ALTAS MANUAL DE USUARIO DEL SERVICIO DE CERTIFICADOS

Transcripción

1 ALTAS MANUAL DE USUARIO DEL SERVICIO DE CERTIFICADOS Versión 1.1 Área de Integración y Arquitectura de Aplicaciones

2 Hoja de Control Título Documento de Referencia Responsable Manual de Usuario del NORMATIVA ATLAS Área de Integración y Arquitectura de Aplicaciones Versión 1.1 Fecha Versión 02/11/2010 Registro de Cambios Versión Causa del Cambio Responsable del Cambio Fecha del Cambio 1.0 Versión inicial del documento 1.1 En ATLAS la implementación del Servicio se ha modificado por lo tanto este documento ha sido ampliamente modificado. Área de Integración y Arquitectura de Aplicaciones Área de Integración y Arquitectura de Aplicaciones 27/01/ /10/ de 30

3 Índice 1. INTRODUCCIÓN AUDIENCIA OBJETIVO CONOCIMIENTOS PREVIOS DESCRIPCIÓN INSTALACIÓN Y CONFIGURACIÓN INSTALACIÓN Paso 1: Añadir la dependencia al módulo de Seguridad Paso 2: Incluir la ruta de definición del servicio asfservice Paso 3: Incluir los ficheros de configuración a la plataforma ASF Paso 4: Inyectar el Servicio en las clases que lo requieran CONFIGURACIÓN Configuración básica Configuración avanzada Configuración del plugin de Jetty para trabajar como servidor seguro Configuración de Weblogic para trabajar como servidor seguro USO OBTENCIÓN DE DATOS DE UN CERTIFICADO DIGITAL CIFRADO Y DESCIFRADO DE DATOS CON CLAVE CIFRADO Y DESCIFRADO DE DATOS CON CERTIFICADO FIRMA ELECTRÓNICA EN SERVIDOR VALIDACIÓN DE FIRMAS ELECTRÓNICAS VERIFICACIÓN DE UN CERTIFICADO DIGITAL FIRMA EN CLIENTE APLICACIÓN DE EJEMPLO ENLACES RELACIONADOS de 30

4 Contenido 1. INTRODUCCIÓN Este documento contiene el manual de uso del servicio de certificados del módulo de seguridad del framework Atlas. En él se incluye información sobre cómo utilizar dicho componente en una aplicación, así como información acerca de la configuración de los parámetros fundamentales del componente Audiencia objetivo El lector objetivo de este documento es toda aquella persona que esté desarrollando una aplicación basada en el framework Atlas y desee acceder a la plataforma ASF Conocimientos Previos Para un completo entendimiento del documento, el lector deberá tener conocimientos previos sobre las siguientes tecnologías: - Lenguaje Java - Spring Framework - Conocimientos básicos de ASF y certificados digitales X.509 Para saber más sobre dichas tecnologías, consultar los accesos referenciados en el apartado 5 de este documento, Enlaces Relacionados. 4 de 30

5 2. DESCRIPCIÓN El servicio de Spring asfservice que incluye el módulo de seguridad de Atlas, provee las siguientes funcionalidades: Obtención de datos de un certificado Cifrado y descifrado de datos simétrico con clave Cifrado y descifrado asimétrico con certificado Firma electrónica en servidor Firma electrónica en cliente Verificación de firmas electrónicas Validación de certificados digitales 5 de 30

6 3. INSTALACIÓN Y CONFIGURACIÓN 3.1. INSTALACIÓN El para ASF viene incluido en el módulo de seguridad de atlas que, a su vez, viene incluido en el arquetipo web. Para poder utilizarlo, bastará con incluir la dependencia de este módulo en el fichero pom.xml del proyecto, añadir la ruta correspondiente al fichero xml de Spring en la variable configlocations, y definir en el contexto de Spring la configuración del servicio para la aplicación Paso 1: Añadir la dependencia al módulo de Seguridad Atención Este paso no es necesario si el proyecto se ha generado a partir del arquetipo web, servicioweb o documentumweb de Atlas. Para añadir la dependencia al módulo de seguridad dentro de nuestro proyecto maven hay que añadir una entrada dependency en la sección dependencies del fichero pom.xml del proyecto, como se puede ver en el siguiente ejemplo: pom.xml <dependencies> [...] <dependency> <groupid>atlasfrm</groupid> <artifactid>atlasfrm-seguridad-lib</artifactid> <version>${atlasfrm-seguridad-lib}</version> </dependency> [...] </dependencies> 6 de 30

7 Paso 2: Incluir la ruta de definición del servicio asfservice La librería de seguridad ya contiene una definición del servicio asfservice dentro del contexto de Spring. Bastará con incluir la siguiente ruta dentro de la configuración de los configlocations (usualmente en el fichero web.xml): classpath:/conf/applicationcontext-asf.xml A continuación se muestra un ejemplo de configlocations en el fichero web.xml: web.xml <context-param> <description> Este parámetro indica la localización exacta de los ficheros de configuración de SPRING </description> <param-name>contextconfiglocation</param-name> <param-value> classpath:/conf/applicationcontext-general.xml; classpath:/conf/applicationcontext-database.xml; classpath:/conf/applicationcontext-security.xml; classpath:/conf/applicationcontext-security-hostpolitica.xml; classpath:/conf/applicationcontext-componentes.xml; classpath:/conf/atlas-trazas-application-context.xml; classpath:/conf/applicationcontext-asf.xml; </param-value> </context-param> Paso 3: Incluir los ficheros de configuración a la plataforma ASF Atención Este paso no es necesario si el proyecto se ha generado a partir del arquetipo web, servicioweb o documentumweb de Atlas. Para el correcto funcionamiento del servicio de ASF, es necesario incluir en la aplicación los siguientes ficheros: /src/main/resources/propertyfiles/asf_securityagent.properties /src/main/resources/propertyfiles/jbean.properties /src/main/resources/client-config-asf.wsdd 7 de 30

8 Para obtener estos ficheros, hay que asegurarse primero de tener la librería de seguridad en el repositorio local. Para ello, una vez establecida la dependencia con la librería de seguridad (apartado 3.1.1), ejecutar: mvn clean compile de esta forma se descargará la librería. Los tres ficheros mencionados anteriormente pueden encontrarse dentro de la librería de seguridad en la ruta: META-INF/asf_Resources Hay que copiar el contenido de esta carpeta a la ruta src/main/resources del proyecto. Debe tenerse en cuenta que estos ficheros de configuración de asf vienen parametrizados con variables del fichero environment.properties, que si no están, deberán incluirse (revisar apartado siguiente 3.1.4) Paso 4: Inyectar el Servicio en las clases que lo requieran Para inyectar el Servicio previamente definido, se pasa como property al bean que lo vaya a usar, que debe tener el método set correspondiente. Para más información sobre cómo inyectar referencias, se puede consultar la documentación de Spring. applicationcontext-services.xml <bean id="miservice" class="xxxx.services.miserviceimpl" p:asfservice-ref="asfservice"/> 8 de 30

9 3.2. CONFIGURACIÓN Configuración básica En el modo básico de configuración, esto es, tomando todos los valores por defecto (ver tabla de apartado 3.2.2) solo será necesario configurar los valores del fichero environment.properties, principalmente el parámetro asf.cipherkey que establece la clave de cifrado simétrico para la aplicación (siempre que se use esta funcionalidad). environment.properties ###################################################### # Fichero de variables de configuración específicas # # para el entorno LOCAL # ###################################################### [...] # Recursos de ASF asf.baseurl= asf.clientjsurl= asf.cipherkey=************* asf.fileclient=${project.build.outputdirectory}\\client-config-asf.wsdd asf.ficherolog=${project.build.directory}\\ejpl_asf_web.log asf.ficherotrazas=${project.build.directory}\\ejpl_asf_web.traza.log El resto de parámetros ya están configurados para funcionar correctamente en el entorno local de desarrollo. También será necesario configurar el parámetro otrosparametros.idaplicacion_asf en el fichero application.properties con el valor dado de alta para la aplicación en el servidor de ASF. conf/application.properties ###################################################### # Fichero de propiedades donde se configuran todos # # los parametros de la aplicación que no necesitan # # una configuración diferente para cada entorno (su # # valor es el mismo en el entorno de desarrollo # # local, validación y producción) # ###################################################### [...] # Configuracion comun de seguridad [...] otrosparametros.idaplicacion_asf=apl_demo 9 de 30

10 Configuración avanzada Si se necesita cambiar la configuración por defecto del servicio de ASF será necesario redefinir el bean asfconfiguration en el contexto de Spring. Las propiedades de configuración se pueden definir en el mismo fichero de Spring o en un fichero aparte. El siguiente ejemplo, además de los parámetros de configuración básica, se cambia el valor por defecto de la propiedad signencoding (las variables asf.clientjsurl y asf.cipherkey son tomadas por maven del fichero environment.properties y la variable otrosparametros.idaplicacion_asf del fichero application.properties): applicationcontext-services.xml <!-- Dependencia de servicio de ASF --> <bean id="asfconfiguration" class="atlas.core.seguridad.asf.domain.asfconfiguration"> <property name="applicationidforalloperations" value="${otrosparametros.idaplicacion_asf}"/> <property name="clientjsurl" value="${asf.clientjsurl}" /> <property name="cipherkey" value="${asf.cipherkey}" /> <property name="signencoding" value="utf-8" /> </bean> En este ejemplo, la propiedad applicationidforalloperations realiza un set del valor en las propiedades invokingapp, signapplicationid y verifysignatureapplicationid. Esto es así para simplificar la configuración. Los valores de las propiedades clientjsurl y cipherkey hacen referencia a las propiedades asf.clientjsurl y asf.cipherkey del fichero environment.properties (reemplazadas por sus valores en la ejecución de maven). Si cualquier otra variable de configuración es susceptible de cambio con el entorno, deben definirse de esta forma. En el siguiente ejemplo se utiliza un fichero de propiedades como base de configuración: applicationcontext-services.xml <!-- Dependencia de servicio de ASF --> <bean id="asfconfiguration" class="atlas.core.seguridad.asf.domain.asfconfiguration" /> <bean class="org.springframework.beans.factory.config.propertyoverrideconfigurer"> <property name="location" value="classpath:/conf/asf.properties" /> </bean> 10 de 30

11 src/main/resources/conf/asf.properties ########################################################## # Variables de configuración de la aplicación para ASF # ########################################################## # Configuracion general de ASF asfconfiguration.invokingapp = ${otrosparametros.idaplicacion_asf} asfconfiguration.signencoding = iso # Configuración de la firma asfconfiguration.signapplicationid = ${otrosparametros.idaplicacion_asf} asfconfiguration.signregisterrevocation = false asfconfiguration.signignoreverificationcaches = false asfconfiguration.signsequential = true asfconfiguration.signtimestamp = false # Configuración de la validación asfconfiguration.verifysignatureapplicationid = ${otrosparametros.idaplicacion_asf} asfconfiguration.verifyregisternorepudiation = false asfconfiguration.verifysignaturecheckrevocation = false asfconfiguration.verifyignoreverificationcaches = true asfconfiguration.verifyaddsignature = false # Configuración de la validación de certificados asfconfiguration.verifycheckcertificaterevocation = true asfconfiguration.verifycheckcertificatevalidity = true # Configuración para la firma en cliente asfconfiguration.clientjsurl = ${asf.clientjsurl} # Configuración para cifrado/descifrado sin certificado asfconfiguration.cipherkey = ${asf.cipherkey} asfconfiguration.ciphermode = CBC asfconfiguration.cipheralgorithm = 3DES asfconfiguration.cipheroperationtypeen = 3 asfconfiguration.cipheroperationtypede = 4 asfconfiguration.cipherpadding = PKCS5Padding A continuación se muestra una tabla con todos los atributos configurables de la clase AsfConfiguration: Atributo Descipción Obligatorio Valor por defecto invokingapp Id de la aplicación en ASF. La aplicación debe estar SI Sin valor por dada de alta en ASF defecto verifysignatureapplicationid Id de la aplicación en ASF usado en operaciones de SI Valor de verificación de firmas. invokingapp 11 de 30

12 signapplicationid Id de la aplicación en ASF para operaciones de firma. SI Valor de invokingapp signregisterrevocation Registrar (o no) las revocaciones. NO false signignoreverificationcaches Ignorar (o no) la caché de verificaciones en firma. NO false signencoding Codificación de caracteres en firma NO iso signsequential Firma secuencial NO true signtimestamp Incluír (o no) sellos de tiempo en la firmas. NO false verifyregisternorepudiation Almacenar (o no) la información necesaria para NO false garantizar el no repudio. verifysignaturecheckrevocati Comprobar (o no) el estado de revocación del NO false on cerificado firmante. verifyaddsignature verifyaddsignature NO false verifyignoreverificationcache s Ignorar (o no) la caché de verificaciones. NO true verifycheckcertificaterevocat Verificar (o no) el estado de revocación del cerificado NO true ion al validar los certificados. verifycheckcertificatevalidity Verificar (o no) el estado de validez (caducidad) del NO true cerificado al comprobar el cetificado. cipheralgorithm Algoritmo de cifrado simétrico con clave NO 3DES cipherkey Clave de cifrado simétrico SI Sin valor por defecto ciphermode Modo de cifrado simétrico NO CBC cipherpadding Padding de cifrado NO PKCS5Padding clientjsurl URL del Javascript de firma en cliente SI Sin valor por defecto 12 de 30

13 Configuración del plugin de Jetty para trabajar como servidor seguro Framework Atlas Atención Este paso no es necesario si el proyecto se ha generado a partir del arquetipo web, servicioweb o documentumweb de Atlas. Para poder probar la aplicación con un servidor seguro, es necesario configurar el plugin de Jetty para maven. Serán necesarios los siguientes elementos: Almacén de certificados con las CAs cuyos certificados se admitirán. Para la fase de pruebas bastará con la CA de desarrollo de ICM. El almacén debe terminar en.keystore. Este fichero se llamará truststore.keystore. Almacen de certificados con el certificado de servidor y toda su cadena de certificación. Para la fase de pruebas se podrá utilizar uno de los certificados de la CA de pruebas de ICM disponible. El almacen deberá terminar en.keystore. El fichero se llamará keystore.keystore. Ambos almacenes de certificados se almacenarán en la ruta /src/test/resources/ssl del proyecto web. A continuación se reconfigurará el plugin de Jetty para la ejecución SSL: WantClientAuth: si es true se pedirá certificado en la conexión SSL, aunque será opcional. De esta forma si no se aporta certificado, se mostrará el login tradicional. NeedClientAuth: si es true el certificado de cliente en la conexión será necesario y no se pasará del punto inicial sin aportar uno. 13 de 30

14 Pom.xml del proyecto web <!-- Redefinicion de plugin de Jetty para añadir un conector https --> <plugin> <groupid>org.mortbay.jetty</groupid> <artifactid>jetty-maven-plugin</artifactid> <version>${jetty-maven-plugin.version}</version> <configuration> [...] <connectors> <connector implementation="org.eclipse.jetty.server.nio.selectchannelconnector"> <port>9080</port> <maxidletime>60000</maxidletime> </connector> <connector implementation="org.eclipse.jetty.server.ssl.sslsocketconnector"> <port>9443</port> <maxidletime>60000</maxidletime> <keystore>${project.build.testoutputdirectory}/ssl/keystore.keystore</keystore> <password>desarrollo</password> <keypassword>desarrollo</keypassword> <truststore>${project.build.testoutputdirectory}/ssl/truststore.keystore</truststore> <trustpassword>desarrollo</trustpassword> <wantclientauth>true</wantclientauth> <!-- certificado opcional --> <needclientauth>false</needclientauth> <!-- certificado obligatorio --> </connector> </connectors> </configuration> <dependencies> <dependency> <groupid>commons-dbcp</groupid> <artifactid>commons-dbcp</artifactid> <version>${padre.commons.dbcp.version}</version> </dependency> <dependency> <groupid>com.oracle</groupid> <artifactid>ojdbc14</artifactid> <version>${padre.oracle.version}</version> </dependency> </dependencies> </plugin> Configuración de Weblogic para trabajar como servidor seguro Para poder probar la aplicación con un servidor seguro, es necesario configurar el servidor Weblogic. Los pasos a seguir para configurar el servidor como seguro, utilizando los certificados de prueba de icm, son: Paso 1: Activar el SSL en Weblogic: En la consola de Weblogic, en Environment->Server Elegir un Server: 14 de 30

15 En la pestaña Configuración-> General, activar la casilla SSL Listen Port Enabled : 15 de 30

16 Salvar los cambios y en la pestaña Configuration->SSL->Advanced cambiar el valor de Two way Client Cert Behavior 16 de 30

17 Salvar los cambios. Paso 2: Importar el certificado raiz de ICM como certificado de confianza: En la consola de Weblogic, en Environment->Server Elegir un Server: 17 de 30

18 En la pestaña Configuration->Keystores anotar la ruta Demo Trust Keysore : 18 de 30

19 Conectarse al servidor e importar el certificado raiz de ICM (icm.cer) en el keystore de confianza. Esto se hace utilizando la herramienta Keytool. A continuación se muestra un ejemplo de importación: 19 de 30

20 Ejemplo de uso de KeyTool D:\Producto\bea\WEBLOG~1\server\lib>keytool -importcert -file c:\borrar\icm.cer - keypass CERT -keystore DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase Propietario: ADDRESS=fhumanes@comadrid.es, CN=CA Pruebas ICM Desarrollo, OU=ICM Desarrollo, O=ICM, L=Madrid, ST=Madrid, C=ES Emisor: ADDRESS=fhumanes@comadrid.es, CN=CA Pruebas ICM Desarrollo, OU=ICM Desarrollo, O=ICM, L=Madrid, ST=Madrid, C=ES Número de serie: 0 Válido desde: Mon Dec 03 20:39:11 CET 2001 hasta: Thu Dec 01 20:39:11 CET 2011 Huellas digitales del certificado: MD5: A9:EF:03:2B:D9:5B:36:07:01:EB:05:A6:EE:9F:FE:35 SHA1: E1:E1:D9:5B:65:BE:7D:4A:D7:BA:54:1D:6D:C0:40:91:12:36:77:1A Confiar en este certificado? [no]: si Se ha añadido el certificado al almacén de claves Después de este paso, reiniciar el servidor Weblogic. Paso 3: Importar el certificado cliente en el navegador. Una vez realizados estos pasos, ya estamos listos para probar aplicaciones con SSL instaladas en el servidor Weblogic. El puerto por defecto SSL de Weblogic es el de 30

21 4. USO Una vez configurado el entorno para el uso del componente, puede procederse a su utilización Obtención de datos de un certificado digital Para obtener los datos de un certificado digital, se utiliza el método getdatoscertificado, que recibe el certificado X509 en base64 o en una instancia X509Certificate cuyos datos se quieren obtener. El método devuelve un objeto atlas.core.seguridad.asf.domain.datoscertificado. En el siguiente ejemplo, se muestra un método de un ManagedBean de JSF que recoge los datos de un certificado para pintarlos en pantalla. AsfBean.java /** * Obtiene los datos de un certificado para pintar su contenido id de página */ public String obtenerdatoscertificado() { try { this.datoscertificado = this.asfservice.getdatoscertificado(strcertificado); } catch (ServiceException e) { log.error("error obteniendo datos de certificado.", e); AtlasFacesUtils.addErrorMessage(e.getMessage()); } } return NavigationResults.SUCCESS; /** * Obtención de los datos de certificado de login de usuario DatosCertificado con los datos del certificado de login ServiceException si hubo algún problema */ private DatosCertificado getdatoscertificadologin() throws ServiceException { // Obtenemos el certificado de login del request X509Certificate[] chain = (X509Certificate[]) FacesContext. getcurrentinstance().getexternalcontext().getrequestmap(). get("javax.servlet.request.x509certificate"); if (chain == null chain.length == 0) { log.warn("no se ha detectado certificado de autenticacion"); return null; } } // Llamar al servicio de ASF para obtener los datos del certificado return this.asfservice.getdatoscertificado(chain[0]); 21 de 30

22 4.2. Cifrado y descifrado de datos con clave Para el cifrado de datos con clave se utiliza el método cifrar. Su correspondiente método de descifrado es descifrar. A continuación se muestra un extracto de la interfaz de servicio: AsfService.java /** * Cifrar texto con clave simétrica texto texto a cifrar mensaje cifrado ServiceException si hubo algún problema */ String cifrar(string texto) throws ServiceException; /** * Descifrar texto con clave simétrica texto texto a descifrar texto descifrado ServiceException si hubo algún problema */ String descifrar(string texto) throws ServiceException; La clave de cifrado a usar se establece en el objeto de configuración del servicio AsfConfiguration, parámetro cypherkey. El siguiente ejemplo de uso muestra una operación de cifrado y descifrado obteniendo así el texto original. Ejemplo de uso String texto = "Ejemplo de cifrado/descifrado"; log.info("texto original: '" + texto + "'"); // Cifrar texto con clave String cifrado = null; try { cifrado = this.asfservice.cifrar(texto); } catch (ServiceException e) { log.error("error cifrando datos.", e); } log.info("texto cifrado: '" + cifrado + "'"); // Descifrar texto con clave String descifrado = null; try { descifrado = this.asfservice.descifrar(cifrado); } catch (ServiceException e) { log.error("error descifrando datos.", e); } log.info("texto descifrado: '" + descifrado + "'"); 22 de 30

23 4.3. Cifrado y descifrado de datos con certificado Para el cifrado de datos con clave se utiliza también el método cifrar, aunque los parámetros a pasar son diferentes de los del apartado anterior. Su correspondiente método de descifrado es descifrar. A continuación se muestra un extracto de la interfaz de servicio: AsfService.java /** * Cifrar texto con certificado texto texto a cifrar aliascertificado alias del certificado de firma en plataforma ASF texto cifrado ServiceException si ha habido problemas en el firmado */ String cifrar(string texto, String aliascertificado) throws ServiceException; /** * Descifrar texto con certificado texto texto a descifrar aliascertificado alias del certificado de firma en plataforma ASF texto descifrado ServiceException si ha habido problemas en el descifrado */ String descifrar(string texto, String aliascertificado) throws ServiceException; 23 de 30

24 El certificado cuyo alias se pasa en los métodos de cifrado y descifrado deberá estar dado de alta en la plataforma ASF para el id de aplicación configurado. El siguiente ejemplo de uso muestra una operación de cifrado y descifrado obteniendo así el texto original. Ejemplo de uso String texto = "Texto de ejemplo"; String aliascertificado = "2w"; // Certificado instalado en ASF log.info("texto original: '" + texto + "'"); // Cifrar texto con certificado String cifrado = null; try { cifrado = this.asfservice.cifrar(texto, aliascertificado); } catch (ServiceException e) { log.error("error cifrando datos.", e); } log.info("texto cifrado: '" + cifrado + "'"); // Descifrar texto con certificado String descifrado = null; try { descifrado = this.asfservice.descifrar(cifrado, aliascertificado); } catch (ServiceException e) { log.error("error descifrando datos.", e); } log.info("texto descifrado: '" + descifrado + "'"); 24 de 30

