accesskey_mod_content

@Firma

@firma és la solució tecnològica en la qual es basa la Plataforma de validació i firma electrònica del Ministeri. La versió actual d'@firma és la 6.1 i constituïx una evolució de la versió 4.0 a partir de l'aportació de múltiples Organismes Públics cooperants.

@firma és un producte robust i integral, desenvolupada inicialment per la Junta d'Andalusia, cedida a la resta de les Administracions Públiques amb l'objecte de fomentar i estendre el desenvolupament de l'Administració Electrònica i la Societat de la Informació.

És una solució basada en programari lliure, estàndards oberts i en java: servidors web Apatxe, JBOSS, Sistema Operatiu Solaris/Linux, AXIS, etc.

Els servicis proporcionats per Plataforma de validació de certificats i firma electrònica del Ministeri (@firma) es proporcionen a les Administracions Públiques sense cost econòmic.

La forma més comuna d'ús d'@firma és manera servici. Esta manera consistix que la plataforma @firma del Ministeri proporciona servicis de validació de certificats i firmes electròniques a través de servicis web. Les aplicacions que desitgen utilitzar els servicis d'@firma, es connecten mitjançant la xarxa SARA als servicis web d'@firma del Ministeri. És la manera recomanada per a aquells organismes amb un volum mensual de validacions mitjà/baix. El Ministeri proporciona una plataforma igual a l'a de producció perquè els organismes que desitgen usar els servicis d'@firma realitzen proves, i un servici de suport per a gestionar les altes i integracions.

Existix una altra manera d'ús d'@firma, el model federat. Esta únicament recomanat per a aquells organismes amb un volum de transaccions molt elevat. El Ministeri proporciona el programari d'@firma, perquè l'organisme ho instal·le i administre en les seues dependències. En este cas el desplegament, instal·lació i administració és responsabilitat de l'organisme. El Ministeri proporcionarà actualitzacions i pegats del programari segons es generen.

Pot consultar els servicis disponibles o el model federat a través de les PMF corresponents.

Pot trobar tota la informació sobre @firma en la iniciativa del PAE creada a este efecte. En l'àrea de descàrregues d'aquesta iniciativa poden trobar la documentació dels servicis així com els exemples d'integració.

Per a tindre accés a la documentació completa ha de ser un usuari registrat en el portal PAE, així com accedir al portal mitjançant la Intranet Administrativa (Xarxa SARA).

Es disposa d'un equip de suport disponible per a cooperar amb els diferents Organismes Públics subministrant tota la informació necessària sobre l'ús dels servicis així com per a cooperar en les activitats de prova i integració dels sistemes als servicis de la Plataforma.

Este Centre d'Atenció és accessible SOLAMENT PER A DESENVOLUPADORS D'APLICACIONS DE LES ADMINISTRACIONS PUBLIQUES. Per a comunicar una incidència o sol·licitud de suport al Centre d'Atenció a Integradors i Desenvolupadors (CAID) òmpliga el formulari Web d'obertura de sol·licituds de suport tècnic:
- Accés al formulari

Horari de suport: de Dilluns a Dijous de 08:30 a 18:30 i divendres 08:30 a 15:00.

Mitjançant la suite de servicis d'@firma, s'oferix també:

  • Un Client de Firma per a la creació de firmes en local.
  • Un servici de Segellat de Temps ( TS@ ).
  • Un component per a la integració de la firma en els fluxos de treball organitzatius ( Port@firmas ).
  • Un demostrador dels servicis d'@firma: Validació de firmes i certificats digitals, creació de firmes digitals, etc.

Els servicis d'@firma estan disponibles de forma gratuïta per a aquelles Administracions Públiques que ho sol·liciten. El servici es proporciona a través de la xarxa SARA (Intranet Administrativa), per la qual cosa per a poder utilitzar-ho és necessari estar connectat a aquesta xarxa.

S'han firmat convenis amb totes les Comunitats Autònomes per a permetre la utilització dels servicis d'@firma a les aplicacions d'administracions electròniques d'estes que ho desitgen. En el cas de les Entitats Locals, algunes Comunitats Autònomes inclouen en el conveni la possibilitat d'accedir als servicis d'@firma a través d'adhesions.

Així mateix poden utilitzar el servici les Universitats, a través de la CRUE i Xarxa Iris.

El Ministeri proporciona un servici de suport com a suport a la integració de les aplicacions informàtiques que vagen a fer ús dels servicis de validació d'@firma en els diferents Organismes Públics. Dins d'este suport, el Ministeri proporciona una plataforma de proves que poden utilitzar els Organismes Públics durant la integració de les seues aplicacions.

Per a la realització de proves amb els servicis de validació de firma que proveïx el Ministeri, no és necessària la realització de cap acte de compromís per part de cap de les parts, i sense cap cost.

Per a poder realitzar peticions als servicis proporcionats per la plataforma de validació, s'han de complir els següents punts:

  1. Ús de la Intranet Administrativa: Les peticions només podran realitzar-se des de màquines connectades a la Intranet Administrativa (Xarxa SARA) i amb permisos d'accés sobre la plataforma. Per açò hauran d'identificar-se aquelles màquines des de les quals es vagen a realitzar les proves i sol·licitar a suport d'@firma ( Accés al formulari ) permís d'accés a les IPs internes d'aquestes màquines.
    Per a açò s'haurà d'emplenar el fitxer corresponent amb la informació de les mateixes i enviar-ho a suport d'@firma per a la seua alta efectiva. Pot descarregar el formulari d'alta de l'àrea de descàrregues de la pàgina web d'@firma, en el portal d'administració electrònica ( http://administracionelectronica.gob.es/ctt/afirma ). Per a accedir a la documentació es necessita estar registrat en el portal i accedir al mateix des de la Intranet Administrativa (xarxa SARA).
  2. Identificació de les aplicacions: A fi de poder realitzar un seguiment de l'activitat de les aplicacions i la plataforma (tant en proves com en producció), les peticions hauran de ser realitzades per aplicacions identificades en la plataforma mitjançant certificat o usuari i password en la Plataforma.
  3. Crear un client de Web Service: Una vegada que es disposen de permisos és necessari desenvolupar un Client de Web Service perquè realitze la petició als servicis publicats en la plataforma.
    Per a desenvolupar el Client Web Service, es proporciona als integradors la descripció del servici web de destinació. Per a açò, la plataforma especifica per a cada Servici Web (W d'ara endavant) el fitxer WSDL que inclou la URL del W, el missatge de petició amb el XML schema d'entrada i el missatge de resposta retornat pel servici. Així mateix, també es proporciona informació en l'àrea de descàrregues de la pàgina web d'@firma, en el portal d'administració electrònica ( http://administracionelectronica.gob.es/ctt/afirma ), en la zona restringida per a usuaris registrats. A més dels WSDL I XML es proporciona un joc d'exemple d'integració, tant per a plataformes Java com .NET.

Actualment s'han posat a la disposició dels usuaris d'@firma diverses llistes de distribució a les quals es poden subscriure. A través d'estes llistes rebran notificacions referents a canvis rellevants relacionats amb el projecte al que estiguen vinculades (actualitzacions, intervencions, etc).
Per a més informació, es prega que es consulte la secció de Contacte dels diferents projectes (plataforma de firma @firma, Client de Firma, TS@…).

Per a integrar-se en @firma, és necessari seguir els passos que es definixen a continuació:

  1. Estar connectat a la xarxa SARA.
  2. Posar-se en contacte amb el servici de suport i facilitar les seues dades de contacte.
  3. L'equip de suport li informarà dels prerequisits i li facilitarà el formulari per al control d'accés que l'organisme ha d'emplenar. Juntament amb la documentació de benvinguda, es facilitarà el Manual de Programació de W d'@firma juntament amb les instruccions tècniques necessàries per a connectar les aplicacions dels servicis d'administració electrònica a la Plataforma @firma.
  4. L'organisme ha de connectar les aplicacions de servicis d'administració electrònica per a accedir  a la Plataforma a través de servicis web implementats en tecnologia Microsoft® o Java.
  5. Finalment, per a accedir a la totalitat de la documentació és necessari ser un usuari registrat, per a açò, accedir a la pàgina del PAE i donar-se de alta com usuari en el menú de la dreta: "Accés a Usuaris" -> "Registrar-se".

