Servicio de Firma Electrónica · Servicio de Firma Electrónica Referencia: [email protected] Autor: Aragonesa de Servicios Telemáticos Fecha de creación:

Servicio de Firma Electrónica

Referencia: [email protected]

Autor: Aragonesa de Servicios Telemáticos

Fecha de creación: 27/03/2015

Última actualización: 18/05/2017

Versión: 1.3

Clasificación: Uso Público

Manual de Uso Miniapplet@Firma



Ref.: [email protected] Fecha: 18/05/2017 Versión: v1.3

Pág. 2 de 20 Entidad Pública Aragonesa de Servicios Telemáticos

www.aragon.es

Contenido

1. ALCANCE ........................................ ................................................................................................... 3

2. INTRODUCCIÓN................................................................................................................................. 4

3. REQUISITOS MÍNIMOS ..................................................................................................................... 5

3.1. ENTORNO DE EJECUCIÓN DE JAVA ........................................................................................ 5 3.2. SISTEMA OPERATIVO ................................................................................................................ 5 3.3. NAVEGADOR WEB ...................................................................................................................... 5 3.4. COMPATIBILIDAD WINDOWS 8.................................................................................................. 6 3.5. COMPATIBILIDAD CHROME 42 .................................................................................................. 6 3.6. COMPATIBILIDAD MAC OS X ..................................................................................................... 7

3.6.1. Java en versiones posteriores a la actualización de Apple 2012-006 ...................................... 7 3.6.2. Java en versiones posteriores a la actualización de Apple 2012-003 ...................................... 7 3.6.3. Mountain Lion (10.8.1 y superiores) ......................................................................................... 8

4. ADVERTENCIAS DE SEGURIDAD ...................... ............................................................................. 9

4.1. BLOQUEO COMPLEMENTO ....................................................................................................... 9 4.2. JAVA UPDATE NECESARIO ..................................................................................................... 10 4.3. CONEXIÓN AL SITIO WEB NO ES DE CONFIANZA ................................................................ 10 4.4. PUBLICADOR DEL JAVAAPPLET ............................................................................................. 11 4.5. BLOQUEO DE LA EJECUCIÓN DE COMPONENTE INSEGUROS ......................................... 12 4.6. BLOQUEO POR JUEGO DE REGLAS DE DESPLIEGUE ........................................................ 13

5. POSIBLES PROBLEMAS ............................. ................................................................................... 17

5.1. ERRORES DE CONEXIÓN ........................................................................................................ 17





www.aragon.es

1. Alcance

Este documento tiene como objeto ser una guía de cómo utilizar el componente cliente MiniApplet@Firma en el equipo de los usuarios finales así como aclarar los requerimientos y configuraciones requeridas para un adecuado funcionamiento.

Desde Aragonesa de Servicios Telemáticos se recomienda la elaboración de manuales de usuario final específicos en función del flujo y pantallas de cada aplicación para que el usuario se sienta más cómodo y mejor guiado en el proceso de firma electrónica.





www.aragon.es

2. Introducción

El MiniApplet @firma es una herramienta de firma electrónica que funciona en forma de Applet de Java. El Cliente hace uso de los certificados electrónicos y de las claves privadas asociadas a estos que estén instalados en el sistema así como de los que estén en dispositivos (tarjetas inteligentes, dispositivos USB) configurados en el mismo (como por ejemplo, el DNI Electrónico o DNIe). El Cliente de Firma, como su nombre indica, es una aplicación que se ejecuta en cliente (en el ordenador del usuario). Esto es así para evitar que la clave privada asociada a un certificado tenga que “salir” del ámbito del usuario (tarjeta, dispositivo USB o navegador) ubicado en su PC. De hecho, nunca llega a salir del navegador, el Cliente le envía los datos a firmar y éste los devuelve firmados. El MiniApplet @firma no almacena ningún tipo de información personal del usuario, ni hace uso de cookies ni ningún otro mecanismo para la gestión de datos de sesión.





www.aragon.es

3. Requisitos Mínimos

3.1. Entorno de ejecución de Java

� Java SE 6 Update 38 (1.6.0_38) o superior, en 32 bits (x86) � Java SE 7 Update 10 (1.7.0_10) o superior en 32 (x86) o 64 (x64/AMD64) Bits � Java SE 8 (1.8.0.0 ) o superior en 32 (x86) o 64 (x64/AMD64) Bits