25 4.4. Firma electrónica en servidor La firma electrónica de unos datos permite garantizar su integridad (que no ha sido modificada desde que se firmó) y el no repudio (no se puede negar haber firmado los datos); opcionalmente también permite garantizar que los datos fueron firmados en un momento determinado. Para realizar una firma electrónica en servidor, ser utiliza el método firmar, que recibe dos parámetros: un array de bytes con los datos a firmar y una cadena con el alias del certificado con el que se quieren firmar (tiene que estar definido previamente en ASF para la aplicación). El método devuelve una cadena con la firma codificada en base 64. Si se quiere firmar un texto, es buena práctica especificar una codificación concreta a la hora de obtener el array de bytes, como se puede ver en el siguiente ejemplo: AsfService.java /** * Realiza una firma digital de los datos pasados con el certificado identificado * por el alias datos datos para realizar la firma digital alias alias del certificado en la plataforma ASF firma digital ServiceException si hubo algún problema */ String firmar(byte[] datos, String alias) throws ServiceException; A continuación se muestra un ejemplo de uso de firmado con certificado: Ejemplo de uso String texto = "Texto de ejemplo"; String aliascertificado = "1r"; // Tiene que estar dado de alta en ASF log.info("texto original: '" + texto + "'"); // Firmado String firma = null; try { firma = this.asfservice.firmar(texto.getbytes(), aliascertificado); } catch (ServiceException e) { log.error("error realizando firma.", e); } log.info("firma: '" + firma + "'"); 25 de 30

26 4.5. Validación de firmas electrónicas La validación de la firma electrónica de unos datos permite comprobar su integridad (que no ha sido modificada desde que se firmó) y el no repudio (no se puede negar haber firmado los datos); opcionalmente también permite garantizar que los datos fueron firmados en un momento determinado. Para validar una firma electrónica, ser utiliza el método validar, que recibe dos parámetros: un array de bytes con los datos originales y una cadena con la firma codificada en base 64. El método devuelve una enumeración de tipo SignatureStatus. AsfService.java /** * Realiza una validación de la firma digital pasada respecto al texto signeddata datos de firma digital firma texto original con el que se ha realizado la firma SignatureEstatus con el estado de la firma ServiceException si hubo algún problema */ SignatureStatus validarfirma(byte[] signeddata, String firma) throws ServiceException; Ejemplo de uso // Validación de firma String texto = "Texto de ejemplo"; String firma = "[...]"; // firma del texto en formato Base64 try { // La firma será correcta, el resultado será SignatureStatus.OK SignatureStatus estado = this.asfservice.validarfirma(texto.getbytes(), firma); log.info("estado para texto: " + estado); // El texto firmado ha sido modificado (touppercase()), el resultado será // SignatureStatus.NOT_VALID estado = this.asfservice.validarfirma(texto.touppercase().getbytes(), firma); log.info("estado para texto modificado: " + estado); } catch (ServiceException e) { log.error("error verificando firma.", e); } 26 de 30

27 4.6. Verificación de un certificado digital La verificación de un certificado digital permite comprobar que es válido (que no está caducado, que no ha sido revocado, que se confía en su emisor, que no ha sido modificado desde su emisión ). Para verificar un certificado electrónico, ser utiliza el método getestadocertificado. Este método acepta instancias de X509Certificate y representaciones en base64 de un certificado (formato PEM). El resultado de este método es un objeto de tipo CertificateStatus. Test de ejemplo de comprobación de estado de certificado String aliasrevocado = "4g"; String aliascorrecto = "2w"; String pemcertificate = // certificado '2w' "-----BEGIN CERTIFICATE-----\n" + "MIID1jCCAz+gAwIBAgIBcDANBgkqhkiG9w0BAQUFADCBnzELMAkGA1UEBhMCRVMx\n" + "[...]" + "e2tbpsz7/w7hxnfdci0epxdeqtsys6movfy=\n" + "-----END CERTIFICATE-----\n"; try { CertificateStatus status = this.asfservice.getestadocertificado( getcertificate(aliasrevocado)); assertequals(status, CertificateStatus.REVOKED); status = this.asfservice.getestadocertificado(getcertificate(aliascorrecto)); assertequals(status, CertificateStatus.OK); // Certificado en formato PEM status = this.asfservice.getestadocertificado(pemcertificate); assertequals(status, CertificateStatus.OK); } catch (ServiceException e) { fail("error de certificado: " + e.getmessage()); } Aunque con getestadocertificado se puede comprobar si el certificado ha sido revocado, se ha creado un método específico para hacer esta comprobación. El método es comprobarrevocacion que devuelve un booleano indicando si el certificado está revocado (true) o no (false). Este método, también admite el certificado a comprobar en base64 o en X509Certificate Firma en cliente Para la ejecución de la firma en cliente es necesario tener correctamente configurado el parámetro asf.clientjsurl en el fichero environment.properties. La URL de acceso al objeto websigner se obtendrá entonces, a través del método del servicio de asf que tendrá 27 de 30

28 que ser propagado a la página de firma. AsfService.java /** * Devuelve la ruta al fichero Javascript de firma de cliente en ASF. la url del javascript de ASF para firma en cliente */ String getclientjavascripturl(); firmacliente.xhtml [...] <ui:define name="headerinsert"> [...] <script type="text/javascript" src="#{asfbean.clientjavascripturl}"></script> En el ejemplo anterior, la llamada #{asfbean.clientjavascripturl} proporciona la url del websigner a través de una llamada a la fachada de aplicación, que a su vez la obtendrá llamando al método getclientjavascripturl() del servicio de Asf. Después de la inicialización del websigner, este ya está preparado para su uso. El proceso de firma completo requiere de la selección del certificado de usuario, obtención del texto a firmar y ejecución de la firma llamando al websigner. Existe una aplicación de ejemplo en el portal de documentación con un ejemplo completo de uso del websigner de Asf. Los elementos principales de la demostración de la firma en cliente son los siguientes: src/main/webapp/secure/firmacliente.xhtml: página de demostración de uso del websigner. El javascript de esta página gestiona los datos y el estado de los elementos del proceso de firma, tales como el combo de certificados y el textarea del texto a firmar. src/main/webapp/js/asfsign.js: librería javascript de utilidad que simplifica la comunicación con el websigner. Se gestionan las llamadas al websigner con soporte para debug básico del proceso (a través de elementos alert ). src/main/java/atlasfrm/samples/jsf/asfbean.java: managed bean de JSF que controla las acciones de la aplicación de demostración de ASF y del que se obtiene la URL del javascript del websigner. En este bean se obtiene dicha URL directamente del servicio por simplicidad al ser una aplicación de demostración. En una aplicación real esto se tendrá que hacer a través de una fachada tal y como especifica la normativa de desarrollo. 28 de 30

29 4.8. Aplicación de ejemplo Para facilitar en lo posible el uso de la plataforma ASF se ha creado una aplicación de demostración de uso ejemplificando las comunicaciones con el servicio de la librería de seguridad. El acceso al código fuente de esta aplicación está disponible para su estudio en el Portal de Documentación. La estructura de la aplicación se ha simplificado todo lo posible con el objetivo de ayudar a aportar claridad a los ejemplos de uso de la plataforma Asf. Todos los ejemplos de código de este manual han sido tomados de esta aplicación. 29 de 30

30 5. ENLACES RELACIONADOS Producto Spring ASF Certificados digitales Demostración de ASF URL de 30