 

L'ACL (Llista de Control d'Accés) és un model de sol·licitud de dades d'accés i utilització dels servicis d'@firma (formulari en format EXCEL). Conté una sèrie de dades necessàries per a realitzar la integració de l'Organisme en la plataforma. A continuació, s'expliquen els diferents camps del formulari:

• Instruccions (Pestanya): Instruccions per a l'omplert de l'ACL.
• Aplicació (Pestanya): Les dades sol·licitades en esta pestanya s'ompliran si s'utilitzaran els servicis W i/o OCSP de la plataforma @firma.
o Conjunt de dades "Dades a omplir per sistemes" : S'ha d'indicar la IP des de la qual s'accedirà als servicis d'@Firma i les dades d'una persona de sistemes/comunicacions amb la qual puguem contactar en cas que es produïra algun problema de connexió.
o Conjunt de dades "Dades a omplir per l'Organisme" :
o Conjunt de dades "Ajuste" : Assenyalar l'entorn de/entorn del que es desitja accedir (Desenvolupament, Producció o tots dos).
o Conjunt de dades "Volum de transaccions mensuals" : Indicar el nombre aproximat de transaccions que es realitzaran per entorn en un mes.
o Conjunt de dades "Volum de transaccions per minut" : Indicar el nombre aproximat de transaccions que es realitzaran per entorn en un minut.
o Conjunt de dades "Aplicació" : Cal indicar el nom de l'aplicació a donar de alta, una breu descripció de l'aplicació i Organisme (Ministeri i Direcció general, Comunitat Autònoma o Entitat Local) para el que s'està desenvolupant l'aplicació.Les dades de la persona responsable de l'aplicació, amb qui ens posarem en contacte en cas notificacions referent a la mateixa.Breu descripció dels servicis telemàtics que suportarà l'aplicació i URL on se situarà la mateixa.

o En cas de sol·licitar accés a través de W :
- Format de la Firma de Resposta.- Format de firma amb el qual desitja que la plataforma ferma els missatges de resposta a les seues peticions de servici.
- Mètode d'autorització.- Mètode amb el qual autenticaran els seus missatges de petició de servici a la plataforma @Firma. Es recomana amb certificat.

o En cas de sol·licitar accés a través d'OCSP :
- Part pública del certificat firmant en format Base64 (PEM). Les peticions OCSP han d'anar firmades pel que s'haurà d'adjuntar la part pública del certificat.

Existixen dos entorns d'explotació de la plataforma @firma: un d'anomenat de desenvolupament, per a la realització de proves per part dels organismes, i un de producció, que es correspon amb l'entorn real de la plataforma. Tots dos entorns són de similars característiques, amb l'excepció que el de desenvolupament es posa a la disposició dels organismes per a realitzar les proves d'integració d'aplicacions, no estant permeses les proves a l'entorn de producció.
La url d'accés als servicis de la plataforma de desenvolupament, des de dins de la xarxa interadministrativa (SARA) és:
http://des-afirma.redsara.es/afirmaws/services/ (W)
https://des-afirma.redsara.es/afirmaws/services/ (W manera Segura)
La url d'accés als servicis de la plataforma de producció, des de dins de la xarxa interadministrativa (SARA) és:
http://afirma.redsara.es/afirmaws/services/ (W)
https://afirma.redsara.es/afirmaws/services/ (W manera Segura)
Les URL del servici OCSP són:
http://des-afirma.redsara.es/servidorocsp/servidorocsp
http://afirma.redsara.es/servidorocsp/servidorocsp

Les sol·licituds de servici realitzades mitjançant servicis web (Web Services - W) han de realitzar-se pels ports 8080 o 443. Les peticions al servici ValidarCertificado mitjançant OCSP s'han de dirigir al port 80.

Pot obtindre aquest document (ACL_Nou.xls) en el "Àrea de descàrregues" de la iniciativa “ Plataforma de validació de firma electrònica @firma ” en l'apartat "Plantilla alta IP i Aplicació".

El Model Federat de la plataforma @firma consistix en una còpia del programari d'esta Plataforma, llista per a ser instal·lada a l'entorn de l'Organisme sol·licitant.

Per a obtindre este Model Federat, ha de ser remesa una sol·licitud al Suport de la Plataforma ( Accés al formulari ), des d'on se li indicaran els passos a seguir.

És possible validar mitjançant la plataforma @firma tots els certificats inclosos en el document que poden consultar en este link .

Com a primer pas, s'ha de comprovar que és un certificat suportat pel Ministeri d'Indústria, Tecnologia i Comerç

https://sedeaplicaciones2.minetur.gob.es/prestadores/(Obri en nova finestra)

i, en cas afirmatiu, ha de ser sol·licitat al suport de la plataforma @firma ( Accés al formulari ).

Poden trobar el joc de certificats de prova en l'Àrea de Descàrregues del portal del PAE de la present iniciativa.

Tots els certificats del joc s'han generat per Autoritats de Certificació reals, encara que aquests certificats siguen de prova. No corresponen en cap cas a entorns de prova dels PSC.

  • Servicis de validació de certificats:
    o Validació de certificats mitjançant W: estàndard DSS.
    o Validació de certificats W bàsica.
    o Validació de certificats OCSP.
    o Obtenció d'informació d'un certificat
  • Servicis de validació de firmes:
    o Validació de firmes mitjançant W: estàndard DSS: inclou validació de firmes longeves.
    o Validació de firmes W bàsica.
  • Servici d'Upgrade de firmes (mitjançant ús del servici DSSAfirmaVerify).
  • Altres servicis deprecados. La plataforma oferix altres servicis, l'ús dels quals i evolució estaestá sent descontinuado, substituint-se per altres components de la Suite de productes d'@firma. (Consulte la PMF corresponent als servicis deprecados)

En estos moments es disposa de diverses alternatives a l'hora d'enviar peticions autenticades a la plataforma @firma, d'acord a este esquema:

  • Peticions W: És necessari afegir una capçalera (
    ) al SOAP de la petició. En aquesta capçalera ha de remetre's ben l'usuari i el password configurats per a l'aplicació peticionària, o la firma de la petició mitjançant un certificat digital configurat per a esta aplicació.
  • Peticions OCSP: Les peticions han de remetre's firmades mitjançant un certificat digital configurat per a l'aplicació, així com incloure el requestor name.

Tant l'usuari i password com el certificat firmant són indicats en el fitxer ACL mitjançant el qual se sol·licita l'alta o la modificació de l'aplicació.

És necessari recordar que a partir del dia 31 de gener de 2012 serà obligatori remetre les peticions autenticades.

Efectivament existix en la plataforma d'@firma un servici web que li permet obtindre la informació dels camps o atributs d'un certificat donat. Este servici es denomina ObtenerInfoCertificado. A l'hora d'invocar a aquest webservice, en la petició, hem d'indicar el certificat codificat en base64 per a realitzar l'extracció de la informació.
Existix a més un altre servici, ValidarCertificado, que a més de validar-ho, ens permet extraure informació dels atributs del certificat de la mateixa manera que s'obté des del servici ObtenerInfoCertificado, sempre que s'especifique esta opció en la petició.

Els formats longeus de firma són els que permeten a una firma electrònica poder validar-se una vegada que ha caducat el certificat electrònic amb que es van firmar.

En estos moments la plataforma @firma permet validar tots els formats longeus, a través del servici web de validació de firmes DSS. També proporciona un servici d'upgrade de firmes (mitjançant ús del servici DSSAfirmaVerify), que, a partir d'una firma simple (BES/EPES) sense evidències de validació, retorna la mateixa firma en format longeu.

Els formats longeus són: T, C, X, X-1, X-2, X-L. X-L-1, X-L-2 i A.

Per a més informació sobre la firma longeva, pot consultar el document d'estàndards suportats per @firma, disponible en la pàgina web de la plataforma en el PAE: http://administracionelectronica.gob.es/ctt/afirma

La plataforma @firma suporta els algoritmes d'hash SHA1 i SHA2 i els algoritmes de firma RSA i corbes el·líptiques.

La plataforma @firma suporta els següents algoritmes de canonicalización:

 

En l'actualitat existixen diversos servicis obsolets (assenyalats com deprecated en l'Àrea de Descàrregues). En estos servicis ja no és possible donar més altes, doncs no es van a evolucionar si hi ha canvis tecnològics que els facen inservibles, per la qual cosa no es recomana iniciar una integració amb ells; en el cas que s'estiguen utilitzant ja, es recomana migrar a les solucions alternatives.

Entre les solucions anteriorment esmentades, consten:

  • Per als servicis de generació de firma/cosignatura en servidor: Un API perquè els integradors ho incloguen en els seus desenvolupaments i realitzen les firmes en local.
  • Per al servici de firma en dos fases, es proporcionarà un servici de justificant de firma configurable.

El client de firma és una aplicació client de Firma Electrònica que s'executa en el PC de l'usuari. Està basat en Applets Java, per la qual cosa és necessari tindre instal·lada la màquina virtual de Java, que serà l'entorn on s'executarà aquesta aplicació.

Pot trobar tota la informació sobre el mateix en la iniciativa del CLIENT d'@firma .

Encara que la resposta (el missatge d'eixida, no així l'envelope SOAP) efectivament no porta indicat l'encoding, este és UTF-8. És a dir, tot el que retorna la plataforma està codificat en UTF-8.

L'estructura d'una firma CMS vé definida en la RFC 3852 i manté la compatibilitat amb PKCS#7 tant en el cas del Client de Firma com en la plataforma @firma, de manera que qualsevol plataforma aliena podrà validar aquestes firmes sense problemes.

El servici de segellat de temps permet emetre segells de temps dels documents electrònics que els Organismes subministren al servici. Un segell de temps és una firma electrònica realitzada per una Autoritat de Segellat de Temps (TSA) que ens permet demostrar que les dades subministrades han existit i no han sigut alterats des d'un instant específic en el temps (provinent d'una font fiable de temps).

Per a incloure segells de temps a les firmes electronicas, pot utilitzar el servici d'upgrade d'@firma (mitjançant ús del servici DSSAfirmaVerify).

El Ministeri també posa a la disposició de les Administracions Públiques una Autoritat de Segell de Temps ( TS@ ). A través d'este servici l'usuari, a més, podrà validar un segell de temps emès des de la plataforma @firma.

Si necessita més informació sobre el mateix, pot posar-se en contacte amb el nostre servici de CAID (suport) o bé consultar en el PAE la iniciativa d'Autoritat Autoritat de Segellat de Temps Ts@

La resposta que proporciona @firma a les consultes de firmes i certificats dels organismes van firmades i segellades per la plataforma.

El segell de temps de la petició SOAP ho trobarà en l'element "EncapsulatedTimeStamp" dins de les "UnsignedProperties" de la firma del SOAP, que es troba en l'Header d'aquesta petició, sempre que tinga com a format de resposta XAdES-T.

La validació de la cadena consistix a validar el certificat enviat a la plataforma i els certificats intermedis, corresponents al certificat a validar de la CA que va emetre el certificat.

Atés que el parser XML interpreta els tabuladors i els espais com a elements, no es permetran en les integracions la inclusió d'espais entre les etiquetes de tancament i les d'obertura.

Tota resposta OCSP, a part de la informació de l'estat del certificat, pot contindre tres camps informatius que són els següents: -producedAt: indica l'instant en el qual es firma el missatge de resposta. -thisUpdate: indica l'instant en el qual es coneix que la informació sobre l'estat del certificat és correcta. -nextUpdate: indica com és l'instant de la pròxima actualització de la informació de l'estat del certificat.
En definitiva, els camps thisUpdate i nextUpdate definixen un interval de temps en el qual podem donar per vàlida la resposta OCSP, açò és, una resposta serà vàlida o fiable si l'instant en el qual es rep està dins de l'interval esmentat, en cas contrari, la informació proporcionada sobre l'estat del certificat no és "fiable".

Es tracta d'un atribut d'una petició OCSP que, en el cas de ser remesa a la plataforma @firma, ha d'indicar-se en aquest atribut l'identificador de l'aplicació peticionària.

Si, la plataforma accepta Standard Digital Signature.

El que s'inclou en UTF-8 és el contingut del XML, la plataforma utilitza l'ISO-8859-1 per a codificar i descodificar en base 64.

Punt d'Accés General
Punt d'Accés General

Enllaços relacionatsEnllaços relacionats

Destacats