guía de administración de trustid revoke server

[email protected]

elevenpaths.com

ElevenPaths, innovación radical y disruptiva en seguridad

Guía de administración de TrustID Revoke Server

Guía de administración de TrustID Revoke Server V.2.1 – Octubre 2016

2016 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 2 de 47

CONTENIDOS

1 Introducción ............................................................................................................... 4

2 Conceptos Generales .................................................................................................. 5

2.1 Introducción.............................................................................................................................. 5

2.2 Arquitectura de Revocación en Windows ................................................................................ 5

2.3 Arquitectura de TrustID® Revoke ............................................................................................. 7

2.4 Reglas de Validación/Descarga de Certificados ........................................................................ 8

2.5 Proveedores Externos ............................................................................................................... 9

3 Tareas de Configuración ............................................................................................. 10

3.1 Herramienta de Administración ............................................................................................. 10

3.2 Gestión de Entidades Emisoras .............................................................................................. 10

3.2.1 Consulta de Entidades Emisoras Configuradas......................................................................... 10

3.2.2 Añadir una Nueva Entidad Emisora .......................................................................................... 10

3.2.3 Modificar una Entidad Emisora ................................................................................................ 11

3.2.4 Eliminar una Entidad Emisora................................................................................................... 11

3.3 Gestión de Listas ..................................................................................................................... 11

3.3.1 Consulta de Listas Configuradas ............................................................................................... 11

3.3.2 Añadir una Nueva Lista ............................................................................................................. 11

3.3.3 Añadir o Eliminar valores de una Lista ..................................................................................... 12

3.3.4 Modificar una Lista ................................................................................................................... 12

3.3.5 Eliminar una Lista ..................................................................................................................... 12

3.4 Gestión de Proveedores Lógicos ............................................................................................ 12

3.4.1 Consulta de Proveedores Lógicos ............................................................................................. 13

3.4.2 Añadir un Nuevo Proveedor Lógico .......................................................................................... 13

3.4.3 Modificar un Proveedor Lógico ................................................................................................ 14

3.4.4 Eliminar un Proveedor Lógico ................................................................................................... 14

3.5 Gestión de Reglas de Validación ............................................................................................. 14

3.5.1 Consulta de Reglas de Validación ............................................................................................. 14

3.5.2 Añadir una Nueva Regla de Validación ..................................................................................... 14

3.5.3 Modificar una Regla de Validación ........................................................................................... 16

3.5.4 Cambiar el orden de ejecución de las Reglas de Validación ..................................................... 16

3.5.5 Eliminar una Regla de Validación ............................................................................................. 16

3.6 Gestión de Reglas de Descarga ............................................................................................... 17

3.6.1 Consulta de Reglas de Descarga ............................................................................................... 17

3.6.2 Añadir una Nueva Regla de Descarga ....................................................................................... 17

3.6.3 Modificar una Regla de Descarga ............................................................................................. 18

3.6.4 Cambiar el orden de ejecución de las Reglas de Descarga ....................................................... 19

3.6.5 Eliminar una Regla de Descarga ............................................................................................... 19



3.7 Configuración del Servicio ...................................................................................................... 19

3.7.1 Configurar Parámetros del Servicio .......................................................................................... 19

3.8 Configuración de Clientes ....................................................................................................... 20

3.8.1 Configurar Parámetros del Agente ........................................................................................... 21

3.9 Recarga de la Configuración ................................................................................................... 22

3.10 Caché de Validación ................................................................................................................ 23

3.10.1 Configuración del Caché de Validación .................................................................................... 23

3.10.2 Consultar el Contenido del Caché de Validación ...................................................................... 23

3.10.3 Eliminar una Entrada del Caché de Validación ......................................................................... 23

3.10.4 Eliminar Todo el Contenido del Caché de Validación ............................................................... 24

3.11 Caché de CRLs ......................................................................................................................... 24

3.11.1 Configuración del Caché de CRLs ............................................................................................. 24

3.11.2 Consultar el Contenido del Caché de CRLs ............................................................................... 24

3.11.3 Eliminar una Entrada del Caché de CRLs .................................................................................. 24

3.11.4 Eliminar Todo el Contenido del Caché de CRLs ........................................................................ 25

3.12 Caché de Respuestas OCSP ..................................................................................................... 25

3.12.1 Configuración del Caché de Respuestas OCSP ......................................................................... 25

3.12.2 Consultar el Contenido del Caché de Respuestas OCSP ........................................................... 25

3.12.3 Eliminar una Entrada del Caché de Respuestas OCSP .............................................................. 26

3.12.4 Eliminar Todo el Contenido del Caché de Respuestas OCSP .................................................... 26

3.13 Auditoría ................................................................................................................................. 26

3.13.1 Configuración de la Auditoría ................................................................................................... 26

3.13.2 Consultar el Registro de Auditoría............................................................................................ 27

3.13.3 Eliminar el Contenido del Registro de Auditoría ...................................................................... 27

3.14 Configuración del proveedor Revoke Provider ....................................................................... 27

3.14.1 Comportamiento de Revoke Provider en Operaciones de Descarga ........................................ 27

3.14.2 Comportamiento de Revoke Provider en Operaciones de Validación ...................................... 28

3.14.3 Parámetros de Configuración de Revoke Provider ................................................................... 28

3.14.4 Otros Aspectos de Configuración de Revoke Provider ............................................................. 39

3.14.5 Ejemplos de Configuración de Revoke Provider ....................................................................... 39

3.15 Servicio de Descargas Programadas de CRLs/Respuestas OCSP ............................................ 40

3.15.1 Configuración del Servicio de Descargas Programadas ............................................................ 40

3.15.2 Configuración del Servicio de Descargas Mediante CDPs ........................................................ 41

3.16 Permisos Necesarios para Tareas Administrativas ................................................................. 41

4 Resolución de Problemas ........................................................................................... 42

4.1 Mensajes de Error más Comunes ........................................................................................... 42

5 Ejemplos de Reglas de Validación ............................................................................... 44

5.1 Certificados de la Fábrica Nacional de Moneda y Timbre ...................................................... 44

5.2 Certificados del DNI Electrónico ............................................................................................. 44

6 Recursos .................................................................................................................... 46



1 Introducción

El producto TrustID® Revoke Server permite la integración en la organización de múltiples entidades emisoras externas de certificados mediante un sistema de validación centralizada del estado de revocación de los certificados digitales.

Proporciona, además, la capacidad de personalización del proceso de revocación basado en reglas definidas por el administrador, y eliminando la necesidad de conceder acceso a cada puesto o aplicación a los servidores de publicación de CRLs en Internet de cada proveedor de servicios de certificación o PSC.

Por último, provee de un servicio de descarga programada de objetos de revocación (CRLs y respuestas OCSP) junto con un sistema de caché de los mismos, permitiendo una optimización importante en el acceso a estos objetos por parte de cualquier equipo de la organización.



2 Conceptos Generales

2.1 Introducción

Con la introducción de la firma digital en empresas y organismos además de las necesidades surgidas en cuanto al aprovechamiento de las ventajas del uso de certificados en sistemas y aplicaciones, cada vez más, surgen problemas a la hora de integrar y gestionar certificados emitidos por proveedores de servicios de certificación externos a la organización.

Estos problemas van, desde la dependencia del PSC externo a la hora de comprobar la validez de los certificados, pasando por los tiempos de publicación de sus listas de revocación o la disponibilidad de conectividad con su infraestructura (incluso desde cada equipo de la organización) hasta la necesidad de esperar a que un usuario notifique al PSC cuándo su certificado se ve comprometido si en la organización se está trabajando con certificados personales tales como los del DNI Electrónico o los certificados CERES de la Fábrica Nacional de Moneda y Timbre.

TrustID® Revoke Server es una autoridad de validación de certificados digitales local que permite integrar en la organización múltiples PSCs externos manteniendo el control del proceso de validación, centralizando la comprobación de revocación y aportando funciones de auditoría, caché, descarga de CRLs, respuestas OCSP y listas locales de revocación.

2.2 Arquitectura de Revocación en Windows

En Windows para poder determinar el estado de un certificado, la información de revocación de cada PSC debe estar disponible para cada equipo, dispositivo de red o aplicación que intente verificar la validez de los certificados. Normalmente, los PSCs usan métodos distribuidos de verificación, de modo que los clientes no tienen que contactar directamente con la Autoridad de Certificación (CA), sino que, en lugar de ello, los clientes contactan con recursos alternativos tales como servidores Web o directorios LDAP, dónde la CA publica su información de revocación. Si no se chequease el estado de revocación de los certificados, existiría la posibilidad de que una aplicación o usuario aceptase credenciales que hayan sido revocadas por una CA.

Hay varios mecanismos para representar la información de revocación. En la RFC 3280 se define el método por el cual cada CA publica periódicamente una lista de revocación de certificados (CRL), que identifica los certificados revocados y que está disponible públicamente en un punto de distribución.

De este modo, cuando una aplicación de software use un certificado, la aplicación no sólo debería chequear la firma y validez del certificado si no que, además, debería chequear el estado del certificado para asegurarse de que no ha sido revocado en la CA.

De manera nativa, los clientes Windows que utilicen el API de criptografía del sistema (CryptoAPI) soportan la verificación de certificados tanto de Base CRLs como de Delta CRLs y, en el caso de los clientes Windows soportados por Microsoft lifecycle, de CRLs particionadas.

En Windows tanto las bases como las deltas CRLs deben estar publicadas en puntos de distribución que deben estar accesibles públicamente tales como servidores Web o servicios de directorio LDAP como Active Directory o Active Directory Application Mode (ADAM).



Para la validación del estado de revocación de un certificado, los sistemas Windows se basan, de forma nativa, en la consulta de CRLs que realiza el módulo crypnet.dll. Este módulo usa la extensión CRL Distribution Point, o CDP, del certificado para la localización de la CRL adecuada para cada certificado de la cadena de certificación. La extensión CDP debe indicar tanto el protocolo (HTTP o LDAP) que debe usarse para la obtención de la CRL como la localización en la que está almacenada dicha CRL (representada como una URL).

La plataforma Windows habilita la posibilidad de ampliar la verificación de revocación nativa del sistema mediante la creación de unos módulos denominados "proveedores de revocación". Estos se registran en el sistema de modo que CryptoAPI, en el momento de verificar un certificado, invocará sucesivamente a cada uno de los proveedores de revocación, que se encargarán de obtener el estado del certificado:

Imagen 01: Arquitectura de revocación de CryptoAPI.

Para más información acerca del tratamiento y el chequeo de revocación de certificados se puede consultar el artículo de la base de datos de conocimiento de Microsoft http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx.

http://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx



2.3 Arquitectura de TrustID® Revoke

En el siguiente diagrama se muestra la arquitectura de TrustID® Revoke:

Imagen 02: Arquitectura de TrustID Revoke.

