene una definición del servicio ‘asfService’ dentro del contexto de Spring. Bastará con incluir la siguiente ruta dentro de la configuración de los ‘configLocations’ (usualmente en el fichero web.xml): classpath:/conf/applicationContext-asf.xml A continuación se muestra un ejemplo de configLocations en el fichero web.xml: web.xml Este parámetro indica la localización exacta de los ficheros de configuración de SPRING contextConfigLocation classpath:/conf/applicationContext-security.xml; classpath:/conf/applicationContext-security-hostPolitica.xml; classpath:/conf/applicationContext-componentes.xml; classpath:/conf/atlas-trazas-application-context.xml; classpath:/conf/applicationContext-asf.xml; classpath:/conf/applicationContext-general.xml; classpath:/conf/applicationContext-database.xml;

3.1.3.

Paso 3: Inyectar el Servicio en las clases que lo requieran

Para inyectar el Servicio previamente definido, se pasa como “property” al bean que lo vaya a usar, que debe tener el método “set” correspondiente. Para más información sobre cómo inyectar referencias, se puede consultar la documentación de Spring. applicationContext-services.xml

xxxx.services.MiServiceImpl.java public class MiServiceImpl implements MiService { private AsfService asfService; public void setAsfService(AsfService asfService) { this.asfService = asfService; } ... }

7 de 41

Framework Atlas Servicio de Certificados 3.2.

CONFIGURACIÓN 3.2.1.

Configuración básica

En el modo básico de configuración, esto es, tomando todos los valores por defecto (ver tabla de apartado 3.2.2) solo será necesario configurar los valores del fichero ‘environment.properties’, principalmente el parámetro ‘asf.cipherKey’ que establece la clave de cifrado simétrico para la aplicación (siempre que se use esta funcionalidad). environment.properties ###################################################### # Fichero de variables de configuración específicas # # para el entorno LOCAL # ###################################################### [...] # Recursos de ASF asf.clientJSUrl=https://desarrollo.madrid.org/asf_firma570/js/WS.js asf.cipherKey=************* El resto de parámetros ya están configurados para funcionar correctamente en el entorno local de desarrollo. También será necesario configurar el parámetro ‘app.id.asf’ en el fichero ‘environment.properties’ con el valor dado de alta para la aplicación en el servidor de ASF. Si se quiere asignar a esta variable el nombre de la aplicación se configurará ${app.name} (app.name está definida en el fichero conf/application.properties).

environment.properties ###################################################### # Fichero de propiedades donde se configuran todos # # los parametros de la aplicación que no necesitan # # una configuración diferente para cada entorno (su # # valor es el mismo en el entorno de desarrollo # # local, validación y producción) # ###################################################### [...] # Ids de aplicacion app.id.asf=APL_DEMO #app.id.asf=${app.name} app.id.certificate=EJPL #app.id.certificate=${app.name}

8 de 41

Framework Atlas Servicio de Certificados 3.2.2.

Configuración avanzada

Si se necesita cambiar la configuración por defecto del servicio de ASF será necesario redefinir el bean ‘asfConfiguration’ en el contexto de Spring. Las propiedades de configuración se pueden definir en el mismo fichero de Spring o en un fichero aparte. El siguiente ejemplo, además de los parámetros de configuración básica, se cambia el valor por defecto de la propiedad ‘signEncoding’ (las variables asf.clientJSUrl, asf.cipherKey y app.id.asf son tomadas por maven del fichero environment.properties):

applicationContext-services.xml





En este ejemplo, la propiedad ‘applicationIdForAllOperations’ realiza un set del valor en las propiedades ‘invokingApp’, ‘signApplicationId’ y ‘verifySignatureApplicationId’. Esto es así para simplificar la configuración. Los valores de las propiedades ‘clientJsUrl’ y ‘cipherKey’ hacen referencia a las propiedades ‘asf.clientJSUrl’ y ‘asf.cipherKey’ del fichero ‘environment.properties’ (reemplazadas por sus valores en la ejecución de maven). Si cualquier otra variable de configuración es susceptible de cambio con el entorno, deben definirse de esta forma. En el siguiente ejemplo se utiliza un fichero de propiedades como base de configuración:

applicationContext-services.xml

src/main/resources/conf/asf.properties

9 de 41

Framework Atlas Servicio de Certificados ########################################################## # Variables de configuración de la aplicación para ASF # ########################################################## # Configuracion general de ASF asfConfiguration.invokingApp = ${app.id.asf} asfConfiguration.signEncoding = iso-8859-1 # Configuración de la firma asfConfiguration.signApplicationId = ${app.id.asf} asfConfiguration.signRegisterRevocation = false asfConfiguration.signIgnoreVerificationCaches = false asfConfiguration.signSequential = true asfConfiguration.signTimestamp = false # Configuración de la validación asfConfiguration.verifySignatureApplicationId = ${app.id.asf} asfConfiguration.verifyRegisterNoRepudiation = false asfConfiguration.verifySignatureCheckRevocation = false asfConfiguration.verifyIgnoreVerificationCaches = true asfConfiguration.verifyAddSignature = false # Configuración de la validación de certificados asfConfiguration.verifyCheckCertificateRevocation = true asfConfiguration.verifyCheckCertificateValidity = true # Configuración para la firma en cliente asfConfiguration.clientJsUrl = ${asf.clientJSUrl} # Configuración para cifrado/descifrado sin certificado asfConfiguration.cipherKey = ${asf.cipherKey} asfConfiguration.cipherMode = CBC asfConfiguration.cipherAlgorithm = 3DES asfConfiguration.cipherOperationTypeEn = 3 asfConfiguration.cipherOperationTypeDe = 4 asfConfiguration.cipherPadding = PKCS5Padding

A continuación se muestra una tabla con todos los atributos configurables de la clase AsfConfiguration:

Atributo invokingApp

Descipción Id de la aplicación en ASF. La aplicación debe

Obligatorio

Valor por defecto

SI

Sin valor por

estar dada de alta en ASF verifySignatureApplicationId

Id de la aplicación en ASF usado en operaciones de

defecto SI

verificación de firmas. signApplicationId

invokingApp

Id de la aplicación en ASF para operaciones de

SI

firma. signRegisterRevocation

Valor de

Valor de invokingApp

Registrar (o no) las revocaciones.

10 de 41

NO

false

Framework Atlas Servicio de Certificados signIgnoreVerificationCaches

Ignorar (o no) la caché de verificaciones en firma.

NO

false

signEncoding

Codificación de caracteres en firma

NO

iso-8859-1

signSequential

Firma secuencial

NO

true

signTimestamp

Incluír (o no) sellos de tiempo en la firmas.

NO

false

verifyRegisterNoRepudiation

Almacenar (o no) la información necesaria para

NO

false

NO

false

garantizar el no repudio. verifySignatureCheckRevocati

Comprobar (o no) el estado de revocación del

on

cerificado firmante.

verifyAddSignature

verifyAddSignature

NO

false

verifyIgnoreVerificationCache

Ignorar (o no) la caché de verificaciones.

NO

true

verifyCheckCertificateRevocat

Verificar (o no) el estado de revocación del

NO

true

ion

cerificado al validar los certificados.

verifyCheckCertificateValidity

Verificar (o no) el estado de validez (caducidad) del

NO

true

s

cerificado al comprobar el cetificado. cipherAlgorithm

Algoritmo de cifrado simétrico con clave

NO

3DES

cipherKey

Clave de cifrado simétrico

SI

Sin valor por defecto

cipherMode

Modo de cifrado simétrico

NO

CBC

cipherPadding

Padding de cifrado

NO

PKCS5Padding

clientJsUrl

URL del Javascript de firma en cliente

SI

Sin valor por defecto

ficheroLog

Ruta y nombre de los ficheros de log de ASF

NO

Sin valor por defecto

nivelLog

Nivel de trazas de ASF, puede ser ‘10’, ‘20’ o ‘30’.

NO

‘30’ hace que se muestren todas las trazas secureCall

Si vale true las llamadas al servidor de ASF se realizarán de forma segura

11 de 41

Sin valor por defecto

NO

false

Framework Atlas Servicio de Certificados keystoreType

Tipo de almacén de claves para comunicación

NO

segura keystoreFile

defecto

Ruta al almacén de claves para comunicación

NO

segura keystorePass

Sin valor por defecto

Clave de acceso al almacén de claves para

NO

comunicación segura keystoreKeyAlias

Sin valor por

Sin valor por defecto

Alias de la clave a utilizar para comunicación segura

NO

Sin valor por defecto

searchInApplication

Si el servicio de ASF no puede localizar en el

NO

true

sistema los ficheros de propiedades, este parámetro indica si deben buscarse en el classpath de aplicación y en sus librerías.

3.2.3.

Configuración del plugin de Jetty para trabajar como servidor seguro

Atención Este paso no es necesario si el proyecto se ha generado a partir del arquetipo web, servicioweb o documentumweb de Atlas.

Para poder probar la aplicación con un servidor seguro, es necesario configurar el plugin de Jetty para maven. Serán necesarios los siguientes elementos: ·

Almacén de certificados con las CAs cuyos certificados se admitirán. Para la fase de pruebas bastará con la CA de desarrollo de ICM. El almacén debe terminar en .keystore. Este fichero se llamará truststore.keystore.

·

Almacen de certificados con el certificado de servidor y toda su cadena de certificación. Para la fase de pruebas se podrá utilizar uno de los certificados de la CA de pruebas de ICM disponible. El almacen deberá terminar en .keystore. El fichero se llamará keystore.keystore.

Ambos almacenes de certificados se almacenarán en la ruta /src/test/resources/ssl del proyecto web.

12 de 41

Framework Atlas Servicio de Certificados

A continuación se reconfigurará el plugin de Jetty para la ejecución SSL: ·

WantClientAuth: si es ‘true’ se pedirá certificado en la conexión SSL, aunque será opcional. De esta forma si no se aporta certificado, se mostrará el login tradicional.

·

NeedClientAuth: si es ‘true’ el certificado de cliente en la conexión será necesario y no se pasará del punto inicial sin aportar uno. Pom.xml del proyecto web

13 de 41

Framework Atlas Servicio de Certificados org.mortbay.jetty jetty-maven-plugin ${jetty-maven-plugin.version} [...] 9080 60000 9443 60000 ${project.build.testOutputDirectory}/ssl/keystore.keystore desarrollo desarrollo ${project.build.testOutputDirectory}/ssl/truststore.keystore desarrollo true false commons-dbcp commons-dbcp ${padre.commons.dbcp.version} com.oracle ojdbc14 ${padre.oracle.version}

3.2.4.

Configuración de Weblogic para trabajar como servidor seguro

Para poder probar la aplicación con un servidor seguro, es necesario configurar el servidor Weblogic. No se podrán hacer pruebas de la aplicación directamente con un servidor jetty. Los pasos a seguir para configurar el servidor como seguro, utilizando los certificados de prueba de icm, son: ·

Paso 1: Activar el SSL en Weblogic:

Acceder a la consola de Weblogic, que normalmente está en la URL http://localhost:7001/console. En la consola, en Entorno->Servidores, pinchar en el servidor AdminServer para acceder a su configuración:

14 de 41

Framework Atlas Servicio de Certificados

En la pestaña Configuración-> General, activar la casilla “Puerto de recepción de SSL activado”:

15 de 41

Framework Atlas Servicio de Certificados Salvar los cambios y en la pestaña Configuracion->SSL->Advanzadas establecer el parámetro “Comportamiento de Certificado de Cliente Bidireccional” a “Certificados de Cliente Solicitados Pero No Aplicados”.

Salvar los cambios. ·

Paso 2: Configurar los almacenes de certificados en Weblogic:

Los certificados SSL para weblogic pueden descargarse del sitio web de ArquitecturaSW. También pueden obtenerse de un arquetipo web en la ruta src/test/resources/ssl. El contenido del paquete son dos ficheros: keystore.jks y truststore.jks. Estos almacenes ya están preconfigurados para el uso en un servidor de aplicaciones. Deben dejarse estos ficheros en una ruta conocida del disco duro para su posterior referencia. En adelante, se asumirá que están en la ruta: D:\Oracle\Middleware\ssl. En la consola de Weblogic, en Entorno->Servidores seleccionar el servidor AdminServer:

16 de 41

Framework Atlas Servicio de Certificados

En la pestaña Configuración -> Almacenes de Claves, en el parámetro Almacenes de Claves pulsar el botón Cambiar:

17 de 41

Framework Atlas Servicio de Certificados

Seleccionar “Identidad Personalizada y Protección Personalizada” y guardar cambios.

18 de 41

Framework Atlas Servicio de Certificados

Configurar los siguientes parámetros: ·

Identidad: o

Almacén de Claves de Identidad Personalizado: ruta a keystore.jks (D:\Oracle\Middleware\ssl\keystore.jks).

·

o

Tipo de Almacén de Claves de Identidad Personalizado: jks

o

Contraseña de Almacén de Claves de Identidad Personalizado: desarrollo

o

Confirmar Contraseña de Almacén de Claves de Identidad Personalizado: desarrollo

Protección: o

Almacén de Claves de Protección Personalizado: ruta a truststore.jks (D:\Oracle\Middleware\ssl\truststore.jks).

o

Tipo de Almacén de Claves de Protección Personalizado: jks

o

Contraseña de Almacén de Claves de Protección Personalizado: desarrollo

o

Confirmar Contraseña de Almacén de Claves de Protección Personalizado: desarrollo

Guardar cambios. El servidor está ahora listo para su uso. ·

Paso 3: Crear variable de entorno para weblogic. o

Establecer la variable JAVA_OPTIONS=-Dweblogic.security.SSL.allowSmallRSAExponent=true

19 de 41

Framework Atlas Servicio de Certificados

·

Paso 4: Importar el certificado cliente en el navegador.

Una vez realizados estos pasos, ya estamos listos para probar aplicaciones con SSL instaladas en el servidor Weblogic. El puerto por defecto SSL de Weblogic es el 7002. Los certificados de pruebas de la CA de Icm pueden descargarse en la ruta: http://desarrollo.madrid.org/certificados/descarga_de_certificados.htm.

20 de 41

Framework Atlas Servicio de Certificados

4. USO Una vez configurado el entorno para el uso del componente, puede procederse a su utilización. 4.1.

Obtención de datos de un certificado digital

Para obtener los datos de un certificado digital, se utiliza el método “getDatosCertificado”, que recibe el certificado X509 en base64 o en una instancia X509Certificate cuyos datos se quieren obtener. El método devuelve un objeto “atlas.core.seguridad.asf.domain.DatosCertificado”. En el siguiente ejemplo, se muestra un método de un ManagedBean de JSF que recoge los datos de un certificado para pintarlos en pantalla.

AsfBean.java /** * Obtiene los datos de un certificado para pintar su contenido * @return id de página */ public String obtenerDatosCertificado() { try { this.datosCertificado = this.asfService.getDatosCertificado(strCertificado); } catch (ServiceException e) { log.error("Error obteniendo datos de certificado.", e); AtlasFacesUtils.addErrorMessage(e.getMessage()); } return NavigationResults.SUCCESS; } /** * Obtención de los datos de certificado de login de usuario * @return DatosCertificado con los datos del certificado de login * @throws ServiceException si hubo algún problema */ private DatosCertificado getDatosCertificadoLogin() throws ServiceException { // Obtenemos el certificado de login del request X509Certificate[] chain = (X509Certificate[]) FacesContext. getCurrentInstance().getExternalContext().getRequestMap(). get("javax.servlet.request.X509Certificate"); if (chain == null || chain.length == 0) { log.warn("No se ha detectado certificado de autenticacion"); return null; } // Llamar al servicio de ASF para obtener los datos del certificado return this.asfService.getDatosCertificado(chain[0]); }

21 de 41

Framework Atlas Servicio de Certificados

4.2.

Comprobación de acceso de un certificado

En aplicaciones donde el acceso de los usuarios se realice mediante certificado, es posible restringir los tipos de certificado a un subconjunto de los admitidos por ICM. En ASF se realiza la configuración de certificados admitidos en una operación y posteriormente, en la aplicación se consulta si el certificado aportado por el usuario está dentro de este conjunto.

AsfService.java /** * Obtiene información de acceso del certificado pasado, sobre la operación de * verificacion en ASF * @param datosCert objeto con la información del certificado a comprobar * @return true si el certificado tiene acceso; false en caso contrario * @throws ServiceException si hubo problemas en la comprobacion */ boolean comprobarAcceso(DatosCertificado datosCert) throws ServiceException; /** * Obtiene información de acceso del certificado pasado, sobre la operación de * verificacion en ASF * @param cert objeto con la información del certificado a comprobar * @return true si el certificado tiene acceso; false en caso contrario * @throws ServiceException si hubo problemas en la comprobacion */ boolean comprobarAcceso(X509Certificate cert) throws ServiceException;

Atención Estos métodos solo podrán utilizarse en la creación de políticas de seguridad propias de la aplicación según la normativa de ATLAS.

