Definiciones y pantallas

Se requiere dar de alta la transacción de la gestión de claves de intercambio (ZTBD) en el entorno local de Editran (véase Anexo):

El acceso a la gestión de claves de intercambio se realiza desde la opción 6 del menú general del producto. Se presenta, entonces, la siguiente pantalla:

------------------------------------------------------------------------------
|   16/01/17           GESTION DE CLAVES DE INTERCAMBIO           EDITRAN/GC   |
|   11:13:04                                                         5.3       |
 ------------------------------------------------------------------------------
|                                                                              |
|                                                                              |
|                                                                              |
|   1  ADMINISTRADOR DE ENTORNO LOCAL                                          |
|                                                                              |
|   2  GESTION DE CLAVES PROPIAS RSA (ADMINISTRACION, GENERACION Y ENVIO)      |
|                                                                              |
|   3  ASOCIACION DE CLAVES PROPIAS RSA (ADMINISTRACION, EXPORTACION Y ENVIO)  |
|                                                                              |
|   4  ASOCIACION DE CLAVES REMOTAS RSA (ADMINISTRACION)                       |
|                                                                              |
|                                                                              |
|                                                                              |
|                                                                              |
|                            OPCION..........:                                 |
|                                                                              |
|                                                                              |
|                                                                              |
|       <INTRO> REALIZAR CONSULTA, <PF3> SALIR                                 |
 ------------------------------------------------------------------------------

Administrador de entorno local

En esta opción definiremos los parámetros generales de funcionamiento de Editran/GC. Una vez dado de alta el entorno, sólo lo podremos modificar además de consultar, pero no dar de baja.

A continuación, se explican los parámetros de esta pantalla.

• Requiere Editran para Gestión (S/N):

Con este campo indicamos si queremos usar la aplicación para el envío y recepción de las claves intercambiadas.

• Prefijo de Instalación De Ficheros:

Es el prefijo con el que se crearán los ficheros para el intercambio de las claves.

• Aplicación Editran de Servicio:

En caso de utilizar la aplicación para el intercambio de claves se debe definir una sesión de presentación asociada a una de transmisión cuyo código de aplicación es el que figure en este parámetro. A través de estas sesiones se hará el envío y recepción de claves.

En el Anexo se muestra la pantalla de la configuración de la sesión de Editran en la que se debe configurar el EXTREMO LLAMANTE = X y SENTIDO DEL TRAFICO = X, además de los procedimientos propios de Editran/GC para el intercambio de claves.

• Prefijo Label:

Es el prefijo con el que empezarán todas las etiquetas de las claves cuando este nombre se genere de forma automática.

• Nombre de región y transacción para proceso Batch:

Nombre del procedimiento y su transacción asociada dónde se generan las claves.

• Nombre de procedimiento de gestión de claves:

Es el nombre del procedimiento previo específico para la carga y envío de las claves a través de la aplicación de servicio.

Los procedimientos propios de Editran/GC se muestran en el Anexo. El usuario que ejecute los procedimientos debe estar autorizado a crear claves RSA en el ICSF.

• Nombre UNIT Trabajo (SYSDA,VIO):

Nombre de la unidad para crear los ficheros de claves a intercambiar

• FICHAS DE JCL:

Las fichas de JCL con las que se lanzarán los procedimientos batch.

Gestión de claves propias RSA

En este apartado se detallan las pantallas que nos permiten gestionar las parejas de claves RSA que queramos tener en nuestra instalación.

Con las opciones meramente administrativas (A, B, M y C) procederemos a crear las características de un subsistema al que asociaremos una pareja de claves. El nombre del subsistema es cualquier letra o cualquier número del 0 al 9.

Los tres primeros datos que se pueden implementar son auto descriptivos. En cuanto a la Aplicación de Servicio es la que hayamos puesto en el Entorno, pero tenemos la opción de cambiarla.

• Label Pareja:

Al dar de alta aparece el nombre de la etiqueta que identificará en el fichero de ICSF la pareja de claves privada y pública, que genera por defecto el Editran/GC con el prefijo que se haya puesto en el Entorno más el código local de la entidad, el nombre del subsistema, ceros y el tipo de clave al que apunta. Estos nombres pueden ser cambiados según las necesidades de la entidad en la opción de alta.

• Longitud de generación de clave (BITS):

Indica la longitud con la que se generará la pareja de claves RSA, que podrá ser de 1024, 2048 o 4096 bits. Por defecto aparece 2048.

El resto de campos se completarán cuando procedamos a realizar la generación de la pareja de claves RSA, opción G de la pantalla previa. Cuando ésta sea la opción elegida y pulsemos <INTRO> en la pantalla aparecerá la siguiente advertencia:

Para completar la generación se tecleará “S” y se pulsará <PF2>, provocando la ejecución del procedimiento batch que efectúa la creación de las claves; cuando haya finalizado, al realizar una consulta veremos los datos de las claves generadas.

• Versión de las claves:

Nos indica el número de veces que hemos generado claves.

• Fecha y Hora de la Generación.

• Fecha y Hora de Modificación:

Indica la fecha y hora en que se ha realizado un cambio de estado para esa versión de las claves.

• Estado de la clave:

  • '4-ACTIVO': nos indica que es la pareja de claves que se utilizará para enviar.

  • '3-OPERATIVO': nos indica que se ha generado otra pareja de claves que está en estado activo y que esta versión está disponible para su uso, pero no se envía.

• Selección:

  • Tecleando una ‘S’ en el modo de consulta (opción ‘C’) podremos ver la clave pública.

• Tecleando una ‘A’ en el modo de modificación (opción ‘M’) podremos activar una clave que esté en estado operativo lo que implica que pase a estado activo y por consiguiente, la versión que estuviera activa pasará a operativa.

Para exportar una nueva versión de la clave a todos los remotos podemos utilizar la opción ‘E’ del menú. Al pulsar <INTRO> en la pantalla de la clave aparecerá la advertencia siguiente.

• Desea EXPORTAR:

Tecleando ‘S’ se generará un fichero con la clave pública para cada uno de los remotos.

• Desea ENVIAR:

Tecleando ‘S’ se pedirá el envío de cada uno de los ficheros por la aplicación de servicio que hayamos implementado.

Esta opción es equivalente a utilizar la opción G del punto 3 (ASOCIACION DE CLAVES PROPIAS RSA - GESTIONA EXPORTACION Y ENVIO DE CLAVES) aplicada a todos los remotos que tengamos definidos en la opción 3.

Para que el envío se realice adecuadamente a determinado remoto se seguirán las mismas validaciones que en el punto 3 y además se verificará que no exista una clave de ningún tipo pendiente de envío o de confirmación con ese remoto

Tras solicitar el envío se devolverá el número de remotos para los que se tiene asociada esta clave y el número de remotos a los que ha sido posible realizar el envío.

Asociación de claves propias RSA

Una vez que tenemos, al menos, una pareja de claves RSA ya estamos en disposición de poder enviar la clave pública a los remotos. Disponemos de las siguientes opciones.

Las opciones de administración nos permiten crear los perfiles de los remotos asociándolos a los subsistemas de las claves que deseamos enviar.

Los datos que aparecen son los mismos que están explicados en el apartado anterior y se añade el siguiente:

• Subsistema RSA para la firma:

Debemos poner el nombre de un subsistema del que hayamos intercambiado claves RSA con el remoto. En caso de ser la primera clave que enviamos, NO se implementará este parámetro.

La opción ‘G’ nos permitirá exportar la clave pública.

• Desea EXPORTAR:

Tecleando ‘S’ se generará el fichero con la clave pública para el remoto.

Desea ENVIAR:

Tecleando ‘S’ se pedirá el envío del fichero por la aplicación de servicio que hayamos implementado.

Para poder exportar la clave se verificará que exista una versión nueva de la clave RSA que no esté ya asociada a este remoto. Si se especificó Subsistema RSA para firmar se validará además que la clave de firma haya sido intercambiada previamente con el remoto.

Al volver a entrar en la administración podremos ver

• Estado de la clave:

  • '1-GENERADO': indica se ha creado el fichero con la clave pública.

  • '2-ENVIADO': se ha pedido el envío del fichero con la clave pública.

  • '3-OPERATIVO': esta versión está disponible para su uso, pero no para exportar.

  • '4-ACTIVO': está disponible para exportar además de usar.

  • '5-CANCELADO': no está disponible ni para exportar ni para usar.

• Selección:

  • Tecleando una ‘S’ en el modo de consulta (opción ‘C’) podremos ver la clave pública.

  • Tecleando una ‘A’ en el modo de modificación (opción ‘M’) podremos activar una clave cualquiera que sea su estado, lo que implica que pase a estado activo y por consiguiente, la versión que estuviera activa pasará a operativa.

  • Tecleando una ‘C’ en el modo de modificación (opción ‘M’) podremos cancelar una clave cualquiera que sea su estado. Al cancelar la clave se pasará a activa la última versión de la clave que esté operativa, si esto es posible.

Asociación de claves remotas RSA

El intercambio completo de claves RSA se produce cuando hayamos enviado nuestra clave pública y recibido la clave pública del remoto. Para preparar el archivo de la clave recibida tenemos esta opción.

Aquí asociamos la clave pública de un remoto con un subsistema, el nombre del subsistema será el elegido por el remoto del que recibimos la clave, y no tiene por qué ser el mismo con el que hayamos asociado la clave local.

Los datos de la pantalla que aparece a continuación son los mismos que los explicados en el punto 3.3: nombre de la etiqueta con el que se almacenará la clave pública del remoto en el fichero de ICSF y la longitud de la clave activa. Al igual que en el caso de las claves propias el nombre se puede cambiar según nuestra elección en la opción de alta.

Cuando entremos en modo consulta podremos visualizar la clave pública recibida para su comprobación con el remoto, al igual que en el apartado "Gestión de claves propias RSA".

La opción de modificación nos permitirá activar o cancelar una clave con las mismas observaciones que las explicadas en el punto anterior "Asociación de claves propias RSA".