MARCO DE REFERENCIA PARA LA PLATAFORMA DE INTEROPERABILIDAD VOLUMEN IV: MANUAL DEL DESARROLLADOR

Transcripción

1 Interoperabilidad de los servicios telemáticos de la Administración Pública de la CAC Página 1 de 74 MARCO DE REFERENCIA PARA LA PLATAFORMA DE INTEROPERABILIDAD VOLUMEN IV: MANUAL DEL DESARROLLADOR NUEVO SERVICIO DE FIRMA ELECTRÓNICA Y SELLADO DE TIEMPO (SFST) v2.6 Historial de revisiones en la siguiente página Documento : PLA-DOC-FIN-v2.6-Vol IV. SFST.pdf Ubicación en eroom: Preparado por Revisado por Aprobado por D. Gral. de Telecomunicaciones y Nuevas Tecnologías D. Gral. de Telecomunicaciones y Nuevas Tecnologías D. Gral. de Telecomunicaciones y Nuevas Tecnologías Fecha: 31/10/2017 Fecha: 31/10/2017 Fecha: 31/10/2017

2 Página 2 de 74 ÍNDICE 1 INTRODUCCIÓN VERSIÓN DEL SERVICIO RELEASE NOTES CASOS DE USO CU-FST-06: FIRMA CAdES CU-FST-07: VALIDAR UN CERTIFICADO CU-FST-08: VALIDAR FIRMA XML SIGNATURE CU-SFT-09: TIMESTAMP CU-SFT-12: GETTIME CU-SFT-13: GETVERSION CU-SFT-14: OBTENER INFORMACIÓN DE UN CERTIFICADO CU-FST-15: FIRMA CONTENIDO CU-FST-16: VALIDAR FIRMA CONTENIDO CU-FST-17: ANALIZAR TIMESTAMP CU-SFT-18: TIMESTAMP DE FIRMA CU-SFT-19: FIRMA SECUENCIAL CU-FST-23: FIRMA EN FORMATO CU-FST-24: VALIDAR FIRMA EN FORMATO CU-FST-25: PROMOCIONAR FIRMA EN FORMATO CU-FST-26: OBTENER INFORMACIÓN DE FIRMA CU-FST-27: OBTENER INFORMACIÓN DE FIRMA ADAPTADA AL ENI CU-FST-28: OBTENER CONTENIDO FIRMADO DE LA FIRMA CONTROL DE EXCEPCIONES SignatureServiceException INFORMACIÓN ADICIONAL DEL SERVICIO TIPOS DE DATOS ValidateCertResult VerifySignatureResult FIRMAS MÚLTIPLES Firma Múltiple Paralela Descripción de los campos extraídos del certificado Campos certificados de persona física certificado cualificado de firma (clasificación 0)...58

3 Página 3 de Campos certificados de persona jurídica (clasificación 1) Campos certificados componente/ssl (clasificación 2) Campos certificados de sede (clasificación 3) Campos certificados de sello (clasificación 4) Campos certificados de empleado público (clasificación 5) Campos certificados de entidad sin personalidad jurídica (clasificación 6) Campos certificados empleado público con seudónimo (clasificación 7) Campos certificados cualificados de sello UE 910/2014 (clasificación 8) Campos certificados cualificados de autenticación de sitio web UE 910/2014 (clasificación 9) Campos certificados cualificados de sello de tiempo (clasificación 10) Campos certificados de persona física representante ante las AAPP de persona jurídica (clasificación 11) Campos certificados de persona física representante ante las AAPP de entidad sin persona jurídica (clasificación 12)... 73

4 Página 4 de 74 1 INTRODUCCIÓN El nuevo servicio de firma electrónica y sellado de tiempo proporciona una serie de funcionalidades a los ciudadanos, a los backoffices y al resto de servicios integrados en PLATINO. Para distinguir las alusiones al nuevo y al antiguo servicio de firma, denominaremos: Firma: antiguo servicio de firma electrónica y sellado de tiempo. SFST: nuevo servicio de firma electrónica y sellado de tiempo. Las funcionalidades principales son: la firma de documentos, la validación de un certificado, la validación de la firma de un documento, la autenticación y el sellado de tiempo (timestamp). Para llevar a cabo cualquier interacción con el Servicio de Firma Electrónica y Sellado de es imprescindible hacer uso de algún certificado electrónico, expedido por una autoridad certificadora reconocida, que identifique al ciudadano que está interaccionando con la Administración. El Servicio de Firma Digital y Sellado de implementa el tipo de firma denominado firma electrónica reconocida, y usará los formatos de firma válidos para la política de firma de la Administración General del Estado, utilizando por defecto la firma CAdES, permitiendo además la posibilidad de realizar multifirma secuencial, es decir, incorporar firma electrónica a un documento firmado previamente, y multifirma paralela, pudiendo firmarse un documento por varias personas al mismo tiempo. Todos los ciudadanos tienen la posibilidad de obtener un certificado de usuario, ya sea a través del DNI electrónico como solicitándolo a alguna autoridad certificadora. Cambio en la administración de los servicios de firma y verificación Hasta ahora este servicio funcionaba como una fachada de la solución desarrollada por la empresa TB-Solutions con nombre "Advanced Signature Framework" (ASF). Entre sus tareas se realizaba la administración de las Autoridades Certificadoras aceptadas por el módulo de firma, las diferentes listas de revocación de certificados electrónicos, las servidores de TimeStamp, los certificados permitidos para las diferentes aplicaciones, etc. A partir de ahora, los formatos reconocidos por la política de firma serán gestionados por el Plataforma, residente en el Ministerio de Hacienda y Administraciones Públicas. Las peticiones son derivadas a este proveedor, por lo que

5 Página 5 de 74 a partir de ahora es el que gestiona las Autoridades Certificadoras aceptadas por el módulo de firma, las diferentes listas de revocación de certificados electrónicos, los servidores de TimeStamp, etc. Aún así algunas funcionalidades se realizarán una redirección a ASF para mantener la compatibilidad, por ejemplo para la verificación de firmas XMLDsig. Para aumentar el rendimiento, se procesará en el propio servicio SFST la creación de firmas en servidor, en lugar de ser derivadas a un proveedor. Esto se realizará con la utilización de la librería Integr@ 2 VERSIÓN DEL SERVICIO Este documento corresponde a la versión 2.6 del servicio de Platino RELEASE NOTES Se pueden consultar las release notes del servicio en el siguiente enlace:

6 Página 6 de 74 4 CASOS DE USO A continuación se muestra el diagrama de casos de uso del servicio de Firma electrónica y Sellado de tiempo: Fig 1. Casos de uso de los Backoffice.

7 Página 7 de 74 El servicio de firma electrónica y sellado de tiempo permite realizar las siguientes operaciones: Operaciones en el servidor 4.1 CU-FST-06: FIRMA CAdES El caso de uso de firma de documentos en el lado del servidor permite, a cualquier servicio o backoffice integrado con Platino, realizar peticiones para que el servicio realice la firma documentos en formato CAdES. A la firma se añadirá la información de la política de firma utilizada, que puede consultarse en: Al contener esta información de la política, se dice que la firma es una CADES-EPES. El sufijo EPES es el acrónimo de Explicit Policy Electronic Signatures. Este procedimiento también se realizará cuando se desee realizar una firma XAdES. El formato resultante será realmente una XadES-EPES.

8 Página 8 de 74 Interfaz: Precondiciones: Para poder llevar a cabo un firma de este tipo es necesario tener un documento que firmar. Este documento a firmar debe estar accesible a través de un protocolo estándar (como por ejemplo http) o incluso, puede estar almacenado en el servicio de gestor de repositorio de documentos electrónicos; en este caso, el documento se identificará a través de la URI del gestor documental. El documento debe tener un tamaño inferior a los 8,8MB, ya plataforma establece esa limitación para poder validar la firma posteriormente, en caso de proporcionar un documento con un tamaño superior se devolverá la correspondiente excepción. También es necesario tener un certificado válido dado de alta en la plataforma de firma para realizar la firma. Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de firma en el servidor: Parámetro URI invokingapp Descripción Uri del documento que deseamos firmar. Hace referencia a la URI en SGRDE, o una URL en la web. Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO.

9 Página 9 de 74 alias Alias del certificado, almacenado en el servidor, con el que se va firmar el documento. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header /> <soapenv:body> <sfst:sign> <URI> <invokingapp>platino</invokingapp> <alias>pruebas_gobierno</alias> </sfst:sign> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción result Resultado de la firma en formato CAdES-EPES. El resultado de la firma dependerá del parámetro URI que se le haya pasado al método: En el caso de que en el parámetro URI se haya pasado un valor que indique la ubicación del documento a firmar a través de un protocolo estándar (como por ejemplo http), el resultado será una firma CAdES codificada en Base64, tal como se muestra en el cuadro inferior Ejemplo de salida del servicio. En el caso de que en el parámetro URI se haya pasado una URI que referencia a un documento almacenado en el gestor documental de Platino, la firma resultante tendrá en cuenta las posibles firmas que pudieran existir en el metadato correspondiente que almacena la firma electrónica del documento.

10 Página 10 de 74 Si el documento ya se encontrase firmado en el gestor documental, el resultado de la firma será una firma secuencial de la existente, conforme a la documentación especificada en el apartado 5.2 de este mismo documento. Si el documento no tuviera una firma previa, el resultado será una firma CAdES-EPES codificada en Base64. NOTA: Hay que tener en cuenta que el metadato que almacena la firma electrónica en el gestor documental de Platino no será modificado por la operación de firma. Ejemplo de salida del servicio <soap:envelope xmlns:soap=" <soap:body> <ns2:signresponse xmlns:ns2=" <return>miiz6wyjkozihvcnaqccoiiz3dccgdgcaqexgjajbgurdgmcgguama0gcwcgsaflawqcaquamasg CSqGSIb3DQEHAaCCEiswggU4MIIEoaADAgECAgQ9AsaPMA0GCSqGSIb3DQEBBQUAMDYxCzAJBgNV BAYTAkVTMQ0wCwYDVQQKEwRGTk1UMRgwFgYDVQQLEw9GTk1UIENsYXNlIDIgQ0EwHhcNMTMxMTI2 MTE0OTQxWhcNMTYxMTI2MTE0OTQxWjCBgjELMAkGA1UEBhMCRVMxDTALBgNVBAoTBEZOTVQxGDAW BgNVBAsTD0ZOTVQgQ2xhc2UgMiBDQTESMBAGA1UECxMJNTAwMjEwMjUyMTYwNAYDVQQDEy1OT01C BD0Cxo8wDQYJKoZIhvcNAQEFBQAwNjELMAkGA1UEBhMCRVMxDTALBgNVBAoTBEZOTVQxGDAWBgNV BasTD0ZOTVQgQ2xhc2UgMiBDQTAeFw0xMzExMjYxMTQ5NDFaFw0xNjExMjYxMTQ5NDFaMIGCMQsw. BAGsZgEEEwk0MzgwNzQ0MkQxFDASBgkrBgEEAaxmAQMTBUxPUEVaMRQwEgYJKwYBBAGsZgECEwVQ FfrMGrD2Sr91wrnlPFKcbu0qPwusnrVn+YPNwtQYeZNM4vgbnQ9dCzXdwOJUah8DI5lOsr7Dn9CC Ry6RRMzhW0E8N6mJ09JmnGtrShyon2bKe2XDwxcejs+rTc8AEC5gZp6AT+fELDcuceOLhgnefALK PvY8Se+vmV6pS/3mhCZWyqFxN2fQMkEWtvbB</return> </ns2:signresponse> </soap:body> </soap:envelope> 4.2 CU-FST-07: VALIDAR UN CERTIFICADO Este caso de uso permite a los servicios y a los backoffices de PLATINO solicitar al servicio de firma que compruebe tanto el periodo de validez como el estado de revocación de los certificados que se le envíen. Precondiciones: Para la ejecución de este caso de uso es necesario tener un certificado que validar, y haber obtenido un identificador de aplicación válido para la plataforma de firma.

11 Página 11 de 74 Interfaz: Entrada del servicio: Parámetro certificatestring invokingapp Descripción String que contiene el certificado a validar codificado en Base64 Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada al servicio. <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header /> <soapenv:body> <sfst:validatecert> <certificatestring> MIIEDzCCA7mgAwIBAgIKBcw2OgACAAALnTANBgkqhkiG9w0BAQUFADCBlzExMC8GCSqGSIb3DQEJ ARYiY2liZXJjZW50cm9AZ29... </certificatestring> <invokingapp>platino</invokingapp> </sfst:validatecert> </soapenv:body> </soapenv:envelope>

12 Página 12 de 74 Salida del servicio: Valor de retorno Descripción Resultado de la validación del certificado. Los posibles códigos de retorno son: Code Valido Descripción return 6 true Certificado OK 2 false Certificado no válido 3 false El certificado no es de confianza 4 false Certificado revocado 5 false Certificado no verificado 25 false Cadena de certificación no válida La descripción final puede variar en función del error concreto, y no debe ser evaluada programáticamente. Ejemplo de salida del servicio. <env:envelope xmlns:env=" <env:header/> <env:body> <ns2:validatecertresponse xmlns:ns2=" <return> <code>6</code> <description>certificado OK</description> </return> </ns2:validatecertresponse> </env:body> </env:envelope>

13 Página 13 de CU-FST-08: VALIDAR FIRMA XML SIGNATURE Esta funcionalidad permanece en el nuevo servicio por compatibilidad con el servicio antiguo. Permite a los servicios y backoffices que estén desplegados en la Plataforma de Interoperabilidad solicitar al servicio de firma que compruebe la validez de las firmas de documentos realizadas con formato XMLSignature obtenidas tras la invocación a firmas XMLSignature antiguas. A alto nivel, los servicios más importantes ofrecidos por este caso de uso son: Verificación de una firma. Verificación de que los datos firmados se corresponden con los referenciados por la firma y no fueron modificados después de llevar a cabo la firma. Precondiciones: Para la ejecución de este caso de uso, es necesario disponer de un resultado de firma previo y el código de la aplicación que se va a encargar de la verificación. En el caso de que la firma a validar sea una firma múltiple, hay que tener en cuenta que el formato de la firma múltiple debe ser conforme a lo especificado en el apartado 5.2 Firmas Múltiples y que todas las firmas contenidas dentro de la firma múltiple deben tener el mismo valor en el atributo URI del elemento ds:reference, indicando así que hacen referencia al mismo documento. Si no fuese así, debemos usar el CU-FST-16: Validar Firma Contenido. Interfaz:

14 Página 14 de 74 Entrada del servicio: Parámetro signature invokingapp Descripción Bytes de la firma a verificar Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada al servicio. <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header /> <soapenv:body> <sfst:verifysignature> <signature> <!-- Resultado de haber firmado un documento. --> </signature> <invokingapp>platino</invokingapp> </sfst:verifysignature> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción return Resultado de la verificación. Los posibles códigos de retorno son:

15 Página 15 de 74 Code Valido Descripción 0 true Firma OK -1 false Firma no pudo verificarse 1 false Firma no válida 2 false Certificado ha caducado o aún no es válido 3 false El certificado no es de confianza 4 false Certificado revocado 5 false No pudo verificarse el estado de revocación del certificado firmante 7 false Uso del certificado no válido 8 false Algoritmo de firma no definido o no soportado 9 false Algoritmo de firma no valido 10 false Certificado de firma no encontrado La descripción final puede variar en función del error concreto, y no debe ser evaluada programáticamente. Ejemplo de salida del servicio. <env:envelope xmlns:env=" <env:header/> <env:body> <ns2:verifysignatureresponse xmlns:ns2=" <return> <code>0</code> <description>firma OK</description> <valido>true</valido> </return> </ns2:verifysignatureresponse> </env:body> </env:envelope> 4.4 CU-SFT-09: TIMESTAMP Esta funcionalidad permite a los servicios y backoffices de la plataforma solicitar sellos de tiempo para documentos, dotando a los elementos firmados de validez en el momento de la firma. El objetivo de usar el sellado de tiempo es asegurar que un dato concreto existía antes de un determinado momento. Esto puede ser útil por ejemplo, para verificar que una firma digital que fue aplicada a un documento o formulario era válida antes de que

16 Página 16 de 74 el correspondiente certificado fuera revocado o quedase caducado, así como para que quede constancia de que algún documento se presentó en una fecha determinada. Precondiciones: Debe de haber un documento al que aplicar el sellado de tiempo y estar dada de alta una aplicación en la plataforma de firma con permisos para ejecutar esta acción y un certificado asociado a la aplicación. Interfaz: Entrada del servicio: Parámetro document alias invokingapp Descripción Bytes del documento a firmar. Alias del certificado con el que realizaremos la firma con sellado de tiempo Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de Entrada <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header /> <soapenv:body> <sfst:timestamp>

17 Página 17 de 74 <document><!-- Bytes del documento --></document> <alias>pruebas_gobierno</alias> <invokingapp>platino</invokingapp> </sfst:timestamp> </soapenv:body> </soapenv:envelope> Salida del servicio Parámetro return Descripción Resultado de la realización de la firma que incluye información de sello de tiempo. Será la codificación en Base64 de una firma CadES-T (que corresponde a una firma CAdES con sello de tiempo). Ejemplo de salida del servicio MIIWWAYJKoZIhvcNAQcCoIIWSTCCFkUCAQExDzANBglghkgBZQMEAgMFADA LBgkqhkiG9w0BBwGgggezMIIHrzCCBpegAwIBAgIJALuqenHfeJEdMA0GCS qgsib3dqebbquamihgmqswcqydvqqgewjfuzeumcwgcsqgsib3dqejaryfy WNfY2FtZXJmaXJtYV9jY0BjYW1lcmZpcm1hLmNvbTFDMEEGA1UEBxM6TWFk cmlkichzzwugy3vycmvudcbhzgryzxnzigf0ihd3dy5jyw1lcmzpcm1hlmn... HGjzny6ivuKQ3NAYW5M2mJdCbL8FO3Bo+z9FaaLm8Th5fTh+N82tBxZzBzn qq1gcqaz4b8p+12bewwrync7wjk3icaeydn2pcupocfeantbuck3lhcwzud JOUAlfRXsctEoH0Tog2sdjc36Eji5xa17W1Zu/hWW8ji4r70D 4.5 CU-SFT-12: GETTIME Este caso de uso permite obtener el tiempo oficial obtenido por la FNMT.