A continuación se muestra un ejemplo de uso de esta funcionalidad:

Ejemplo de uso DatosCertificado datosCert = this.asfService.getDatosCertificadoDeAlias("2w"); boolean ok = this.asfService.comprobarAcceso(datosCert); log.info("El certificado '2w' tiene acceso a la aplicación: " + ok);

22 de 41

Framework Atlas Servicio de Certificados 4.3.

Cifrado y descifrado de datos con clave

Para el cifrado de datos con clave se utiliza el método ‘cifrar’. Su correspondiente método de descifrado es ‘descifrar’. A continuación se muestra un extracto de la interfaz de servicio:

AsfService.java /** * Cifrar texto con clave simétrica * @param texto texto a cifrar * @return mensaje cifrado * @throws ServiceException si hubo algún problema */ String cifrar(String texto) throws ServiceException; /** * Descifrar texto con clave simétrica * @param texto texto a descifrar * @return texto descifrado * @throws ServiceException si hubo algún problema */ String descifrar(String texto) throws ServiceException;

La clave de cifrado a usar se establece en el objeto de configuración del servicio ‘AsfConfiguration’, parámetro ‘cypherKey’. El siguiente ejemplo de uso muestra una operación de cifrado y descifrado obteniendo así el texto original.

Ejemplo de uso String texto = "Ejemplo de cifrado/descifrado"; log.info("Texto original: '" + texto + "'"); // Cifrar texto con clave String cifrado = null; try { cifrado = this.asfService.cifrar(texto); } catch (ServiceException e) { log.error("Error cifrando datos.", e); } log.info("Texto cifrado: '" + cifrado + "'"); // Descifrar texto con clave String descifrado = null; try { descifrado = this.asfService.descifrar(cifrado); } catch (ServiceException e) { log.error("Error descifrando datos.", e); } log.info("Texto descifrado: '" + descifrado + "'");

23 de 41

Framework Atlas Servicio de Certificados 4.4.

Cifrado y descifrado de datos con certificado

Para el cifrado de datos con clave se utiliza también el método ‘cifrar’, aunque los parámetros a pasar son diferentes de los del apartado anterior. Su correspondiente método de descifrado es ‘descifrar’. A continuación se muestra un extracto de la interfaz de servicio:

AsfService.java /** * Cifrar texto con certificado * @param texto texto a cifrar * @param aliasCertificado alias del certificado de firma en plataforma ASF * @return texto cifrado * @throws ServiceException si ha habido problemas en el firmado */ String cifrar(String texto, String aliasCertificado) throws ServiceException; /** * Descifrar texto con certificado * @param texto texto a descifrar * @param aliasCertificado alias del certificado de firma en plataforma ASF * @return texto descifrado * @throws ServiceException si ha habido problemas en el descifrado */ String descifrar(String texto, String aliasCertificado) throws ServiceException;

El certificado cuyo alias se pasa en los métodos de cifrado y descifrado deberá estar dado de alta en la plataforma ASF para el id de aplicación configurado. El siguiente ejemplo de uso muestra una operación de cifrado y descifrado obteniendo así el texto original. Ejemplo de uso String texto = "Texto de ejemplo"; String aliasCertificado = "2w"; // Certificado instalado en ASF log.info("Texto original: '" + texto + "'"); // Cifrar texto con certificado String cifrado = null; try { cifrado = this.asfService.cifrar(texto, aliasCertificado); } catch (ServiceException e) { log.error("Error cifrando datos.", e); } log.info("Texto cifrado: '" + cifrado + "'"); // Descifrar texto con certificado String descifrado = null; try { descifrado = this.asfService.descifrar(cifrado, aliasCertificado); } catch (ServiceException e) { log.error("Error descifrando datos.", e); } log.info("Texto descifrado: '" + descifrado + "'");

24 de 41

Framework Atlas Servicio de Certificados 4.5.

Firma electrónica en servidor

La firma electrónica de unos datos permite garantizar su integridad (que no ha sido modificada desde que se firmó) y el no repudio (no se puede negar haber firmado los datos); opcionalmente también permite garantizar que los datos fueron firmados en un momento determinado. Para realizar una firma electrónica en servidor, ser utiliza el método “firmar”, que recibe dos parámetros: un array de bytes con los datos a firmar y una cadena con el alias del certificado con el que se quieren firmar (tiene que estar definido previamente en ASF para la aplicación). El método devuelve una cadena con la firma codificada en base 64. Este tipo de firma sirve para textos y datos binarios.

AsfService.java /** * Realiza una firma digital de los datos pasados con el certificado identificado * por el alias * @param datos datos para realizar la firma digital * @param alias alias del certificado en la plataforma ASF * @return firma digital * @throws ServiceException si hubo algún problema */ String firmar(byte[] datos, String alias) throws ServiceException;

A continuación se muestra un ejemplo de uso de firmado con certificado:

Ejemplo de uso String texto = "Texto de ejemplo"; String aliasCertificado = "1r"; // Tiene que estar dado de alta en ASF log.info("Texto original: '" + texto + "'"); // Firmado String firma = null; try { firma = this.asfService.firmar(texto.getBytes(), aliasCertificado); } catch (ServiceException e) { log.error("Error realizando firma.", e); } log.info("Firma: '" + firma + "'");

4.6.

