EDITRAN/FF 5editran.indra.es/doc/cics/criptografia/EFF52USUC.pdf · EDITRAN/FF es una utilidad...

EDITRAN/FF 5.2

Firma Electrónica de Ficheros MVS - Interfaz Gráfica

CICS

Manual de usuario

INDRA 26 de septiembre de 2017

EDITRAN/FF 5.2 CICS Manual de usuario ÍNDICE

INDRA. Todos los derechos reservados. EDITRAN/FF 5.2

1. INTRODUCCION ................................................................................................................................... 1-1

2. REQUSITOS DE EDITRAN/FF .............................................................................................................. 2-2

3. FICHEROS, RECURSOS CICS. ............................................................................................................... 3-3

4. INTERFAZ GRÁFICA ............................................................................................................................ 4-4

4.1. EDITRAN/P...................................................................................................................................................... 4-4

4.2. EDITRAN/G. ..................................................................................................................................................... 4-4

4.3. EDITRAN/FF .................................................................................................................................................... 4-5 4.3.1. ENTORNO LOCAL EDITRAN/FF. ....................................................................................................................................................................................... 4-5 4.3.2. USUARIOS LOCALES EDITRAN/FF. ................................................................................................................................................................................. 4-6 4.3.3. USUARIOS REMOTOS EDITRAN/FF. ............................................................................................................................................................................... 4-9 4.3.4. SESIÓN DE PRESENTACIÓN EDITRAN/FF (PARÁMETROS GENERALES). .................................................................................................... 4-10 4.3.5. GRUPOS ASOCIADOS A SESIÓN DE PRESENTACIÓN EDITRAN/FF. ............................................................................................................... 4-13 4.3.6. USUARIOS ASOCIADOS A SESIÓN DE PRESENTACIÓN EDITRAN/FF. ........................................................................................................... 4-14

4.3.6.1. Locales. ...................................................................................................................................................................................................................... 4-14 4.3.6.2. Remotos. ................................................................................................................................................................................................................... 4-17

4.3.7. CONSULTA DE LA SESIÓN DE PRESENTACIÓN EDITRAN/FF (FIRMANTES). ............................................................................................. 4-18 4.3.8. LOG EDITRAN/FF ................................................................................................................................................................................................................. 4-21

5. EJEMPLO PROCEDIMIENTO POSTERIOR A RECEPCION .................................................................... 5-1

6. EJEMPLO PROCEDIMIENTO PREVIO A EMISIÓN ................................................................................ 6-5

7. FICHERO DE SALIDA A LA APLICACIÓN. ............................................................................................ 7-6

8. OTRAS SITUACIONES. ......................................................................................................................... 8-8

9. ANEXO. ................................................................................................................................................ 9-9

9.1. CÓMO INCLUIR EL CN SI NO LO CONOCEMOS . .............................................................................................. 9-9

EDITRAN/FF 5.2 CICS. Manual de usuario. INTRODUCCION


1. INTRODUCCION

EDITRAN/FF es una utilidad software de EDITRAN que se implementa para la firma y

verificación de Xades hasta nivel de protección EPES.

EDITRAN/FF es el cliente de EDITRAN/XAdES, que es un servidor Java que admite

peticiones hechas desde EDITRAN/FF para la firma y verificación de ficheros con la firma

XAdES-EPES.

EDITRAN/FF es una aplicación que engloba todas las operaciones que requieren la firma y

la verificación de la firma de ficheros antes y después de ser intercambiados entre dos

extremos. Para ello establece una relación entre los ficheros a firmar y los usuarios firmantes,

asegurando que se han cumplimentado todas las firmas en el extremo emisor así como que se

han recibido las firmas exigidas en el extremo receptor.

Básicamente, el sistema está integrado por los siguientes elementos:

Aplicación: sesión de presentación en FF que sirve para agrupar a un conjunto de

ficheros a intercambiar con un destino determinado (remoto de EDITRAN). Puede ser

de Emisión si se utiliza para tratar los ficheros a enviar o de Recepción si se utiliza

para tratar los ficheros recibidos.

Usuario: elemento asociado a una persona física que se identifica en el sistema

mediante un certificado digital. Los Usuarios Locales se corresponden con las

personas que pueden entrar en EDITRAN/FF y son los firmantes de los ficheros a

enviar. Los Usuarios Remotos se corresponden con personas que pertenecen a la

entidad de la cual se reciben ficheros acompañados de las firmas generadas por

dichos Usuarios Remotos.

Se establece una relación entre cada Aplicación y los Usuarios que deben firmar dichos

ficheros, tanto en emisión como en recepción, especificando, mediante los parámetros /

atributos de dichos elementos, las normas de funcionamiento a seguir en cada caso.

EDITRAN/FF 5.2 CICS. Manual de usuario. REQUSITOS DE EDITRAN/FF


2. REQUSITOS DE EDITRAN/FF

1. Disponer de versión EDITRAN 5.1 ó superior.

2. Licencia. Haber contratado el producto EDITRAN/FF.

3. JAVA (consulte manual de instalación de Xades ED XAdES-EPES USIA).

a. Tener instalado correctamente Java 7 o superior.

b. Tener instalada la correspondiente extensión Java Cryptography Extension (JCE)

Unlimited Strength Jurisdiction Policy Files. Tenga cuidado cada vez que se

actualice Java porque puede borrar estos ficheros en el proceso de actualización

y tener que realizar la instalación de estos ficheros otra vez.

c. En el caso de querer utilizar EDITRAN/XAdES para firmar, para cada tarjeta

criptográfica que se quiera usar se debe tener instalado el software

correspondiente (módulos criptográficos) de las distintas tarjetas.

d. Un servidor TCP java de los servicios UNIX, el cual debe disponer de una

dirección y un puerto en el que escuchar las peticiones realizadas desde el

EDITRAN en MVS.

e. Acceso a los servicios UNIX del ZOS

EDITRAN/FF 5.2 CICS. Manual de usuario. FICHEROS, RECURSOS CICS.


3. FICHEROS, RECURSOS CICS.

Se crean 2 nuevos ficheros:

ZTBFFLO log de EDITRAN/FF

ZTBFFPE perfiles específicos para EDITRAN/FF que se informaran con el administrador de

EDITRAN /FF que se describe a continuación.

Debe definir los ficheros ZTBFFLO y ZTBFFPE al CICS (ver miembro FCTCEDA en la librería

de jcls). A su vez, debe inicializar dichos ficheros al CICS (ver miembros ZTBFJILO y ZTBFJIPE

en la librería de jcls).

EDITRAN/FF 5.2 CICS. Manual de usuario. INTERFAZ GRÁFICA


4. INTERFAZ GRÁFICA

4.1. EDITRAN/P.

Sesión de transmisión EDITRAN/P.

En la sesión de transmisión EDITRAN/P, se indicará:

Si la sesión firma en emisión: Procedimiento previo a emisión: Indra proporciona un

procedimiento especial para la firma y carga(o carga y envío) ZTBFP1C.

Si la sesión verifica en recepción: Procedimiento posterior a recepción: Indra proporciona un

procedimiento especial para la descarga, verificación y extracción de firmas, ZTBFP4C.

4.2. EDITRAN/G.

Sesión de presentación EDITRAN/G.

En la sesión de presentación EDITRAN/G, se indicará:

Si es de emisión.

Indra proporciona un procedimiento especial para la firma, carga y emisión, ZTBFP1C

Si es de recepción.:

Formato fichero descarga = V. El fichero que se recibe es un binario XML, pero

necesitamos descargarlo como variable.

Fichero único en Recepción. Si va a recibir más de 1 fichero en la misma transmisión,

indique N. Si va a recibir un único fichero en cada transmisión indique S.

Nombre físico del fichero de aplicación de recepción. Este es el nombre del fichero con

que descarga EDITRAN el XML ASCII base64 que contiene las firmas y el documento. Por

tanto, es un fichero que no será tratado por su aplicación. En base a ello, indique un nombre

“temporal” ó no indique nada, en cuyo caso, EDITRAN creará los valores por defecto para

crearlo. Revise la documentación EDITRAN para ver las opciones de parametrización de

este campo. En el ejemplo que sigue, por si se recibe más de 1 fichero, se añade la variable

%C (número de orden del fichero recibido)

Procedimiento posterior a recepción: Indra proporciona un procedimiento especial para

la descarga, verificación y extracción de firmas, ZTBFP4C

Traducir en recepción = N. No se puede traducir al descargar el fichero, pues perdería la

validez de las firmas.

Tabla de conversión en recepción = espacios. No se puede aplicar tabla de conversión al

recibir, pues perdería la validez de las firmas.



4.3. EDITRAN/FF

4.3.1. ENTORNO LOCAL EDITRAN/FF.

En él se informa:

o IP del (listener) servidor donde reside la aplicación java de firma de ficheros. La

aplicación java, corre en el entorno USS y requiere arrancar un listener en una ip y

puerto específicos.

o Puerto del (listener) servidor donde reside la aplicación java de firma de ficheros.

La aplicación java, corre en el entorno USS y requiere arrancar un listener en una ip y

puerto específicos.

o Tiempo conexión servidor. Tiempo en segundos, durante los cuales se espera que

la aplicación java devuelva control, extrayendo el fichero del XML y validando las

firmas.

Ejemplo. Si la ip es la misma que la de la pila ip que atiende al monitor de teleproceso,

indique 127.0.0.1 (dirección de loopback). El puerto, puede poner por ejemplo el

7760(resérvelo en la pila IP), y el tiempo recomendado 60 segundos.



4.3.2. USUARIOS LOCALES EDITRAN/FF.

Usuarios encargados de firmar los ficheros a enviar.

Debemos introducir

o Opción

o Tipo de usuario (local, para los usuarios propios o remoto para los usuarios de otras

entidades),

o Código de la entidad a la que pertenece el usuario (código local de EDITRAN para

los usuarios locales y código de la entidad remota para los usuarios remotos),

o Nombre o alias con el que identificaremos internamente al usuario.

El nombre del usuario admite cualquier carácter, mayúsculas y minúsculas, o espacios.

Si el usuario es local, el código de entidad que se indica es el código local de EDITRAN. Si se

dispusiera de varios códigos locales, subentornos, se podrán dar de alta distintos usuarios para

cada uno de los subentornos. Un usuario local sólo puede emplearse en trasmisiones EDITRAN

de ese código local. Los alias de los usuarios locales pueden repetirse en otros códigos locales

y se consideran usuarios distintos.

Si el usuario es remoto, el código de entidad se corresponde con el código remoto de la

sesión EDITRAN. Los alias de los usuarios remotos pueden repetirse en otros códigos de

entidad.

La baja del usuario supone su eliminación automática de todas las sesiones en las que esté

asociado. Igualmente la modificación del usuario se arrastra a todas las sesiones en las que

aparece.



Se informa:

o Path del Keystore. Donde se encuentra el certificado del usuario.

o Alias del certificado. Alias con el que se identifica el certificado dentro del

Keystore.

o E-MAIL. Se indicará la dirección de correo electrónico del usuario. Para uso futuro.

Se informa que esta pantalla admite mayúsculas y minúsculas.



Si en la pantalla de usuario pulsamos <PF5>, podremos consultar las sesiones a las que

está asociado el usuario y los grupos en los que está incluido.

En la cabecera aparecen los campos para los que se realiza la consulta.

o NIF: (de cabecera). Si el usuario es local la entidad del usuario aparecerá como

código local, si es remoto aparecerá como código remoto.

o TIPO: (de cabecera). Local o remoto, del usuario en curso.

o ALIAS: (de cabecera). Nombre del usuario en curso.

En las líneas de la consulta se mostrará

o T: Tipo, Local o Remoto del usuario en curso.

o SESION: Sesión a la que se asoció el usuario.

o GRUPO: Grupo al que pertenece el usuario o espacios si no pertenece a grupo.

o F: El usuario puede firmar.

o C: El usuario necesita contrafirma.



4.3.3. USUARIOS REMOTOS EDITRAN/FF.

Usuarios para la verificación de la firma en recepción.

o DN: ‘Distinguished name’. Se corresponde con el DN del certificado digital con el que

se firmarán los ficheros. Es una de las dos formas de identificar el certificado. Si no

conocemos el CN podemos obtenerlo del fichero XML recibido(ver ANEXO).



o E-MAIL: Se indicará la dirección de correo electrónico del usuario. Para uso futuro

4.3.4. SESIÓN DE PRESENTACIÓN EDITRAN/FF (PARÁMETROS GENERALES).

Damos de alta en la opción 7.2.3.1 la presentación (es necesario que exista en EDITRAN/G).

o T. de Aplicación: puede ser de emisión, de recepción o ambas.

o Verificar OCSP/CRL: verificar si los certificados están revocados mediante acceso a

servidor OCSP o por CRL(lista de revocados).

o PLANTILLA PARA FIRMA XAdES: sólo para aplicaciones de emisión XAdES, indica que

plantilla de firma XAdES se quiere aplicar en las firmas de esta aplicación. Si dicha

plantilla especifica una política las firmas generadas serán tipo XAdES –EPES, si la

plantilla no indica esa característica o si no se indica plantilla, la firma será tipo XAdES –

BES. (*)

o POLITICA VERIFICACION FIRMA XAdES: sólo para aplicaciones de recepción XAdES,

indica el fichero XML que recoge la política con la que se deben validar las firmas de la

aplicación. Si se especifica las firmas serán XAdES - EPES, en caso contrario serán

XAdES - BES. (*)

o NOMBRE O DIRECTORIO DE LOS FICHEROS DE FIRMA: especifica el nombre del

fichero HFS o directorio USS que contendrá las firmas. En caso de que el modo de firma

sea Detached, sólo podrá indicarse el nombre de un directorio; el fichero de firmas se

llamará (dentro de dicho directorio) igual que el fichero de datos a firmar más la

extensión correspondiente al tipo de firma, “.xsig” o “.p7b”. Cuando la firma es attached

se podrá poner un nombre de fichero (que contendrá los datos y las firmas) atendiendo



las reglas usadas en EDITRAN/G (ver punto 4.5.5 de EG51USII); en este caso si se

consigna un directorio, se procederá como en el modo Detached.