18 Página 18 de 74 Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del código de la aplicación que se va a encargar de solicitar la hora. Interfaz: Entrada del Servicio: Parámetro invokingapp Descripción Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada al servicio. <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:gettime> <invokingapp>platino</invokingapp> </sfst:gettime> </soapenv:body> </soapenv:envelope>

19 Página 19 de 74 Salida del servicio: Valor de retorno Descripción return Fecha y hora obtenida del servidor de tiempo de la FNMT. Ejemplo de salida del servicio. <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:gettime> t10:42: :00</sfst:gettime> </soapenv:body> </soapenv:envelope> 4.6 CU-SFT-13: GETVERSION Este caso de uso permite averiguar la versión en formato DM.Dm.Dc.YYYYMMDD del servicio web desplegado. DM: dígito mayor. Aumenta con un cambio en la interfaz del servicio que requiere una recompilación de los clientes. Dm: dígito menor. Aumenta con un cambio retrocompatible en la interfaz del servicio. Dc: dígito cambio. Aumenta con un cambio que no afecta a la interfaz del servicio. Interfaz: Entrada del servicio: Este método no tiene parámetros de entrada.

20 Página 20 de 74 Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de Entrada <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:getversion/> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción return String con la fecha de publicación del servicio en formato YYYYMMDD Ejemplo de salida del servicio. <soap:envelope xmlns:soap=" <soap:body> <ns2:getversionresponse xmlns:ns2=" xmlns:env=" <return> </return> </ns2:getversionresponse> </soap:body> </soap:envelope> 4.7 CU-SFT-14: OBTENER INFORMACIÓN DE UN CERTIFICADO Esta funcionalidad obtener la información almacenada en un certificado que se encuentre instalado en el navegador del usuario.

21 Página 21 de 74 Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del código de la aplicación que se va a encargar de solicitar la información del certificado, así como la parte pública de un certificado. Interfaz: Entrada del Servicio: Parámetro certificate invokingapp Descripción String que contiene la clave pública del certificado al que queremos extraer la información. Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada al servicio. <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:getcertinfo> <certificate>miifntccbj6gawibagi[...]</certificate> <invokingapp>platino</invokingapp> </sfst:getcertinfo> </soapenv:body> </soapenv:envelope>

22 Página 22 de 74 Salida del servicio: Valor de retorno Descripción return Se retorna una estructura que empareja el campo con el valor recuperado del certificado según el servicio Plataforma los devuelve. Pueden consultarse los campos devueltos en el apartado 5.3.Descripción de los campos extraídos del certificado de este documento. Ejemplo de salida del servicio. <soap:envelope xmlns:soap=" <soap:body> <ns2:getcertinforesponse xmlns:ns2=" <return> <item>apellidosresponsable</item> <item>xxxxxxxx</item> </return> <return> <item>organizacionemisora</item> <item>fnmt</item> </return> <return> <item>segundoapellidoresponsable</item> <item>xxxxxxxx</item> </return> <return> <item>usocertificado</item> <item>digitalsignature keyencipherment</item> </return> <return> <item>versionpolitica</item> <item>54</item> </return> <return> <item>pais</item> <item>es</item> </return> <return> <item>subject</item> <item>cn=xxxxxxxx,ou=fnmt Clase 2 CA,O=FNMT,C=ES</item> </return> <return> <item>primerapellidoresponsable</item> <item>xxxxxxxx</item> </return> <return> <item>numeroserie</item> <item>xxxxxxxx</item> </return> <return> <item>nombreapellidosresponsable</item> <item>xxxxxxxx</item> </return> <return> <item>validohasta</item> <item> vie 20:08: </item> </return>

23 Página 23 de 74 <return> <item>idpolitica</item> <item>mityc</item> </return> <return> <item>validodesde</item> <item> lun 20:08: </item> </return> <return> <item>tipocertificado</item> <item>fnmt PF</item> </return> <return> <item>clasificacion</item> <item>0</item> </return> <return> <item>nifresponsable</item> <item>xxxxxxxx</item> </return> <return> <item>idemisor</item> <item>ou=fnmt Clase 2 CA,O=FNMT,C=ES</item> </return> <return> <item>nombreresponsable</item> <item>xxxxxxxx</item> </return> <return> <item>politica</item> <item> </item> </return> </ns2:getcertinforesponse> </soap:body> </soap:envelope> 4.8 CU-FST-15: FIRMA CONTENIDO El caso de uso de firma de contenido en el lado del servidor permite, a cualquier servicio o backoffice integrado con Platino, realizar peticiones para que el servicio realice la firma en formato CAdES-EPES del contenido de un documento que se le pasa como entrada. Interfaz:

24 Página 24 de 74 Precondiciones: Para poder llevar a cabo un firma de este tipo es necesario estar en posesión del contenido del documento que se desea firmar, estar dado de alta con un identificador de aplicación asignado, y tener un certificado válido dado de alta en la plataforma de firma, para realizar la firma. El documento debe tener un tamaño inferior a los 8,8MB, ya plataforma establece esa limitación para poder validar la firma posteriormente, en caso de proporcionar un documento con un tamaño superior se devolverá la correspondiente excepción. El certificado con el que se desean realizar las firmas debe proporcionarse por un procedimiento previo que consiste en registrar el certificado firmante en Platino (para más información contactar con platino@gobiernodecanarias.org). Dicho certificado tendrá asociado un alias que será el que debe proporcionarse en este método. Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de firma en el servidor: Parámetro content invokingapp alias Descripción Array de bytes que almacena el contenido que deseamos firmar. Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Alias del certificado, almacenado en el servidor, con el que se va firmar el documento. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv="

25 Página 25 de 74 xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:signcontent> <content>q29udgvuawrvigrlihbydwviysbwyxjhigxhigzpcm1h</content> <invokingapp>platino</invokingapp> <alias>pruebas_gobierno</alias> </sfst:signcontent> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción return Resultado de la firma en formato CAdES-EPES. Ejemplo de salida del servicio <env:envelope xmlns:env=" <env:header/> <env:body> <ns2:signcontentresponse xmlns:ns2=" <return>miil/wyjkozihvcnaqccoiil8dccc+wcaqexdzanbglghkgbzqmeagmfadalbgkqhkig9w0bbwgg ggezmiihrzccbpegawibagijaluqenhfejedma0gcsqgsib3dqebbquamihgmqswcqydvqqgewjf UzEuMCwGCSqGSIb3DQEJARYfYWNfY2FtZXJmaXJtYV9jY0BjYW1lcmZpcm1hLmNvbTFDMEEGA1UE BxM6TWFkcmlkIChzZWUgY3VycmVudCBhZGRyZXNzIGF0IHd3dy5jYW1lcmZpcm1hLmNvbS9hZGRy ZXNzKTESMBAGA1UEBRMJQTgyNzQzMjg3MRkwFwYDVQQKExBBQyBDYW1lcmZpcm1hIFNBMS0wKwYD... wfwkwi2zxriuint4at96/kw4zlphdub5nfdp6/gjjtraoixtpjkm6+llnjdlrd15mzo8kfnhrxpn DfXK21uvdtnteAadmlZqtPudSSy3XFJk+ci7pghw544zYm4/RkM6oqEvkrBMi8PIYeyIfYXff2xy F8tR4UuCVMEgxg/O4iIooEhKYOVs4wt7KtJw6/W3lenzhw5zhHSGS9+QbcR46Vs6awbovrgAk29z HIB49yOLcfbZY5ssNO4USD/Vp6tRusL1m38GBzzu7Ni1459VKPqjT1dBbtoXuptZ6ufgCQrO</return> </ns2:signcontentresponse> </env:body> </env:envelope> 4.9 CU-FST-16: VALIDAR FIRMA CONTENIDO El caso de uso llamado Validar Firma de Contenido permite, a cualquier servicio o backoffice integrado con Platino, realizar peticiones para que el servicio realice la validación de una firma obtenida por ejemplo con CU-FST-15: Firmar Contenido.

26 Página 26 de 74 Interfaz: Existe una variante de dicho método llamada verifycontentsignaturecamel, llamada por el Servicio de Pasarela de Pagos Telemático, que recibe los mismos parámetros de entrada, aunque la cabecera de la firma es diferente, y proporciona los mismos parámetros de salida. Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del resultado de una firma generada previamente tras la invocación del caso de uso Firmar Contenido, no pudiendo validar firmas que se hayan obtenido utilizando cualquier otro método de firma. Se ha establecido que para la firmas de tipo XAdES y CAdES la firma ha validar no debe superar los 8,9MB aproximadamente, mientras que para firma tipo PAdES la limitación se ha establecido en los 11,99MB aproximadamente. Esta limitación la plataforma, en caso de proporcionar una firma con un tamaño superior a los indicados se devolverá la correspondiente excepción. También será necesario estar en posesión del código de la aplicación que se va a encargar de la verificación. En el caso de que la firma a validar sea una firma múltiple, hay que tener en cuenta que el contenido aportado prevalecerá sobre cualquier referencia existente en las firmas contenidas en la firma múltiple, es decir, todas las firmas se validarán contra el mismo contenido.

27 Página 27 de 74 Entrada al servicio: Y su variante: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de validación de firma de contenido: Parámetro content signature invokingapp Descripción Array de bytes que almacena el contenido que hemos firmado. Array de bytes que contiene la firma a validar. Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Cuando el formato sea PAdES se incluirá el PDF firmado dentro del parámetro signature, en Base64, y no es necesario informar el parámetro content. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:verifycontentsignature>

28 Página 28 de 74 <content>[bytes del contenido a validar] </content> <signature>[bytes de la firma a validar]</signature> <invokingapp>platino</invokingapp> </sfst:verifycontentsignature> </soapenv:body> </soapenv:envelope> Salida del servicio: Y su variante: Valor de retorno Descripción Resultado de la verificación. Los posibles códigos de retorno son: Code Valido Descripción return 0 true Firma OK -1 false Firma no pudo verificarse 1 false Firma no válida 2 false Certificado ha caducado o aún no es válido 3 false El certificado no es de confianza 4 false Certificado revocado 5 false No pudo verificarse el estado de revocación del certificado firmante 7 false Uso del certificado no válido

29 Página 29 de 74 8 false Algoritmo de firma no definido o no soportado 9 false Algoritmo de firma no valido 10 false Certificado de firma no encontrado La descripción final puede variar en función del error concreto, y no debe ser evaluada programáticamente. Ejemplo de salida del servicio <env:envelope xmlns:env=" <env:header/> <env:body> <ns2:verifycontentsignatureresponse xmlns:ns2=" <return> <code>0</code> <description>firma OK</description> <valido>true</valido> </return> </ns2:verifycontentsignatureresponse> </env:body> </env:envelope> 4.10 CU-FST-17: ANALIZAR TIMESTAMP El caso de uso llamado Analizar TimeStamp permite, a cualquier servicio o backoffice integrado con Platino, realizar peticiones para que el servicio realice el análisis de de una firma con sellado de tiempo obtenida con el CU-FST-09: TimeStamp. Interfaz: Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del resultado de una firma con sellado de tiempo generada previamente tras la invocación del caso de uso TimeStamp.

30 Página 30 de 74 También será necesario estar en posesión del código de la aplicación que se va a encargar de la verificación. Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de análisis del sello de tiempo: Parámetro signature invokingapp Descripción Array de bytes que almacena el resultado de una firma que incluye el sello de tiempo a analizar Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:analyzetimestamp> <signature> <!-- Bytes de la firma con sello de tiempo a analizar --> </signature> <invokingapp>platino</invokingapp> </sfst:analyzetimestamp> </soapenv:body> </soapenv:envelope>

31 Página 31 de 74 Salida del servicio: Valor de retorno analyzetimestamresult Descripción Este objeto contiene los siguientes atributos: date: Fecha en la que se realizó el sello de tiempo. serialnumber: Número de serie del sellado de tiempo tsa: Autoridad de sellado de tiempo que ha creado el sello. Ejemplo de salida del servicio <env:envelope xmlns:env=" <env:header/> <env:body> <ns2:analyzetimestampresponse xmlns:ns2=" <return> <date> t11:03:14z</date> <serialnumber> </serialnumber> <tsa>cn=minisdef-ec-wpg,ou=pki,o=mdef,c=es</tsa> </return> </ns2:analyzetimestampresponse> </env:body> </env:envelope> 4.11 CU-SFT-18: TIMESTAMP DE FIRMA Esta caso permite a los servicios y backoffices de la plataforma solicitar sellos de tiempo para firmas, dotando a los elementos firmados de validez en el momento de la firma. La funcionalidad se consigue de manera similar al caso 4.15 Promocionar firma con formato. El subtipo de firma a incorporar será -T o -LTV según corresponda, por ejemplo para una firma CAdES, el formato será CADES y el subformato CADES-T. Para una firma PadES, el formato será PADES y el subformato PADES-LTV.

32 Página 32 de 74 El objetivo de usar el sellado de tiempo es asegurar que un dato concreto existía antes de un determinado momento. Esto puede ser útil por ejemplo, para verificar que una firma digital que fue aplicada a un documento o formulario era válida antes de que el correspondiente certificado fuera revocado o quedase caducado, así como para que quede constancia de que algún documento se presentó en una fecha determinada CU-SFT-19: FIRMA SECUENCIAL Esta funcionalidad permite a los servicios y backoffices de la realización de una firma secuencial sobre otra firma de un documento existente previamente. Precondiciones: Es necesario estar en posesión de la firma previa a la que aplicar la firma secuencial. También será necesario disponer del documento que la primera firma ha firmado, así como estar dado de alta una aplicación en la plataforma de firma con permisos para ejecutar esta acción y un certificado asociado a la aplicación. Se ha establecido que para la firmas de tipo XAdES y CAdES la firma ha validar no debe superar los 8,9MB aproximadamente, mientras que para firma tipo PAdES la limitación se ha establecido en los 11,99MB aproximadamente. Esta limitación la plataforma, en caso de proporcionar una firma con un tamaño superior a los indicados se devolverá la correspondiente excepción. Interfaz:

33 Página 33 de 74 Entrada del servicio: Parámetro document signature invokingapp alias Descripción Bytes del documento firmado por la firma original Bytes de la firma a la que añadir la firma secuencial Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Alias del certificado con el que realizar la firma secuencial Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de Entrada <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:signsequential> <document> <!-- Bytes del documento firmado por la firma original --> </document> <signature> <!-- Bytes de la firma original --> </signature> <invokingapp>platino</invokingapp> <alias>pruebas_gobierno</alias> </sfst:signsequential> </soapenv:body> </soapenv:envelope> Salida del servicio Valor de retorno Descripción return String que contiene el resultado de la firma secuencial.