TrustID® Revoke Server está formado por un servicio web de validación que recibe certificados e invoca a un motor de reglas configurable (que le indican el modo en el que se verificará la validez de los certificados), y una aplicación web de administración, (junto con sus servicios web correspondientes), que permiten al administrador la definición y configuración de los parámetros y reglas que rigen el funcionamiento del servicio.

Por otro lado, TrustID® Revoke Server dispone, además, de un servicio web de descargas de objetos de revocación que recibe certificados e invoca al correspondiente motor de reglas configurable que le indican el modo en el que se obtendrá la información de revocación adecuada.

Además TrustID® Revoke Server dispone de una serie de módulos denominados proveedores que permiten la conexión del servidor con las listas de revocación de PSCs externos a la organización y de un servicio de descarga de información de revocación programable.

La configuración de TrustID® Revoke Server, la definición de reglas de validación y descarga, la configuración de proveedores, el sistema de caché del servidor y el sistema de auditoría se almacenan en una base de datos específica del producto.

A la hora de invocar los servicios provistos por TrustID® Revoke Server, el cliente tiene dos posibilidades: instalar el módulo cliente TrustID® Revoke Agent, si se encuentra en un entorno Windows, o modificar las aplicaciones para invocar al servicio web de validación.



TrustID® Revoke Agent es un proveedor de revocación de Windows que redirige el tráfico de verificación de certificados hacia el servidor de TrustID® Revoke configurado, delegando en este las operaciones de validación de los mismos.

Puesto que TrustID® Revoke Agent es un proveedor de revocación, tal y como se explicó en el apartado anterior, todos aquellos procesos que utilizan el API de criptografía de Windows (CryptoAPI) para verificar certificados se integrarán automáticamente en el nuevo sistema centralizado de validación de certificados proporcionado por TrustID® Revoke Server.

De este modo, aplicaciones cliente tan extendidas como Outlook, Office e Internet Explorer y aplicaciones de servidor como Microsoft Internet Information Server (IIS), Microsoft ISA Server, Microsoft Exchange y Microsoft SharePoint entre otras accederán directamente al servicio proporcionado por TrustID® Revoke Server.

Para más información sobre TrustID® Revoke Agent se puede consultar la Guía de Instalación y Administración de TrustID® Revoke Agent.

En cuanto a las aplicaciones que no utilizan CryptoAPI o a otros sistemas operativos, puesto que TrustID® Revoke Server expone un servicio web, la validación es tan simple como invocar al servicio web pasándole el certificado que se desea validar y este responderá con el estado del mismo. Para más información sobre cómo invocar al servicio web de validación de TrustID® Revoke Server se puede consultar la Guía de Desarrollo de TrustID® Revoke Server.

2.4 Reglas de Validación/Descarga de Certificados

Tal y como se ha comentado, el funcionamiento de TrustID® Revoke Server se basa en la creación de reglas, tanto para la validación como para la descarga de objetos, que ejecutan una acción en función del cumplimiento de una condición por parte del certificado consultado.

La condición puede ser simple como la pertenencia a una entidad emisora concreta o más compleja como que un atributo del certificado esté incluido, por ejemplo, en una lista de valores.

Si la regla es de validación, la acción que se ejecutará puede ser Aceptar el certificado como válido, Revocar el certificado dentro de la organización o invocar a un Proveedor Externo que se encargue de verificar el certificado.

Si la regla es de descarga, la acción que se ejecutará sólo podrá ser invocar a un Proveedor Externo que se encargue de realizar la descarga de los objetos de revocación del certificado.

Un factor importante a la hora de comprender el funcionamiento del motor de ejecución de reglas es el de la prioridad u orden de ejecución de las mismas. En TrustID® Revoke Server las reglas se ejecutan empezando por la primera de la lista. Si el certificado cumple la condición, se ejecuta la acción y se retorna el resultado al llamador. Sólo si el certificado no cumple la condición se pasa a la siguiente regla de la lista, es decir, sólo se ejecuta la primera regla cuya condición cumple el certificado. La única excepción a este comportamiento se produce en caso de error en la ejecución de una regla, en tal caso se permite la continuación del procesamiento del resto de reglas.

Para más información sobre como configurar y administrar la lista de reglas de validación se puede consultar el apartado Gestión de Reglas de Validación.

http://es.slideshare.net/elevenpaths/gua-de-instalacin-y-administracin-de-trustid-revoke-agent

http://es.slideshare.net/elevenpaths/gua-de-instalacin-y-administracin-de-trustid-revoke-agent

http://es.slideshare.net/elevenpaths/gua-de-desarrollo-de-trustid-revoke-server



2.5 Proveedores Externos

En TrustID® Revoke Server, un proveedor externo es el módulo que se encarga de realizar las validaciones de certificados y descargas de objetos de revocación de manera externa a la autoridad de validación, tales como consultas de CRLs u OCSP.

Existen dos tipos de proveedores externos: los proveedores físicos y los proveedores lógicos.

Los proveedores físicos son los componentes binarios del producto (assemblies, DLL,…) que ejecutan la acción del proveedor. Con TrustID® Revoke Server se distribuyen dos proveedores físicos:

1. El proveedor físico Revoke Provider es capaz de realizar la validación/descarga usando protocolos http, https, ldap, ldaps, ftp, ftps, file y ocsp tanto de manera anónima como autenticada. Este es el proveedor por defecto a partir de la versión 2.0 y es el que se debería utilizar siempre que sea posible, (véase Configuración del proveedor Revoke Provider).

2. El proveedor físico CAPI es capaz de invocar cualquier librería que implemente el interfaz de Revocation Provider definido por el API de criptografía de Windows (CryptoAPI). Se suministra por compatibilidad con las versiones anteriores y no se debería utilizar salvo que se haya desarrollado un Revocation Provider de CryptoAPI específico para versiones anteriores, cuya funcionalidad no se cubra con Revoke Provider.

A diferencia de los proveedores lógicos, como tal, no existe un mantenimiento o gestión de proveedores físicos. Los dos proveedores citados estarán disponibles por defecto una vez instalado TrustID® Revoke Server. El administrador podrá crear/mantener únicamente proveedores lógicos.

Un proveedor lógico está compuesto por un proveedor físico y una configuración especial. Esta configuración se compone de lo siguiente:

1. El proveedor físico Revoke Provider recibe una cadena XML con los distintos parámetros de configuración. Más información en el apartado Configuración del proveedor Revoke Provider.

2. El proveedor físico CAPI recibe como parámetro el nombre de la DLL que tiene que invocar para verificar el estado de revocación del certificado.

El administrador puede crear diversos proveedores lógicos sobre un mismo proveedor físico. Por ejemplo, se puede crear un proveedor lógico sobre el proveedor físico de Revoke Provider para realizar una consulta OCSP firmada y a la vez tener otro proveedor lógico sobre el proveedor físico Revoke Provider para acceder a las CRLs de los certificados CERES mediante el protocolo ldap.

Por defecto, durante la instalación de TrustID® Revoke Server, se configuran tres proveedores lógicos que pueden ser utilizados directamente en las reglas de validación:

El Proveedor Revoke para acceso anónimo a CRLs/respuestas OCSP basado en las extensiones del certificado.

El Proveedor para Certificados CERES.

El Proveedor para el DNI electrónico.

Es importante tener cuenta que el proveedor para certificados CERES requiere, para su correcto funcionamiento, que se configuren los parámetros de autenticación al directorio ldap de CRLs (usuario y contraseña). Para más información sobre como configurar y administrar la lista de proveedores externos se puede consultar el apartado Gestión de Proveedores Lógicos.



3 Tareas de Configuración

3.1 Herramienta de Administración

La administración/configuración de TrustID® Revoke Server se realiza de manera centralizada mediante la web de administración.

Para abrir la web de administración simplemente será necesario ejecutar una instancia de Internet Explorer y navegar hasta la dirección http://server/RevokeAdmin. Donde server es el nombre o la dirección IP del servidor de TrustID® Revoke Server que se desea configurar.

3.2 Gestión de Entidades Emisoras

Para poder definir reglas aplicables a certificados de una entidad emisora concreta, es necesario que esta esté configurada en el servidor de TrustID® Revoke Server. En este apartado se describe como realizar las tareas de configuración y mantenimiento relativas a la lista de entidades emisoras.

3.2.1 Consulta de Entidades Emisoras Configuradas Para ver la lista de entidades emisoras configuradas en el servidor se pueden seguir los siguientes pasos:

1. Abrir la web de administración RevokeAdmin.

2. En la página principal seleccionar el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestion de Ent. Emisoras del menú de la izquierda.

3. Aparecerá la lista de todas las entidades emisoras configuradas para la creación de reglas.

3.2.2 Añadir una Nueva Entidad Emisora Para añadir una nueva entidad emisora sobre la que crear reglas de validación de certificados, se pueden seguir los siguientes pasos:

1. En la página principal de la web de Administración seleccionar el enlace Añadir una nueva entidad emisora de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados. El mismo enlace está disponible también desde la Vista de Entidades Emisoras.

2. Especificar los parámetros de configuración de la entidad emisora:

a. El campo Nombre Común (CN) es un campo obligatorio y su contenido debe ser exactamente igual al que aparece como CN en el asunto del certificado de la entidad emisora.

b. El campo Descripción es una descripción opcional para la identificación de la entidad emisora.

c. Programación Descargas: en caso de requerir la descarga programada mediante el servicio de descargas offline, aquí se especificarán tanto la hora como los días de la semana en los que el servicio realizará la descarga de objetos correspondientes a esta entidad emisora. Para más información ver apartado Servicio de Descargas Programadas.

3. Pulsar el botón Insertar.

http://172.26.20.4/RevokeAdmin/ca.aspx

http://172.26.20.4/RevokeAdmin/ca.aspx



3.2.3 Modificar una Entidad Emisora Para modificar la configuración de una entidad emisora se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Entidades Emisoras. Para ello, en la página principal seleccionar el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestión de Ent. Emisoras del menú de la izquierda.

2. En la lista de Entidades Emisoras seleccionar el enlace de la entidad emisora que se desea modificar.

3. Realizar las modificaciones deseadas.

4. Pulsar el botón Guardar.

3.2.4 Eliminar una Entidad Emisora Para eliminar una entidad emisora se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Entidades Emisoras, para ello, en la página principal seleccionar el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestion de Ent. Emisoras del menú de la izquierda.

2. En la lista de Entidades Emisoras, pulsar el botón con forma de cruz que se encuentra a la izquierda de la entidad que se desee eliminar.

3.3 Gestión de Listas

En TrustID® Revoke Server es posible definir reglas con condiciones aplicables según la pertenencia o no a una lista de valores. En este apartado se describe cómo crear nuevas listas de valores y realizar las tareas de mantenimiento sobre las mismas.

3.3.1 Consulta de Listas Configuradas Para ver la lista de entidades emisoras configuradas en el servidor se pueden seguir los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar listas del grupo Tareas Relativas a Listas o bien seleccionar el enlace Gestión de Listas del menú de la izquierda.

