Desde que hemos renovado el certificado digital de la empresa, en los documentos que se firmaron con el certificado digital caducado nos aparece en el panel de firma un icono amarillo indicando que hay algún problema con las firmas, ¿se debe configurar algo en Adobe Reader para que muestre el mensaje de “Firmado y todas las firmas son válidas”?
RESPUESTA:
Del mismo modo que puedes activar el TSP para verificar la fecha y hora de la firma desde un servidor externo, puedes activar el OCSP para que verifique que, pese a qué el certificado está caducado, estaba en vigor en el momento de la firma.
[OCSP]
Activado=1
URL_Automatica=1
LTV_Buffer=1
Sección Validación del Certificado OCSP [OCSP]
Se define la sección en el archivo de configuración [ OCSP]. Se define OCSP como la validación online de certificados .
Nota: TIENE VALIDEZ LEGAL. Usando TSP+OCSP se consiguen firmas PAdES-XL, también llamadas longevas o perdurables en el tiempo que son las más robustas desde el punto de vista legal.
4.15.1. Activar
Valor booleano que si está activado (=1) permite incorporar la validación del certificado en el momento de la firma OCSP.
Por defecto está desactivado (=0).Configuración:
Activado=14.15.2. Firmar
Valor booleano que si está activado (=1) permite firmar la petición OCSP con un certificado.
Es para temas de autentificación con servidores OCSP y no suele ser necesario activarlo.
Por defecto está desactivado (=0).Configuración:
Firmar=04.15.3. Url automática
Valor booleano que si está activado (=1) indica que si está disponible la url del OCSP en el certificado firmador sea usada.
Por defecto está activado (=1).Configuración:
URL_Automatica=1
4.15.4. Url del OCSP
Indica la url del OCSP en caso que URL_Automatica=0 o que el certificado no contenga la url de OCSP.Configuración:
URL= ….Ejemplo:
URL=http://ocsp.dnie.es
4.15.5. Autoridad certificadora en el PFX
Indica la CA si no se dispone de ella en el PFX, pero es recomendable que el PFX contenga la cadena completa de validación del certificado.Configuración:
Ruta_ca= ….
4.15.6. Ruta de certificado
Indica la ruta del certificado que firma el OCSP si Firmar=1.Configuración:
Ruta_firma= ….
Nota : no suele necesitarse.
4.15.7. Credenciales de usuario
Se indica el usuario y la contraseña de la autentificación en el OCSP (en vez de firmar con un PFX).Configuración:
User_OCSP= ….
Pw_OCSP= …
Nota: Comentario sobre PAdES-LTV
Para que no pesen tanto las firmas PAdES, queda la posibilidad de optimizar el espacio que se reserva para las CRL’s.
Se presenta un nuevo parámetro: [OCSP]. LTV_Buffer
Para firmar sin LTV (PAdES-XL), activamos el TSP y el OCSP pero pondremos el buffer a cero para que no se incorporen las CRLs en la firma.[TSP].Activo=1
[OCSP].Activo=1
[OCSP].LTV_Buffer=0