guía de desarrollo de trustid revoke server

[email protected]

elevenpaths.com

ElevenPaths, innovación radical y disruptiva en seguridad

Guía de desarrollo de

TrustID Revoke Server

Guía de desarrollo de Trust ID Revoke Server V.2.1 – Octubre 2016

2016 © Telefónica Digital España, S.L.U. Todos los derechos reservados. of 24

CONTENIDOS

1 Introducción ............................................................................................................... 3

2 Servicio Web de Validación de Certificados ................................................................. 4

2.1 Método Validate ....................................................................................................................... 4

2.1.1 Parámetros de Entrada............................................................................................................... 4

2.1.2 Parámetros de Salida .................................................................................................................. 4

2.1.3 Ejemplo ....................................................................................................................................... 5

3 Servicio Web de Descarga de CRLs/Respuestas OCSP ................................................... 6

3.1 Método GetRevocationObject .................................................................................................. 6



3.1.3 Ejemplo ....................................................................................................................................... 7

4 Servicio Web de Verificación de Revocación ................................................................ 9

4.1 Método Verify ........................................................................................................................... 9



4.1.3 Ejemplo ..................................................................................................................................... 10

5 Anexo I ...................................................................................................................... 12

5.1 Descripción del Servicio Web de Validación de Certificados en Formato WSDL ................... 12

5.2 Ejemplos de Peticiones y Respuestas SOAP al Servicio de Validación de Certificados .......... 14

5.2.1 Ejemplo SOAP 1.1 ..................................................................................................................... 14

5.2.2 Ejemplo SOAP 1.2 ..................................................................................................................... 15

5.3 Descripción del Servicio Web de Descargas en Formato WSDL ............................................. 15

5.4 Ejemplos de Peticiones y Respuestas SOAP al Servicio de Descargas .................................... 17

5.4.1 Ejemplo SOAP 1.1 ..................................................................................................................... 17

5.4.2 Ejemplo SOAP 1.2 ..................................................................................................................... 18

5.5 Descripción del Servicio Web de Verificación de Revocación en Formato WSDL .................. 19

5.6 Ejemplos de Peticiones y Respuestas SOAP al Servicio de Verificación de Revocación ......... 20

5.6.1 Ejemplo SOAP 1.1 ..................................................................................................................... 20

5.6.2 Ejemplo SOAP 1.2 ..................................................................................................................... 21

6 Recursos .................................................................................................................... 23



1 Introducción

El producto TrustID® Revoke Server permite la integración en la organización de múltiples entidades externas emisoras de certificados, mediante un sistema de validación centralizada del estado de revocación de los certificados digitales que utilizan los usuarios y sistemas de la organización. Además proporciona la capacidad de personalización del proceso de revocación basado en reglas definidas por el administrador, eliminando así la necesidad de conceder acceso a cada puesto o aplicación, a los servidores de publicación de CRLs en Internet de cada proveedor de servicios de certificación.

El producto se ha diseñado como Servicios Web de forma que sea sencillo integrarlo con otras aplicaciones y sistemas. En este documento se presenta la información técnica necesaria para la integración tanto del servicio de comprobación de certificados como del servicio de descarga de CRLs y respuestas OCSP con aplicaciones de terceros.

En el Anexo I se detalla la definición formal del interfaz de los Servicios Web en formato WDSL para aplicaciones que soporten la llamada a Web Services mediante WDSL y SOAP.



2 Servicio Web de Validación de Certificados

En este apartado se describen los métodos que publica el Servicio Web de validación de certificados. El Servicio Web está disponible en aquellas máquinas en las que se haya instalado el modulo “TrustID® Revoke Server Setup”.

La ruta por defecto del Servicio Web es http://<servidor>/RevokeClientWS/Certificate.asmx

2.1 Método Validate

Este método se encarga de recibir el certificado a comprobar y realiza una validación completa del certificado según los parámetros de entrada y las reglas de validación configuradas en el servidor de Revoke.

2.1.1 Parámetros de Entrada En este apartado se detallan los parámetros de la petición SOAP:

<computerName>: Representa el nombre de equipo que realiza la petición en formato cadena. El valor especificado aparecerá en el log de auditoría. Es obligatorio.

<userName>: Representa la cuenta de usuario que realiza la petición en formato cadena. El valor especificado aparecerá en el log de auditoría. Es obligatorio.

<sourceCertificate>: Certificado, en Base64, cuyo estado se desea obtener. Es obligatorio.

<verificationFileTimeUtc>: Fecha y hora en los que se desea verificar el estado del certificado. Debe especificarse el valor UTC de la fecha y la hora en formato Windows File Time. Si el valor especificado es 0, se aplica la fecha y hora actuales del servidor de Revoke.

2.1.2 Parámetros de Salida En este apartado se detallan los parámetros de la respuesta SOAP:

<certificateStatus>: Retorna información sobre el estado del certificado. Los posibles valores retornados coinciden con los valores de la clase X509ChainStatusFlags del .Net Framework 2.0. Sus valores más habituales son:

o NoError: El estado del certificado es correcto en la fecha especificada.

o Revoked: El certificado estaba revocado en la fecha especificada.

o NotTimeValid: El certificado no era válido en la fecha especificada.

o UntrustedRoot: El certificado está emitido por una entidad que no es de confianza en el servidor de Revoke.

o PartialChain: La cadena de certificación no ha podido ser construida.

o RevocationStatusUnknown: El estado de revocación del certificado es desconocido.

o OfflineRevocation: No se ha podido obtener la información de revocación correspondiente al certificado.

o NotSignatureValid: La firma del certificado no es válida.

Para más información sobre los valores retornados se puede consultar el artículo X509ChainStatusFlags Enumeration de la base de datos de conocimiento de Microsoft.

http://msdn.microsoft.com/en-us/library/system.security.cryptography.x509certificates.x509chainstatusflags.aspx



2.1.3 Ejemplo A continuación se muestra un ejemplo de llamada al método Validate desde una aplicación desarrollada en C# .NET. Previamente es necesario añadir la referencia Web:

Imagen 01: Añadir la referencia web.

Una vez añadida la referencia Web al proyecto se puede instanciar una clase proxy del Servicio Web y realizar la petición al servidor:

C#

Certificate. Certificate certificateWS = new Certificate.Certificate();

Certificate.ValidateCertificateRequest validateCertificateRequest = new

Certificate.ValidateCertificateRequest();

Certificate.ValidateCertificateResponse validateCertificateResponse = null;

validateCertificateRequest.computerName = ...;

validateCertificateRequest.userName = ...;

validateCertificateRequest.sourceCertificate = ...;

validateCertificateRequest.verifyRevocation = ...;

validateCertificateRequest.verificationFileTimeUtc = ...;

validateCertificateResponse = certificateWS.Validate(validateCertificateRequest);

switch (validateCertificateResponse.certificateStatus)

{

case X509ChainStatusFlags.NoError:

Console.Write(“Valid Certificate.”);

break;

case X509ChainStatusFlags.Revoked:

Console.Write(“Revoked Certificate. ”);

break;

default:

Console.Write(“Error.”);

}



3 Servicio Web de Descarga de CRLs/Respuestas OCSP

En este apartado se describen los métodos que publica el Servicio Web de descargas de objetos de revocación. El Servicio Web está disponible en aquellas máquinas en las que haya instalado el modulo “TrustID® Revoke Server Setup”.

La ruta por defecto del Servicio Web es http://<servidor>/RevokeClientWS/Downloads.asmx

3.1 Método GetRevocationObject

Este método se encarga de recibir el certificado del que se quiere obtener su información de revocación y retorna o una respuesta OCSP o una base CRL o bien una base CRL + una delta CRL, en función del certificado y las reglas configuradas en el servidor.




<sourceCertificate>: Certificado, en Base64, cuya información de revocación se desea obtener. Es obligatorio.


<LastError>: Retorna información sobre el error, si se ha producido. Su valor puede ser cualquier código de error de Windows. Los valores más frecuentes son:

o ERROR_SUCCESS (0x00000000): El estado del certificado es correcto.

o CRYPT_E_NO_REVOCATION_DLL (0x80092011): No hay instalado o registrado ningún componente de servidor que permita verificar la revocación del certificado.

o CRYPT_E_NO_REVOCATION_CHECK (0x80092012): El componente de servidor no ha podido verificar la revocación del certificado.

o CRYPT_E_REVOCATION_OFFLINE (0x80092013): No fue posible conectar con el servidor de revocación.

o CRYPT_E_NOT_IN_REVOCATION_DATABASE (0x80092014): El certificado no se encuentra en la base de datos del servidor de revocación.

<objectType>: Indica el tipo de objeto de revocación retornado en la respuesta. Sus posibles valores son:

o None: No se ha retornado ningún objeto de revocación.

o BASE_CRL: Se ha retornado una base CRL.

o BASE_CRL + DELTA_CRL: Se ha retornado una base CRL y una delta CRL.

o OCSP_RESP: Se ha retornado una respuesta OCSP.

o <baseCRL>: Si el objectType es igual a BASE_CRL o BASE_CRL + DELTA_CRL, contendrá la base CRL, en Base64, correspondiente al certificado. En caso contrario valdrá null.



o <deltaCRL>: Si el objectType es igual a BASE_CRL + DELTA_CRL, contendrá la delta CRL, en Base64, correspondiente al certificado. En caso contrario valdrá null.

o <ocspResponse>: Si el objectType es igual a OCSP_RESP, contendrá la respuesta OCSP, en Base64, correspondiente al certificado. En caso contrario valdrá null.

3.1.3 Ejemplo A continuación se muestra un ejemplo de llamada al método GetRevocationObject desde una aplicación desarrollada en C# .NET. Previamente es necesario añadir la referencia Web:



C#

Downloads.Downloads downloadsWS = new Downloads.Downloads();

Downloads.GetRevocationObjectRequest downloadRequest = new

Downloads.GetRevocationObjectRequest();

Downloads.GetRevocationObjectResponse downloadResponse = null;

downloadRequest.computerName = ...;

downloadRequest.userName = ...;

downloadRequest.sourceCertificate = ...;

downloadResponse = downloadsWS.GetRevocationObject(downloadRequest);

if (downloadResponse.LastError == ERROR_SUCCESS )

{

switch ((int)downloadResponse.objectType)

{

case (int)Downloads.ObjectType.BASE_CRL:

{



// Use downloadResponse.baseCRL

break;

}

case (int)Downloads.ObjectType.BASE_CRL +

(int)Downloads.ObjectType.DELTA_CRL:

{

// Use downloadResponse.baseCRL and

downloadResponse.deltaCRL

break;

}

case (int)Downloads.ObjectType.OCSP_RESP:

{

// Use downloadResponse.ocspResponse

break;

}

}

}

else

{


}



4 Servicio Web de Verificación de Revocación

El servicio web de verificación del estado de revocación de certificados está disponible para cualquier aplicación que únicamente desee conocer el estado de revocación de un certificado. Si se desea validar completamente un certificado, no solamente la revocación, se deberá invocar al servicio web de validación de certificados.

En este apartado se describen los métodos que publica el Servicio Web de verificación de revocación de certificados. El Servicio Web está disponible en aquellas máquinas en las que haya instalado el modulo “TrustID® Revoke Server Setup”.

La ruta por defecto del Servicio Web es http://<servidor>/RevokeClientWS/Revocation.asmx

4.1 Método Verify

Este método se encarga de recibir el certificado a comprobar y retorna su estado según las reglas configuradas en el servidor.




<ConfigurationVersion>: Reservado para el futuro. Es opcional.

<Base64Cert>: Certificado cuya revocación validará el servidor en formato Base64. Es obligatorio.

<lngTimeToUse>: Reservado para el futuro. Es opcional.


<AgentCode>: Reservado para el futuro.

<LastError>: Retorna información sobre el error si se ha producido. Sus posibles valores son:

o ERROR_SUCCESS (0x00000000): El estado del certificado es correcto.

o CRYPT_E_REVOKED (0x80092010): El estado del certificado es revocado.

o CRYPT_E_NO_REVOCATION_DLL (0x80092011): No hay instalado o registrado ningún componente de servidor que permita verificar la revocación del certificado.

o CRYPT_E_NO_REVOCATION_CHECK (0x80092012): El componente de servidor no ha podido verificar la revocación del certificado.

o CRYPT_E_REVOCATION_OFFLINE (0x80092013): No fue posible conectar con el servidor de revocación.

o CRYPT_E_NOT_IN_REVOCATION_DATABASE (0x80092014): El certificado no se encuentra en la base de datos del servidor de revocación.



<ReasonCode>: Si la comprobación del estado de revocación ha funcionado bien y el estado del certificado es revocado, este parámetro retorna la causa de la revocación. Los posibles valores son:

o CRL_REASON_UNSPECIFIED (0): No se especifico ningún motivo para la revocación.

o CRL_REASON_KEY_COMPROMISE (1): La clave privada o algún otro campo importante del certificado ha sido comprometido.

o CRL_REASON_CA_COMPROMISE (2): La clave privada o algún otro campo importante del certificado Raíz ha sido comprometido.

o CRL_REASON_AFFILIATION_CHANGED (3): El asunto o algún otro campo importante del certificado ha cambiado aunque no hay motivo para sospechar que la clave privada este comprometida.

o CRL_REASON_SUPERSEDED (4): El certificado ha sido reemplazado aunque no hay motivo para sospechar que la clave privada este comprometida.

o CRL_REASON_CESSATION_OF_OPERATION (5): El certificado ya no es necesario para el fin para el cual se emitió aunque no hay motivo para sospechar que la clave privada este comprometida.

o CRL_REASON_CERTIFICATE_HOLD (6): El certificado está en estado suspendido.

<lngRevocationDate>: Reservado para el futuro.

<Action>: Reservado para el futuro.

4.1.3 Ejemplo A continuación se muestra un ejemplo de llamada al método Verify desde una aplicación desarrollada en C# .NET. Previamente es necesario añadir la referencia Web:





C#

Revocation.Revocation revocationWS = new Revocation.Revocation();

Revocation.CVerificationRequest revocationRequest = new

Revocation.CVerificationRequest();

Revocation.CVerificationResponse revocationResponse = null;

revocationRequest.computerName = ...;

revocationRequest.userName = ...;

revocationRequest.Base64Cert = ...;

revocationResponse = revocationWS.Verify(revocationRequest);

switch (revocationResponse.LastError)

{

case ERROR_SUCCESS:

Console.Write(“Valid Certificate.”);

break;

case CRYPT_E_REVOKED:

Console.Write(“Revoked Certificate. Reason: ”);

Console.Write(revocationResponse.ReasonCode.ToString());

break;

default:


}



5 Anexo I

5.1 Descripción del Servicio Web de Validación de Certificados en Formato WSDL

<?xml version="1.0" encoding="utf-8" ?>

- <wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"

xmlns:tm="http://microsoft.com/wsdl/mime/textMatching/"

xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/"

xmlns:mime="http://schemas.xmlsoap.org/wsdl/mime/"

xmlns:tns="http://smartaccess.es/RevokeClient"

xmlns:s="http://www.w3.org/2001/XMLSchema"

xmlns:soap12="http://schemas.xmlsoap.org/wsdl/soap12/"

xmlns:http="http://schemas.xmlsoap.org/wsdl/http/"

targetNamespace="http://smartaccess.es/RevokeClient"

xmlns:wsdl="http://schemas.xmlsoap.org/wsdl/">

- <wsdl:types>

- <s:schema elementFormDefault="qualified"

targetNamespace="http://smartaccess.es/RevokeClient">

- <s:element name="Validate">

- <s:complexType>

- <s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="Request"

type="tns:ValidateCertificateRequest" />

</s:sequence>

</s:complexType>

</s:element>

- <s:complexType name="ValidateCertificateRequest">

- <s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="computerName" type="s:string" />

<s:element minOccurs="0" maxOccurs="1" name="userName" type="s:string" />

<s:element minOccurs="0" maxOccurs="1" name="sourceCertificate"

type="s:base64Binary" />

<s:element minOccurs="1" maxOccurs="1" name="verifyRevocation" type="s:boolean"

/>

<s:element minOccurs="1" maxOccurs="1" name="verificationFileTimeUtc"

type="s:long" />

</s:sequence>

</s:complexType>

- <s:element name="ValidateResponse">

- <s:complexType>

- <s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="ValidateResult"

type="tns:ValidateCertificateResponse" />

</s:sequence>

</s:complexType>

</s:element>

- <s:complexType name="ValidateCertificateResponse">

- <s:sequence>

<s:element minOccurs="1" maxOccurs="1" name="certificateStatus"

type="tns:X509ChainStatusFlags" />

</s:sequence>

</s:complexType>

- <s:simpleType name="X509ChainStatusFlags">

- <s:list>

- <s:simpleType>

- <s:restriction base="s:string">

<s:enumeration value="NoError" />

<s:enumeration value="NotTimeValid" />

<s:enumeration value="NotTimeNested" />

<s:enumeration value="Revoked" />

<s:enumeration value="NotSignatureValid" />



<s:enumeration value="NotValidForUsage" />

<s:enumeration value="UntrustedRoot" />

<s:enumeration value="RevocationStatusUnknown" />

<s:enumeration value="Cyclic" />

<s:enumeration value="InvalidExtension" />

<s:enumeration value="InvalidPolicyConstraints" />

<s:enumeration value="InvalidBasicConstraints" />

<s:enumeration value="InvalidNameConstraints" />

<s:enumeration value="HasNotSupportedNameConstraint" />

<s:enumeration value="HasNotDefinedNameConstraint" />

<s:enumeration value="HasNotPermittedNameConstraint" />

<s:enumeration value="HasExcludedNameConstraint" />

<s:enumeration value="PartialChain" />

<s:enumeration value="CtlNotTimeValid" />

<s:enumeration value="CtlNotSignatureValid" />

<s:enumeration value="CtlNotValidForUsage" />

<s:enumeration value="OfflineRevocation" />

<s:enumeration value="NoIssuanceChainPolicy" />

</s:restriction>

</s:simpleType>

</s:list>

</s:simpleType>

</s:schema>

</wsdl:types>

- <wsdl:message name="ValidateSoapIn">

<wsdl:part name="parameters" element="tns:Validate" />

</wsdl:message>

- <wsdl:message name="ValidateSoapOut">

<wsdl:part name="parameters" element="tns:ValidateResponse" />

</wsdl:message>

- <wsdl:portType name="CertificateSoap">

- <wsdl:operation name="Validate">

<wsdl:input message="tns:ValidateSoapIn" />

<wsdl:output message="tns:ValidateSoapOut" />

</wsdl:operation>

</wsdl:portType>

- <wsdl:binding name="CertificateSoap" type="tns:CertificateSoap">

<soap:binding transport="http://schemas.xmlsoap.org/soap/http" />


<soap:operation soapAction="http://smartaccess.es/RevokeClient/Validate"

style="document" />

- <wsdl:input>

<soap:body use="literal" />

</wsdl:input>

- <wsdl:output>


</wsdl:output>

</wsdl:operation>

</wsdl:binding>

- <wsdl:binding name="CertificateSoap12" type="tns:CertificateSoap">

<soap12:binding transport="http://schemas.xmlsoap.org/soap/http" />


<soap12:operation soapAction="http://smartaccess.es/RevokeClient/Validate"

style="document" />

- <wsdl:input>

<soap12:body use="literal" />

</wsdl:input>

- <wsdl:output>


</wsdl:output>

</wsdl:operation>

</wsdl:binding>

- <wsdl:service name="Certificate">

- <wsdl:port name="CertificateSoap" binding="tns:CertificateSoap">



<soap:address location="http://localhost/RevokeClientWS/certificate.asmx" />

</wsdl:port>

- <wsdl:port name="CertificateSoap12" binding="tns:CertificateSoap12">

<soap12:address location="http://localhost/RevokeClientWS/certificate.asmx" />

</wsdl:port>

</wsdl:service>

</wsdl:definitions>

5.2 Ejemplos de Peticiones y Respuestas SOAP al Servicio de Validación

de Certificados

En este apartado se muestran ejemplos de peticiones y respuestas SOAP 1.1 y SOAP 1.2. En estos ejemplos sería necesario sustituir los textos en negrita y azul por los valores reales en las peticiones:

5.2.1 Ejemplo SOAP 1.1 POST /RevokeClientWS/certificate.asmx HTTP/1.1

Host: XXX.XXX.XXX.XXX

Content-Type: text/xml; charset=utf-8

Content-Length: length

SOAPAction: "http://smartaccess.es/RevokeClient/Validate"

<?xml version="1.0" encoding="utf-8"?>

<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xmlns:xsd="http://www.w3.org/2001/XMLSchema"

xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">

<soap:Body>

<Validate xmlns="http://smartaccess.es/RevokeClient">

<Request>

<computerName>string</computerName>

<userName>string</userName>

<sourceCertificate>base64Binary</sourceCertificate>

<verifyRevocation>boolean</verifyRevocation>

<verificationFileTimeUtc>long</verificationFileTimeUtc>

</Request>

</Validate>

</soap:Body>

</soap:Envelope>

HTTP/1.1 200 OK







<soap:Body>

<ValidateResponse xmlns="http://smartaccess.es/RevokeClient">

<ValidateResult>

<certificateStatus>NoError or NotTimeValid or NotTimeNested or Revoked or

NotSignatureValid or NotValidForUsage or UntrustedRoot or RevocationStatusUnknown

or Cyclic or InvalidExtension or InvalidPolicyConstraints or

InvalidBasicConstraints or InvalidNameConstraints or HasNotSupportedNameConstraint

or HasNotDefinedNameConstraint or HasNotPermittedNameConstraint or

HasExcludedNameConstraint or PartialChain or CtlNotTimeValid or

CtlNotSignatureValid or CtlNotValidForUsage or OfflineRevocation or

NoIssuanceChainPolicy</certificateStatus>

</ValidateResult>

</ValidateResponse>

</soap:Body>

</soap:Envelope>



5.2.2 Ejemplo SOAP 1.2 POST /RevokeClientWS/certificate.asmx HTTP/1.1


Content-Type: application/soap+xml; charset=utf-8



<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"


xmlns:soap12="http://www.w3.org/2003/05/soap-envelope">

<soap12:Body>

<Validate xmlns="http://smartaccess.es/RevokeClient">

<Request>




<verifyRevocation>boolean</verifyRevocation>

<verificationFileTimeUtc>long</verificationFileTimeUtc>

</Request>

</Validate>

</soap12:Body>

</soap12:Envelope>

HTTP/1.1 200 OK







<soap12:Body>

<ValidateResponse xmlns="http://smartaccess.es/RevokeClient">

<ValidateResult>

<certificateStatus>NoError or NotTimeValid or NotTimeNested or Revoked or

NotSignatureValid or NotValidForUsage or UntrustedRoot or RevocationStatusUnknown

or Cyclic or InvalidExtension or InvalidPolicyConstraints or

InvalidBasicConstraints or InvalidNameConstraints or HasNotSupportedNameConstraint

or HasNotDefinedNameConstraint or HasNotPermittedNameConstraint or

HasExcludedNameConstraint or PartialChain or CtlNotTimeValid or

CtlNotSignatureValid or CtlNotValidForUsage or OfflineRevocation or

NoIssuanceChainPolicy</certificateStatus>

</ValidateResult>

</ValidateResponse>

</soap12:Body>

</soap12:Envelope>

5.3 Descripción del Servicio Web de Descargas en Formato WSDL

<?xml version="1.0" encoding="utf-8" ?>

- <wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"










- <wsdl:types>

- <s:schema elementFormDefault="qualified"




- <s:element name="GetRevocationObject">

- <s:complexType>

- <s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="Request"

type="tns:GetRevocationObjectRequest" />

</s:sequence>

</s:complexType>

</s:element>

- <s:complexType name="GetRevocationObjectRequest">

- <s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="computerName" type="s:string" />


<s:element minOccurs="0" maxOccurs="1" name="sourceCertificate"

type="s:base64Binary" />

</s:sequence>

</s:complexType>

- <s:element name="GetRevocationObjectResponse">

- <s:complexType>

- <s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="GetRevocationObjectResult"

type="tns:GetRevocationObjectResponse" />

</s:sequence>

</s:complexType>

</s:element>

- <s:complexType name="GetRevocationObjectResponse">

- <s:sequence>

<s:element minOccurs="1" maxOccurs="1" name="lastError" type="s:unsignedInt" />

<s:element minOccurs="1" maxOccurs="1" name="objectType" type="tns:ObjectType" />

<s:element minOccurs="0" maxOccurs="1" name="baseCRL" type="s:base64Binary" />

<s:element minOccurs="0" maxOccurs="1" name="deltaCRL" type="s:base64Binary" />

<s:element minOccurs="0" maxOccurs="1" name="ocspResponse" type="s:base64Binary"