3. Aparecerá una tabla con el nombre y la descripción de todas las listas configuradas hasta el momento.

3.3.2 Añadir una Nueva Lista Para añadir una nueva lista de valores al servidor de TrustID® Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Añadir una nueva lista del grupo Tareas Relativas a Listas. El mismo enlace está disponible también desde la Vista de Gestión de Listas.

2. Especificar un valor para el Nombre de la lista y, opcionalmente, una Descripción para la misma.




3.3.3 Añadir o Eliminar valores de una Lista Para añadir o eliminar valores a la lista se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Gestión de Listas, para ello, en la página principal seleccionar el enlace Gestionar listas del grupo Tareas Relativas a Listas o bien seleccionar el enlace Gestión de Listas del menú de la izquierda.

2. En la tabla de Listas mostrada, seleccionar el enlace correspondiente a la lista de valores que se desea modificar.

3. Pulsar el botón Elementos.

4. Para añadir nuevos valores a la lista:

a. En la nueva ventana indicar el nuevo valor y pulsar el botón Insertar.

b. Repetir este proceso el paso anterior tantas veces como valores se deseen añadir a la lista.

c. Pulsar el botón Cancelar para finalizar la inserción de valores a la lista.

5. Para eliminar valores de la lista pulsar la Cruz que se encuentra a la izquierda del valor que se desee eliminar.

3.3.4 Modificar una Lista Para modificar la configuración de una lista de valores se pueden seguir los siguientes pasos:


2. En la tabla de Listas mostrada, seleccionar el enlace correspondiente a la lista de valores que se desea modificar.



3.3.5 Eliminar una Lista Para eliminar una lista de valores se pueden seguir los siguientes pasos:


2. En la tabla de Listas, pulsar el botón con forma de cruz que se encuentra a la izquierda de la Lista que se desee eliminar.

3.4 Gestión de Proveedores Lógicos

En TrustID® Revoke Server las validaciones de certificados que se deban realizar de manera externa a la autoridad de validación, tales como consultas de CRLs o con servidores OCSP se llevan a cabo por parte de proveedores lógicos que aparecerán como acciones tanto de las reglas de validación como de las reglas de descarga.

En este apartado se describe cómo gestionar la lista de proveedores lógicos en TrustID® Revoke Server.



3.4.1 Consulta de Proveedores Lógicos Para ver la lista de proveedores lógicos configurados en el servidor se pueden seguir los siguientes pasos:


2. En la página principal, seleccionar el enlace Gestión de Proveedores del menú de la izquierda.

3. Aparecerá una tabla con el nombre y la descripción de todos los proveedores lógicos disponibles hasta el momento.

3.4.2 Añadir un Nuevo Proveedor Lógico Para añadir un nuevo proveedor lógico a la configuración de TrustID® Revoke Server se pueden seguir los siguientes pasos:

1. En la Vista de Gestión de Proveedores seleccionar el enlace Añadir una nuevo proveedor lógico.

2. Especificar los parámetros de configuración del nuevo proveedor lógico:

a. El campo Nombre es un campo obligatorio. Este es el nombre que aparecerá como acción al crear una regla de validación.

b. El campo Descripción es una descripción opcional para la identificación del proveedor lógico.

c. El campo Proveedor Físico indica el tipo de proveedor que ejecutará la acción. En la actualidad están definidos dos tipos de proveedores físicos:

i. Revoke Provider: Es el proveedor por defecto y, por tanto, el que se debería usar siempre que sea posible. Provee funcionalidades de descarga y validación de CRLs y respuestas OCSP mediante protocolos http, https, ldap, ldaps, ftp, ftps y file, así como de una gestión de caché de CRLs y de respuestas OCSP que optimizan el acceso a las mismas.

ii. CAPI: La validación se realizará por los mecanismos definidos por el API de criptografía de Windows (CryptoAPI), es decir mediante el uso de librerías que implementan el interfaz de un Revocation Provider. Este proveedor se proporciona por compatibilidad con versiones anteriores y sólo debería usarse en el caso de que se haya desarrollado un Revocation Provider de CryptoAPI personalizado para dichas versiones.

d. El valor del campo Parámetro de Configuración dependerá del proveedor físico seleccionado:

i. Para el proveedor Revoke Provider, el parámetro de configuración es una cadena XML que definirá el comportamiento del mismo. Más información en el apartado Configuración del proveedor Revoke Provider.

ii. Para el proveedor CAPI, el parámetro de configuración deberá contener el nombre de la librería que implementa el interfaz de Revocation Provider y que se desea utilizar para este proveedor.




3.4.3 Modificar un Proveedor Lógico Para modificar la configuración de un proveedor lógico se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Gestión de Proveedores, para ello, en la página principal seleccionar el enlace Gestión de Proveedores del menú de la izquierda.

2. En la tabla de Proveedores Lógicos mostrada, seleccionar el enlace correspondiente al proveedor que se desea modificar.



3.4.4 Eliminar un Proveedor Lógico Para eliminar un proveedor lógico se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Gestión de Proveedores, para ello, en la página principal seleccionar el enlace Gestión de Proveedores del menú de la izquierda.

2. En la tabla de Proveedores Lógicos, pulsar el botón con forma de cruz que se encuentra a la izquierda del proveedor que se desee eliminar.

3.5 Gestión de Reglas de Validación

El funcionamiento de la validación de TrustID® Revoke Server se basa en la creación de reglas que aplican una acción en función de un orden de ejecución y en función del cumplimiento de una condición. En este apartado se describe cómo configurar y mantener la lista de reglas de validación de TrustID® Revoke Server.

3.5.1 Consulta de Reglas de Validación Para ver la lista de reglas de validación configuradas en el servidor se pueden seguir los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Validación o bien seleccionar el enlace Reglas de Validación del menú de la izquierda.

3. Aparecerá una tabla con la lista de reglas de validación configuradas. En esta tabla se incluye tanto el nombre de la regla como el indicador de si está habilitada o no, la entidad emisora a la que aplica, los atributos que definen la condición de aplicación y, por último, la acción que se aplicará.

3.5.2 Añadir una Nueva Regla de Validación Para añadir una nueva regla de validación a la configuración de TrustID® Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Añadir una nueva regla de validación del grupo Tareas Relativas a Reglas de Validación. El mismo enlace está disponible también desde la página de Gestión de Reglas de Validación.

2. Especificar los parámetros generales de la nueva regla de validación:

a. El campo Nombre es un campo obligatorio. Este es el nombre que aparecerá en la lista de reglas de validación.

b. El campo Descripción es una descripción opcional para la identificación de la regla.



c. El campo Habilitada indica si la regla estará habilitada para su ejecución o se creará deshabilitada. Es posible habilitarla posteriormente modificando la regla de validación.

3. Especificar los parámetros de la condición de la nueva regla de validación, es decir, se definirán los criterios necesarios para distinguir los certificados sobre los que aplicará la regla:

a. En el campo Entidad Emisora se seleccionará el nombre de la entidad emisora de los certificados sobre los que se aplicará la regla (siempre y cuando se cumpla el resto de la condición). En el desplegable aparecerán los nombres de las entidades emisoras configurados en el servidor, (véase apartado Gestión de Entidades Emisoras). Además, en función de la configuración del servicio, en el desplegable puede aparecer el valor (Todas) que indica que la condición se aplicará a los certificados de cualquier entidad emisora, (véase apartado Configurar Parámetros del Agente).

b. En el campo Atributo se seleccionará el nombre del atributo del certificado que se utilizará para establecer la condición. En función del atributo que se seleccione, los dos siguientes campos (Extensión y OID) permanecerán habilitados o deshabilitados.

c. El campo Extensión sólo se habilitará si en el campo Atributo se seleccionó el valor Extension. En este campo se indicará el OID de la extensión del certificado que se desea utilizar para establecer la condición. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

d. El campo OID sólo se habilitará si en el campo Atributo se seleccionó el valor Extension o el valor Subject. En este campo se indicará el OID del valor del campo de la extensión o del subject indicados. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

e. En el campo Operador se seleccionará el operador que se aplicará a la condición.

f. En el campo Valor 1 se especificará el valor requerido para la condición. En caso de haber seleccionado el operador Contenido en Lista o No Contenido en Lista aparecerá el botón Buscar a la derecha del campo, pulsando este botón se mostrarán las listas de valores disponibles, (véase el apartado Gestión de Listas), pulsando sobre la lista en cuestión esta se copiará en el valor del campo.

g. El campo Valor 2 sólo se habilitará si en el campo Operador se seleccionó un operador que requiera dos valores, es decir, si se seleccionó el operador Entre Exclusive o Entre Inclusive.

4. Especificar los parámetros de la acción que se ejecutará si se cumple la condición:

a. En el campo Acción se seleccionará alguno de los siguientes valores:

i. Aceptar si los certificados que cumplan la condición deben ser mostrados como válidos.

ii. Revocar si los certificados que cumplan la condición deben ser mostrados como revocados.

iii. Proveedor Externo si los certificados que cumplan la condición deben ser verificados utilizando un proveedor externo, (véase el apartado Gestión de Proveedores Lógicos).

b. El campo Razón sólo estará habilitado si la acción seleccionada es Revocar. En este campo se seleccionará la razón que se especificará para revocar el certificado.



c. El campo Proveedor Externo sólo estará habilitado si la acción seleccionada es Proveedor Externo. En este campo se seleccionará el proveedor externo que se utilizará para verificar el certificado.

5. Marcar el check Crear Regla de Descarga si se desea crear una regla de descarga con los mismos parámetros que la regla de validación. Este campo solamente se habilitará si la acción de la regla de validación es invocar a un proveedor externo puesto que no tiene sentido una regla de descarga del tipo Aceptar/Revocar.


3.5.3 Modificar una Regla de Validación Para modificar la configuración de una regla de validación se pueden seguir los siguientes pasos:

1. Acceder a la Gestión de Reglas de Validación, para ello, en la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Validación o bien seleccionar el enlace Reglas de Validación del menú de la izquierda.

2. En la lista de Reglas de Validación, seleccionar el enlace correspondiente a la regla que se desea modificar.



Si durante el proceso de creación de la regla de validación, se creó una regla de descarga similar, las modificaciones de dicha regla de validación NO se aplicarán a la regla de descarga.

Por tanto, si se desea la modificación de la regla de descarga será necesario realizarla de manera manual.

3.5.4 Cambiar el orden de ejecución de las Reglas de Validación Las reglas de validación se ejecutarán según el orden en el que aparecen en la Vista de Gestión de Reglas empezando por la que está en la primera posición de la lista. Para cambiar el orden de ejecución de las reglas de validación se pueden seguir los siguientes pasos:


2. En la lista de Reglas de Validación, pulsar los botones Arriba o Abajo que se encuentran a la izquierda de la regla para subir o bajar una posición en el orden de ejecución.


Por tanto, si se desea la reordenación de la regla de descarga será necesario realizarla de manera manual.

