Desde que hemos renovado el certificado digital de la empresa, en los documentos que se firmaron con el certificado digital caducado nos aparece en el panel de firma un icono amarillo indicando que hay algún problema con las firmas, ¿se debe configurar algo en Adobe Reader para que muestre el mensaje de “Firmado y todas las firmas son válidas”?
RESPUESTA:
No hay problema con los documentos firmados con el anterior certificado. Todas las firmas son válidas, no se trata de un error, sino de un warning, por lo que solamente es a nivel informativo.
Esto ocurre porque estás firmando sin OCSP en el .ini correspondiente, se ve claramente que es porque el certificado acaba de caducar y la firma está hecha sin OCSP.
Del mismo modo que puedes activar el TSP para verificar la fecha y hora de la firma desde un servidor externo, puedes activar el OCSP para que verifique que, pese a qué el certificado está caducado, estaba en vigor en el momento de la firma.
Algo a tener en cuenta sobre la firma con OCSP es que seguramente el proceso de firma sea algo más lento, ya que requiere la conexión a una URL para poder realizar dicha verificación.
Para activarlo solamente es necesario activar la siguiente sección del .ini:
[OCSP]
Activado=1
URL_Automatica=1
LTV_Buffer=1Esta sería la configuración más básica, pero te dejo aquí un extracto del manual de ecoSignature Tablet con todos los posibles parámetros a utilizar en esta sección del fichero .ini:
Sección Validación del Certificado OCSP [OCSP] #
Se define la sección en el archivo de configuración [OCSP]. Se define OCSP como la validación online de certificados .
Nota: TIENE VALIDEZ LEGAL. Usando TSP+OCSP se consiguen firmas PAdES-XL, también llamadas longevas o perdurables en el tiempo que son las más robustas desde el punto de vista legal.
Activar #
Valor booleano que si está activado (=1) permite incorporar la validación del certificado en el momento de la firma OCSP.
Por defecto está desactivado (=0).
Configuración:
Activado=1Firmar #
Valor booleano que si está activado (=1) permite firmar la petición OCSP con un certificado.
Es para temas de autentificación con servidores OCSP y no suele ser necesario activarlo.
Por defecto está desactivado (=0).
Configuración:
Firmar=0Url automática #
Valor booleano que si está activado (=1) indica que si está disponible la url del OCSP en el certificado firmador sea usada.
Por defecto está activado (=1).
Configuración:
URL_Automatica=1Url del OCSP #
Indica la url del OCSP en caso que URL_Automatica=0 o que el certificado no contenga la url de OCSP.
Configuración:
URL= ….Ejemplo:
URL=http://ocsp.dnie.esAutoridad certificadora en el PFX #
Indica la CA si no se dispone de ella en el PFX, pero es recomendable que el PFX contenga la cadena completa de validación del certificado.
Configuración:
Ruta_ca= ….Ruta de certificado #
Indica la ruta del certificado que firma el OCSP si Firmar=1.
Configuración:
Ruta_firma= ….Nota : no suele necesitarse.
Credenciales de usuario #
Se indica el usuario y la contraseña de la autentificación en el OCSP (en vez de firmar con un PFX).
Configuración:
User_OCSP= ….
Pw_OCSP= …Nota: Comentario sobre PAdES-LTV
Para que no pesen tanto las firmas PAdES, queda la posibilidad de optimizar el espacio que se reserva para las CRL’s.
Se presenta un nuevo parámetro: [OCSP]. LTV_Buffer
Para firmar sin LTV (PAdES-XL), activamos el TSP y el OCSP pero pondremos el buffer a cero para que no se incorporen las CRLs en la firma.
[TSP]
Activo=1 [OCSP]
Activo=1 [OCSP]
LTV_Buffer=0
