Guía de Monitorización de SealSign (incluye DSS, BSS, CKC y DSR)

[email protected]

elevenpaths.com

Guía de monitorización de SealSign

(incluye DSS, BSS, CKC y DSR)

Guía de monitorización de SealSign (incluye DSS, BSS, CKC y DSR)

V.3.1 – Octubre 2016

2016 © Telefónica Digital España, S.L.U. Todos los derechos reservados. Página 2 de 13

CONTENIDOS

1 Instrumentación ......................................................................................................... 3

2 Monitorización............................................................................................................ 4

Heartbeat .................................................................................................................................. 4

2.1.1 Ejemplo de llamada .................................................................................................................... 4

2.1.2 Ejemplo de respuesta correcta ................................................................................................... 4

2.1.3 Respuesta con problema de acceso a BBDD .............................................................................. 4

3 Referencia de Eventos ................................................................................................. 7

Categorías ................................................................................................................................. 7

Posibles Eventos ....................................................................................................................... 7

4 Recursos .................................................................................................................... 12




1 Instrumentación

Los servicios SealSign proveen diversos tipos de instrumentos que permiten controlar el estado y comportamiento de la aplicación por su administrador.

Los elementos disponibles son los siguientes:

Eventos y Log del IIS: Los servicios SealSign hacen uso intensivo de la plataforma IIS. De esta forma, los eventos relativos a problemas en la plataforma, por debajo del nivel de aplicación, se pueden monitorizar siguiendo las prácticas recomendadas por Microsoft.

Para más información: http://technet.microsoft.com/en-us/library/cc730608(v=ws.10).aspx

Eventos de SealSign: En el proceso de instalación de los servicios de firma electrónica y biométrica se incluye un sistema de monitorización y seguimiento de errores propio de SealSign. De esta forma todos los errores, avisos y mensajes informativos se registran en su propio Log de aplicación integrado en Microsoft Windows.

El log se denomina SealSign DSS y reside bajo el nodo de Log de Aplicaciones y Servicios:

Imagen 01: SealSign en el visor de eventos de Microsoft Windows.

Fichero de trazado WCF: Los servicios SealSign hacen uso de la tecnología WCF para la comunicación con las aplicaciones cliente. En caso de problemas en la comunicación, debidos tanto a errores de protocolo como del servicio, suele ser útil habilitar las trazas de WCF.

Los ficheros de configuración (web.config) de SealSign incluyen, comentados, los parámetros necesarios para activar dichas trazas.

Puede accederse a más información en la siguiente dirección web: http://msdn.microsoft.com/en-us/library/ms731859(v=vs.90).aspx

Registro de Auditoría: SealSign dispone de un sistema de auditoría que permitirá al administrador conocer qué operaciones se realizan en el sistema, quién las realiza y el resultado de las mismas. Este registro se almacena en la BBDD de SealSign.

http://technet.microsoft.com/en-us/library/cc730608(v=ws.10).aspx

http://msdn.microsoft.com/en-us/library/ms731859(v=vs.90).aspx

http://msdn.microsoft.com/en-us/library/ms731859(v=vs.90).aspx




2 Monitorización

Heartbeat En algunas instalaciones es necesario implementar un mecanismo de heartbeat que permita, aun sin peticiones de clientes, determinar el estado de salud de la plataforma. Los servicios SealSign permiten realizar una comprobación básica a partir de la versión 2.10 mediante una llamada SOAP al método HeartBeat. Dicho método realizará las inicializaciones típicas de una operación de firma (acceso a licencias, acceso a BBDD, etcétera). A continuación se muestra un ejemplo de llamada, un ejemplo de respuesta correcta y otro con error de acceso a BBDD.