3.5.5 Eliminar una Regla de Validación Para eliminar una regla de validación se pueden seguir los siguientes pasos:




2. En la lista de Reglas de Validación, pulsar el botón con forma de cruz que se encuentra a la izquierda de la regla que se desee eliminar.


Por tanto, si se desea la eliminación de la regla de descarga será necesario realizarla de manera manual.

3.6 Gestión de Reglas de Descarga

El funcionamiento de la descarga de objetos de revocación de TrustID® Revoke Server se basa en la creación de reglas que aplican una acción en función de un orden de ejecución y en función del cumplimiento de una condición. En este apartado se describe cómo configurar y mantener la lista de reglas de descarga de TrustID® Revoke Server.

3.6.1 Consulta de Reglas de Descarga Para ver la lista de reglas de descarga configuradas en el servidor se pueden seguir los siguientes pasos:


2. En la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Descarga o bien seleccionar el enlace Reglas de Descarga del menú de la izquierda.

3. Aparecerá una tabla con la lista de reglas de descarga configuradas. En esta tabla se incluye tanto el nombre de la regla como el indicador de si está habilitada o no, la entidad emisora a la que aplica, los atributos que definen la condición de aplicación y, por último, la acción que se aplicará.

3.6.2 Añadir una Nueva Regla de Descarga Para añadir una nueva regla de descarga a la configuración de TrustID® Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Añadir una nueva regla de descarga del grupo Tareas Relativas a Reglas de Descarga. El mismo enlace está disponible también desde la página de Gestión de Reglas de Descarga.

2. Especificar los parámetros generales de la nueva regla de descarga:

a. El campo Nombre es un campo obligatorio. Este es el nombre que aparecerá en la lista de reglas de descarga.

b. El campo Descripción es una descripción opcional para la identificación de la regla.

c. El campo Habilitada indica si la regla estará habilitada para su ejecución o se creará deshabilitada. Es posible habilitarla posteriormente modificando la regla de descarga.

3. Especificar los parámetros de la condición de la nueva regla de descarga, es decir, se definirán los criterios necesarios para distinguir los certificados sobre los que aplicará la regla:

a. En el campo Entidad Emisora se seleccionará el nombre de la entidad emisora de los certificados sobre los que se aplicará la regla (siempre y cuando se cumpla el resto de la condición). En el desplegable aparecerán los nombres de las entidades emisoras configurados en el servidor, (véase apartado Gestión de Entidades Emisoras). Además, en función de la configuración del servicio, en el desplegable puede aparecer



el valor (Todas) que indica que la condición se aplicará a los certificados de cualquier entidad emisora (Ver apartado Configuración de Agentes en Equipos Cliente).

b. En el campo Atributo se seleccionará el nombre del atributo del certificado que se utilizará para establecer la condición. En función del atributo que se seleccione, los dos siguientes campos (Extensión y OID) permanecerán habilitados o deshabilitados.

c. El campo Extensión sólo se habilitará si en el campo Atributo se seleccionó el valor Extension. En este campo se indicará el OID de la extensión del certificado que se desea utilizar para establecer la condición. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

d. El campo OID sólo se habilitará si en el campo Atributo se seleccionó el valor Extension o el valor Subject. En este campo se indicará el OID del valor del campo de la extensión o del subject indicados. Pulsando el botón Buscar que aparece a la derecha del campo aparecerá una lista con los OIDs de extensiones conocidas, pulsando sobre el OID seleccionado este se copiará en el valor del campo.

e. En el campo Operador se seleccionará el operador que se aplicará a la condición.

f. En el campo Valor 1 se especificará el valor requerido para la condición. En caso de haber seleccionado el operador Contenido en Lista o No Contenido en Lista aparecerá el botón Buscar a la derecha del campo, pulsando este botón se mostrarán las listas de valores disponibles (Ver apartado Gestión de Listas), pulsando sobre la lista en cuestión esta se copiará en el valor del campo.

g. El campo Valor 2 sólo se habilitará si en el campo Operador se seleccionó un operador que requiera dos valores, es decir, si se seleccionó el operador Entre Exclusive o Entre Inclusive.

4. Especificar los parámetros de la acción que se ejecutará si se cumple la condición:

a. El campo Acción siempre será invocar a un proveedor externo puesto que no tiene sentido una regla de descarga que indique Aceptar/Revocar.

b. En el campo Proveedor Externo se seleccionará el proveedor externo que se utilizará para realizar la descarga de la información de revocación correspondiente al certificado.

5. Marcar la casilla de verificación Crear Regla de Validación si se desea crear una regla de validación con los mismos parámetros que la regla de descarga.


3.6.3 Modificar una Regla de Descarga Para modificar la configuración de una regla de descarga se pueden seguir los siguientes pasos:

1. Acceder a la Gestión de Reglas de Descarga, para ello, en la página principal seleccionar el enlace Gestionar reglas del grupo Tareas Relativas a Reglas de Descarga o bien seleccionar el enlace Reglas de Descarga del menú de la izquierda.

2. En la lista de Reglas de Descarga, seleccionar el enlace correspondiente a la regla que se desea modificar.


Pulsar el botón Guardar.



Si durante el proceso de creación de la regla de descarga, se creó una regla de validación, las modificaciones de dicha regla de descarga NO se aplicarán a la regla de validación. Por tanto, si

se desea la modificación de la regla de validación será necesario realizarla de manera manual.

3.6.4 Cambiar el orden de ejecución de las Reglas de Descarga Las reglas de descarga se ejecutarán según el orden en el que aparecen en la Vista de Gestión de Reglas empezando por la que está en la primera posición de la lista. Para cambiar el orden de ejecución de las reglas de descarga se pueden seguir los siguientes pasos:


2. En la lista de Reglas de Descarga, pulsar los botones Arriba o Abajo que se encuentran a la izquierda de la regla para subir o bajar una posición en el orden de ejecución.

Si durante el proceso de creación de la regla de descarga, se creó una regla de validación similar, las modificaciones de dicha regla de descarga NO se aplicarán a la regla de validación.

Por tanto, si se desea la reordenación de la regla de validación será necesario realizarla de manera manual.

3.6.5 Eliminar una Regla de Descarga Para eliminar una regla de descarga se pueden seguir los siguientes pasos:


2. En la lista de Reglas de Descarga pulsar el botón con forma de cruz que se encuentra a la izquierda de la regla que se desee eliminar.

Si durante el proceso de creación de la regla de descarga, se creó una regla de validación similar, las modificaciones de dicha regla de descarga NO se aplicarán a la regla de validación.

Por tanto, si se desea la eliminación de la regla de validación será necesario realizarla de manera manual.

3.7 Configuración del Servicio

Además de la creación de reglas de validación y descarga, en TrustID® Revoke Server es posible configurar una serie de parámetros que definen el funcionamiento del servidor en cuanto al comportamiento del caché de servidor o en cuanto al comportamiento en caso de que se produzca un error en el procesamiento de una petición. En este apartado se describe cómo realizar la configuración de los parámetros del servidor de TrustID® Revoke Server.

3.7.1 Configurar Parámetros del Servicio Para configurar los parámetros del servicio de TrustID® Revoke Server se pueden seguir los siguientes pasos:




2. En la página principal seleccionar el enlace Configurar Parámetros del Servicio del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Configuración Servicio del menú de la izquierda.

3. Especificar los valores para los parámetros de configuración del caché del servicio:

a. La opción Deshabilitar Caché permite desactivar/activar la creación y uso de un caché de respuestas de validación en las consultas al servidor. Para más información ver el apartado Caché de Validación.

b. El campo Tiempo de Vida de Entradas de Certificados Correctos permite especificar el tiempo en segundos, que los resultados de las consultas de certificados válidos van a permanecer en el caché del servidor.

c. El campo Tiempo de Vida de Entradas de Certificados Raíz permite especificar el tiempo en segundos, que los resultados de las consultas de certificados raíz van a permanecer en el caché del servidor.

d. El campo Tiempo de Vida de Entradas de Certificados Revocados permite especificar el tiempo en segundos, que los resultados de las consultas de certificados revocados van a permanecer en el caché del servidor.

e. El campo Tiempo de Vida de Entradas de Certificados Suspendidos permite especificar el tiempo en segundos, que los resultados de las consultas de certificados con estado suspendido van a permanecer en el caché del servidor.

4. Especificar los valores para otros parámetros de configuración del servicio:

a. La opción Continuar con la Cadena de Proveedores en el Agente Si No Se Pudo Obtener el Estado del Certificado indica que, en caso de que un certificado no cumpla ninguna de las reglas de validación definidas en el servidor, se retornará al llamador para que éste continúe con el procesamiento del certificado según su propia configuración. En TrustID® Revoke Agent esta funcionalidad está implementada, pero si el llamador del servicio web es una aplicación propietaria esta funcionalidad dependerá de la implementación de dicha aplicación.

b. La opción Continuar el Procesamiento de Reglas en Caso de Error, cuando está activada, indica al servicio que si se produce un error en la ejecución de una regla se continúe con la ejecución de la siguiente regla. En caso de estar desactivada, cuando se produzca un error, éste se retornará directamente al cliente.

c. La opción Continuar el Procesamiento de Reglas en Caso de que un Proveedor Externo Retorne Offline, cuando está activada, indica al servicio que si en la ejecución de una regla que implique la invocación de un proveedor externo, éste retorna un error de conexión, se continúe con la ejecución de la siguiente regla. En caso de estar desactivada, cuando se produzca un error de este tipo, el error se retornará directamente al cliente.


3.8 Configuración de Clientes

Además de la configuración propia del servidor, en TrustID® Revoke Server es posible configurar de manera centralizada una serie de parámetros que definen el funcionamiento del módulo agente TrustID® Revoke Agent.



El administrador sólo deberá configurar estos parámetros en caso de que en su sistema se vaya a utilizar el agente TrustID® Revoke Agent. En caso contrario no será necesario llevar a cabo esta configuración.

3.8.1 Configurar Parámetros del Agente Para configurar los parámetros del agente TrustID® Revoke Agent se pueden seguir los siguientes pasos:


2. En la página principal seleccionar el enlace Configurar parámetros de conexión y comportamiento de los agentes en equipos cliente del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Configuración Clientes del menú de la izquierda.

