Guía de Incidencias del Cliente de Firma 5
Contents
1. user en un sistema Linux o CNI Documents and Settingsluser en un sistema Windows SJAVA_HOME Directorio de instalaci n del entorno de ejecuci n de Java SLIBRARY_PATH Gu a de uso Directorio de bibliotecas del sistema por ejemplo 1ib en un sistema Linux OC IWindows1SYSTEM32 en un sistema MS Windows 32 Bits Client P gina 12 de 19 A JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA De los tres directorios el primero no presenta necesidades especiales respecto a permisos ya que el usuario siempre tiene los apropiados sobre l pero los otros dos pueden estar restringidos a operaciones de lectura ejecuci n o escritura lo cual puede provocar una instalaci n fallida Dado que los directorios sujetos a necesidades de permisos son usados nicamente si el usuario utiliza la versi n 5 del entorno de ejecuci n de Java existen dos posibilidades para resolver los posibles fallos de instalaci n 1 Actualizaci n a Java 6 soluci n recomendada 2 Cambio de los permisos de usuario de los directorios afectados a Consulte el manual de usuario de su sistema operativo para los procedimientos de cambio de permisos en directorios 3 Instalaci n manual de las bibliotecas a Debe descomprimir los ficheros comprimidos ZIP consulte el manual de su sistema operativo para los procedimientos de descompresi n de ficheros ZIP en las carpet2. alias Propiedades de certificado 2 xi General Certificados cruzados Nombre descriptivo IERM Descripci n Prop sitos de certificado Habilitar todos los prop sitos para este certificado C Deshabilitar todos los prop sitos para este certificado 8 Pulsamos el bot n Aceptar y reiniciamos el navegador No se detecta la inserci n extracci n del DNle en el lector u otra tarjeta inteligente A veces puede ocurrir que el navegador no detecta la extracci n o introducci n del DNle u otra tarjeta inteligente en el lector por lo que si no hemos introducido la tarjeta previamente a que se arranque el cliente de firma no se encontrar el certificado Otro posible caso es que una vez cargado el cliente se extraiga la tarjeta y al realizar una operaci n de firma el navegador muestre los certificados de la tarjeta aunque ya no est presente fallando al intentar utilizarlo Este es un problema del navegador en la gesti n de los dispositivos criptogr ficos PKCS 11 para Mozilla y CSP para Internet Explorer que no informa a la sesi n abierta en el almac n de certificados de los cambios que se producen en el mismo La soluci n m s r pida al problema es el insertar la tarjeta antes de que se produzca la carga del cliente de firma No se detecta el certificado del DNle tras una autenticaci n infructuosa Cuando se introduce mal el PIN del DNle ocurre que el navegador no detecta sus certificad
3. como si se tratasen de bibliotecas Tokend Si se opta por aplicar esta soluci n debe tenerse en cuanta que e Es necesaria la ltima versi n de SCA disponible e Es necesaria la ltima versi n de los controladores del DNIe disponibles e Debe instalarse siempre SCA antes que los controladores del DNIe Client Gu a de uso P gina 18 de 19 AA JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA 2 10 Incidencias espec ficas de las firmas PDF EI Cliente no permite la firma de PDF con ciertos certificados Las firmas de documentos PDF realizadas externamente que es el m todo utilizado por el Cliente tienen un tama o m ximo de octetos que pueden ocupar dentro del PDF Como la firma incluye la cadena de certificaci n completa si esta es muy extensa puede llegar a agotarse este espacio y resultar en una firma inv lida o corrupta Si esto le ocurre por favor p ngase en contacto con el servicio de atenci n a los usuarios del Cliente firma enviando una copia de su certificado de firma y la cadena de confianza completa Tenga siempre mucho cuidado de no enviar jam s las partes privadas de los certificados 2 11 Incidencias espec ficas de las firmas XML EI Cliente no firma las hojas de estilo de los ficheros XML Esta funcionalidad se incluir en la versi n 3 1 del Cliente Las firmas XMLDSig generadas no son compatibles con SOAP Esta funcionalidad est en estu
4. en vez de en Base64 usando el m todo getSignatureText en vez de getSignatureBase64Encoded El Cliente no completa correctamente las operaciones de firma cuando se ejecuta sobre Java 5 indicando en la consola de Java que se lanzaron ciertas excepciones El cliente necesita dentro de la rama Java 5 al menos la versi n 1 5u18 se recomienda encarecidamente la actualizaci n a Java 6u18 o al menos Java 5u22 Si est usando versiones de Java anteriores a 1 5u18 actualice su entorno de ejecuci n de Java JRE a una versi n m s moderna El Cliente cuando se ejecuta sobre Java 5 actualiza algunas bibliotecas del propio entorno de ejecuci n Por qu Puede tener alguna repercusi n sobre otras aplicaciones Java El cliente actualiza los API Apache Xalan y Apache Xerces de Java 5 por las ltimas versiones disponibles a fecha de publicaci n de este Estas versiones son completamente compatibles con las anteriores incluidas con Java 5 por lo que no introducen ning n problema de compatibilidad Adicionalmente si se detecta la versi n 5 de JRE se instala el proveedor de seguridad SunMSCAPI en su versi n 6 ya que Java 5 originalmente no lo incluye Esta instalaci n no cambia ni actualiza ninguna funcionalidad sino que a ade posibilidades completamente nuevas por lo que no es posible que suponga problema de compatibilidad alguno En ciertas ocasiones usando el Cliente en Mozilla Firefox con DNle DNI Electr nico el
5. foco y haciendo imposible la interacci n con el usuario En muchos casos este error se solventa al cambiar el foco a otras ventanas o minimizar maximizar el navegador para intentar que recupere el foco aunque no siempre resulta efectivo por lo que se deber reiniciar el navegador y reintentar la operaci n En caso de problemas graves con alguna aplicaci n Web concreta es recomendable el uso de Internet Explorer en donde el problema aparece en menor medida No se selecciona correctamente un certificado de firma del repositorio de Windows Este problema afecta a todos los navegadores que utilizan los certificados del almac n de Windows Internet Explorer Google Chrome y Applet Safari en entornos Microsoft Windows Existe la posibilidad de que dos certificados sean expedidos con el mismo alias y estos se importen en el mismo repositorio En el caso concreto del repositorio de Windows esto conlleva a que se firme con un certificado distinto al seleccionado cuando comparten el mismo alias La soluci n al problema pasa por la modificaci n del alias de alguno de los certificados Preferiblemente de todos ellos para evitar problemas futuros en caso de que se agregasen m s certificados con el mismo alias Los pasos a seguir son 1 Desde Internet Explorer accederemos al men Herramientas y la opci n Opciones de Internet 2 Seleccionaremos la pesta a Contenido Opciones de Internet Conexiones Progr
6. 9 A JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA 1 Introducci n Este documento detalla la soluci n a ciertos problemas de instalaci n o ejecuci n del Cliente de Firma del MPR que en algunas ocasiones requiere de algunas actuaciones directamente sobre la m quina virtual o bien sobre el directorio donde se instala el cliente Para ello a continuaci n detallamos los errores conocidos m s importantes que se han localizado hasta el momento en el Cliente de Firma Client Gu a de uso P gina 4 de 19 F N JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N PUBLICA 2 Incidencias conocidas del n cleo del cliente Ofirma 2 1 Incidencias