Se recomienda usar una versión de java 1.8 a partir de la versión 1.5 de miniapplet, actualmente se está instalando la 1.8.0_59 en los equipos corporativos

3.2. Sistema operativo

� Windows XP SP3, Vista SP2, 7 SP1, 8 y 10, en 32 (x86) o 64 (x64) bits � Windows Server 2003 R2 SP2 o superior, en 32 (x86) o 64 (x64) bits � Linux 2.6 o superior (soporte prestado para Ubuntu y Guadalinex) , en 32 (x86) o 64

(x64/AMD64) bits � Apple OS X Yosemite (10.10.5 o superior) o El Capitán (10.11.1).

3.3. Navegador Web

� Mozilla Firefox 4.0 o superior (En Windows únicamente se soporta Firefox en 32 bits), se

recomienda usar versión superiores a la 49 pero no mayores que la 52 , a partir de esta versión ya se ha dejado de dar soporte a applets y deberá usarse Autofirma.

� Google Chrome versiones de la 15 a la 41.

� Apple Safari 6.2 o superior � Microsoft Internet Explorer 8 o superior (se recomienda usar siempre versiones de 32

bits).

Las versiones 8 y 9 de 64bits de Internet Explorer requieren que se tenga una versión de Java de 64 bits. Sin embargo, Internet Explorer 10 y superiores, independientemente de la arquitectura del navegador, siempre utilizan Java 32 bits.

� Microsoft Edge 20 o superior. Es necesario tener previamente instalado el programa

AutoFirma en el sistema del usuario.

Nota para usuarios de Firefox 9 o superior y Window s XP o Windows Server 2003





www.aragon.es

La carga del almacén de claves y certificados de Firefox 49 o superior por parte del MiniApplet @firma necesita que el sistema tenga instalado el entorno de ejecución redistribuible de Microsoft Visual C++ 2005.

Si no consigue acceder a sus certificados y claves privadas desde el MiniApplet @firma, necesitará descargarlo e instalarlo manualmente.

Este puede descargarse de:

• Windows XP y Windows Server 2003 en arquitectura x86:

http://www.microsoft.com/download/en/details.aspx?id=3387

• Windows XP y Windows Server 2003 en arquitectura x64:

http://www.microsoft.com/download/en/details.aspx?id=21254

El proceso de instalación puede requerir permisos de administrador.

Nota para usuarios de Microsoft Edge: Microsoft Edge

No soporta la ejecución de Applets de Java, por lo que los usuarios necesitarán tener preinstalado AutoFirma para ejecutar las operaciones de firma desde este navegador. Adicionalmente, no se soporta la comunicación a través de sockets

entre AutoFirma y Microsoft Edge, por lo que los despliegues del MiniApplet deberán configurar un servidor intermedio para dar soporte a este navegador.

3.4. Compatibilidad Windows 8

El componente no es compatible con Internet Explorer 10 y superiores en su versión Metro, y debe ser ejecutado con la versión de escritorio de Internet Explorer.

Para automatizar en cierta manera el cambio de Internet Explorer desde Metro hasta el escritorio clásico de Windows 8 se debe incluir la siguiente meta-información en la cabecera de la página HTML:

<meta http-equiv="X-UA-Compatible" content="requiresActiveX=true"/>

Puede encontrar más información sobre complementos de navegador (plugins) en Internet Explorer sobre Metro en Windows 8 en:

http://msdn.microsoft.com/en-us/library/ie/hh968248%28v=vs.85%29.asp

3.5. Compatibilidad Chrome 42

A partir de la versión 42 del Navegador Chrome es necesario activar el soporte NPAPI para plugins de este tipo , para ello deberá seguir las siguientes instrucciones:

En la barra de URL, introduzca:





www.aragon.es

1. chrome://flags/#enable-npapi

2. Haga clic en el enlace Activar para acceder a la opción de configuración Activar NPAPI.

3. Haga clic en el botón Volver a iniciar que ahora aparece en la parte inferior de la página de configuración.

La información completa la pueden revisar en:

https://www.java.com/es/download/faq/chrome.xml

En la última versión de Chrome se ha desactivado es ta opción, así que desde el soporte del ministerio recomiendan lo siguiente:

Google Chrome versiones de la 15 a la 41. A partir de, Chrome 41, es necesario tener previamente instalado el programa AutoFirma en el sistema del usuario

3.6. Compatibilidad Mac OS X

3.6.1. Java en versiones posteriores a la actualiza ción de Apple 2012-006

La actualización 2012-006 de Apple Java para OS X deshabilita por completo la ejecución de applets de Java y aplicaciones Java WebStart en navegadores Web, introduciendo una incompatibilidad total con el Cliente @firma. Puede solventar este inconveniente de dos formas alternativas: 1. Volviendo a habilitar manualmente el soporte de applets de Java y aplicaciones Java WebStart siguiendo las instrucciones descritas en la siguiente página Web: http://support.apple.com/kb/HT5559 2. Instalando Oracle JRE 7 para Mac OS X. Es importante tener en cuenta que Oracle JRE 7 es incompatible con las versiones de 32 bits del navegador Web Google Chrome (las únicas actualmente disponibles)

3.6.2. Java en versiones posteriores a la actualiza ción de Apple 2012-003

Por defecto, tras instalar la actualización de Java 2012-003 de Apple, Mac OS X no permite la ejecución de applets o aplicaciones Java Web Start, lo cual provoca que el MiniApplet @firma no funcione. Para habilitar los applets de Java y las aplicaciones Web Start en Mac OS X es necesario indicarlo desde el panel de “Preferencias de Java” dentro de las Preferencias generales de Mac OS X y marcar la casilla “Activar módulo de Applet y aplicaciones Web Start”. Como medida de seguridad, si el usuario no ejecuta applets de Java por un periodo de tiempo prolongado, Mac OS X deshabilita automáticamente la ejecución de applets y aplicaciones Java Web Start, por lo que será necesario comprobar que esta ejecución está permitida antes





www.aragon.es

de iniciar el MiniApplet Cliente @firma, independientemente de si esta ejecución ya fue habilitada anteriormente.

3.6.3. Mountain Lion (10.8.1 y superiores)

Mac OS X Mountain Lion introduce, como medida de seguridad una restricción a la ejecución de aplicaciones descargadas a través de Internet, como son los applets de Java. Por defecto, Mac OS X no permite esta ejecución a menos las aplicaciones se hayan descargado a través de la Apple Mac App Store (o eventualmente que el desarrollador que firma la aplicación esté autorizado por la propia Apple). Para permitir la ejecución del applet @firma descargado desde una página Web normal, es necesario indicarlo mediante la opción de Seguridad y Privacidad (dentro de Preferencias) de Mac OS X marcando la opción “Permitir aplicaciones descargadas de: Cualquier sitio”.





www.aragon.es

4. Advertencias de seguridad

A continuación vamos a mostrar una serie de mensaje o advertencias que se puede mostrar en el proceso de ejecución del componente MiniApplet @Firma.

NOTA: Indicar que los contextos que se muestran en las imágenes son genéricos y puede cambiar según la aplicación a la que se invoque.

4.1. Bloqueo Complemento

Al realizar la primera ejecución de la aplicación que cargue nuestro componente MiniApplet de @Firma es posible que nos aparezca un mensaje en la parte superior de la pantalla como el siguiente bloqueando el complemento de Java necesario para la ejecución del componente:

Deberá de hacer Clic en la parte finalizar y pulsar en ejecutar complemento

Una vez pulsemos nos mostrara la siguiente pantalla y pulsaremos Ejecutar





www.aragon.es

4.2. Java Update Necesario

Se pueden mostrar mensajes de este tipo si la versión de java es antigua:

Una vez pasado este punto si no tenemos la última versión Java instalada nos mostrara un mensaje similar a este donde indica que su versión Java no es segura, podemos pulsar en más tarde y marcar el check de abajo para que no nos vuelva a mostrar el mensaje

No es necesario tener la última versión de Java para trabajar con el componente.

