Guía de Administración de SealSign CKC

ElevenPaths, innovación radical y disruptiva en seguridad

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 2 de 23

Contenidos

1 Introducción ............................................................................................................... 3

2 Tareas de Configuración .............................................................................................. 4

2.1 Configuración de certificados en el servidor de SealSign DSS .................................................. 4

2.2 Configuración de políticas de acceso de Central Key Control (Opcional, solo para Central Key Control cliente) ................................................................................................................................. 4

2.2.1 Apertura de la plantilla administrativa ....................................................................................... 4

2.2.2 Carga de plantillas administrativas ............................................................................................. 5

2.2.3 Configuración de la conexión con el servidor de SealSign DSS (A nivel de Máquina) ................ 5

2.2.4 Configuración de la conexión con el servidor de SealSign DSS (A nivel de Usuario) .................. 9

2.2.5 Configuración de otros parámetros de SealSign DSS (A nivel de Máquina) ............................. 12

2.2.6 Configuración de otros parámetros de SealSign DSS (A nivel de Usuario) ............................... 16

2.2.7 Configuración de los parámetros de Autoimportación de Certificados (A nivel de Máquina) . 17

2.2.8 Configuración de los parámetros de Autoimportación de Certificados (A nivel de Usuario) .. 18

3 Resolución de problemas ........................................................................................... 21

4 Recursos .................................................................................................................... 22


1 Introducción

SealSign Central Key Control (CKC) es un producto software desarrollado íntegramente por ElevenPaths dirigido al control del uso de los certificados digitales de manera centralizada en una organización. CKC se basa en la gestión de los distintos almacenes de certificados soportados por la plataforma de firma electrónica SealSign Digital Signature Services.

Una de las problemáticas en los procesos de firma electrónica es la gestión de los certificados y claves usados para la firma de documentos. Para resolver esto, SealSign DSS proporciona un almacén de certificados y claves asociados a unas reglas de uso dentro de su base de datos de configuración. Además, tanto en los procesos de firma en servidor como en los procesos de firma distribuida en cliente, SealSign DSS es capaz de usar certificados guardados en almacenes externos, tanto en los almacenes de certificados de Windows como en almacenes accesibles a través de módulos PKCS#11.

Central Key Control permite el uso de los certificados almacenados en el servidor de SealSign DSS desde los puestos cliente de manera absolutamente transparente al usuario, mediante un motor basado en reglas de uso con posibilidad de filtrado, como si estos certificados estuvieran almacenados localmente en cada equipo.

Además, CKC tiene la posibilidad de aumentar la seguridad en el acceso a los certificados añadiendo un factor extra de autenticación a la hora del uso de la clave privada de los certificados. El soporte extendido de autenticación se basa en el uso de la plataforma de autenticación IDOne Professional que es capaz de soportar tanto tarjetas chip, con y sin contacto, como diversos factores biométricos como el uso de huella dactilar.

Por último, Central Key Control permite configurar tanto una lista de procesos, equipos cliente, usuarios autorizados como una lista de URLs en las que se permitirá el uso de las claves privadas asociadas a los certificados de la plataforma.


2 Tareas de Configuración

La información acerca de las licencias está detallada en el documento “SealSign – Licencias.pdf".

A la hora de usar Central Key Control en una organización el administrador deberá realizar dos tareas fundamentales:

Configuración de certificados y/o reglas de uso en el servidor de SealSign DSS.

Configuración de las políticas del cliente CKC (Opcional)

2.1 Configuración de certificados en el servidor de SealSign DSS

El sistema de almacenamiento y gestión de certificados y permisos de Central Key Control se basa en las funcionalidades de certificados de servidor de SealSign DSS. Antes de que un certificado pueda ser usado o compartido a través de Central Key Control, el administrador de la plataforma deberá añadir el certificado o su referencia en el servidor de SealSign DSS.

En el apartado Gestión de Claves Centralizadas de la guía de administración de SealSign DSS se describe de manera detallada las tareas que se deberán llevar a cabo para administrar el acceso centralizado a los certificados.

2.2 Configuración de políticas de acceso de Central Key Control (Opcional, solo para Central Key Control cliente)

Para la aplicación y configuración de los parámetros de acceso a certificados de CKC mediante el software cliente de Central Key Control, el instalable de Central Key Control copia una plantilla administrativa de Windows que permite al administrador realizar esta configuración. Además, en aquellos entornos en los que no sea posible o conveniente usar plantillas administrativas es posible configurar cualquiera de estos parámetros mediante entradas en el registro del sistema.

La plantilla administrativa para la configuración de CKC se denomina KeyControl.adm y se copia en la carpeta %Program files%\Smart Access S.L.\Central Key Control de los puestos cliente.

2.2.1 Apertura de la plantilla administrativa Para abrir la plantilla administrativa en el editor de políticas de grupo puede seguir los siguientes pasos:

1. Abrir el Editor de Políticas de Grupo. El editor de políticas de grupo se puede abrir desde múltiples localizaciones dependiendo de dónde se quieren aplicar los cambios. Por ejemplo la línea de comandos (gpedit.msc) para las políticas locales a la máquina, el Administrador de Usuarios y Equipos de Directorio Activo o mediante el complemento de MMC Editor de Políticas de Grupo.

2. Desplegar el árbol de políticas de la izquierda hasta llegar a la rama en cuestión:

a. Configuración del Equipo\Plantillas Administrativas\SmartAccess\Central Key Control Parameters y Configuración de Usuario\Plantillas Administrativas \SmartAccess\ Central Key Control Parameters en Windows XP y Windows 2003.

http://es.slideshare.net/elevenpaths/104-seal-sign-licencias

http://es.slideshare.net/elevenpaths/104-seal-sign-licencias


b. Configuración del Equipo\Plantillas Administrativas\Plantillas Administrativas Clásicas (ADM)\SmartAccess\Central Key Control Parameters y Configuración de Usuario\Plantillas Administrativas\ Plantillas Administrativas Clásicas (ADM)\ SmartAccess\Central Key Control Parameters en Windows Vista y superiores.

2.2.2 Carga de plantillas administrativas Si la plantilla administrativa no estuviera precargada en el editor de políticas de grupo, deberá cargarse mediante los siguientes pasos:

1. Abrir el Editor de Políticas de Grupo. El editor de políticas de grupo se puede abrir desde múltiples localizaciones dependiendo de dónde se quieren aplicar los cambios. Por ejemplo la línea de comandos (gpedit.msc) para las políticas locales a la máquina, el Administrador de Usuarios y Equipos de Directorio Activo o mediante el complemento de MMC Editor de Políticas de Grupo.

2. Hacer clic con el botón de la derecha sobre el nodo Plantillas Administrativas que se encuentra debajo de Configuración de Equipo, y seleccionar Añadir/Quitar Plantillas.

3. Pulsar el botón Añadir.

4. Seleccionar el fichero de plantilla (%Program files%\Smart Access S.L.\Central Key Control\ KeyControl.adm) y pulsar Abrir.

5. Pulsar el botón Cerrar.

6. La plantilla para la configuración de Central Key Control estará disponible en el editor de bajo las ramas:

a. Configuración del Equipo\Plantillas Administrativas\SmartAccess\Central Key Control Parameters y Configuración de Usuario\Plantillas Administrativas \SmartAccess\ Central Key Control Parameters en Windows XP y Windows 2003.

b. Configuración del Equipo\Plantillas Administrativas\Plantillas Administrativas Clásicas (ADM)\SmartAccess\Central Key Control Parameters y Configuración de Usuario\Plantillas Administrativas\ Plantillas Administrativas Clásicas (ADM)\ SmartAccess\Central Key Control Parameters en Windows Vista y superiores.

Más información sobre la carga y uso de plantillas administrativas en el artículo de la base de datos de conocimiento de Microsoft http://support.microsoft.com/kb/816662/en.

