Pues estupendo que sea accesible por universidades. BTW, y para ahorraros los posibles dolores de cabeza si decidis probar estos sevicios. Los de @firma tienen un fallo en alguna configuracion del servidor de TSA por HTTPS por la que, desde algunos puntos de la red que interconecta las administraciones, aunque se solicite acceso sin autenticacion de cliente este manda en el SSL handshake (RFC 2246) un CertificateRequest junto con el ServerHello cuyo campo certificate_authorities esta vacio. Dado que ese campo, que se debe componer de una lista de autoridades de certificados aceptadas para la autenticacion del cliente, esta vacio; el resultado es un fatal handshake_failure inmediato se le mande un certificado cualquiera o se omita la emision de certificado de cliente.
El 24 de agosto de 2010 11:38, Ricardo Borillo <[email protected]>escribió: > Hola Jose Luis, > > Perfecto. Ya haremos pruebas con esto que comentas. La red SARA está > ya disponible para las universidades, así que no hay problema. > > Gracias > > --- > Salut, > ==================================== > Ricardo Borillo Domenech > http://xml-utils.com / http://twitter.com/borillo > > > > 2010/8/23 José Luís Vaquero <[email protected]>: > > Yo estoy trabajando principalmente con la plataforma de @firma, que > ofrece > > TSA y OCSP. > > Con la TSA de momento no he tenido problemas con el OID (aunque si con > otras > > cosas que no atañen a CryptoApplet... ), pero al ser un valor que puede > > darte el proveedor del servicio para que lo incluyas en el request puede > > llegar a ser problematico. > > > > Con respecto al OCSP si que me encuentro un problema, y es que el de > @firma > > requiere que el request se autentique a traves de ese campo con una > cadena > > (no se si sera OCTECT STRING en ASN.1) que identifica nuestra aplicacion > > dada de alta previamente en el soporte de la plataforma. Mire el RFC y > por > > desgracia no les pude pillar en un renuncio porque el protocolo dice que > si > > no le pasas el resquestorName ellos tienen que darte servicio igualmente > > (por eso es opcional) pero como le pases un requestorName erroneo estas > > vendido y me retorna "unathorized". :( > > > > Aunque el acceso a la plataforma @firma se supone que es solo accesible a > > entidades publicas es probable que si os poneis en contacto con ellos y > le > > solicitais acceso al entorno de desarrollo para porder probar os lo > concedan > > ya que sois de una universidad. > > > > Saludos. > > > > El 23 de agosto de 2010 13:04, Ricardo Borillo < > [email protected]> > > escribió: > >> > >> Hola José Luís, > >> > >> Me parecen propuestas razonables y las podemos incluir en el roadmap > >> de CryptoApplet. > >> > >> En cualquier caso, ¿Podrias comentar alguna experiencia en la que te > >> resultara problemático el comportamiento por defecto de CryptoApplet? > >> ¿Algún servicio OCSP o de alguna TSA en concreto? Esto puede ayudar en > >> las pruebas ... > >> > >> Los objetivos más inmediatos del proyecto ahora mismos son: > >> > >> *. La publicación de la versión 2.1.1 que está ya bastante probada. > >> *. La mejora de la documentación existente. > >> *. La mejora del fichero y del sistema de configuración de CryptoApplet. > >> > >> --- > >> Salut, > >> ==================================== > >> Ricardo Borillo Domenech > >> http://xml-utils.com / http://twitter.com/borillo > >> > >> > >> > >> 2010/8/23 José Luís Vaquero <[email protected]>: > >> > Se que al ser cryptoapplet de codigo abierto lo que deberia hacer es > >> > implementarmelo yo y colaborar con la comunidad pero ahora estoy muy > >> > liado > >> > con mi trabajo en el departamento de seguridad informatica de la > >> > consejeria > >> > de agricultura y medio ambiente de la junta de extremadura y un > proyecto > >> > propio en XNA, asi que lo dejo caer y a ver si alguien se anima. > >> > > >> > La cosa esta en dar algo mas de libertad a nivel de protocolo TSP y > >> > OCSP. > >> > > >> > Con respecto a TSP, segun el RFC 3161 el campo "reqPolicy" es opcional > y > >> > cryptoapplet siempre manda 1.3.14.3.2.26. Estaria bien poder > configurar > >> > cryptoapplet si se quiere mandar el campo o no y su valor en caso de > >> > querer > >> > mandarlo, algo parecido a lo que se tiene actualmente con el campo > >> > "nonce". > >> > > >> > Por parte del OCSP, cryptoapplet siempre mandanda en el campo > >> > "requestorName" el certificado que se ha seleccionado para firmar el > >> > documento digital. En el RFC 2560 el campo "requestorName" es > opcional, > >> > por > >> > lo que tambien estaria bien que se pudiese decidir si se quiere mandar > >> > ese > >> > campo en el OCSP request o no, y en caso de querer mandarlo, poder > >> > configurar el certificado o cadena de identificacion deseada. Al fin y > >> > al > >> > cabo, una de las respuestas del OCSP puede ser "unauthorized", por lo > >> > que > >> > pueden existir servidores OCSP que requieran una identificacion para > >> > realizar el request que no tiene por que coincidir con el certificado > >> > con el > >> > que queremos firmar el documento digital. > >> > > >> > Para el que quiera indagar un poco en los protocolos, yo estoy usando > el > >> > sniffer gratuito Wireshark que es mano de santo para estas cosas. > >> > > >> > Un saludo y gracias al equipo de Cryptoapplet que esta haciendo un > gran > >> > trabajo. > >> > > >> > _______________________________________________ > >> > CryptoApplet mailing list > >> > [email protected] > >> > http://llistes.uji.es/mailman/listinfo/cryptoapplet > >> > > >> > > >> _______________________________________________ > >> CryptoApplet mailing list > >> [email protected] > >> http://llistes.uji.es/mailman/listinfo/cryptoapplet > > > > > > _______________________________________________ > > CryptoApplet mailing list > > [email protected] > > http://llistes.uji.es/mailman/listinfo/cryptoapplet > > > > > _______________________________________________ > CryptoApplet mailing list > [email protected] > http://llistes.uji.es/mailman/listinfo/cryptoapplet >
_______________________________________________ CryptoApplet mailing list [email protected] http://llistes.uji.es/mailman/listinfo/cryptoapplet