2.1.1 Ejemplo de llamada <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"

xmlns:tem="http://tempuri.org/">

<soapenv:Header/>

<soapenv:Body>

<tem:HeartBeat/>

</soapenv:Body>

</soapenv:Envelope>

2.1.2 Ejemplo de respuesta correcta <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">

<s:Body>

<HeartBeatResponse xmlns="http://tempuri.org/"/>

</s:Body>

</s:Envelope>

2.1.3 Respuesta con problema de acceso a BBDD En este caso las respuestas son exactamente iguales, salvo las rutas, que difieren según se utilice un módulo u otro, por lo que se va a mostrar un ejemplo de cada uno de ellos.

Para una mejor apreciación de las diferencias entre las respuestas de cada módulo, se ha resaltado en negrita las diferencias existentes entre cada una de las respuestas.

2.1.3.1 Caso 1: módulo DSS <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">

<s:Body>

<s:Fault>

<faultcode>s:Client</faultcode>

<faultstring xml:lang="es-ES">ExecuteReader: la propiedad Connection no se ha

inicializado.</faultstring>

<detail>

<SealSignDSSFaultContract

xmlns="http://schemas.datacontract.org/2004/07/SealSignDSSService"

xmlns:i="http://www.w3.org/2001/XMLSchema-instance">

<errorCode>3221228472</errorCode>

<message>ExecuteReader: la propiedad Connection no se ha

inicializado.</message>

<stackTrace>en

SealSignDSSLibrary.SealSignDSSConfiguration.GetConfigurationContext() en

Y:\Proyectos\SealSign\SealSignDSS.root\SealSignDSS\SealSignDSSConfiguration\SealSignDSSConfigu

ration.cs:línea 353

en SealSignDSSService.SignatureServiceBasic.HeartBeat() en

Y:\Proyectos\SealSign\SealSignDSS.root\SealSignDSS\SealSignDSSService\SignatureServiceBasic.sv

c.cs:línea 71</stackTrace>

</SealSignDSSFaultContract>

</detail>

</s:Fault>

</s:Body>

</s:Envelope>




2.1.3.2 Caso 2: módulo BSS <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">

<s:Body>

<s:Fault>




<detail>


xmlns="http://schemas.datacontract.org/2004/07/SealSignBSSService"





<stackTrace>en




en SealSignBSSService.BiometricSignatureServiceBasic.HeartBeat() en

Y:\Proyectos\SealSign\SealSignDSS.root\SealSignDSS\SealSignBSSService\BiometricSignatureServic

eBasic.svc.cs:línea 71</stackTrace>


</detail>

</s:Fault>

</s:Body>

</s:Envelope>

2.1.3.3 Caso 3: módulo CKC <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">

<s:Body>

<s:Fault>




<detail>


xmlns="http://schemas.datacontract.org/2004/07/SealSignDSSKeyControl"





<stackTrace>en




en SealSignDSSKeyControl.SignatureServiceBasic.HeartBeat() en

Y:\Proyectos\SealSign\SealSignDSS.root\SealSignDSS\SealSignDSSKeyControl\KeyControlService.svc

.cs:línea 71</stackTrace>


</detail>

</s:Fault>

</s:Body>

</s:Envelope>

2.1.3.4 Caso 4: módulo DSR <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">

<s:Body>

<s:Fault>




<detail>


xmlns="http://schemas.datacontract.org/2004/07/SealSignDSRService"





<stackTrace>en







en SealSignDSRService.SignatureServiceBasic.HeartBeat() en

Y:\Proyectos\SealSign\SealSignDSS.root\SealSignDSS\SealSignDSRService\SecureStorageBasic.svc.c

s:línea 71</stackTrace>


</detail>

</s:Fault>

</s:Body>

</s:Envelope>




3 Referencia de Eventos

Cada evento, además de una descripción y los parámetros más significativos del problema, incluye una representación de la pila con el método que produce el error.

Categorías

Eventos de Desarrollo: Los eventos bajo esta categoría están relacionados con aspectos de desarrollo e integración en la plataforma. Las acciones a realizar corresponden al desarrollador de la aplicación cliente y no serán necesarias acciones por parte del administrador de la plataforma.

Eventos Críticos: Los eventos críticos implican un problema que impide el funcionamiento de la plataforma a nivel general. Serán necesarias acciones correctoras urgentes por parte del administrador de la plataforma.

Eventos de Operación: Los eventos de estado implican un problema asociado a una operación concreta y no afectan al funcionamiento de la plataforma. Dependiendo del error pueden ser necesarias acciones correctoras por parte del administrador de la plataforma.

Posibles Eventos

A continuación se muestra una tabla con los problemas más comunes que pueden ocurrir durante la operación de SealSign. Estos eventos se registran en el log de aplicación específico de SealSign.




Evento Mensajes (en-es) Descripción Categoría Acciones correctoras

Evento 3000

An unhandled exception has occurred on SealSignDSS.

Se ha producido una excepción no controlada en SealSign DSS.

Este evento indica un error genérico en la ejecución del servicio.

Evento de operación.

• Identificar la causa del error en la descripción del evento en el Log de SealSign.

• Exportar los log de aplicación, sistema y SealSign, y reportarlos al servicio de soporte de ElevenPaths.

Evento 3001

An error has occurred accessing SealSign DSS database.

Se ha producido un error al acceder a la base de datos de SealSign DSS.

Este evento indica un error de acceso a BBDD. Este problema se suele producir cuando la conectividad con la BBDD se ha perdido.

Evento crítico.

• Comprobar la conectividad con la BBDD.

• Comprobar la configuración de seguridad de acceso a la BBDD desde el Pool de IIS.

Evento 3002

An error has occurred accesing PKCS#11 device.

Se ha producido un error accediendo a un dispositivo PKCS#11.

Este evento indica un error en el acceso al dispositivo PKCS11 donde se encuentran ubicados los certificados.

Evento crítico.



Evento 3003

An error has occurred while creating timestamp request.

Se ha producido un error durante la creación de una petición de sellado de tiempo.

Este evento indica un error de acceso al proveedor de sellos de tiempo. Este problema se suele producir cuando la conectividad con el proveedor de sellos de tiempo se ha perdido.

Evento crítico.

• Comprobar la conectividad con el proveedor de sellos de tiempo.

• Comprobar el estado de licenciamiento del proveedor de sellos de tiempo.

Evento 3005

An error has occurred opening a PKCS#12 file.

Se ha producido un error abriendo un fichero PKCS#12.

Este evento indica un error importando o abriendo un certificado almacenado en un fichero PKCS#12 (p12 o pfx).


• Comprobar el formato del fichero a importar con herramientas externas.

Evento 3006

A password error has occurred opening a PKCS#12 file.

Se ha producido un error de contraseña abriendo un fichero PKCS#12.

Este evento indica un error de contraseña importando o abriendo un certificado almacenado en un fichero PKCS#12 (p12 o pfx).


• Comprobar la contraseña del fichero a importar con herramientas externas.

• Si el certificado que está siendo utilizado corresponde a un certificado usado por la plataforma servidora de SealSign será necesario revisar la configuración, reescribiendo la contraseña si fuese necesario.





Evento 3007

A error has ocurred validating a certificate.

Se ha producido un error validando un certificado.

Este evento indica un error criptográfico al validar un certificado de una firma electrónica. Por ejemplo, si el certificado está mal formado.


• Si el certificado que está siendo validado corresponde a un certificado utilizado por la plataforma servidora de SealSign será necesario revisar la configuración, reimportando el certificado si fuese necesario.

Evento 3008

An invalid argument has been received.

Se ha recibido un argumento inválido.

Este evento indica una llamada a un método del servicio con un parámetro erróneo. En la descripción del evento se identificará el parámetro que está ocasionando el problema.

Evento de desarrollo.

• Revisar la llamada desde la aplicación cliente.

Evento 3009

An error has occurred obtaining configuration from SealSign DSS database.

Se ha producido un error obteniendo la configuración de la base de datos de SealSign DSS.

Este evento indica un error de acceso a la BBDD de configuración del servicio. Se suele producir cuando la versión de la BBDD de configuración difiere de la versión del servicio. En la descripción del evento se identificará el punto donde se ha producido el error.

Evento crítico.


• Comprobar la conectividad con la BBDD.

• Comprobar la configuración de seguridad de acceso a la BBDD desde el Pool de IIS.

• Restaurar la BBDD de configuración de backup.

Evento 3011

An error has ocurred obtaining license information:

Retrieving the COM class factory for component with CLSID {554A6D3B-2FEF-4C2F-B34C-AF6185EB2759} failed due to the following error: 80070005. at SealSignDSSLibrary.SealSignDSSLicense.InitializeLicense(String licenseFile).

Este error se produce generalmente cuando el usuario con el que está configurado el Pool no tiene permisos para instanciar el componente de gestión de licencias. Dicho componente se registra en la maquina durante el proceso de instalación.

Evento crítico.

• Para dar permisos de activación al usuario del Pool se puede utilizar la herramienta DCOMCNFG.EXE y buscar el componente LicProtector Server, (véase imagen 02).

• A continuación se debe acceder a la pestaña de seguridad, marcar la opción personalizada de permisos de activación y dar permisos al usuario del Pool, (véase imagen 03).

Evento 3012

Document format is not valid.

El formato del documento no es válido.

Este evento indica un error de formato en el documento que está siendo firmado.


• Revisar que en la aplicación cliente el formato especificado y el formato real del documento coinciden.





Evento 3014

License not initialized.

Licencia no inicializada.

Este evento indica un error de acceso al fichero de licencia del producto o una licencia invalida.

Evento crítico.


• Revisar permisos de acceso del fichero de licencias desde el Pool de IIS.


Evento 3015

A password error has occurred accessing a PKCS#11 device.

Se ha producido un error accediendo a un dispositivo PKCS#11.

Este evento indica un error de contraseña accediendo a un certificado almacenado en un slot PKCS#11


• Comprobar la contraseña del slot con herramientas externas.

• Si el certificado que está siendo utilizado corresponde a un certificado usado por la plataforma servidora de SealSign será necesario revisar la configuración, reescribiendo la contraseña si fuese necesario.

Evento 3016

The SealSign license information is not valid or has been modified.

La información de licencia de SealSign no es válida o ha sido modificada.

Este evento indica un error de acceso al fichero de licencia del producto o una licencia invalida.

Evento crítico.


• Revisar permisos de acceso del fichero de licencias desde el Pool de IIS.


Evento 3020

A security error has occurred.

Se ha producido un error de seguridad.

Este evento indica un error de acceso denegado a métodos de administración. Se suele producir cuando un usuario sin permisos trata de modificar la configuración del producto.


• Revisar la configuración de seguridad de la cuenta del usuario. Para realizar tareas administrativas en la plataforma es necesario que el usuario pertenezca al grupo SealSignDSS Admins.

Evento 3035

Encrypted credential could not be decrypted with current certificate.

La credencial no se pudo descifrar con el certificado actual.

Este evento indica un error de acceso a las credenciales de una firma biométrica (metadatos y patrón biométrico)1.


• Importar la clave privada del certificado en la plataforma.

1 Esto es debido a que la información está cifrada con una clave pública y la plataforma no dispone de la clave privada correspondiente. Este problema suele ocurrir cuando se verifica una firma en un documento cifrado con un certificado en poder de un tercero de confianza o con un certificado perteneciente a otra instancia de la plataforma.




Imagen 02: Componente LicProtector Server (véase evento 3011).

Imagen 03: Concesión de permisos al usuario del Pool (véase evento 3011).




4 Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

http://blog.elevenpaths.com/

https://www.youtube.com/user/ElevenPaths

http://vimeo.com/elevenpaths

http://www.slideshare.net/elevenpaths/




La información contenida en el presente documento es propiedad de Telefónica Digital España, S.L.U. (“TDE”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDE y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDE se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDE.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDE no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDE y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDE y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Octubre 2016

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

Technology

Guía de Monitorización de SealSign (incluye DSS, BSS, CKC y DSR)