generales Cuando se recuperan desde Java ficheros XML en formato Base64 como resultado de operaciones de firma la codificaci n de caracteres se corrompe Durante la creaci n de un String de Java a partir de un binario obtenido a su vez de la decodificaci n de un Base64 se pueden pervertir los caracteres especiales de los ficheros XML si se indica una codificaci n err nea en el constructor de la clase String La soluci n m s r pida es no indicar codificaci n y confiar en las capacidades de Java de auto detecci n de formato de caracteres Si esta auto detecci n de Java sigue proporcionando resultados incorrectos siempre puede obtener los XML directamente como texto
7. AA JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA Gu a de Incidencias del Client firma Ministerio de la Presidencia Autor Junta de Andaluc a Tipo de Documento Gu a Grupo de Trabajo firma Versi n 1 0 RC6 Fecha 08 02 2010 Fichero Gu a Incidencias 1 0 RC6 Client Gu a de uso P gina 1 de 19 A JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA Control de Cambios 1 0B Versi n inicial Versi n inicial Beta Sujeta a modificaciones antes de su publicaci n final 1 0RC1 Release Candidate 1 A adidos puntos de los manuales del Cliente 2 4 que pueden aplicar a la versi n 3 0 1 0RC2 Release Candidate 2 A adido problema de bloqueo de DNle en Mozilla Firefox por mantenimiento de sesi n 1 0RC3 Release Candidate 3 Ampliaci n secci n bloqueos DNI 1 0RC4 Release Candidate 4 Adici n de dos incidencias comunes detectadas en despliegues reales 1 0RC5 Release Candidate 5 Actualizaci n de la informaci n sobre los ficheros que se instalan del cliente para cada entorno Java 1 0RC6 Release Candidate 6 Se agrega una nueva incidencia relacionada con el uso del DNle en Mac OS X 1 0RC7 Release Candidate 7 Se agrega la incidencia relacionada con la disposici n de varios certificados en el almac n de Windows CAPI c
8. NIe y otros dispositivos no se permite su uso para abrir sobres digitales por no estar ese uso autorizado por el emisor Debe siempre evitar enviar sobres digitales a particulares si no est seguro de que sus certificados en su parte privada van a permitir posteriormente su apertura 2 7 Incidencias espec ficas de la plataforma Windows El Cliente no Funciona Correctamente con Windows 64 bits Para el correcto funcionamiento del Cliente en entornos Windows 64 bits XP 2003 Server Vista 2008 Server 7 es necesario instalar un entorno de ejecuci n de Java en 32 bits y no una variante de 64 bits Client Gu a de uso P gina 16 de 19 AA JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA El soporte de Java 64 bits en Windows 64 bits est supeditado al soporte de Java JRE de las versiones 64 bits de CAPI en el caso de Internet Explorer Google Chrome Apple Safari y Opera y a la existencia de una versi n nativa de NSS Netscape Security Services compilada en 64 bits El Cliente no Funciona Correctamente en Windows sobre arquitectura IA64 Intel Itanium La arquitectura 1 A64 en Windows no est soportada por el Cliente y no lo estar en un futuro pr ximo El Cliente no permite el uso de NONEwithRSA con el formato PKCS41 v1 5 en Internet Explorer El error 6578658 de Java que afecta a todos los JRE hasta la fecha afecta a esta posibilidad por lo que no es po
9. a de uso P gina 17 de 19 PIN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N PUBLICA existe se ha optado por usar el almac n de certificados del sistema operativo Llavero de Mac OS xX En el momento que la Comunidad Mozilla ponga a disposici n una compilaci n nativa de 64 bits de NSS se actualizar esta funcionalidad EI cliente no puede acceder al DNIe en Mac OS X Mac OS X utiliza los controladores Tokend de las tarjetas inteligentes para acceder a ellas y por desgracia el DNle carece de este tipo de controlador Esto conlleva que Mac OS X no pueda acceder al DNI electr nico a trav s de su propio almac n de certificados que es el utilizado por el cliente Ofirma El motivo del porqu el cliente no accede al DNIe a trav s del almac n de Mozilla Firefox que s tiene acceso a l se explica en la incidencia El Cliente bajo Mozilla Firefox utiliza el almac n del sistema operativo pero no el propio del navegador Web Por otro lado no es posible acceder al DNIe directamente a trav s de su PKCS 11 debido a que este en su versi n para Mac OS X est compilado en arquitectura universal y Java requiere obligatoriamente que las librer as nativas est en su misma arquitectura Como soluci n alternativa es posible utilizar el paquete SCA de OpenSC Este paquete hace de puente permitiendo al sistema manejar las bibliotecas PKCS 11 de las tarjetas inteligentes
10. amas Op General Seguridad Privacidad P gina principal Para crear pesta as de p gina principal escriba cada direcci n aa enuna l nea independiente to un google es Usar actual Usar predeterminada Usar p gina en blanco Historial de exploraci n 3 Accedemos a la pantalla de certificados a trav s del bot n Certificados Client Gu a de uso P gina 8 de 19 PIN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N P BLICA Opciones de Internet Conexiones Programas Opciones avanzadas General Seguridad Privacidad Contenido Asesor de contenido Las clasificaciones le ayudan a controlar el tipo de contenido de Internet que se puede ver con este equipo E Gonfiguraci n Certificados Use certificados para las conexiones cifradas y para fines de R identificaci n Borrar estado 55 d Certificados Autocompletar Autocompletar almacena lo escrito Configuraci n Editores 4 Hacemos doble clic en el certificado del que queremos modificar o establecer el alias Certificados A EE Prop sito planteado lt Todos gt y Personal Otras personas Entidades emisoras de certificados intermedias Entidades emi4 Emitido para Emitido por Fecha de Nombre descriptivo EJabraham Gutierre MINISDEF EC WPG 21 10 2007 CN Abraham Gu E clientCert ClientCert 06 10 2011 lt ningu
11. aquete de compatibilidad del cliente con Java 5 Linux Windows Necesario para hacer uso desde Java 5 de las funcionalidades incorporadas en las versiones actuales de Java Este paquete es obligatorio cuando se ejecuta el cliente desde esta versi n de Java Directorio de instalaci n SJAVA_HOME 1lib endorsed e afirma_5_Java_5 Jar Java MS CAPI Native Library solo se instala en sistemas Windows Necesaria nicamente para el soporte de los almacenes de claves de Windows Internet Explorer Se encuentra en el fichero comprimido capi zip Directorio de nstalaci n JAVA_HOME bin e sunmscapi dll Entorno de ejecuci n de Microsoft Visual C 7 1 solo se instala en sistemas Windows Necesaria nicamente para el soporte de los almacenes de claves de Windows Internet Explorer es una dependencia derivada de la biblioteca anterior Se encuentra en el fichero comprimido msvcr71 zip Directorio de nstalaci n SLIBRARY_PATH e msvcr71 dll Java MS CAPI Provider solo se instala en sistemas Windows Necesaria nicamente para el soporte de los almacenes de claves de Windows Internet Explorer Se encuentra en el fichero comprimido mscapiJar zip Directorio de instalaci n SJAVA_HOME 1ib ext En los directorios e sunmscapi jar de instalaci n las siguientes cadenas representan a directorios del sistema operativo dependientes de la instalaci n SHOME Directorio de usuario por ejemplo export home
12. as apropiadas b Tras la descompresi n debe igualmente ajustar los permisos de los directorios y las bibliotecas descomprimidas i Los directorios deben tener permisos de lectura no es necesario permisos de escritura li Las bibliotecas necesitan permisos de lectura y ejecuci n no es necesario permisos de escritura Client Gu a de uso P gina 13 de 19 ZIN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA 2 3 Despliegue del cliente Cuando se despliega el Cliente en entornos donde las p ginas HTML se generan din micamente no es posible cargar el Applet Las p ginas HTML provistas como ejemplo necesitan ciertos cambios cuando se quiere desplegar el Cliente en servidores donde las p ginas se generan din micamente como por ejemplo Portlets en un Servidor de Portales e Las bibliotecas Java del cliente JAR deben situarse en una direcci n est tica dentro del servidor Web como por ejemplo htip direcci n directorio_clases e El JavaScript las bibliotecas JS debe incluirse dentro de la p gina que invoca al Applet y puede generarse din micamente pero debe editarse el fichero constantes js para indicar su localizaci n mediante una URL absoluta SEE K K ROO RR RA RAR RA AA RRA RARA RAR RARA k k k RRA RAR k k k k k k k k k k k k k k Ruta a los instalables Si no se establece supone que estan en el mismo directorio que el HTML A
13. cliente se queda bloqueado y no muestra el di logo de selecci n de certificados desbloque ndose si retiro el DNle del lector El controlador PKCS 11 del DNIe no admite que se establezcan varias sesiones de forma simult nea y si por cualquier raz n sesi n SSL etc el propio navegador Web Mozilla Firefox Client Gu a de uso P gina 5 de 19 FIN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA tiene ya establecida una comunicaci n con el DNIe en el momento en el que el Cliente firma tambi n lo necesita este ltimo se queda bloqueado esperando a que en navegador Mozilla Firefox cierre su sesi n El cierre de la sesi n contra el DNIe por parte de Mozilla Firefox puede tardar varios minutos si el usuario no interviene por lo que conviene forzar manualmente este cierre e Extraer el DNIe del lector y volverlo a insertar justo en el momento en el que se solicita la contrase a del Repositorio Central de certificados de Mozilla Firefox antes de introducirla Es posible que Mozilla Firefox reabra la sesi n en la reinserci n adelant ndose al Cliente firma por lo que quiz s necesite repetir la operaci n e Podemos indicar a Mozilla Firefox que cierre la sesi n pulsando el bot n Log out teniendo el dispositivo DNle PKCS 11 Module seleccionado en la ventana Dispositivos de Seguridad del men Opciones de Mozilla Firefox Al igual que en
14. dio para ser incluida en futuras versiones del Cliente Ciertos validadores no aceptan algunas de las firmas generadas por el Cliente firma Revise con detalle la matriz de compatibilidad y las NOTAS IMPORTANTES del manual del Formato XML EI Cliente no genera firmas XML usando huellas digitales SHA 2 El error de Java 6845600 http bugs sun com view bug do bug id 6845600 afecta a la generaci n de firmas XML con SHA 256 y SHA 512 Este error est solventando en Java 1 6u18 El Cliente no soporta la firma con huellas digitales precalculadas Esta funcionalidad no est soportada por el Cliente No obstante las pr ximas versiones incorporar n medios para realizar firmas XML multi fase caracter stica no posible por la versi n actual por esta limitaci n Client Gu a de uso P gina 19 de 19
15. e uso P gina 15 de 19 AA JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA La firma sin usar huella digital algoritmo NONEwithRSA no es capaz de firmar todos los datos que se le proporcionan La firma sin huella digital NONEwithRSA necesita que los datos de entrada sean de un tama o y con un formato determinado Este formato no se especifica en la documentaci n del cliente ya que es dependiente del dispositivo de creaci n de firmas Evite el uso de NONEwithRSA si no est seguro de la compatibilidad de los datos de entrada con su dispositivo de creaci n de firmas Adem s recuerde que ciertos usos de NONEwithRSA pueden resultar en firmas susceptibles de repudio seg n interpretaciones estrictas de las normativas 2 5 Firma Web No es posible firmar una p gina Web con el formato XMLDSig XAdES Enveloped XAdES XMLDSig Enveloped solo admite firmar ficheros XML y no todas las p ginas HTML son compatibles XML Compruebe si las p ginas HTML que desea firmar cumplen estrictamente con el formato XHTML que s es compatible XML y si no seleccione otro formato de firmas 2 6 Sobres Digitales El cliente no permite usar el DNIe ni otros dispositivos seguros de creaci n de firmas para abrir sobres digitales Ciertos emisores de certificados residentes en dispositivos seguros de creaci n de firma limitan en origen el uso que se les puede dar a estos En el caso del D
16. el m todo anterior a veces es necesario repetir la operaci n varias veces ya que Mozilla Firefox reabre autom ticamente la comunicaci n con el DNIe sin dar tiempo al Cliente firma a utilizarlo En otras ocasiones el bot n aparece deshabilitado aunque Mozilla Firefox tenga una sesi n abierta contra el dispositivo con lo que no es posible aplicar este m todo Device Manager ojx NSS Internal PKCS 11 Module Logged In Generic Crypto Services Broadcom Corp Contacted SmartCard 0 Software Security Device Smart Card Reader Writer DNle PKCS 11 Module 0 0 DNI electr nico 0 0 Carne Profesional CNP PKCS 11 DNI electr nico Broadcom Corp Contacted SmartCard O DGP FNMT FNMT CERES PKCS 11 Module Broadcom Corp Contacted SmartCard 0 0 0 Builtin Roots Module 0 0 Builtin Object Token Este problema se da predominantemente en Linux Solaris y Mac OS X No se ha detectado en ning n caso en ninguna versi n de Windows Una soluci n alternativa en sistemas basados en UNIX Linux Solaris Mac OS X es modificar la configuraci n de OpenSC producto en el que se basa el controlador PKCS 11 del DNIe en estas plataformas indicando que nunca se debe bloquear el acceso a las tarjetas inteligentes Para realizar esta indicaci n debe modificar el archivo de configuraci n de OpenSC normalmente situado en etc opensc opensc conf y asegurarse de que contiene una l nea descomentada con la opci n lock_login false By default t
17. he OpenSC PKCS 11 module will lock your card Client Gu a de uso P gina 6 de 19 PGN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N PUBLICA once you authenticate to the card via C_Login This is to prevent other users or other applications from connecting to the card and perform crypto operations which may be possible because you have already authenticated with the card Thus this setting is very secure This behavior is a known violation of PKCS 11 specification and is forced due to limitation of the OpenSC framework However now once one application has started using your the first is done and calls C_Logout or C_Finalize In the case of many PKCS 11 application this does not happen until you exit the application card with C_Login no other application can use it until Thus it is impossible to use several smart card aware applications at the same time e g you cannot run both Firefox and Thunderbird at the same time if both are configured to use your smart card Default true lock_login false Dado que este cambio puede tener implicaciones de seguridad con otras tarjetas inteligentes la seguridad del DNIe no se ve comprometida por l dado que implementa medidas adicionales de protecci n como la implementaci n de la normativa CWA 14890 realice nicamente estas modificaciones
18. no gt ENTIDAD PRUEBA FIZNET ROOT CA 20 09 2027 11111122Y EcarcIA MERAS C CERTICA Root CA 05 07 2012 lt ninguno gt Edinombre Apellido1 AC Firmaprofesional 19 06 2010 CN Nombre Ape Ednombre Empresa S AC Firmaprofesional 19 06 2010 CN Mombre Em Eusuario Demo Demo camerfirma CA 05 08 2003 lt ninguno gt Client Gu a de uso P gina 9 de 19 PIN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N P BLICA 5 Accedemos a la pesta a Detalles del certificado Certificado Riita de certificaci n Informaci n del certificado Windows no tiene la suficiente informaci n para comprobar este certificado 6 Pulsamos sobre el bot n Modificar propiedades Certificado aixi General Detalles Ruta de certificaci n Mostrar lt Todos gt y El versi n v3 i mero de serie b6 b8 06 09 1a 8d 0b 4e E Algoritmo de firma md5R5A Emisor operaciones fi2net com FIZ E v lido desde martes 25 de septiembre de 2 v lido hasta lunes 20 de septiembre de 20 El asunto ENTIDAD PRUEBA CIF N EJclave p blica RSA 1024 Bits y Copiar en archivo Aceptar Client Gu a de uso P gina 10 de 19 PGN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N PUBLICA 7 El campo Nombre descriptivo introducimos el nuevo nombre del
19. on el mismo alias Client Gu a de uso P gina 2 de 19 A JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA Indice 1 ardoro lUo eko n cara 4 2 Incidencias conocidas del n cleo del cliente DfirMa oooonmoconnnnnonnnnnnnnnnenanananccnnaannnnos 5 2 1 Incidencias generaleS cccomoncccnnnonncnnnnncccnnnnn cr 5 2 2 Instalaci n del Cliente o cccoinonorasaconrncna inn ia ini annene ennenen 11 2 3 Despliegue del Cliente ooononncconnnnncnnnnccnnnnnecnnnncrnne cre 14 2 4 SEACE isssrriiiisiininnaneunennaonuunnnnena ninanku sai nnnA A P A AA 14 25 Firma Web AAA o o o e o 5 iien aaa 16 2 6 Sobres Digitale S csiis src in ea ai tdo Nan Ian nendin 16 2 7 Incidencias espec ficas de la plataforma WindOwWS s sssssussusnnnuunnunnunnunnunnunnnnnunnnnnnunnunnnnnnnnnn nunen nnne 16 2 8 Incidencias espec ficas de la plataforma Linux Sun SolariS ssssssssusnununnunnnnennnunnnnnnnnnnnnnn ennnen 17 2 9 Incidencias espec ficas de la plataforma Mac OS Xecoocncincconccnnnnnnnnnrnarnnrnrerc nn nnnn mnnn 17 2 10 Incidencias espec ficas de las firmas PDF s sssnsussunsuunnneunennrnunnunnunnunnunnunnnnnunn nunnur munnum nunen nnnn mnnn 19 2 11 Incidencias espec ficas de las firmas XML s assnunsununnnnnnennnunnunnnnnunnunnunnnnnunn nunnur nnnnnn nunnan nunnana 19 Client Gu a de uso P gina 3 de 1
20. os incluso aunque posteriormente el usuario s lo introduzca correctamente El problema viene del CSP Cryptographic Service Provider del DNI electr nico y la mejor forma de solucionarlo es extraer e insertar el DNIe en el lector de tarjeta y volverse a autenticar 2 2 Instalaci n del Cliente El Cliente de firma en su primera ejecuci n copia ciertos ficheros al disco duro del usuario para garantizar una correcta ejecuci n Estos ficheros son en gran mayor a bibliotecas binarias nativas aunque si el usuario utiliza el entorno de ejecuci n de Java en su versi n 5 tambi n se actualizan ciertas clases Java de este Concretamente la lista de ficheros instalados es la siguiente Client Gu a de uso P gina 11 de 19 AR JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJERIA DE HACIENDA Y ADMINISTRACION PUBLICA o Java 5 y superiores Atos Origin Windows Short Path Name Utility solo se instala en sistemas Windows Necesaria nicamente para el soporte de los almacenes de claves de Mozila Firefox Se encuentra en el fichero comprimido ShortPathName zip Directorio de instalaci n SHOME afirma 5 aoutil e ShortPathName dll Java Deploy Utility Library for Windows solo se instala en sistemas Windows Se encuentra en el fichero comprimido deploy zip Directorio de instalaci n SHOME afirma 5 aoutil e aodeploy dll o nicamente Java 5 no se necesitan en versiones superiores P
21. si est completamente seguro de sus implicaciones En ciertas distribuciones de Linux como Guadalinex v6 el cambio no tienen ning n efecto sobre los bloqueos con DNle por lo que no solucionar el problema La Web donde est instalado el Cliente solicita certificado cliente y aunque este funciona correctamente en Internet Explorer y otros navegadores no ocurre lo mismo con Mozilla Firefox Consulte las secci n 17 1 del manual del integrador para m s informaci n de c mo resolver este problema de configuraci n de Mozilla Firefox El Cliente deja de funcionar tras ejecutar la Aplicaci n Web de firma de la Ventanilla Unica de la Seguridad Social Este aplicativo de Ventanilla nica de la Seguridad Social modifica partes del JRE reemplazando bibliotecas vitales para el Cliente firma por versiones ya obsoletas Client Gu a de uso P gina 7 de 19 PGN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N PUBLICA En caso de que necesite inter operar el Cliente firma con la aplicaci n de Ventanilla nica de la Seguridad Social por favor abra una incidencia contra esta ltima P rdida de foco en ventanas En ocasiones las ventanas del cliente pierden el foco haciendo imposible la interacci n del usuario Este error se debe a un error reconocido por Sun Microsystems a partir del JRE 1 5 0 que bloquea ciertas ventanas Java en Internet Explorer y Mozilla perdiendo el
22. sible hacer firmas PKCS 1 v1 5 usando el algoritmo NONEwithRSA mediante certificados residentes en Internet Explorer CAPI Esta limitaci n puede afectar a las firmas multi fase M s informaci n http bugs sun com view_bug do bug _id 6578658 2 8 Incidencias espec ficas de la plataforma Linux Sun Solaris El Cliente no detecta ning n certificado bajo Mozilla Firefox El Cliente firma cuando se ejecuta en Linux o Sun Solaris necesita que las bibliotecas NSS est n situadas en usmlib lib o al menos dentro de uno de los directorios incluidos en la variable de entorno LD_LIBRARY_PATH El Cliente no funciona adecuadamente en Linux Sun Solaris 64 bits El cliente necesita que las bibliotecas NSS del sistema est n compiladas en la misma arquitectura nativa que el entorno de ejecuci n de Java por lo que si ha instalado un JRE de 64 bits necesitar un NSS de 64 bits y si el JRE es de 32 bits NSS debe ser tambi n de 32 bits El Cliente firma no provee las bibliotecas NSS para Sun Solaris sino que utiliza las presentes en el sistema operativo 2 9 Incidencias espec ficas de la plataforma Mac OS X El Cliente bajo Mozilla Firefox utiliza el almac n del sistema operativo pero no el propio del navegador Web Dado que para acceder al almac n de Mozilla Firefox en Mac OS X y Java 64 bits es el Java actualmente soportado en Mac OS X es necesario una versi n 64 bits nativa de NSS y esta no Client Gu
23. var baseDownloadURL http direccion directorio_clases S E E K K k ROO RR AA AA RRA RAR RRA AAA AA k k k k RARA RRA ARK k k k k k k k k k k k k k k Ruta al instalador Si no se establece supone que estan en el mismo directorio que el HTML kkkk kkk k kk k kkk k kk k kk k kkk k kk k kk k kkk k kk k kk k kkk k kk k kk k k kk k kk k kk kk k kk k kk k kk kkkkkkkk var base http direccion directorio_clases 2 4 Firmas Generales Alguno de los formatos de firma generados con el Cliente firma no validan adecuadamente en otras plataformas Compruebe siempre las matrices de compatibilidad del cliente para verificar que los formatos no est n sujetos a problemas de adecuaci n con normativas est ndares cuando esto ocurra estar as indicado y cu les de los que no presentan estos problemas est n soportados por su plataforma validadora Algunos dispositivos de creaci n de firma no funcionan con las funcionalidades de firma multi fase del Cliente Estas limitaciones son impuestas por los fabricantes de los dispositivos de creaci n de firmas y no es posible sortearlas Consulte con el fabricante de su dispositivo de creaci n de firmas para comprobar que funcionalidades pueden estar restringidas Client Gu a de uso P gina 14 de 19 PGN JUNTA DE ANDALUCIA Plataforma de Validaci n y Firma firma CONSEJER A DE HACIENDA Y ADMINISTRACI N P BLICA Client Gu a d
Download Pdf Manuals
Related Search