Se ha de tener en cuenta que el nombre generado no debe exceder de 44 caracteres

para poder ser enviado por EDITRAN si la versión del remoto es inferior a 5.2..

o TIPO DE FIRMA (P/X): Indica si la firma sigue la norma PKCS#7 (Public-Key Cryptography Standards) o la norma XAdES (XML Advanced Electronic Signatures, hasta nivel de protección XAdES - EPES).

o MODO FIRMA (A/D): Permite elegir si los datos firmados y la firma estarán en un

mismo fichero o en ficheros separados. Con formato Attached la firma está contenida

en el fichero firmado, con Detached la firma de cada usuario estará contenida en un

fichero de firmas.

o NUM. FIRMAS REC: Es el número total de firmas con el que el fichero debe venir

firmado (aplicación de recepción).

(*) Se consigna únicamente el nombre del documento, que debe residir en el directorio

“plantillas” / ”politicas” de la instalación en USS. Estos directorios se crearán al instalar el

servidor java y contienen los documentos que permiten crear y verificar firmas según los

criterios de la AGE (Administración General del Estado).

Cualquier otra plantilla/política que se quiera utilizar tendrá que ser incluida en estos

directorios.

Los siguientes parámetros sólo se aplican en la recepción de ficheros.

o NOMBRE FISICO FICHERO DE APLICACION (FORMATEADO): (Sólo recepción) Es

el nombre del destino final de los ficheros recibidos. Debido a que los ficheros

firmados no pueden ser traducidos ni formateados, un proceso posterior a la

verificación de firmas convertirá el fichero original en otro transformado. El nombre

del fichero debe ajustarse al que se incluye en la segunda pantalla de sesión de

EDITRAN/G (opción 2.3.4 del menú general de EDITRAN)

o BORRAR FICHERO AL DESCARGAR (S/N): Permite borrar el fichero formateado en

caso de que exista.

o ADAPTAR FICHERO DE RECEPCION EN DESCARGA (S/N): Indica que el fichero

recibido va a ser formateado tras la verificación de firma.

o FOMATO FICHERO RECEPCION (Fijo/Variable/Expandido): El fichero formateado

tendrá formato de registro fijo, variable o variable expandido (RECFM=FB, VB ó VS).

o LONG. REG. RECIBIDO (1-32756): Tamaño del registro del fichero formateado.

o TRADUCIR EN RECEPCION (A/E/N): Indica el alfabeto en el que se desea el fichero

formateado si se traduce.

o TABLA DE CONVERSION RECEPCION: Indica la tabla de conversión de caracteres de

EDITRAN que se aplica sobre el fichero una vez traducido.

o ELIMINA DELIMITADORES (S/N). DEL. REGISTRO (HEXADECIMAL): Permite quitar

los delimitadores que las máquinas ASCII colocan en ficheros de texto. Se indicarán

los valores en hexadecimal que se van a eliminar. Para un fichero DOS el delimitador

suele ser x’0D0A’ y para un fichero UNIX x’0A’. Los caracteres se eliminarán en

cualquier posición del fichero porque el filtro se aplica sobre un fichero sin formato

de registro. No se deberá aplicar en ficheros que no sean de texto.Una vez entre en

vigor el envío de ficheros XML firmados los parámetros de formateo de los ficheros

recibidos no serán necesarios.



Cambiaremos el parámetro ADAPTA FICH. DESCARGADO (S/N): N



4.3.5. GRUPOS ASOCIADOS A SESIÓN DE PRESENTACIÓN EDITRAN/FF.

Se pueden definir grupos asociados a la presentación de EDITRAN/FF (Ej: GESTION e

INTERVENCION). Necesitamos 1 firma de cada uno de los grupos, y esos grupos pueden tener

varios componentes cada uno.

Se define las Firmas obligatorias en el grupo.



4.3.6. USUARIOS ASOCIADOS A SESIÓN DE PRESENTACIÓN EDITRAN/FF.

4.3.6.1. Locales.

En el caso de los locales las pantallas pueden ser usuarios individuales asociados a la

sesión:



También podríamos asociar cada usuario local a su grupo (opción 7.2.3.3) y le indicamos que

el usuario puede firmar su emisión.



Con PF4 vemos los grupos locales asociados a la sesión.



4.3.6.2. Remotos.

Ahora, asociaremos cada usuario remoto a su grupo (opción 7.2.3.3) y le indicamos que el

usuario puede firmar su emisión.

