Ús del certificat digital per generar i validar signatures ... · gran, la nostra connexió amb la...

| D1365 N- Signatura Genèrica | Versió: 1.4 | Pàgina 1 de 28

006_

2007

0524

Ús del certificat digital per generar i validar signatures genèriques



006_

2007

0524


Control documental Estat formal Elaborat per:

Formació. CATCert

Aprovat per: CATCert

Data de creació 19/07/2010

Control de versions Data: 26/04/2011

Descripció: V1.4 Importants canvis en signatura en línia

Nivell accés informació pública

Títol Ús del certificat digital per generar i validar signatures genèriques

Fitxer Ús del certificat digital per generar i validar signatures genèriques_v1.4.doc

Control de còpies Només les còpies disponibles a la web de CATCert (http://www.catcert.cat) garanteixen l’actualització dels documents. Tota còpia impresa o desada en ubicacions diferents es consideraran còpies no controlades.

Drets d’autor

Aquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons. Per veure'n una còpia, visiteu http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca o envieu una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA.

http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca�

http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca�


006_

2007

0524


Índex

Ús del certificat digital per generar i validar signatures genèriques ............................. 1

Control documental ........................................................................................................... 2

Índex ................................................................................................................................... 3

1. Introducció .................................................................................................................. 4

1.1 Objecte .................................................................................................................. 4

1.2 Abast ..................................................................................................................... 4

1.3 Contingut ............................................................................................................... 4

2. Solucions de generació i validació de signatures digitals ...................................... 5

3. Instal·lació de les claus públiques de CATCert. ....................................................... 6

3.1 Baixada dels certificats a la màquina local: ........................................................... 6

3.2 Instal·lació de les claus públiques en el Mozilla Firefox ......................................... 8

4. Solucions en línia ......................................................................................................10

4.1 Web de CATCert ..................................................................................................10

4.2 Web Valide de la xarxa Sara ................................................................................18

5. Solucions d’escriptori ...............................................................................................22

5.1 Eina web de signatura de CATCert ......................................................................22

5.2 Programari Ecofirma.............................................................................................22

6. Annex .........................................................................................................................25

6.1 Com sé quin format de signatura tinc? .................................................................25


006_

2007

0524


1. Introducció

1.1 Objecte El present document té per objectiu descriure diferents tècniques o eines disponibles per generar i validar signatures genèriques amb certificats digitals de CATCert (Agència Catalana de Certificació).

1.2 Abast Aquest document va destinat als usuaris que tinguin necessitat de generar o validar una signatura digital genèrica i no disposin de cap eina propietària per a la generació. Quines són les eines propietàries o que generen signatures natives?

- Adobe Acrobat

- Microsoft Word

- Outlook

- Thunderbird

- Open Office

Tots aquests programaris disposen d’opcions pròpies per a la generació i validació de signatures digitals i no seran explicats en aquest document.

Nota: Si disposeu d’algun d’aquests programaris i el voleu utilitzar-los, podeu consultar les nostres guies d’ús a la web de CATCert (www.catcert.cat).

Important: Les signatures que es realitzin amb els programaris de Microsoft Word 2007, Outlook, Thunderbird i Open Office 3.2 no disposen de segell de temps i per tant no són perdurables en el temps.

1.3 Contingut S’enumeren tots els passos a seguir per tal de garantir l’èxit del procés de generació de signatura de documents i posterior validació. Els diferents punts fan referència als diferents aspectes que cal tenir cura de preparar, com són l’entorn de programari del sistema client en el que es realitzarà la signatura o el sistema operatiu de l’equip. Altres apartats afecten a eines o solucions concretes.

Nota: Aquesta guia s’ha realitzat en un equip amb SO Windows i navegador Firefox, i potser les captures no coincideixen exactament igual en altres programaris o SO –Linux, MAC-, però les accions venen a ser les mateixes.


006_

2007

0524


2. Solucions de generació i validació de signatures digitals

En el mercat hi ha moltes solucions específiques per realitzar i validar signatures digitals. Nosaltres ens centrarem en solucions obertes, principalment que estiguin a disposició de l’usuari en qualsevol equip independentment del sistema operatiu, i que segueixin els estàndards per garantir-ne la interoperabilitat.

Així doncs, recollirem primer les solucions en línia, amb l’únic requisit de disposar d’un navegador amb gestor de certificats -no tots els navegadors disposen d’un gestor de certificats digitals- i del client de Java (http://www.java.com/en/download/manual.jsp).

Les solucions en línia descrites són:

- Web de CATCert http://testvalidacio.catcert.cat/psiswebclient/

http://www.catcert.cat/web/cat/6_8_espai_proves.jsp

- Web Valide de la xarxa Sara https://valide.redsara.es/valide/pages/inicioApp

Després, veurem les solucions d’escriptori, més recomanables si el document a signar és gran, la nostra connexió amb la xarxa no és molt bona o bé si no volem treure del nostre equip el document signar.

- Eina web de signatura de CATCert http://www.catcert.cat/descarrega/EinaWebSignatura_2.0.0.rar

- Programari Ecofirma http://oficinavirtual.mityc.es/javawebstart/soc_info/ecofirma/launcher_ecofirma.jnlp

Nota: Per independència de sistema operatiu i per que disposa d’un gestor de certificats propi, recomanem l’ús del navegador Mozilla Firefox tant per les solucions en línia com per les d’escriptori en cas de necessitat d’un navegador.

Important: Aquest document vol servir com a referència ràpida d’ús i de quines eines hi ha al mercat, i que el signatari pugui escollir, però en cap cas vol ser un manual d’ús detallat de cap d’elles.

http://www.java.com/en/download/manual.jsp�

http://testvalidacio.catcert.cat/psiswebclient/�

http://www.catcert.cat/web/cat/6_8_espai_proves.jsp�

https://valide.redsara.es/valide/pages/inicioApp�

http://www.catcert.cat/descarrega/EinaWebSignatura_2.0.0.rar�

http://oficinavirtual.mityc.es/javawebstart/soc_info/ecofirma/launcher_ecofirma.jnlp�


006_

2007

0524


3. Instal·lació de les claus públiques de CATCert

3.1 Baixada dels certificats a la màquina local Per poder utilitzar els certificats i que no surtin errors de confiança, s’ha d’indicar al programari que es confia en els prestadors de certificació. Això, es fa mitjançant la càrrega de les claus públiques del prestador en el magatzem de certificats del programari.

Adquirir les claus públiques de CATCert Les claus es poden baixar des de la pàgina de baixada de claus públiques del web de CATCert. L’enllaç a ella es troba en la pàgina principal de CATCert.

CATCert distribueix el conjunt de claus públiques en un únic fitxer, preparat per a una instal·lació ràpida (disponible a la web de CATCert http://www.catcert.cat/descarrega/Claus_Publiques_CATCert.p7b ).

http://www.catcert.cat/descarrega/Claus_Publiques_CATCert.p7b�


006_

2007

0524


Al seleccionar el text “arxiu”, botó de “Save File”, hem de seleccionar l’opció desar a disc.


006_

2007

0524


3.2 Instal·lació de les claus públiques en el Mozilla Firefox Obertura del gestor de certificats del Mozilla Firefox

1. Obrir el navegador Mozilla Firefox.

2. Anar a la finestra d’Opcions: a “Tools->Options”

2. Opció “Avanced”

3. Desplegable “Encryption”, fer clic al botó “View Certificates”.

Ara procedirem a col·locar els certificats públics de CATCert a la pestanya "Authorities" de la finestra del gestor de certificats.

Un cop seleccionada la pestanya, fem clic a "Import":

Indiquem com a tipus de fitxer “All Files” i anem al directori on hem desat el fitxer amb les claus públiques (Claus_Publiques_CATCert.p7b), i l’escollim “Obre”.


006_

2007

0524


Marquem totes les opcions de confiança:

Un cop finalitzat aquest procés, el gestor de certificats, ha de contenir (com a mínim) tots els certificats de les entitats de la jerarquia de certificació CATCert .


006_

2007

0524


4. Solucions en línia

4.1 Web de CATCert Validació de signatures

CATCert ofereix un programari en línia pel validat de signatures i certificats digitals a

http://testvalidacio.catcert.cat/psiswebclient/ Si entrem amb el navegador veure’m :

En cas d’una signatura que no sigui PDF, fem clic a l’opció de “Validació de Signatures”.

http://testvalidacio.catcert.cat/psiswebclient/�


006_

2007

0524


Si no és un PDF, hem de seleccionar el fitxer on tenim la signatura – i només en cas que la signatura estigui separada del document, hem de seleccionar també el document- i fer clic en validar.

El resultat en cas de signatura correcte és el següent:

En cas d’una signatura PDF, fem clic a l’opció de “Document PDF Signat”.

Si tenim un PDF, hem de seleccionar el fitxer i fer clic en Validar. L’eina també ens permet que li indiquem la data de validació si sabem la data de signatura.

Nota: Totes les validacions de signatures es realitzen indirectament amb el servei de PSIS

Generació de signatures

Per a la generació de signatures CATCert ha desplegat un espai de proves on està disponible l’eina web de signatura preconfigurada en diferents escenaris (Suport-> Espai de Proves).