34 Página 34 de 74 Ejemplo de salida del servicio <?xml version="1.0" encoding="utf-8"?> <AFIRMA> <CONTENT Encoding="base64" Id="CONTENT-d844f25f-a c7f-d281e0500be3">MTIz</CONTENT> <ds:signature xmlns:ds=" Id="Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97-Signature"> <ds:signedinfo> <ds:canonicalizationmethod Algorithm=" <ds:signaturemethod Algorithm=" <ds:reference Id="Reference-6a99eb00-e085-40c7-b192-10aa2d0b0508" URI="#CONTENT-d844f25f-a c7f-d281e0500be3"> <ds:transforms> <ds:transform Algorithm=" </ds:transforms> <ds:digestmethod Algorithm=" <ds:digestvalue>pjkjr+wlnu1vha4hwquybjjvpyfzunpcpu5mbh56schri4uqpjvnume7mbtcndyhtcnxskl9ei/bhivrylxewg==</ds:digestvalue> </ds:reference> <ds:reference Type=" URI="#Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97- SignedProperties"> <ds:digestmethod Algorithm=" <ds:digestvalue>/lukrdhyxi/dyclw7yqwsmj/r5wychz2c+yojmfdldsobyrux78u4mv7swznijdafctdsf+rsidk66eygyneyw==</ds:digestvalue> </ds:reference> <ds:reference URI="#Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97-KeyInfo"> <ds:digestmethod Algorithm=" <ds:digestvalue>nh+kufviwprk2c19u0kwjje7c6e8ueragfsjeiorf3/z8ivlh5tqhiqkf0htlavxmgvexk+a/h696igbgdyjka==</ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue Id="Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97- SignatureValue">DxphH3xauQAt61NScoVn2WVJi8IaZqTbSkFuHMZtUzLNlriZhg9bWfs7+qfvdiflpNLRy1snOP9AqjBMlshYeMWBwTq0PrnCgDyBshzYXvAv81 5R9OfyODKCALy8Qeeq1dYn9HlMYDKcfoK7/z4hkOM+w5Btm6GorlbPGnbfVIEzQaab+TsOiR6PASb1Vh1ImPTkfMgpBQ/RVGrbOZI3aI0HYwbdVI5AyD4Cqk3Xjv8i ESlEmLkDBpWMmAmWLPA9h7g5JaRvAeD93tNSPAF4v1QE9WfObO+qqI8l/2G4vLbhXZMFxKVuHpH46PSZjuUto7gAaTcjhitRfV9Lj1HcRg==</ds:SignatureValu e> <ds:keyinfo Id="Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97-KeyInfo"> <ds:keyvalue> <ds:rsakeyvalue> <ds:modulus>564lqtbkzgvacxnsyxvezf+ofo5tc1kktd57u2ricyd0d1wx5ckprwfu7h+ +YMrus3nX6sE2H37yAn8qfFI6QVaY526+xfHqor88wBwYAGYQzRSKMwRJWHIyy8GLjESipKn6MMnxJbtcwOO5ugYZhZo9E2OZ8x3a0GBC15Klx3garkRHAl3GoKXos Sap+EmlFeyOcOShxSnVeEr6OBKaoGtmiFVx2PIdnYA4GsiR//2y+FhFYx0ie49YzeuGfMhyvnZbbB1qxQrLB4ye/hhkxWPNBVIp3UAPfmZV2jE86y7piVNwE8fvWiE EgqdCxBFtlCVyTQ42I506MIM5yB6Ldw==</ds:Modulus> <ds:exponent>aqab</ds:exponent> </ds:rsakeyvalue> </ds:keyvalue> <ds:x509data> <ds:x509certificate>miihrzccbpegawibagijaluqenhfejedma0gcsqgsib3dqebbquamihgmqswcqydvqqgewjfuzeumcwgcsqgsib3dqejaryfywnfy2ftzx JmaXJtYV9jY0BjYW1lcmZpcm1hLmNvbTFDMEEGA1UEBxM6TWFkcmlkIChzZWUgY3VycmVudCBhZGRyZXNzIGF0IHd3dy5jYW1lcmZpcm1hLmNvbS9hZGRyZXNzKTES... v+g+nwjcie3pwx5vtc7o2y046lg/ctvh2seyj14cog3ze5gf/dy3onxlui8enznttq7lwittunx3v7alw5eojbbk7jpbzhztlz4mz4deoj83jo7okf5cpjphdm4ygo ywg0c6hdcjr1hivpyjivu3l3/vmlwqv2ozma58eykg9oebhfpcwwj2+dypxgfbhqn1nhfbf5jjb5ph8l23y79fwl2lneiad/l06crcap0h+mlhdgbdgygvgmtv2uzz r0</ds:x509certificate> </ds:x509data> </ds:keyinfo> <ds:object> <xades:qualifyingproperties xmlns:xades=" Id="Signature-5eb709ee-bfc8-4f2f-bc5d- 59e7db4aaf97-QualifyingProperties" Target="#Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97-Signature" xmlns:ds=" <xades:signedproperties Id="Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97-SignedProperties"> <xades:signedsignatureproperties> <xades:signingtime> t08:48:42+01:00</xades:signingtime> <xades:signingcertificate> <xades:cert> <xades:certdigest> <ds:digestmethod Algorithm=" <ds:digestvalue>uybvkmrtjqpeepgoakdcbdpnpb6qm+l8gso7tudrsixzslrtzhmaq5uakg8/1uvokf9mqcvvp8ycjfeuepdapw==</ds:digestvalue> </xades:certdigest> <xades:issuerserial> <ds:x509issuername>c=es, CN=PRUEBAS - GOBIERNO DE CANARIAS, O=GOBIERNO DE CANARIAS, SERIALNUMBER=S D, OU=sello electrónico, OID =Qualified Certificate: AAPP-SEP-M-SW-KPSC</ds:X509IssuerName> <ds:x509serialnumber> </ds:x509serialnumber> </xades:issuerserial> </xades:cert> </xades:signingcertificate> </xades:signedsignatureproperties> <xades:signeddataobjectproperties> <xades:dataobjectformat ObjectReference="#Reference-6a99eb00-e085-40c7-b192-10aa2d0b0508"> <xades:description>unknown source data.</xades:description> <xades:mimetype/> <xades:encoding/>

35 Página 35 de 74 </xades:dataobjectformat> </xades:signeddataobjectproperties> </xades:signedproperties> <xades:unsignedproperties> <xades:unsignedsignatureproperties> <xades:countersignature xmlns:xades=" <ds:signature Id="Signature-579d4aa3-2c91-4d3f-884e bae7f3-Signature" xmlns:ds=" <ds:signedinfo> <ds:canonicalizationmethod Algorithm=" <ds:signaturemethod Algorithm=" <ds:reference Id="Reference-4dda70d2-610b-4174-a977-c36ef946b243" Type=" URI="#Signature-5eb709ee-bfc8-4f2f-bc5d-59e7db4aaf97-SignatureValue"> <ds:transforms> <ds:transform Algorithm=" </ds:transforms> <ds:digestmethod Algorithm=" <ds:digestvalue>wk6zqcpxzi6jtpz3pyftfzcbatkedjxzbcdcx1n3jy4=</ds:digestvalue> </ds:reference> <ds:reference Type=" URI="#Signature-579d4aa3-2c91-4d3f-884e bae7f3-SignedProperties"> <ds:digestmethod Algorithm=" <ds:digestvalue>o0xfj4ssk8/3yyuvga0pbgwczxqkm4mbbse9rz9yr3e=</ds:digestvalue> </ds:reference> <ds:reference URI="#Signature-579d4aa3-2c91-4d3f-884e bae7f3-KeyInfo"> <ds:digestmethod Algorithm=" <ds:digestvalue>9gixovdp2oao3pmtkw6v8ehwkt0mkbjc0oibm39feri=</ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue Id="Signature-579d4aa3-2c91-4d3f-884e bae7f3- SignatureValue">vH/0TegRcohgyWdI8gYqXFJUnWfSOlo2CaG8b5eWLAJ85CkGdRcz3SsWLhlAvxXqY+itCzE2PklQwZ1X1V3X724Kq7P6CJoR5M5oeCIBViYmZk Nt+dJa+NbtTolbyTlSnEnft3FRo+sVyXR6zOkTHit49oir9tyDlQ+n5FwNfKx683BqfQignmSehFu4i2FQfDeyxHnRoX3ArpH/1IxicR1nycsF1L+ZrTAKTbMFM+eM 6xALfP28gKyd6zOQfkzV3e+nZpYJLrmdEpeKVWjg+qNIKmGbKTSTjDGuNSB9WA3b/4/eJfgK0adBTsV7pI4ev8/rHu+cVHKPjGyH5Ztk+A==</ds:SignatureValu e> <ds:keyinfo Id="Signature-579d4aa3-2c91-4d3f-884e bae7f3-KeyInfo"> <ds:keyvalue> <ds:rsakeyvalue> <ds:modulus>564lqtbkzgvacxnsyxvezf+ofo5tc1kktd57u2ricyd0d1wx5ckprwfu7h+ +YMrus3nX6sE2H37yAn8qfFI6QVaY526+xfHqor88wBwYAGYQzRSKMwRJWHIyy8GLjESipKn6MMnxJbtcwOO5ugYZhZo9E2OZ8x3a0GBC15Klx3garkRHAl3GoKXos Sap+EmlFeyOcOShxSnVeEr6OBKaoGtmiFVx2PIdnYA4GsiR//2y+FhFYx0ie49YzeuGfMhyvnZbbB1qxQrLB4ye/hhkxWPNBVIp3UAPfmZV2jE86y7piVNwE8fvWiE EgqdCxBFtlCVyTQ42I506MIM5yB6Ldw==</ds:Modulus> <ds:exponent>aqab</ds:exponent> </ds:rsakeyvalue> </ds:keyvalue> <ds:x509data> <ds:x509certificate>miihrzccbpegawibagijaluqenhfejedma0gcsqgsib3dqebbquamihgmqswcqydvqqgewjfuzeumcwgcsqgsib3dqejaryfywnfy2ftzx JmaXJtYV9jY0BjYW1lcmZpcm1hLmNvbTFDMEEGA1UEBxM6TWFkcmlkIChzZWUgY3VycmVudCBhZGRyZXNzIGF0IHd3dy5jYW1lcmZpcm1hLmNvbS9hZGRyZXNzKTES MBAGA1UEBRMJQTgyNzQzMjg3MRkwFwYDVQQKExBBQyBDYW1lcmZpcm1hIFNBMS0wKwYDVQQDEyRBQyBDYW1lcmZpcm1hIENlcnRpZmljYWRvcyBDYW1lcmFsZXMwHh cnmtuwmja5mdkwotm1whcnmtywmja5mdkwotm1wjccavuxljasbgnvba0mjvf1ywxpzmllzcbdzxj0awzpy2f0ztogq0fnlvbklvnxlutqu0mxhzadbgnvbammfltt... ywg0c6hdcjr1hivpyjivu3l3/vmlwqv2ozma58eykg9oebhfpcwwj2+dypxgfbhqn1nhfbf5jjb5ph8l23y79fwl2lneiad/l06crcap0h+mlhdgbdgygvgmtv2uzz r0</ds:x509certificate> </ds:x509data> </ds:keyinfo> <ds:object> <xades:qualifyingproperties xmlns:xades=" Id="Signature-579d4aa3-2c91-4d3f-884e bae7f3-QualifyingProperties" Target="#Signature-579d4aa3-2c91-4d3f-884e bae7f3-Signature" xmlns:ds=" <xades:signedproperties Id="Signature-579d4aa3-2c91-4d3f-884e bae7f3-SignedProperties"> <xades:signedsignatureproperties> <xades:signingtime> t12:51:46+01:00</xades:signingtime> <xades:signingcertificate> <xades:cert> <xades:certdigest> <ds:digestmethod Algorithm=" <ds:digestvalue>rv2w+tqfdc0rsnrj+cl6uugfsikzg6nhiiad2lqbj+e=</ds:digestvalue> </xades:certdigest> <xades:issuerserial> <ds:x509issuername>c=es, CN=PRUEBAS - GOBIERNO DE CANARIAS, O=GOBIERNO DE CANARIAS, SERIALNUMBER=S D, OU=sello electrónico, OID =Qualified Certificate: AAPP-SEP-M-SW-KPSC</ds:X509IssuerName> <ds:x509serialnumber> </ds:x509serialnumber> </xades:issuerserial> </xades:cert> </xades:signingcertificate> </xades:signedsignatureproperties> </xades:signedproperties> <xades:unsignedproperties> <xades:unsignedsignatureproperties/> </xades:unsignedproperties> </xades:qualifyingproperties> </ds:object> </ds:signature>

