El controlador PKCS• Podemos indicar a Mozilla / Firefox que cierre la sesión pulsando el botón “Log out” teniendo el dispositivo “DNIe PKCSUna solución alternativa en sistemas basados en UNIX (Linux, Solaris, Mac OSX) es modificar la configuración de OpenSC (producto en el que se basa el controlador PKCS# By default, the OpenSC PKCS# In the case of many PKCSEste es un problema del navegador en la gestión de los dispositivos criptográficos (PKCS

PAe - Cliente@Firma
the accesskey _ mod _ content

Cliente@Firma

El cliente de firma es una aplicación cliente de Firma Electrónica que se ejecuta en el PC del usuario. Está basado en Applets Java, por lo que es necesario tener instalada la máquina virtual de Java, que será el entorno donde se ejecutará dicha aplicación.

Básicamente, el cliente recibe datos y los devuelve firmados, utilizando para ello los certificados instalados en el almacén de certificados (keystore) del navegador donde se esté ejecutando en ese momento. La razón por la que se ejecuta en el cliente es porque la codificación de la firma electrónica se efectúa en el ordenador del usuario, utilizando la clave privada del certificado seleccionado, que reside en su PC.

If your certificate resides in a smart card (DNIe) or tokenUSB, these are loaded automatically in the warehouse of certificates through the drivers (drivers) of the devices, so it will be accessible from the customer signature.

El cliente de firma es un Applet Java. Este tipo de aplicación tiene la peculiaridad que se ejecuta siempre en el ordenador del usuario; para ejecutarlo, el navegador debe soportar JAVA (se trata de una tecnología para aplicaciones software independiente de la plataforma) utilizando lo que se llama el Entorno de Ejecución de Java (JRE) que será donde se ejecute el cliente de firma.

For an Applet Java can access resources protected from PC of the user, as read files locally or make an electronic signature, it must be digitally signed by the company which has developed, and only if the user is confident that company (when using an applet signed, the user must accept a window of security warning that tells you who is the owner of the application) the client is executed.

El cliente de firma está firmado con un certificado del Ministerio de la Presidencia. Los detalles del certificado se muestran a continuación:

SUBJECT:
• SERIALNUMBER = S2811001C,
• CN = Signature Code. Mpr. D.G. Momentum Of Electronic Administration,
• OU = D.G. For The Administration Impluso Electronica,
• Or = Ministry Of the presidency,
• L = Madrid,
• ST = Madrid,
• C = IS

ISSUER:
• CN = AC Camerfirma Codesign v2,
• Or = AC Camerfirma SA,
• OU = http://www.camerfirma.com,
• SERIALNUMBER = A82743287,
• L = Madrid (see current address at www.camerfirma.com/address),
• EMAILADDRESS = info@camerfirma.com,
• C = IS

The minimum requirements of client Signing are as follows:

Supported browsers so far are:

• Firefox 3.0 and higher.
• Internet Explorer 7 o superior, en 32 y 64 bits.
• Google Chrome 4 or higher.
• Apple Safari 4 or higher.
• Operates 10 or higher.

Supported operating systems are:
• Windows XP SP3/View/7 SP2 SP1/Server 2003 SP2/Server 2008 SP2 and higher
• Linux 2.6 (and Ubuntu Guadalinex) and higher.
• Mac OS X 10.6.8 and 10.7.2 (Snow Leopard and Lion).

JRE:
• JRE 5 (1.5 update 22) or higher installed in the browser (only in browsers compatible with Java 5). The compatibility with Java 5 is a functionality to extinguish, it is recommended to upgrade to Java 6
• JRE 6 ó JRE 7 instalado en el navegador (1.6 update 30 o 7 update 2 recomendadas)
 

The client allows creating digital signatures in different formats (by default CAdES). Globally will bear the following formats and standards of electronic signature:

• CMS: Represented by the chain “ CMS/PKCS # 7 ”.
• CAdES: Represented by the chain “ CAdES. ”
• XMLDSig Internally Detached: Represented by the chain “ XMLDSig Detached ”.
• XMLDSig Enveloping: Represented by the chain “ XMLDSig Enveloping ”.
• XMLDSig Enveloped: Represented by the chain “ XMLDSig Enveloped ”.
• XAdES Internally Detached: Represented by the chain “ XAdES Detached ”.
• XAdES Enveloping: Represented by the chain “ XAdES Enveloping ”.
• XAdES Enveloped: Represented by the chain “ XAdES Enveloped ”.
• PAdES: Represented by the string "Adobe PDF ”.
• PDF (Open Document Format): Represented by the chain “ PDF ”.
• OOXML (Office Open XML): Represented by the chain “ OOXML ”.

The format can be changed with the method setSignatureFormat that receives as a parameter the string representing the format in question.

EPES variants formats that the bear signature will be generated automatically when configuring the corresponding signature format and a policy of signing (for more information, it is recommended to consult the documentation of the Signature client).
 

La clase “clienteFirma” tiene el método “setShowHashMessage” que recibe como parámetro un valor booleano (true o false) que indica si se mostrará o no dicha ventana.

La variable "baseDownloadURL" especifica la ubicación donde se encuentran los archivos de instalación, en caso de no se encontrarse en el mismo directorio que el HTML. Estos archivos son los ".ZIP" y los plug-ins del Cliente de Firma. La variable "base" especifica la ubicación donde se encuentran los archivos del instalador, en caso de no se encontrarse en el mismo directorio que el HTML. Estos archivos son los ".JAR" y el fichero "version.properties".

The client Signing works on local, and therefore does not connection with any platform for Signing and/or time-stamping, so it is not possible to generate signatures with time stamp. One possibility is to use to obtain these signatures is to use the Upgrade of service signature of the platform @firma, with which it is possible to add a time stamp to signatures generated with the client Signing, thus, a signature XAdES XAdES-T to be updated.

Sometimes, the windows of the client loses focus, making it impossible lainteracción of the user. This error is due to an error recognized by SunMicrosystems from the JRE 1.5.0 blocking certain windows Java on Internet Explorer and Mozilla, losing focus and making it impossible interaction with the user.

In many cases this error is covered by changing the focus to other windows, or minimize/maximize the browser, to try to recover the focus, although it is not always effective, so you must restart the browser and retry the operation. In case of serious problems with some specific Web application, it is advisable to use Internet Explorer, where the problem appears to a lesser extent.


• Extraer el DNIe del lector y volverlo a insertar justo en el momento en el que se solicita la contraseña del Repositorio Central de certificados de Mozilla Firefox (antes de introducirla). Es posible que Mozilla / Firefox reabra la sesión en la reinserción (adelantándose al Cliente @firma), por lo que quizás necesite repetir la operación.

This problem occurs predominantly in Linux, Solaris and Mac OS X. Has not been detected in any case in any version of Windows.

Para realizar esta indicación debe modificar el archivo de configuración de OpenSC, normalmente situado en /etc/opensc/opensc.conf y asegurarse de que contiene una línea descomentada con la opción lock_login=false; :

# once you authenticate to the card via C _ Login.
# This is to prevent other users or other applications
# from connecting to the card and perform crypto operations
# (which may be possible because you have already authenticated
# with the card). Thus this setting is very secure.
#
# This behavior is a known violation of PKCS # 11 specification,
# and is forced due to limitation of the OpenSC framework.
#
# However now eleven one application has started using your
# card with C_Login, no other application can use it, until
# the first is done and calls C _ Logout or C _ Submitted.

# until you exit the application.
#
# Thus it is impossible to use several smart card aware
# applications at the same time, e.g. you cannot run both
# Firefox and Thunderbird at the same time, if both are
# configured to use your smart card.
#
# Default: true
lock _ login = false;

Since this change may have security implications with other smart cards (DNIe safety is not compromised by him, given that implements additional measures of protection, such as the implementation of the regulation CWA-14890), these changes Only if you are absolutely sure its implications.

In certain Linux distributions (as Guadalinex v6) the change has no effect on the blockades with DNIe, so it will not solve the problem).

El cliente actualiza los API Apache Xalan y Apache Xerces de Java 5 por las últimas versiones disponibles a fecha de publicación de este. Estas versiones son completamente compatibles con las anteriores incluidas con Java 5, por lo que no introducen ningún problema de compatibilidad.

Adicionalmente, si se detecta la versión 5 de JRE se instala el proveedor de seguridad SunMSCAPI en su versión 6, ya que Java 5 originalmente no lo incluye. Esta instalación no cambia ni actualiza ninguna funcionalidad, sino que añade posibilidades completamente nuevas, por lo que no es posible que suponga problema de compatibilidad alguno.

Durante la creación de un String de Java a partir de un binario obtenido a su vez de la decodificación de un Base64 se pueden pervertir los caracteres especiales de los ficheros XML si se indica una codificación errónea en el constructor de la clase String. La solución más rápida es no indicar codificación y confiar en las capacidades de Java de auto-detección de formato de caracteres. Si esta auto-detección de Java sigue proporcionando resultados incorrectos siempre puede obtener los XML directamente como texto en vez de en Base64 usando el método getSignatureText() en vez de getSignatureBase64Encoded().

Cuando se introduce mal el PIN del DNIe, ocurre que el navegador no detecta sus certificados, incluso aunque posteriormente el usuario sí lo introduzca correctamente.

The problem comes from the CSP (Cryptographic Service Provider) electronic DNI's and the best way to solve it is extract and insert the DNIe in the card reader and to re-authenticate.

En el caso de Mozilla Firefox, es posible que deba cerrar y volver a abrir el navegador para reiniciar la sesión del cliente y se detecten los certificados.

Sometimes it may happen that the browser does not detect the extraction or introduction of DNIe (or other smartcard) in the reader, so if we have not introduced the card prior to the client of signature, will not be the certificate. Another possible case is that once loaded customer, you draw a card and, by making a signing operation, the browser card certificates (although it already is not present) failing to use it.



The quickest solution to the problem is the insert the card before loading the customer signature.

This application of Single Window of Social security modify parts of the JRE replacing libraries vital to the Client by versions @firma already obsolete.

In case you need the client inter-operar @firma with the application of Single Window of Social security, please file a bug against the latter.

Refer to the section of the manual of 13.1 integrator for more information on the deployment of signature in client Web sites require identification of users through client certificate.

The client needs, within the branch Java 5, at least version 1.5u18 (it is strongly recommended to upgrade to Java 6u18 or at least Java 5u22). If you are using versions of Java prior to 1.5u18 update your Java Java (JRE) to a newer version.

The client does not signature style sheets XML files : La versión actual del Cliente de Firma sí permite firmas hojas de estilo, dado que las hojas de estilo de un XML pueden declararse de distintas formas, el cliente adopta distintas estrategias para cada forma de declaración y según la variante de firma.

Generated XMLDSig signatures are not compatible with SOAP : This functionality is in a study to be included in future versions of the client.

Certain validators do not accept some of signatures generated by the client @firma : Revise con detalle la matriz de compatibilidad y las “NOTAS IMPORTANTES” del manual del Formato XML.

The Client does not generate signatures XML using fingerprints SHA-2 : El error de Java 6845600 (http://bugs.sun.com/view_bug.do?bug_id=6845600) afecta a la generación de firmas XML con SHA-256 y SHA-512. Para sortear estos problemas debe usar Java 6u30 o Java 7u2..
 

El Cliente produce un error de derreferenciación al generar firmas XAdES : javax.xml.crypto.URIReferenceException: errors in the early versions of Java 7 produce internal problems of derreferenciación when generating signatures XAdEScuandose configures the property “ contentTypeOid ”. These errors of Java are fixed in Java 7 u4. Upgrade to this version of java 7 or higher to solve the problem.
 

The Client does not allow the signature of PDF with certain certificates

Las firmas de documentos PDF realizadas externamente (que es el método utilizado por el Cliente) tienen un tamaño máximo de octetos que pueden ocupar dentro del PDF.

As the signature includes full certification chain, if this is very extensive can reach exhausted this space and result in an invalid signature or corrupt. If this happens, please contact customer service to users of the Customer @firma sending a copy of your signing certificate and the trust chain complete. Always take great care not never send private parties of certificates.

While loading the client @firma installer component appears asking for the introduction of the privileged user password, but do not want or enter it for security reasons or while the enter the process ends in error.

Para el uso del repositorio de Mozilla Firefox en Mac OS X es necesario que las bibliotecas NSS estén situadas dentro de una ruta de carga de bibliotecas, pero Firefox al instalarse en Mac OS X las instala en su propio directorio, sin añadir este a la lista de rutas de carga de bibliotecas.
To overcome this difficulty, the client @firma, through its installer component (BootLoader), tries to create symlinks of these libraries from the directory of Firefox to/usr/lib, folder inside the list of directories of burden of libraries. To perform this copy, you need certain privileges, and it is for this reason that asks for the privileged user password.

For more information, see the Manual of inclusive and the guide of incidences of the Customer signature.
 

 

It is not possible to access the warehouse of Mozilla Firefox 11 and above

Mozilla Firefox 11 introduces changes in their libraries access to store of certificates. These changes may affect the client @firma allowing it to enter your warehouse on systems where it is not possible to load these libraries.
 

There are many reasons for which may not be loaded libraries correctly. If you cannot access the certs from Mozilla Firefox, try to add the directory of Firefox libraries in the PATH of the system (consult the instructions for your particular operating system).
 

Take into consideration:
• must add the directory path leading of Firefox.
• Si cuenta con varias versiones de Firefox asegúrese de indicar la ruta de la versión con la que vaya a utilizar el Cliente @firma y no agregue más de una.
• La arquitectura del navegador debe ser la misma que la de Java. Preferiblemente, utilice versiones de Mozilla Firefox y Java de 32 bits.
 

En versiones antiguas de Internet Explorer no es posible tener simultáneamente abiertas dos o más páginas que contengan diferentes instancias del Cliente @firma

It is possible that in versions 7 and past Internet Explorer open a second page containing the client @firma bearing another already open bugs executing loading in the second or general a malfunction in both.
Upgrade to the latest version of Internet Explorer available for your operating system Windows and at least version 6u30 runtime environment Java (JRE) to circumvent these problems. If for any reason you cannot update Internet Explorer try using another Web browser, as Google Chrome.

El Cliente no Funciona Correctamente en Windows sobre arquitectura IA64 (Intel Itanium)

La arquitectura IA64 en Windows no está soportada por el Cliente y no lo estará en un futuro próximo.

The client leaves down completely when I am using it while a Native application Windows that makes use of a smart card

Algunas aplicaciones nativas de Windows que hacen uso de tarjetas inteligentes como el DNIe (aplicación de escritorio, controles ActiveX en páginas Web de Internet Explorer…) interfieren en el funcionamiento de las bibliotecas SunMSCAPI de Java para el uso de los certificados del sistema operativo. Esta interferencia provoca que cualquier intento de una aplicación Java de acceder al almacén de certificados de Windows cuando se tiene insertada la tarjeta inteligente en el lector mientras la otra aplicación esté también ejecutándose, genere un error interno en la máquina virtual de Java que cierra instantáneamente la aplicación afectada.
 

This is a problem generated by native apps Windows that access by means HACE not recommended and defects in the library SunMSCAPI, responsible for the access to certs from Windows, which cannot be treated, impeding operate when performing these accesses not recommended.
 

En general, debe intentar evitarse la situación en donde una aplicación utilice una tarjeta inteligente a la vez que se usa el cliente de firma. Para hacerlo, conviene separar el uso de las dos aplicaciones que acceden a la tarjeta mediante la extracción y reinserción de la misma en el lector o simplemente cerrando el resto de las aplicaciones mientras se usa una de ellas.
 

Si llegase a producirse este error, es posible que necesite cerrar la aplicación Windows que produce la incompatibilidad y reiniciar la aplicación (página Web) que integra el cliente @firma.

No es posible acceder al almacén de Firefox en sistemas Windows con Java 6u32 o superior y Java 7u4 o superior

The JRE of Oracle to Windows used from u32 versions of Java 6 and 7 Java u4 environment Visual execution C + + 2010. The Client @firma may not access the warehouse of Firefox without this runtime environment installed on your system. You can download it from:
http://www.microsoft.com/download/en/details.aspx? id = 5555
 

The client does not use the DNIe or other devices sure creation of signatures to open digital envelopes

Certain issuers of certificates residing in secure devices signature creation in origin limit the use that can be given to them.

En el caso del DNIe (y otros dispositivos), no se permite su uso para abrir sobres digitales por no estar ese uso autorizado por el emisor. Debe siempre evitar enviar sobres digitales a particulares si no está seguro de que sus certificados (en su parte privada) van a permitir posteriormente su apertura.

It is not possible to sign a Web page with the format XMLDSig/XAdES Enveloped

XAdES/XMLDSig Enveloped solo admite firmar ficheros XML, y no todas las páginas HTML son compatibles XML.

Compruebe si las páginas HTML que desea firmar cumplen estrictamente con el formato XHTML (que sí es compatible XML) y si no seleccione otro formato de firmas.

One of the formats of signature generated with the client @firma do not validate properly in other platforms.

Compruebe siempre las matrices de compatibilidad del cliente para verificar que los formatos no están sujetos a problemas de adecuación con normativas/estándares (cuando esto ocurra estará así indicado) y cuáles de los que no presentan estos problemas están soportados por su plataforma validadora.

Algunos dispositivos de creación de firma no funcionan con las funcionalidades de firma multi-fase del Cliente.

These limitations are imposed by manufacturers of the devices of creation of signatures and is not possible circumventing them. Please consult the manufacturer of your device to verify signatures functionality may be restricted.

La configuración de filtros de certificados produce un error cuando se establece un filtro de gran tamaño.

This error occurs when using a filter of certificates using the method deprecado “ setCertFilter (String) ” or “ setMandatoryCertificateCondition (String) ”.
Al concatenar/anidar múltiples expresiones de este tipo se produce un error en la JVM que obliga a desactivar el filtro. Debe evitarse el uso de filtros con múltiples expresiones.
It is advisable to migrate applications to the new system of filters based on RFC 2254. This can be filtered of this type using the method “ setCertFilterRFC2254 (String, String, boolean) ”.
 

Cuando se despliega el Cliente en entornos donde las páginas HTML se generan dinámicamente no es posible cargar el Applet

HTML pages provided as an example need some changes when you want to deploy the client on servers where the pages are generated dynamically (e.g. Portlets on a server of portals):
• Las bibliotecas Java del cliente (JAR) deben situarse en una dirección estática dentro del servidor Web, como por ejemplo: http://dirección/directorio_clases
• El JavaScript (las bibliotecas JS) debe incluirse dentro de la página que invoca al Applet y puede generarse dinámicamente, pero debe editarse el fichero constantes.js para indicar su localización mediante una URL absoluta:

/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* Path to the installable. *
* Si no se establece, supone que estan en el mismo directorio (que el HTML). *
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
var baseDownloadURL = http://direccion/directorio_clases;

/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
* Path to the installer. *
* Si no se establece, supone que estan en el mismo directorio (que el HTML). *
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
var basis = http://direccion/directorio_clases;

The Client of @firma, in its first execution, copy certain files to the user's hard disk to ensure proper implementation. These files are in great majority native binary libraries, but if the user uses the Java in its version 5 also are updated certain classes Java. Specifically, the list of installed files is as follows:

• Java 5 and above
Atos Origin Windows Short Path Name Utility (solo se instala en sistemas Windows). Necesaria únicamente para el soporte de los almacenes de claves de Mozilla / Firefox. Se encuentra en el fichero comprimido ShortPathName.zip. Directorio de instalación: $HOME/afirma.5/aoutil/
- ShortPathName.dll
Java Deploy Utility Library for Windows (solo se instala en sistemas Windows). Se encuentra en el fichero comprimido deploy.zip. Directorio de instalación: $HOME/afirma.5/aoutil/
- aodeploy.dll

• Only Java 5 (are not required in higher versions)
Paquete de compatibilidad del cliente con Java 5 (Linux/Windows). Necesario para hacer uso desde Java 5 de las funcionalidades incorporadas en las versiones actuales de Java. Este paquete es obligatorio cuando se ejecuta el cliente desde esta versión de Java. Directorio de instalación: $JAVA_HOME/lib/endorsed
- states _ 5 _ java _ 5.jar
JavaMS-CAPI Native Library (only is installed on Windows systems). Necessary Only for the support of warehouses of keys of Windows/Internet Explorer. Is located in the tarball capi.zip. Installation directory: $JAVA _ HOME/bin/
- sunmscapi.dll
Java Microsoft Visual C + + 7.1 (only is installed on Windows systems). Necessary Only for the support of warehouses of keys of Windows/Internet Explorer, is a dependency derivative of the previous library. Is located in the tarball msvcr71.zip. Installation directory: $LIBRARY _ PATH/
- msvcr71.dll
Java MS-CAPI Provider (solo se instala en sistemas Windows). Necesaria únicamente para el soporte de los almacenes de claves de Windows / Internet Explorer. Se encuentra en el fichero comprimido mscapiJar.zip. Directorio de instalación: $JAVA_HOME/lib/ext/
- sunmscapi.jar
In the installation directory, the following strings represent directories of the operating system dependent on the installation:
1. $HOME Directorio de usuario (por ejemplo, /export/home/user en un sistema Linux o C:\Documents and Settings\user en un sistema Windows)
2. $JAVA_HOME Directorio de instalación del entorno de ejecución de Java
3. $LIBRARY_PATH Directorio de bibliotecas del sistema (por ejemplo, /lib en un sistema Linux o C:\Windows\SYSTEM32 en un sistema MS-Windows 32 Bits)
De los tres directorios, el primero no presenta necesidades especiales respecto a permisos, ya que el usuario siempre tiene los apropiados sobre él, pero los otros dos pueden estar restringidos a operaciones de lectura, ejecución o escritura, lo cual puede provocar una instalación fallida.
Dado que los directorios sujetos a necesidades de permisos son usados únicamente si el usuario utiliza la versión 5 del entorno de ejecución de Java, existen dos posibilidades para resolver los posibles fallos de instalación:
1. Update to Java 6 (recommended solution).
2. Change of user permissions of the directories affected.
a. See the user manual for your operating system for the procedures to change permissions in directories.
3. Manual installation of libraries.
a. Unzip compressed files ZIP (see the manual of your operating system procedures for decompression ZIP files) in the appropriate folder.
b. After the decompression must also adjust the permissions of the directories and libraries descomprimidas:
i. The directories must have read permissions, it is not necessary to write permissions.
ii. needed Libraries read permissions and execution, it is not necessary write permissions.

Related links Related links

Prominent