4.3. Conexión al sitio web no es de confianza

En versiones antiguas de java se puede mostrar la siguiente advertencia de seguridad





www.aragon.es

Esto indica que debemos confiar en estos sitios web. Para eliminar estas advertencias podemos configurar desde nuestro navegador los sitios web de Gobierno de Aragón (aragon.es) como sitios de confianza desde Herramientas � Seguridad � Sitios de Confianza y al pulsar en sitios deberíamos ver algo similar a:

4.4. Publicador del JavaApplet

Como se puede ver en la imagen el Publicador aparece como FIRMA DE CODIGO DE LA D.G de MODERNIZACION … este mensaje es informativo para asegurarnos que el componente está publicado por una entidad de confianza.





www.aragon.es

Posteriormente nos mostrara el siguiente pop-up para instalar en nuestro almacén de la jvm una serie de certificados necesarios para que la conexión sea de confianza.

Una vez importados se pueden ver en Panel de Control � Java � Pestaña Seguridad. En la opción ‘Gestionar Certificados…’, elegir el tipo de certificados como ‘Certificados de Confianza’ y donde aparecerán los tres certificados anteriores instalados correctamente.

4.5. Bloqueo de la ejecución de componente inseguro s

Podría mostrar un mensaje como este al que deberemos de pulsar que NO deseamos bloquear la ejecución del componente

Otro mensaje que puede mostrarse y donde deberemos pulsar permitir podría ser el siguiente:





www.aragon.es

4.6. Bloqueo por juego de reglas de despliegue

Por último se podría mostrar un mensaje de este tipo que bloquea la ejecución de la aplicación, primero muestra un mensaje informativo

Y luego indica que no se puede ejecutar





www.aragon.es

Para solucionar este problema hay que revisar la configuración de java , en la pestaña de Seguridad, Editar lista de sitios…





www.aragon.es

Si solo tenemos un dominio (https://aplicaciones.aragon.es o https://servicios3.aragon.es) es cuando obtenemos este error, para solucionarlo tenemos dos opciones:

1. Eliminar todas las urls que tengamos configuradas





www.aragon.es

2. Añadir además de los dominios de nuestras aplicación ya sea aplicaciones.aragon.es o servicios3.aragon.es el de carga del miniapplet (https://firmaelectronica.aragon.es)





www.aragon.es

5. Posibles Problemas

En las primeras ejecuciones de las aplicaciones que funcionan con el MiniApplet de @Firma es posible que obtengamos algún error por problemas a la hora de invocar a la direcciones donde está alojado el componente, para ello a continuación os mostramos algunas configuraciones útiles para solucionar este problema.

5.1. Errores de conexión

Si al ejecutar la aplicación vemos que no se carga el componente o al pulsar en los botones de conectar o firmas obtenemos algún error, en primer lugar debemos de habilitar la consola Java para detectar el posible problema:

Windows XP (Panel de Control – Java)

Windows 7 o Superior (Panel de Control – Programas – Java)

Pulsamos en la pestaña Avanzado y debemos de tener marcado lo siguiente:

Una vez activada la consola de java veremos dentro mensaje de este tipo:

javax.net.ssl.SSLHandshakeException : sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

at sun.security.ssl.Alerts.getSSLException(Unknown Source)

at sun.security.ssl.SSLSocketImpl.fatal(Unknown Source)

at sun.security.ssl.Handshaker.fatalSE(Unknown Source)

at sun.security.ssl.Handshaker.fatalSE(Unknown Source)

El navegador nos mostrará un mensaje de error del tipo:





www.aragon.es

Para resolver estos problemas debemos de activar la opción Utilizar formato ClientHello compatible con SSL 2.0, desde la misma ventana donde hemos activado la consola de Java





www.aragon.es

Además es posible que según la versión de java instalada sea necesario incluir el certificado *.ARAGON.ES como Tipo de Certificado Sitio Seguro en la Seguridad del Panel de Control de Java.





www.aragon.es

Una vez realizado el cambio cerramos el navegador y volvemos a entrar. Si no se dispone del certificado, se puede descargar invocando a la aplicación:

https://firmaelectronica.aragon.es/efirmaTest/docsfirma/Certificados.zip

Documents

Servicio de Firma Electrónica · Servicio de Firma Electrónica Referencia: [email protected] Autor: Aragonesa de Servicios Telemáticos Fecha de creación: