tutti

Integrazione del sistema di timbratura digitale 2D-Plus® della Secure Edge con Esse3

1.INTRODUZIONE

In Italia il Codice dell'Amministrazione Digitale (D.Lgs.85/2005) prevede la firma digitale come soluzione tecnica per garantire ai documenti elettronici autenticità integrità e non ripudio.

A seguito di un processo di stampa tradizionale gli attributi d'integrità certezza del mittente, non ripudio e di data certa di creazione e/o di firma sono definitivamente persi: il documento stampato necessita nuovamente di una firma tradizionale, perdendo così i vantaggi di essere nato in formato elettronico e di essere stato firmato digitalmente.

La soluzione del Timbro Digitale 2D-Plus® di Secure Edge consente di mantenere inalterato il valore legale di un documento informatico firmato digitalmente con una firma di una Certification Authority accreditata in quanto lo stesso documento in tutto il suo contenuto (firma digitale compressa), viene "trasformato" in un solo ed unico codice bidimensionale ad alta densità e stampato sulla carta, che diviene pertanto supporto di trasporto dell'intero documento firmato digitalmente.

Il documento descrive le modifiche realizzate sull’applicativo Esse3 per consentire la stampa client e web di certificati con timbro digitale 2D-Plus®; per ulteriori informazioni sul timbro di Secure Edge è possibile consultare il sito http://www.timbrodigitale.com.

2.configurazione TIMBRO DIGITALE su esse3

In Esse3 è stata prevista la possibilità di generare certificati web/client con timbro digitale 2D-Plus®, la timbratura del documento avviene effettuando una richiesta ad una piattaforma esterna realizzata da Secure Edge che si compone di un apparato denominato SCBox, appositamente studiato per offrire le garanzie richieste dalla norma ai titolari delle smart card di firma automatica. In particolare l'SCBox permette di conservare le smart card in modo da garantire l'evidenza di eventuali tentativi di effrazione.

Oltre all'apparato SCBox la Secure Edge ha realizzato un Appliance aPes che svolge la funzione di produttore dei Timbri Digitali. L'Appliance aPes ospita le funzioni di firma digitale e controllo delle smart card ospitate nell'SCBox.

Ovviamente tale processo comporta un aumento di tempo nella generazione del certificato stesso, tempo necessario per effettuare la richiesta e per la creazione del timbro da parte della piattaforma esterna.

Esse3 e piattaforma esterna vanno opportunamente configurati per ottenere una timbratura che sia la più adatta possibile alle caratteristiche dei certificati generati, inoltre poiché il processo consiste in una chiamata https è necessario che gli application server riescano a “raggiungere” l'Appliance aPes.

I dettagli sulla configurazione della piattaforma esterna sono descritti nel documento allegato “Kion-Esse3-PeSconfig.pdf”, mentre per la configurazione esse3 è possibile consultare il documento “Istruzione Installazione e Configurazione ESSE3”, in sintesi i passi da seguire lato Esse3 sono i seguenti:

1. mettere a 1 il valore del parametro di configurazione ‘ABILITA_BOLLO_DIG’. Esiste poi il parametro di configurazione ‘GESTIONE_BOLLO_DIG’ che è di semplice gestione, in particolare se ha valore 0 allora in caso di un errore nella richiesta del timbro viene visualizzato un messaggio bloccante mentre se ha valore 1 viene visualizzato un messaggio di warning e consentita comunque la stampa del certificato senza timbratura.
2. pubblicare una copia delle immagini contenute nella cartella graphics dei certificati su un indirizzo http
3. valorizzare nella finestra “Contesti” per il contesto di sistema “TIMBRO_DIGITALE” i parametri associati, in particolare:

TD_PROVIDER_URL: rappresenta l’indirizzo url dell’appliance aPes

TD_IMAGE_URL: rappresenta l’indirizzo web pubblico dove sono state messe una copia delle immagini presenti nella cartella delle immagini dei certificati (punto 2). Ossia tutte le immagini nella cartella “<<EAServer>>bin\pers\certificati\graphics” devono essere raggiungibili da un indirizzo web pubblico.

TD_FILE_SRV_CERT: è il file keystore di autenticazione server (punto 4)

TD_PWD_SRV_CERT: password di autenticazione server (punto 4)

TD_NAME_SRV_CERT: nome del certificato di autenticazione server (punto 4)

TD_FILE_CLN_CERT: file keystore di autenticazione client (punto 4)

TD_PWD_CLN_CERT: password di autenticazione client (punto 4)

TD_XSL_IMG_STYLE: (opzionale) utilizzato nel caso si voglia personalizzare lo stile del blocco in cui è contenuto il timbro.

TD_IMG_WIDTH: (default 150) rappresenta la larghezza in mm del timbro sul certificato. Si tenga presente che mettere un valore che superi i margini del certificato stesso potrebbe creare dei problemi nella sua lettura in quando verrebbe ridimensionato, si consiglia quindi di non mettere valori superiori ai 170.

TD_CONFIG_APPL: indica la configurazione presente sull’ appliance da utilizzare.

1. sotto la cartella bin della sybase (conf di Jboss) deve essere presente la cartella ‘kioncert’, qui devono essere messi i keystore per effettuare la richiesta https che verranno dati dal fornitore dell’appliance e aggiornati quindi i relativi parametri come descritto nel punto 3.

Questi passi consentono la timbratura dei certificati se opportunamente abilitati dalle relative finestre di gestione dell’applicazione Esse3.

Poiché il timbro viene applicato in automatico sui certificati abilitati senza alcuna modifica agli XSL potrebbe verificarsi per alcuni casi che le dimensioni (15 cm di larghezza) o la formattazione del timbro non sia quella attesa o differisca sensibilmente dagli esempi allegati, in questi casi è necessario intervenire sull’ XSL specifico.

3.Abilitazione del timbro DA aNAGRAFICA DEI CERTIFICATI

L’integrazione del timbro in Esse3 non è stata fatta a standard su tutti i certificati ma è l’operatore che tramite la finestra di Anagrafica dei certificati decide quali sarà possibile stampare con timbro.

Questo viene effettuato alzando il flag “Timbro digitale”

L’abilitazione di questo flag comporta in automatico il salvataggio nel registro dei certificati questo perché è necessario sempre tener traccia di quanti ne vengono stampati con timbro digitale in modo da poter effettuare anche controlli a posteriori, vi potrebbe essere infatti la necessità in futuro di addebitare il costo di “timbratura” allo studente che lo richiede e di conseguenza è fondamentale tracciare queste operazioni.

Per lo stesso motivo alzato il flag di “Timbro Digitale” viene richiesto il numero massimo, per singolo studente e per anno solare, di stampe che possono essere effettuate con timbro per il certificato selezionato.

Effettuate queste modifiche è possibile stampare da client il certificato indicato con il timbro digitale.

4.abiltazione del timbro da configurazione certificati web – totem

L’abilitazione della stampa con timbro per i certificati web-totem avviene con modalità simili a quelle dell’anagrafica dei certificati. Anche qui, dalla finestra configurazione certificati web-totem, è necessario selezionare il flag “Timbro digitale”

Di default nel numero massimo di copie stampabili viene messo lo stesso valore che è stato eventualmente impostato nella finestra di anagrafica dei certificati.

Con queste impostazioni il certificato potrà essere stampato con timbro digitale anche da web, qualora si cercasse di stamparlo un numero superiore di volte a quello impostato, viene visualizzato su web un avviso di raggiungimento del limite ed eventualmente consente di proseguire la stampa senza timbro.

5.stampa certificati da client

Nella finestra di stampa dei certificati client (persona – studente), per quelli abilitati dalla finestra di anagrafica, è possibile lanciare le stampe con timbro. Questo è evidenziato dal bottone a doppia selezione presente accanto ad ogni certificato, la spunta verde indica che il certificato è stato abilitato dall’anagrafica quindi eventualmente è possibile stamparlo con timbro mentre la croce rossa indica che è possibile lanciare solo stampe normali.

Naturalmente l’operatore di segreteria, per il certificato con la spunta, potrebbe avere la necessità sia di stamparlo con timbro sia senza. Per effettuare la stampa con il timbro è necessario cliccare sul bottone con la spunta e lanciare la stampa

In allegato vi sono esempi di certificato con timbro digitale dove è visibile anche la dicitura a piè di pagina messa in automatico da Esse3: “Il certificato è stato generato con timbro digitale”.

Tra gli allegati è presente una demo di un certificato generato direttamente dal sito www.timbrodigitale.com, come si può notare, sempre in considerazione delle informazioni contenute, il risultato ottenuto con l’integrazione in Esse3 è assolutamente congruente agli esempi forniti direttamente dalla Secure Edge.

Si precisa che nel caso fosse alzato il flag “copia di segreteria” anche questa verrebbe stampata con timbro digitale e verrebbero quindi fatte due richieste all’ Appliance di timbratura.

6.stampa certificati da web

La stampa da web con timbro avviene in automatico se il certificato è stato opportunamente gestito dalla finestra di configurazione certificati web/totem: dal link sul menù è possibile accedere all’area dei certificati stampabili, procedendo con la stampa il certificato viene generato in automatico con timbro digitale.

Se è stato superato il numero di copie consentite con timbro si viene rimandati ad una pagina intermedia con un warning da cui è anche possibile procedere con la stampa richiesta senza timbro digitale

7.Configurazioni diverse per tipologia di certificato

E’ stato introdotta nella finestra di dettaglio dell’anagrafica dei certificati la possibilità di associare ad ogni tipologia una configurazione dell’appliance differente. In precedenza tutti i certificati facevano riferimento ad un’unica configurazione e quindi il timbro digitale veniva generato con lo stesso certificato di firma, con l’introduzione di questo nuovo campo è possibile creare sull’appliance configurazioni differenti con certificati di firma diversi ed associare tale configurazione ai vari certificati.

8.Configurazione per timbro digitale light

E’ emerso, per diverse tipologie di certificato, un limite nella generazione del timbro che dipende dalla quantità d’informazioni che devono essere timbrate. In particolare per certificati contenenti diverse pagine di informazioni, come il supplemento al diploma, veniva generato un timbro molto grande, impossibile da contenere in un foglio A4 e questo generava un errore in fase di timbratura. Questo accade perché di default quello che viene timbrato da Esse3 non è solo l’informazione contenuta all’interno del certificato ma l’intera struttura del PDF e di ogni pagina in esso contenuto, in modo tale da poter essere ricostruito esattamente uguale dal software di controllo del timbro.

In realtà per la fase di verifica è importante semplicemente che il timbro superi il controllo del software  e il fatto che poi venga ricostruito in maniera identica è solo una funzionalità aggiuntiva del software. E’ stata quindi sviluppata una soluzione che consente la timbratura delle sole informazioni contenute all’interno del certificato, trascurando la struttura del PDF; in questo modo è possibile generare un timbro di dimensioni accettabili anche per quei certificati con molte pagine. L'anteprima ottenuta dal software di controllo, in questo caso, non sarà fedele all'originale ma sarà una semplice anteprima delle informazioni testuali che erano contenute nel certificato, come detto prima però, l'anteprima è solo una funzionalità aggiuntiva del software che non pregiudica la validità del timbro.

Per abilitare questa possibilità è necessario innanzitutto creare una nuova configurazione sull’appliance che preveda l’accettazione di dati in formato XML/XSL-FO, tale configurazione può essere fatta col supporto del fornitore dell’appliance con cui sono stati fatti già diversi test su questa nuova modalità.

In seguito è necessario inserire su un indirizzo pubblico un pacchetto zip che verrà utilizzato dal software di controllo del timbro, l’indirizzo pubblico era già usato dal timbro standard per depositare le immagini eventualmente utilizzate dai certificati timbrati, per il pacchetto zip può essere usato lo stesso indirizzo. Il pacchetto non contiene dati sensibili o importanti, ma semplicemente le immagini necessarie al certificato ed un file XSL-CSS generico necessario per la trasformazione. Come base di partenza può essere utilizzato un pacchetto zip creato da noi: 01C3_timbrolight1_v1.0.xsl.zip,  a questo zip andranno aggiunte le eventuali immagini come per esempio il logo dell’Ateneo.

E’ importante sottolineare che il pacchetto zip potrebbe non andare bene per tutti i certificati, in questo caso bisogna richiedere a kion la creazione di un nuovo pacchetto zip e indicare i certificati per cui è necessario, Kion provvederà a rilasciarlo insieme ad una versione del prodotto. Anche la modifica di un pacchetto zip attualmente in uso deve essere richiesta a Kion, apportare modifiche al pacchetto zip già in uso potrebbe comportare l’invalidità del timbro di tutti quei certificati che fino a quel punto erano stati generati, anche se al file si lascia lo stesso nome!!

Effettuate queste configurazioni, bisogna indicare nella finestra di dettaglio di anagrafica dei certificati di utilizzare per il certificato la modalità light del timbro e il nome della configurazione dell’appliance creata nei passi precedenti.

Esistono certificati che possono superare anche le 50 pagine, vedi per esempio il supplemento al diploma con allegati. In questi casi le informazioni da timbrare sono così tante che anche la modalità light potrebbe fallire, modificando opportunamente l’xsl del certificato è però possibile fare in modo che in automatico non vengano inserite tra le informazioni timbrate alcune pagine, come per esempio tutti gli allegati del supplemento al diploma, ottenendo così un timbro accettabile.

9.Timbro digitale dalla finestra di generazione massiva diploma supplement

Con l'introduzione del timbro digitale light è possibile ora apporre il timbro anche su certificati come il supplemento al diploma, Esse3 ha una nuova funzionalità di generazione massiva di questa tipologia di certificati e dalla versione 13.12.01 è possibile utilizzare il timbro anche da questa finestra.

Questa finestra prevede la generazione del supplemento al diploma utilizzando una o più configurazioni impostate nella finestra 'Pannello di configurazione Diploma Supplement', quindi viene generata una copia per ogni configurazione selezionata. Per abilitare il timbro è necessario innanzitutto che sia abilitato a livello di certificato, quindi nella finestra di 'Anagrafica dei certificati' i flag e le impstazioni relative al timbro digitale devono essere abilitate. Come secondo passo è necessario agire a livello di configurazione del diploma supplement: nella tabella p12_conf_ds è presente il campo bollo_dig che indica se quella configurazione prevedere la stampa del timbro digitale o meno, quindi è necessario impostarlo a 1 per tutte quelle configurazioni che si desidera appongano il timbro. Al momento tale campo non è gestito da finestra quindi è necessario modificare il suo valore accedendo direttamente al Data Base.

Effettuate tale azioni tutti i certificati presenti nel tab 'Generati' avranno il timbro digitale, qualora per un determinato studente presente in questo tab non sia visibile nessun certificato vuol dire che si è verificato un errore nella sua generazione. Come detto precedentemente si ricorda che anche in questo caso esistono certificati che possono superare anche le 50 pagine, vedi per esempio il supplemento al diploma con allegati. In questi casi le informazioni da timbrare sono così tante che anche la modalità light potrebbe fallire, modificando opportunamente l’xsl del certificato è però possibile fare in modo che in automatico non vengano inserite tra le informazioni timbrate alcune pagine, come per esempio tutti gli allegati del supplemento al diploma, ottenendo così un timbro accettabile.

10.Nota bene

- cambio di immagini sui certificati (per esempio logo università): ricordiamo che all'interno del timbro è presente come informazione l'indirizzo web pubblico dove sono presenti le immagini necessarie al Decoder per ricostruire l'anteprima del certificato. Se si decidesse di modificare una delle immagini come per esempio il logo è assolutamente sbagliato sovrascrivere il file presente nella cartella web pubblica in quanto questa azione invaliderebbe tutti i certificati precedentemente stampati con il vecchio logo. L'azione corretta invece è creare una nuova cartella web pubblica (senza eliminare la precedente) in cui inserire le immagini tra cui anche le nuove, quindi modificare dalla finestra dei 'Contesti' il parametro relativo all'indirizzo web pubblico in modo tale che tutti i nuovi certificati utilizzino quest'ultimo.