accesskey_mod_content

@Firma

@firma é a solución tecnolóxica na que se basea a Plataforma de validación e firma electrónica do Ministerio. A versión actual de @firma é a 6.1 e constitúe unha evolución da versión 4.0 a partir da achega de múltiples Organismos Públicos cooperantes.

@firma é un produto robusto e integral, desenvolvida inicialmente pola Xunta de Andalucía, cedida ao resto das Administracións Públicas co obxecto de fomentar e estender o desenvolvemento da Administración Electrónica e a Sociedade da Información.

É unha solución baseada en software libre, estándares abertos e en java: servidores web Apache, JBOSS, Sistema Operativo Solaris/Linux, AXIS, etc.

Os servizos proporcionados por Plataforma de validación de certificados e firma electrónica do Ministerio (@firma) proporciónanse ás Administracións Públicas sen custo económico.

A forma máis común de uso de @firma é modo servizo. Este modo consiste en que a plataforma @asina do Ministerio proporciona servizos de validación de certificados e firmas electrónicas a través de servizos web. As aplicacións que desexan utilizar os servizos de @firma, conéctanse mediante a rede SARA aos servizos web de @firma do Ministerio. É o modo recomendado para aqueles organismos cun volume mensual de validacións medio/baixo. O Ministerio proporciona unha plataforma igual ao a de produción para que os organismos que desexen usar os servizos de @firma realicen probas, e un servizo de soporte para xestionar as altas e integracións.

Existe outro modo de uso de @firma, o modelo federado. Esta unicamente recomendado para aqueles organismos cun volume de transaccións moi elevado. O Ministerio proporciona o software de @firma, para que o organismo instáleo e administre nas súas dependencias. Neste caso o despregamento, instalación e administración é responsabilidade do organismo. O Ministerio proporcionará actualizacións e parches do software segundo xérense.

Pode consultar os servizos dispoñibles ou o modelo federado a través do FAQ correspondentes.

Pode atopar toda a información sobre @firma na a iniciativa do PAE creada para ese efecto. Na área de descargas da devandita iniciativa poden atopar a documentación dos servizos así como os exemplos de integración.

Para ter acceso á documentación completa debe ser un usuario rexistrado no portal PAE, así como acceder ao portal mediante a Intranet Administrativa (Rede SARA).

Disponse dun equipo de soporte dispoñible para cooperar cos diferentes Organismos Públicos fornecendo toda a información necesaria sobre o uso dos servizos así como para cooperar nas actividades de proba e integración dos sistemas aos servizos da Plataforma.

Este Centro de Atención é accesible SÓ PARA DESENVOLVEDORES DE APLICACIÓNS DAS ADMINISTRACIÓNS PUBLICAS. Para comunicar unha incidencia ou solicitude de soporte ao Centro de Atención a Integradores e Desenvolvedores (CAID) encha o formulario Web de apertura de solicitudes de soporte técnico:
- Acceso ao formulario

Horario de soporte: de Luns a Xoves de 08:30 a 18:30 e venres 08:30 a 15:00.

Mediante a suite de servizos de @firma, ofrécese tamén:

  • Un Cliente de Firma para a creación de firmas en local.
  • Un servizo de Selado de Tempo ( TS@ ).
  • Un compoñente para a integración da firma nos fluxos de traballo organizativos ( Port@firmas ).
  • Un demostrador dos servizos de @firma: Validación de firmas e certificados dixitais, creación de firmas dixitais, etc.

Os servizos de @firma están dispoñibles de forma gratuíta para aquelas Administracións Públicas que o soliciten. O servizo proporciónase a través da rede SARA (Intranet Administrativa), polo que para poder utilizalo é necesario estar conectado á devandita rede.

Asináronse convenios con todas as Comunidades Autónomas para permitir a utilización dos servizos de @firma ás aplicacións de administracións electrónicas destas que o desexen. No caso das Entidades locais, algunhas Comunidades Autónomas inclúen no convenio a posibilidade de acceder aos servizos de @firma a través de adhesións.

Así mesmo poden utilizar o servizo as Universidades, a través da CRUE e Rede Iris.

O Ministerio proporciona un servizo de soporte como apoio á integración das aplicacións informáticas que vaian facer uso dos servizos de validación de @firma nos distintos Organismos Públicos. Dentro deste soporte, o Ministerio proporciona unha plataforma de probas que poden utilizar os Organismos Públicos durante a integración das súas aplicacións.

Para a realización de probas cos servizos de validación de firma que prové o Ministerio, non é necesaria a realización de ningún acto de compromiso por parte de ningunha das partes, e sen ningún custo.

Para poder realizar peticións aos servizos proporcionados pola plataforma de validación, hanse de cumprir os seguintes puntos:

  1. Uso da Intranet Administrativa: As peticións só poderán realizarse desde máquinas conectadas á Intranet Administrativa (Rede SARA) e con permisos de acceso sobre a plataforma. Por iso deberán identificarse aquelas máquinas desde as que se vaian a realizar as probas e solicitar a soporte de @firma ( Acceso ao formulario ) permiso de acceso ás IPs internas das devanditas máquinas.
    Para iso deberase cumprimentar o ficheiro correspondente coa información das mesmas e envialo a soporte de @firma para a súa alta efectiva. Pode descargar o formulario de alta da área de descargas da páxina web de @firma, no portal de administración electrónica ( http://administracionelectronica.gob.es/ctt/afirma ). Para acceder á documentación necesítase estar rexistrado no portal e acceder ao mesmo desde a Intranet Administrativa (rede SARA).
  2. Identificación das aplicacións: A fin de poder realizar un seguimento da actividade das aplicacións e a plataforma (tanto en probas como en produción), as peticións deberán ser realizadas por aplicacións identificadas na plataforma mediante certificado ou usuario e contrasinal na Plataforma.
  3. Crear un cliente de Web Service: Unha vez que se dispoñan de permisos é necesario desenvolver un Cliente de Web Service para que realice a petición aos servizos publicados na plataforma.
    Para desenvolver o Cliente Web Service, proporciónase aos integradores a descrición do servizo web de destino. Para iso, a plataforma especifica para cada Servizo Web (WS en diante) o ficheiro WSDL que inclúe o URL do WS, a mensaxe de petición co XML schema de entrada e a mensaxe de resposta devolto polo servizo. Así mesmo, tamén se proporciona información na área de descargas da páxina web de @firma, no portal de administración electrónica ( http://administracionelectronica.gob.es/ctt/afirma ), na zona restrinxida para usuarios rexistrados. Ademais do WSDL E XML proporciónase un kit de exemplo de integración, tanto para plataformas Java como .NET.

Actualmente puxéronse a disposición dos usuarios de @firma varias listas de distribución ás que se poden subscribir. A través destas listas recibirán notificacións referentes a cambios relevantes relacionados co proxecto ao que estean vinculadas (actualizacións, intervencións, etc.).
Para máis información, rógase que se consulte a sección de Contacto dos diferentes proxectos (plataforma de firma @asina, Cliente de Firma, TS@…).

Para integrarse en @firma, é necesario seguir os pasos que se definen a continuación:

  1. Estar conectado á rede SARA.
  2. Porse en contacto co servizo de soporte e facilitar os seus datos de contacto.
  3. O equipo de soporte informar os prerrequisitos e facilitaralle o formulario para o control de acceso que o organismo debe cumprimentar. Xunto coa documentación de benvida, facilitarase o Manual de Programación de WS de @firma xunto coas instrucións técnicas necesarias para conectar as aplicacións dos servizos de administración electrónica á Plataforma @asina.
  4. O organismo debe conectar as aplicacións de servizos de administración electrónica para acceder  á Plataforma a través de servizos web implementados en tecnoloxía Microsoft® ou Java.
  5. Por último, para acceder á totalidade da documentación é necesario ser un usuario rexistrado, para iso, acceder á páxina do PAE e darse de alta como usuario no menú da dereita: "Acceso a Usuarios" -> "Rexistrarse".

