ElevenPaths, innovación radical y disruptiva en seguridad

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 2 de 11

Contenidos

1 Introducción ............................................................................................................... 3

2 Requisitos de instalación de SealSign CKC .................................................................... 4

2.1 Requisitos del servidor del módulo CKC ................................................................................... 4

2.2 Requisitos de los clientes del módulo CKC ............................................................................... 4

3 Instalación y configuración del módulo SealSign CKC ................................................... 5

3.1 Instalación y configuración del servidor de CKC ....................................................................... 5

3.1.1 Instalación del servidor de CKC .................................................................................................. 5

3.1.2 Configuración del servidor de CKC ............................................................................................. 6

3.2 Instalación del cliente de CKC para Microsoft Windows .......................................................... 7

4 Resolución de problemas de instalación ...................................................................... 8

4.1 Error 80070005 ......................................................................................................................... 8

4.2 Error 80040154 ......................................................................................................................... 9

5 Recursos .................................................................................................................... 10

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 3 de 11

Introducción

SealSign CKC (Central Key Control) es un módulo destinado a controlar de manera centralizada el uso de los certificados digitales en una organización. Además añade una capa extra de autenticación a la hora de utilizar las claves privadas de los certificados. Para su correcto funcionamiento necesita además los módulos DSS Web y DSS Service de SealSign.

Imagen 01: Módulos de SealSign para CKC.

A continuación se muestra un resumen con las características de cada uno.

Módulo CKC (Central Key Control): Es el objetivo de esta guía. Gracias a su configuración mediante reglas es posible personalizar la utilización de los certificados, restringiendo su uso si fuera necesario. Además permite realizar un inventariado de todos los certificados existentes en los equipos de una organización. Está compuesto por una parte servidora que proporciona su funcionalidad a través de servicios web, y una parte cliente que la consume.

Módulo DSS Web (administración y configuración): Este módulo es la herramienta web de configuración y administración de la solución SealSign DSS, que se utiliza para gestionar los demás módulos (excepto el módulo Revoke). Por tanto su instalación es imprescindible en caso de querer instalar cualquier otro módulo.

Módulo DSS Service (firma electrónica): Este módulo incorpora el motor de firma electrónica y los interfaces SOA del servicio web necesario para acceder a su funcionalidad. Su instalación es obligatoria.

Tanto los textos como las imágenes utilizadas en esta guía están basados en un sistema operativo Microsoft Windows 2012, aunque cualquier administrador de sistemas podrá realizar la instalación del producto en otras versiones.

Imagen 02: Arquitectura de SealSign CKC.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 4 de 11

Requisitos de instalación de SealSign CKC

2.1 Requisitos del servidor del módulo CKC

La arquitectura del producto SealSign CKC descansa sobre los servicios proporcionados por la plataforma de firma digital SealSign DSS. Por tanto para utilizar el producto es obligatorio disponer de los módulos DSS Service (firma electrónica) y DSS Web (administración y configuración). La instalación de dichos módulos se detalla en la guía “SealSign DSS – Guía de instalación”.

Los requisitos necesarios para instalar y utilizar CKC básicamente son:

Sistema operativo Microsoft Windows (recomendable un sistema operativo de servidor).

.NET Framework 3.5 SP1.

IIS 6 (recomendable IIS 7).

Gestor de base de datos SQL Server u Oracle.

Configurar correctamente el rol del servidor de aplicaciones y el rol de servidor web (IIS).

En la guía mencionada están todos los detalles acerca de estos requisitos de instalación, incluyendo las configuraciones del rol de servidor de aplicaciones y del rol de servidor web.

Debido a que el funcionamiento del módulo CKC, está condicionado por los módulos DSS Service y DSS Web, se pueden presentar dos escenarios distintos:

Los 3 módulos están instalados en la misma máquina. Este es el escenario más habitual, en tal caso lo recomendable es instalar previamente los módulos DSS Service y DSS Web. La instalación de dichos módulos requiere de unas configuraciones previas muy importantes que están detalladas en la guía anterior. Tras la instalación de estos se instalará el módulo CKC, tal y como se va a contemplar en esta guía.

Los módulos están en máquinas distintas. Puede darse el caso de que los módulos DSS Service y DSS Web estén en una máquina y el módulo CKC esté en otra distinta. En tal caso ambas máquinas deben cumplir los prerrequisitos mencionados en la guía anterior, así como disponer de la configuración adecuada en el rol de servidor de aplicaciones y en el rol de servidor web.

2.2 Requisitos de los clientes del módulo CKC

El módulo proporciona su funcionalidad a través de servicios web, por tanto el único requisito imprescindible para ser un cliente potencial de SealSign CKC, es ser una aplicación capaz de consumir servicios web, independientemente del sistema operativo en el que se esté ejecutando.

En caso de que la aplicación cliente se esté ejecutando bajo un sistema operativo Microsoft Windows, CKC proporciona un agente para realizar una integración directa de dicha aplicación con el módulo. Esto es válido para aquellos procesos que basen su criptografía en el API de criptografía de Microsoft Windows: CryptoAPI. La ventaja de usar este agente radica en que no es necesario modificar la aplicación cliente, sino que, realizando ciertas configuraciones en el agente, la aplicación será capaz de utilizar los certificados almacenados en el servidor CKC, como si estuvieran en el propio equipo. Además este agente permite realizar un inventariado de todos los certificados existentes en los equipos de una organización.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 5 de 11

Instalación y configuración del módulo SealSign CKC

3.1 Instalación y configuración del servidor de CKC

3.1.1 Instalación del servidor de CKC La instalación del servidor se realiza como muchos programas de Microsoft Windows, es decir, siguiendo los pasos de un asistente.

Durante la instalación, hay que indicar de la lista de sitios web disponibles, aquel en el que se desea instalar el servicio de firma electrónica SealSign DSS, el nombre del directorio virtual y el Application Pool de aplicación que se configuró en el IIS (SealSignAppPool en este caso).

Imagen 03: Configuración durante la instalación del módulo CKC.

Tras la instalación se ha añadido como un programa más en la lista de programas del Panel de Control, y en el IIS se mostrará como una aplicación web.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 6 de 11

Imagen 04: Módulo ya integrado como aplicación web en IIS.

3.1.2 Configuración del servidor de CKC Se realiza en el fichero de configuración connectionStrings.Config. Este se encuentra ubicado en el directorio SealSignDSSKeyControl del sitio Web donde se haya instalado el producto. Dicho fichero incluye la cadena de conexión a la base de datos creada anteriormente en SQL Server (SealSignDSS), además de otros parámetros que hay que tener en cuenta:

<connectionStrings>

<add name="SealSignDSSConnectionString"

connectionString="Data Source=localhost;

Initial Catalog=SealSignDSS;

Trusted_Connection=Yes;

persist security info=False;

TrustServerCertificate=True" />

</connectionStrings>

En caso de que la base de datos utilizada sea SQL Server simplemente habrá que modificar los parámetros anteriores para adaptarse a la configuración realizada anteriormente en la base de datos. En esta dirección se puede obtener información sobre la creación de cadenas de conexión en SQL Server.

En caso de que la base de datos sea Oracle, hay que modificar los siguientes parámetros:

Cambiar el valor de la clave FactoryProvider y establecerlo a System.Data.OracleClient en el fichero web.config ubicado en el mismo directorio en el que se encuentra el fichero connectionStrings.config.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 7 de 11

En la etiqueta connectionStrings hay que configurar la cadena de conexión para el acceso a Oracle. En esta dirección es posible informarse sobre la creación de cadenas de conexión en Oracle.

Hay que modificar el atributo connectionString de la etiqueta add, y establecerlo con el siguiente formato: Data Source=(DESCRIPTION=(ADDRESS=(PROTOCOL=XXX)(HOST=XXX)(PORT=XXX)) (CONNECT_DATA=(SID=XXX))); User Id=identificadorUsuario; Password=Contraseña;

Un ejemplo de conexión podría ser el siguiente:

Fichero web.config:

...

<appSettings>

<add key="FactoryProvider" value="System.Data.OracleClient" />

...

</appSettings>

...

Fichero connectionStrings.config:

<connectionStrings>

<add name="SealSignDSSConnectionString"

connectionString="Data Source=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)

(HOST=172.54.110.112)(PORT=1521))(CONNECT_DATA=(SID=orcl)));

User Id=SealSignDSS; Password=1234546;” />

</connectionStrings>

3.2 Instalación del cliente de CKC para Microsoft Windows

La instalación del cliente también se realiza siguiendo los pasos de un asistente y no necesita ninguna configuración durante su instalación. Al finalizar la misma se solicitará reiniciar el sistema.

Imagen 05: Fin de la instalación del cliente de CKC.

El agente hay que configurarlo para establecer los parámetros de conexión entre el servidor CKC y el propio agente. Estos pasos se describen en detalle en el manual “Seal Sign - Guía de administración de CKC”. Tras realizar dicha configuración el uso del cliente de CKC es totalmente transparente al usuario, pudiendo este a partir de entonces utilizar los certificados almacenados en el servidor CKC.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 8 de 11

Resolución de problemas de instalación

El proceso de instalación de los servicios de firma electrónica incluye un sistema de monitorización y seguimiento de errores propio de SealSign. De esta forma todos los errores, avisos y mensajes informativos se registran en su propio Log de aplicación integrado en Microsoft Windows. Dado que el módulo servidor de CKC se integra como un add-in de SealSign DSS, los errores de este módulo se incluirán dentro del log de SealSign DSS.

Por otro lado, del mismo modo que en la parte servidora, el módulo cliente crea un log personalizado en cada equipo bajo el nombre de Key Control.

Por tanto en caso de identificar algún problema en los servicios se recomienda revisar el log SealSign DSS en el servidor y el log Key Control en los puestos cliente.

Imagen 06: Visor de eventos de Microsoft Windows.

Los problemas más comunes que pueden ocurrir durante la instalación de SealSign CKC son los ocasionados por la obtención de la licencia, y su identificador es el 3011.

En la “Guía de monitorización de SealSign DSS”, se incluyen todos los detalles acerca de cómo monitorizar el estado de salud de la plataforma y ver los posibles errores que se pueden dar

durante su utilización.

4.1 Error 80070005

Este error se produce generalmente cuando el usuario con el que está configurado el Application Pool no tiene permisos para instanciar el componente de gestión de licencias. Dicho componente se registra en la maquina durante el proceso de instalación. El mensaje generado es el siguiente:

An error has ocurred obtaining license information: Retrieving the COM class factory for component with CLSID {554A6D3B-2FEF-4C2F-B34C-AF6185EB2759} failed due to the following error: 80070005. at SealSignDSSLibrary.SealSignDSSLicense.InitializeLicense(String licenseFile)

Para solucionarlo, basta con proporcionar permisos de activación al usuario del Application Pool. Esto se pude hacer con la herramienta DCOMCNFG.EXE, buscando el componente LicProtector Server:

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 9 de 11

Imagen 07: Herramienta DCOMCNFG.EXE.

A través del botón de derecho se puede acceder a las propiedades de este elemento, donde está la pestaña Security, desde la cual se podrá dar permisos al usuario del Application Pool.

Imagen 08: Configuración de permisos.

4.2 Error 80040154

Este error se produce generalmente en entornos de 64 bits cuando la configuración de activación del componente de gestión de licencias se ha modificado o borrado. Dicho componente se registra en la maquina durante el proceso de instalación. El mensaje generado es el siguiente:

An error has ocurred obtaining license information:

Retrieving the COM class factory for component with CLSID {554A6D3B-2FEF-4C2F-B34C-AF6185EB2759} failed due to the following error: 80040154. at SealSignDSSLibrary.SealSignDSSLicense.InitializeLicense(String licenseFile)

Para regenerar la configuración de activación del componente se puede ejecutar el fichero DllSurrogate.reg provisto con los módulos de instalación.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 10 de 11

Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 11 de 11

La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Junio 2015

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths