Yo estoy trabajando principalmente con la plataforma de @firma, que ofrece TSA y OCSP. Con la TSA de momento no he tenido problemas con el OID (aunque si con otras cosas que no atañen a CryptoApplet... ), pero al ser un valor que puede darte el proveedor del servicio para que lo incluyas en el request puede llegar a ser problematico.
Con respecto al OCSP si que me encuentro un problema, y es que el de @firma requiere que el request se autentique a traves de ese campo con una cadena (no se si sera OCTECT STRING en ASN.1) que identifica nuestra aplicacion dada de alta previamente en el soporte de la plataforma. Mire el RFC y por desgracia no les pude pillar en un renuncio porque el protocolo dice que si no le pasas el resquestorName ellos tienen que darte servicio igualmente (por eso es opcional) pero como le pases un requestorName erroneo estas vendido y me retorna "unathorized". :( Aunque el acceso a la plataforma @firma se supone que es solo accesible a entidades publicas es probable que si os poneis en contacto con ellos y le solicitais acceso al entorno de desarrollo para porder probar os lo concedan ya que sois de una universidad. Saludos. El 23 de agosto de 2010 13:04, Ricardo Borillo <[email protected]>escribió: > Hola José Luís, > > Me parecen propuestas razonables y las podemos incluir en el roadmap > de CryptoApplet. > > En cualquier caso, ¿Podrias comentar alguna experiencia en la que te > resultara problemático el comportamiento por defecto de CryptoApplet? > ¿Algún servicio OCSP o de alguna TSA en concreto? Esto puede ayudar en > las pruebas ... > > Los objetivos más inmediatos del proyecto ahora mismos son: > > *. La publicación de la versión 2.1.1 que está ya bastante probada. > *. La mejora de la documentación existente. > *. La mejora del fichero y del sistema de configuración de CryptoApplet. > > --- > Salut, > ==================================== > Ricardo Borillo Domenech > http://xml-utils.com / http://twitter.com/borillo > > > > 2010/8/23 José Luís Vaquero <[email protected]>: > > Se que al ser cryptoapplet de codigo abierto lo que deberia hacer es > > implementarmelo yo y colaborar con la comunidad pero ahora estoy muy > liado > > con mi trabajo en el departamento de seguridad informatica de la > consejeria > > de agricultura y medio ambiente de la junta de extremadura y un proyecto > > propio en XNA, asi que lo dejo caer y a ver si alguien se anima. > > > > La cosa esta en dar algo mas de libertad a nivel de protocolo TSP y OCSP. > > > > Con respecto a TSP, segun el RFC 3161 el campo "reqPolicy" es opcional y > > cryptoapplet siempre manda 1.3.14.3.2.26. Estaria bien poder configurar > > cryptoapplet si se quiere mandar el campo o no y su valor en caso de > querer > > mandarlo, algo parecido a lo que se tiene actualmente con el campo > "nonce". > > > > Por parte del OCSP, cryptoapplet siempre mandanda en el campo > > "requestorName" el certificado que se ha seleccionado para firmar el > > documento digital. En el RFC 2560 el campo "requestorName" es opcional, > por > > lo que tambien estaria bien que se pudiese decidir si se quiere mandar > ese > > campo en el OCSP request o no, y en caso de querer mandarlo, poder > > configurar el certificado o cadena de identificacion deseada. Al fin y al > > cabo, una de las respuestas del OCSP puede ser "unauthorized", por lo que > > pueden existir servidores OCSP que requieran una identificacion para > > realizar el request que no tiene por que coincidir con el certificado con > el > > que queremos firmar el documento digital. > > > > Para el que quiera indagar un poco en los protocolos, yo estoy usando el > > sniffer gratuito Wireshark que es mano de santo para estas cosas. > > > > Un saludo y gracias al equipo de Cryptoapplet que esta haciendo un gran > > trabajo. > > > > _______________________________________________ > > CryptoApplet mailing list > > [email protected] > > http://llistes.uji.es/mailman/listinfo/cryptoapplet > > > > > _______________________________________________ > CryptoApplet mailing list > [email protected] > http://llistes.uji.es/mailman/listinfo/cryptoapplet >
_______________________________________________ CryptoApplet mailing list [email protected] http://llistes.uji.es/mailman/listinfo/cryptoapplet