Firma de Pdf

La firma PDF en servidor puede realizarse llamando al siguiente método del servicio:

AsfService.java

25 de 41

Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros Pdf. * @param alias alias del certificado de firma en la plataforma ASF * @param inPdf documento PDF a firmar * @return documento PDF firmado * @throws ServiceException si hubo algún problema */ byte[] firmarPdf(String alias, byte[] inPdf) throws ServiceException;

Como parámetros han de pasarse el alias del certificado en la plataforma ASF y el contenido del fichero PDF a firmar. El resultado será el contenido del fichero PDF ya firmado. Para ejecutar esta operación debe haberse solicitado previamente el alta de la aplicación en ASF, así como de una operación de firma y un certificado asociado a esta operación (cuyo alias será el que habrá que pasar al método). A continuación se muestra un ejemplo de uso de este método:

Ejemplo de uso // leer pdf de pruebas de disco File f = new File("pdfSignTest.pdf"); byte[] pdf = ... Realizar lectura de fichero ... // firmar pdf byte[] signed = this.asfService.firmarPdf("2w", pdf); // Grabar fichero firmado File fout = new File("pdf_signed.pdf"); out = new FileOutputStream(fout); out.write(signed); out.close();

Se pueden personalizar algunos aspectos de la firma del fichero PDF a través de la clase atlas.core.seguridad.asf. domain.PdfSignAppearance. Los valores personalizables son: ·

Coordenadas x,y de la caja de firma.

·

Altura y anchura de la caja de firma.

·

Página donde se ubicará la parte visible de la firma.

·

Visibilidad de la caja de firma.

A continuación se muestra un ejemplo donde la caja de firma se ubicará en la página 3 del documento pdf:

AsfService.java

26 de 41

Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros Pdf. * @param alias alias del certificado de firma en la plataforma ASF * @param inPdf documento PDF a firmar * @param usarTsa usar sello de tiempo? * @param apariencia información de la visualización de la firma * @return documento PDF firmado * @throws ServiceException si hubo algún problema */ byte[] firmarPdf(String alias, byte[] inPdf, boolean usarTsa, PdfSignAppearance apariencia) throws ServiceException;

Este método permite también incluir un sello de tiempo (usarTsa) en la firma Pdf.

Ejemplo de uso // leer pdf de pruebas de disco File f = new File("pdfSignTest.pdf"); byte[] pdf = ... Realizar lectura de fichero ... // firmar pdf pagina 3 PdfSignAppearance apariencia = new PdfSignAppearance(); apariencia.setPage(3); signed = this.asfService.firmarPdf("2w", pdf, false, apariencia); // Grabar fichero firmado File fout = new File("pdf_signed.pdf"); out = new FileOutputStream(fout); out.write(signed); out.close();

4.7.

Firma de ficheros XML

La firma XML se realiza en formato XMLDsig. En el siguiente apartado se mostrará la firma XAdES (también para ficheros XML). En la firma XMLDsig básica se ejecuta una firma de tipo Enveloping en el documento xml completo. En este tipo de firma, el tag raíz del documento XML será el tag de firma, y el documento original quedará englobado dentro de la estructura de la firma.

AsfService.java

27 de 41

Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros XML en formato XMLDsig enveloping * (el tag de firma es la raiz del Xml original que queda embebido dentro). * La firma digital se realiza sobre todo el documento Xml de entrada * (se firma el tag raiz). * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXml(String alias, byte[] xml) throws ServiceException;

Solo será necesario indicar el alias del certificado en la plataforma ASF y el documento XML a firmar.

Ejemplo de uso String xml = "" + "Test de firmado XML"; // Firma enveloping de todo el XML String envelopingFull = this.asfService.firmarXml("2w", xml.getBytes());

En el siguiente ejemplo, la firma seguirá siendo de tipo Enveloping, pero se indica el Id del tag a firmar. No se firmará el documento completo, solo el bloque del tag cuyo Id se ha indicado.

AsfService.java /** * Realiza una firma digital para ficheros XML en formato XMLDsig enveloping * (el tag de firma es la raiz del Xml original que queda embebido dentro). * La firma digital se realiza sobre el tag cuyo ID se indica en el parámetro * idToSign. Es obligatorio que el tag a firmar tenga un atributo de nombre * 'id' y un valor que identifique univocamente al nodo dentro del documento Xml. * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @param idToSign id del tag a firmar. Ej.: "idBody" * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXml(String alias, byte[] xml, String idToSign) throws ServiceException;

Ejemplo de uso String xml = "" + "Test de firmado XML"; // Firma enveloping de parte del XML String envelopingPart = this.asfService.firmarXml("2w", xml.getBytes(), "idBody");

28 de 41

Framework Atlas Servicio de Certificados

En este ejemplo, en lugar de firmarse el tag como en el caso anterior, solo se firmará el tag . En el siguiente ejemplo, la firma será de tipo Enveloped, es decir, la estructura del documento original no se alterará. El tag de firma se insertará como hijo del tag indicado.

AsfService.java /** * Realiza una firma digital para ficheros XML en formato XMLDsig. Si se indica * el parámetro insertSignTagName, la firma se realizará en formato * 'enveloped' (el tag de firma se inserta como hijo del nodo cuyo nombre * se ha especificado en el parámetro); en caso contrario, la firma será de * tipo enveloping. * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @param idToSign id del tag a firmar. Ej.: "idBody" * @param insertSignTagName nombre del tag debajo del cual colocar la firma. * Ej.: "head" * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXml(String alias, byte[] xml, String idToSign, String insertSignTagName) throws ServiceException; Ejemplo de uso String xml = "" + "Test de firmado XML"; // Firma enveloped String enveloped = this.asfService.firmarXml("2w", xml.getBytes(), "idBody", "head");

29 de 41

Framework Atlas Servicio de Certificados

En este ejemplo, el tag raíz del documento XML seguirá siendo . Se firmará el tag y el elemento de la firma se insertará como hijo del tag .

4.8.

Firma XAdES

La firma XAdES es otro formato de firma XML. Es una extensión de la firma XMLDsig y presenta una estructura de tipo Enveloped. Existen tres tipo de firma XAdES soportada por ATLAS: ·

XAdES BES: firma de tipo básico, la más simple de todas.

·

XAdES T: firma básica con sello de tiempo.

·

XAdES XL: añade los propios certificados y listas de revocación a los documentos firmados para permitir la verificación en el futuro incluso si las fuentes originales (de consulta de certificados o de las listas de revocación) no estuvieran ya disponibles.

Los servicios disponibles para esta firma son los siguientes:

AsfService.java /** * Realiza una firma digital para ficheros XML en formato XAdES (Basico). La firma * digital se realiza sobre todo el documento Xml de entrada (se firma el tag raiz). * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXadesBes(String alias, byte[] xml) throws ServiceException;

AsfService.java /** * Realiza una firma digital para ficheros XML en formato XAdES-T * (Basico + timestamp). La firma digital se realiza sobre todo el documento Xml) * de entrada (se firma el tag raíz. * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXadesT(String alias, byte[] xml) throws ServiceException;

AsfService.java

30 de 41

Framework Atlas Servicio de Certificados /** * Realiza una firma digital para ficheros XML en formato XAdES-XL * (Basico + extended long-term). La * firma digital se realiza sobre todo el documento Xml de entrada (se firma el tag * raiz). * @param alias alias del certificado en la plataforma ASF * @param xml fichero XML a firmar * @return xml firmado * @throws ServiceException si hubo algún problema */ String firmarXadesXL(String alias, byte[] xml) throws ServiceException;

A continuación un ejemplo de uso:

Ejemplo de uso String xml = "" + "Test de firmado XML"; log.info("Ejecutando firma..."); String xmlFirmado = this.asfService.firmarXadesBes("2w", xml.getBytes());

4.9.

Validación de firmas electrónicas

La validación de la firma electrónica de unos datos permite comprobar su integridad (que no ha sido modificada desde que se firmó) y el no repudio (no se puede negar haber firmado los datos); opcionalmente también permite garantizar que los datos fueron firmados en un momento determinado. Para validar una firma electrónica, ser utiliza el método “validar”, que recibe dos parámetros: un array de bytes con los datos originales y una cadena con la firma codificada en base 64. El método devuelve una enumeración de tipo “SignatureStatus”.

AsfService.java /** * Realiza una validación de la firma digital pasada respecto al texto * @param signedData datos de firma digital * @param firma texto original con el que se ha realizado la firma * @return SignatureEstatus con el estado de la firma * @throws ServiceException si hubo algún problema */ SignatureStatus validarFirma(byte[] signedData, String firma) throws ServiceException;

31 de 41

Framework Atlas Servicio de Certificados

Ejemplo de uso // Validación de firma String texto = "Texto de ejemplo"; String firma = "[...]"; // firma del texto en formato Base64 try { // La firma será correcta, el resultado será SignatureStatus.OK SignatureStatus estado = this.asfService.validarFirma(texto.getBytes(), firma); log.info("Estado para texto: " + estado); // El texto firmado ha sido modificado (toUpperCase()), el resultado será // SignatureStatus.NOT_VALID estado = this.asfService.validarFirma(texto.toUpperCase().getBytes(), firma); log.info("Estado para texto modificado: " + estado); } catch (ServiceException e) { log.error("Error verificando firma.", e); }

4.10.

Verificación de un certificado digital

La verificación de un certificado digital permite comprobar que es válido (que no está caducado, que no ha sido revocado, que se confía en su emisor, que no ha sido modificado desde su emisión…). Para verificar un certificado electrónico, ser utiliza el método “getEstadoCertificado”. Este método acepta instancias de X509Certificate y representaciones en base64 de un certificado (formato PEM). El resultado de este método es un objeto de tipo ‘CertificateStatus’.

Test de ejemplo de comprobación de estado de certificado

32 de 41

Framework Atlas Servicio de Certificados String aliasRevocado = "4g"; String aliasCorrecto = "2w"; String pemCertificate = // certificado '2w' "-----BEGIN CERTIFICATE-----\n" + "MIID1jCCAz+gAwIBAgIBcDANBgkqhkiG9w0BAQUFADCBnzELMAkGA1UEBhMCRVMx\n" + "[...]" + "e2tbPsZ7/W7hxNFdCI0EPXdEQTSYS6MoVfY=\n" + "-----END CERTIFICATE-----\n"; try { CertificateStatus status = this.asfService.getEstadoCertificado( getCertificate(aliasRevocado)); assertEquals(status, CertificateStatus.REVOKED); status = this.asfService.getEstadoCertificado(getCertificate(aliasCorrecto)); assertEquals(status, CertificateStatus.OK); // Certificado en formato PEM status = this.asfService.getEstadoCertificado(pemCertificate); assertEquals(status, CertificateStatus.OK); } catch (ServiceException e) { fail("Error de certificado: " + e.getMessage()); }

Aunque con ‘getEstadoCertificado’ se puede comprobar si el certificado ha sido revocado, se ha creado un método específico para hacer esta comprobación. El método es ‘comprobarRevocacion’ que devuelve un booleano indicando si el certificado está revocado (true) o no (false). Este método, también admite el certificado a comprobar en base64 o en X509Certificate. 4.11.

Verificación de firma Pdf

Para realizar una verificación de un documento pdf firmado, se usará el siguiente método:

AsfService.java /** * Realiza una validación de la firma digital de un documento PDF * @param inPdf datos del pdf firmado a validar * @return SignatureEstatus con el estado de la firma * @throws ServiceException si hubo algún problema */ SignatureStatus validarFirmaPdf(byte[] inPdf) throws ServiceException;

Ejemplo de uso

33 de 41

Framework Atlas Servicio de Certificados // leer pdf de pruebas de disco File f = new File("pdfSignTest.pdf"); byte[] pdf = ... Realizar lectura de fichero ... // firmar pdf pagina 3 PdfSignAppearance apariencia = new PdfSignAppearance(); apariencia.setPage(3); signed = this.asfService.firmarPdf("2w", pdf, false, apariencia); // Validar firma de PDF SignatureStatus status = this.asfService.validarFirmaPdf(signed); log.info("Resultado de la verificacion: " + status);

4.12.

Validación de firma XMLDsig

Para realizar la validación de un documento XML firmado, se usará el siguiente método:

AsfService.java /** * Realiza una validación de la firma digital del documento XML pasado * @param signedXml datos del xml firmado * @return SignatureEstatus con el estado de la firma * @throws ServiceException si hubo algún problema */ SignatureStatus validarFirmaXml(byte[] signedXml) throws ServiceException;

Ejemplo de uso String xml = "" + "Test de firmado XML"; // Firma enveloped String enveloped = this.asfService.firmarXml("2w", xml.getBytes(), "idBody", "head"); // Validar firma SignatureStatus status = this.asfService.validarFirmaXml(enveloped.getBytes()); log.info("Firma OK: " + (SignatureStatus.OK.getId() == status.getId()));

4.13.

Validación de firma XAdES

Para realizar la validación de un documento XML firmado con firma XAdES, se usará el siguiente método:

AsfService.java

34 de 41

Framework Atlas Servicio de Certificados /** * Realiza una validación de la firma digital XAdES del documento XML pasado * @param signedXml datos del xml firmado * @return SignatureEstatus con el estado de la firma * @throws ServiceException si hubo algún problema */ SignatureStatus validarFirmaXades(byte[] signedXml) throws ServiceException;

Ejemplo de uso String xml = "" + "Test de firmado XML"; log.info("Ejecutando firma..."); String xmlFirmado = this.asfService.firmarXadesBes("2w", xml.getBytes()); // Validar firma log.info("Ejecutando validacion..."); SignatureStatus status = this.asfService.validarFirmaXades(xmlFirmado.getBytes()); log.info("Resultado de la validacion: " + status);

4.14.

Extracción de información de firma de un documento XML

Para poder extraer información de un documento XML firmado (y de documentos XML sin firmar) se recomienda utilizar la tecnología XPath. A continuación se muestran métodos de utilidad de la librería de seguridad de ATLAS que facilitan la tarea:

atlas.core.seguridad.util.XmlUtil /** * Convierte un XML en formato String a W3C Document * @param xml String con el documento XML a convertir * @return objeto Document con el XML en formato W3C */ public static Document toDomDocument(String xml) throws ServiceException; /** * Convierte un XML en formato W3C Document a String * @param doc documento en formato W3C * @return String representando al documento XML */ public static String domDocumentToString(Document doc) throws ServiceException;

35 de 41

Framework Atlas Servicio de Certificados /** * Obtiene un motor de XPath precargado con los Namespaces por defecto: *
    *
  • "ds": "http://www.w3.org/2000/09/xmldsig#"
  • *
  • "soapenv": "http://schemas.xmlsoap.org/soap/envelope/"
  • *
  • "xenc": "http://www.w3.org/2001/04/xmlenc#"
  • *
  • "wsu": "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsswssecurity-utility-1.0.xsd"
  • *
  • "wsse": "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsswssecurity-secext-1.0.xsd"
  • *
  • "xades": "http://uri.etsi.org/01903/v1.2.2#"
  • *
* @return motor XPath preparado para evaluar expresiones */ public static XPath getXpath(); /** * Obtiene un motor de XPath cargado con los Namespaces por defecto ademas * de los pasados como parametro * @param namespaces lista de namespaces a incluir * @return motor XPath preparado para evaluar expresiones */ public static XPath getXPath(Map namespaces); /** * Evalua una expresion XPath y devuelve el resultado * @param expression String con la expresion XPath * @param doc documento XML sobre el que aplicar la expresion XPath * @return String con el resultado de la consulta * @throws ServiceException si hubo algun problema */ public static String evaluateXpathToString(String expression, Document doc) throws ServiceException; /** * Evalua una expresion XPath y devuelve el resultado * @param expression String con la expresion XPath * @param doc documento XML sobre el que aplicar la expresion XPath * @return lista de nodos seleccionados por la consulta * @throws ServiceException si hubo algun problema */ public static NodeList evaluateXpathToNodeList(String expression, Document doc) throws ServiceException; /** * Evalua una expresion XPath y devuelve el resultado * @param expression String con la expresion XPath * @param doc documento XML sobre el que aplicar la expresion XPath * @return nodo seleccionado por la consulta * @throws ServiceException si hubo algun problema */ public static Node evaluateXpathToNode(String expression, Document doc) throws ServiceException;

Los métodos toDomDocument y domDocumentToString sirven para transformer documentos XML de String a un arbol de nodos y viceversa. Los métodos de firma y validación de XML trabajan con ficheros XML en formato String y el motor de consultas XPath trabaja con árboles de nodos W3C.

36 de 41

Framework Atlas Servicio de Certificados

Los métodos getXPath permiten obtener un motor de consultas XML ya configurado con los Namespaces más comunes, pudiendo especificarse otros no configurados por defecto. Los métodos evaluateXpathTo…, permiten obtener el resultado de una consulta XPath. Ha de conocerse el tipo de resultado que devolverá la consulta y seleccionar el método apropiado. A continuación se muestra un ejemplo de uso:

Ejemplo de uso String xml = "" + "Test de firmado XML"; log.info("Ejecutando firma..."); String xmlFirmado = this.asfService.firmarXadesBes("2w", xml.getBytes()); Document doc = XmlUtil.toDomDocument(xmlFirmado); log.info("Nodo de firma: " + XmlUtil.evaluateXpathToNode("/root/ds:Signature", doc)); log.info("Valor firma enveloped: " + XmlUtil.evaluateXpathToString("//ds:SignatureValue/text()", doc)); log.info("Fecha firma XAdES: " + XmlUtil.evaluateXpathToString("//xades:SigningTime/text()", doc)); log.info("Certificado de firma : " + XmlUtil.evaluateXpathToString("//ds:X509Certificate/text()", doc));

4.15.

Indicar operación no estándar de ASF

Hasta ahora se han visto ejemplos de distintas funcionalidades de servicios de ASF. Todas estas funcionalidades se realizan sobre nombres de operación estándar en la platarforma de firma. Estas son:

Operación ASF

Nombre Estándar

Validación

VALIDACION

Firma digital

FIRMA_SIMPLE

Cifrado

CIFRADO

Descifrado

DESCIFRADO

Descripción Validación de firmas digitales. Firmado digital de datos (binarios, pdf, xml, texto) Cifrado de datos (clave, certificado) Descifrado de datos (clave, certificado)

37 de 41

Framework Atlas Servicio de Certificados

En ocasiones, es necesario crear distintas configuraciones para una operación en una aplicación, por ejemplo:

Nombre Operacion

Operación ASF

Descripción

FIRMA_SIMPLE

Firma digital

Configuración estándar de firma

FIRMA_REGISTRO

Firma digital

Configuración específica de firma

El nombre de operación es comunicado por el equipo de Arquitectura de Aplicaciones cuando se solicita el alta en ASF. A continuación tenemos dos ejemplos de llamada para ejecutar las operaciones de la tabla anterior.

Ejemplo de firmado de texto sobre operación estándar (FIRMA_SIMPLE) String texto = "Texto de ejemplo"; String aliasCertificado = "1r"; // Tiene que estar dado de alta en ASF log.info("Texto original: '" + texto + "'"); // Firmado String firma = null; try { firma = this.asfService.firmar(texto.getBytes(), aliasCertificado); } catch (ServiceException e) { log.error("Error realizando firma.", e); } log.info("Firma: '" + firma + "'");

Vemos que este ejemplo es idéntico a los enunciados anteriormente. Si la operación a ejecutar en ASF tiene el nombre estándar, no es necesario indicarlo ni realizar alguna otra acción.

Atención

En la mayoría de casos no es necesario indicar la operación en ASF.

Ejemplo de firmado de texto sobre operación no estándar (FIRMA_REGISTRO)

38 de 41

Framework Atlas Servicio de Certificados String xml = "Texto de ejemplo"; String aliasCertificado = "1r"; // Tiene que estar dado de alta en ASF log.info("Texto original: '" + texto + "'"); // Firmado String firma = null; try { AsfOperation.setOperationForFirma("FIRMA_REGISTRO"); firma = this.asfService.firmar(texto.getBytes(), aliasCertificado); } catch (ServiceException e) { log.error("Error realizando firma.", e); } log.info("Firma: '" + firma + "'");

Como vemos en el ejemplo, solo es necesario añadir la línea marcada en amarillo antes de ejecutar la operación en ASF. Ha de tenerse en cuenta que especificar un ID de operación distinto al estándar solo sirve para la ejecución de la siguiente operación de ese tipo. En sucesivas llamadas se utilizará el ID estándar de operación, a menos que se indique de nuevo el ID específico antes de la ejecución de otra operación.

Atención Se recomienda indicar el ID de operación inmediatamente antes de la llamada a AsfService, tal y como se muestra en el ejemplo anterior.

A continuación se muestra una tabla con los métodos disponibles para indicar IDs de operación no estándar en ASF.

Operación ASF Verificación

AsfOperation.setOperationForVerificacion(String)

Firma digital

AsfOperation.setOperationForFirma(String)

Cifrado Descifrado

4.16.

Código

AsfOperation.setOperationForCifrado(String) AsfOperation.setOperationForDescifrado(String)

Aplicación de ejemplo

39 de 41

Framework Atlas Servicio de Certificados

Para facilitar en lo posible el uso de la plataforma ASF se ha creado una aplicación de demostración de uso ejemplificando las comunicaciones con el servicio de la librería de seguridad. El acceso al código fuente de esta aplicación está disponible para su estudio en el Portal de Documentación. La estructura de la aplicación se ha simplificado todo lo posible con el objetivo de ayudar a aportar claridad a los ejemplos de uso de la plataforma Asf. Todos los ejemplos de código de este manual han sido tomados de esta aplicación.

40 de 41

Framework Atlas Servicio de Certificados

5. ENLACES RELACIONADOS Producto

URL

Spring

http://www.springframework.org/

ASF

http://gestiona.madrid.org/soja_int/html/web/ASF.htm

Certificados digitales

http://java.sun.com/j2se/1.5.0/docs/guide/security/cert3.html

Demostración de ASF

http://desarrollo.madrid.org/atlasfrm_aplicacion_asf_web

Aplicación de ejemplo

http://www.madrid.org/arquitecturasw/attachments/063_atlasfrmaplicacion-asf.zip

41 de 41

Get in touch

Social

© Copyright 2013 - 2025 MYDOKUMENT.COM - All rights reserved.