Repetimos la operación con los otros posibles firmantes.



4.3.7. CONSULTA DE LA SESIÓN DE PRESENTACIÓN EDITRAN/FF (FIRMANTES).

En la presentación FF (opción 7.2.3.1), ya tenemos que los firmantes están asociados. Si

quisiéramos consultar ó modificar algún parámetro:

Una vez dentro, pulsamos PF4 (usuarios-grupos asociados) para ver los firmantes.



Si no indicamos nada y pulsamos INTRO, vemos todos los firmantes, los grupos y las

características:

En el grupo de GESTION el número de firmas obligatorias es 1. Todos los usuarios del grupo

tienen capacidad de firmar.

En el grupo de INTERVENCION el número de firmas obligatorias es 1. Todos los usuarios del

grupo tienen capacidad de firmar.

Si desde la primera pantalla de la presentación pulsamos PF5 (situación), vemos que en

total hay 6 usuarios, 2 grupos remotos y que necesitamos 2 firmas. Aparece Dolores, por ser

alfabéticamente el primer nombre del primer grupo



Y en esa pantalla, pulsando PF4, SITUACION ESPECIFICA DE GRUPOS Y USUARIOS,

confirmamos que tenemos 2 grupos para la recepción, que tenemos los firmantes necesarios

de cada grupo (1), puesto que indica que no faltan firmas obligatorias.



4.3.8. LOG EDITRAN/FF

En la sesión de presentación tenemos un log que podemos consultar (opción 7.1.1)

EDITRAN/FF 5.2 CICS. Manual de usuario. EJEMPLO PROCEDIMIENTO POSTERIOR A RECEPCION


5. EJEMPLO PROCEDIMIENTO POSTERIOR A RECEPCION

TGSS podrá emitir en cada transmisión, n ficheros a tratar. Cada uno de ellos es un binario

cuyo contenido es un XML con el propio documento a tratar (en ASCII y base64), y con 2

firmas embebidas. Sólo es viable traducirlo y formatearlo una vez validadas las firmas y

extraído el documento ASCII, pues de otro modo se perdería la opción de verificación.

Cada uno de esos XML transmitidos contiene 2 firmas autorizadas. No puede contener ni

más firmas ni menos (excepto que TGSS indique lo contrario). Una de ellas, pertenece siempre

al grupo de Gestión de TGSS. La otra, pertenece siempre al grupo de Intervención de TGSS.

A su vez, hay 3 posibles firmantes en cada uno de los grupos descritos.

En base a lo anterior, mientras TGSS no notifique lo contrario:

No puede haber 1 única firma en el fichero XML, ni 3. Sólo puede haber 2.

No puede haber 2 firmas en el fichero XML que pertenezcan por ejemplo a intervención ó a

cualquier otro grupo distinto. Deben pertenecer una a Gestión y la otra a Intervención.

No puede haber firmantes que no conozcamos entre los 3 posibles de cada grupo que haya

indicado TGSS.

En EDITRAN se necesita por tanto, controlar los grupos, cantidad de firmantes posibles por

grupo, usuarios posibles de cada grupo, número de firmas requeridas de cada grupo, etc.

Los usuarios posibles de cada grupo, los identificamos por su propio nombre y por su DNI

(campo CN), datos extraídos del Distingued Name (DN). Tiene textualmente los dos apellidos y

el nombre del firmante, luego hay un espacio, un guión, otro espacio y el número de DNI de la

persona escrito siempre con 9 caracteres (8 dígitos + letra)

Este campo se corresponde con el “asunto” que aparece en los ”detalles del certificado” de

ese usuario en concreto. En definitiva, hemos de indicar las siguientes características:

Sesión requiere 1 firma de 3 posibles del grupo de Gestión

Sesión requiere 1 firma de 3 posibles del grupo de Intervención

Los “posibles” firmantes del grupo de Gestión son (ejemplo): José Luis, María y Manuel.

Los “posibles” firmantes del grupo de Intervención son (ejemplo): Antonio, Luisa y Raquel

Los CN de cada uno de los 6 anteriores (detalles del asunto del certificado son: xxxx, yyy,

zzzz, aaaa, bbbb, cccc

Por tanto, es necesario conocer los nombres y DNI de los firmantes (CN), puesto que

EDITRAN, valida quien son los firmantes a partir de esta información. TGSS indica que en caso

de que no vengan bien los firmantes, se envíe un fichero de confirmación con código de

control 16 (Firmante(s) no autorizado(s) en la cuenta). Los CN normalizados de los firmantes,

los necesitaremos para incluIrlos en los perfiles de EDITRAN/FF.

Los nombres y dni de los firmantes, los debería proporcionar TGSS, pero si esto no ocurriera,

se pueden visualizar a partir del explorador de Windows.

Continuando con el ejemplo anterior, procederemos a dar de alta a los 6 firmantes posibles:

José Luis, María, Manuel, Antonio, Luisa y Raquel. En la opción 7.2.2 procedemos a dar de alta

a cada uno de ellos, como usuarios remotos de TGSS (8910)



En el ejemplo de verificación de firma para TGSS, el fichero de aplicación final, será FB de

LRECL 600, y será traducido a EBCDIC eliminando los saltos de carro x’0D0A’.

Tenga en cuenta que el nombre del fichero descargado y que trataba su aplicación, hasta

ahora era el que figuraba en la sesión de presentación de EDITRAN/G, si así se lo indicábamos.

Ahora, es conveniente poner otro nombre en la sesión de presentación de EDITRAN/G y

trasladar el nombre que había antes allí a la sesión de presentación EDITRAN/FF. En el

ejemplo, estamos identificando (por si viene más de 1 fichero en la presentación), su número

(%C), la fecha de descarga (%A%M%D), la hora de descarga (%H), la entidad remota (8910) y la

aplicación de la presentación

En el siguiente ejemplo, se muestra el funcionamiento del posterior a recepción

En la sesión de presentación G tenemos:

FORMATO FICH.DESCARGA (F/V/E): V, (TGSS debería emitir poniendo los parámetros de

EDITRAN/G en cuanto a sus ficheros de aplicación de emisión: Formato=B, Lenguaje=B,

Traducir=N)

Fichero único en recepción N,

Nombre del fichero descargado KI.TGSS.NORM34.N%C.

En la sesión de presentación FF, tenemos:

NOMBRE FISICO FICHERO DE APLICACION (FORMATEADO)...:

KI.PMED.R8910.NORM34.F%A%M%D.H%H.N%C

FORMATO FICH.DESCARGA (F-V-E): F

LONGITUD REGISTRO (1-32756)..: 00072

TRADUCIR RECEPCION (A-E-N)...: E

ELIMINA SALTOS DE CARRO (S/N): S

SALTOS A ELIMINAR EN HEXADEC.: 0D0A

El procedimiento posterior a recepción, que se usará en las sesiones en las que se reciban

ficheros firmados por TGSS, ZTBFP4C, tiene varios pasos:

A4P- Paso que descarga los ficheros firmados emitidos por TGSS. Si por ejemplo se

hubieran recibido 2 ficheros en la misma transmisión, se descargarían 2 ficheros VB con los

nombres KI.TGSS.NORM34.N01 y KI.TGSS.NORM34.N02. El contenido de cada uno de esos

ficheros constaría de:

El propio documento ASCII Base 64 del fichero de aplicación de emisión

La firma de un usuario de TGSS perteneciente al grupo GESTION

La firma de un usuario de TGSS perteneciente al grupo INTERVENCION

Si este paso acaba con retorno distinto de cero (y no se trata de un 01, por motivo de no

recibir todavía la última transmisión de la presentación), será necesario corregir el error y

relanzarlo, ó recibir de nuevo la presentación.



ZTBEBA00. Paso sólo aquellos clientes con Estadísticas y alarmas. Este paso sólo entra

cando da ABEND el paso A4P. Corrija el error y relance el procedimiento.

ZTBGLFE. Paso que genera un fichero (ZTBGFLFE), cuyo contenido son la lista de ficheros

recibidos y sus características. Este paso, sólo entra cuando el paso A4P acaba con retorno

ceros.

PASSORT. Paso para ordenar la lista de ficheros creada anteriormente. La salida se llama

ZTBFFLFT. Este paso, sólo entra cuando el paso ZTBGLFE acaba con retorno ceros.

PASO01. Este paso, sólo entra cuando el paso ZTBGLFE acaba con retorno ceros. Se trata

del paso para verificar y extraer las firmas de los ficheros KI.TGSS.NORM34.N01 y

KI.TGSS.NORM34.N02. Este paso, llama mediante una conexión TCP/IP a la aplicación que está

en los servicios UNIX y que se encarga de la validación. A este paso le entra un fichero

ZTBFLFE con la lista de ficheros descargados a tratar, y crea a su vez 2 listas de ficheros de

salida ZTBFFSAL y ZTBFFLF2. Además, crea 2 ficheros de salida, con un nombre por defecto,

cuyo contenido son los ficheros de aplicación ASCII(a partir de ahora los XML) que

posteriormente se firmaron en TGSS. En este paso, en las verificaciones de firma, se pueden

dar las siguientes situaciones para cada uno de los ficheros recibidos:

Que este paso acabe con retorno ceros. Indica que todos los ficheros recibidos han sido

procesados correctamente en cuanto a verificación de firmas

Que este paso acabe con retorno 01. Indica que algún (ó todos) los ficheros recibidos han

sido procesados y hay algún problema en cuanto a la verificación de firmas

Que este paso acabe con otro código de retorno. Será necesario corregir el error y

relanzarlo,

Los siguientes pasos dejan de tener sentido cuando los ficheros que la TGSS firme para

enviar sean XML.

El resultado de la verificación de firmas serán los ficheros XML(después se tratarán como

XML SEPA 34.14).

INBORR1. Este paso, sólo entra cuando el PASO01 acaba con retorno < 02. Borra la lista de

ficheros ZTBGFLFE

PASO02. Este paso, sólo entra cuando el PASO01 acaba con retorno < 02. Formatea los 2

ficheros VB ASCII recibidos a ficheros FB de longitud 72 con traducción a EBCDIC, de forma

que se acabarán creando 2 ficheros (independientemente de que acabarán con retorno 00 ó

01 en pasos anteriores)

KI.PMED.R8910.NORM34.F120410.H160000.N01, siendo la fecha 12-04-10 y la hora

16:00:00

KI.PMED.R8910.NORM34.F120410.H160001.N02, siendo la fecha 12-04-10 y la hora

16:00:01

Además, el paso tratará el fichero que finalmente se pasará a la aplicación (ZTBFFSAL),

cuyo formato se especifica en 5.1.1.

INBORR2. Este paso, sólo entra cuando el PASO02 acaba con retorno 00. Borra la lista de

ficheros ZTBFFLF2

A partir de aquí, la aplicación usuaria, recoge el fichero ZTBFFSAL para ver el dsname de los

ficheros recibidos, los nif de los firmantes y el retorno en la validación de firmas y construye

un fichero de confirmación positivo o negativo:



Si el retorno no es cero, generará un fichero de confirmación negativo con los retornos que

le hubiera dado EDITRAN en el fichero ZTBFFSAL (retornos 12 a 16)

Si el retorno es cero, la aplicación, continuará con sus validaciones

Si las validaciones de la aplicación son positivas, generará un fichero de confirmación

positivo

Si las validaciones de la aplicación, son negativas, generará un fichero de confirmación

negativo (códigos de control 01 a 10). Incluso, puede ser el código 16, Firmante(s) No

autorizados en la(s) cuenta(s).

EDITRAN/FF 5.2 CICS. Manual de usuario. EJEMPLO PROCEDIMIENTO PREVIO A EMISIÓN


6. EJEMPLO PROCEDIMIENTO PREVIO A EMISIÓN

En EDITRAN con el administrador de la Interfaz Gráfica se necesita controlar los grupos,

cantidad de firmantes posibles por grupo, usuarios posibles de cada grupo, etc.

En cada grupo firman todos los usuarios definidos en él. Se establece una relación entre

cada Sesión y los Usuarios que deben firmar los ficheros, tanto en emisión como en recepción,

especificando, mediante los parámetros / atributos de dichos elementos, las normas de

funcionamiento a seguir en cada caso.

Por tanto, es necesario tener definidos los firmantes y sus certificados, puesto que

EDITRAN, valida quien son los firmantes a partir de esta información. Así mismo es necesario

tener definida en la sesión FF la política de firma(existirá una por defecto).

En el siguiente ejemplo, se muestra el funcionamiento del previo a emisión

En la sesión de presentación G tenemos:

El procedimiento de FF ZTBFP1C

El procedimiento previo a emisión, que se usará en las sesiones en las que se firmen

ficheros, ZTBFP1C, tiene varios pasos:

PASO01- Paso de firma de ficheros

Este paso, llama mediante una conexión TCP/IP a la aplicación que está en los servicios

UNIX y que se encarga de la firma. A este paso le entra un fichero ZTBGFCAR con la lista de

ficheros a firmar, y crea a su vez 2 listas de ficheros de salida ZTBFFSAL y ZTBGFCA2.

Después de este paso de firma queda el fichero de aplicación y los de sus firmas y una lista

con los nombres de estos ficheros que es la que utilizará el paso A1P para cargar(ZTBGFCA2).

ZTBEBA00. Paso sólo aquellos clientes con Estadísticas y alarmas. Este paso sólo entra

cando da ABEND el paso A1P. Corrija el error y relance el procedimiento.

EDITRAN/FF 5.2 CICS. Manual de usuario. FICHERO DE SALIDA A LA APLICACIÓN.


7. FICHERO DE SALIDA A LA APLICACIÓN.

Se crea fichero (ZTBFFSAL) FB de 300. Indicará como fue la verificación de firmas para

cada fichero recibido, así como características de las firmas. Tiene 2 tipos de registros:

Nivel Nombre Long. Fmto Descripción

1 Registro

ZTBFFSAL

alfn. Registros de TIPO 01.

2 Tipo de

registros

2 Alf 01-Registros referentes a ficheros tratados y a su

resultado de validación

2 Dos puntos 1 Alf Valor: ‘:’

2 Código de

retorno

4 Nu 0000- Verificación de la firma correctamente

0012- Autoridad certificadora no válida

0013- Certificado(s) revocado(s).

0014- Certificado(s) caducado(2)

0015- Documento modificado

0016- Firmante(s) no autorizados en la cuenta. Esto es

una validación posterior de la firma contra los perfiles de

EDITRAN/FF


2 Dsname

Formateado final

44 Alf. Dsname del fichero formateado y traducido final, a

tratar por la aplicación.


2 Dsname

descargado ASCII

44 Alf. Dsname del fichero ASCII, extraído del XML y con las

firmas también extraídas.


2 Dsname

descargado por

EDITRAN

44 Alf. Dsname del fichero descargado por EDITRAN, cuyo

contenido es el XML que se ha tratado.


2 Mensaje de

error

80 Alf Mensaje

Si rc=0000, Proceso de firma correcto (sin mensaje)

Si rc=xxxx, mensaje de error oportuno

2 Area reserva 77 Alf Area de reserva

EDITRAN/FF 5.2 CICS. Manual de usuario. FICHERO DE SALIDA A LA APLICACIÓN.


Nivel Nombre Long. Fmto. Descripción

1 Registro

ZTBFFSAL

alfn. Registros de TIPO 02.

2 Tipo de

registros

2 Alf 02-Registros referentes a firmantes por fichero. Por

cada registro tipo 1, habrá tantos registros de tipo 2, como

firmantes contenga el fichero firmado.


2 Area de

reserva

4 Alf


2 Dsname

Formateado final

44 Alf. Dsname del fichero formateado y traducido final, a

tratar por la aplicación.


2 Datos del CN

firmante

138 Alf. CN=Apellidos y el nombre del firmante, luego hay un

espacio, un guión, otro espacio y el número de DNI de la

persona escrito siempre con 9 caracteres (8 dígitos + letra)

2 Filler 109 Alf Area de reserva

EDITRAN/FF 5.2 CICS. Manual de usuario. OTRAS SITUACIONES.


8. OTRAS SITUACIONES.

TGSS parece que emitirá un único fichero por transmisión. Tenga en cuenta que todo lo

anterior, se trata de un ejemplo, recomendado para situaciones en las que se emitan varios

ficheros por transmisión. Además, con esta forma de actuación en el ejemplo se consigue no

perder el fichero de TGSS descargado en la transmisión anterior.

No obstante, si actualmente su aplicación recibe el fichero de aplicación con un nombre fijo,

tenga en cuenta que quitando ese nombre del perfil-G y poniéndolo en el perfil-FF, su

aplicación, continuará recibiendo ese mismo fichero.

Si por ejemplo, el posterior a recepción, arranca un procedimiento de su aplicación, para

tratar el fichero de TGSS, tenga en cuenta, que puede poner variables, tanto en perfil-FF, como

en el propio ZTBFFSAL, que pudieran pasarse vía parm a su procedimiento.

EDITRAN/FF 5.2 CICS. Manual de usuario. ANEXO.


9. ANEXO.

9.1. CÓMO INCLUIR EL CN SI NO LO CONOCEMOS .

Si no conocemos el CN del firmante, debemos solicitarlo a TGSS. No obstante, también

podemos coger el fichero XML recibido y realizar las siguientes operaciones:

Editar el XML recibido, con el explorador (*.xml) y seleccionar el contenido entre las

primeras etiquetas <ds:x50S

Certificate> y ==</ds:x509Certificate>

Copiar ese contenido a un fichero *txt (bloc de notas), que acabaremos renombrando como

*.cer

Abrimos con el explorador de windows

EDITRAN/FF 5.2 CICS. Manual de usuario. ANEXO.


Vamos a la pestaña Detalles y después a Asunto:

Cogeremos exactamente el CN indicado y lo llevaremos al perfil FF (CN=FERNANDEZ

HERNANDEZ JOSE LUIS – 12345678X)


Centros de Competencia

eCommerce

Avda. de Bruselas 35

28108 Alcobendas.

Madrid, España

T. +34 91 480 80 80

T. +34 91 480 50 00

www.indracompany.com

EDITRAN/FF 5editran.indra.es/doc/cics/criptografia/EFF52USUC.pdf · EDITRAN/FF es una utilidad...

Documents

Transcript of EDITRAN/FF 5editran.indra.es/doc/cics/criptografia/EFF52USUC.pdf · EDITRAN/FF es una utilidad...