P
ORTAFIRMAS
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 2 de 29
TABLA DE CONTENIDOS
1
Introducción ... 3
2
Requisitos del entorno ... 4
3
Configuración de los certificados ... 7
3.1 Establecer la confianza con CATCert (entidad emisora de los certificados empleados por GISA) 7 3.1.1 Instalación de certificados en bloque. ...7
3.1.2 Instalación de certificados individuales ...9
3.2 Establecer la confianza de otras entidades emisoras de certificados ... 13
4
Configuración Adobe Acrobat Reader para la verificación de firmas ... 16
5
Comprobación de la versión de la máquina Java instalada ... 20
5.1 Navegador Internet Explorer ... 20
5.2 Ventana de comandos ... 21
6
Instalación de la máquina Java ... 22
7
Instalación del programa Adobe Reader 9 ... 25
8
Anexos ... 28
8.1 Glosario ... 28
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 3 de 29
La Ley 59/2003 de 19 de diciembre de firma electrónica equipara a la firma electrónica realizada en ciertas condiciones, a una firma manuscrita. Las aplicaciones que proporcionan las capacidades de firma electrónica creando un entorno personalizado donde se muestra la información relevante para el usuario, se denominan comúnmente Portafirmas.
GISA dispone de una aplicación Portafirmas con acceso WEB para que las empresas invitadas puedan presentar y firmar propuestas de procedimientos de adjudicación de negociados en modo atendido mediante el uso de un certificado electrónico reconocido per CATCert (Agencia Catalana de Certificación).
La lista de entidades prestadoras de servicios de certificación clasificadas por CATCert se encuentra en la dirección:
http://www.catcert.cat/web/cas/2_1_0_entidads_certificacio.jsp
Este manual está dirigido a los usuarios de la aplicación Portafirmas y tiene como objetivo la configuración del entorno de trabajo para poder acceder y ejecutar sus funcionalidades.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 4 de 29
2 Requisitos del entorno
A continuación se indican los requisitos para acceder a la aplicación:
1- del equipo utilizado para acceder a la aplicación. A continuación se indican los requisitos mínimos para acceder a la aplicación:
• Navegador de Internet IE6 o superior, o Mozilla Firefox 3.0 o superior.
• Sun JRE de Java 1.5 o superior (ver Comprobación de la versión de la máquina Java instalada y Instalación de la máquina Java).
2- del dispositivo seguro para la creación de firma (certificado digital), para poder acceder y ejecutar el proceso de firma del contrato y de su documentación anexa. Respecto al dispositivo, destacar que :
• Tendrá que ser un certificado electrónico reconocido por la plataforma de validación de CATCert. Certificado electrónico reconocido por CATCert Certificado software
Fichero PKCS#12/PFX para ser incorporado al navegador
Certificado en Clauer idCAT
• Clauer idCAT con certificado
• Software controlador compatible con PKCS#11/CSP
Certificado en tarjeta inteligente (1)
• Tarjeta PKCS#15 con certificado válido
• Lector de tarjeta inteligente (USB, Serie, PCMCIA, ExpressCard)
• Controlador del lector compatible con el Sistema Operativo
• Middleware compatible con la tarjeta y el Sistema Operativo (PKCS#11 /CSP)
(1) es necesario disponer de un lector de tarjeta inteligente, así como los programas debidamente instalados (controlador del lector y middleware), para el uso de los certificados del proveedor del certificado que disponga el firmante.
En el apartado Anexos se muestra una lista de prestadores de servicios de certificación validados por CATCert, y la lista completa se puede conseguir en la siguiente ubicación:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 5 de 29
• Normalmente será una tarjeta criptográfica o un token USB, y será el del prestador de servicios de certificación (la entidad que emite el certificado) contratado por el usuario firmante.
• Las características de los dispositivos, así como los requisitos de instalación y uso en el PC del usuario se pueden encontrar en las páginas WEB de soporte de cada prestador.
Para poder validar la cadena de certificación es necesario confiar en los certificados raíz y subordinados del prestador de servicios de certificación:
Autoridad URL
Agencia Catalana de Certificación CATCert www.catcert.net
Dirección General de la Policía DNIe www.dnie.es
Fábrica Nacional de Moneda y Timbre CERES-FNMT www.cert.fnmt.es
Colegios profesionales Firmaprofesional www.firmaprofesional.com
Cámaras de comercio Camerfirma www.camerfirma.com
Autoridad de Certificación de la Abogacía ACA-CGAE www.acabogacia.org
Agencia Notarial de Certificación ANCERT www.ancert.com
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 6 de 29
GISA utiliza el formato PDF como documento resultante de la operación de firma, para facilitar la visualización tanto del contenido, como para la verificación de las firmas electrónicas. El software Adobe Acrobat Reader es capaz de verificar la firma de un documento PDF firmado y verificar el certificado utilizado, validando la cadena de certificación y el estado del certificado (activo, caducado, revocado,...).
En el apartado 4. Configuración Adobe Acrobat Reader para la verificación de firmas se indican los pasos a realizar para poder validar las firmas realizadas en los documentos de contrato.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 7 de 29
Para poder validar la cadena de certificación es necesario establecer una relación de confianza con:
• certificados raíz, que corresponde al de la entidad emisora empleada por GISA
• certificados subordinados, que corresponde al prestador de servicios de certificación utilizado por el firmante.
En los siguientes puntos se indican los pasos a seguir para configurar el PC del usuario firmante.
3.1 Establecer la confianza con CATCert (entidad emisora de los
certificados empleados por GISA)
El usuario, para confiar en CATCert como entidad emisora del certificado electrónico de los documentos a firmar, tiene que instalar en su PC la cadena de certificación que ha intervenido en la creación del certificado electrónico (ver Glosario).
Dado que el software utilizado para visualizar los documentos PDF y validar las firmas electrónicas, Adobe Acrobat Reader, utiliza el almacén de certificados que el Sistema Operativo de Microsoft proporciona por defecto, se han de instalar los certificados raíz y de entidades intermedias (cadena de certificación) en dicho almacén.
La página web de CATCert habilita dos métodos válidos de instalación de los certificados:
3.1.1 Instalación de certificados en bloque.
A continuación se indican los pasos a seguir para la instalación de los certificados en bloque: 1- Acceder a la página de descarga de claves publiques de CATCert:
http://www.catcert.cat/descarrega/InstalacioClausPubliques.zip 2- Hacer clic en ”Abrir”.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 8 de 29
3- Hacer clic en la carpeta “InstalacioClausPubliques”.
4- Hacer clic en “AddCATCerts.exe”.
5- Hacer clic en “Ejecutar”.
6- Se abre una ventana que ejecuta la instalación de los certificados que se cierra automáticamente cuando acaba.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 9 de 29
3.1.2 Instalación de certificados individuales
A continuación se indican los pasos a seguir para la instalación de los certificados raíz individualmente: 1- Acceder a la página de descarga de claves públicas de CATCert:
http://catcert.cat/web/cat/descarrega_claus/totes_01.jsp
2- Seleccionar la opción “Descargar” del certificado raíz de la entidad certificadora CATCert, tal y como se muestra en la siguiente figura:
nota: este proceso será necesario ejecutarlo para cada uno de los certificados de las 8 autoridades de certificación de CATCert.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 10 de 29
4- Seleccionar “Instalar el certificado...”:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 11 de 29
6- Seleccionar “Siguiente”:
7- Seleccionar “Finalizar”:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 12 de 29
9- Cerrar el certificado, hacer clic en “Aceptar”:
10- Seleccionar el certificado siguiente de la cadena de certificación, hacer clic en “Página siguiente”:
En este momento se muestra la siguiente entidad de certificación subordinada de la raíz de CATCert y se tendrá que realizar el mismo proceso (pasos del 3 al 9) para cada uno de los certificados de las siete autoridades de certificación subordinadas de la raíz de CATCert.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 13 de 29
3.2 Establecer la confianza de otras entidades emisoras de
certificados
Adicionalmente será necesario configurar la cadena de certificación de los certificados que el usuario firmante utilizará para acceder y firmar los documentos de contrato, y confiar en la raíz de la autoridad de certificación.
Se muestran las acciones a seguir para la instalación de los certificados raíz en un PC con navegador de Internet IE6 o superior. Destacar que se tendrá que repetir el proceso para todos los certificados que el usuario se haya descargado, y que formen parte de la cadena de certificación.
1. Acceder a la página web de soporte del prestador de servicios de certificación que haya emitido el certificado electrónico del usuario y descargar los certificados de las autoridades de certificación. Normalmente serán ficheros con extensión .cer o .crt
2. Abrir el fichero, haciendo doble clic sobre el archivo descargado.
3. Se muestra una pantalla como la siguiente. Aceptar todas las advertencias de seguridad que el Sistema Operativo muestre y seleccionar “Abrir”:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 14 de 29
4. A continuación se muestra la pantalla informativa del certificado en cuestión. Seleccionar la opción “Instalar certificadoA”:
5. Se muestra el asistente para importar los certificados. Seleccionar la opción “Siguiente >”:
6. A continuación se pregunta sobre el almacén en el que se desea instalar el certificado.
Seleccionar la opción “Seleccionar automáticamente el almacén de certificados de acuerdo con el tipo de certificado” y hacer clic en “Siguiente>”:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 15 de 29
7. Hacer clic en “Finalizar” para que el certificado se instale en la ubicación seleccionada:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 16 de 29
4 Configuración Adobe Acrobat Reader para la verificación
de firmas
La verificación de las firmas de los documentos del contrato y la validación de los certificados, se realiza mediante el software Adobe Acrobat Reader.
Normalmente, al abrir un documento .PDF firmado electrónicamente, el software Adobe Acrobat Reader realiza una verificación de las firmas. Si no se pueden verificar, se mostrará un mensaje de error y se tendrá que configurar según se indica en los siguientes puntos:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 17 de 29
2. Seleccionar “Detalles de certificado...”:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 18 de 29
4. Hacer clic en “Aceptar” en la pantalla de aviso de cambio de confianza.
5. Hacer clic en “Aceptar” el certificado raíz de confianza.
6. A continuación se tendrán que aceptar todas las ventanas abiertas y volver a validar todas las firmas, hacer clic en “Validar todas”:
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 19 de 29
7. Una vez la totalidad de los certificados raíz de las autoridades de certificación se encuentran en la lista de autoridades de certificación de confianza, se podrá realizar la verificación de la firma y de los certificados.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 20 de 29
La verificación de la versión de la máquina Java (JRE) instalada a un ordenador se realiza siguiendo uno de los métodos descritos a continuación:
5.1 Navegador Internet Explorer
1. Abrir el navegador “Internet Explorer” y seleccionar “Opciones de Internet” en el menú “Herramientas”.
2. Hacer clic en la pestaña “Opciones avanzadas”. Mover la barra de desplazamiento hasta ver la configuración “Java (Sun)”. Se muestra la versión de máquina Java instalada.
5 Comprobación de la versión de la máquina Java instalada
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 21 de 29
5.2 Ventana de comandos
1. Seleccionar “Ejecutar” al Menú “Inicio”.
2. Escribir “CMD” y hacer clic n “Aceptar”.
3. Escribir “java –version” en la ventana de comandos y pulsar la tecla <Introducir>. Se muestra la versión de máquina Java instalada.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 22 de 29
La instalación de la máquina Java (JRE) se realiza siguiendo el método descrito a continuación: ¨
1. Acceder a la página de descarga de Java: http://www.java.com/es/download/ y hacer clic en “Descarga gratuita de Java”.
2. La página detecta el Sistema Operativo y Navegador utilizado. Hacer clic en “Descarga gratuita de Java”
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 23 de 29
3. Hacer clic en ”Ejecutar” sobre el aviso de descarga de archivos.
4. Hacer clic en ”Ejecutar” sobre el aviso de seguridad de Internet Explorer.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 24 de 29
6. El instalador inicia el proceso y una vez finalizado, se muestra la pantalla informativa de instalación correcta y hacer clic en ”Cerrar”.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 25 de 29
La instalación del programa Adobe Reader 9 se realiza siguiendo el método descrito a continuación: ¨
1. Acceder a la página de descarga del instalador Adobe Reader 9
http://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/esp/AdbeRdr910_es_ES.exe y hacer clic en “Ejecutar”.
2. Se inicia la descarga del instalador
3. Hacer clic en “Ejecutar”.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 26 de 29
4. Se inicia la descarga del programa
5. Hacer clic en “Siguiente”.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 27 de 29
7. Se inicia la instalación
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 28 de 29
8.1 Glosario
Entidad emisora de certificados = Prestador de servicios certificación (PSC) = Autoridad de Certificación (AC): para poder emitir los certificados electrónicos necesarios para realizar el proceso de firma electrónica, las entidades (públicas o privadas) han de cumplir con unos requisitos operacionales, técnicos y legales que establece el Ministerio de Industria, Turismo y Comercio. Las entidades que cumplen con estos requisitos tienen autorización para emitir los certificados electrónicos reconocidos necesarios para producir la firma electrónica reconocida.
Jerarquía de certificación: Técnica y operativamente, las entidades emisoras de certificados se estructuran normalmente con una única autoridad de certificación raíz (punto último de confianza) de la cual dependen (están firmadas por ella) una o diversas autoridades de certificación intermedias. Estas autoridades de certificación intermedias son habitualmente las que emiten los certificados de usuario, aunque en ocasiones pueden firmar otras autoridades de certificación, creando jerarquías de tres niveles. La jerarquía es completa con las Autoridades de Registro.
Ejemplo de la jerarquía de certificación de CATCert (Agencia Catalana de Certificación)
Autoridad de Registro: las autoridades de registro son los puntos a los que los usuarios subscriptores de los certificados acuden para acreditarse y obtener el certificado electrónico. Estos puntos pueden ser ubicaciones físicas (oficinas de atención al usuario) o sitios en internet. La autoridad de registro tiene la obligación de comprobar la veracidad de toda la información que proporcione el subscriptor del certificado.
Certificado electrónico: Un certificado electrónico es un documento electrónico que contiene información sobre el subscriptor del certificado (persona o entidad a la cual se le genera esta identidad electrónica), sobre el emisor (Entidad emisora de certificados) y sobre los parámetros de funcionamiento del mismo (caducidad, usos habilitados, limitaciones, etc.). Este documento está firmado electrónicamente por un certificado, el subscriptor del cual es la entidad emisora. De esta manera es posible conocer de manera inequívoca quién lo emitió.
Manual de configuración
V1.1_CAS GISA – Portafirmas de negociados Página 29 de 29
Certificado de entidad intermedia: son los certificados que utilizan las autoridades de certificación intermedias para firmar los certificados electrónicos de subscriptores. Han de instalarse en la máquina donde se desea utilizar el certificado de subscriptor para demostrar que se confía en la entidad emisora. Certificado de entidad raíz: son los certificados que utilizan las autoridades de certificación raíz para firmar la creación de entidades de certificación intermedias. Han de instalarse en la máquina desde donde se desea utilizar el certificado de subscriptor para demostrar que se confía en la entidad emisora. Cadena de certificación = cadena de confianza: el conjunto de certificados raíz y certificados de entidad intermedia que es necesario instalar para demostrar la confianza en una entidad emisora de certificados.
8.2 Abreviaturas y acrónimos
Abreviatura / Acrónimo
Significado
CATCert Agencia Catalana de Certificación CERES Certificación ESpañola
CSP Cryptographic Service Provider
DNIe DNI electrónico emitido por la Dirección General de Policía ExpressCard Versión posterior de PCMCIA
FNMT Fábrica Nacional de Moneda y Timbre GISA Gestió d’Infraestructures SA
Hash Resumen criptográfico JRE Java Runtime Environment
PCMCIA Personal Computer Memory Card International Association PDF Portable Document Format
PFX Versión anterior de PKCS#12
PKCS#11 API genérica de acceso a dispositivos criptográficos
PKCS#12 Fichero utilizado de forma común para almacenar claves privadas con su certificado de clave pública
PKCS#15 Dispositivo criptográfico SHA-1 Secure Hash Standard 1
URL Uniform Resource Locator – Dirección web USB Universal Serial Bus