3. Especificar los valores para los parámetros de conexión desde los agentes:

a. El campo Host permite configurar el nombre o dirección IP del servidor al que se conectará el agente para invocar a los servicios web de TrustID® Revoke Server. Si el valor del campo Host se deja vacío, el agente utilizará los parámetros de conexión configurados mediante la plantilla de configuración de TrustID® Revoke Agent.

b. El campo Puerto permite configurar el puerto de conexión para invocar a los servicios web de TrustID® Revoke Server. El valor por defecto para este campo es el 80 si no se usa HTTPs y el 443 en caso de usar HTTPs.

c. La opción Usar HTTPs permite indicar si el agente se conectará al servicio web mediante protocolo HTTPs o mediante protocolo HTTP.

d. El campo Cuenta de Usuario permite configurar el nombre de la cuenta de usuario para la conexión a los servicios web de TrustID® Revoke Server en caso de que el acceso a los mismos no esté configurado como anónimo (por defecto).

e. El campo Contraseña permite configurar la clave de acceso para la conexión a los servicios web de TrustID® Revoke Server en caso de que el acceso a los mismos no esté configurado como anónimo (por defecto).

f. El campo Timeout de Resolución de Nombres permite configurar el tiempo máximo en segundos que el agente esperará para la resolución del nombre del host durante la conexión con el servicio web. En caso de no poder resolver el nombre en el tiempo especificado, el agente considerará un error de conexión y empezará a trabajar en modo sin conexión.

g. El campo Timeout de Conexión permite configurar el tiempo máximo en segundos que el agente esperará para la conexión con el servicio web. En caso de no poder conectar en el tiempo especificado, el agente considerará un error de conexión y empezará a trabajar en modo sin conexión.

h. El campo Timeout de Envío permite configurar el tiempo máximo en segundos que el agente esperará para completar el envío de la petición al servicio web. En caso de no poder completar el envío en el tiempo especificado, el agente considerará un error de conexión y empezará a trabajar en modo sin conexión.

i. El campo Timeout de Recepción de la Respuesta permite configurar el tiempo máximo en segundos que el agente esperará para recibir la respuesta del servicio web. En caso de no recibir una respuesta en el tiempo especificado, el agente considerará un error de conexión y empezará a trabajar en modo sin conexión.



4. Especificar los valores para los parámetros de configuración del caché en los agentes:

a. La opción Deshabilitar Caché permite desactivar/activar la creación y uso de un caché de resultados en el cliente. El caché en los clientes se utiliza tanto para minimizar el número de peticiones que se realizan al servidor como para resolver las consultas en caso de no tener conexión con el servidor.

b. El campo Tiempo de Vida de Entradas de Certificados Correctos permite especificar el tiempo en segundos, que los resultados de las consultas de certificados válidos van a permanecer en el caché del cliente.

c. El campo Tiempo de Vida de Entradas de Certificados Raíz permite especificar el tiempo en segundos, que los resultados de las consultas de certificados raíz van a permanecer en el caché del cliente.

d. El campo Tiempo de Vida de Entradas de Certificados Revocados permite especificar el tiempo en segundos, que los resultados de las consultas de certificados revocados van a permanecer en el caché del cliente.

e. El campo Tiempo de Vida de Entradas de Certificados Suspendidos permite especificar el tiempo en segundos, que los resultados de las consultas de certificados con estado suspendido van a permanecer en el caché del cliente.

5. Especificar los valores para el resto de parámetros de configuración de los agentes:

a. La opción Habilitar Auditoría permite habilitar/deshabilitar la auditoría del agente. Si la auditoría del agente está habilitada, TrustID® Revoke Server incluirá un evento de auditoría por cada consulta con resultado correcto o con resultado revocado en el visor de sucesos del equipo cliente.

b. El campo Tiempo de Vida de la Configuración permite especificar el tiempo de validez en segundos de la configuración en el agente. Transcurrido este tiempo, la configuración se toma como no válida y se debe volver a realizar una nueva consulta al servidor.

c. La opción Permitir Reglas para Todos los Emisores fuerza al agente a que la consulta de todos los certificados de todos los emisores se realice a través del servidor de TrustID® Revoke Server. En caso de estar desactivada esta opción, sólo aquellos certificados emitidos por las entidades emisoras configuradas en la lista de entidades emisoras serán verificados a través del servidor, (véase el apartado Gestión de Entidades Emisoras). Además, habilitando/deshabilitando esta opción se conseguirá habilitar/deshabilitar la aparición del valor (Todas) en la lista de entidades emisoras cuando se añade una regla de validación, (véase el apartado Añadir una Nueva Regla de Validación).

d. La opción Continuar con la Cadena de Proveedores en el Agente Si No Hay Conexión con el Servidor, cuando está activada, indica al agente que en caso de no tener conexión con el servidor la consulta de certificados continuará la cadena de proveedores de revocación instalada en el equipo cliente, es decir, continuará con el método de comprobación de revocación nativo del sistema.

3.9 Recarga de la Configuración

Con el objetivo de obtener un mayor rendimiento, parte de la configuración de TrustID® Revoke Server es cargada en memoria por parte del motor de reglas. Por este motivo, los cambios de configuración



o de reglas no van a ser tenidas en cuenta a menos que se realice la recarga de la configuración en el motor de reglas.

Esta carga de la configuración se realiza cuando se arranca el worker process del pool de Internet Information Server al que pertenece la aplicación servidora de Revoke Server.

Por este motivo, una vez cambiados los parámetros de configuración o las reglas de validación y descarga será necesario reciclar el pool de IIS en cada uno de los servidores de TrustID® Revoke Server.

3.10 Caché de Validación

Con el objetivo de eliminar consultas tanto a la base de datos TrustID® Revoke Server como a las listas de revocación de certificados de emisores externos y conseguir mejoras en el rendimiento del servicio, TrustID® Revoke Server implementa un sistema de caché para 4 tipos de respuesta en las consultas de validación según configuración: un caché para los certificados raíz, otro para los certificados correctos, un tercer caché para los certificados revocados, y por último, un caché para los certificados con estado suspendido.

3.10.1 Configuración del Caché de Validación Tanto la activación y desactivación del sistema de caché como la configuración del tiempo de vida de cada uno de los tipos de caché se realiza desde la página de configuración del servicio (véase apartado Configuración del Servicio).

3.10.2 Consultar el Contenido del Caché de Validación Para ver el contenido del caché de validación del sistema se pueden seguir los siguientes pasos:


2. En la página principal seleccionar el enlace Ver y gestionar entradas del caché de validación del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Validación del menú de la izquierda.

3. Aparecerá una tabla con los últimos registros incluidos en el caché de validación del servidor.

4. En la parte superior de la página aparecen unos campos de filtrado con los que el administrador podrá refinar el resultado de la búsqueda. Para ello el administrador deberá introducir/seleccionar los valores adecuados en los campos de filtrado y pulsar el botón Buscar.

5. Pulsando las flechas que aparecen en la parte inferior de la tabla de resultados se puede navegar por las páginas de resultado de la consulta.

3.10.3 Eliminar una Entrada del Caché de Validación Para eliminar una entrada del caché de validación se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de Validación, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de validación del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Validación del menú de la izquierda.

2. Localizar la entrada del caché que se desea borrar refinando la búsqueda o navegando por los resultados.



3. Pulsar el botón con forma de cruz que se encuentra a la izquierda de la entrada que se desee eliminar.

3.10.4 Eliminar Todo el Contenido del Caché de Validación Para eliminar todas las entradas contenidas en el caché se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de Validación, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de validación del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Validación del menú de la izquierda.

2. Pulsar el enlace Borrar todas las entradas del caché que se encuentra en la parte inferior de la página.

3.11 Caché de CRLs

Con el objetivo de eliminar consultas/descargas de las listas de revocación de certificados de emisores externos y conseguir mejoras en el rendimiento del servicio, TrustID® Revoke Server, (mediante el proveedor físico Revoke Provider), implementa un sistema de caché que almacena y gestiona las CRLs descargadas. De este modo, en posteriores descargas/validaciones, si la CRL es válida (campo ThisUpdate <= Fecha actual y NextUpdate > Fecha actual) se usará la CRL cacheada en lugar de realizar una nueva descarga de la misma.

Es importante remarcar que sólo aquellos certificados a los que se le apliquen reglas basadas en el proveedor Revoke Provider se beneficiarán de esta funcionalidad.

3.11.1 Configuración del Caché de CRLs El caché de CRLs está activo por defecto para todas las reglas basadas en el proveedor físico Revoke Provider, aunque es posible desactivarlo a nivel de proveedor lógico, es decir, mediante la configuración de Revoke Provider, (véase el apartado Configuración del proveedor Revoke Provider).

3.11.2 Consultar el Contenido del Caché de CRLs Para ver el contenido del caché de validación del sistema se pueden seguir los siguientes pasos:


2. En la página principal seleccionar el enlace Ver y gestionar entradas del caché de CRLs del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de CRLs del menú de la izquierda.

3. Aparecerá una tabla con los últimos registros incluidos en el caché de CRLs del servidor.



3.11.3 Eliminar una Entrada del Caché de CRLs Para eliminar una entrada del caché de CRLs se pueden seguir los siguientes pasos:



1. Acceder al Visor del Caché de CRLs, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de CRLs del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de CRLs del menú de la izquierda.



3.11.4 Eliminar Todo el Contenido del Caché de CRLs Para eliminar todas las entradas contenidas en el caché se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de CRLs, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de CRLs del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de CRLs del menú de la izquierda.


3.12 Caché de Respuestas OCSP

Aunque el protocolo OCSP está pensado para realizar consultas online a los prestadores de servicios de certificación, la definición de dicho protocolo especifica que la respuesta puede incluir, de manera opcional, un campo NextUpdate que indica un periodo de validez para dichas respuestas.

Con el objetivo de eliminar consultas a OCSP responders externos a la organización, TrustID® Revoke Server, mediante el proveedor físico Revoke Provider, implementa un sistema de caché que almacena y gestiona las respuestas OCSP descargadas que incluyan el campo NextUpdate. De este modo, en posteriores descargas/validaciones, si la respuesta OCSP es válida (campo ThisUpdate <= Fecha actual y NextUpdate > Fecha actual) se usará la respuesta cacheada en lugar de realizar una nueva consulta al responder externo.

Es importante remarcar que sólo aquellos certificados a los que se le apliquen reglas basadas en el proveedor Revoke Provider se beneficiarán de esta funcionalidad.

Actualmente las respuestas OCSP emitidas por el OCSP responder del DNI electrónico (http://ocsp.dnie.es) no incluyen el campo NextUpdate. Por tanto, los servidores de TrustID®

Revoke Server NO cachearán ninguna respuesta OCSP correspondiente al DNI electrónico español.

3.12.1 Configuración del Caché de Respuestas OCSP El caché de respuestas OCSP está activo por defecto para todas las reglas basadas en el proveedor físico Revoke Provider, aunque es posible desactivarlo a nivel de proveedor lógico, es decir, mediante la configuración de Revoke Provider. Más información en el apartado Configuración del proveedor Revoke Provider.

3.12.2 Consultar el Contenido del Caché de Respuestas OCSP Para ver el contenido del caché de validación del sistema se pueden seguir los siguientes pasos:


http://ocsp.dnie.es/



2. En la página principal seleccionar el enlace Ver y gestionar entradas del caché de respuestas OCSP del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Resp. OCSP del menú de la izquierda.

3. Aparecerá una tabla con los últimos registros incluidos en el caché de respuestas OCSP del servidor.



3.12.3 Eliminar una Entrada del Caché de Respuestas OCSP Para eliminar una entrada del caché de respuestas OCSP se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de Respuestas OCSP, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de respuestas OCSP del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Resp. OCSP del menú de la izquierda.



3.12.4 Eliminar Todo el Contenido del Caché de Respuestas OCSP Para eliminar todas las entradas contenidas en el caché se pueden seguir los siguientes pasos:

1. Acceder al Visor del Caché de Respuestas OCSP, para ello, en la página principal seleccionar el enlace Ver y gestionar entradas del caché de respuestas OCSP del grupo Tareas Relativas a la Configuración del Sistema o bien seleccionar el enlace Caché de Resp. OCSP del menú de la izquierda.


3.13 Auditoría

TrustID® Revoke Server dispone de un sistema de auditoría que permitirá al administrador conocer qué consultas y qué descargas se realizan en el sistema, quién las realiza y el resultado de las mismas. En este apartado se describe cómo configurar y visualizar la auditoría de TrustID® Revoke Server.

3.13.1 Configuración de la Auditoría Para configurar el servicio de auditoría de TrustID® Revoke Server se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Configurar parámetros de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Configuración Auditoría del menú de la izquierda.



2. Seleccionar la opción adecuada según si se desean que en la auditoría se incluyan las respuestas con estado revocado, con estado correcto, las que hayan sido resueltas en el caché del servidor o las operaciones de descarga de CRLs y respuestas OCSP.


3.13.2 Consultar el Registro de Auditoría Para ver el contenido del registro de auditoría se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Ver registro de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Registro de Auditoría del menú de la izquierda.

2. Aparecerá una tabla con los registros de auditoría incluidos en el sistema en la fecha actual.



3.13.3 Eliminar el Contenido del Registro de Auditoría Para eliminar el contenido de todas las entradas del registro de auditoría se pueden seguir los siguientes pasos:

1. En la página principal seleccionar el enlace Ver registro de auditoría del grupo Tareas Relativas a Auditoría o bien seleccionar el enlace Registro de Auditoría del menú de la izquierda.

2. Pulsar el enlace Borrar todas las entradas del registro de auditoría que se encuentra debajo del resultado de la consulta.

3.14 Configuración del proveedor Revoke Provider

El nuevo proveedor físico Revoke Provider es un proveedor de validación/descargas flexible y configurable que permite la obtención y consulta de la información de revocación correspondiente a un certificado de manera completamente personalizada.

El proveedor físico Revoke Provider soporta protocolos http, https, ldap, ldaps, ftp, ftps, file así como ocsp tanto de manera anónima como autenticada. Permite configurar tanto URLs de destino de la consulta como distintos parámetros de autenticación admitiendo tanto acceso anónimo como autenticado con usuario y contraseña o, incluso, con certificados (según protocolo).

Es posible, además, configurar y gestionar un caché tanto de CRLs como de respuestas OCSP que obtienen mejoras en el rendimiento del servicio. Más información sobre el caché en los apartados Caché de CRLs y Caché de Respuestas OCSP de este mismo documento.

3.14.1 Comportamiento de Revoke Provider en Operaciones de Descarga En operaciones de descarga, el funcionamiento por defecto (sin parámetros) del proveedor es el siguiente:



1. Obtener el contenido del OID 1.3.6.1.5.5.7.48.1 (OCSP) de la extensión Authority Info Access (AIA) del certificado.

2. Acceder al caché de respuestas OCSP e intentar obtener una respuesta OCSP válida para el certificado. Si se obtiene una respuesta válida devolverla y no continuar con el proceso.

3. Componer una petición OCSP e invocar al OCSP Responder obtenido en el paso 1.

4. Cachear y devolver la respuesta obtenida en el paso 3.

5. Si no se pudo obtener el valor del OID 1.3.6.1.5.5.7.48.1 de la extensión AIA (el valor o la extensión no existen) o se produjo un error al componer, invocar u obtener la respuesta OCSP, se intenta la obtención de las CRLs asociadas.

6. Para obtener la CRL asociada al certificado se enumeran los distintos Distribution Points incluidos en la extensión CRL Distribution Point (CDP).

7. Para cada Distribution Point:

a. Se accede al caché para intentar obtener una CRL cacheada y válida. Si se obtiene una CRL válida se salta al paso 10.

b. Si no se obtiene una CRL válida, cada uno de los Distribution Point se consideran una URL completa y accesible de manera anónima y se intenta descargar el objeto apuntado.

c. Si la descarga de un Distribution Point se realiza con éxito ya no se sigue con la descarga del siguiente Distribution Point y se trata el objeto como una CRL.

8. La CRL obtenida en el paso anterior se considera la CRL base correspondiente al certificado.

9. Una vez encontrada una CRL base se accede a la extensión Freshest CRL para intentar obtener una Delta CRL si la hubiera.

10. Si la extensión Freshest CRL tiene valor, esta incluirá una lista de Distribution Points para descargar la Delta CRL. Por tanto, se repiten el paso 7 para obtener la Delta CRL.

11. Si se pudo obtener una Base CRL y, opcionalmente, una Delta CRL se cachean y se retornan. En caso contrario se retorna un error.

3.14.2 Comportamiento de Revoke Provider en Operaciones de Validación En operaciones de validación, el funcionamiento por defecto (sin parámetros) del proveedor es el siguiente:

1. Obtiene la información de revocación correspondiente al certificado realizando una operación de descarga según los pasos especificados en el apartado anterior.

2. Si la información de revocación es una respuesta OCSP, se sigue la especificación del RFC 2560 (Online Certificate Status Protocol - OCSP) para acceder a los campos de la respuesta y componer los valores de retorno del proveedor.

3. Si la información de revocación obtenida es una CRL base o una CRL base + una CRL Delta, se sigue la especificación del RFC 3280 (Certificate and Certificate Revocation List (CRL) Profile) para acceder a los campos de la respuesta y componer los valores de retorno del proveedor.

3.14.3 Parámetros de Configuración de Revoke Provider Tal y como se ha comentado en apartados anteriores, es posible modificar el comportamiento por defecto del proveedor físico Revoke Provider creando un proveedor lógico basado en dicho proveedor físico y pasándole una cadena XML con la configuración adecuada.



Los diferentes elementos que se pueden incluir en el documento XML de configuración son los siguientes:

3.14.3.1 Sección <configuration> Es el elemento raíz de la configuración y por tanto es obligatorio, cualquier configuración de Revoke Provider debe ir entre los tags <configuration></configuration>.

3.14.3.2 Elemento <disablecache> Permite deshabilitar/habilitar el caché de CRLs/Respuestas OCSP para la regla a la que se aplica la configuración. El comportamiento por defecto es tener habilitado el cache.

Los posibles valores son:

<disablecache>true</disablecache> El caché de CRLs/OCSP estará deshabilitado.

<disablecache>false</disablecache> El caché de CRLs/OCSP estará habilitado.

3.14.3.3 Elemento <disablecrlvalidation> Permite deshabilitar/habilitar la funcionalidad de validación de CRLs del provider. Por defecto, Revoke Provider valida que la CRL descargada esté firmada con algún certificado emitido por el mismo emisor que el certificado que se está validando. Esto implica, que los certificados cuya CRL se pretenda descargar deben ser certificados de confianza en el servidor de Revoke. Este comportamiento se puede desactivar mediante la inclusión de este elemento.


<disablecrlvalidation>true</disablecrlvalidation> Deshabilitar la validación.

<disablecrlvalidation>false</disablecrlvalidation> Habilitar la validación.

3.14.3.4 Elemento <method> Fuerza la obtención de la información de revocación mediante CRLs o mediante una respuesta OCSP. Si no se añade este elemento a la configuración, el comportamiento de Revoke Provider por defecto es intentar primero obtener una respuesta OCSP y si no se consigue intentar la obtención de una CRL.


<method>ocsp</method> La verificación/descarga se realiza mediante OCSP.

<method>crl</method> La verificación/descarga se realiza mediante CRLs.

3.14.3.5 Elemento <alternateurl> Permite especificar la url que se utilizará para la obtención de las CRLs correspondientes al certificado (si el método elegido es crl) o la url del OCSP Responder (si el método elegido es ocsp). Por defecto, Revoke Provider accede al contenido de las extensiones AIA o CDP para obtener la información de revocación (véase el apartado Comportamiento de Revoke Provider en Operaciones de Descarga). Especificando un valor para el elemento <alternateurl>, Revoke Provider ignorará el contenido de estas extensiones y utilizará la url especificada.

Como ejemplo, para poder validar el certificado raíz del DNI electrónico, dado que este certificado no tiene ni AIA ni CDP, el proveedor del DNI electrónico incluido en la instalación de TrustID® Revoke Server incluye la siguiente configuración:

<alternateurl>http://ocsp.dnielectronico.es</alternateurl>



3.14.3.6 Elemento <defaultprotocol> Permite especificar el protocolo que se utilizará para la obtención de CRLs/respuestas OCSP. En algunos casos, las extensiones CDP o AIA de los certificados no incluyen en la url el protocolo que se debe usar para el acceso a la información de revocación. Mediante la inclusión del elemento <defaultprotocol> se puede configurar qué protocolo se usará para dicho acceso.

Este es el caso de los certificados emitidos por la Fábrica Nacional de Moneda y Timbre bajo la entidad emisora FNMT Clase 2 CA, de ahí que el proveedor para la validación/descargas de certificados CERES incluido en la instalación de TrustID® Revoke Server contenga la siguiente configuración:

<defaultprotocol>ldap</defaultprotocol>


<defaultprotocol>http</defaultprotocol> Usar el protocolo HTTP.

<defaultprotocol>https</defaultprotocol> Usar el protocolo HTTPS.

<defaultprotocol>ldap</defaultprotocol> Usar el protocolo LDAP.

<defaultprotocol>ldaps</defaultprotocol> Usar el protocolo LDAP sobre SSL.

<defaultprotocol>ftp</defaultprotocol> Usar el protocolo FTP.

<defaultprotocol>ftps</defaultprotocol> Usar el protocolo FTP sobre SSL.

<defaultprotocol>file</defaultprotocol> Usar el protocolo FILE.

3.14.3.7 Sección <protocols> Con el proveedor Revoke Provider, es posible configurar diversos parámetros para cada uno de los protocolos especificados. Dado que en el acceso a la información de revocación pueden estar implicados uno o más protocolos (la extensión CDP puede contener diversas URLs cada una con un protocolo distinto), en la configuración del proveedor pueden aparecer una o más configuraciones de protocolos.

La sección <protocols> es un elemento contenedor de las distintas configuraciones de protocolos. Si se añaden una o más elementos <protocol> estos siempre deberán estar dentro de la sección <protocols>.

La sección <protocols> contendrá uno o varios de los siguientes elementos:

<protocol name="http" .../> Configuración para el protocolo HTTP

<protocol name="https" .../> Configuración para el protocolo HTTPS

<protocol name="ldap" .../> Configuración para el protocolo LDAP

<protocol name="ldaps" .../> Configuración para el protocolo LDAP sobre SSL

<protocol name="ftp" .../> Configuración para el protocolo FTP

<protocol name="ftps" .../> Configuración para el protocolo FTP sobre SSL

<protocol name="file" .../> Configuración para el protocolo FILE

<protocol name="ocsp" .../> Configuración para el protocolo OCSP

3.14.3.8 Elemento <protocol> El elemento <protocol> permite especificar parámetros tanto de autenticación como de uso de proxy así como algunos parámetros específicos de cada protocolo. Este elemento siempre deberá



contener el atributo name que especificará qué protocolo se está configurando en cada elemento. El resto de atributos es opcional y su uso dependerá del protocolo en sí.

Las siguientes tablas recogen los atributos válidos y su significado para cada uno de los protocolos:



Atributo Valores Comentarios

<protocol name="http" .../>

username Nombre de usuario para establecer una conexión HTTP autenticada.

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza de

manera anónima.

password

Contraseña del usuario para establecer una conexión HTTP autenticada.

httpproxyhost Nombre del proxy para la conexión al servidor HTTP.

httpproxyport Puerto del proxy para la conexión al servidor HTTP.

httpproxyusername Usuario del proxy para la conexión al servidor HTTP.

httpproxypassword Contraseña del usuario del proxy para la conexión al servidor HTTP.

<protocol name="https" .../>

username Nombre de usuario para establecer una conexión HTTP autenticada.

Por defecto, si no se especifica un valor para el atributo username o para el atributo pkcs12file la conexión se realiza de manera anónima.

password

Contraseña del usuario para establecer una conexión HTTP autenticada.

pkcs12file

Path completo del fichero .pfx para una conexión autenticada con certificados.

Por defecto, si no se especifica un valor para el atributo username o para el atributo pkcs12file la conexión se realiza de manera anónima.




pkcs12password

Contraseña del fichero .pfx para la conexión autenticada con certificados.

httpproxyhost Nombre del proxy para la conexión al servidor HTTP.

httpproxyport Puerto del proxy para la conexión al servidor HTTP.

httpproxyusername Usuario del proxy para la conexión al servidor HTTP.

httpproxypassword Contraseña del usuario del proxy para la conexión al servidor HTTP.

<protocol name="ldap" .../>

ldapservername Nombre del servidor LDAP con el que se deberá establecer la conexión.

ldapserverport Puerto del servidor LDAP con el que se deberá establecer la conexión.

ldapcontainer

Permite especificar el Distinguished Name del contenedor LDAP a partir del cual se realizará la consulta.

El valor de ldapcontainer se concatena con el último elemento del DN especificado en la

ruta de acceso LDAP original (extraída del CDP del certificado o configurada mediante el

elemento <alternateurl>).

usessl true / false Aunque se especifique protocolo ldap, se puede forzar el uso de SSL indicando el valor true. El valor por defecto es false.

username Nombre de usuario para establecer una conexión LDAP autenticada.

Independientemente de lo que se configure en el atributo username, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.

password

Contraseña del usuario para establecer una conexión LDAP autenticada.




ldapauthenticationtype

anonymous basic negotiate digest sicily dpa msn external kerberos

Permite especificar el tipo de autenticación que se utilizará para el acceso al directorio LDAP. El valor por defecto es anonymous.

pkcs12file


Independientemente de lo que se configure en el atributo pkcs12file, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.

pkcs12password


<protocol name="ldaps" .../>

ldapservername Nombre del servidor LDAP con el que se deberá establecer la conexión.

Siempre se utilizará LDAP sobre SSL.

ldapserverport Puerto del servidor LDAP con el que se deberá establecer la conexión.

ldapcontainer

Permite especificar el Distinguished Name del contenedor LDAP a partir del cual se realizará la consulta.

El valor de ldapcontainer se concatena con el último elemento del DN especificado en la

ruta de acceso LDAP original (extraída del CDP del certificado o configurada mediante el

elemento <alternateurl>).

username Nombre de usuario para establecer una conexión LDAP autenticada

Independientemente de lo que se configure en el atributo username, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.

password

Contraseña del usuario para establecer una conexión LDAP autenticada.




ldapauthenticationtype

anonymous basic negotiate digest sicily dpa msn external kerberos

Permite especificar el tipo de autenticación que se utilizará para el acceso al directorio LDAP. El valor por defecto es anonymous.

pkcs12file


Independientemente de lo que se configure en el atributo pkcs12file, siempre se aplicará el tipo de autenticación especificada por el atributo ldapauthenticationtype.

pkcs12password


<protocol name="ftp" .../>

username Nombre de usuario para establecer una conexión FTP autenticada.

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza de manera anónima.

password

Contraseña del usuario para establecer una conexión FTP autenticada.

usessl true / false Aunque se especifique protocolo FTP, se puede forzar el uso de SSL indicando el valor true. El valor por defecto es false.

httpproxyhost Nombre del proxy para la conexión al servidor FTP.

httpproxyport Puerto del proxy para la conexión al servidor FTP.




httpproxyusername Usuario del proxy para la conexión al servidor FTP.

httpproxypassword Contraseña del usuario del proxy para la conexión al servidor FTP.

<protocol name="ftps" .../>

username Nombre de usuario para establecer una conexión FTP autenticada.

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza de manera anónima.

password

Contraseña del usuario para establecer una conexión FTP autenticada.

httpproxyhost Nombre del proxy para la conexión al servidor FTP.

httpproxyport Puerto del proxy para la conexión al servidor FTP.

httpproxyusername Usuario del proxy para la conexión al servidor FTP.

httpproxypassword Contraseña del usuario del proxy para la conexión al servidor FTP.

<protocol name="file" .../>

username

Nombre de usuario para establecer un acceso usando el esquema file:// con conexión autenticada.

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza con las credenciales del usuario que ejecuta el pool de IIS.

password

Contraseña del usuario para establecer una conexión file:// autenticada.




httpproxyhost Nombre del proxy para la conexión al servidor de ficheros.

httpproxyport Puerto del proxy para la conexión al servidor de ficheros.

httpproxyusername Usuario del proxy para la conexión al servidor de ficheros.

httpproxypassword Contraseña del usuario del proxy para la conexión al servidor de ficheros.

<protocol name="ocsp" .../>

pkcs12file

Path completo del fichero .pfx que contiene el certificado con el que se firmarán las peticiones OCSP firmadas.

Si el OCSP responder al que se va a lanzar la consulta requiere que las peticiones vayan firmadas, se puede especificar en este atributo un fichero .pfx que contenga el certificado y la clave privada asociada con la que se firmarán las peticiones. Por defecto, si no se especifica un valor para el atributo pkcs12file las peticiones OCSP se componen sin firmar.

pkcs12password Contraseña del fichero .pfx para la firma de peticiones OCSP.

includenonce true / false Indica si se desea incluir el valor aleatorio nonce definido en el protocolo OCSP. El valor por defecto es false.

httpproxyhost Nombre del proxy para la conexión al OCSP responder.

httpproxyport Puerto del proxy para la conexión al OCSP responder.

httpproxyusername Usuario del proxy para la conexión al OCSP responder.

httpproxypassword Contraseña del usuario del proxy para la conexión al OCSP responder.




username

Nombre de usuario para establecer un acceso usando el esquema file:// con conexión autenticada

Por defecto, si no se especifica un valor para el atributo username la conexión se realiza con las credenciales del usuario que ejecuta el pool de IIS.

password

Contraseña del usuario para establecer una conexión file:// autenticada

httpproxyhost Nombre del proxy para la conexión a internet

httpproxyport Puerto del proxy para la conexión a internet

httpproxyusername Usuario del proxy para la conexión a internet

httpproxypassword Contraseña del usuario del proxy para la conexión a internet



3.14.4 Otros Aspectos de Configuración de Revoke Provider A la hora de la correcta configuración del proveedor Revoke Provider es necesario tener en cuenta los siguientes aspectos:

1. Las peticiones OCSP tanto firmadas como no firmadas deben incluir el certificado emisor del certificado que se desea verificar. Para obtener este certificado emisor, Revoke Provider intenta construir la ruta de certificación. Es, por tanto, necesario que todos los certificados de dicha ruta se encuentren en los contenedores de certificados de confianza del equipo.

2. Por defecto, Revoke Provider valida que la CRL descargada esté firmada con algún certificado emitido por el mismo emisor que el certificado que se está validando. Esto implica, que los certificados emisores del certificado cuya CRL se pretenda descargar deben encontrarse en los contenedores de certificados de confianza del equipo.

3. Todos los nombres de los elementos XML de configuración deben expresarse en minúsculas puesto que las cadenas/documentos XML son case-sensitive,

3.14.5 Ejemplos de Configuración de Revoke Provider En este apartado se recogen algunos ejemplos de documentos XML de configuración de Revoke Provider para algunos escenarios comunes.

3.14.5.1 Configuración del acceso a un servidor HTTP autenticado con usuario y contraseña:

<configuration>

<method>crl</method>

<alternateurl>http://servername/myca.crl</alternateurl>

<protocols>

<protocol name="http" username="Cuenta_de_usuario"

password="Contraseña"/>

</protocols>

</configuration>

3.14.5.2 Configuración del acceso LDAP de la FNMT para certificados CERES: La configuración que se añade en la instalación por defecto para el acceso al directorio LDAP de la Fábrica Nacional de Moneda y Timbre es la que se muestra a continuación. Es importante recalcar que, para poder acceder a dicho directorio, es necesario modificar la configuración incluyendo un username y una password válidos.

<configuration>

<method>crl</method>

<defaultprotocol>ldap</defaultprotocol>

<protocols>

<protocol name="ldap" ldapservername="ldap.cert.fnmt.es"

ldapserverport="389" ldapauthenticationtype="basic"

username="CN=USUARIO_PENDIENTE_DE_CONFIGURAR"

password="CONTRASEÑA_PENDIENTE_DE_CONFIGURAR"/>

</protocols>

</configuration>

3.14.5.3 Configuración del acceso al OCSP Responder del DNI electrónico: La configuración que se añade en la instalación por defecto para las consultas al OCSP Responder del DNI electrónico es la que se muestra a continuación. Aunque los certificados de ciudadano contienen la información adecuada para que Revoke Provider pueda acceder (sin necesidad de configuración) a este OCSP responder, esto no sucede así con el certificado raíz del DNI electrónico puesto que no posee ni la extensión AIA ni la extensión CDP, de ahí que se añada esta configuración:



<configuration>

<method>ocsp</method>

<alternateurl>http://ocsp.dnie.es</alternateurl>

</configuration>

3.14.5.4 Configuración del acceso a un OCSP Responder que requiera peticiones firmadas:

<configuration>

<method>ocsp</method>

<protocols>

<protocol name="ocsp"

pkcs12file="\\MyServer\CertificateShare\SignedOCSP.pfx"

pkcs12password="Contraseña" />

</protocols>

</configuration>

3.15 Servicio de Descargas Programadas de CRLs/Respuestas OCSP

Con el objetivo de optimizar aún más el acceso a la información de revocación correspondiente a un certificado, además de los diferentes sistemas de caché explicados con anterioridad, TrustID® Revoke Server incluye un servicio que permite descargar tanto CRLs como respuestas OCSP de manera programada en momentos de bajo uso del sistema.

Con el servicio de descargas programadas, el administrador puede decidir en qué momento obtener la información de revocación de las entidades emisoras configuradas en el servidor de TrustID® Revoke Server, de forma que sólo aquellas CRLs/respuestas OCSP que no hayan sido descargadas o que hayan caducado serán obtenidas y cacheadas en el momento programado.

En las versiones anteriores de TrustID® Revoke Server esta descarga se basaba en el almacenamiento de los diferentes CDPs de los certificados, realizándose la descarga mediante el proveedor de revocación estándar de CryptoAPI de Windows (cryptnet.dll). Este proveedor tiene diversas limitaciones en cuanto a los protocolos que soporta y el acceso a servidores autenticados. A partir de la versión 2.0 de TrustID® Revoke Server, el servicio de descarga programada se basa en el almacenamiento de los certificados y en la aplicación de las reglas de descarga definidas en el servidor, beneficiándose así de la potencia y flexibilidad del proveedor Revoke Provider.

En cualquier caso, por motivos de compatibilidad con las versiones anteriores, el mecanismo de descarga basado en el CDP sigue estando soportado en la versión actual.

3.15.1 Configuración del Servicio de Descargas Programadas La configuración del servicio de descargas programadas se realiza desde la configuración de cada entidad emisora. Se pueden seguir los siguientes pasos:

1. Acceder a la Vista de Entidades Emisoras. Seleccionar en la página principal el enlace Gestionar lista de entidades emisoras de certificados del grupo Tareas Relativas a Entidades Emisoras de Certificados o bien seleccionar el enlace Gestión de Ent. Emisoras del menú de la izquierda.

2. En la lista de Entidades Emisoras seleccionar el enlace de la entidad emisora que se desea modificar.

3. En Programación Descargas de CRLs/Respuestas OCSP especificar la hora y los días de la semana en las que se debe producir la descarga de la información de revocación de los certificados de la entidad.



4. Pulsando el botón Certificados se puede ver la información de los certificados de la entidad emisora de los que se realizará la descarga programada, además de tener la posibilidad de añadir o eliminar nuevos certificados.

5. Pulsando el botón CDPs se pueden ver los paths de las CRLs que serán descargadas para la entidad emisora en cuestión, así como añadir o eliminar nuevos paths de CRLs.

6. Pulsar el botón Guardar para guardar los cambios de configuración.

3.15.2 Configuración del Servicio de Descargas Mediante CDPs Tal y como se ha explicado anteriormente, el mecanismo de descargas basado en CDPs que existía en las versiones anteriores se mantiene por motivos de compatibilidad. Para que este mecanismo funcione correctamente hay que tener en cuenta lo siguiente:

1. El servidor de TrustID® Revoke Server NO almacenará de manera automática los CDPs de los certificados que se validen. Por tanto, la provisión de esta información deberá realizarse de manera manual o por procesos externos a TrustID® Revoke Server.

2. La descarga de los diferentes CDPs NO se basa en CryptoAPI sino en Revoke Provider de manera que la descarga de las CRLs se almacenará directamente en las tablas de caché de CRLs del proveedor y no físicamente en una carpeta del servidor como hace CryptoAPI.

3. Aunque para la descarga se utilice Revoke Provider, dado que la información de entrada es un simple CDP, no será posible aplicar las reglas de descarga configuradas.

4. Se ha habilitado un nuevo mecanismo que permite realizar una configuración específica para cada emisor de certificado. Esta configuración se lleva a cabo editando el fichero %program files%\TrustID Revoke Server\RevokeSrv.exe.config y añadiendo un elemento <issuer name= ...> por cada emisor de certificados cuya configuración por defecto se desee modificar.

5. El contenido del elemento <issuer name= ...> es igual a los XML de configuración del proveedor Revoke Provider. En el fichero RevokeSrv.exe.config original hay un ejemplo de configuración para certificados CERES.

6. Esta configuración solamente es necesaria si se desea usar el mecanismo de descargas basado en CDPs. Si se va a utilizar el nuevo mecanismo basado en certificados y reglas NO es necesario modificar el fichero RevokeSrv.exe.config de manera manual.

3.16 Permisos Necesarios para Tareas Administrativas

La gestión de permisos de acceso a las tareas administrativas descansa en la configuración de ASP.NET tanto de la aplicación web de administración RevokeAdmin como de los servicios web de administración RevokeAdminWS. Por defecto, sólo los miembros de los grupos Administrators/Administradores podrán realizar tareas administrativas aunque es recomendable crear un grupo específico.

Se podrá personalizar qué usuarios pueden acceder a las tareas administrativas modificando los elementos allow y deny del fichero web.config, ubicado en el directorio raíz de cada web. En el artículo ASP.NET Authorization se describe como autorizar o denegar el acceso a una web mediante la configuración del web.config.

Si la conexión a la base de datos de las aplicaciones servidoras se produce con seguridad integrada será necesario configurar los permisos de acceso correspondientes en el servidor SQL.

http://msdn2.microsoft.com/en-us/library/wce3kxhd(vs.80).aspx



4 Resolución de Problemas

Durante el proceso de instalación de TrustID® Revoke Server, en el visor de sucesos de cada servidor se creará un log específico, denominado TrustID Revoke, en el que se irán incluyendo eventos en el caso de producirse algún problema durante la ejecución de las consulta de validación de los certificados.

4.1 Mensajes de Error más Comunes

En este apartado se muestran los mensajes de error más comunes que se pueden presentar durante el proceso de validación de certificados:

1. “Se ha producido un error en la descarga offline de la CRL. Error Code: %Error% CDP: %CDP%.”

Este mensaje se muestra cuando el servicio de descarga de CRLs no ha podido descargar la CRL indicada por el campo %CDP% probablemente por un error de conectividad entre el servidor de TrustID® Revoke y el servidor de la CRL.

Acciones: Verificar que la CRL indicada en el campo %CDP% está disponible para ser descargada y que existe conectividad desde el servidor.

2. “Se ha producido un error en la llamada al proveedor externo. Nombre del Proveedor: %Provider% Emisor: %CA% Número de Serie: %Serial% Retorno: %ReturnValue%”

Este mensaje se muestra cuando un proveedor externo retorna un error en el proceso de validación del certificado. El campo %Provider% indica el nombre del proveedor externo que retornó el error, el campo %CA% indica el emisor del certificado que se estaba verificando, el campo %Serial% indica el número de serie del certificado y el campo %ReturnValue% el valor que devolvió el proveedor externo.

Acciones: Verificar la configuración del proveedor externo. En el caso de ser un proveedor externo de CAPI que llama a un proveedor de revocación revisar también la configuración de este. Revisar los posibles log de errores dejados por el proveedor de revocación.

Verificar que el certificado está emitido por un emisor que pueda tratar el proveedor externo.

Asegurarse que el proveedor externo puede acceder a los recursos necesarios para verificar el certificado: conectividad, existencia de CRLs, permisos, etc.

Es posible que el proveedor externo necesite una conexión a las listas de revocación de certificados u OCSP Responder y esta vaya a través de un servidor Proxy. En este caso es necesario configurar la aplicación según el artículo http://support.microsoft.com/kb/318140 de la base de conocimiento de Microsoft.

http://support.microsoft.com/kb/318140



3. “Se ha producido un error al acceder a la base de datos de Revoke. Origen: %Source% Descripción del error: %Description%”

Este mensaje aparece cuando alguno de los servicios no puede realizar una operación contra la base de datos de TrustID® Revoke. El campo %Source% indica el módulo donde se produjo el error y el campo %Description% contendrá una descripción del error producido.

Acciones: Las acciones que se deben llevar a cabo dependerán del error indicado en el campo %Description% pero en general se deberá revisar la configuración de la conexión entre las aplicaciones web y la base de datos, la disponibilidad de acceso a la misma y los permisos sobre la base de datos.

4. “Se ha producido un error en la ejecución de una regla en la llamada a un proveedor externo. Id de Regla: %RuleID% Nombre de Regla: %RuleName%.”

Este mensaje aparece cuando se produce un error en la invocación a un proveedor externo. Los campos %RuleID% y %RuleName% identifican la regla de validación que se intentó ejecutar.

Acciones: Se deberá revisar la configuración del proveedor externo que interviene en la regla especificada en el mensaje de error y la disponibilidad de los mismos en el servidor.

5. “No se ha encontrado el fichero de licencia o no es válido.”

Este error se produce si no se ha instalado un fichero de licencia válido proporcionado por ElevenPaths.

Acciones: Adquirir e instalar un fichero de licencia válido según se especifica en el apartado “Instalación de los Ficheros de Licencia” de la guía de instalación.

6. "No se ha aplicado ninguna regla para el certificado %1 emitido por %2. No se cumplió ninguna condición de entrada."

Este mensaje aparece cuando, durante el procesamiento de un certificado, ninguna regla ha cumplido la condición de entrada. Los campos %Subject% e %Issuer% identifican el certificado de forma única.

Acciones: No es necesaria ninguna acción para corregir este mensaje de error, aun así, no es normal que se de este escenario, ya que el agente de Revoke solo enviará al servidor los certificados cuyas entidades emisoras estén configuradas. Cabe la posibilidad de configurar el cliente para que envíe al servidor cualquier certificado. En este caso es recomendable añadir una regla con la prioridad más baja para todos los certificados que no han sido tratados.



5 Ejemplos de Reglas de Validación

5.1 Certificados de la Fábrica Nacional de Moneda y Timbre

En la siguiente imagen se muestra cómo se configuraría una regla de validación que envíe todos los certificados cuyo emisor sea FNMT Clase 2 CA al proveedor externo que verifica los certificados contra el directorio LDAP de la Fábrica Nacional de Moneda y Timbre:

Imagen 03: Configuración de una regla de validación.

En el caso de certificaos CERES además de crear la regla se deben configurar los parámetros de conexión con el directorio LDAP de la Fábrica Nacional de Moneda y Timbre del proveedor físico de revocación CERES.

5.2 Certificados del DNI Electrónico

Los certificados del DNI Electrónico se pueden validar mediante el protocolo OCSP, consultando al OCSP responder publicado por la Dirección General de la Policía. En la siguiente imagen se muestra cómo configurar una regla de validación que consulte los certificados emitidos por la entidad emisora intermedia AC DNIE 001 de la Dirección General de la Policía:



Imagen 04: Configuración de una regla de validación que consulte certificados de la DGP.



6 Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

http://blog.elevenpaths.com/

https://www.youtube.com/user/ElevenPaths

http://vimeo.com/elevenpaths

http://www.slideshare.net/elevenpaths/



La información contenida en el presente documento es propiedad de Telefónica Digital España, S.L.U. (“TDE”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDE y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDE se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDE.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDE no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDE y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDE y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Octubre 2016

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

guía de administración de trustid revoke server

Technology