ElevenPaths, innovación radical y disruptiva en seguridad

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 2 de 12

Contenidos

1 Introducción ............................................................................................................... 3

2 Requisitos de instalación de SealSign DSR ................................................................... 4

3 Instalación y configuración del módulo DSR ................................................................ 5

3.1 Instalación del módulo DSR ...................................................................................................... 5

3.2 Configuración del módulo DSR ................................................................................................. 6

3.2.1 Configuración de la conexión a la base de datos ....................................................................... 6

3.2.2 Configuración del módulo en el IIS ............................................................................................. 7

4 Resolución de problemas de instalación ...................................................................... 9

4.1 Error 80070005 ......................................................................................................................... 9

4.2 Error 80040154 ....................................................................................................................... 10

5 Recursos .................................................................................................................... 11

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 3 de 12

Introducción

SealSign DSR (eArchive) es un módulo que proporciona un sistema seguro de custodia de documentos. Al igual que otros módulos de SealSign, su funcionalidad está basada en servicios web. Para su correcto funcionamiento necesita además los módulos DSS Web y DSS Service de SealSign.

Imagen 01: Módulos de SealSign para DSR.

A continuación se muestra un resumen con las características de cada uno.

Módulo DSR (eArchive): Es la finalidad de esta guía. Sus objetivos y funcionalidades están orientados a la protección de los documentos y a garantizar su integridad. Entre otras características se puede incluir la protección de documentos mediante técnicas criptográficas, la firma avanzada y el sellado de tiempo del documento o la custodia de evidencias digitales de cualquier operación que se realice con el repositorio. Además la web de administración permite a los administradores definir los parámetros del repositorio y acceder a los documentos.

Módulo DSS Web (administración y configuración): Este módulo es la herramienta web de configuración y administración de la solución SealSign DSS, que se utiliza para gestionar los demás módulos (excepto el módulo Revoke). Por tanto su instalación es imprescindible en caso de querer instalar cualquier otro módulo.

Módulo DSS Service (firma electrónica): Este módulo incorpora el motor de firma electrónica y los interfaces SOA del servicio web necesario para acceder a su funcionalidad. Su instalación es obligatoria.

Tanto los textos como las imágenes utilizadas en esta guía están basados en un sistema operativo Microsoft Windows 2012, aunque cualquier administrador de sistemas podrá realizar la instalación del producto en otras versiones.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 4 de 12

Requisitos de instalación de SealSign DSR

La arquitectura del producto SealSign DSR descansa sobre los servicios proporcionados por la plataforma de firma digital SealSign DSS. Por tanto para utilizar el producto es obligatorio disponer de los módulos DSS Service (firma electrónica) y DSS Web (administración y configuración). La instalación de dichos módulos se detalla en la guía “SealSign DSS – Guía de instalación”.

Los requisitos necesarios para instalar y utilizar DSR básicamente son:

Sistema operativo Microsoft Windows (recomendable un sistema operativo de servidor).

.NET Framework 3.5 SP1.

IIS 6 (recomendable IIS 7).

Gestor de base de datos SQL Server u Oracle.

Configurar correctamente el rol del servidor de aplicaciones y el rol de servidor web (IIS).

En la guía mencionada anteriormente están todos los detalles acerca de estos requisitos de instalación, incluyendo las configuraciones del rol de servidor de aplicaciones y del rol de servidor web.

Debido a que el funcionamiento del módulo DSR, está condicionado por los módulos DSS Service y DSS Web, se pueden presentar dos escenarios distintos:

Los 3 módulos están instalados en la misma máquina. Este es el escenario más habitual, en tal caso lo recomendable es instalar previamente los módulos DSS Service y DSS Web. La instalación de dichos módulos requiere de unas configuraciones previas muy importantes que están detalladas en la guía anterior. Tras la instalación de estos se instalará el módulo DSR, tal y como se va a contemplar en esta guía.

Los módulos están en máquinas distintas. Puede darse el caso de que los módulos DSS Service y DSS Web estén en una máquina y el módulo DSR esté en otra distinta. En tal caso ambas máquinas deben cumplir los prerrequisitos mencionados en la guía anterior, así como disponer de la configuración adecuada en el rol de servidor de aplicaciones y en el rol de servidor web.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 5 de 12

Instalación y configuración del módulo DSR

3.1 Instalación del módulo DSR

La instalación del módulo se realiza como muchos programas de Microsoft Windows, es decir, siguiendo los pasos de un asistente.

Durante la instalación, hay que indicar de la lista de sitios web disponibles, aquel en el que se desea instalar el servicio de firma electrónica SealSign DSS, el nombre del directorio virtual y el Application Pool de aplicación que se configuró en el IIS (SealSignAppPool en este caso).

Imagen 02: Configuración durante la instalación del módulo DSR.

Tras la instalación se ha añadido como un programa más en la lista de programas del Panel de Control, y en el IIS se mostrará como una aplicación web.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 6 de 12

Imagen 03: Módulo ya integrado como aplicación web en IIS.

3.2 Configuración del módulo DSR

Una vez instalado el módulo es necesario configurarlo para que utilice correctamente tanto la base de datos, como el IIS.

3.2.1 Configuración de la conexión a la base de datos Se realiza en el fichero de configuración connectionStrings.Config. Este se encuentra ubicado en el directorio SealSignDSRService del sitio Web donde se haya instalado el producto. Dicho fichero incluye la cadena de conexión a la base de datos creada anteriormente en SQL Server (SealSignDSS), además de otros parámetros que hay que tener en cuenta:

<connectionStrings>

<add name="SealSignDSSConnectionString"

connectionString="Data Source=localhost;

Initial Catalog=SealSignDSS;

Trusted_Connection=Yes;

persist security info=False;

TrustServerCertificate=True" />

</connectionStrings>

En caso de que la base de datos utilizada sea SQL Server simplemente habrá que modificar los parámetros anteriores para adaptarse a la configuración realizada anteriormente en la base de datos. En esta dirección se puede obtener información sobre la creación de cadenas de conexión en SQL Server.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 7 de 12

En caso de que la base de datos sea Oracle, hay que modificar los siguientes parámetros:

Cambiar el valor de la clave FactoryProvider y establecerlo a System.Data.OracleClient en el fichero web.config ubicado en el mismo directorio en el que se encuentra el fichero connectionStrings.config.

En la etiqueta connectionStrings hay que configurar la cadena de conexión para el acceso a Oracle. En esta dirección se puede obtener información sobre la creación de cadenas de conexión en Oracle.

Hay que modificar el atributo connectionString de la etiqueta add, y establecerlo con el siguiente formato: Data Source=(DESCRIPTION=(ADDRESS=(PROTOCOL=DSR)(HOST=DSR)(PORT=DSR)) (CONNECT_DATA=(SID=DSR))); User Id=identificadorUsuario; Password=Contraseña;

Un ejemplo de conexión podría ser el siguiente:

Fichero web.config:

...

<appSettings>

<add key="FactoryProvider" value="System.Data.OracleClient" />

...

</appSettings>

...

Fichero connectionStrings.config:

<connectionStrings>

<add name="SealSignDSSConnectionString"

connectionString="Data Source=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)

(HOST=172.54.110.112)(PORT=1521))(CONNECT_DATA=(SID=orcl)));

User Id=SealSignDSS; Password=1234546;” />

</connectionStrings>

En la guía “SealSign DSS – Guía de instalación” se indicó que el usuario que ejecute el Application Pool de IIS (independientemente de la base de datos utilizada), debe tener permiso

de escritura y lectura. Además, a la hora de utilizar DSR, debe tener permiso para modificar la tabla DsrMetadata.

3.2.2 Configuración del módulo en el IIS A la hora de acceder al servicio web, es necesario que se dispongan de los permisos necesarios. Tanto la aplicación web como el servidor requieren de seguridad integrada de Windows (Windows Authentication) para su correcto funcionamiento. Esto implica que hay que activar este tipo de autenticación obligatoriamente.

La autenticación anónima (Anonymous Authentication) está por defecto activada y no debe deshabilitarse, es necesario que siga así. En cambio es opcional, (aunque recomendable dependiendo del escenario), activar la autenticación básica (Basic Authentication).

Gracias a esto los usuarios con tecnologías distintas a las de Microsoft Windows (iOS, Android, Java, Linux, etcétera) podrán consumir dicho servicio web y por tanto utilizar el producto.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 8 de 12

Imagen 04: Configuración de los permisos del módulo DSR en el IIS.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 9 de 12

Resolución de problemas de instalación

El proceso de instalación de los servicios de firma electrónica incluye un sistema de monitorización y seguimiento de errores propio de SealSign. De esta forma todos los errores, avisos y mensajes informativos se registran en su propio Log de aplicación integrado en Microsoft Windows. En caso de identificar algún problema en los servicios se recomienda revisar el log SealSign DSS.

Imagen 05: Visor de eventos de Microsoft Windows.

Los problemas más comunes que pueden ocurrir durante la instalación de SealSign DSS son los ocasionados por la obtención de la licencia, y su identificador es el 3011.

En la “Guía de monitorización de SealSign DSS”, se incluyen todos los detalles acerca de cómo monitorizar el estado de salud de la plataforma y ver los posibles errores que se pueden dar

durante su utilización.

4.1 Error 80070005

Este error se produce generalmente cuando el usuario con el que está configurado el Application Pool no tiene permisos para instanciar el componente de gestión de licencias. Dicho componente se registra en la maquina durante el proceso de instalación. El mensaje generado es el siguiente:

An error has ocurred obtaining license information: Retrieving the COM class factory for component with CLSID {554A6D3B-2FEF-4C2F-B34C-AF6185EB2759} failed due to the following error: 80070005. at SealSignDSSLibrary.SealSignDSSLicense.InitializeLicense(String licenseFile)

Para solucionarlo, basta con proporcionar permisos de activación al usuario del Application Pool. Esto se pude hacer con la herramienta DCOMCNFG.EXE, buscando el componente LicProtector Server:

Imagen 06: Herramienta DCOMCNFG.EXE.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 10 de 12

A través del botón de derecho se puede acceder a las propiedades de este elemento, donde está la pestaña Security, desde la cual se podrá dar permisos al usuario del Application Pool.

Imagen 07: Configuración de permisos.

4.2 Error 80040154

Este error se produce generalmente en entornos de 64 bits cuando la configuración de activación del componente de gestión de licencias se ha modificado o borrado. Dicho componente se registra en la maquina durante el proceso de instalación.

El mensaje generado es el siguiente:

An error has ocurred obtaining license information:

Retrieving the COM class factory for component with CLSID {554A6D3B-2FEF-4C2F-B34C-AF6185EB2759} failed due to the following error: 80040154. at SealSignDSSLibrary.SealSignDSSLicense.InitializeLicense(String licenseFile)

Para regenerar la configuración de activación del componente se puede ejecutar el fichero DllSurrogate.reg provisto con los módulos de instalación.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 11 de 12

Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 12 de 12

La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Junio 2015

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths