guía de generación de certificados digitales y conexión con llaves públicas

8/19/2019 Guía de Generación de Certificados Digitales y Conexión Con Llaves Públicas

http://slidepdf.com/reader/full/guia-de-generacion-de-certificados-digitales-y-conexion-con-llaves-publicas 1/7

Modelo Perú

Detalle de Procesos

Asunto Anexo H: Guía de generación de Certificados

Digitales y conexión con Llaves Públicas

Preparado por: IACS PDP S.A.

Fecha: 15-01-2016 V 2.0

1

Anexo H: Guía de generación de Certificados




Modelo Perú

Detalle de Procesos




Fecha: 15-01-2016 V 2.0

2

Contenido

1. Consideraciones Generales ......................................................................................................... 3

2. Conexión con Llaves Públicas ...................................................................................................... 4

2.1. Llaves Públicas de Ericsson y PDP ....................................................................................... 4

2.2. Proceso de Acceso sin Contraseña utilizando Llaves Públicas ............................................ 4

3. Firma Digital de archivos ............................................................................................................. 4

3.1. Generación de Certificado del Emisor ................................................................................. 4

4. Proceso de transferencia de archivos firmados: ......................................................................... 5

4.1. Proceso de transferencia archivos firmados: Emisor entrega archivos a EWP ................... 5

4.2. Proceso de transferencia de archivos firmados: EWP o PDP envía archivos al emisor ...... 5

5. Proceso manual de operación con archivos firmados ................................................................ 6

5.1. Extracción de llave pública .................................................................................................. 6

5.2. Verificación de firma ........................................................................................................... 6

5.3. Firmado de archivos ............................................................................................................ 7



Modelo Perú

Detalle de Procesos




Fecha: 15-01-2016 V 2.0

3

1. Consideraciones Generales

La plataforma de Dinero electrónico está compuesta por 2 nodos que son las infraestructuras

de EWP y PDP, que interactúan con la infraestructura de los emisores.

Los procesos de transferencia de archivos entre la plataforma de Dinero Electrónico y los

emisores operan haciendo uso de algoritmos de criptografía de llave pública.

Para ello se utilizan componente como certificado, llaves públicas y llaves privadas. Los

certificados y las llaves públicas deben ser compartidos entre las entidades que requieren

realizar transferencia de información y verificación de firma digital de archivos.

Para el proceso de transferencia de archivos se deberá considerar que:

La plataforma EWP inicia el proceso de intercambio de archivos con el Emisor (PUSH y

GET), la plataforma del Emisor no realiza envíos directamente a EWP.

La plataforma PDP realiza el proceso de transferencia de archivos con al Emisor (PUSH), la

plataforma del emisor no envía archivos a PDP.

El emisor deberá crear 2 usuarios en su servicio de SFTP, un usuario será usado por la

infraestructura EWP y el otro por PDP.



Modelo Perú

Detalle de Procesos




Fecha: 15-01-2016 V 2.0

4

2. Conexión con Llaves Públicas

Para establecer una comunicación usando el servicio de SFTP será requerido el uso de llaves

públicas y privadas generadas por la plataforma de Dinero Electrónico.

2.1. Llaves Públicas de Ericsson y PDP

Ericsson y PDP generarán cada uno llaves públicas del tipo RSA con 2048 de longitud

para la operación sus servicios.

Ericsson genera por cada servidor una llave pública. Siendo entregadas 2 llaves a cada

Emisor, una por cada SYSLOG server (SYSLOG1 y SYSLOG2) que cuenta con el servicio

de SFTP.

PDP entregará 1 llave al Emisor correspondiente a su servidor SFTP.

2.2. Proceso de Acceso sin Contraseña utilizando Llaves Públicas

PDP realizará la entrega de las llaves públicas de ambos servicios al Emisor.

El emisor debe colocar las llaves públicas dentro del key store de su servidor SFTP.

Ejemplo en caso es Linux: <usuario>/.ssh/authorized_keys

El emisor deberá autorizar el uso de estas llaves públicas asociado al usuario del

servicio que corresponda (EWP o PDP).

3. Firma Digital de archivos

Para el proceso de firma digital de los archivos transferidos, serán utilizados componentes

tales como certificados, llaves públicas y privadas, estos deberán ser generados utilizando las

librerías del software OpenSSL en su versión 1.0.1 o superior, considerando las últimas

actualizaciones y parches de seguridad liberados por el equipo de soporte de Open SSL.

Ejemplo: OpenSSL 1.0.1m, OpenSSL 1.0.2a, u otros.

La plataforma de Dinero Electrónico es compatible con todos los sistemas operativos que

soporten OpenSSL, como Windows, Unix, Linux y otros.

3.1. Generación de Certificado del Emisor El emisor debe conectarse a su servidor que realizará las firmas de los archivos

utilizando el usuario quien es dueño de dichos archivos.

El emisor debe ir al directorio donde tiene sus llaves. Típicamente es un sub-

directorio del directorio de HOME del usuario.

El emisor ejecuta el comando para crear un par de llaves (RSA de 2048) y un

certificado auto firmado.

Ejemplo: En OpenSSL en Red Hat



Modelo Perú

Detalle de Procesos




Fecha: 15-01-2016 V 2.0

5

openssl req -x509 -nodes -days <validity in days> -newkey rsa:2048 -keyout

<bankname>_filesigning_privateKey.key -out <bankname>_filesigning_certificate.crt

El emisor envía el certificado <bankname>_filesigning_certificate.crt a Ericsson

Nota: Los certificados serán renovados cada año.

4. Proceso de transferencia de archivos firmados:

4.1. Proceso de transferencia archivos firmados: Emisor entrega archivos a EWP

El Emisor genera la firma del archivo a transferir usando su llave privada

(<bankname>_filesigning_privateKey.key), siendo dicho archivo de firma generado

utilizando los algoritmos SHA256 con RSA.

Ejemplo: En OpenSSL en Red Hat

openssl dgst -sha256 -sign <bankname>_filesigning_privateKey.key -out

<filename>.signature <filename>

El emisor deberá colocar en la carpeta “Outgoing” de su servidor SFTP el archivo a

transferir (<filename>) y la firma de dicho archivo (<filename>.signature).

Ericsson tiene importado el certificado del Emisor en EWP y cada vez que realice el

GET de un archivo con su firma, realizará la validación.

4.2. Proceso de transferencia de archivos firmados: EWP o PDP envía archivos al emisor

EWP/PDP genera la firma del archivo a transferir usando su correspondiente llave

privada, siendo enviado al Emisor el archivo a transferir (<filename>) y su

correspondiente archivo de firma (<filename>.signature).

EWP realizará la transferencia de archivos al servidor SFTP del Emisor dentro de la

carpeta “Incoming”, siendo depositado el archivo (<filename>) y su archivo de firma

(<filename>.signature).

PDP realizará la transferencia de archivos al servidor SFTP del Emisor dentro de la

carpeta “PDPReportes”, siendo depositado el archivo (<filename>) y su archivo defirma (<filename>.signature).

El Emisor debe tener importados los certificados correspondientes a EWP/PDP dentro de

su aplicativo, con ello deberá validará el archivo con su firma cada vez que reciba archivos

de EWP o PDP.



Modelo Perú

Detalle de Procesos




Fecha: 15-01-2016 V 2.0

6

5. Proceso manual de operación con archivos firmadosPara realizar pruebas manuales para validar la operación de las firmas de los archivos, se

muestra a continuación los comandos requeridos.

5.1. Extracción de llave pública

Para realizar el proceso de verificación de firma manualmente se deberá extraer la llave

pública (*.pub) del certificado (*.crt) brindado al emisor, por ello se deberá ejecutar el

siguiente comando:

openssl x509 -pubkey -noout -in [Nombre_Certi f icado.crt ] >

[Llave_Publ ica_extraida.pub ]

Ejemplo:

openssl x509 -pubkey -noout -in PDP_filesigning_certificate.crt >

PDP_filesigning_certificate.pub

Certificado : PDP_filesigning_certificate.crt

Llave Pública : PDP_filesigning_certificate.pub

5.2. Verificación de firma

Para validar el archivo contra su firma se deberá ejecutar el siguiente comando:

openssl dgst -sha256 -verify [Llave_pública.pub] -signature

[Nombre_f irma_arch ivo.s ignature] [Nombre_arch ivo]

Ejemplo:

Archivo : PruebaPDP1.csv

Firma del Archivo : PruebaPDP1.csv.signature

Llave Pública : PDP_filesigning_certificate.pub

openssl dgst -sha256 -verify PDP_filesigning_certificate.pub -signature

PruebaPDP1.csv.signature PruebaPDP1.csv



Modelo Perú

Detalle de Procesos




Fecha: 15-01-2016 V 2.0

7

Si se muestra el mensaje: “Verified OK” significa que la validación de los archivos fue

correcta.

5.3. Firmado de archivos

Para generar el archivo de firma correspondiente al archivo de datos, se deberá ejecutar el

siguiente comando:

openssl dgst -sha256 -sign [L lave_privada.key] -out [Nombre_firma_archivo.signature]

[Nombre_arch ivo]

Ejemplo:

Archivo : testsigned.csv

Llave Privada : PDP_filesigning_privateKey.key

openssl dgst -sha256 -sign PDP_filesigning_privateKey.key -out testsigned.csv.signature

testsigned.csv.

guía de generación de certificados digitales y conexión con llaves públicas

Documents