guía de instalación de sealsign sqs

ElevenPaths, innovación radical y disruptiva en seguridad

2015 © Telefonica Digital Identity & Privacy, S.L.U. All Rights Reserved. Página 2 de 15

Contenidos

1 Introducción ............................................................................................................... 3

2 Requisitos de instalación de SealSign SQS .................................................................... 4

2.1 Requisitos del servidor del módulo SQS ................................................................................... 4

2.2 Requisitos del módulo de impresora virtual ............................................................................ 4

2.3 Requisitos de los clientes del módulo SQS ............................................................................... 4

3 Instalación y configuración del módulo SealSign SQS ................................................... 6

3.1 Instalación y configuración del servidor de SQS ....................................................................... 6

3.1.1 Instalación del servidor de SQS .................................................................................................. 6

3.1.2 Configuración del servidor de SQS ............................................................................................. 7

3.2 Instalación y configuración del módulo de impresora virtual .................................................. 8

3.2.1 Instalación del módulo de impresora virtual .............................................................................. 8

3.2.2 Configuración del módulo de impresora virtual ....................................................................... 10

3.2.3 Creación de nuevas impresoras de firma ................................................................................. 10

3.3 Instalación y configuración del módulo cliente ...................................................................... 10

3.3.1 Instalación del módulo cliente para la plataforma Windows ................................................... 10

3.3.2 Configuración del módulo cliente para la plataforma Windows .............................................. 11

3.3.3 Instalación del módulo cliente para Android ........................................................................... 11

3.3.4 Configuración del módulo cliente para Android ...................................................................... 11

4 Resolución de problemas de instalación ..................................................................... 12

4.1 Error 80070005 ....................................................................................................................... 12

4.2 Error 80040154 ....................................................................................................................... 13

5 Recursos .................................................................................................................... 14


Introducción

SealSign SQS (Signature Queue Services) es un módulo destinado a la gestión de colas de trabajos de firma biométrica. El objetivo es encolar, de manera sencilla, documentos a firmar biométricamente para poder firmarlos posteriormente sin necesidad de realizar modificaciones en las aplicaciones existentes. Para ello, junto con el servicio web de colas de firma, se puede crear una cola virtual de impresión en plataformas Windows de modo que, cualquier documento que se mande a imprimir a esta cola, será convertido a pdf y encolado en los servicios de SQS para su posterior firma. Para la firma de los documentos encolados en SQS, existen, en la actualidad, agentes para la plataforma Windows y para los dispositivos Android.

Imagen 01: Módulos de SealSign para SQS.

La solución de colas de firma e impresión virtual se compone de los siguientes módulos:

Módulo SQS (Signature Queue Services): Se trata del servicio web de gestión de colas de trabajos de firma. Los servicios proporcionados por este módulo son usados tanto por el módulo de impresora virtual como por los agentes para Windows y Android. En el otro extremo, SQS usa los servicios web de SealSign BSS para realizar el proceso de inclusión de firma manuscrita de documentos.

Módulo Virtual Printer: Este módulo permite la creación de una o varias impresoras virtuales en la plataforma Windows. A través de la impresora virtual, es posible encolar trabajos de firma sin necesidad de modificar las aplicaciones existentes.

Módulo Cliente: Se trata de la aplicación cliente de firma de trabajos existentes en las colas de SQS. Permite la captura de la firma manuscrita usando tabletas Wacom en entornos Windows o mediante tabletas con Android

Tanto los textos como las imágenes utilizadas en esta guía están basados en un sistema operativo Microsoft Windows 2012, aunque cualquier administrador de sistemas podrá realizar la instalación del producto en otras versiones.


Requisitos de instalación de SealSign SQS

2.1 Requisitos del servidor del módulo SQS

La arquitectura del producto SealSign SQS descansa sobre los servicios de firma manuscrita proporcionados por la plataforma de firma SealSign. Por tanto para utilizar el producto es obligatorio disponer de una instalación de SealSign BSS con todos los módulos necesarios para la misma. La instalación de dichos módulos se detalla en la guía “SealSign BSS – Guía de instalación”.

Los requisitos necesarios para instalar SQS básicamente son:

Sistema operativo Microsoft Windows (recomendable un sistema operativo de servidor).

.NET Framework 3.5 SP1.

IIS 6 (recomendable IIS 7).

Gestor de base de datos SQL Server u Oracle.

Configurar correctamente el rol del servidor de aplicaciones y el rol de servidor web (IIS).

En la guía de instalación de SealSign DSS están todos los detalles acerca de estos requisitos de instalación, incluyendo las configuraciones del rol de servidor de aplicaciones y del rol de servidor web.

Debido a que el funcionamiento del módulo SQS, está condicionado por los módulos de SealSign BSS, se pueden presentar dos escenarios distintos:

Los 3 módulos están instalados en la misma máquina. Este es el escenario más habitual, en tal caso lo recomendable es instalar previamente los módulos de SealSign BSS. La instalación de dichos módulos requiere de unas configuraciones previas muy importantes que están detalladas en la guía anterior. Tras la instalación de estos se instalará el módulo SQS, tal y como se va a contemplar en esta guía.

Los módulos están en máquinas distintas. Puede darse el caso de que los módulos de SealSign BSS estén en una máquina y el módulo SQS esté en otra distinta. En tal caso ambas máquinas deben cumplir los prerrequisitos mencionados en la guía anterior, así como disponer de la configuración adecuada en el rol de servidor de aplicaciones y en el rol de servidor web.

2.2 Requisitos del módulo de impresora virtual

El módulo de impresora virtual proporciona la posibilidad de crear una o varias impresoras virtuales asociadas al servicio de colas de impresión de Windows.

Los requisitos necesarios para instalar el módulo de impresora virtual y SQS básicamente son:

Sistema operativo Microsoft Windows.


Un servidor con el módulo servidor de SQS accesible desde el equipo.

2.3 Requisitos de los clientes del módulo SQS

El módulo proporciona su funcionalidad a través de servicios web, por tanto el único requisito imprescindible para ser un cliente potencial de SealSign SQS, es disponer de una aplicación capaz de consumir servicios web, independientemente del sistema operativo en el que se esté ejecutando.


En cualquier caso, tal y como se ha comentado anteriormente, existen dos aplicativos cliente genéricos que permiten la explotación de los trabajos encolados en el servidor de SQS.

Los requisitos para la aplicación cliente en Windows son:

Sistema operativo Microsoft Windows (recomendable un sistema operativo de servidor).


Para el caso de la aplicación cliente en tabletas Android, el requisito es que la versión de Android sea la 4.2 o superior.


Instalación y configuración del módulo SealSign SQS

3.1 Instalación y configuración del servidor de SQS

3.1.1 Instalación del servidor de SQS La instalación del servidor se realiza como muchos programas de Microsoft Windows, es decir, siguiendo los pasos de un asistente.

Durante la instalación, hay que indicar de la lista de sitios web disponibles, aquel en el que se desea instalar el servicio de firma electrónica SealSign DSS, el nombre del directorio virtual y el Application Pool de aplicación que se configuró en el IIS (SealSignAppPool en este caso).

Imagen 02: Configuración durante la instalación del módulo SQS.

Tras la instalación se ha añadido como un programa más en la lista de programas del Panel de Control, y en el IIS se mostrará como una aplicación web.


Imagen 03: Módulo ya integrado como aplicación web en IIS.

3.1.2 Configuración del servidor de SQS Se realiza en el fichero de configuración connectionStrings.Config. Este se encuentra ubicado en el directorio SealSignSQSService del sitio Web donde se haya instalado el producto. Dicho fichero incluye la cadena de conexión a la base de datos creada anteriormente en SQL Server (SealSignDSS), además de otros parámetros que hay que tener en cuenta:

<connectionStrings>

<add name="SealSignDSSConnectionString"

connectionString="Data Source=localhost;

Initial Catalog=SealSignDSS;

Trusted_Connection=Yes;

persist security info=False;

TrustServerCertificate=True" />

</connectionStrings>

En caso de que la base de datos utilizada sea SQL Server simplemente habrá que modificar los parámetros anteriores para adaptarse a la configuración realizada anteriormente en la base de datos. En esta dirección se puede obtener información sobre la creación de cadenas de conexión en SQL Server.

En caso de que la base de datos sea Oracle, hay que modificar los siguientes parámetros:

Cambiar el valor de la clave FactoryProvider y establecerlo a System.Data.OracleClient en el fichero web.config ubicado en el mismo directorio en el que se encuentra el fichero connectionStrings.config.

En la etiqueta connectionStrings hay que configurar la cadena de conexión para el acceso a Oracle. En esta dirección es posible informarse sobre la creación de cadenas de conexión en Oracle.

http://msdn.microsoft.com/en-us/library/ms254500.aspx

http://docs.oracle.com/html/E10927_01/featConnecting.htm#i1006259


Hay que modificar el atributo connectionString de la etiqueta add, y establecerlo con el siguiente formato: Data Source=(DESCRIPTION=(ADDRESS=(PROTOCOL=XXX)(HOST=XXX)(PORT=XXX)) (CONNECT_DATA=(SID=XXX)));User Id=identificadorUsuario;Password=Contraseña;

Un ejemplo de conexión podría ser el siguiente:

Fichero web.config:

...

<appSettings>

<add key="FactoryProvider" value="System.Data.OracleClient" />

...

</appSettings>

...

Fichero connectionStrings.config:

<connectionStrings>

<add name="SealSignDSSConnectionString"

connectionString="Data Source=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)

(HOST=172.54.110.112)(PORT=1521))(CONNECT_DATA=(SID=orcl)));

User Id=SealSignDSS; Password=1234546;” />

</connectionStrings>

3.2 Instalación y configuración del módulo de impresora virtual

3.2.1 Instalación del módulo de impresora virtual La instalación del módulo de impresora virtual de firma se realiza siguiendo los pasos de un asistente. Durante la instalación el asistente mostrará tres ventanas en las que se deberán configurar diversos parámetros.

En la primera ventana se configurará el nombre de la impresora virtual que se va a crear:

Imagen 04: Configuración del nombre de la impresora virtual.


En la segunda ventana se configurarán los parámetros de conexión con el servicio web de SQS:

Imagen 05: Configuración de los parámetros de conexión con el servidor de SQS.

En la tercera ventana se pueden configurar dos parámetros válidos para escenarios avanzados:

La cuenta de usuario a la que se asigna el trabajo de firma, en formato samAccountName (dominio\cuenta). Con esta configuración, los trabajos de firma siempre pertenecen a un único usuario independientemente de quién los envíe a imprimir. De este modo, se habilitan escenarios en los que hay varios puestos o usuarios generando la documentación y solamente se firma desde un único puesto o usuario. Por defecto el propietario del trabajo será el usuario que realiza la impresión del documento.

El nombre de la cola de SQS a la que se conectará la impresora virtual. Con esta configuración es posible tener varias impresoras virtuales dejando trabajos en una misma cola de firma. Por defecto el nombre de la cola es el mismo que el de la impresora.

Imagen 06: Configuración de otros parámetros.


3.2.2 Configuración del módulo de impresora virtual Todos los parámetros especificados durante la instalación, quedan almacenados dentro del fichero de configuración SealSignVirtualPrinter.exe.config. Este fichero se encuentra ubicado en el directorio %program files%\SMART ACCESS S.L\SealSign Virtual Printer del equipo en cuestión.

En caso de ser necesario modificar alguno de los parámetros configurados durante la instalación, es posible realizar este cambio modificando el contenido de dicho fichero y reiniciando el servicio de Colas de Impresión de Windows.

3.2.3 Creación de nuevas impresoras de firma Una vez instalado el software de la impresora virtual de firma de SealSign, es posible añadir nuevas impresoras virtuales (además de la creada durante la instalación) para cubrir, por ejemplo, escenarios en los que las impresoras se instalan en un servidor de impresión y se comparten por red.

Para crear una nueva impresora de firma, en el menú de inicio del equipo, aparecerá un enlace denominado SealSign New Virtual Printer Wizard. Ejecutándolo aparecerá la siguiente ventana:

Imagen 07: Creación de Impresoras de Firma.

Se puede especificar el nombre de la nueva impresora así como los parámetros de propietario único y el nombre de la cola de trabajos de firma de SQS, tal y como se explicaron en el punto de instalación del módulo de impresora virtual.

3.3 Instalación y configuración del módulo cliente

3.3.1 Instalación del módulo cliente para la plataforma Windows La instalación del módulo cliente se realiza siguiendo los pasos de un asistente y no necesita ninguna configuración durante su instalación.


Imagen 08: Fin de la instalación del cliente de SQS.

3.3.2 Configuración del módulo cliente para la plataforma Windows La instalación del módulo cliente se realiza directamente mediante el interfaz gráfico. Para más información sobre la configuración del módulo cliente para Windows se puede acudir al manual de usuario de la aplicación.

3.3.3 Instalación del módulo cliente para Android Para la instalación en dispositivos Android se proporciona un APK. Para poder instalarlo, será necesario activar la opción Orígenes desconocidos existente bajo la sección Administrador de Dispositivos del menú de Seguridad de Android.

3.3.4 Configuración del módulo cliente para Android La instalación del módulo cliente se realiza directamente mediante el interfaz gráfico. Para más información sobre la configuración del módulo cliente para Android se puede acudir al manual de usuario de la aplicación.


Resolución de problemas de instalación

El proceso de instalación de los servicios de firma electrónica incluye un sistema de monitorización y seguimiento de errores propio de SealSign. De esta forma todos los errores, avisos y mensajes informativos se registran en su propio Log de aplicación integrado en Microsoft Windows. Dado que el módulo servidor de CKC se integra como un add-in de SealSign DSS, los errores de este módulo se incluirán dentro del log de SealSign DSS.

Por otro lado, del mismo modo que en la parte servidora, el módulo cliente crea un log personalizado en cada equipo bajo el nombre de Key Control.

Por tanto en caso de identificar algún problema en los servicios se recomienda revisar el log SealSign DSS en el servidor y el log Key Control en los puestos cliente.

Imagen 09: Visor de eventos de Microsoft Windows.

Los problemas más comunes que pueden ocurrir durante la instalación de SealSign CKC son los ocasionados por la obtención de la licencia, y su identificador es el 3011.

En la “Guía de monitorización de SealSign DSS”, se incluyen todos los detalles acerca de cómo monitorizar el estado de salud de la plataforma y ver los posibles errores que se pueden dar

durante su utilización.

4.1 Error 80070005

Este error se produce generalmente cuando el usuario con el que está configurado el Application Pool no tiene permisos para instanciar el componente de gestión de licencias. Dicho componente se registra en la maquina durante el proceso de instalación. El mensaje generado es el siguiente:

An error has ocurred obtaining license information: Retrieving the COM class factory for component with CLSID {554A6D3B-2FEF-4C2F-B34C-AF6185EB2759} failed due to the following error: 80070005. at SealSignDSSLibrary.SealSignDSSLicense.InitializeLicense(String licenseFile)

Para solucionarlo, basta con proporcionar permisos de activación al usuario del Application Pool. Esto se pude hacer con la herramienta DCOMCNFG.EXE, buscando el componente LicProtector Server:


Imagen 10: Herramienta DCOMCNFG.EXE.

A través del botón derecho se puede acceder a las propiedades de este elemento, donde está la pestaña Security, desde la cual se podrá dar permisos al usuario del Application Pool.

Imagen 11: Configuración de permisos.

4.2 Error 80040154

Este error se produce generalmente en entornos de 64 bits cuando la configuración de activación del componente de gestión de licencias se ha modificado o borrado. Dicho componente se registra en la máquina durante el proceso de instalación. El mensaje generado es el siguiente:

An error has ocurred obtaining license information:

Retrieving the COM class factory for component with CLSID {554A6D3B-2FEF-4C2F-B34C-AF6185EB2759} failed due to the following error: 80040154. at SealSignDSSLibrary.SealSignDSSLicense.InitializeLicense(String licenseFile)

Para regenerar la configuración de activación del componente se puede ejecutar el fichero DllSurrogate.reg provisto con los módulos de instalación.


Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

http://blog.elevenpaths.com/

https://www.youtube.com/user/ElevenPaths

http://vimeo.com/elevenpaths

http://www.slideshare.net/elevenpaths/


La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Junio 2015

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

guía de instalación de sealsign sqs

Technology