Hola Jose Luis, Perfecto. Ya haremos pruebas con esto que comentas. La red SARA está ya disponible para las universidades, así que no hay problema.
Gracias --- Salut, ==================================== Ricardo Borillo Domenech http://xml-utils.com / http://twitter.com/borillo 2010/8/23 José Luís Vaquero <[email protected]>: > Yo estoy trabajando principalmente con la plataforma de @firma, que ofrece > TSA y OCSP. > Con la TSA de momento no he tenido problemas con el OID (aunque si con otras > cosas que no atañen a CryptoApplet... ), pero al ser un valor que puede > darte el proveedor del servicio para que lo incluyas en el request puede > llegar a ser problematico. > > Con respecto al OCSP si que me encuentro un problema, y es que el de @firma > requiere que el request se autentique a traves de ese campo con una cadena > (no se si sera OCTECT STRING en ASN.1) que identifica nuestra aplicacion > dada de alta previamente en el soporte de la plataforma. Mire el RFC y por > desgracia no les pude pillar en un renuncio porque el protocolo dice que si > no le pasas el resquestorName ellos tienen que darte servicio igualmente > (por eso es opcional) pero como le pases un requestorName erroneo estas > vendido y me retorna "unathorized". :( > > Aunque el acceso a la plataforma @firma se supone que es solo accesible a > entidades publicas es probable que si os poneis en contacto con ellos y le > solicitais acceso al entorno de desarrollo para porder probar os lo concedan > ya que sois de una universidad. > > Saludos. > > El 23 de agosto de 2010 13:04, Ricardo Borillo <[email protected]> > escribió: >> >> Hola José Luís, >> >> Me parecen propuestas razonables y las podemos incluir en el roadmap >> de CryptoApplet. >> >> En cualquier caso, ¿Podrias comentar alguna experiencia en la que te >> resultara problemático el comportamiento por defecto de CryptoApplet? >> ¿Algún servicio OCSP o de alguna TSA en concreto? Esto puede ayudar en >> las pruebas ... >> >> Los objetivos más inmediatos del proyecto ahora mismos son: >> >> *. La publicación de la versión 2.1.1 que está ya bastante probada. >> *. La mejora de la documentación existente. >> *. La mejora del fichero y del sistema de configuración de CryptoApplet. >> >> --- >> Salut, >> ==================================== >> Ricardo Borillo Domenech >> http://xml-utils.com / http://twitter.com/borillo >> >> >> >> 2010/8/23 José Luís Vaquero <[email protected]>: >> > Se que al ser cryptoapplet de codigo abierto lo que deberia hacer es >> > implementarmelo yo y colaborar con la comunidad pero ahora estoy muy >> > liado >> > con mi trabajo en el departamento de seguridad informatica de la >> > consejeria >> > de agricultura y medio ambiente de la junta de extremadura y un proyecto >> > propio en XNA, asi que lo dejo caer y a ver si alguien se anima. >> > >> > La cosa esta en dar algo mas de libertad a nivel de protocolo TSP y >> > OCSP. >> > >> > Con respecto a TSP, segun el RFC 3161 el campo "reqPolicy" es opcional y >> > cryptoapplet siempre manda 1.3.14.3.2.26. Estaria bien poder configurar >> > cryptoapplet si se quiere mandar el campo o no y su valor en caso de >> > querer >> > mandarlo, algo parecido a lo que se tiene actualmente con el campo >> > "nonce". >> > >> > Por parte del OCSP, cryptoapplet siempre mandanda en el campo >> > "requestorName" el certificado que se ha seleccionado para firmar el >> > documento digital. En el RFC 2560 el campo "requestorName" es opcional, >> > por >> > lo que tambien estaria bien que se pudiese decidir si se quiere mandar >> > ese >> > campo en el OCSP request o no, y en caso de querer mandarlo, poder >> > configurar el certificado o cadena de identificacion deseada. Al fin y >> > al >> > cabo, una de las respuestas del OCSP puede ser "unauthorized", por lo >> > que >> > pueden existir servidores OCSP que requieran una identificacion para >> > realizar el request que no tiene por que coincidir con el certificado >> > con el >> > que queremos firmar el documento digital. >> > >> > Para el que quiera indagar un poco en los protocolos, yo estoy usando el >> > sniffer gratuito Wireshark que es mano de santo para estas cosas. >> > >> > Un saludo y gracias al equipo de Cryptoapplet que esta haciendo un gran >> > trabajo. >> > >> > _______________________________________________ >> > CryptoApplet mailing list >> > [email protected] >> > http://llistes.uji.es/mailman/listinfo/cryptoapplet >> > >> > >> _______________________________________________ >> CryptoApplet mailing list >> [email protected] >> http://llistes.uji.es/mailman/listinfo/cryptoapplet > > > _______________________________________________ > CryptoApplet mailing list > [email protected] > http://llistes.uji.es/mailman/listinfo/cryptoapplet > > _______________________________________________ CryptoApplet mailing list [email protected] http://llistes.uji.es/mailman/listinfo/cryptoapplet
