Seminario Técnico de Instalación de @firma 5 con las extensiones de compatibilidad

Índice

1. Introducción 2. Requisitos previos 3. CD de Instalación de @firma v5. 4. Procedimiento de instalación del núcleo de @firma v5 5. Procedimiento de instalación de la extensión de @firma v5 6. Turno de ruegos y preguntas.

2

1. Introducción

• Funcionalidades principales. • Versiones @firma instaladas. • Arquitectura física y lógica de @firmav5 en CJAP. • Comparativa @firmav5 vs v4 • Versiones @firmav5

3

• Funcionalidades principales Es una plataforma electrónica que utiliza certificados digitales X.509 v3 según las principales recomendaciones y estándares internacionales (RFC 2360, 3280, ETSI TS 101 733 v1.5.1, etc.) para la generación y validación de firmas digitales en múltiples formatos (CMS, XADES, XMLDSignature…), así como la validación avanzada de certificados digitales para garantizar en todo momento la integridad y validez de los mismos en el momento de la realización de una firma.

• Versiones de @Firma – V4.x (C. Medio Ambiente, C. Educación, etc.) – V5.x (C. Justicia y Administración Pública, C. Economía y Hacienda, Consejería de Gobernación, C. Agricultura y Pesca, C. Innovación Ciencia y Empresa, Ministerio de Administraciones Públicas). 4

•

Arquitectura física y lógica de @firma v5 en CJAP. ¾ Arquitectura Software.

5

¾ Arquitectura Hardware. Cluster FortiNet

BALANCEADORES HARDWARE (Activo-Activo)

GRANJA DE SERVIDORES DE APLICACIONES

Cluster

NODO 2

NODO 1

ORACLE 10G REL. 2 Oracle Real Application Custer (RAC)

SAN

6

¾ Arquitectura Hardware en la Junta de Andalucía. Servidor HP DL380 G3 2 Micro Xeon 3.60 Ghz / 512 KB caché (32 bits) 4 GB RAM Suse Enterprise Server 10 2 Interfaces de red

Firma Web + Servidor SSL de Autenticación / Reautenciación

Servidor SUN Fire 15k Solaris 9 (64 bits) Oracle 9.2.0.7(64 bits)

Peticiones SOAP, HTTP Y HTTPs

ServidorBD

Cluster de Balanceadores hardware para peticiones http/s

Cluster de 2 balanceadores Hardware (Web Server DirectorPro) Configuración del cluster: Activo/Pasivo

Nodo 1

Servidor LDAP Nodo 3

Firma Web + Servidor SSL de Autenticación / Reautenciación Servidor HP DL380 G3 2 Micro Xeon 3.60 Ghz / 512 KB caché (32 bits) 4 GB RAM Suse Enterprise Server 10 2 Interfaces de red

7

PSCs HP Proliant DL360 G5 Intel(R) Xeon(R) Quad Core @ 2.33GHz 8GB Ram Suse Enterprise Server 10 + SP2 de 64 bits

¾ Arquitectura Hardware Demo.

8

• Comparativa @firma v5 vs v4. ¾Mejoras en @firma v5.x ƒ Módulo de Gestión de PSCs. – Alta de PSCs y tipos de certificados de forma sencilla e intuitiva. – Definición de mapeos online. – Discriminación de tipos de certificados configurable visualmente. ƒ Módulo de Validación. – Validación conforme RFC 3280 (multinivel). – Servidor OCSP. – Cachés de estado de certificados a dos niveles. – Definición de Políticas de Validación. ƒ Módulo de Firma. – Nuevos formatos de Firma (CMS, XMLDSignature, XADES, etc.). – Custodia de elementos de no repudio. 9

•

Comparativa @firma v5 vs v4. ¾ Mejoras en @firma v5.x (cont) ƒ Módulo de Firma – Capacidad de integración con HSMs (custodia y operaciones) – Posibilidad de firmar con EDNI y certificados de 2048 bits. ƒ Generales – Firma de peticiones y respuestas del servicio (WS-Security) – Herramientas gráficas de usuario accesibles vía web

¾ Novedades en @firma v5.x ƒ Módulo de Gestión y Registro de Eventos – Auditoría de transacciones – Generación de estadísticas e informes – Gestión y monitorización de alarmas en tiempo real. ƒ Módulo de Validación – Importación y exportación de políticas de validación. 10

•

Versiones de @Firmav5 ¾ @firmav5.0.1_05 (versión actualmente entregable) ¾ @firmav5.1 ¾ @firmav5.2 ¾ @firmav5.3 (en desarrollo en el MAP).

11

Índice

1.Introducción 2. Requisitos previos 3. CD de Instalación de @firma v5. 4. Procedimiento de instalación del núcleo de @firma v5 5. Procedimiento de instalación de la extensión de @firma v5 6. Turno de ruegos y preguntas.

12

Requisitos previos • Requisitos hardware: configuración y versiones utilizadas. ¾ Arquitecturas recomendadas: - Intel (Xeon Dual Core o Quad Core)

- Sparc (no recomendable ultraSparc T1) (Se recomiendan ambas a 64 bits) ¾ Servidores necesarios ™ Plataforma @Firma v5 Nativa

Entorno Desarrollo:

Entorno Producción Un servidor núcleo1 Balanceador

Un servidor núcleo2

13

™ Plataforma @Firma v5 Nativa + Extensiones Entorno Desarrollo:

Entorno Producción

14

• Requisitos software: ¾ SSOO compatibles:

Suse Enterprise Server 9 o 10 (recomendado de 64 bits) Red Hat Enterprise Linux 4 o 5 (recomendado de 64 bits) Solaris 9 o 10 (recomendado de 64 bits) ¾ JBoss:

El entregado en el cd de instalación, v4.0.2 ¾ Cliente Oracle:

Versiones 9i (9.2.0.7), 10G (10.201) recomendado de 64 bits ¾Java: Versiones jdk1.4.2_10 ó jdk1.5.0_15 recomendado de 64 bits

15

.

• Requisitos de configuración: ¾ Es necesario para el entorno de producción, un balanceador que distribuya las peticiones entre los nodos que componen la plataforma, para asegurar el rendimiento, la escalabilidad, y el servicio continuado de la plataforma. - La publicación de la plataforma en RCJA (caso de organismos que estén dentro de RCJA), se hará siguiendo el estándar https con autenticación cliente (https://wsXYZ.juntadeandalucia.es) ¾ Certificados de servidor: Son necesarios dos certificados de servidor: a) Uno para asegurar por https la plataforma, para lo que disponemos de un certificado wildcard para el dominio juntadeandalucia.es que protege a todos sus subdominos, de gran utilidad por ejemplo para todos los wsXYZ.juntadeandalucia.es. Aquellas Consejerías y Organismos de la Junta de Andalucía que deseen utilizarlo pueden contactar con: [email protected].

16

b) Y otro certificado, para firmar todas las operaciones internas de la Plataforma (firma de servidor, firma de peticiones, etc), para lo que se deben seguir las siguientes instrucciones de la web técnica de administración electrónica: Solicitud de certificados de servidor FNTM-RCM https://ws024.juntadeandalucia.es/pluton/ofivirtual/guias/componentes.jsp

17

•

Reautenticación web. ¿Qué es? Módulo de Reautenticación – En una misma sesión web, el protocolo SSL sólo realiza el intercambio de certificados una sola vez, con lo cual en el caso anterior el navegador sólo pide el certificado anterior una única vez y no “n veces” como sería aconsejable. Las aplicaciones suelen comprobar que un usuario no accede más de una vez al servidor de @firma en una misma sesión web, para evitar que si un usuario deja abierta la ventana del navegador, otra persona pueda utilizar “fraudulentamente” el certificado del usuario. – Para solucionar este inconveniente una solución podría ser la existencia de varios Servidores SSL para autenticación y que la aplicación llamara a uno distinto cada vez que necesitara la autenticación. Esta solución ha sido adoptada por la AEAT (Agencia Tributaria). – La solución aportada en la nueva versión de @firma es la instalación de un nuevo componente de reautenticación, que permite simular la existencia de varios “servidores SSL virtuales” configurados a través de un certificado wildcard. CERTIFICADOS WILDCARD (comodín) Un certificado Wildcard Digital permite ser utilizado conjuntamente con cualquier URL en el formato https://*.dominio.es sin generar una alerta de incompatibilidad con el nombre de dominio.

18

• Reautenticación web. Solicitud y configuración Solicitud a RCJA 1) Solicitud alias necesarios para el correcto funcionamiento de la fachada de reautenticación web. 2) Serán necesarios 3 alias apuntando a la ip de la fachada de reautenticación (10.A.B.C - wsXYZ.juntadeandalucia.es) siguiendo el estándar de https con autenticación cliente consecutivas (wsXYZ-1.juntadeandalucia.es, wsXYZ2.juntadeandalucia y wsXYZ-3.juntadeandalucia.es) para el módulo de reautenticación de la Plataforma @Firma v5 del organismo X. Es decir, la petición quedaría de la siguiente manera siguiendo el ejemplo, contando la Plataforma con un total de 4 reautenticaciones en todas sus aplicaciones integradas con dicho módulo:

10.A.B.C - wsXYZ.juntadeandalucia.es Alias 10.A.B.C – wsXYZ-1.juntadeandalucia.es 10.A.B.C – wsXYZ-2.juntadeandalucia.es 10.A.B.C – wsXYZ-3.juntadeandalucia.es Configuración La configuración de este servicio, se detalla en el manual “[email protected]” de instalación y despliegue de la fachada de autenticación/reautenticación. 19

•Requisitos de instalación. Previo a la instalación del Servidor de Firma es necesario realizar los siguientes pasos 1) Instalar el jdk 1.4.2_10 para solaris (la proporcionada en el CD) / jdk1.5.0_15 para Intel proporcionado en la siguiente url (de la página oficial de SUN): http://java.sun.com/products/archive/ 2) Instalar el Cliente Oracle en la máquina Servidor de Firma. 3) El sistema operativo debe tener instalado el paquete de utilidad “dos2unix”. 4) Tener instalada la herramienta gratuita Ant (http://ant.apache.org/) e incluido en el classpath el directorio de ejecutables de dicha herramienta.

20

5) Definir las variables de entorno apropiadas JAVA_HOME= PATH=${PATH}:$JAVA_HOME/bin CLASSPATH=${CLASSPATH}:${JAVA_HOME}/bin --------------------------------------ORA_CLIENT=/instantclient_10_2 TNS_ADMIN=/network/admin LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$ORA_CLIENT CLASSPATH=$CLASSPATH:$ORA_CLIENT/classes12.jar:$ORA_CLIENT/oj dbc14.jar PATH=$PATH:$ORA_CLIENT

21

6) IMPORTANTE. Librerías del proveedor criptográfico IAIK. Es necesario obtener los siguientes componentes de IAIK: ¾ JCE v3.14 ¾ CMS ¾ TSP ¾ XSEC ¾ XADES ¾ PKCS11Provider (HSM) Para los organismos pertenecientes a la Junta de Andalucía, se da la opción de descargar estas librerías mediante correo al área técnica del plutón. Para los organisnos no pertenecientes a la Junta de Andalucía: http://jce.iaik.tugraz.at/ A continuación se detalla la estructura del software obtenido y los directorios en los que habrá que copiar dicho software.

22

Copiar en:

Iaik_cms.jar Iiak_ldap.jar Iiak_pki_config.jar iaikPkcs11Provider.jar

Iaik_pki.jar Iaik_tsp.jar

Copiar en:

IXSIL.jar iaikPkcs11Wrapper.jar (En caso de instalar @firma v5.2)

Iaik_cms.jar

Copiar en:

Iaik.tsp.jar

Copiar en:

iaik_ssl.jar

23

Índice

1.Introducción 2. Requisitos previos 3. CD de Instalación de @firma v5. 4. Procedimiento de instalación del núcleo de @firma v5 5. Procedimiento de instalación de la extensión de @firma v5 6. Turno de ruegos y preguntas.

24

CD de Instalación de @firma v5 •

Componentes: núcleos, extensión, fachada de autenticación web y fachada de firma web.

@firma

CD´s Instalación

@firma5.2

@firma Ext 1.0.3

Núcleo @Firma5.2

Servidor JBOSS

Extensió[email protected]

Actualización Núcleo @Firma

Cliente TSA

Procesado de Log

Servidor Aut./Reaut

Fachada FirmaWeb

25

•Solicitud del cd de instalación Pueden solicitar el sotfware de @firma5 todas aquellos Organismos que han firmado el Convenio para la Cesión de Software. ¾ https://ws024.juntadeandalucia.es/pluton/adminelec/ArTec/afirma.jsp?zon a=9&zona2=11&&#general

También se puede obtener el CD de desarrollo.

26

¾ Solicitud mediante correo electrónico al área técnica de soporte de Administración electrónica: [email protected] Indicándose los siguientes datos: Asunto: @FIRMA v5 \ Extensión@FIRMA5 Datos del solicitante: Nombre, apellidos, teléfono, e-mail. Nombre de la empresa. Consejería para la que se desarrolla y responsable de la Consejería. Responsable de la aplicación: Nombre, apellidos, teléfono, e-mail. NIF de la persona encargada de la descarga del CD. Nota: Justificar motivo en caso de descarga de extensiones.

27

• Examinado los cd`s de instalación del núcleo y la extensión.

28

Índice

1.Introducción 2. Requisitos previos 3. CD de Instalación de @firma v5. 4. Procedimiento de instalación del núcleo de @firma v5 5. Procedimiento de instalación de la extensión de @firma v5 6. Turno de ruegos y preguntas.

29

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 30

Procedimiento de instalación del núcleo de @firma5 1. Creación del esquema de base de datos. ¾Existen tres esquemas distintos de Base de Datos: ™ Esquema de CUSTODIA:

CUSTODIA_TABLE SPACE (DEMO) 128 MB CUSTODIA_TABLE SPACE (PRODUC.) 100 G

31

™ Esquema de AUDITORÍA:

AUDITORÍA_TABLE SPACE (DEMO) 128 MB AUDITORÍA_TABLE SPACE (PRODUC.) 1G

32

™ Esquema de VALIDACIÓN:

VALIDACIÓN_TABLE SPACE (DEMO) 128 MB VALIDACIÓN_TABLE SPACE (PRODUC.) 1.25G

33

¾

El proceso de creación de estos esquemas consiste únicamente en ejecutar los script, en el Sistema de Gestión de Base de Datos en el orden establecido en el archivo “orden.txt” y con el usuario indicado en dicho archivo.

¾

Se recomienda que la ejecución de estos scripts la realice personal técnico cualificado en Base de Datos, preferiblemente un DBA.

34

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 35

2. Despliegue del servidor de aplicaciones en los núcleos. 1) Copiar el directorio Instalación del CD en el disco duro del sistema. 2) Variable JAVA_HOME al instalar el JDK jdk1.5.0_15. Se utiliza esta versión, para procesadores intel a 64 bits. 3) Modificar el fichero “Instalacion/configuración/server-config.wsdd”. a. IP JNDI. b. URL pública del servidor @Firma. server-config.wsdd

4) Pasar el comando “dos2unix” al fichero instalacion.sh presente en el directorio de instalación: > dos2unix instalacion.sh instalacion.sh 5) Ejecutar el script instalacion.sh presente en el directorio de instalación. > sh instalacion.sh

36

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 37

3. Configuración de @firma v5. JBOSS_HOME/bin/run.sh - org.jboss.Main -c all"$@", modificación en caso de poseer varias interfaces de red. - org.jboss.Main --host= -c all"$@", donde es la dirección IP de la interfaz de red utilizada. JBOSS_HOME/bin/run.conf -JAVA_OPTS="-server -XX:MaxPermSize=256m -Xms1024m -Xmx2048m Xconcurrentio". Recomendaciones. Es importante establecer el parámetro – XX:MaxPermSize en un valor mínimo de 128m, siendo el valor óptimo tras las pruebas realizadas de 256m. Ejemplo: JAVA_OPTS="-server -XX:MaxPermSize=256m -Xms1536m -Xmx6144m"

38

JBOSS_HOME/server/all/deploy/jbosswebtomcat55.sar/server.xml

Nota: el valor del atributo keystoreType puede ser “JKS” en caso de que se trate de un Java KeyStore, o bien “PKCS12” en caso de ser un keystore PKCS#12

39

JBOSS_HOME/tiFramework/Constantes.xml Fichero de configuración del framework interno de la plataforma. Modificar en caso de poseer varias interfaces de red, en caso contrario, se debe dejar el valor localhost. …

JBOSS_HOME/server/all/conf/ACertificadosDAO.properties Especifica la ubicación de los keystores utilizados por la plataforma. (por defecto en el directorio JBOSS_HOME/server/all/conf).Ejemplo: fichero.AlmacenPSCs = /jboss4.0.2/server/all/conf/AlmacenPSCs.jks

40

JBOSS_HOME/server/all/conf/ClienteAuditoria.properties configuracion.fichero=/jboss–4.0.2/server/all/conf/ClienteAuditoria.conf.xml

JBOSS_HOME/server/all/conf/ConfiguracionXMLDAO.properties serializacion.fichero=/jboss4.0.2/server/all/conf/configuracionArrobaFirma5_0.xml

41

JBOSS_HOME/server/all/conf/contexto.properties Especifica la ubicación del fichero de configuración del TreeCaché de @firma. treecache.fichero=/jboss-4.0.2/server/all/conf/tcfirmaservice.xml Nota: Podemos indicar si se realizará comprobación de nodos duplicados o no. comprobar.nodos.duplicados = true/false

JBOSS_HOME/server/all/deploy/cluster-service.xml Definición de las particiones del servidor de aplicaciones así como los servicios o MBEANS que deben ser instanciados. Definición los diferentes Datasources que necesita la plataforma para su ejecución. Establecer para cada uno: … jdbc:oracle:oci:@IP_SERVIDOR:PUERTO:SID BD USUARIO BD PASSWORD BD …

42

JBOSS_HOME/server/all/conf/c3p0.properties # maximo de vida absoluto permitido para una conexion del pool (2 horas) maxConnectionAge=7200

JBOSS_HOME/server/all/conf/repositorioCRL.properties Configuración de los repositorios de almacenamiento de CRLs. # Directorio base donde se almacenarán las CRLs repositorio.ruta = # Directorio base donde se almacenarán las copias de las CRLs repositorio.ruta.seguridad = # Indicador de si se deben realizar copias de seguridad de las CRLs repositorio.copiaSeguridad = true | false # Se utilizará para acceder al fichero por medio de las interfaces URLConnection repositorio.protocolo = file://localhost # Nombre del fichero de conexion de hibernate para la BD repositorio.ficheroHibernate = hibernate.validacion.cfg.xml

43

JBOSS_HOME/server/all/conf/validacion.properties Fichero que permite la configuración del comportamiento del módulo de validación de la plataforma @firma.(RFC 3280) Por defecto, la plataforma está configurada en modo estricto. # Indica si el módulo de validacion debe validar los certificados a # dar de alta de manera estricta, tal y como especifica la RFC 3280 # Valores true, false. Por defecto es true validarConformeRFC3280 = true | false # hayQueActualizar. Para arrancar la plataforma por primera vez debe ser true hayQueActualizar = true | false # canonicalizarIds. Para arrancar la plataforma por primera vez debe ser false canonicalizarIds = true | false En este archivo existen otros dos parámetros configurables: hayQueActualizar: Indica si se debe llevar a cabo el proceso de actualización de la plataforma al inicializarse. Este proceso realiza cambios importantes en la configuración y en ciertos KeyStores.

44

JBOSS_HOME/server/all/conf/PKCS11Aliases.properties Información acerca de la configuración de Alias para los certificados PKCS11. Para cada idRepositorio deberá existir una cadena de la forma [entorno].{SERVIDOR | APLICACION}.[nombreServicio] JBOSS_HOME/server/all/conf/PKCS11Provider.properties Información acerca del conjunto de propiedades de configuración para el proveedor PKCS11. #Conjunto de propiedades de configuración para el proveedor PKCS11 PKCS11_NATIVE_MODULE = JBOSS_HOME/server/all/conf/traductor.properties Información acerca de los SCHEMAS XML que definen los mensajes de entrada y salida del servicio. traductor.host=http://:/afirmaws/ 45

JBOSS_HOME/server/all/conf/language.properties. Especificación del lenguaje deseado para diversos tipos de mensajes. # Configuración del idioma, es necesario definir el fichero de idioma en messages/MessagesBundle_XX.properties para que el idioma este disponible # es = Español # en = Inglés LANGUAGE = es JBOSS_HOME/server/all/conf/wsCustodyPolicy.properties Especificación de la política de custodia de las peticiones que llegan a la plataforma y de las respuestas generadas. Por defecto, se almacenarán únicamente las respuestas. # Permite especificar si se almacenan las peticiones SOAP recibidas. Posibles valores true, false. storeRequest= true | false # Permite especificar si se almacenan las respuestas SOAP generadas por la plataforma. Posibles valores true, false. storeResponse= true | false

46

JBOSS_HOME/server/all/conf/mfirma/aliasServerCert.properties # Alias del certificado servidor por defecto para la realización de firmas servidor en la plataforma. server.certificate.alias =

Keystore: JBOSS_HOME/server/all/conf/KeystoreSSL-Tomcat.jks Keystore que contiene el certificado de servidor utilizado para las conexiones SSL contra la plataforma.

JBOSS_HOME/server/all/conf/minforme/informe.properties Información de las rutas a cada uno de los properties de los informes a generar. Ejemplo: #Ruta absoluta al fichero XLSPSCAplicacion.properties informe.xls.PSCAplicacion=

47

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 48

4. Configuración de la TSA con Notario Electrónico.

Cliente JA Cliente TSA

Componente Comunicación TSA

1) Solicitud de alta en Notario Electrónico. A través del área técnica de plutón en la siguiente URL: https://ws024.juntadeandalucia.es/pluton/adminelec/ArTec/notario.jsp

2) Configuración del cliente TSA tal y como se indica en el manual de instalación y despliegue. RUTA_INSTALACION/tsaClient/conf/rutaFicheroConfiguracion.properties Especificación del fichero de configuración del acceso a la TSA (TimeStamp Authority). rutaFicheroConfiguracion=/tsaClient/conf/clienteTSAConf.properties 49

RUTA_INSTALACION/tsaClient/conf/clienteTSAConf.properties Especificación de los parámetros de conexión con la TSA.

clienteTSA.properties

Keystore:RUTA_INSTALACION/tsaClient/mctsa/certificate/clienteTSA.keystore Keystore con las claves para firmar las peticiones de sello de tiempo.

50

3)Modificaciones para integración con Notario Electrónico. Url de descarga de documentación y software necesarios: ¾ https://ws024.juntadeandalucia.es/pluton/adminelec/ArTec/afirma.jsp ?zona=9&zona2=11&&#general Obtendremos el zip “1_463_integracion@firmanotario” con los siguientes archivos:

RUTA_INSTALACION/tsaClient/conf/clienteTSA.properties Añadir a este archivo las siguientes líneas: id_aplicacion= xml_log=RUTA_INSTALACIÓN /tsaClient/conf/log4j.xml

51

RUTA_INSTALACIÓN/tsaClient/conf/rutaFicheroConfiguracion.properties rutaFicheroConfiguracion=RUTA_INSTALACION/jboss4.0.2/server/all/conf/mfirma/clienteTSA/clienteTSA.properties RUTA_INSTALACION/jboss-4.0.2/server/all/conf/mfirma Añadir un nuevo directorio,” clienteTSA”, y copiar los archivos:

RUTA_INSTALACIÓN/tsaClient/conf/clienteTSA.properties RUTA_INSTALACIÓN/tsaClient/conf/rutaFicheroConfiguracion.properties RUTA_INSTALACIÓN/tsaClient/lib Añadir/eliminar a este directorio las librerías: 1. Añadir clientNE.jar (proporcionada por Notario) en el caso de existir clientTSA.jar debe ser reemplazada por ésta. 2. Añadir mctsa.jar 3. Añadir commons-asn1.jar. 4. Eliminar la librería clienteTSA.jar de este directorio.

52

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 53

5. Configuración del procesado de Logs. Tarea externa al servidor de aplicaciones JBOSS de ejecución diaria y que almacena en BD las transacciones que ha procesado la plataforma el día anterior. RUTA_INSTALACION/ ProcesaLogsExt/conf conf/language.properties # Configuracion del idioma # Es necesario definir el fichero de idioma en messages/MessagesXXXXX_XX.properties para que el idioma este disponible # es = Español # en = Ingles LANGUAGE = es RUTA_INSTALACION/ ProcesaLogsExt/conf/lanzador.properties Especifica la ubicación de los ficheros de log a procesar. # Carpeta donde se almacenarán los logs de auditoria de la plataforma map.afirma.lanzador.logsFolder= /jboss-4.0.2/server/all/log

54

RUTA_INSTALACION/ProcesaLogsExt/conf/hibernate.procesarlog.cfg.xml Fichero descriptor de Hibernate que alberga la configuración de la conexión del proceso contra el esquema de Auditoría de la BD. … jdbc:oracle:oci:@IP_SERVIDOR:PUERTO:SID_BD USUARIO_AUDITORIA_BD PASSWORD_BD … RUTA_INSTALACION/ProcesaLogsExt/conf/c3p0.properties Contiene la configuración del Pool de conexiones a BBDD C3P0 que no puede ser definida en el fichero RUTA_INSTALACION/ProcesarLogsExt/conf/hibernate.procesarlog.cfg.xml. Se deben establecer parámetros necesarios para la configuración del Pool de conexiones. Para más información, se remite al lector a la documentación del Pool C3P0 de Hibernate.

55

RUTA_INSTALACION/ProcesaLogsExt/conf/log4j.xml Fichero de configuración del logger Log4J utilizado por la tarea de procesado de log. param name="File" value="RUTA_INSTALACION/ProcesaLogsExt/logs/logProceso.log"/> … RUTA_INSTALACION/ProcesaLogsExt/tareaLog.sh Script que permitirá el lanzamiento periódico del servicio de procesado de logs. # Ruta completa del directorio de instalacion del servicio de procesado de logs PROCESARLOG_HOME=/RUTA_INSTALACION/ProcesaLogsExt/ #Inicializamos las variables del sistema. Para ello se requiere # el directorio home del usuario con el que se desea arrancar el servicio . /RUTA_USUARIO_ADMIN/.profile … 56

RUTA_INSTALACION/ProcesaLogsExt/start-procesoLog.sh Script que permitirá el lanzamiento periódico del servicio de procesado de logs. -Xms128m –Xmx1024m: especifica los rangos mínimos y máximos de memoria en MB que utilizará el proceso en su ejecución. # Ruta completa del directorio de instalacion del servicio de procesado de logs PROCESARLOG_HOME=/RUTA_INSTALACION/ProcesaLogsExt/ #Inicializamos las variables del sistema. Para ello se requiere # el directorio home del usuario con el que se desea arrancar el servicio . /RUTA_USUARIO_ADMIN/.profile cd ${PROCESARLOG_HOME} sh start-procesoLog.sh $1 … $JAVA_HOME/bin/java -d64 -Xms128m -Xmx2024m –classpath

57

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 58

6. Comprobación de la instalación y acceso a módulo de Administración. ¾ Arranque de los scripts. ¾ Comprobación de los logs. ¾ Acceso al módulo de Administración (configuración de keystore sistema y servidor). ¾ Realizando una prueba con el kit de pruebas suministrado en e CD de desarrollo de @firma5.

59

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 60

7. Solicitud e importación política certificación CJAP.

Conjunto de prestadores y tipos de certificados que van a conformar un ámbito de confianza.

Especifican de manera concreta cómo se va a llevar a cabo la validación de los certificados admitidos por dicha política (métodos de validación), la información que se debe extraer de los certificados (certificado patrón), y la manera de obtenerla (configuración de mapeos).

Una vez terminado y comprobado la instalación de @firma v5, El siguiente paso será realizar la configuración de nuestra política de certificación.

61

Todo este proceso de configuración de la plataforma se puede agilizar mediante la importación de la política de certificación de CJAP: ¾ Solicitud mediante correo al área técnica de soporte a la Administración electrónica: [email protected] Indicándose los siguientes datos: Asunto: PoliticaCertificaciónCJAP Datos del solicitante: Nombre, apellidos, teléfono, e-mail. Nombre de la empresa. Consejería para la que se desarrolla y responsable de la Consejería. Nombre de la aplicación. Descripción de la aplicación. Responsable de la aplicación: Nombre, apellidos, teléfono, e-mail. NIF de la persona encargada de la descarga del CD.

62

¾ Importación de política de certificación en la plataforma de administración de @firma5:

63

Procedimiento de instalación del núcleo de @firma5 •

Creación del esquema de base de datos.

2.

Despliegue del servidor de aplicaciones en los núcleos.

3.

Configuración de @firma v5.

4.

Configuración de la TSA con Notario Electrónico.

5.

Configuración del procesado de Logs.

6.

Comprobación de la instalación y acceso a módulo de Administración.

7.

Solicitud e importación política certificación CJAP.

8.

Dónde ver la versión instalada. 64

8. Dónde ver la versión instalada. Para ver la versión instalada de la plataforma, a partir de la versión @firmav5.1 se incorpora el archivo : JBOSS_HOME/server/all/conf/version_afirma.txt En versiones anteriores de la plataforma podemos consultar la versión instalada en la siguiente ruta del directorio de instalación: JBOSS_HOME/server/all/lib/server/all/lib/afirma5d0.jar/META_INF/MANIFEST.MF

65

Índice

1. Introducción 2. Requisitos previos 3. CD de Instalación de @firma v5. 4. Procedimiento de instalación del núcleo de @firma v5 5. Procedimiento de instalación de la extensión de @firma v5 6. Turno de ruegos y preguntas.

66

Procedimiento de instalación de la extensión de @firma v5 1. Creación del esquema de base de datos. 2. Despliegue de la extensión sobre los núcleos. 3. Despliegue del servidor de firma web. 4. Despliegue del servidor de autenticación.

67

Procedimiento de instalación de la extensión de @firma v5 1.

Creación del esquema de base de datos. –

Los esquemas de Base de Datos necesarios para el correcto funcionamiento de la plataforma son los de @firma Versión 5.2, de los cuales el de Custodia será actualizado y se añadirá un cuarto(custodia web) el cual se detalla en el manual de instalación y despliegue.

CUSTODIA_CUST

ODIAWEB

VALIDACIÓN_TABLE SPACE (DEMO) 128 MB VALIDACIÓN_TABLE SPACE (PRODUC.) 30G

10G

CUSTWEBOWNER Propietario (Administrador BD)

68

CUSTWEB Conexión tablas CUSTWEBOWNER

–

El proceso de creación de estos esquemas consiste únicamente en ejecutar los script, en el Sistema de Gestión de Base de Datos, en el orden establecido en el archivo “orden.txt” y con el usuario indicado en dicho archivo.

–

Se recomienda que la ejecución de estos scripts la realice personal técnico cualificado en Base de Datos.

69

Procedimiento de instalación de la extensión de @firma v5 1. Creación del esquema de base de datos. 2. Despliegue de la extensión sobre los núcleos. 3. Despliegue del servidor de firma web. 4. Despliegue del servidor de autenticación.

70

2. Despliegue de la extensión sobre los núcleos. Consideraciones previas: Tener configurado en el núcleo de @firma5,2: 1) Limpiado Automático de transacciones de firmaWeb (A través de la herramienta de configuración de Administración ). 2)Actualización certificado patrón de la política DEFAULT, (Política certificación CJAP).

71

Despliegue: 1)

Copiar Instalacion/core del CD de @firma–Extensión al disco duro del sistema.

2)

Modificar los siguientes ficheros: a. “core/recursos/ws/WEBINF/server-config.wsdd”. b. “core/configuracion/ejbs/subdirecctorios/jboss.xml”. c. Configuración del script de despliegue.

3)

Descomprimir el fichero $JBOSS_HOME/server/all/deploy/afirma5d0.ear en el directorio apuntado por la propiedad “earAfirma.tmp.dir” y eliminar el archivo “METAINF/ application.xml” y el directorio Consola.war obtenidos en el directorio $earAfirma.tmp.dir.

4) Pasar el comando “dos2unix” al fichero instalacion.sh. > dos2unix instalacion_extension.sh Ejecutar el script instalacion_extension.sh presente en el directorio Instalacion/core. 72

•

Configuración de la extensión. JBOSS_HOME/server/all/conf/jboss-service.xml Se debe establecer la ruta y password del almacén que alberga el certificado de servidor utilizado para las conexiones seguras. jboss.security:service=JaasSecurityManager ${jboss.server.home.dir}/conf/keystoreSSL.keystore changeit Para testear el funcionamiento del servidor conectarse a la siguiente url desde un navegador a: https:///axis/servlet/AxisServlet

73

JBOSS_HOME/server/all/conf/roles.properties y JBOSS_HOME/server/all/conf/users.properties Establecer los passwords de los roles establecidos en el fichero users.properties. usuario=password

JBOSS_HOME/server/all/conf/migration.properties Especificación las propiedades genéricas para la extensión de @Firma v5. • xmlTemplateFilesPath • webPageSign.retries • webPageSign.connectionTimeout. • webPageSign.soTimeout • webPageSign.proxy • webPageSign.proxy.host • webPageSign.proxy.port • webPageSign.proxy.authentication.type • webPageSign.proxy.authentication.user • webPageSign.proxy.authentication.password • webPageSign.proxy.authentication.NTLMHost

74

JBOSS_HOME/server/all/conf/jndiMigration.properties Se debe establecer el identificador el cluster HA-JNDI que será utilizado por la plataforma. Por defecto, este será “AFirma5-Partition”. jnp.partitionName=AFirma5-Partition JBOSS_HOME/server/all/conf/ConfiguracionExtensionXMLDAO.properti es Se debe establecer la ruta donde se encuentra ubicado el fichero de configuraciónde la extensión de la plataforma configuracionExtension.xml. Por defecto, este fichero estará ubicado en el directorio JBOSS_HOME/server/all/conf. La ruta especificada debe ser absoluta. serializacion.fichero=/jboss4.0.2/server/all/conf/configuracionArrobaFirma5_0.xml

75

JBOSS_HOME/server/all/deploy/cluster-service.xml En el fichero se encuentran definidos cuatro Datasources (al final del fichero), siendo necesario establecer para cada uno de ellos los siguientes datos de conexión a la BBDD. … jdbc:oracle:oci:@IP_SERVIDOR:PUERTO:SID BD USUARIO BD PASSWORD BD …

76

3. Despliegue del servidor de firma web. Consideraciones previas Previo a la instalación del componente Fachada es necesario realizar los siguientes pasos: 1) Instalar el jdk1.5.0_15 2) Instalar ANT proporcionada en el CD ( Instalacion/utils/ANT). 3) Tener instalado el paquete de utilidad “dos2unix”.(Ya q es S.O LINUX) 4) Definir las variables de entorno apropiadas. 5) Librerías del proveedor criptográfico IAIK (fachada de comunicaciones / autenticación): • JCE v3.14 (JAVA_HOME/jre/lib/ext) • ISASILK 4.0 (RUTA_INSTALACION/recursos/lib) (*) En caso de instalar el servidor SSL de Autenticación / Reautenticación y la fachada Web de comunicaciones en distintas máquinas, se deberán realizar estos pasos en ambas máquinas.

77

1 Copiar Instalacion/webFacade al disco duro del sistema. 2 Modificar en Instalacion/webFacade/builddespliegue_extension.properties : • webFacade.home:ubicación 3 Pasar el comando “dos2unix” al archivo Instalacion/webFacde/instalacion_extension.sh > dos2unix instalacion.sh 4 Ejecutar el script de instalación. “Instalacion/webFacde/instalacion_extension.sh”. 5 Pasar el comando “dos2unix” existente en el SO al fichero JBOSS_HOME/bin/run.sh 6 Editar el archivo run.sh del directorio $JBOSS_HOME/bin. org.jboss.Main -c default --host= “$@” donde es el nombre o ip del servidor de firma 7 Configuración y arranque del Servidor JBOSS.

78

•Configuración del servidor de firma web. ¾Configuración de arranque ($JBOSS_HOME/bin/run.conf.) if [ "x$JAVA_OPTS" = "x" ]; then JAVA_OPTS="-server –Xms256m –Xmx512m -XX:MaxPermSize=96m -Xconcurrentio" Fi

¾Configuración Web ($JBOSS_HOME/server/default/deploy/jbosswebtomcat55.sar/server.xml.) Configuración de los puertos: ƒ 80, 8080 para el protocolo HTTP ƒ 443 para HTTPS Î importar certificado de servidor en “KeystoreSSLTomcat.jks”(q es el por defecto en la ruta JBOSS_HOME/server/default/conf) Si desea modificar el keystore:

79

Configuración del servidor de firma web. ¾Configuración de las comunicaciones con el Servidor de Firma

($JBOSS_HOME/server/default/deploy/properties-service.xml)

properties-service.xml

• afirma.ws.serviceProtocol: http / htpps. • afirma.ws.serviceURL • afirma.ws.servicePath • afirma.ws.timeout • afirma.ws.jaasUser • afirma.ws.jaasPassword. • afirma.ws.truststorePath. • afirma.ws.truststorePassword • afirma.urlFormatEncoded

80

4. Despliegue del servidor de autenticación. 1 Copiar Instalacion/sslServer al disco duro del sistema. 2 Modificar en /SSLServer/builddespliegue_extension.properties : sslserver.home :ubicación 3 Configurar los archivos: Instalacion/SSLServer/configuración/consts_ssl.xml, Instalacion/SSLServer/configuración/consts_conn.xml 4 Pasar el comando “dos2unix” al archivo Instalacion/sslServer/instalacion_extension.sh > dos2unix instalacion.sh 5 Ejecutar el script de instalación: Instalacion/sslServer/instalacion_extension.sh

81

• Configuración del servidor de autenticación. ¾ Configuración del componente Servidor Autenticación / Reautenticacion SSL ƒInstalacion/sslServer/configuración/consts_ssl.xml :

82

• Configuración del servidor de autenticación. ¾ Configuración del componente Servidor Autenticación / Reautenticacion SSL ƒInstalacion/sslServer/configuración/consts_conn.xml

83

•

Comprobación de la instalación. ¾ Arranque de los scripts. ¾ Comprobación de los logs. ¾ Acceso al módulo de Administración Extensión.

84

Conclusiones. Ruegos y Preguntas