Viafirma Platform

Configuración

Ficheros de configuración

El war de viafirma platform se entrega sin configuración, y por defecto, espera los ficheros de configuración en los siguientes paths:

Configuración de platform

/home/viafirma/viafirma_config/viafirmaConfig.properties

Configuración de EHCACHE

/home/viafirma/viafirma_config/ehcache.xml

Configuración de log4java

/home/viafirma/log4j.properties

Cambiar la ubicación de los ficheros de configuración

Para cambiar el path en el que war de viafirma espera los ficheros de configuración, los pasos a realizar son los siguientes:

Opción 1: antes del primer despliegue

  • Descomprimir el empaquetado (.war o .ear).
  • Modificar /WEB-INF/classes/viafirmaConfig.properties.

Opción 2: tras el primer despliegue

  • Parar el contenedor de aplicaciones.
  • Modificar /WEB-INF/classes/viafirmaConfig.properties.
  • Arrancar el contenedor de aplicaciones.

Parámetros de configuración

En el kit de instalación se hacen entrega de varios ficheros de configuración de ejemplo. Con configuración mínima de uso, y con la lista completa de parámetros disponibles para la versión distribuida.

Descripción de parámetros

Configuración Básica

Param Descripción
VIAFIRMA_CONFIGURATION_PATH path en el que se encuentran los ficheros de configuración. Por ejemplo, /home/viafirma/viafirma_config
URL_APLICACION URL desde la que será visible el servicio de viafirma platform. Por ejemplo http://192.168.10.20:8080/viafirma/
CONFIG_VIAFIRMA_CLIENT config del cliente de viafirma que se usa sólo para la aplicación de ejemplo disponible en /viafirma, por ejemplo: http://192.168.10.20:8080/viafirma;http://192.168.10.20:8080/viafirma;;
PATH_CUSTODIA PATH de custodia en caso de haber seleccionado la implementación basada en filesystem. Por ejemplo, /home/viafirma/storage/custody

Configuración de custodia

Param Descripción
REPOSITORIO_IMPL Si se omite este parámetro, la implementación por defecto será sobre filesystem. Para cambiar la custodia por defecto y definir una custodia basada en oracle o en caché, los valores posible serán: org.viafirma.util.OracleManagerFile y org.viafirma.util.CacheManagerFile respectivamente.
oracle_manager.default.datasourcename En caso de haber definido la custodia sobre oracle, en este parámetro definiremos el datasource name, por ejemplo: java:comp/env/jdbc/default_manager. El resource de conexión a la DB Oracle se deberá definir en el contexto o en la configuración específica de cada contenedor JEE según cada caso. Para poder hacer uso de la custodia consultar el capítulo 8.1 Custodia sobre Oracle en el ANEXO de esta documentación.

Configuración de Viafirma Manager

Esta configuración solo será necesaria en el caso que Viafirma Platforn haga uso de la aplicación Viafirma Manager.

Param Descripción
AUDITORY_REGISTER_IMPL Tipo de implementación utilizada para la auditoría de operaciones. Valor actualmente soportado: org.viafirma.util.security.AuditorySimpleFileRegisterLog
AUDITORY_REGISTER_DIRECTORY_LOG PATH donde se persistirán los logs de auditoría que serán procesados por viafirma manager. Por ejemplo: /home/viafirma/storage/auditory/auditory_platform/
AUDITORY_REGISTER_URL URL de viafirma manager asociado, por ejemplo: http://192.168.10.20:8080/viafirmaManager
ENABLE_DEFAULT_APP Activa/desactiva aplicacion por defecto, si app por defecto está activa no se contemplan restricciones de aplicaciones. Sólo aplica si viafirma platform está integrador con viafirma manager. Valores permitidos true y false.

Configuración de CA´s y Certificados

Param Descripción
VALIDACION_ONLINE Activa o desactiva la validación online de los certificados digitales. Valores permitidos: true y false.
PARAM_CERTIFICATE_VALIDATION_CLASS Se usa para indicar un plugin de validación de certificados externo. Valores válidos: Para @firma: org.viafirma.nucleo.validacion.AfirmaValidationHandler Para PSIS: org.viafirma.nucleo.validacion.PsisValidationHandler
PARAM_PSIS_VALIDATOR_URL En el caso de utilizar el validador de PSIS, se indicará en este parámetro la url del servicio de validación de PSIS
PARAM_AFIRMA_VALIDATOR_URL En el caso de utilizar el validador de @firma, se indicará en este parámetro la url del servicio de validación de @firma
KEYSTORE_PATH Configuración por defecto del keystore; si esta variable no se indica se usará el path por defecto de la JVM. Por ejemplo /home/viafirma/viafirma_config/cacerts
PATH_GROOVY Directorio para groovy's de soporte externo a CA´s, por ejemplo, /home/viafirma/viafirma_config/groovy.
Nota: Si el equipo técnico de viafirma contiene hace entrega de ficheros .groovy, éstos deben ser copiados al path "PATH_GROOVY"/caSupports.
DEFAULT_CA Activa/desactiva la carga de CA por defecto de viafirma (Recomendado 'false' para fuera de España). Valores permitidos: true y false

Configuración de Servicio de Sellado de Tiempo

Param Descripción
TSA_URL URL para el servicio de estampa de tiempo, por ejemplo, http://testtsa.avansi.com.do
TSA_CREDENTIALS Se usa en caso de que el servicio de la TSA esté securizado mediante auteticación básica. El formato es user;password
TSA_POLICY_ID (Opcional) Se usa en caso de que el servicio de la TSA requiera que se informe un OID de política en las peticiones que se le realicen.

Configuración Seguridad

Param Descripción
ALLOWED Securización de las conexiones WS entrantes. Indica aquellas IPs autorizadas. Permite el uso de máscaras, por ejemplo 10.69.44.,127.0.0.1,192.168.10.
CACHE_KEY En caso de cifrar la caché, este parámetro indica la palabra de paso, por ejemplo: 12345678
PARAMS_CIPHERED Permite cifrar valores de la configuración para evitar que se distribuyan en claro. Para cifrar, indicar como valor true, y afecta a los parámetros CACHE_KEY y TSA_CREDENTIALS.
FORCE_AUTH_PASSWORD Activa/desactiva la petición de pass en autenticaciones con smartcards. Valores permitidos: true y false. Si este parámetro no existe o vale false, la solicitud de PIN para el acceso a smartcards dependerá de la política de seguridad gesitonada por el sistema operativa, el cual permite cacheo de PIN en determinadas políticas y dispositivos.

Configuración HSM

Viafirma platform se puede configurar con HSM de los fabricantes Safenet y Thales. Si deseas configurar un HSM de otro fabricante, ponte en contacto con nosotros.

HSM Luna de Safenet
Param Descripción
KEYSTORE_HSM_SAFENET_LUNA Configuración para el almacenamiento HSM . Viafirma utilizará HSM para el manejo de certificados . Nota : Si el parámetro no está activado o vale "false" y no hay ningún Keystore configurado, Viafirma usa de almacén de certificados por defecto (cacerts). Valores permitidos true y false.
KEYSTORE_HSM_SAFENET_LUNA_PASS Clave para la conexión para el manejo de certificados mediante HSM
HSM_SLOT Slot de conexión para el manejo de certificados mediante HSM
HSM Luna de WRAP
Param Descripción
KEYSTORE_HSM_SAFENET_LUNA_UNWRAP Configuración para el almacenamiento de certificados encriptados por HSM . Viafirma utilizará HSM para el encriptado/desencriptado de certificados. Los certificados se almacenarán encriptados en un repositorio externo. Nota : Si el parámetro no está activado o vale "false" y no hay ningún Keystore configurado, Viafirma usa de almacén de certificados por defecto (cacerts). Valores permitidos true y false.
KEYSTORE_HSM_SAFENET_LUNA_PASS Clave para la conexión para el manejo de certificados mediante HSM
HSM_SLOT Slot de conexión para el manejo de certificados mediante HSM
UNWRAP_AES_ALIAS Alias de la clave AES almacenada en HSM que se utilizará para el encriptado/desencriptado de los certificados. Esta clave AES está marcada como no exportable dentro del HSM.
UNWRAP_DATASOURCE Base de datos que se usará como repositorio externo de certificados encriptados. Por ejemplo "java:comp/env/jdbc/nameWrapDataBase". Nota: la base de datos solo puede ser Oracle o PostgreSQL.
HSM nCipher de Thales
Param Descripción
PKCS11_HSM_CONFIG Ruta del fichero de configuración del HSM. Por ejemplo "/home/viafirma/hsm/hsm_ncipher_pkcs11.cfg"
HSM_REFRESH_PASS Clave de acceso a la página del refresco del HSM. Página de acceso "http://192.168.10.20:8080/viafirma/hsm/verify"

Configuración de Viafirma Identity

Esta configuración solo será necesaria en el caso que Viafirma Platforn haga uso de la aplicación Viafirma Identity.

Param Descripción
IDENTITY_API_URL URL de viafirma identity asociado. Por ejemplo: http://192.168.10.20:8080/identity
IDENTITY_SERVICE_USERNAME Variable opcional. Usuario para autenticacion básica en los servicios de identity
IDENTITY_SERVICE_PASSWORD Variable opcional. Contraseña del usuario para autenticacion básica en los servicios de identity
SSL_KEYSTORE_LOCATION Ruta de acceso al almacén de certificados de dónde están las claves SSL para las solicitudes HTTPS. Por ejemplo: /home/viafirma/ssl/identity_keystore.jks
SSL_KEYSTORE_PASSWORD Contraseña de acceso al keystore definido en la variable SSL_KEYSTORE_LOCATION
SSL_HOSTNAME_VERIFIER Define el host para verificar la solicitud ssl a identity. Valores permitidos ALLOW_ALL, STRICT, BROWSER_COMPATIBLE. Valor por defecto BROWSER_COMPATIBLE
REQUIRED_IDENTITY_INTEGRATION Limita el uso, solo para la aplicación indetity, de los certificados instalados en el servidor. Si no se define dicha variable, el valor por defecto será 'false'. Valores permitidos true y false.

Otras configuraciones

Param Descripción
HIDE_ANDROID_DOWNLOAD_DOCUMENT Permite parámetro de contexto (o policy) para ocultar el botón de descargar documento desde la app Android. Requiere actualización del cliente de Android.
KEEP_INPUT_XML_ENCODING_HEADER Controla que los xml firmados en XADES, mantengan el encoding con la cabecera original, es decir, la de entrada. Por defecto si no aparece esta variable será a 'false', por lo que el encoding y cabecera por defecto será UTF-8.