2.2.3 Configuración de la conexión con el servidor de SealSign DSS (A nivel de Máquina)

2.2.3.1 URL del Servicio Web de Central Key Control Define la URL para el acceso al servicio web de Central Key Control, su valor será similar al siguiente: http://sealsignserver/SealSignDSSKeyControl

SealSign Key Control Service URL

Plantilla KeyControl.adm

Configuración Configure SealSign Connection Parameters

Clave de Registro HKLM\Software\Policies\SmartAccess\KeyControl\SealSignProvider

Nombre de la Propiedad SealSignKCServiceURL

Tipo de la Propiedad REG_SZ

http://support.microsoft.com/kb/816662/en


2.2.3.2 URL del Servicio Web de Administración de SealSign Define la URL para el acceso al servicio web de Administración de SealSign, su valor será similar al siguiente: http://sealsignserver/SealSignDSSService.

SealSign DSS Administration Service URL




Nombre de la Propiedad SealSignDSSAdminServiceURL


2.2.3.3 Cuenta de usuario para conexión al servidor de SealSign Por defecto, la conexión con los servicios web de SealSign y de CKC se realizará con la cuenta del usuario actual. Para aquellos entornos en los que se desee o sea necesario utilizar una cuenta distinta, esta deberá ser configurada mediante esta política:

SealSign UserName




Nombre de la Propiedad SealSignUserName


2.2.3.4 Contraseña de usuario para conexión al servidor de SealSign Por defecto, la conexión con los servicios web de SealSign y de CKC se realizará con la cuenta del usuario actual. Esta política permite la configuración de la contraseña del usuario alternativo para el acceso al servidor:

SealSign Password




Nombre de la Propiedad SealSignPassword



En una plantilla administrativa, la contraseña se volcará al registro en texto claro, por ello se ha desarrollado una herramienta llamada “GenerateAdmPassword” que está en el directorio de instalación de SealSign CKC Cliente. Esta herramienta permite generar un bloque cifrado a partir de una clave en texto plano. El aspecto de la herramienta es el que

se muestra en la siguiente imagen. Lo que habría que poner en el campo “SealSign Password” de la plantilla administrativa sería el contenido del campo de texto “Password Cifrada”.

2.2.3.5 Dominio de usuario para conexión al servidor de SealSign Por defecto, la conexión con los servicios web de SealSign y de CKC se realizará con la cuenta del usuario actual. Esta política permite la configuración del dominio del usuario alternativo para el acceso al servidor:

SealSign Domain




Nombre de la Propiedad SealSignDomain


2.2.3.6 Timeout de caché para la contraseña de certificados de SealSign (segundos) El valor recomendado está entre 30 y 60 segundos. Este caché, puesto que las operaciones criptográficas en plataforma Microsoft no son atómicas, es decir, no se realizan en una única operación, sino que se dividen en varias operaciones independientes, permite traspasar la contraseña del certificado centralizado entre llamadas al servidor de SealSign sin tener que solicitarla continuamente al usuario. Esta política solo aplica cuando se da de alta un certificado en SealSignDSS y se configura para que SealSign no recuerde su contraseña.

Password Caché Time (segundos)




Nombre de la Propiedad PasswordCacheTime



2.2.3.7 Timeout de apertura de conexión al servidor de SealSign Esta política permite la configuración del timeout de apertura de conexión al servidor de SealSign:

SealSign Open Timeout




Nombre de la Propiedad OpenTimeout

Tipo de la Propiedad REG_DWORD

Valor por Defecto 5 segundos

2.2.3.8 Timeout de envío al servidor de SealSign Esta política permite la configuración del timeout de envío al servidor de SealSign:

SealSign Send Timeout




Nombre de la Propiedad SendTimeout



2.2.3.9 Timeout de recepción al servidor de SealSign Esta política permite la configuración del timeout de recepción de respuestas desde el servidor de SealSign:

SealSign Receive Timeout




Nombre de la Propiedad ReceiveTimeout



La configuración de los parámetros de conexión se pueden establecer a nivel de maquina o a nivel de usuario. Si se establecen los dos, los parámetros con mayor preferencia son los

configurados a nivel de usuario.


