Instalar en USS

Se recomienda crear un directorio en la partición Unix de z/OS (USS) para instalar el software de verificación de firma, por ejemplo: /u/edisign.
Enviar, en modo binario, al USS el paquete EditranSignature-zos.Vn.n-AAAA-MM-DD.tar. Puede usar cualquier utilidad de transferencia de ficheros, como el ftp.
Conectarse al USS y descomprimir el fichero dentro del directorio creado (u/edisign>tar -xof EditranSignatureServices-zos.V3.1.0-2024-04-10.tar). Dejará una estructura como en el ejemplo que sigue:

/u/edisign: >ls -l
drwxr-xr-x   2 KI10139  KISNCE      8192 May 25 12:19 bin
drwxrwxrwx   2 KI10139  KISNCE      8192 May 25 10:18 conf
drwxr-xr-x   2 KI10139  KISNCE      8192 May 25 09:55 crl
drwxr-xr-x   3 KI10139  KISNCE      8192 May 25 10:18 lib
drwxrwxrwx   2 KI10139  KISNCE      8192 May 25 10:28 logs
drwxr-xr-x   2 KI10139  KISNCE      8192 May 25 10:18 plantillas
drwxr-xr-x   2 KI10139  KISNCE      8192 May 25 10:18 politicas
drwxr-xr-x   4 KI10139  KISNCE      8192 Dec 17  2018 rsc

Los scripts de configuración del producto están en el directorio bin y debemos de asegurar que tienen permiso de escritura y ejecución. Se han de modificar dichos scripts con el directorio JAVA_HOME de la instalación y con el directorio creado para instalar el software (punto 1), en la variable DIR_XADES.

También es recomendable que la carpeta de logs tenga permiso de escritura, al menos, para el grupo de usuarios.

El servidor utiliza ficheros temporales cuyo lugar de creación se indicará en el script start_xades.sh modificando la variable DIRTMP=/u/edisign/tmp (Opcionalmente, modificando el parámetro de llamada -Djava.io.tmpdir=”/u/edisign/tmp).

Ejecutando /u/edisign/bin/configuracion_xades.sh se procederá a la adaptación de la configuración del producto a la instalación propia. El comando nos devuelve:

#####Configuracion de EDITRAN/XAdES#####

Los valores con contrasena (passProxy y passTrustStore) se guardan codificados y los demas en claro.

Si se quisiera se pueden editar los valores en claro con un editor de texto plano, pero no los valores codificados.

Valor del archivo conf\xades.properties

#Parametros de EDITRAN/XAdES (Obligatorio)
ipEditranXades=127.0.0.1
puertoEditranXades=7760
#Tipo de almacen del que se extraen los certificados. Puede ser FICHERO para el sistema clasico de keystores,
#HSM para tarjetas criptograficas o RACF para usar este sistema (solo en z/OS).
tipoAlmacen=FICHERO
#Conexion con EDITRAN/OCSP remoto (Opcional, se rellena si se usa EDITRAN/OCSP remoto)
ipEditranOcsp=
puertoEditranOcsp=
#Conexion con proxy para la conexion a Internet. Es necesario en el caso de querer usar OCSP o CRL para verificar la revocacion
#de certificados o para el caso de querer firmar con TimeStamp para lo que se necesita la conexion con un servidor
ipProxy=
puertoProxy=
userProxy=
passProxy=
#Sistema Operativo donde se instala EDITRAN/XAdES. En el caso de Sistemas Operativos Windows, Unix o AS400, su valor debe ser N(No).
#En el caso de Sistemas Operativos z/OS, su valor debe ser S(Si)
zOS=S
#Propiedades del modo FICHERO
#TrustStore de las CAs (Obligatorio)
pathTrustStore=rsc/truststore/trustStore.pfx
passTrustStore=********
#KeyStore por defecto (Opcional)
pathKeyStore=rsc/keystore/keyStore.pfx
#Propiedades del modo HSM
#Ruta a la libreria nativa del HSM (Obligatorio)
pathLibreria=
#Token de las CAs (Obligatorio)
tokenCA=
passTokenCA=
#Token de certificados de firma por defecto (Opcional)
tokenDefecto=
#Propiedades del modo RACF
#Nombre de usuario que accede a los anillos por defecto (Opcional)
usuarioDefecto=
#Nombre del anillo con los certificados de firma por defecto (Opcional)
anilloDefecto=
 
Modificar las propiedades del fichero conf\xades.properties? (S/N)

Poniendo S irá pidiendo los valores de los parámetros; se tendrán que introducir sólo aquellos que sea necesario modificar.

En la opción Tipo Almacén se selecciona el modo de obtención de los certificados necesarios para la firma y de las CAs que aseguran la validez de los certificados, tanto para firmar como para verificar. En el modo Fichero, el modo por defecto, se obtienen los certificados a partir de ficheros (.pfx), que es el sistema que se ha usado en versiones anteriores del producto. En el modo RACF, estos certificados se deben encontrar incluidos en dicho sistema, en anillos accesibles por un usuario.

En caso de que los certificados que se usen en las aplicaciones necesiten validación OCSP y ésta se haga de forma remota, se necesita el servidor Editran/OCSP, debiendo configurar la dirección y puerto en el que está instalado.

Para poder hacer la verificación OCSP/CRL de los certificados y también para la firma con TimeStamp para conectarse al servidor que selle la hora de firma, normalmente se necesitará un proxy para salir del Host, por lo que en ese caso se tendrá que implementar la dirección y puerto del proxy así como un usuario y password para poder acceder a través de él a Internet.

Esta configuración quedará guardada en el fichero xades.properties del directorio conf (en el ejemplo: /u/edisign/conf/xades.properties).

Describimos a continuación todas estas propiedades:

Propiedades obligatorias:
- IP de Editran/XAdES: IP en la que se arranca el Servidor Java Editran/XAdES.
- Puerto de Editran/XAdES: Puerto en el que se arranca el Servidor Java Editran/XAdES.
- Tipo Almacén: El modo de obtención de los certificados para la firma y las CAs. En modo Fichero se obtienen de ficheros (.pfx). En el modo RACF, se obtienen de este sistema, guardados en anillos accesibles por usuarios. Las CAs serán aquellas que se encuentras marcadas como de confianza por RACF.
Propiedades obligatorias del modo Fichero:
- Path del truststore: Es la ruta del almacén de certificados donde se guarda el certificado de todas las CA en las que debamos confiar.
- Password: Password del truststore.
Propiedades opcionales:
- Editran/OCSP remoto: Sólo es necesario en el caso de querer usar Editran/OCSP de forma remota, por defecto se usa de forma local en el caso de querer hacer verificación de certificados.
- IP Editran/OCSP: Dirección IP de la máquina donde esté instalado y ejecutándose el servidor Editran/OCSP Remoto.
- Puerto Editran/OCSP: Puerto del servidor Editran/OCSP para poder conectarse a él.
- Proxy: Uso de proxy para la conexión a Internet de Editran/XAdES. Es necesario en el caso de verificación de los certificados tanto por medio de CRL u OCSP, y también para la firma con TimeStamp para conectarse al servidor que selle la hora de firma:
  - IP Proxy: Puerto del proxy con el que necesita conectarse Editran/XAdES.
  - Puerto Proxy: Puerto del proxy para la conexión a Internet.
  - Usuario Proxy: En caso de ser necesario, usuario del proxy para la conexión a Internet.
  - Password Proxy: Password del usuario del proxy.
Sistema z/OS: Indica si el sistema donde se está ejecutando el programa Java es una máquina z/OS o no.

Para arrancar y parar el proceso se utilizarán los scripts:

/u/edisign/bin/start_xades.sh
/u/edisign/bin//stop_xades.sh

AnteriorRequisitos de instalación SiguienteInstalación de certificados en modo Fichero

Última actualización hace 6 meses