 

O ACL (Lista de Control de Acceso) é un modelo de solicitude de datos de acceso e utilización dos servizos de @firma (formulario en formato EXCEL). Contén unha serie de datos necesarios para realizar a integración do Organismo na plataforma. A continuación, explícanse os distintos campos do formulario:

• Instrucións (Pestana): Instrucións para o enchido do ACL.
• Aplicación (Pestana): Os datos solicitados nesta pestana encheranse se se utilizarán os servizos WS e/ou OCSP da plataforma @asina.
ou Conxunto de datos "Datos a encher por sistemas" : Débese indicar o IP desde a que se accederá aos servizos de @Firma e os datos dunha persoa de sistemas/comunicacións coa que podamos contactar no caso de que se producise algún problema de conexión.
ou Conxunto de datos "Datos a encher polo Organismo" :
ou Conxunto de datos "Contorna" : Sinalar a contorna ao que se desexa acceder (Desenvolvemento, Produción ou ambos os).
ou Conxunto de datos "Volume de transaccións mensuais" : Indicar o número aproximado de transaccións que se realizarán por contorna nun mes.
ou Conxunto de datos "Volume de transaccións por minuto" : Indicar o número aproximado de transaccións que se realizarán por contorna nun minuto.
ou Conxunto de datos "Aplicación" : Hai que indicar o nome da aplicación a dar de alta, unha breve descrición da aplicación e Organismo (Ministerio e Dirección Xeral, Comunidade Autónoma ou Entidad local) para o que se está desenvolvendo a aplicación.Os datos da persoa responsable da aplicación, con quen nos poremos en contacto en caso notificacións respecto diso da mesma.Breve descrición dos servizos telemáticos que soportará a aplicación e URL onde se situará a mesma.

ou En caso de solicitar acceso a través de WS :
- Formato da Firma de Resposta.- Formato de firma co que desexa que a plataforma firme as mensaxes de resposta ás súas peticións de servizo.
- Método de autorización.- Método co que autenticarán as súas mensaxes de petición de servizo á plataforma @Asina. Recoméndase con certificado.

ou En caso de solicitar acceso a través de OCSP :
- Parte pública do certificado asinante en formato Basee64 (PEM). As peticións OCSP deben ir asinadas polo que se deberá achegar a parte pública do certificado.

Existen dúas contornas de explotación da plataforma @asina: un chamado de desenvolvemento, para a realización de probas por parte dos organismos, e un de produción, que se corresponde coa contorna real da plataforma. Ambas as contornas son de similares características, coa excepción que o de desenvolvemento ponse a disposición dos organismos para realizar as probas de integración de aplicacións, non estando permitidas as probas na contorna de produción.
O url de acceso aos servizos da plataforma de desenvolvemento, desde dentro da rede interadministrativa (SARA) é:
http://des-afirma.redsara.es/afirmaws/services/ (WS)
https://deas-afirma.redsara.es/afirmaws/services/ (WS modo Seguro)
O url de acceso aos servizos da plataforma de produción, desde dentro da rede interadministrativa (SARA) é:
http://afirma.redsara.es/afirmaws/services/ (WS)
https://afirma.redsara.es/afirmaws/services/ (WS modo Seguro)
O URL do servizo OCSP son:
http://des-afirma.redsara.es/servidorocsp/servidorocsp
http://afirma.redsara.es/servidorocsp/servidorocsp

As solicitudes de servizo realizadas mediante servizos web (Web Services - WS) deben realizarse polos portos 8080 ou 443. As peticións ao servizo ValidarCertificado mediante OCSP débense dirixir ao porto 80.

Pode obter devandito documento (ACL_Novo.xls) na "Área de descargas" da iniciativa “ Plataforma de validación de firma electrónica @firma ” no apartado "Persoal alto IP e Aplicación".

O Modelo Federado da plataforma @asina consiste nunha copia do software desta Plataforma, lista para ser instalada na contorna do Organismo solicitante.

Para obter este Modelo Federado, ha de ser remitida unha solicitude ao Soporte da Plataforma ( Acceso ao formulario ), desde onde se lle indicarán os pasos a seguir.

É posible validar mediante a plataforma @asina todos os certificados incluídos no documento que poden consultar neste link .

Como primeiro paso, hase de comprobar que é un certificado soportado polo Ministerio de Industria, Tecnoloxía e Comercio

https://sedeaplicaciones2.minetur.gob.es/fornecedores/(Abre en nova xanela)

e, en caso afirmativo, ha de ser solicitado ao soporte da plataforma @asina ( Acceso ao formulario ).

Poden atopar o kit de certificados de proba na área de Descargas do portal do PAE da presente iniciativa.

Todos os certificados do kit xeráronse por Autoridades de Certificación reais, aínda que devanditos certificados sexan de proba. Non corresponden en ningún caso a contornas de proba do PSCs.

  • Servizos de validación de certificados:
    ou Validación de certificados mediante WS: estándar DSS.
    ou Validación de certificados WS básica.
    ou Validación de certificados OCSP.
    ou Obtención de información dun certificado
  • Servizos de validación de firmas:
    ou Validación de firmas mediante WS: estándar DSS: inclúe validación de firmas lonxevas.
    ou Validación de firmas WS básica.
  • Servizo de Upgrade de firmas (mediante uso do servizo DSSAfirmaVerify).
  • Outros servizos deprecados. A plataforma ofrece outros servizos, cuxo uso e evolución estaestá sendo descontinuado, substituíndose por outros compoñentes da Suite de produtos de @firma. (Consulte o FAQ correspondente aos servizos deprecados)

Nestes momentos disponse de varias alternativas á hora de enviar peticións autenticadas á plataforma @asina, de acordo a este esquema:

  • Peticións WS: É necesario engadir unha cabeceira (
    ) ao SOAP da petición. Na devandita cabeceira ha de remitirse ben o usuario e o contrasinal configurados para a aplicación peticionaria, ou a firma da petición mediante un certificado dixital configurado para esta aplicación.
  • Peticións OCSP: As peticións han de remitirse asinadas mediante un certificado dixital configurado para a aplicación, así como incluír o requestor name.

Tanto o usuario e contrasinal como o certificado asinante son indicados no ficheiro ACL mediante o que se solicita o alta ou a modificación da aplicación.

É necesario lembrar que a partir do día 31 de xaneiro de 2012 será obrigatorio remitir as peticións autenticadas.

Efectivamente existe na plataforma de @firma un servizo web que lle permite obter a información dos campos ou atributos dun certificado dado. Este servizo denomínase ObtenerInfoCertificado. Á hora de invocar a devandito webservice, na petición, debemos indicar o certificado codificado en base64 para realizar a extracción da información.
Existe ademais outro servizo, ValidarCertificado, que ademais de validalo, permítenos extraer información dos atributos do certificado da mesma maneira que se obtén desde o servizo ObtenerInfoCertificado, a condición de que se especifique esta opción na petición.

Os formatos lonxevos de firma son os que permiten a unha firma electrónica poder validarse unha vez que caducou o certificado electrónico con que se asinaron.

Nestes momentos a plataforma @asina permite validar todos os formatos lonxevos, a través do servizo web de validación de firmas DSS. Tamén proporciona un servizo de upgrade de firmas (mediante uso do servizo DSSAfirmaVerify), que, a partir dunha firma simple (BES/EPES) sen evidencias de validación, devolve a mesma firma en formato lonxevo.

Os formatos lonxevos son: T, C, X, X-1, X-2, X-L. X-L-1, X-L-2 e A.

Para máis información sobre a firma lonxeva, pode consultar o documento de estándares soportados por @firma, dispoñible na páxina web da plataforma no PAE: http://administracionelectronica.gob.es/ctt/afirma

A plataforma @asina soporta os algoritmos de hash XA1 e XA2 e os algoritmos de firma RSA e curvas elípticas.

A plataforma @asina soporta os seguintes algoritmos de canonización:

 

Na actualidade existen varios servizos obsoletos (sinalados como deprecated na área de Descargas). Nestes servizos xa non é posible dar máis altas, pois non se van a evolucionar se hai cambios tecnolóxicos que os fagan inservibles, polo que non se recomenda iniciar unha integración con eles; no caso de que se estean utilizando xa, recoméndase migrar ás solucións alternativas.

Entre as solucións anteriormente mencionadas, constan:

  • Para os servizos de xeración de firma/cofirma en servidor: Un API para que os integradores inclúano nos seus desenvolvementos e realicen as firmas en local.
  • Para o servizo de firma en dúas fases, proporcionarase un servizo de xustificante de firma configurable.

O cliente de firma é unha aplicación cliente de Firma Electrónica que se executa no PC do usuario. Está baseado en Applets Java, polo que é necesario ter instalada a máquina virtual de Java, que será a contorna onde se executará dita aplicación.

Pode atopar toda a información sobre o mesmo na iniciativa do CLIENTE de @firma .

Aínda que a resposta (a mensaxe de saída, non así o envelope SOAP) efectivamente non leva indicado o encoding, este é Utf-8. É dicir, todo o que retorna a plataforma está codificado en Utf-8.

A estrutura dunha asina CMS vén definida no RFC 3852 e mantén a compatibilidade con PKCS#7 tanto no caso do Cliente de Firma como na plataforma @asina, de maneira que calquera plataforma allea poderá validar ditas firmas sen problemas.

O servizo de selado de tempo permite emitir selos de tempo dos documentos electrónicos que os Organismos fornecer ao servizo. Un selo de tempo é unha firma electrónica realizada por unha Autoridade de Selado de Tempo (TSA) que nos permite demostrar que os datos fornecidos han existido e non foron alterados desde un instante específico no tempo (proveniente dunha fonte fiable de tempo).

Para incluír selos de tempo ás firmas electronicas, pode utilizar o servizo de upgrade de @firma (mediante uso do servizo DSSAfirmaVerify).

O Ministerio tamén pon a disposición das Administracións Públicas unha Autoridade de Selo de Tempo ( TS@ ). A través deste servizo o usuario, ademais, poderá validar un selo de tempo emitido desde a plataforma @asina.

Se necesita máis información achega do mesmo, pode porse en contacto co noso servizo de CAID (soporte) ou ben consultar no PAE a iniciativa de Autoridade Autoridade de Selado de Tempo Ts@

A resposta que proporciona @firma ás consultas de firmas e certificados dos organismos van asinadas e seladas pola plataforma.

O selo de tempo da petición SOAP atoparao no elemento "EncapsulatedTimeStamp" dentro das "UnsignedProperties" da firma do SOAP, que se atopa no Header da devandita petición, a condición de que teña como formato de resposta XAdES-T.

A validación da cadea consiste en validar o certificado enviado á plataforma e os certificados intermedios, correspondentes ao certificado a validar da CA que emitiu o certificado.

Dado que o parser XML interpreta os tabuladores e os espazos como elementos, non se permitirán nas integracións a inclusión de espazos entre as etiquetas de peche e as de apertura.

Toda resposta OCSP, á parte da información do estado do certificado, pode conter tres campos informativos que son os seguintes: -producedAt: indica o instante no que se asina a mensaxe de resposta. -thisUpdate: indica o instante no que se coñece que a información sobre o estado do certificado é correcta. -nextUpdate: indica cal é o instante da próxima actualización da información do estado do certificado.
En definitiva, os campos thisUpdate e nextUpdate definen un intervalo de tempo no cal podemos dar por válida a resposta OCSP, isto é, unha resposta será válida ou fiable se o instante no que se recibe está dentro do intervalo mencionado, en caso contrario, a información proporcionada sobre o estado do certificado non é "fiable".

Trátase dun atributo dunha petición OCSP que, no caso de ser remitida á plataforma @asina, ha de indicarse no devandito atributo o identificador da aplicación peticionaria.

Se, a plataforma acepta Standard Dixital Signature.

O que se inclúe en Utf-8 é o contido do XML, a plataforma utiliza o Iso-8859-1 para codificar e decodificar en base 64.

Punto de Acceso Xeral
Punto de Acceso Xeral

Ligazóns relacionadasLigazóns relacionadas

Destacados