2.2.4 Configuración de la conexión con el servidor de SealSign DSS (A nivel de Usuario)

2.2.4.1 URL del Servicio Web de Central Key Control Define la URL para el acceso al servicio web de Central Key Control, su valor será similar al siguiente: http://sealsignserver/SealSignDSSKeyControl

SealSign Key Control Service URL



Clave de Registro HKCU\Software\Policies\SmartAccess\KeyControl\SealSignProvider

Nombre de la Propiedad SealSignKCServiceURL


2.2.4.2 URL del Servicio Web de Administración de SealSign Define la URL para el acceso al servicio web de Administración de SealSign, su valor será similar al siguiente: http://sealsignserver/SealSignDSSService

SealSign DSS Administration Service URL




Nombre de la Propiedad SealSignDSSAdminServiceURL


2.2.4.3 Cuenta de Usuario para conexión al servidor de SealSign Por defecto, la conexión con los servicios web de SealSign y de CKC se realizará con la cuenta del usuario actual. Para aquellos entornos en los que se desee o sea necesario utilizar una cuenta distinta, esta deberá ser configurada mediante esta política:

SealSign UserName




Nombre de la Propiedad SealSignUserName



2.2.4.4 Contraseña de Usuario para conexión al servidor de SealSign Por defecto, la conexión con los servicios web de SealSign y de CKC se realizará con la cuenta del usuario actual. Esta política permite la configuración de la contraseña del usuario alternativo para el acceso al servidor:

SealSign Password




Nombre de la Propiedad SealSignPassword


En una plantilla administrativa, la contraseña se volcará al registro en texto claro, por ello se ha desarrollado una herramienta llamada “GenerateAdmPassword” que está en el directorio de instalación de SealSign CKC Cliente. Esta herramienta permite generar un bloque cifrado a partir de una clave en texto plano. El aspecto de la herramienta es el que

se muestra en la siguiente imagen. Lo que habría que poner en el campo “SealSign Password” de la plantilla administrativa sería el contenido del campo de texto “Password Cifrada”.

2.2.4.5 Dominio de Usuario para conexión al servidor de SealSign Por defecto, la conexión con los servicios web de SealSign y de CKC se realizará con la cuenta del usuario actual. Esta política permite la configuración del dominio del usuario alternativo para el acceso al servidor:

SealSign Domain




Nombre de la Propiedad SealSignDomain



2.2.4.6 Timeout de caché para la contraseña de certificados de SealSign (segundos) El valor recomendado esta entre 30 y 60 segundos. Este caché, puesto que las operaciones criptográficas en plataforma Microsoft no son atómicas, es decir, no se realizan en una única operación, sino que se dividen en varias operaciones independientes, permite traspasar la contraseña del certificado centralizado entre llamadas al servidor de SealSign sin tener que solicitarla continuamente al usuario. Esta política solo aplica cuando se da de alta un certificado en SealSignDSS y se configura para que SealSign no recuerde su contraseña.

Password Cache Time (segundos)




Nombre de la Propiedad PasswordCacheTime


2.2.4.7 Timeout de apertura de conexión al servidor de SealSign Esta política permite la configuración del timeout de apertura de conexión al servidor de SealSign:

SealSign Open Timeout




Nombre de la Propiedad OpenTimeout



2.2.4.8 Timeout de envío al servidor de SealSign Esta política permite la configuración del timeout de envío al servidor de SealSign:

SealSign Send Timeout




Nombre de la Propiedad SendTimeout




2.2.4.9 Timeout de recepción al servidor de SealSign Esta política permite la configuración del timeout de recepción de respuestas desde el servidor de SealSign:

SealSign Receive Timeout




Nombre de la Propiedad ReceiveTimeout



La configuración de los parámetros de conexión se pueden establecer a nivel de maquina o a nivel de usuario. Si se establecen los dos, los parámetros con mayor preferencia son los

configurados a nivel de usuario.

2.2.5 Configuración de otros parámetros de SealSign DSS (A nivel de Máquina)

2.2.5.1 Tiempo de replicación de los certificados CKC Este tiempo determina el intervalo de actualización que utiliza el agente CKC para hacer operaciones de réplica de certificados al cliente.

Replication Delay



Clave de Registro HKLM\Software\Policies\SmartAccess\KeyControl

Nombre de la Propiedad ReplicationDelay


Valor por Defecto 5 minutos

2.2.5.2 Retraso antes del Shutdown Cuando el cliente de Central Key Control está configurado para ejecutarse bajo demanda (política Execute KeyControlSrv at user session logon a 0), esta política establece cuanto tiempo pasa hasta que el proceso muere después de la última operación efectuada.

Shutdown Delay (minutos)


Configuración Configure Central Key Control Parameters



Shutdown Delay (minutos)

Nombre de la Propiedad ShutdownDelay


Valor por Defecto 1440 minutos

2.2.5.3 Retraso antes del Shutdown debido a errores de registro de clases COM Por defecto, el ejecutable encargado en cliente de realizar todas las operaciones contra el servidor de SealSign es un componente COM OOP. Cuando el cliente de Central Key Control está configurado para ejecutarse bajo demanda (política Execute KeyControlSrv at user session logon a 0), esta política establece cuanto tiempo pasa hasta que el proceso muere después del último intento de registro de las clases COM que contiene.

Shutdown Delay in COM Classes register errors (segundos)




Nombre de la Propiedad ShutdownDelayRegisterCOMError



2.2.5.4 Ejecutar KeyControlSrv en el inicio de Sesión Por defecto, el ejecutable encargado en cliente de realizar todas las operaciones contra el servidor de SealSign es un componente COM OOP. Este componente COM se ejecuta bajo demanda, por tanto, cuando finaliza sus tareas, el proceso muere hasta que sea requerido de nuevo.

En ocasiones, se pueden detectar fallos de COM en los puestos cliente que pueden derivar en un mal funcionamiento del Cliente de Central Key Control. Para estos casos, para mitigar los problemas de COM que impactan en el cliente de Central Key Control, se puede activar esta política.

Execute KeyControlSrv at user session logon




Nombre de la Propiedad ExecuteSrvInInitSession


Valor por Defecto 0


2.2.5.5 Preguntar por credenciales de Usuario Esta política solo aplica en caso de integrar el cliente de Central Key Control con el producto de SmartAccess IDOne Professional. Si se activa esta política, se añade un factor de protección (biométrico o smartcard) extra al uso de la clave privada del certificado centralizado en la plataforma SealSign. Como requisito obligatorio es tener instalado el Software IDOne Professional en el puesto cliente.

Ask for user credential




Nombre de la Propiedad AskForUserCredential


Valor por Defecto 0

2.2.5.6 Timeout para el caché de Credenciales Esta política solo aplica en caso de integrar el cliente de Central Key Control con el producto de SmartAccess IDOne Professional. Si se activa esta política, se añade un factor de protección (biométrico o smartcard) extra al uso de la clave privada del certificado centralizado en la plataforma SealSign. Como requisito obligatorio es tener instalado el Software IDOne Professional en el puesto cliente. Este caché, puesto que las operaciones criptográficas en plataforma Microsoft no son atómicas, es decir, no se realizan en una única operación, sino que se dividen en varias operaciones independientes, permite traspasar la credencial de IDOne asociada al usuario entre llamadas al servidor de SealSign sin tener que solicitarla continuamente al usuario.

Credential Cache Time (segundos)




Nombre de la Propiedad CredentialCacheTime


Valor por Defecto 30

2.2.5.7 Timeout para el caché de URL Este caché, puesto que las operaciones criptográficas en plataforma Microsoft no son atómicas, es decir, no se realizan en una única operación, sino que se dividen en varias operaciones independientes, permite traspasar la URL del navegador asociada a la operación criptográfica entre llamadas al servidor de SealSign sin tener que solicitar una nueva autenticación al usuario.

Esta política solo aplica en el caso de acceso a la clave privada centralizada mediante el navegador IE de Microsoft y cuando haya asociada a dicha clave privada una regla de uso con

un filtro por URL.


Url Cache Time (segundos)




Nombre de la Propiedad UrlCacheTime


Valor por Defecto 30

2.2.5.8 Borrar claves privadas huérfanas Por defecto en las plataformas Windows de Microsoft, cuando se borra un certificado del Store de certificados, no se borra su clave privada asociada. Esto es así por diseño. Para mitigar este posible agujero de seguridad se puede activar esta política, que en esencia realiza un purgado de las claves privadas huérfanas en el store del usuario.

Esta clave es para uso experimental. Si una vez aplicada se comprueba que hay algún comportamiento extraño en relación con los certificados, por ejemplo, que haya desaparecido

algún certificado del Store del usuario, póngase en contacto con el Soporte de SmartAccess.

Delete orphaned private keys




Nombre de la Propiedad DeleteOrphanedPrivateKeys


Valor por Defecto 0

2.2.5.9 Habilitar el inventariado local de certificados El cliente de Central Key Control tiene la funcionalidad de reportar al servidor de SealSign la información sobre los certificados instalados en el Store del usuario (certificados locales, no centralizados). Para activar esta funcionalidad únicamente hay que activar esta política.

Enable local certificates inventory




Nombre de la Propiedad EnableCertificateInventory


Valor por Defecto 0


La configuración de los parámetros generales se pueden establecer a nivel de maquina o a nivel de usuario. Si se establecen los dos, los parámetros con mayor preferencia son los

configurados a nivel de máquina.

2.2.6 Configuración de otros parámetros de SealSign DSS (A nivel de Usuario)

2.2.6.1 Preguntar por credenciales de Usuario Esta política solo aplica en caso de integrar el cliente de Central Key Control con el producto de SmartAccess IDOne Professional. Si se activa esta política, se añade un factor de protección (biométrico o smartcard) extra al uso de la clave privada del certificado centralizado en la plataforma SealSign. Como requisito obligatorio es tener instalado el Software IDOne Professional en el puesto cliente.

Ask for user credential



Clave de Registro HKCU\Software\Policies\SmartAccess\KeyControl

Nombre de la Propiedad AskForUserCredential


Valor por Defecto 0

2.2.6.2 Borrar claves privadas huérfanas Por defecto en las plataformas Windows de Microsoft, cuando se borra un certificado del Store de certificados, no se borra su clave privada asociada. Esto es así por diseño. Para mitigar este posible agujero de seguridad se puede activar esta política, que en esencia realiza un purgado de las claves privadas huérfanas en el store del usuario.

Esta clave es para uso experimental. Si una vez aplicada se comprueba que hay algún comportamiento extraño en relación con los certificados, por ejemplo, que haya desaparecido

algún certificado del Store del usuario, póngase en contacto con el Soporte de SmartAccess.

Delete orphaned private keys




Nombre de la Propiedad DeleteOrphanedPrivateKeys


Valor por Defecto 0


2.2.6.3 Habilitar el inventariado local de certificados El cliente de Central Key Control tiene la funcionalidad de reportar al servidor de SealSign la información sobre los certificados instalados en el Store del usuario (certificados locales, no centralizados). Para activar esta funcionalidad únicamente hay que activar esta política.

Enable local certificates inventory




Nombre de la Propiedad EnableCertificateInventory


Valor por Defecto 0

La configuración de los parámetros generales se puede establecer a nivel de maquina o a nivel de usuario. Si se establecen los dos, los parámetros con mayor preferencia son los

configurados a nivel de máquina.

2.2.7 Configuración de los parámetros de Autoimportación de Certificados (A nivel de Máquina)

2.2.7.1 Habilitar la autoimportación de certificados El cliente de Central Key Control tiene la funcionalidad de autoimportar de forma transparente al usuario los certificados del store local del usuario al servidor de SealSign (certificados locales, no centralizados). Para activar esta funcionalidad únicamente hay que activar esta política.

Enable automatic import of local certificates


Configuración Configure Central Key Control AutoImport Parameters


Nombre de la Propiedad EnableAutomaticPFXImport


Valor por Defecto 0

2.2.7.2 Sobrescribir certificados locales En el caso que el usuario tenga asignado un certificado centralizado idéntico a un certificado local, esta política establece que hacer al respecto de su visibilidad dentro del store de certificados. Si se habilita la política, el certificado local será ignorado (no se podrá acceder al mismo) y solo se usara el centralizado. En caso contrario, en el store de certificados de usuario aparecerán dos certificados idénticos, uno el local y otro el centralizado, por lo cual el usuario podrá hacer uso de los dos indistintamente.


Overwrite local certificates




Nombre de la Propiedad OverwriteLocalCertificates


Valor por Defecto 0

2.2.7.3 Filtro por emisor En esta política se definen que emisores de certificados son los habilitados para realizar al autoimportación de certificados. Si no se desea autoimportar a SealSign todos los certificados del store de certificados de usuario, se puede definir este filtro por emisor.

Los nombres (CN) de los emisores son sensibles a mayúsculas y minúsculas. En la lista, hay que dar de alta el CN del emisor. Por ejemplo, para el caso de la FNMT, el CN seria “FNMT Clase 2 CA”

Si se da de alta un emisor “*”, entonces se autoimportaran todos los certificados del store de certificados del usuario a SealSign.

Issuer Filters



Clave de Registro HKLM\Software\Policies\SmartAccess\KeyControl\AutoImportIssuersFilter

Nombre de la Propiedad Issuer1…. IssuerN


Valor por Defecto NA

La configuración de los parámetros de autoimportación se puede establecer a nivel de maquina o a nivel de usuario. Si se establecen los dos, los parámetros con mayor preferencia

son los configurados a nivel de máquina.

2.2.8 Configuración de los parámetros de Autoimportación de Certificados (A nivel de Usuario)

2.2.8.1 Habilitar la autoimportación de certificados El cliente de Central Key Control tiene la funcionalidad de autoimportar de forma transparente al usuario los certificados del store local del usuario al servidor de SealSign (certificados locales, no centralizados). Para activar esta funcionalidad únicamente hay que activar esta política.


Enable automatic import of local certificates




Nombre de la Propiedad EnableAutomaticPFXImport


Valor por Defecto 0

2.2.8.2 Sobrescribir certificados locales En el caso que el usuario tenga asignado un certificado centralizado idéntico a un certificado local, esta política establece que hacer al respecto de su visibilidad dentro del store de certificados. Si se habilita la política, el certificado local será ignorado (no se podrá acceder al mismo) y solo se usara el centralizado. En caso contrario, en el store de certificados de usuario aparecerán dos certificados idénticos, uno el local y otro el centralizado, por lo cual el usuario podrá hacer uso de los dos indistintamente.

Overwrite local certificates




Nombre de la Propiedad OverwriteLocalCertificates


Valor por Defecto 0

2.2.8.3 Filtro por emisor En esta política se definen que emisores de certificados son los habilitados para realizar al autoimportación de certificados. Si no se desea autoimportar a SealSign todos los certificados del store de certificados de usuario, se puede definir este filtro por emisor.

Los nombres (CN) de los emisores son sensibles a mayúsculas y minúsculas. En la lista, hay que dar de alta el CN del emisor. Por ejemplo, para el caso de la FNMT, el CN seria “FNMT Clase 2 CA”

Si se da de alta un emisor “*”, entonces se autoimportaran todos los certificados del store de certificados del usuario a SealSign.

Issuer Filters



Clave de Registro HKCU\Software\Policies\SmartAccess\KeyControl\AutoImportIssuersFilter


Issuer Filters

Nombre de la Propiedad Issuer1…. IssuerN


Valor por Defecto NA

La configuración de los parámetros de autoimportación se puede establecer a nivel de maquina o a nivel de usuario. Si se establecen los dos, los parámetros con mayor preferencia

son los configurados a nivel de máquina.


3 Resolución de problemas

Durante el proceso de instalación de SealSign, en el visor de sucesos de cada servidor se creará un log específico, denominado SealSign DSS. Si sucede algún error en la operativa del servidor, además de reportarse en la auditoría del producto, se irán incluyendo eventos con la descripción completa del error en el log creado a tal fin.


4 Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

http://blog.elevenpaths.com/

https://www.youtube.com/user/ElevenPaths

http://vimeo.com/elevenpaths

http://www.slideshare.net/elevenpaths/


La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Junio 2015

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

Technology

Guía de Administración de SealSign CKC