I. SUMARIO II. A QUIÉN VA DIRIGIDA ESTA GUÍA? Enterprise Certificate Lifecycle Management

Transcripción

1 I. SUMARIO RedTrust es un Gestor corporativo de Certificados de autenticación y firma permitiendo su uso de modo centralizado, seguro y controlado. En la presente guía se ofrece una manual de Administración de la unidad recorriendo el interfaz de administración y describiendo cómo realizar las tareas más típicas de administración de la unidad. II. A QUIÉN VA DIRIGIDA ESTA GUÍA? Esta guía describe a alto nivel los componentes de la instalación de RedTrust y está dirigida al personal Técnico de Sistemas responsable de preparar el despliegue en la red de la unidad RedTrust. La audiencia de esta guía incluye, - Administradores de sistemas - Integradores de RedTrust - Arquitectos TI - Personal de soporte TI El lector de este documento debería estar familiarizado con, - Despliegue de appliances en redes corporativas - Administración de servidores Microsoft, PDC y AD - Conceptos PKI, autenticación y firma mediante certificados 1/87

2 III. CONTROL DE CAMBIOS Date Version Description Author Version inicial (draft) JG/JC Actualizado a RT v1.11 JG/JC Actualizado a RT v1.20 JC Actualizado a RT v1.30 JH Actualizado a RT v1.40 JH Actualizado a RT v1.50 JH Actualizado a RT v1.60 JH Actualizado a RT v1.65 DR/JM Actualizado a RT v1.70 JM/EV Actualizado a RT v1.80 JH/EV 2/87

3 Guía de administración 1. ADMINISTRACIÓN DE REDTRUST Cómo acceder a la página de administración? Configuración del dispositivo Active directory Mensajes de error Syslog Configuración de alertas Configuración del servidor de tiempo Alta disponibilidad GESTIÓN DE CERTIFICADOS CERTIFICADOS DE USO PERSONAL CERTIFICADOS DE FIRMA AVANZADA Añadir un nuevo certificado de firma avanzada Acciones Gestión múltiple de certificados de firma avanzada Agrupación de certificados de firma avanzada Alertas Herramientas CERTIFICADOS DE FIRMA RECONOCIDA Gestión de certificados de firma reconocida Acciones CERTIFICADOS PENDIENTES DE ACTIVACIÓN Gestión múltiple de certificados pendientes de activación Acciones CERTIFICADOS PERSONALES Acciones Gestión múltiple de certificados personales CERTIFICADOS DE DISTRIBUCIÓN CERTIFICADOS DE Gestión de certificados de Acciones Certificados de CA Gestión de certificados de CA Acciones GESTIÓN DE POLÍTICAS Aplicaciones Sitios web POLÍTICAS PRIVADAS Crear una Política Edición de políticas Filtros FIRMA PERFILES DSS Creación de perfiles de firma Políticas de firma Niveles Modos Algoritmos TSP Certificados Gestión y versionado de Perfiles TSPs /87

4 4.2.1 Creación de TSP s Gestión de TSPs EVENTOS TIPOS DE EVENTOS GESTIÓN DE EVENTOS Filtros Herramientas Unidad Información Copia de seguridad Red Mantenimiento ACCESO Dominios Creación y gestión de dominios remotos: Active Directory y LDAP Creación y gestión de dominios locales I Local Users Creación y gestión de dominios locales II: Código de Activación Creación y gestión de dominios locales III: Usuarios de Certificados Roles y grupos de certificados Grupos de certificados Roles y permisos Credenciales AJUSTES DEL SISTEMA Servicios Alertas Active directory Syslog Mensajes Servidor NTP Alta Disponibilidad Configuración HA Registro Registro sistema PRUEBAS BÁSICAS DE FUNCIONALIDAD Antes de empezar Tests funcionalidad básica I. SUMARIO... 1 II. A QUIÉN VA DIRIGIDA ESTA GUÍA?... 1 III. CONTROL DE CAMBIOS /87

5 1. ADMINISTRACIÓN DE REDTRUST La administración y configuración de RedTrust se realiza íntegramente desde la página de administración web habilitada a tal efecto en la unidad. En las siguientes secciones se describen las distintas vistas de las que se compone además de un ejemplo de cómo realizar las tareas de administración típicas en la unidad. 1.1 CÓMO ACCEDER A LA PÁGINA DE ADMINISTRACIÓN? Para acceder a la página de administración simplemente escriba la siguiente URL en un navegador compatible. *Actualmente el interfaz web es compatible con navegadores Mozilla Firefox 3.6 y versiones superiores, e IExplorer 8 y versiones superiores. Ingrese con una cuenta de SuperAdministrador. La unidad ya viene preconfigurada con la siguiente cuenta de Administrador: Dominio: local Usuario: admin Clave: Admin123 Importante: Por favor, cambie la clave por defecto que viene asignada al usuario admin por otra de su elección. Puede hacerlo accediendo a Sistema > Gestión de Roles > Acceso 5/87

6 1.2 CONFIGURACIÓN DEL DISPOSITIVO 1. Para poder realizar una configuración básica de la unidad procederemos a entrar en la web de administración de RedTrust. 2. Entramos en la consola con el usuario de Administración y seguidamente nos dirigimos a la pestaña Sistema. 3. Accedemos a la vista de configuración de la unidad, en Sistema > Unidad Active directory Nota: Esta sección solo es aplicable a dispositivos RedTrust configurados para ser usados con repositorios de directorio corporativo. Configuraremos primero el Active Directory, accediendo al mismo desde la pestaña Servicios que se halla en la sección Sistema. Para poder configurar correctamente el Active Directory, tendremos que pedir al Administrador de Sistemas encargado de la gestión del mismo que cree un usuario de consulta para visualizar los usuarios que tiene dicho directorio. De este modo, les podremos asignar tanto los certificados que añadiremos al dispositivo a posteriori, como los roles. Podemos añadir diferentes Active Directory en el dispositivo Mensajes de error 6/87

7 Seguidamente procederemos a configurar los mensajes de error que nos aparecerán en el navegador cuando el usuario no tenga permisos para usar o acceder a una web con certificado o cuando la sesión esté caducada. Para poder configurar los mensajes, seleccionaremos el menú Mensajes que se halla dentro de la pestaña Servicios. Si queremos, podremos visualizar como quedarían los mensajes de error, activando el botón de Previsualización que encontramos para ambos casos. Tras introducir las pertinentes modificaciones en los textos tanto de Permiso denegado como de Sesión caducada, marcamos el botón de Aplicar Cambios. Nos aparecerá una pantalla indicándonos que los cambios se han efectuado. Seguidamente podemos visualizar cómo quedarán nuestras pantallas de mensaje de error. He aquí un ejemplo: Nota: Esta es una imagen de muestra. El logotipo que aparece en la parte superior no está incluido en el sistema ya que el usuario debe de escoger su propia imagen corporativa Syslog 7/87

8 El siguiente paso a configurar es el envío de logs al Syslog. Para esto, seleccionaremos el menú Syslog, dentro de la pestaña Servicios. Rellenaremos los campos tanto de la IP del Syslog como el del puerto (por defecto 514 UDP). Marcaremos el "check" de Activado, el check de Usar protocolotcp en vez de UDP (si queremos que se conecte por TCP) y seleccionaremos el botón de Aplicar Configuración de alertas En este apartado se puede configurar la cuenta de correo a la que se enviarán las alertas generadas por RedTrust. Esto incluye la configuración de un servidor smtp y sus datos de autenticación así como una casilla que permite activar o desactivar el envío de alertas por correo electrónico Configuración del servidor de tiempo En el menú Servidor NTP se puede configurar el servidor de tiempo para sincronizar la hora de la unidad. Este servidor puede ser configurado indicándole el nombre del servidor o directamente la IP del mismo. El botón Probar permite hacer una petición al servidor para comprobar su funcionamiento antes de aplicar la configuración. Desde este mismo menú podremos configurar la zona horaria del servidor. Seleccionamos del desplegable la zona horaria deseada y pulsamos el botón Aplicar que aparece al seleccionar una zona horaria distinta a la 8/87

9 actual. El cambio de zona horaria requiere un reinicio de los servicios de RedTrust, por lo tanto se requiere de la autenticación por parte del usuario SuperAdministrador para tal efecto Alta disponibilidad RedTrust permite el uso de dos unidades enlazadas para dar servicio en un entorno de alta disponibilidad. En esta configuración, una unidad trabaja como unidad primaria dando servicio a los clientes. En caso de fallo de esta unidad, la unidad secundaria asume toda la carga de trabajo hasta que la primaria queda restaurada. Paso 1: Asignación de la unidad secundaria El primer paso para configurar un entorno de alta disponibilidad es enlazar las dos unidades, comenzando por la unidad secundaria. Para ello ingresamos en la unidad destinada a ser secundaria y nos dirigimos a la sección Sistema, pestaña Alta Disponibilidad y seleccionamos el botón Rol secundario 9/87

10 Paso 2: IP de la unidad secundaria En la siguiente pantalla seleccionamos la IP de la unidad destinada a ser primaria y aplicamos los cambios. La unidad secundaria queda lista para aceptar a la unidad primaria en un entorno de alta disponibilidad: Paso3: Configuración unidad primaria El siguiente paso es la configuración de la unidad destinada a unidad primaria. Para ello ingresamos en la unidad: sección Sistema, pestaña Alta Disponibilidad y pulsamos esta vez el botón de Rol primario 10/87

11 Paso 4: Testeo de IP Esta pantalla nos muestra un asistente para la configuración de la unidad primaria. El primer paso es la introducción de la IP de la unidad secundaria. El botón Probar nos permite comprobar si dicha IP contiene una unidad preparada para funcionar como unidad secundaria. Si la IP es correcta, avanzamos al siguiente paso Paso 5: Selección de datos En este paso seleccionamos el conjunto de datos (certificados, políticas, alertas...) que se utilizarán y que pueden ser los de cualquiera de las dos unidades. Esto quiere decir que si elegimos la unidad secundaria, todos sus datos serán copiados a la unidad primaria, quedando los datos de esta sobrescritos y quedando por lo tanto solo recuperables a través de una copia de seguridad. 11/87

12 Paso 6: Resumen y confirmación En el último paso vemos un resumen de la configuración de alta disponibilidad y es necesario que confirmemos que hemos entendido y que estamos de acuerdo con dicha configuración. Tras pulsar finalizar y si todo es correcto veremos cómo tanto la unidad primaria cómo la secundaria quedan configuradas en alta disponibilidad. Funcionamiento degradado En caso de fallo de una de las unidades, la otra pasará a un estado de funcionamiento degradado en el que asumirá toda la carga de trabajo en espera a que la otra unidad se recupere. 12/87

13 En esta imagen se puede ver como la unidad secundaria ha asumido la carga de trabajo tras pasar al estado degradado. En este estado, el usuario puede gestionar certificados, políticas y eventos de forma eventual sobre la unidad secundaria. Resolución de conflictos Cuando la incidencia en alta disponibilidad está solucionada y las dos unidades vuelven a estar online, puede darse el caso que haya una discrepancia en los datos entre las dos unidades debido a haber realizado cambios en la unidad secundaria mientras la primaria estaba offline. En este caso es necesario que el usuario solucione manualmente el conflicto, seleccionando la unidad que contiene el conjunto de datos válido y que quiere que se aplique a partir de ahora. Tras elegir una opción y resolver el conflicto, las dos unidades deben quedar en estado Online que indica que la configuración en alta disponibilidad vuelve a estar operativa. 13/87

14 Registro de alta disponibilidad La pestaña registro muestra una lista con los eventos relacionados con la alta disponibilidad 2. GESTIÓN DE CERTIFICADOS Existen siete tipos de certificados en RedTrust, divididos en dos grandes grupos: a) Certificados de uso personal: - Certificados de firma avanzada - Certificados de firma reconocida (sólo en versión Local Users) - Certificados precargados - Certificados personales b) Certificados de distribución: - Certificados de - Certificados de CA - Certificados de CA Locales Se puede acceder al listado de cada uno de estos tipos de certificados mediante las siete pestañas laterales que se hallan en la sección Certificados. 14/87

15 2.1 CERTIFICADOS DE USO PERSONAL Certificados De Firma Avanzada En esta sección de la web es posible añadir nuevos certificados de firma avanzada a RedTrust, borrarlos, activarlos, agruparlos y definir alertas sobre sus eventos Añadir un nuevo certificado de firma avanzada El primer paso es añadir nuevos certificados al sistema. Para ello, seleccionamos Nuevo. Se nos abrirá una ventana desde la que podemos seleccionar a qué grupos se van a añadir el/los certificados y seguidamente otra ventana desde la que podemos seleccionar un archivo *.pfx, *.p12 o *.zip (con uno o varios ficheros *.pfx o *.p12) de nuestro sistema, así como introducir la contraseña de los mismos. Todos los *.pfx o *.p12 del archivo *.zip deben tener la misma contraseña, si no es así, solamente aquellos que coincidan con la contraseña correcta serán instalados en el sistema. 15/87

16 Acciones Una vez añadido podemos realizar una serie de acciones individuales sobre cada certificado. A estas acciones se accede situando el puntero del ratón sobre el icono de editar en la última columna. Ver: Esta opción permite visualizar el contenido del certificado y también da la opción de editar el nombre con el que se muestra dentro de RedTrust. 16/87

17 Renovar: Esta opción permite volver a subir a RedTrust una lista de certificados para renovarlos. Mediante esta opción los antiguos certificados se substituyen por los nuevos, manteniendo el nombre y todos sus usos en las políticas. Editar: Nos muestra una ventana donde podemos editar el nombre del certificado y asignarle un código PIN mediante el checkbox Pedir PIN siempre. Al activar esta opción, aparecerá un campo donde introducir el código de 4 cifras deseado. Este código se solicitará cada vez que se haga uso del certificado y siempre aparecerá enmascarado, por lo que no puede consultarse una vez introducido. En caso de olvido del código PIN, deberemos contactar con nuestro administrador habitual. Desactivar/Activar: Permite desactivar o activar un certificado. Destruir: Esta opción permite borrar completamente un certificado de RedTrust. En caso que existiera una política que únicamente hiciera uso de este certificado, se permite que esta política quede no asociada a ningún certificado. De esta manera es posible reutilizar la política asociándola más tarde a otro certificado desde la pantalla de gestión de políticas.descargar: Esta opción permite descargar la parte pública de un certificado en un fichero en formato.cer Alertas: Permite definir alertas sobre los certificados y nos muestra un listado con las alertas que ya han sido generadas para el certificado seleccionado. En este momento se permite definir alertas que se disparan cuando quedan n días para que el certificado caduque y que envían un a la lista de destinatarios definida. 17/87

18 Se pueden añadir nuevas alertas a un certificado seleccionado mediante el botón Nueva alerta. En la ventana de creación de la alerta, debemos definir cuántos eventos van asociados a la misma (número de días de aviso previo a la caducidad del certificado). Podemos añadir varios eventos a una misma alerta. También definiremos quién o quiénes recibirán estos avisos, mediante la introducción de una lista de destinatarios de correo. 18/87

19 Gestión múltiple de certificados de firma avanzada La pantalla de gestión de certificados nos permite seleccionar múltiples certificados para realizar sobre ellos una acción así como filtrar la vista por diversos criterios. De esta manera se pueden seleccionar diversos certificados a través de las diferentes páginas. Aquí se puede ver como el botón Editar indica el número de certificados seleccionados sobre los que se realizará la acción elegida. El botón Ver nos permite filtrar la vista por todos, seleccionados o certificados expirados. 19/87

20 Adicionalmente podemos añadir un criterio de búsqueda en el campo de texto a la derecha. Este criterio se añadirá al que tengamos ya seleccionado Agrupación de certificados de firma avanzada Es posible modificar la vista para que los certificados aparezcan desglosados por grupos, políticas o usuarios. A esta funcionalidad se accede a través del botón Agrupar por Alertas El botón Alertas, nos muestra una ventana con el listado de todas alertas de certificados existentes. Desde este entorno podemos crear nuevas alertas y asociarlas a certificados mediante el botón Nueva alerta, así como editar o eliminar alertas existentes. Se pueden crear alertas para todos los tipos de certificados en RedTrust. Debido a esto, la herramienta aparece en todas las vistas de certificados y posee el mismo funcionamiento para todas ellas. Al crear una nueva alerta, definiremos su tipo e indicaremos qué certificados asociaremos a la misma. También y como vimos anteriormente en la ventana de alertas asociadas a un certificado concreto, introduciremos los eventos de aviso y los correos de aquellos usuarios que queramos que los reciban. 20/87

21 Herramientas A la derecha del campo de búsqueda existe un menú de herramientas que permite: Imprimir la vista actual: abre una vista limpia lista para imprimir Exportar a CSV: Permite exportar la vista a un fichero en formato cvs. Recalcular contadores: Recalcula el número de usos de los certificados Certificados De Firma Reconocida 21/87

22 Los certificados de firma reconocida o unipersonales son aquellos a los que sólo tiene acceso un único usuario. Este usuarios es aquél para el cual se hace una petición de generación de certificado en una CA externa. La generación de este tipo de certificados corre a cargo del rol de usuario Operador (véase apartado Roles y permisos ). Este rol Operador, genera el certificado a través de una CA usando el CSP de RedTrust. Dicho certificado se asigna automáticamente a un usuario a partir de la información obtenida tras su generación (en este caso, el DNI). Para realizar este proceso, RedTrust incorpora un plugin de soporte para Firma Profesional. Los requisitos para la generación de certificados unipersonales son: - Tener habilitado el soporte para Firma Profesional en RedTrust. - Habilitar el sistema en modo Local Users. - Ingresar al sistema con un rol Operador. - Tener habilitados los permisos necesarios para la gestión de Políticas Template. Este tipo de políticas están vinculadas a los certificados unipersonales, ya que se crean cuando el usuario Operador genera un certificado (véase apartado 3.5 Políticas Template ). Nota: Esta sección solo es aplicable a dispositivos RedTrust configurados en modo Local Users Gestión de certificados de firma reconocida La vista de gestión de este tipo de certificados es muy similar a la de los certificados de firma avanzada (reconocida). Posee casi las mismas herramientas y botones a excepción del de añadir Nuevo certificado (ya que el rol Operador es el único que puede desempeñar esta tarea) y el de Agrupar. Mediante le botón Ver, podemos filtrar la lista de certificados unipersonales. El botón Editar solamente permite la acción de destruir certificados Acciones 22/87

23 Una vez añadidos los certificados, podemos realizar una serie de acciones individuales sobre cada uno. A estas acciones se accede situando el puntero del ratón sobre el icono situado en la columna Acción. Las opciones disponibles para los botones desplegables de la columna Acción son: Ver: muestra una ventana con los datos del certificado. Eliminar: esta opción permite borrar completamente un certificado de RedTrust. Descargar: posibilita la descarga de la parte pública del certificado Alertas: muestra una ventana con las alertas asociadas al certificado Certificados Pendientes De Activación Los certificados denominados pendientes de activación son certificados personales que se hallan en un estado de precarga dentro del sistema, es decir, que deben de activarse para poder ser utilizados por sus propietarios. El administrador o, los propios usuarios propietarios son los que cargan estos certificados a través del agente de RedTrust. Una vez cargados en el sistema, aparecen listados en la vista de certificados pendientes de activación y pueden ser activados por los respectivos propietarios desde su Área Personal. Nota: el administrador de RedTrust tiene acceso a una vista general de todos los certificados precargados por todo el conjunto de usuarios del sistema. Por otro lado, cada usuario posee un Área Personal exclusiva y única de sus propios certificados. Para ampliar información, consulte el apartado Área Personal Gestión múltiple de certificados pendientes de activación El control Ver, nos permite filtrar la vista por los elementos seleccionados. El selector Agrupar por, permite agrupar los elementos de la lista por los criterios de fecha de carga o propietario. 23/87

24 Con el botón Editar, podemos eliminar varios elementos a la vez, seleccionándolos previamente en la lista Acciones Destruir: el administrador puede destruir los certificados en estado de precarga de los diferentes usuarios del sistema Certificados Personales Los certificados personales, como su nombre indica, pertenecen a un único usuario, siendo este el único propietario autorizado para su uso. Por este motivo, no se asocian a ninguna política. Cuando se activa un certificado Pendiente, éste pasa al estatus de certificado Personal, de forma que desaparece de la vista de pendientes de Activación, para mostrarse en el listado de personales. En la web de administración, se puede 24/87

25 acceder a un listado donde se muestran todos los certificados personales existentes en el sistema, con sus respectivos propietarios. Nota: al igual que con los certificados Pendientes, el administrador de ReTtrust tiene acceso a una vista general de todos los certificados personales del conjunto de usuarios del sistema. Por otro lado, un usuario particular, podrá acceder su Área personal en donde se le mostrará una lista exclusiva de sus propios certificados personales. Para ampliar información, consulte el apartado Área Personal Acciones Ver: muestra una ventana con información general sobre el certificado y otros detalles, así como un listado de atributos. Editar: muestra una pequeña ventana modal que permite editar el nombre (alias) del certificado. Activar/Desactivar: cambia el estatus del certificado. Destruir: elimina el certificado del sistema de forma permanente. Descargar: descarga automáticamente en el equipo la parte pública del certificado. 25/87

26 Alertas: muestra una ventana que permite gestionar y configurar alertas sobre el uso y caducidad del certificado. Regenerar PIN: muestra una ventana con un campo para introducir el del usuario propietario del certificado. Al pulsar Regenerar se enviará un mensaje al especificado con un código de activación (token). El propietario podrá utilizar este token para reactivar el certificado y completar el proceso de regeneración del PIN Gestión múltiple de certificados personales El control Ver, nos permite filtrar la vista por los elementos seleccionados. El selector Agrupar por, permite agrupar los elementos de la lista por propietario. Con el botón Editar, podemos eliminar, activar o desactivar varios elementos a la vez, seleccionándolos previamente en la lista. Alertas, permite visualizar las alertas de todos los certificados personales, editarlas y crear nuevas. Funciona igual que las alertas que se pueden generar para los certificados de firma avanzada o reconocida. 26/87

27 2.2 CERTIFICADOS DE DISTRIBUCIÓN Certificados De Los certificados de son certificados con un asociado que se distribuyen de forma silenciosa entre todos los clientes de RedTrust. En el caso de que el cliente tenga instalado Outlook 2007 o 2010, estos certificados se añadirán automáticamente a la lista de contactos Gestión de certificados de Para añadir un nuevo certificado de debemos pulsar el botón Nuevo de la parte superior izquierda de la vista. A continuación se mostrará un diálogo modal donde deberemos escoger un certificado de tipo.cer,.crt, etc Acciones Una vez añadidos los certificados, podemos realizar una serie de acciones individuales sobre cada uno. A estas acciones se accede situando el puntero del ratón sobre el icono situado en la columna Acción Ver: Esta opción permite visualizar el contenido del certificado y sus atributos. 27/87

28 Destruir: Esta opción permite borrar completamente un certificado de RedTrust. Descargar: Esta opción permite descargar el certificado en un fichero en formato.cer Alertas: Permite definir alertas sobre los certificados. En este momento se permite definir alertas que se disparan cuando quedan n días para que el certificado caduque y que envían un a la lista de destinatarios definida Certificados de CA Estos certificados no incluyen clave privada y serán distribuidos entre todos los agentes RedTrust e instalados en el registro local de cada máquina como entidad raíz de confianza. La distribución de dichos certificados se realizará una vez el agente haya realizado un inicio de sesión correcto, i.e.: Aceptada la conexión de una aplicación cualquiera. Dicha actualización no volverá a realizarse hasta que no se haya añadido algún certificado nuevo. Importante: Al borrar un certificado el cambio no se verá reflejado en los agentes. Seguirán conservando las CA instaladas Gestión de certificados de CA Para añadir un nuevo certificado de CA debemos pulsar el botón Nuevo de la parte superior izquierda de la ventana. A continuación se mostrará un diálogo modal donde deberemos escoger un certificado de tipo DER codificado o en Base64 (.cer,.crt, etc.) Acciones Una vez añadidos los certificados, podemos realizar una serie de acciones individuales sobre cada uno. A estas acciones se accede situando el puntero del ratón sobre el icono situado en la columna Acción. 28/87

29 Ver: Esta opción permite visualizar el contenido del certificado y sus atributos. Destruir: Esta opción permite borrar completamente un certificado de RedTrust. Descargar: Esta opción permite descargar el certificado en un fichero en formato.cer Alertas: Permite definir alertas sobre los certificados. En este momento se permite definir alertas que se disparan cuando quedan n días para que el certificado caduque y que envían un a la lista de destinatarios definida. 29/87

30 3. GESTIÓN DE POLÍTICAS La gestión de políticas se realiza íntegramente desde la sección Políticas. Existen varios tipos de políticas en el sistema: - Privadas - Unipersonales - Plantillas (solo en modo Local Users) Cada uno de estos tipos posee su propia vista, permitiendo la creación, edición y borrado de sus elementos. Al igual que la vista de certificados se permite la acción sobre múltiples políticas así como su filtrado. El primer paso para poder definir políticas es definir los sitios web y las aplicaciones sobre las que se aplicarán las políticas. 30/87

31 3.1 APLICACIONES En la pestaña de Aplicaciones podremos dar de alta las diferentes aplicaciones que van a usar los certificados del dispositivo, así como ver un listado de aquellas existentes el sistema. Para añadir una nueva aplicación, pulsamos el botón Añadir nueva aplicación o Suite.En la ventana emergente introduciremos las aplicaciones a las que harán referencia las políticas. Los campos a rellenar son los siguientes: Nombre : escribimos el nombre de referencia a la aplicación o aplicaciones que queramos introducir. Proceso : Indicamos el nombre del proceso que abre la aplicación.preseleccionar certificados: marcando esta opción, se habilita la selección manual de certificados cada vez que el usuario ejecuta la aplicación. La selección se realiza mediante un pop-up de RedTrust que aparecerá automáticamente en el entorno del 31/87

32 usuario. Esta opción resulta muy útil para optimizar el uso de certificados con ciertas aplicaciones, como por ejemplo, aquellas basadas en Java. En el listado principal, aquellas aplicaciones en las que se habilite la preselección de certificados, aparecerán con una marca de verificación en la columna Preselección. Podemos ir añadiendo los procesos que queramos hasta obtener una lista y aceptar la creación de la aplicación. Desde el listado general de aplicaciones podemos eliminar los elementos existentes así como editarlos cambiando su nombre o añadiendo más procesos, mediante los botones de la columna Acción 3.2 SITIOS WEB En la pestaña Sitios de la sección de Políticas podremos dar de alta la dirección web o grupo de direcciones que usarán los diferentes certificados, así como ver un listado de los sitios existentes. Desde el listado podemos editar o eliminar los sitios existentes mediante los botones de la columna Acción. Todas las direcciones web se asocian a un nombre para poder asignarlas con mayor facilidad a las diferentes políticas que se crearán posteriormente. 32/87

33 Para añadir una dirección web o grupo de direcciones web, haremos click en el botón de Añadir nuevo sitio o grupo de sitios. En nombre de grupo escribiremos el nombre del grupo e iremos añadiendo, sea una o varias direcciones web hasta completar el grupo. RedTrust wildcards Las direcciones web soportan el uso del carácter '*' y '?' como comodines a la hora de definirlas. '*' se resuelve a cualquier cadena alfanumérica pero sin incluir '.', es decir, permite definir una cadena comodín dentro de un subdominio. Por ejemplo, www*.aeat.es se resuelve tanto a como a www1.aeat.es pero no a Para definir que aceptamos direcciones con 4 niveles de dominios sería necesario añadir un sitio al grupo: 33/87

34 Igualmente, el carácter '?' se puede resolver a cualquier carácter alfanumérico sin incluir '.' Las direcciones se pueden definir a nivel de host o a nivel de Url completa. La diferencia se marca con una / al final del dominio. Por ejemplo, *.agenciatributaria.gob.es/ resuelve con pero no con En cambio aplcr.dgt.es machea con cualquier url dentro de aplcr.dgt.es. También se pueden definir los filtros a nivel de url. Por ejemplo, *.agenciatributaria.gob.es/*/aeat machea con pero no con Combinando estos dos mecanismos se puede por ejemplo crear una política que dé acceso a todo un dominio y creando una política de más prioridad, denegar el acceso a una parte concreta de la web. 34/87

35 Expresiones regulares Otra forma de dar de alta un sitio web es usando expresiones regulares, para ello deberemos marcar el checkbox situado a la derecha del campo Sitio. Al añadir un sitio que usa expresiones regulares a la lista, la columna Reg Exp aparecerá marcada con un icono de verificación. Para más información sobre el uso de expresiones regulares, consultar la siguiente url: POLÍTICAS PRIVADAS Las políticas privas son aquellas que hacen uso de los certificados de firma avanzada. Podemos hallarlas en la sección de Políticas, en las pestañas laterales. La vista y la gestión de políticas se realiza de forma similar a la de certificados. 35/87

36 3.3.1 Crear Una Política Privada El botón Nueva política abre una ventana emergente donde se puede indicar que certificados o grupos de certificados están asociados a la misma, a qué usuarios o grupos de usuarios afecta y en qué contextos y rangos de tiempo, así como definir si la política será de tipo permisivo o restrictivo. En el área superior podemos introducir el nombre de la política, su estado (activa o inactiva) y su prioridad respecto a otras políticas. La prioridad indica el orden de aplicación de las mismas. Cuando se evalúan las políticas para permitir o denegar el uso de un certificado se aplica la primera política aplicable a ese certificado por orden de prioridad. Cuando se encuentra una política aplicable, ya no se evalúan más políticas. En caso de igual prioridad, se elige la primera que se creó. La prioridad del rol que creó la política también interviene a la hora de seleccionar la política aplicable a la hora de usar un certificado, primero se evalúan las políticas creadas por los roles más prioritarios y por último las de los roles menos prioritarios. En las diferentes pestañas podemos definir los parámetros concretos de la política. Los campos para buscar los diferentes elementos se basan en un mecanismo de autocompletar en donde al empezar a escribir nos aparecerá un desplegable que coincida con la búsqueda. En la pestaña Certificados indicaremos sobre qué certificados o grupos de certificados se aplicará la política En la pestaña Quién? podemos añadir el usuario o usuarios que utilizarán la política. Podemos buscar un usuario escribiendo las dos primeras letras de su nombre en el campo Usuario. El mecanismo de 36/87

37 autocompleción nos mostrará una lista de los usuarios o grupos del Active Directory (o de los usuarios locales, dependiendo de la versión de RedTrust) cuyo nombre concuerda con el texto introducido y si vamos añadiendo mas letras, ira filtrando según el texto escrito hasta poder encontrarlo. En la pestaña Dónde? indicaremos a qué Aplicaciones y Sitios podrá acceder el/los usuario/s tal y como los hemos definido en el apartado anterior Tanto Aplicaciones como Sitios, pueden en vez de ser un programa en concreto o una página web, un grupo de programas o sitios web. De ser así, en el campo Elementos, podremos desplegar y ver de qué programas o URLs consta el grupo. En la pestaña Cuándo? podremos indicar el rango de tiempo asignado a dicha política. La opción Siempre, no nos restringe la utilización de dicha política En cambio, marcando la opción de Horario personalizado, podemos indicar desde algunas fechas en concreto, pasando por qué días y a qué horas se podrá usar la política. Al seleccionar esta opción, nos aparecerá un cuadro en donde prodremos definir la restricción temporal deseada. 37/87

38 Como podremos observar, al seleccionar el rango de fechas, aparece un calendario para poder introducir un rango de fechas a utilizar. En el rango de horas concreto podremos indicarle desde qué y hasta qué hora está permitida la política. Finalmente podremos indicar qué días de la semana se permite su utilización. Una vez definida la restricción, la añadiremos a la lista de descripciones que aparece en la parte inferior del cuadro mediante el botón Añadir. Se pueden añadir tantas restricciones temporales como se desee. Y finalmente, en el apartado Acción, podemos indicar a dicha política si es una política permisiva o por lo contrario, deniega el acceso de los usuarios asignados a las diferentes aplicaciones o grupos de sitios durante diferentes horas o días. Al aceptar, nos aparecerá un resumen de la política que hemos añadido. 38/87

39 3.3.2 Edición De Políticas Las políticas permiten acciones individuales sobre cada una de ellas. Estas acciones se seleccionan a través del menú que se despliega pulsando en los iconos de la columna Editar También se pueden realizar acciones sobre múltiples políticas seleccionando varias de la lista mediante los checkbox de la primera columna y pulsando el menú Editar Filtros La lista de políticas puede filtrarse por diversos criterios mediante el uso del botón Ver 39/87

40 Adicionalmente, se puede utilizar el campo de búsqueda. Al introducir un criterio de búsqueda en este campo, la vista actual se restringe a las políticas que contienen el criterio ya sea en su nombre, en el nombre de los certificados sobre los que actúan, en sus usuarios o en sus contextos. 4. FIRMA La sección de Firma da acceso a unas vistas (Perfiles DSS y TSPs) que permiten definir los diferentes perfiles de firma que se aplican en el momento de dar respuesta a la firma de un documento realizada a través del servicio de firma DSS. 4.1 PERFILES DSS Esta vista ofrece una lista de los perfiles definidos, así como funciones para buscar, filtrar y agrupar los elementos. Un perfil de firma se compone de una serie de parámetros que se aplican en el momento de realizar una firma. Algunos de estos parámetros pueden tener un valor forzado en el perfil o bien ofrecer un rango de posibles valores a elegir por el cliente. La siguiente tabla muestra el comportamiento del servicio de firma en función de si un parámetro está forzado en el perfil i/o la petición demanda un valor concreto para ese parámetro. Petición con valor especificado compatible con el perfil Valor Forzado Firma con valor especificado / forzado Rango de valores posibles en el perfil Firma con valor especificado en la petición 40/87

41 Petición con valor especificado no compatible con el perfil Petición con valor no especificado Retornar error Firma con valor especificado al perfil Retornar error Retornar error Creación De Perfiles De Firma Para crear un perfil de firma hay que pulsar en el botón de Nuevo perfil, en donde podremos elegir el tipo de firma que va a especificar este perfil: Una vez elegido se nos abrirá un diálogo en donde podremos elegir el nombre del perfil y los diferentes parámetros para cada tipo Políticas de firma Este diálogo nos permite especificar de manera opcional si las firmas realizadas mediante este perfil deben incorporar la información de que cumplen una política y/o compromiso de firma en concreto. La política se puede especificar mediante un identificador OId o mediante un Hash de la política. También se puede añadir el tipo de compromiso de firma mediante la introducción de un Id externo Niveles 41/87

42 Esta pestaña permite especificar que nivel de firma debe cumplir este perfil. Se puede elegir un conjunto posible de niveles o bien forzar uno en concreto. Los niveles de firma soportados son para cada tipo CMS y XMLSig: Sin niveles Xades y Cades: - BES: forma básica que simplemente cumple los requisitos legales de la Directiva para firma electrónica avanzada. - EPES: forma básica a la que se la ha añadido información sobre la política de firma. - T: (timestamp), añade un campo de sellado de tiempo para proteger contra el repudio. - C: (complete), añade referencias a datos de verificación (certificados y listas de revocación) a los documentos firmados para permitir verificación y validación off-line en el futuro (pero no almacena los datos en sí mismos). - X: (extended), añade sellos de tiempo a las referencias introducidas por C para evitar que pueda verse comprometida en el futuro una cadena de certificados. - XL: (extended long-term), añade los propios certificados y listas de revocación a los documentos firmados para permitir la verificación en el futuro incluso si las fuentes originales (de consulta de certificados o de las listas de revocación) no estuvieran ya disponibles. - A: (archivado), añade la posibilidad de timestamping periódico (por ej. cada año) de documentos archivados para prevenir que puedan ser comprometidos debido a la debilidad de la firma durante un periodo largo de almacenamiento. Pades: - BES: forma básica que simplemente cumple los requisitos legales de la Directiva para firma electrónica avanzada. - EPES: forma básica a la que se la ha añadido información sobre la política de firma. - LTV: Este nivel permite realizar una firma válida más allá de la validez del propio certificado firmante Modos 42/87

43 Esta pestaña permite especificar el modo de la firma, de nuevo con la posibilidad de forzar un valor o elegir un conjunto posible de ellos. Los modos disponibles son: - Enveloped: se usa para firmar alguna parte del documento contenedor. - Enveloping: contiene los datos firmados en sí misma. - Detached: se usa para firmar un recurso que se halla fuera del documento contenedor Algoritmos Esta pestaña permite escoger un conjunto de algoritmos de Firma posibles y un algoritmo de Digest. Los algoritmos de Firma son: - RSA: el tipo más extendido, es válido tanto para cifrar como para firmar. - DSA: estándar del Gobierno Federal de los Estados Unidos de América, sirve para firmar pero no para cifrar y requiere más tiempo de cómputo que RSA. - ECDSA: modificación de DSA, emplea operaciones sobre puntos de curvas elípticas. 43/87

44 Los algoritmos de Digest son: - SHA1: Algoritmo de Hash Seguro relacionado con la NSA. - SHA256 y SHA512: también conocidos como SHA2, dos de las cuatro variantes de SHA TSP Esta pestaña sirve para escoger los servidores TSP (Time Stamp Protocol) que el servidor puede usar para realizar los sellados de tiempo en las firmas que lo requieran. Se permite elegir un servidor primario y uno secundario, el cual se usará únicamente si el primario no está disponible. Nota: consulte el apartado TSPs del manual para configurar y añadir servidores de protocolo de sello de tiempo al sistema Certificados En esta pestaña, se puede especificar la validación del certificado firmante así como de su cadena de confianza. 44/87

45 La opción Validar certificados permite especificar que el certificado firmante se valide antes de realizar la prueba, fallando la firma si el certificado no es válido. La validación se realiza mediante el servicio prestado por un tercero y configurado en (enlace a configuración PSIS) La opción Validar cadena de certificados da la posibilidad de especificar un conjunto de certificados que el certificado firmante debe tener dentro de su cadena de confianza. Si no es así, la petición de firma es rechazada. Los certificados disponibles para esta cadena son los que se hallan en la sección de CAs Locales Gestión y versionado de Perfiles RedTrust permite el versionado de los perfiles de firma. Los perfiles son inmutables, en el sentido que una vez creados no se pueden modificar, asegurando la integridad de todas las firmas realizadas bajo ese perfil. El versionado permite realizar una versión del perfil modificando los parámetros que se requieran, de forma que las nuevas peticiones que especifiquen el perfil se realizarán teniendo en cuenta los nuevos parámetros, pero quedando las referencias a versiones anteriores intactas, ya que las firmas realizadas incluyen información sobre la versión concreta que realizó la firma. Para realizar una versión del perfil, solo hay que activar la opción Versionar Esto abre una pantalla en la que pueden modificar los parámetros de la versión a partir de los antiguos. El campo Versión permite visualizar cualquier versión que se haya hecho de este perfil, pudiendo activar cualquiera de ellos. Al activar una versión concreta, será esa versión la que se tendrá en cuenta a la hora de realizar una firma, quedando las otras versiones desactivadas. El listado de perfiles ofrece la posibilidad de visualizar los elementos agrupados por versiones, facilitando la gestión de éstas. Utilice el desplegable Agrupar por para seleccionar la vista agrupada por perfiles 45/87

46 4.2 TSPs Creación de TSP s Esta sección permite dar de alta una lista de servidores TSP (Time Stamp Protocol). Éstos, quedarán disponibles para ser incluidos dentro de los perfiles de firma como los servidores primario y secundario del protocolo de sello de tiempo. En esta pantalla se visualiza la lista y se dan opciones para buscar y filtrar los servidores así como opciones para editar y eliminarlos. El botón Nuevo TSP permite crear un nuevo TSP. 46/87

47 Esta pantalla permite dar un nombre al TSP, especificar su URL así como opcionalmente especificar la Política que usará el TSP y dar los datos de Autenticación si ésta fuere necesaria. También se fija una prioridad para cada TSP. Esta prioridad indica qué TSP se usará prioritariamente en caso que el perfil no especifique ningún TSP, pero la firma lo requiera Gestión de TSPs La gestión, tanto individual como en bloque, de los elementos del listado de TSPs se realiza de la misma forma que en otras secciones de la web. Las herramientas disponibles en teste caso son: - Filtro Ver: para filtrar la vista por Seleccionados, Activados/Desactivados - Editar - Eliminar 5. EVENTOS La gestión de eventos nos ofrece tener una visión de lo acontecido en el RedTrust Appliance relacionado con el uso de certificados. Para poder acceder a esta vista, tendremos que seleccionar la pestaña Eventos en el menú principal. En el listado podremos ver diferentes columnas: Fecha: Indica la fecha y hora exacta en la que se produjo el evento. 47/87

48 IP: Indica la dirección IP desde la cual se ha producido la petición. Usuario: Muestra qué usuario del Active Directory ha causado el evento. Contexto: Indica en qué contexto se ha querido usar el certificado. Certificado: Muestra qué certificado ha solicitado el usuario. Descripción: Informa del resultado de la petición del usuario. 5.1 TIPOS DE EVENTOS Existen dos tipos de eventos en RedTrust: Eventos de sesión y Eventos de certificados. La descripción o resultado de estos sucesos aparece en la columna Descripción de la lista. Los eventos de sesión son aquellos que se producen como resultado de un intento de inicio de sesión por parte de un usuario. Como este tipo de eventos puede producirse los siguientes: - Aceptada conexión desde aplicación: el usuario se ha ingresado en el sistema con éxito. - Rechazada conexión desde aplicación: el usuario no ha podido ingresar en el sistema. Los eventos de certificados se producen como resultado del uso de éstos por parte de los usuarios. Pueden producirse los siguientes: - Uso Autorizado de certificado - Permiso denegado - Introducido PIN incorrecto 5.2 GESTIÓN DE EVENTOS Filtros Podemos filtrar los eventos a mostrar mediante el uso de los botones ver, filtro por fechas y el campo de búsqueda. El botón ver permite filtrar los eventos por eventos de aplicación o eventos de certificados El botón Filtro por fecha permite definir un intervalo de tiempo de los eventos a visualizar 48/87

49 Y el campo de búsqueda permite filtrar por palabra y en cualquier columna. Todos estos filtros se suman hasta conseguir la vista que queramos definir Herramientas A la derecha del campo de búsqueda existe un menú de herramientas que permite: - Imprimir la vista actual: abre una vista limpia lista para imprimir - Exportar a CSV: Permite exportar la vista a un fichero en formato.csv. 6. ACCESO La sección de Acceso muestra tres vistas (Dominios, Roles y Credenciales) cuyas herramientas permiten establecer, configurar y personalizar el acceso de cualquier usuario a la consola de redtrust 49/87

50 6.1 DOMINIOS RedTrust ofrece la posibilidad de operar con usuarios procedentes de diferentes fuentes de forma simultánea. En versiones anteriores, el sistema se limitaba a la gestión de un único conjunto de usuarios que compartían los mismos comportamientos y origen, como por ejemplo, un Directorio Activo. Actualmente y mediante la creación de dominios de usuarios, el sistema permite la multigestión y multiautenticación de las siguientes fuentes de usuarios: a) Fuentes remotas: - Directorio Activo - LDAP b) Fuentes locales - Usuarios locales - Usuarios de certificados - Usuarios con código de autenticación Características de los dominios: - Nombre (o alias de dominio) - Tipo (según la fuente de usuarios) - Habilitado de certificados personales (permite a los usuarios el poder cargar certificados personales en el sistema). En la vista de Dominios, se muestra una tabla con los dominios configurados en el sistema. Cada elemento se presenta con su tipología (mediante siglas: DA, UL, etc.), su nombre (o alias identificativo) y una serie de herramientas de gestión (acciones). Acciones Eliminar dominio Editar configuración Visualizar configuración Mostrar usuarios (sólo dominios locales) Creación y gestión de dominios remotos: Active Directory y LDAP Para crear un dominio remoto, pulsamos el botón Nuevo Dominio. Se abrirá una ventana donde podemos introducir el nombre del nuevo dominio así como escoger su tipología (Directorio Activo, LDAP, Usuarios Locales, Código de Activación o Usuarios de Certificados): en este caso escogeremos LDAP o Directorio Activo. 50/87

51 Al escoger un dominio de tipo remoto, inmediatamente se despliegan en la ventana nuevas opciones de configuración: Nota: Para poder configurar correctamente un dominio remoto, tendremos que pedir a nuestro Administrador de Sistemas que cree un usuario de consulta para visualizar los usuarios que tiene el directorio al cual queremos acceder. De este modo, les podremos asignar tanto los certificados que añadiremos al dispositivo, como los roles. Base Host queryuser: o usuario de consulta. Clave: para el usuario de consulta. Conexión segura: habilita/deshabilita el establecimiento de una conexión segura con el directorio remoto. Testear conexión: es conveniente que, una vez hayamos introducido los datos de configuración para nuestro directorio remoto, hagamos una prueba de conexión para verificar que ésta se establece correctamente. Para realizar el testeo, simplemente pulse el botón y a los pocos segundos, le aparecerá un informe con el resultado del test. 51/87

52 Nota: el resultado del testeo de conexión dependerá de si ésta ha podido establecerse o no con el servidor introducido. En caso de duda, consulte con su Administrador de Sistemas para configurar el dominio con una IP adecuada. Una vez introducidos los datos de configuración y obtener un resultado satisfactorio en el testeo de conexión, podemos pulsar Aceptar y el nuevo dominio se añadirá a la cabecera de la lista Creación y gestión de dominios locales I: Local Users Podemos crear un dominio local de tipo Local Users (Usuarios Locales), seleccionando la opción correspondiente en el campo Tipo de la ventana de creación de dominios. Para este tipo de dominios, sólo hace falta que especifiquemos un alias y si queremos que los usuarios puedan cargar certificados personales en el sistema o no. En los dominios locales, a diferencia de los remotos, se ofrece una interfaz específica para añadir usuarios a nuestro dominio. Es por este motivo que todos los dominios locales muestran, en la lista, una acción específica para mostrar y gestionar usuarios. Al pulsar el botón Usuarios de un dominio de usuarios locales, se mostrará un visor a la derecha del listado de dominios en donde se cargarán todos los usuarios del mismo, junto con sus propias herramientas de gestión. 52/87

53 Tal y como hemos hecho con otros elementos de la web, podemos crear usuarios nuevos y editar, eliminar o activar/desactivar los existentes mediante el botón situado en la columna Editar de la lista principal. Para añadir un nuevo usuario al sistema, pulsamos Nuevo usuario. Se nos abrirá una ventana de creación donde podemos configurar los datos del nuevo usuario. En ella, debemos definir obligatoriamente el Usuario, el Nombre asociado al mismo y el . El campo Nombre se utiliza para hacer referenciar al usuario con su nombre real. La opción Activo, permite que el usuario esté activo en el sistema y pueda ingresar al mismo. Nota: Si no se activa la opción Activo, el usuario seguirá existiendo en el sistema pero no tendrá acceso al mismo. Los usuarios locales se autentican en la consola de RedTrust mediante Clave. En la ventana modal de creación de un usuario, debemos especificar una clave de acceso para el mismo. 53/87

54 Autenticación mediante clave En este tipo de autenticación se define una clave segura para el usuario. Existe la posibilidad de que estemos editando la clave de un usuario o que éste, ya tuviera una clave de acceso previa. En este caso, podemos establecer que el sistema indique al usuario que debe de cambiar su antigua clave por la nueva, identificándolo en el momento de iniciar sesión. Al activar la opción del cambio de clave que se halla al lado del campo Clave, el usuario afectado verá como, en el momento de iniciar sesión en el RedTrust, las opciones de acceso se amplían para tal fin, mostrándose de esta forma: Creación y gestión de dominios locales II: Código de Activación Los dominios con usuarios de Código de Activación son muy similares a los de tipo Usuarios Locales. Este tipo de dominios se diferencian por su sistema de autenticación de usuarios, basado en un token: al crear un nuevo usuario dentro de estos dominios, el sistema envía automáticamente un correo al especificado con un mensaje y un código de verificación o activación (token). Cuando el usuario intente conectarse al sistema, el Agente de RedTrust le solicitará que introduzca dicho código para poder iniciar sesión. Aquí se muestra un 54/87

55 ejemplo del mensaje que recibe el usuario en su correo, indicándole todos los pasos necesarios para acceder al sistema: El listado de usuarios es muy parecido al de un dominio de Usuarios Locales. Las opciones que aparecen en la columna Editar, son las mismas que en los Usuarios Locales. Para añadir un nuevo usuario al sistema, pulsamos Nuevo usuario. Se nos abrirá una ventana de creación donde podemos configurar los datos del nuevo usuario. En ella, debemos definir obligatoriamente el Usuario, el Nombre asociado al mismo y el . El campo Nombre se utiliza para hacer referenciar al usuario con su nombre real. La opción Activo, permite que el usuario esté activo en el sistema y pueda ingresar al mismo. 55/87

56 Edición de la opción de autenticación (token) Al editar un usuario existente en un dominio de Código de Activación, se nos ofrece la posibilidad de cambiar o reenviar dicho código, así como de saber si el usuario en cuestión ya ha utilizado el código que se le asignó en un principio para acceder al sistema Creación y gestión de dominios locales III: Usuarios de Certificados El tercer tipo de dominio local corresponde al de Usuarios de Certificados. Los usuarios de certificados son aquellos usuarios del sistema cuya autenticación viene dada por un certificado. Así pues, estos usuarios pueden acceder a la consola de RedTrust directamented mediante el enlace Acceder con certificado situado en la parte inferior de la pantalla de inicio de sesión, bajo los campos de credenciales. 56/87

57 Los dominios con usuarios de este tipo, también ofrecen una vista específica de creación y edición de usuarios similar a la que se emplea para el resto de dominios con usuarios locales. Las acciones individuales que se pueden ejecutar sobre un usuario de certificados son Editar, Activar/Desactivar y Eliminar. Para añadir un nuevo usuario de certificados, pulsamos Nuevo usuario y nos aparecerá la ventana modal de configuración. Un usuario de certificados se compone de los siguientes parámetros configurables: Entidades, Políticas Directivas y Atributos. Primero procederemos es a asignar un Nombre y a Activar al usuario. Nota: la opción Activar funciona de la misma forma que en los Usuarios Locales y de Código de Activación: si un Usuario de Certificados está desactivado, seguirá existiendo en el sistema pero no tendrá acceso al mismo. Entidades Una Entidad define la parte pública del certificado asignado al usuario y es por ello, la base de sus credenciales. Se puede asignar una entidad existente en cualquier nivel de la ruta o cadena de certificación. Sin embargo, es recomendable prestar especial atención al nivel que ostenta esta entidad dentro de la ruta para promover una asociación lógica, restringiendo su uso de forma efectiva. Para asignar entidades a un usuario de certificados, busque y seleccione aquellas de su interés para crear una lista. Nota: en el sistema Red Trust las entidades corresponden a los certificados de tipo CA Local. Para asignar entidades a un usuario de certificados, deberemos asegurarnos primero de que existen CAs Locales instaladas en el sistema. 57/87

58 Políticas Los atributos se utilizan, en este contexto, para filtrar de forma muy precisa e identificar el certificado a usar. Éstos atributos son los de tipo Issuer, es decir, que nos permitirán realizar un filtrado por conceptos relacionados con la identidad del emisor, tales como como la dirección de , su país de residencia o su Atributos Los atributos se utilizan, en este contexto, para filtrar de forma muy precisa e identificar el certificado a usar. Éstos atributos son los de tipo Issuer, es decir, que nos permitirán realizar un filtrado por conceptos relacionados con la identidad del emisor, tales como como la dirección de , su país de residencia o su dirección postal. Para crear una lista con uno o varios filtros basados en atributos primero buscaremos y seleccionaremos el atributo a usar en el campo autocomplete Seleccione los atributos. Después, le adjudicaremos un estado al valor de ese atributo con el selector Estado del atributo, según nuestros criterios de filtrado y especificaremos dicho valor en su campo Valor correspondiente. Veamos el siguiente ejemplo: Necesitamos crear un filtro que compruebe si el es exactamente el issuer@certificate.com, para ello definimos: Atributo Estado Valor E ( ) Es igual a issuer@certificate.com 58/87

59 6.2 ROLES Y GRUPOS DE CERTIFICADOS RedTrust permite el acceso a la consola de administración web a los usuarios de los dominios configurados en el sistema. Dicho acceso, se puede restringir, ampliar y personalizar de forma individual mediante la creación de Roles de Usuario y Grupos de Certificados. La gestión de Roles se basa en la definición de perfiles tipo que se asignan a los usuarios permitiéndoles interaccionar con la consola de administración web según las características definidas en su perfil. Un usuario solamente puede pertenecer a un rol. En cambio, un rol puede tener asignados varios usuarios. En caso de que exista un grupo de usuarios asignado a un rol y que a un usuario de ese grupo se le asigne otro rol, se aplicará a dicho usuario el rol con más prioridad. Por otra parte y a fin de facilitar el control sobre el uso de certificados, los roles de usuario pueden asociarse a Grupos de Certificados Grupos de certificados RedTrust permite la creación de grupos de certificados de forma que sea fácil su asociación a roles y a políticas de uso. Un certificado puede pertenecer a varios grupos a la vez y, a su vez, un grupo puede contener diversos certificados. Los grupos de certificados son asignados a los roles por el usuario SuperAdministrador. Los usuarios asignados a dichos roles pueden realizar diferentes acciones sobre estos grupos y los certificados que contengan. Estas acciones dependen del los permisos asignados en el rol. En el apartado Roles y Permisos se explica con más detalle qué permisos se pueden asignar a los grupos de certificados. 59/87

60 Para crear un grupo, pulsamos el botón Nuevo Grupo. Se abrirá una ventana donde podemos introducir el nombre del nuevo grupo. Una vez creado podemos editarlo, activarlo, desactivarlo y eliminarlo desde la misma vista. También se puede crear un nuevo grupo desde la pestaña de Roles Roles y permisos Un rol es un conjunto de información que, una vez asignado a un usuario del dominio, le permitirá a este interaccionar con la consola de administración de una manera u otra. Para ver el listado de roles, nos dirigiremos a la pestaña de Roles y permisos que se encuentra dentro del menú Gestión de roles La información que contiene el rol es la siguiente: Información general: nombre, descripción, prioridad y filtro de usuarios. Dominios asociados. Usuarios asociados (dentro de los dominios escogidos). Grupos de certificados asociados. Permisos asignados Para añadir un nuevo rol pulsamos el botón de Nuevo Rol y aparecerá una ventana con la información que hay que rellenar en diferentes pestañas. Los pasos para completar la creación de un rol son los siguientes: 60/87

61 1º: Atributos generales (nombre, descripción, prioridad) Nombre y descripción son campos que definen el nombre que se le asigna al rol y descripción de las funcionalidades del mismo. El campo prioridad define la prioridad del rol actual sobre el resto de roles. Cuanto más bajo sea el número más alta es la prioridad del rol. La prioridad se aplica en dos casos: En el acceso a la consola de administración web. Si un rol(a) tiene asignado un grupo de usuarios(g) de un dominio y otro rol(b) tiene asignado a un usuario(u) del mismo dominio el cual pertenece al grupo(g) asignado al primer rol(a), en el momento en que el usuario se autentique en la consola de administración actuará con el rol que sea más prioritario. En otras palabras: Si U existe en A y en B, teniendo A prioridad 1 y B prioridad 2, U se autenticará con A. Al comprobar las políticas en el momento de uso de un certificado. Se aplicarán las políticas del rol más prioritario al menos prioritario. Es recomendable no repetir prioridades para evitar posibles conflictos. 2º: Dominios Se pueden buscar los dominios existentes y crear una lista de aquellos que se deseen habilitar para el rol. Los usuarios contenidos en estos dominios, podrán escogerse individualmente o por grupos para asignarles el rol de forma específica en la pestaña siguiente. Para buscar los diferentes dominios, el campo de búsqueda posee un mecanismo de autocompletar en donde al empezar a escribir nos aparecerá un desplegable con elementos que coincidan con la búsqueda, tal y como ocurre en otros apartados de la web. 61/87

62 3º: Usuarios. Se define una lista de los usuarios que a los que se les asigna el rol. Estos usuarios pueden provenir de cualquiera de los dominios que tengamos definidos en el sistema. Para buscar los diferentes usuarios o grupos, el campo de búsqueda posee un mecanismo de autocompletar en donde al empezar a escribir nos aparecerá un desplegable que coincida con la búsqueda, tal y como ocurre en otros apartados de la web. 62/87

63 4º: Grupos de certificados. Se definen una lista de grupos de certificados a los cuales el rol puede tener acceso y una serie de permisos sobre estos grupos. Los permisos sobre grupos de certificados son los siguientes: Añadir certificados: permite al usuario insertar certificados dentro de este grupo. Eliminar certificados: permite al usuario eliminar certificados del grupo, con la excepción que el certificado a eliminar exista por lo menos en alguno del resto de grupos asignados al rol. Asignar a políticas: Permite asignar el grupo o alguno de sus certificados a una política de uso de certificados. El hecho de asignar un grupo de certificados a un rol implica que se tengan permisos de lectura sobre el contenido de los grupos. Para añadir un grupo de certificados a un rol pulsamos el botón Añadir Grupo. Nos aparecerá un listado con los grupos existentes para que seleccionemos aquellos que queremos incluir en el rol. 63/87

64 Esta misma ventana nos permite crear un nuevo grupo sin la necesidad de salir del apartado de roles, simplemente pulsando el botón Crear nuevo grupo. Una vez seleccionados los grupos se puede asignar a cada uno de ellos los permisos que se le quieren aplicar. El grupo seleccionado por defecto (marcado en la columna Def. de la lista de grupos) se aplica en el momento de insertar certificados en RedTrust directamente desde una CA externa. Para más información sobre CA externa véase el apartado sobre Certificados de CA Un grupo de certificados puede estar asignado a más de un rol, por lo tanto hay que tener en cuenta que las acciones que se realicen sobre el mismo por un usuario de un rol afectarán también al resto roles. Permisos Los permisos establecen el nivel de acceso que tendrán los usuarios del rol sobre la consola de administración web. Para establecer estos permisos únicamente se deben de marcar aquellos que se quieren activar. 64/87

65 Los permisos están clasificados por secciones, al igual que en la consola de administración. Estas secciones son las siguientes. Certificados Políticas Firma Eventos Sistema Cada sección contiene varios bloques de permisos y cada bloque, un conjunto de permisos que se activan mediante un checkbox. A la derecha de cada bloque de halla un botón te información o tooltip donde podemos consultar el modo en que la activación de cada uno de los permisos, afectará al rol. A continuación se hace una descripción detallada de los permisos en cada sección: 65/87

66 Certificados Para tener acceso a la sección de certificados se debe tener un grupo de certificados como mínimo asociado al rol. Hay cuatro grupos de permisos en esta sección: Certificados, Certificados CA, Certificados y Alertas. Firma Avanzada En este grupo se gestionan los permisos referentes a certificados de firma avanzada. Estos permisos son Instalar, Editar, Renovar y Eliminar. El permiso Instalar posee además un menú desplegable que nos permite escoger la fuente de instalación de los certificados: añadir desde archivo o desde CA externa. Para poder instalar un certificado el rol debe tener un grupo de certificados con permisos de añadir certificados. Los cambios realizados en los certificados o grupos de certificados afectarán a todos los roles que compartan el mismo grupo de certificados sobre el que se han realizado los cambios. Firma Reconocida En este grupo se gestiona el permiso de gestión sobre los certificados de firma reconocida. La única acción que se permite sobre estos certificados es la de Gestionar. Pendientes 66/87

67 En este grupo se gestionan los permisos sobre los certificados Pendientes de Activación, que son aquellos certificados personales en estado de precarga cuyos propietarios han instalado en el sistema. Las acciones que se permiten sobre estos certificados son Instalar y Eliminar. Personales En este grupo se gestionan los permisos sobre los certificados Personales, que son aquellos certificados cuyos propietarios han precargado y activado en el sistema. Las acciones que se permiten sobre estos certificados son Editar y Eliminar. Certificados CA En este grupo se gestionan los permisos sobre los certificados de CA, que son aquellos que distribuye RedTrust en los clientes como certificados raíz de confianza. Las acciones que se permiten sobre estos certificados son Instalar y Eliminar. Certificados de En este grupo se gestionan los permisos sobre los certificados de , que son aquellos certificados con asociado que distribuye RedTrust en los clientes. Alertas En este grupo se gestionan los permisos sobre las alertas asociadas al uso de certificados. Son: Ver, Editar; Crear y Eliminar. Políticas Desde esta sección se gestionan todos los permisos que afectan a la gestión de políticas, por tanto también se incluyen los permisos sobre aplicaciones y sitios. 67/87

68 Políticas de usuario En este grupo se gestionan los permisos sobre las políticas de usuario. Cabe destacar que si estamos creando un nuevo rol y no tenemos ningún permiso seleccionado para políticas, nos aparecerá un mensaje de aviso al activar las opciones Crear o Editar, advirtiendo de que previamente hay que activar la visualización de aplicaciones o de sitios. Nota: recuerde activar siempre los permisos de Aplicaciones y Sitios antes de proceder con los de Políticas de usuario. Sitios y Aplicaciones La gestión de sitios web y aplicaciones va estrechamente ligada a la creación de políticas. Un rol de usuario al que se quiera otorgar permisos de creación o edición de políticas, debe poder visualizar obligatoriamente las listas de sitios y aplicaciones. Firma 68/87

69 En la sección de firma podemos habilitar/deshabilitar los permisos correspondientes a la gestión de Perfiles DSS, en los cuales ya se incluye la administración completa del listado de TSPs. Los permisos disponibles son Ver y Crear. Eventos En esta sección podemos filtrar el tipo de eventos a los que pude acceder el usuario. Acceso En la sección Acceso, podemos activar todos los permisos para configurar el acceso de usuarios a la consola de RedTrust. Sistema En la sección Sistema, podemos activar todos los permisos para ver y editar la configuración de RedTrust. En el grupo Unidad, la opción Gestionar muestra un desplegable con todas los permisos que pueden ser habilitados en ésta, tales como la generación de Backups, editar la configuración de red o reiniciar la unidad. El número de opciones que marquemos aparecerá reflejado en el botón del desplegable. Si no seleccionamos ninguna de las opciones que contiene el desplegable, el permiso Gestionar se desactivará automáticamente. 69/87

70 6.3 CREDENCIALES Desde esta pestaña podemos administrar las contraseñas de los usuarios predefinidos de la unidad de RedTrust. RedTrust tiene predefinidos 2 tipos de usuarios. Usuario SuperAdministrador Usuario Backup Usuario SuperAdministrador El usuario SuperAdministrador es un usuario con control total sobre la unidad y que está destinado a cumplir con las siguientes funciones: Gestión de roles. Gestión de grupos de certificados. Gestión de dominios y usuarios. Acceso en caso de emergencia. En resumen, el SuperAdministrador es el encargado de crear roles y asignar a éstos permisos, usuarios y grupos de certificados, además de mantener toda la funcionalidad disponible para actuar en caso de emergencia. 70/87

71 La unidad viene configurada de origen con el siguiente login para el usuario SuperAdministrador: Usuario: admin Clave: Admin123 Usuario Backup El usuario Backup, tiene como función el generar un fichero de copia de seguridad de la unidad (backup). Este usuario no tiene acceso a la consola de administración para poder interactuar con ella, sino que una vez realiza el login, se genera automáticamente el fichero de copia de seguridad y se devuelve al usuario a la página de autenticación inicial. Este usuario se utiliza para generar copias de seguridad desde línea de comandos La unidad viene configurada de origen con el siguiente usuario backup: Usuario: backup Clave: Backup123 Cada uno de estos usuarios puede acceder a la web de RedTrust autenticándose con su nombre de usuario y contraseña. De la gestión de estas contraseñas se encarga el propio usuario SuperAdministrador. Como se puede ver, para que el usuario SuperAdministrador pueda cambiar su propia contraseña debe primero introducir su contraseña actual y realizar una confirmación de la nueva, mientras que para cambiar la contraseña del usuario backup sólo debe introducirla una vez. 7. AJUSTES DEL SISTEMA Podremos acceder a los Ajustes del sistema seleccionando la pestaña Sistema en la página principal. Dispondremos de diferentes opciones para poder configurar el dispositivo: Servicios Alta disponibilidad Registro sistema Unidad Gestión de Roles 7.1 SERVICIOS En la opción de Servicios definiremos varios parámetros para el correcto funcionamiento de las diferentes funcionalidades del dispositivo, tales como: Alertas Active Directory Syslog Mensajes Servidor NTP 71/87

72 7.1.1 Alertas Ver apartado Configuración de Alertas Active directory Ver apartado Active Directory Syslog Ver apartado Syslog Mensajes Ver apartado Mensajes de error Servidor NTP Ver apartado Configuración del servidor de tiempo 7.2 ALTA DISPONIBILIDAD Ver apartado Alta Disponibilidad Configuración HA Ver apartado Alta Disponibilidad Registro Ver apartado Alta Disponibilidad sección: Registro de Alta Disponibilidad 7.3 REGISTRO SISTEMA La sección Registro Sistema funciona a modo de auditoría interna. En ella podemos ver listadas todas las acciones que se han realizado las diferentes secciones del sistema, quién las ha llevado a cabo y cuando. De este modo se nos muestran registros tales como: - Intentos de acceso al sistema, accesos fallidos y usuarios que han accedido correctamente al mismo. - Inserción de nuevos datos: añadido de certificados, políticas, sitios, etc. - Borrado de datos - Edición de datos - Actualizaciones de la unidad - Aplicación de filtros 72/87

73 6.4 UNIDAD Información Desde este apartado podemos ver información de la versión, modo de funcionamiento, modo de autenticación, identificador de cliente (necesario para la instalación de los agentes), información sobre el estado de la licencia, cambiar el idioma de la web de administración y restringir o no el tráfico a la unidad. La opción de restringir el tráfico permite que los agentes no envíen peticiones de uso a la unidad cuando aplicaciones no registradas en la misma sean las que vayan a realizar operaciones criptográficas en el cliente Copia de seguridad 73/87

74 Existen dos métodos para realizar una copia de seguridad del sistema, uno desde la web de administración y otro mediante una petición http a una URL predeterminada desde cualquier terminal. A continuación se describen ambos. Método 1: Backup desde línea de comandos Para descargar la copia de seguridad vía terminal tendremos que ejecutar lo siguiente: wget --post-data 'domain=local&username=backup&password=contraseña del usuario backup' -O ficherodestino.bak Método 2: Backup desde web de administración Para poder realizar una copia de seguridad de la unidad procederemos a entrar en la web de administración de RedTrust. Una vez nos autentiquemos en el sistema con el usuario de Administración deberemos dirigirnos a la pestaña Sistema->Unidad->Copia de seguridad. Para proceder a hacer la copia de seguridad, haremos click en el botón de Backup, donde seguidamente, nos aparecerá la ventana para poder descargarlo. Recuperación de una copia de seguridad. Para poder restaurar una copia de seguridad de la unidad procederemos a entrar en la web de administración de RedTrust. Una vez nos autentiquemos en el sistema con el usuario de Administración deberemos dirigirnos a la pestaña Sistema->Unidad->Copia de seguridad. 74/87

75 Seleccionaremos el botón de Examinar que aparece en el recuadro de Recuperar toda la información de RedTrust. Aparecerá una ventana donde podremos ir a buscar las diferentes copias de seguridad hechas. Hacemos click en la que se quiera restaurar y seleccionamos Abrir. Se rellenará el campo de Archivo de recuperación, con la ruta del archivo de nuestra copia de seguridad que hemos seleccionado. Seguidamente, seleccionaremos Restore para proceder a la restauración y aceptamos el mensaje de aviso que nos aparecerá seguidamente. En cuando marquemos Aceptar en dicho mensaje, la restauración del dispositivo empezará. Podremos saber que la restauración ha sido un éxito si nos aparece la siguiente pantalla. Para terminar, se finalizará la sesión y tendremos que volver a identificarnos en la pantalla de inicio de sesión. Comprobación de la copia de seguridad mediante línea de comandos Para la comprobación del fichero de copia de seguridad mediante línea de comandos podemos usar cualquier programa que nos permita hacer un post del fichero a la unidad. Por ejemplo, usando curl la petición que deberíamos realizar es la siguiente: curl --form upload=@fichero.bak En caso que el fichero de copia de seguridad enviado sea correcto la respuesta es OK. 75/87

76 El servicio tiene una limitación a una petición por minuto. Posibles respuestas de error del servicio son las siguientes: ERROR - Only one check allowed every minute ERROR - Backup file missing ERROR - Incorrect backup file length ERROR - Incorrect backup file format ERROR - Incorrect backup version, newer versions than current not allowed ERROR - Backup decryption failed ERROR - Incorrect version format ERROR - Unexpected error Comprobación de la copia de seguridad mediante herramienta La herramienta de comprobación de copias de seguridad realiza una llamada al servicio de comprobación de la unidad. 76/87

77 Para comprobar la copia de seguridad vía la herramienta de comprobación tendremos que ejecutar lo siguiente: RTBackupCheck.exe rtserver=ip-dispositivo input=fichero.bak En caso que el fichero de copia de seguridad enviado sea correcto la respuesta es OK. El servicio tiene una limitación a una petición por minuto. Posibles respuestas de error del servicio son las siguientes: ERROR - Only one check allowed every minute ERROR - Backup file missing ERROR - Incorrect backup file length ERROR - Incorrect backup file format ERROR - Incorrect backup version, newer versions than current not allowed ERROR - Backup decryption failed ERROR - Incorrect version format ERROR - Unexpected error 77/87

78 5.4.3 Red Desde este apartado podemos configurar los parámetros de red de la unidad: dirección IP, máscara, puerto y DNS. Para guardar los cambios realizados en la configuración, pulse Aplicar Mantenimiento Desde este apartado podremos realizar tareas de mantenimiento de la unidad o sistema tales como: Actualización del sistema Degradación del sistema Reinicio del sistema Apagado del sistema Actualización del sistema Desde la web de administración podemos realizar una actualización de la unidad de RedTrust. Para ello necesitaremos actuar como usuario de administración y disponer de un fichero de actualización del sistema. Estos ficheros de actualización serán distribuidos cada vez que se lance una nueva versión de RedTrust. Es recomendable realizar una copia de seguridad del sistema (backup) antes de realizar la actualización por si se quiere realizar una degradación del mismo posteriormente. En caso de tener un sistema en modo de alta disponibilidad, deberemos desactivarlo y proceder a la actualización de las dos unidades por separado. Una vez nos autentiquemos en el sistema como usuario de Administración, debemos dirigirnos a la pestaña Sistema->Unidad->Mantenimiento. 78/87

79 Seleccionaremos el botón Buscar del apartado Instalación de actualizaciones del sistema y se nos abrirá un explorador de archivos que nos permitirá seleccionar el fichero de actualización que deseemos. Se rellenará el campo con la ruta al fichero de actualización que hemos seleccionado en nuestro sistema. Seguidamente seleccionaremos Instalar para proceder a la confirmación de credenciales del usuario de Administración. Una vez confirmada la contraseña de Administración el proceso de actualización se iniciará. Si existe algún problema con el fichero proporcionado (fichero inválido, versión no válida, etc.) se nos dirigirá a una página de error donde podremos ver un mensaje descriptivo del fallo. 79/87

80 Si no se produce un error, se cerrará la sesión de usuario redirigiéndonos la página de autenticación de la web de administración donde podremos ver una ventana que nos irá informando del proceso de actualización. Una vez finalizado el proceso, aparecerá un mensaje mostrando el estado final de la actualización. Si se ha producido un error, el sistema dejará la unidad en el estado anterior y nos informará de ello. Pulsando Cerrar podremos introducir de nuevo las credenciales en el sistema. Degradación de la unidad Desde la web de administración podemos realizar una degradación de la unidad de RedTrust. Para ello necesitaremos actuar como usuario de administración y disponer de un fichero de actualización del sistema y de un fichero de copia de seguridad correspondiente a la versión del sistema a la que vamos a degradar. El sistema de degradación dejará la unidad con la versión inferior que se le aplique y con la configuración del fichero de copia de seguridad proporcionado, eliminando cualquier configuración realizada en la unidad desde el momento en que se creó la copia de seguridad hasta el momento de realizar la degradación. Es recomendable realizar una copia de seguridad del sistema antes de realizar la degradación por si se realiza posteriormente una actualización y se quiere recuperar el estado actual de la unidad. En caso de tener un sistema en alta disponibilidad, deberemos desactivarlo y proceder a la degradación de las unidades por separado. Una vez nos autentiquemos en el sistema como usuario de Administración, debemos dirigirnos a la pestaña Sistema->Unidad->Mantenimiento. 80/87

81 Seleccionaremos el botón Buscar (tanto para seleccionar el fichero de actualización como el fichero de copia de seguridad) del apartado Degradación del sistema y se nos abrirá un explorador de archivos que nos permitirá seleccionar los ficheros correspondientes que deseamos. Se rellenarán los campos con la ruta a los ficheros de actualización y copia de seguridad que hemos seleccionado en nuestro sistema. Seguidamente seleccionaremos Instalar para proceder a la aceptación de las condiciones del proceso de degradado. 81/87

82 Una vez aceptadas las condiciones deberemos introducir las credenciales del usuario de Administración. Una vez confirmada la contraseña de Administración el proceso de degradación se iniciará. Si existe algún problema con los ficheros proporcionados (fichero inválido, versión no válida, etc.) se nos dirigirá a una página de error donde podremos ver lo sucedido. Si no se produce ningún, error se cerrará la sesión de usuario dirigiéndonos la página de autenticación de la web de administración donde podremos ver una ventana que nos irá informando del proceso de degradación. Una vez finalizado el proceso aparecerá un mensaje mostrando el estado final de la degradación. Si se ha producido un error el sistema dejará la unidad en el estado anterior y nos informará de ello. 82/87

83 Pulsando Cerrar podremos introducir de nuevo las credenciales en el sistema. Reinicio del sistema Desde la web de administración podemos reiniciar la unidad de RedTrust. Para ello necesitaremos actuar como usuario de administración Una vez nos autentiquemos en el sistema como usuario de Administración, debemos dirigirnos a la pestaña Sistema >Unidad >Mantenimiento. Seleccionaremos Reiniciar y nos aparecerá una alerta con las consecuencias de reiniciar el sistema. Una vez aceptada, se procede a la confirmación de credenciales del usuario de Administración. 83/87