006_

2007

0524


Els escenaris disponibles en línia són:

Tipus Signatura Exemple Detall

PDF Document en format PDF

Signatura d’un document PDF amb la configuració estàndard utilitzant certificats del magatzem de Windows, Firefox, Safari... La signatura contindrà un segell de temps. La sortida serà un fitxer local amb el mateix nom que l’original, afegint l’extensió "_signat.pdf".

XAdES-T Altres formats d’arxius

XAdES-T de qualsevol document seleccionat al diàleg utilitzant certificats del magatzem de Windows o Firefox. La sortida serà un fitxer local amb el mateix nom que l’original, afegint l’extensió "_signat.xml".

XAdES-T Formulari XML Signatura XAdES-T enveloped utilitzant els certificats del magatzem de Windows. Es signarà un XML generat amb les dades del formulari de l’HTML (tal com es fa habitualment amb l’eina Formsign).

Quan obrim el link –fent clic-, el navegador pot mostrar-nos un avís que bloqueja la càrrega de l’applet.


006_

2007

0524


Aquesta operació pot trigar uns minuts, depenen de la velocitat de la xarxa. L’applet (aplicació que s’executa en el navegador per fer les signatures) està generat i signat per CATCert, i si és el primer cop, ens pot preguntar fins a dos cops si volem confirar del codi signat de applet de CATCert. En aquest cas, marquem “Always trust content from this publisher” i indicarem “Run”.

Fem clic en “D’acord” en la confirmació de la càrrega amb èxit i llavors podem fer clic en el botó d’Examinar per seleccionar el document que volem signar.

Nota: Hi ha que ser una mica pacient en la càrrega el primer cop. En cas que veiem que tarda molt, polsem “F5” o refrescar la pàgina per la correcta càrrega i poder obtenir el botó de “Signa”.

Nota: No hem de fer clic en el botó d’Examina fins que no tinguem l’applet carregat correctament.


006_

2007

0524


Ara fem clic en “Signa” i seleccionarem el certificat que volem utilitzar.

Fem clic en “Accepteu” i –en cas de PDF- ens preguntarà pel motiu i localització del acte.


006_

2007

0524


Després d’omplir els camps –opcional- podem fer clic en “Accepteu” i rebrem la confirmació de la signatura feta o si hi ha algun error.

Recuperar un document d’una signatura XAdES enveloping

Si hem fet la signatura XAdES amb l’eina web de signatura de CATCert (o sigui tenim un fitxer_signat.xml), podem recuperar fàcilment el document original amb un altre eina a l’espai de proves. (Suport-> Espai de Proves).




006_

2007

0524


Quan obrim el link –fent clic a extracció de documents signats-, el navegador pot mostrar-nos un avís que bloqueja la càrrega de l’applet.

Aquesta operació pot tardar uns minuts depenen de la velocitat de la xarxa. L’applet (aplicació que s’executa en el navegador per fer les signatures) està generat i signat per CATCert, i si és el primer cop, ens pot preguntar fins a dos cops si volem fiar-nos del codi signat de applet de CATCert. En aquest cas, marquem “Always trust content from this publisher” i indicarem “Run”.


006_

2007

0524


Un cop carregat l’applet, obtenim el botó “Extreure” on farem clic.

Fem clic a “Obre el fitxer” i cercarem el document “..._signat.xml” que volem recuperar el document original.

Al cap d’uns segons farà l’anàlisi i extraurà el document. Només resta fer un clic a “Desa el document extret”.


006_

2007

0524


Indiquem el nom del fitxer original i desem el canvis fent clic a “Save”.

Nota: S’ha d’indicar correctament l’extensió del fitxer original, o no l’obrirà l’aplicació adient.

4.2 Web Valide de la xarxa Sara El Ministeri ofereix un programari en línia per la generació i validat de signatures, així com pel validat de certificats digitals a

https://valide.redsara.es/valide/pages/inicioApp

Nota: Aquesta web només està disponible a aquelles administracions que estan connectades amb la xarxa Sara del Ministeri.

https://valide.redsara.es/valide/pages/inicioApp�


006_

2007

0524


Nota: Com aquesta web està securitzada – https – a l’entrar per primer cop és possible que tinguem un avís del navegador per que no tenim les claus públiques de FNMT carregades. En aquest cas haurem d’afegir una excepció i podrem entrar.

Seleccionem en el menú esquerre l’opció de validació de certificats i signatures


006_

2007

0524


Ara ja podem indicar l’operació a realitzar en el menú esquerre.


Seleccionem en el menú “Realizar Firma”. S’obrirà una finestra per informar-nos d’un nou avís si no tenim les claus públiques de FNMT instal·lades. Indiquem que confiem i fem clic en “Yes”.

Llavors seleccionem el document a signar

I fem clic a “Firmar”. Apareix una finestra per seleccionar el certificat que volem utilitzar.

Finalment la web informa de l’operació feta amb èxit i dona l’opció de desar el fitxer signat amb “Guardar firma a fichero”.


006_

2007

0524


Desarà el fitxer amb extensió “.xsig”.

Validació de signatures

Aquesta web de validació només valida signatures amb extensió .xsig que corresponen a XAdES i òbviament són les que es poden fer amb la mateixa web en l’apartat de generació.

Indiquem el nom del fitxer i omplim el codi de seguretat amb les lletres de la imatge.


006_

2007

0524


Fem clic en “Validar” i ens mostrarà el resultat de l’operació.

Tenim l’opció de baixar-nos el document original signat o bé un PDF amb un justificant de la validació.

Nota: Totes les validacions de signatures es realitzen indirectament amb el servei de @firma

5. Solucions d’escriptori

5.1 Eina web de signatura de CATCert A la web de CATCert hi ha un programari anomenat “Eina Web de Signatura-e” composat per un applet i un conjunt de pàgines web d’exemple. En la següent pàgina trobareu sempre la darrera versió actualitzada:

http://www.catcert.cat/web/cat/6_6_eines.jsp

El seu funcionament correspon al mateix que hi ha a la versió en línia que hem vist abans. Per configurar l’Eina web de signatura-e hi ha un manual que recull els paràmetres i un conjunt ampli d’exemples.

5.2 Programari Ecofirma Ecofirma és el programari d’escriptori que ofereix gratuïtament el Ministeri d’Indústria , Turisme i Comerç, i permet generar i validar signatures electròniques de qualsevol document en format XADES. Podeu instal·lar-lo i descarregar-lo des de:

http://oficinavirtual.mityc.es/javawebstart/soc_info/ecofirma/launcher_ecofirma.jnlp

Un cop descarregat - ens alguns equips pot demanar la confirmació de que és de confiança - s’obrirà automàticament.

http://www.catcert.cat/web/cat/6_6_eines.jsp�

http://oficinavirtual.mityc.es/javawebstart/soc_info/ecofirma/launcher_ecofirma.jnlp�


006_

2007

0524



Per a la creació de signatures fem clic en “Firmar documento original”.

Seleccionem el fitxer que volem signar i fem clic a “Open”. Aquest s’afegirà en la llista de fitxers a signar i podem afegir-ne d’addicionals. En cop seleccionat, fem clic en “Siguiente”.


006_

2007

0524


Ens dóna l’opció de seleccionar el certificat que volem utilitzar per signar.

El seleccionem i fem clic en “Siguiente”.

Mostrarà un avís d’èxit i tornarà al menú.

Validació de signatures

Per validar una o varies signatures seleccionem la segona opció “Validar firma”

Seleccionem el fitxer amb extensió “.xsig” a validar i fem clic a “Open”.


006_

2007

0524


A l’informe ens indica com està la signatura

Nota: Per defecte les claus públiques de CATCert no estan instal·lades en aquest programari i hi ha que fer-ho en el menú “Configuración-> Administrador de la confianza” i carregar les claus de CATCert.

6. Annex

6.1 Com sé quin format de signatura tinc? Per saber ràpidament quin format de signatura tenim en un fitxer electrònic podem utilitzar dos vies: mirar l’extensió del fitxer o bé mirar-ne el contingut.


006_

2007

0524


Classificació per les extensions més freqüents

Tipus CMS o CAdES Tipus XMLdSIG o XadES Tipus PDF

.p7s

.p7b

.xmldsig

.xmls

.xsig

.pdf

.fdf

Una segona opció és l’anàlisi del contingut. Per veure el contingut hem d’obrir la signatura amb un simple editor de text

• Tipus XMLdSIG El contingut és un fitxer amb codi XML. Hi ha un tag (nom entre “<” “>”) que posa “ds:Signature”.

• Tipus XAdES

El cas de la XAdES és un tipus especial de XMLdSig que, a més a més, haurà de tenir un tag amb propietats signades que es dirà “SignedProperties”


006_

2007

0524


• CMS

Els fitxers CMS o CAdES són fitxers que estan desats en binari i al visualitzar-los només podem apreciar caràcters estranys, algunes paraules de text coherents de tant en tant, i no hi ha tags “<>” XML.

• Tipus CAdES

Un cop sabem que és CMS, si volem veure si és CAdES, necessitem utilitzar un visor o editor de ASN1 (com el GUIdumpASN) i buscar el “signingCertificate” obligatori.


006_

2007

0524


• Tipus PDF Són fitxers en binari però sempre comencen amb “%PDF” i la versió del PDF.

Ús del certificat digital per generar i validar signatures ... · gran, la nostra connexió amb la...

Documents

Transcript of Ús del certificat digital per generar i validar signatures ... · gran, la nostra connexió amb la...