36 Página 36 de 74 </xades:countersignature> </xades:unsignedsignatureproperties> </xades:unsignedproperties> </xades:qualifyingproperties> </ds:object> </ds:signature> </AFIRMA> 4.13 CU-FST-23: FIRMA EN FORMATO El caso de uso de firma de documentos en el lado del servidor permite, a cualquier servicio o backoffice integrado con Platino, realizar peticiones para que el servicio realice la firma documentos en el formato indicado. Interfaz: Precondiciones: Para poder llevar a cabo un firma de este tipo es necesario tener un documento que 6+firmar, o el contenido de un documento. Esta información a firmar puede utilizar documento almacenado en el servicio de gestor de repositorio de documentos electrónicos; en este caso, el documento se identificará a través de la URI del gestor documental. En el caso de firmas XML Signature, por compatibilidad se mantendrá la posibilidad de acceso a través de http. El documento debe tener un tamaño inferior a los 8,8MB, cuando se firme con formato CAdES y PAdES, mientras cuando la firma de tipo XAdES el tamaño se restringe a los 6,3MB, esta limitación viene establecida plataforma para poder validar la firma posteriormente, en caso de proporcionar un documento con un tamaño superior a los indicados se devolverá la correspondiente excepción. También es necesario estar dado de alta con un identificador de aplicación asignado, y tener un certificado válido dado de alta en la plataforma de firma, para realizar la firma. El certificado con el que se desean realizar las firmas debe proporcionarse por un procedimiento previo que consiste en registrar el certificado firmante en Platino (para más información contactar con platino@gobiernodecanarias.org). Dicho certificado tendrá asociado un alias que será el que debe proporcionarse en este método.

37 Página 37 de 74 Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de firma en el servidor: Parámetro Document URI alias invokingapp FormatSign timestamp IsDetached Descripción Parámetro opcional que permite indicar la información que se desea firmar. Para firmas XMLdSign Internally Detached este parámetro contendrá la información del xml a firmar en formato base 64. Para firmas PAdES contendrá el PDF. Documento o referencia al documento que se quiere firmar. Para firmas XMLdSign Internally Detached en este parámetro se indicará la referencia al objeto que se desea firmar. Alias del certificado con el que realizaremos la firma con sellado de tiempo Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Formato de firma a firmar, los valores posibles son: "PKCS7" Se recomienda migrar a CAdES. "CMS" Se recomienda migrar a CAdES "XMLDSIG" Se recomienda migrar a XAdES o CAdES "SMIME" Se recomienda migrar a CAdES "CADES" "XADES" "PADES" Valor booleano que determina si quiere que se añada el timestamp a la firma. No válido para la versión SMIME. Si el formato elegido es *ADES, la firma de salida será en formato *ADES-T. Actualmente no se soporta timestamp para firmas PAdES. Valor booleano para indicar si es firma detached o Attached para los formatos PKC7, CMS y CADES. Si el formato de firma es el XMLDSIG este valor tendrá el siguiente significado. false.- Se realizará una firma externally detached. (Formato habitual de Platino). true.- Se realizará una firma internally detached.

38 Página 38 de 74 Si el formato de firma es el CADES este valor tendrá el siguiente significado. false.- Se realizará una firma implícita. true.- Se realizará una firma explícita (Formato habitual de Platino). Si el formato de firma es el XADES este valor tendrá el siguiente significado. false.- Se realizará una firma XAdES internally detached implícita. true.- Se generará un error indicando que no se permite una XAdES explícita. Si el formato de firma es el PADES este valor tendrá el siguiente significado. false.- Se realizará una firma PAdES implícita. true.- Se generará un error indicando que no se permite una PAdES explícita. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:signbyformat> <!--Optional:--> <document>texto de prueba</document> <!--Optional:--> <URI></URI> <!--Optional:--> <invokingapp>platino</invokingapp> <!--Optional:--> <alias>pruebas_gobierno</alias> <!--Optional:--> <formatsign>xades</formatsign> <timestamp>false</timestamp> <isdetached>true</isdetached> </sfst:signbyformat> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción result Resultado de la firma.

39 Página 39 de 74 El resultado de la firma dependerá del parámetro URI que se le haya pasado al método: En el caso de que en el parámetro URI se haya pasado un valor que indique la ubicación del documento a firmar a través de un protocolo estándar (como por ejemplo http), el resultado será una firma XML Detached tal como se muestra en el cuadro inferior Ejemplo de salida del servicio. En el caso de que en el parámetro URI se haya pasado una URI que referencia a un documento almacenado en el gestor documental de Platino, la firma resultante tendrá en cuenta las posibles firmas que pudieran existir en el metadato correspondiente que almacena la firma electrónica del documento. Si el documento ya se encontrase firmado en el gestor documental, el resultado de la firma será una firma múltiple paralela, conforme a la documentación especificada en el apartado 5.2 de este mismo documento. NOTA: Hay que tener en cuenta que el metadato que almacena la firma electrónica en el gestor documental de Platino no será modificado por la operación de firma. Para firmas PAdES el resultado será el PDF firmado. Ejemplo de salida del servicio <?xml version="1.0" encoding="utf-8"?> <AFIRMA> <CONTENT Encoding="base64" Id="CONTENT-181d5f1f-d f4-6ad83c58f2d1">MTIz</CONTENT> <ds:signature xmlns:ds=" Id="Signature-0e500f49-7aa e7817c0171ad-Signature"> <ds:signedinfo> <ds:canonicalizationmethod Algorithm=" <ds:signaturemethod Algorithm=" <ds:reference Id="Reference dbc f4-45d17dd7d084" URI="#CONTENT-181d5f1f-d f4-6ad83c58f2d1"> <ds:transforms> <ds:transform Algorithm=" </ds:transforms> <ds:digestmethod Algorithm=" <ds:digestvalue>pjkjr+wlnu1vha4hwquybjjvpyfzunpcpu5mbh56schri4uqpjvnume7mbtcndyhtcnxskl9ei/bhivrylxewg==</ds:digestvalue> </ds:reference> <ds:reference Type=" URI="#Signature-0e500f49-7aa e7817c0171ad- SignedProperties"> <ds:digestmethod Algorithm=" <ds:digestvalue>ve2sqlst/ltwznpb1ozhvt3tp8cqtgwij0inbh8f25ay+owmttjls9y2qaumxxeka36l3dtm1tk5n9drpp6ena==</ds:digestvalue> </ds:reference> <ds:reference URI="#Signature-0e500f49-7aa e7817c0171ad-KeyInfo"> <ds:digestmethod Algorithm=" <ds:digestvalue>i29rerwlfjaymo65jchzbbgvofd70eefkfl0ila2n2s3lwag4lu/e+awboc7dck/rev4wee+ozfdjfm9a+8ntw==</ds:digestvalue> </ds:reference> </ds:signedinfo> <ds:signaturevalue Id="Signature-0e500f49-7aa e7817c0171ad- SignatureValue">FKaMSUH+mHEPeTYnqDySujNv2x4hYKgLWN1FziblNqVWrEXqMjzDRmwFe16QCgrQV1HfUvvXY5RxszKgqaScRMaAJ5CjFCo4OUHDRPK4Tnm2Ep R2k/9OA+h04G8pzS0EkutK1YAoFUhy6vMqoTJokFq8j1CURmNqinWYVXzHGX4LsVbls//W9xZ/fc4MFjjNeJkR2pB7Ak6KuARW0X0FG32Dxen65LTGlBXSb5rzk2w0 Q7+YX6iYSum8rfJiSLDGjdecVcRMhnzT8fM2fmEf7NReX7qAim5wobPMmaJYJ9iXoOnV+DRs50c8pUoS+qKLtYOEQL2cYE8UgNvc9hVSKA==</ds:SignatureValu e> <ds:keyinfo Id="Signature-0e500f49-7aa e7817c0171ad-KeyInfo"> <ds:keyvalue> <ds:rsakeyvalue> <ds:modulus>564lqtbkzgvacxnsyxvezf+ofo5tc1kktd57u2ricyd0d1wx5ckprwfu7h+ +YMrus3nX6sE2H37yAn8qfFI6QVaY526+xfHqor88wBwYAGYQzRSKMwRJWHIyy8GLjESipKn6MMnxJbtcwOO5ugYZhZo9E2OZ8x3a0GBC15Klx3garkRHAl3GoKXos Sap+EmlFeyOcOShxSnVeEr6OBKaoGtmiFVx2PIdnYA4GsiR//2y+FhFYx0ie49YzeuGfMhyvnZbbB1qxQrLB4ye/hhkxWPNBVIp3UAPfmZV2jE86y7piVNwE8fvWiE

40 Página 40 de 74 EgqdCxBFtlCVyTQ42I506MIM5yB6Ldw==</ds:Modulus> <ds:exponent>aqab</ds:exponent> </ds:rsakeyvalue> </ds:keyvalue> <ds:x509data> <ds:x509certificate>miihrzccbpegawibagijaluqenhfejedma0gcsqgsib3dqebbquamihgmqswcqydvqqgewjfuzeumcwgcsqgsib3dqejaryfywnfy2ftzx JmaXJtYV9jY0BjYW1lcmZpcm1hLmNvbTFDMEEGA1UEBxM6TWFkcmlkIChzZWUgY3VycmVudCBhZGRyZXNzIGF0IHd3dy5jYW1lcmZpcm1hLmNvbS9hZGRyZXNzKTES MBAGA1UEBRMJQTgyNzQzMjg3MRkwFwYDVQQKExBBQyBDYW1lcmZpcm1hIFNBMS0wKwYDVQQDEyRBQyBDYW1lcmZpcm1hIENlcnRpZmljYWRvcyBDYW1lcmFsZXMwHh... ywg0c6hdcjr1hivpyjivu3l3/vmlwqv2ozma58eykg9oebhfpcwwj2+dypxgfbhqn1nhfbf5jjb5ph8l23y79fwl2lneiad/l06crcap0h+mlhdgbdgygvgmtv2uzz r0</ds:x509certificate> </ds:x509data> </ds:keyinfo> <ds:object> <xades:qualifyingproperties xmlns:xades=" Id="Signature-0e500f49-7aa e7817c0171ad-qualifyingproperties" Target="#Signature-0e500f49-7aa e7817c0171ad-Signature" xmlns:ds=" <xades:signedproperties Id="Signature-0e500f49-7aa e7817c0171ad-SignedProperties"> <xades:signedsignatureproperties> <xades:signingtime> t13:19:03+01:00</xades:signingtime> <xades:signingcertificate> <xades:cert> <xades:certdigest> <ds:digestmethod Algorithm=" <ds:digestvalue>uybvkmrtjqpeepgoakdcbdpnpb6qm+l8gso7tudrsixzslrtzhmaq5uakg8/1uvokf9mqcvvp8ycjfeuepdapw==</ds:digestvalue> </xades:certdigest> <xades:issuerserial> <ds:x509issuername>c=es, CN=PRUEBAS - GOBIERNO DE CANARIAS, O=GOBIERNO DE CANARIAS, SERIALNUMBER=S D, OU=sello electrónico, OID =Qualified Certificate: AAPP-SEP-M-SW-KPSC</ds:X509IssuerName> <ds:x509serialnumber> </ds:x509serialnumber> </xades:issuerserial> </xades:cert> </xades:signingcertificate> </xades:signedsignatureproperties> <xades:signeddataobjectproperties> <xades:dataobjectformat ObjectReference="#Reference dbc f4-45d17dd7d084"> <xades:description>unknown source data.</xades:description> <xades:mimetype/> <xades:encoding/> </xades:dataobjectformat> </xades:signeddataobjectproperties> </xades:signedproperties> <xades:unsignedproperties> <xades:unsignedsignatureproperties/> </xades:unsignedproperties> </xades:qualifyingproperties> </ds:object> </ds:signature> </AFIRMA> 4.14 CU-FST-24: VALIDAR FIRMA EN FORMATO El caso de uso llamado Validar Firma de Contenido permite, a cualquier servicio o backoffice integrado con Platino, realizar peticiones para que el servicio realice la validación de una firma obtenida, en el formato en que se haya firmado. Interfaz:

41 Página 41 de 74 Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del resultado de una firma generada previamente tras la invocación del caso de uso Firmar Contenido, no pudiendo validar firmas que se hayan obtenido utilizando cualquier otro método de firma. Se ha establecido que para la firmas de tipo XAdES y CAdES la firma ha validar no debe superar los 8,9MB aproximadamente, mientras que para firma tipo PAdES la limitación se ha establecido en los 11.99MB aproximadamente. Esta limitación la plataforma, en caso de proporcionar una firma con un tamaño superior a los indicados se devolverá la correspondiente excepción. También será necesario estar en posesión del código de la aplicación que se va a encargar de la verificación. En el caso de que la firma a validar sea una firma múltiple, hay que tener en cuenta que el contenido aportado prevalecerá sobre cualquier referencia existente en las firmas contenidas en la firma múltiple, es decir, todas las firmas se validarán contra el mismo contenido. Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de validación de firma de contenido:

42 Página 42 de 74 Parámetro content signature invokingapp FormatSign Descripción Array de bytes que almacena el contenido que hemos firmado. Array de bytes que contiene la firma a validar. Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Formato de la firma que se quiere verificar. "PKCS7" Se recomienda migrar a CAdES. "CMS" Se recomienda migrar a CAdES "XMLDSIG" Se recomienda migrar a XAdES o CAdES "SMIME" Se recomienda migrar a CAdES "CADES" "XADES" "PADES" Cuando se desee validar una factura electrónica se introducirá en este campo el valor XADES, el formato real de este tipo de xml. Para firmas con documento firmado implícito no se debe proporcionar el contenido. Cuando el formato sea PAdES se incluirá el PDF firmado dentro del parámetro signature, en Base64, y no es necesario informar el parámetro content. Cuando la validación sea de facturas electrónicas, se introducirá la factura en el campo signature, y el campo content quedará sin informar. Como se indica, el campo formatsign tendrá el valor XADES. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:verifysignaturebyformat> <content>[bytes del contenido a validar]</content> <signature>[bytes de la firma a validar]</signature> <invokingapp>platino</invokingapp> <formatsign>xades</formatsign> </sfst:verifysignaturebyformat>

43 Página 43 de 74 </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción Resultado de la verificación. Los posibles códigos de retorno son: Code Valido Descripción return 0 true Firma OK -1 false Firma no pudo verificarse 1 false Firma no válida 2 false Certificado ha caducado o aún no es válido 3 false El certificado no es de confianza 4 false Certificado revocado 5 false No pudo verificarse el estado de revocación del certificado firmante 7 false Uso del certificado no válido 8 false Algoritmo de firma no definido o no soportado 9 false Algoritmo de firma no valido 10 false Certificado de firma no encontrado La descripción final puede variar en función del error concreto, y no debe ser evaluada programáticamente. Ejemplo de salida del servicio

44 Página 44 de 74 <soapenv:envelope xmlns:soapenv=" <soapenv:body> <ns2:verifysignaturebyformatresponse xmlns:env=" xmlns:ns2=" <return> <code>0</code> <description>firma OK</description> <valido>true</valido> </return> </ns2:verifysignaturebyformatresponse> </soapenv:body> </soapenv:envelope> 4.15 CU-FST-25: PROMOCIONAR FIRMA EN FORMATO El caso de uso llamado Promocionar Firma de Contenido permite, a cualquier servicio o backoffice integrado con Platino, realizar peticiones para que el servicio realice la promoción de una firma a subtipos con un mayor nivel de información. Interfaz: Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del resultado de una firma generada previamente tras la invocación del caso de uso Firmar en formato. También será necesario estar en posesión del código de la aplicación que se va a encargar de la verificación. En el proceso de promoción de una firma se realizará la validación de las mismas. En el caso de que la firma a validar sea una firma múltiple, hay que tener en cuenta que el contenido aportado prevalecerá sobre cualquier referencia existente en las firmas contenidas en la firma múltiple, es decir, todas las firmas se validarán contra el mismo contenido.

45 Página 45 de 74 Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de validación de firma de contenido: Parámetro content Descripción Array de bytes que almacena el contenido que hemos firmado. signature Array de bytes que contiene la firma a promocionar codificado en base 64. invokingapp FormatSign SubtypeSign Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO. Formato de la firma que se quiere verificar. "CADES" "XADES" PADES Subtipo del formato de firma indicado al que se desea promocionar la firma. Actualmente están soportados los siguientes subtipos: "CADES-T" "XADES-T" PADES-LTV Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación.

46 Página 46 de 74 Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:promotesignaturebyformat> <content>[bytes del contenido a validar]</content> <signature>mii...[bytes de la firma a promocionar B64]..CT9zrM80n4=</signature> <invokingapp>platino</invokingapp> <formatsign>cades</formatsign> <subtypesign>cades-t </subtypesign> </sfst:promotesignaturebyformat> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción return Firma codificado en base 64. Ejemplo de salida del servicio <soapenv:envelope xmlns:soapenv=" <soapenv:body> <ns2:promotesignaturebyformatresponse xmlns:env=" xmlns:ns2=" <return>miiafb/[bytes de la firma a promocionada (B64)]...SUuE</return> </ns2:promotesignaturebyformatresponse> </soapenv:body> </soapenv:envelope> 4.16 CU-FST-26: OBTENER INFORMACIÓN DE FIRMA Este caso de uso permite, a cualquier servicio o backoffice integrado con Platino, obtener información de la firma pasada como parámetro. Esta información comprende la fecha de la firma, el nombre del firmante y la clave pública del certificado usado para realizarla.

47 Página 47 de 74 Interfaz: Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del resultado de una firma generada previamente. Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de validación de firma de contenido: Parámetro signature Descripción Array de bytes que contiene la firma codificado en base 64. Actualmente se soportan los siguientes formatos de firma: CADES XADES PADES XMLDSIG Además se soportan facturas electrónicas como un tipo especial de firma XadES. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación.

48 Página 48 de 74 Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:getsigninfo> <signature>mii...[bytes de la firma a a consultar B64]..CT9zrM80n4=</signature> </sfst:getsigninfo> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción return Resultado de la información de la firma pasada como parámetro. Ejemplo de salida del servicio <soapenv:envelope xmlns:soapenv=" <soapenv:body> <ns2:getsigninforesponse xmlns:ns2=" <return> <nodosfirma> <nodofirma> <certificado>miije... CERTIFICADO DE LA FIRMA...</certificado> <fechafirma> t11:25:27z</fechafirma> <firmante>oid = z, C=ES, OU=Clase 2 persona juridica, ADDRESS=test@prueba.com, SERIALNUMBER=B , SURNAME=Usuario Activo, GIVENNAME=ANF, CN=ANF Empresa Activo</firmante> </nodofirma> <nodofirma> <certificado>miije... CERTIFICADO DE LA FIRMA...</certificado> <fechafirma> t11:33:15z</fechafirma> <firmante>cn=maría NOTARIO ESPAÑOL, SERIALNUMBER= H, GIVENNAME=MARÍA, SURNAME=NOTARIO ESPAÑOL, T=Notario (Firma), OU= , OU=Colegio Notarial de MADRID, O=Consejo General del Notariado, L=MADRID, ST=MADRID, C=ES</firmante> </nodofirma> </nodosfirma> <tipo>cades</tipo> </return> </ns2:getsigninforesponse> </soapenv:body> </soapenv:envelope>

49 Página 49 de CU-FST-27: OBTENER INFORMACIÓN DE FIRMA ADAPTADA AL ENI Esta es una adaptación del método de obtener información de firma (CU-FST-26) para que sea consumido cuando se necesite cumplir el ENI (Esquema Nacional de Interoperabilidad), y está especialmente indicado para el consumo por parte del servicio interno SGRDE (del repositorio documental). Esta primera versión se encuadra en la implementación inicial de ENI en Platino (marzo de 2016) y puede ser sometido a cambios en próximos despliegues. La información que provee comprende el formato de la firma, la fecha de la firma, el nombre del firmante tal como aparece en el campo Sujeto dentro del certificado, el nombre del firmante tal como aparece en la caja de de metadatos de un documento, el documento de identidad del firmante, la clave pública en Base64 del certificado usado para realizarla, el emisor del certificado firmante tal como aparece en el campo Sujeto de su certificado, el tipo de firma (formato) al modo ENI, y la descripción de ese tipo. Además se incluyen campos que a día de hoy no resuelve firma, como el cargo del firmante, que resolvería BDOrg, el rol del firmante (un campo ENI que describiría la causa por la que el firmante realizó la firma), que actualmente no se rellena, y la validez de la firma, que se deja a false y debería obtenerse con una llamada adicional a los métodos de validar firma (al no tener el propio documento, getsigninfoeni no puede asegurar la validez). Interfaz: Precondiciones: Para la ejecución de este caso de uso, es necesario disponer del resultado de una firma generada previamente.

50 Página 50 de 74 Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de validación de firma de contenido: Parámetro signature Descripción Array de bytes que contiene la firma codificado en base 64. Actualmente se soportan los siguientes formatos de firma: CADES XADES PADES XMLDSIG Además se soportan facturas electrónicas como un tipo especial de firma XAdES. Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfst=" <soapenv:header/> <soapenv:body> <sfst:getsigninfo> <signature>mii...[bytes de la firma a a consultar B64]..CT9zrM80n4=</signature> </sfst:getsigninfo> </soapenv:body> </soapenv:envelope>

51 Página 51 de 74 Salida del servicio: Valor de retorno Descripción return Resultado de la información de la firma pasada como parámetro.

52 Página 52 de 74 Ejemplo de salida del servicio <soap:envelope xmlns:soap=" <soap:body> <ns2:getsigninforesponseeni xmlns:ns2=" <return> <nodosfirma> <nodofirma> <certificado>miihrzccbpegawibagi...ygvgmtv2uzzr0</certificado> <fechafirma> t12:29:54+01:00</fechafirma> <firmante>c=es, O=[SOLO PRUEBAS] ENTIDAD, OU=DEPARTAM...J-SW-KPSC</firmante> <cargofirmante>-</cargofirmante> <descripcionfirmante>juan CAMARA ESPAÑOL</descripcionFirmante> <emisorfirmante>c=es, CN=PRUEBAS...O=GOBIERNO DE CANARIAS</emisorFirmante> <identidadfirmante> t</identidadfirmante> <rolfirmante/> <tipoeni>tf04</tipoeni> <tipoenidescr>cades detached/explicit signature</tipoenidescr> <valida>false</valida> </nodofirma> </nodosfirma> <tipo>cades</tipo> </return> </ns2:getsigninforesponseeni> </soap:body> </soap:envelope> 4.18 CU-FST-28: OBTENER CONTENIDO FIRMADO DE LA FIRMA Este nuevo método devuelve el contenido firmado en firmas Attached. Las firmas de tipo Attached embeben el contenido firmado, mientras que las firmas Detached no. El método signbyformat permite determinar, a parte del formato con el que firmar, si una firma será Attached o Detached. Al establecer el atributo isdetached a false la firma resultante contendrá el documento firmado, siendo esta firma resultante válida para consumir esta nueva función. Una vez se pasa como parámetro una firma Attached la salida devolverá un array de bytes con el documento firmado. En el caso de que la firma sea Detached se producirá una excepción indicando esta circunstancia. Interfaz:

53 Página 53 de 74 Precondiciones: Para la ejecución de este caso de uso es necesario disponer de una firma Attached de tipo CAdES, XAdES o PAdES. Entrada al servicio: A continuación se muestra el modelo de datos que se ha de utilizar cuando queremos invocar a la operación de validación de firma de contenido: Parámetro signature invokingapp Descripción Array de bytes que contiene la firma codificado en base 64. Actualmente se soportan los siguientes formatos de firma: CADES XADES PADES Código de la aplicación que realiza la invocación al servicio. El valor debe ser PLATINO.

54 Página 54 de 74 Un ejemplo típico de una invocación a esta operación es la que se muestra a continuación. Ejemplo de entrada del servicio <soapenv:envelope xmlns:soapenv=" xmlns:sfs=" <soapenv:header/> <soapenv:body> <sfs:getsignedcontent> <signature>mii...[bytes de la firma a a consultar B64]..CT9zrM80n4=</signature> <invokingapp>platino</invokingapp> </sfs:getsignedcontent> </soapenv:body> </soapenv:envelope> Salida del servicio: Valor de retorno Descripción return Array de bytes con el contenido firmado. Ejemplo de salida del servicio <soap:envelope xmlns:soap=" <soap:body> <ns2:getsignedcontentresponse xmlns:ns2=" <return>mtiz</return> </ns2:getsignedcontentresponse> </soap:body> </soap:envelope>

55 Página 55 de 74 5 CONTROL DE EXCEPCIONES 5.1 SignatureServiceException. Todos los casos de uso descritos con anterioridad, en caso de producirse un error en su fase de ejecución, lanzarán un mismo tipo de excepción llamada SignatureServiceException. Esta excepción mostrará el código de error generado y un mensaje descriptivo del error producido. Atributo Descripción Tipo message Ejemplo de excepción: Mensaje descriptivo del error que se ha producido. Este incluye el código de error propio de ASF. String Ejemplo de salida del servicio de consulta con la excepción. <env:envelope xmlns:env=" <env:header /> <env:body> <env:fault> <faultcode>env:server</faultcode> <faultstring> ERROR - SUBCODE: SA_SIG_ERI - Message: Se produjo un error durante la invocacion. </faultstring> <detail> <ns2:signatureserviceexception xmlns:ns2=" <message> ERROR - SUBCODE: SA_SIG_ERI - Message: Se produjo un error durante la invocacion. </message> </ns2:signatureserviceexception> </detail> </env:fault> </env:body> </env:envelope>

56 Página 56 de 74 6 INFORMACIÓN ADICIONAL DEL SERVICIO 6.1 TIPOS DE DATOS ValidateCertResult Esta es la estructura retornada por el web service en respuesta a la solicitud de validación de un certificado: code Atributo Descripción Tipo description Código retornado por la validación del certificado Descripción del código retornado por la validación del certificado Entero Texto valido Indicador de validez del certificado Booleano VerifySignatureResult Esta es la estructura retornada por el web service en respuesta a la solicitud de verificación de una firma: Atributo Descripción Tipo code Código retornado por la verificación de la firma Entero