/>

</s:sequence>

</s:complexType>

- <s:simpleType name="ObjectType">

- <s:list>

- <s:simpleType>

- <s:restriction base="s:string">

<s:enumeration value="None" />

<s:enumeration value="BASE_CRL" />

<s:enumeration value="DELTA_CRL" />

<s:enumeration value="OCSP_RESP" />

</s:restriction>

</s:simpleType>

</s:list>

</s:simpleType>

</s:schema>

</wsdl:types>

- <wsdl:message name="GetRevocationObjectSoapIn">

<wsdl:part name="parameters" element="tns:GetRevocationObject" />

</wsdl:message>

- <wsdl:message name="GetRevocationObjectSoapOut">

<wsdl:part name="parameters" element="tns:GetRevocationObjectResponse" />

</wsdl:message>

- <wsdl:portType name="DownloadsSoap">

- <wsdl:operation name="GetRevocationObject">

<wsdl:input message="tns:GetRevocationObjectSoapIn" />

<wsdl:output message="tns:GetRevocationObjectSoapOut" />

</wsdl:operation>

</wsdl:portType>

- <wsdl:binding name="DownloadsSoap" type="tns:DownloadsSoap">





<soap:operation

soapAction="http://smartaccess.es/RevokeClient/GetRevocationObject"

style="document" />

- <wsdl:input>


</wsdl:input>

- <wsdl:output>


</wsdl:output>

</wsdl:operation>

</wsdl:binding>

- <wsdl:binding name="DownloadsSoap12" type="tns:DownloadsSoap">



<soap12:operation

soapAction="http://smartaccess.es/RevokeClient/GetRevocationObject"

style="document" />

- <wsdl:input>


</wsdl:input>

- <wsdl:output>


</wsdl:output>

</wsdl:operation>

</wsdl:binding>

- <wsdl:service name="Downloads">

- <wsdl:port name="DownloadsSoap" binding="tns:DownloadsSoap">

<soap:address location="http://localhost/RevokeClientWS/Downloads.asmx" />

</wsdl:port>

- <wsdl:port name="DownloadsSoap12" binding="tns:DownloadsSoap12">

<soap12:address location="http://localhost/RevokeClientWS/Downloads.asmx" />

</wsdl:port>

</wsdl:service>

</wsdl:definitions>

5.4 Ejemplos de Peticiones y Respuestas SOAP al Servicio de Descargas


5.4.1 Ejemplo SOAP 1.1 POST /RevokeClientWS/Downloads.asmx HTTP/1.1




SOAPAction: "http://smartaccess.es/RevokeClient/GetRevocationObject"





<soap:Body>

<GetRevocationObject xmlns="http://smartaccess.es/RevokeClient">

<Request>




</Request>

</GetRevocationObject>

</soap:Body>

</soap:Envelope>



HTTP/1.1 200 OK







<soap:Body>

<GetRevocationObjectResponse xmlns="http://smartaccess.es/RevokeClient">

<GetRevocationObjectResult>

<lastError>unsignedInt</lastError>

<objectType>None or BASE_CRL or DELTA_CRL or OCSP_RESP</objectType>

<baseCRL>base64Binary</baseCRL>

<deltaCRL>base64Binary</deltaCRL>

<ocspResponse>base64Binary</ocspResponse>

</GetRevocationObjectResult>

</GetRevocationObjectResponse>

</soap:Body>

</soap:Envelope>

5.4.2 Ejemplo SOAP 1.2 POST /RevokeClientWS/Downloads.asmx HTTP/1.1








<soap12:Body>

<GetRevocationObject xmlns="http://smartaccess.es/RevokeClient">

<Request>




</Request>

</GetRevocationObject>

</soap12:Body>

</soap12:Envelope>

HTTP/1.1 200 OK







<soap12:Body>

<GetRevocationObjectResponse xmlns="http://smartaccess.es/RevokeClient">

<GetRevocationObjectResult>

<lastError>unsignedInt</lastError>

<objectType>None or BASE_CRL or DELTA_CRL or OCSP_RESP</objectType>

<baseCRL>base64Binary</baseCRL>

<deltaCRL>base64Binary</deltaCRL>

<ocspResponse>base64Binary</ocspResponse>

</GetRevocationObjectResult>

</GetRevocationObjectResponse>

</soap12:Body>

</soap12:Envelope>



5.5 Descripción del Servicio Web de Verificación de Revocación en

Formato WSDL


<wsdl:definitions xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"










<wsdl:types>

<s:schema elementFormDefault="qualified"


<s:element name="Verify">

<s:complexType>

<s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="VerificationRequest"

type="tns:CVerificationRequest" />

</s:sequence>

</s:complexType>

</s:element>

<s:complexType name="CVerificationRequest">

<s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="computerName"

type="s:string" />


<s:element minOccurs="1" maxOccurs="1" name="ConfigurationVersion"

nillable="true" type="s:int" />

<s:element minOccurs="0" maxOccurs="1" name="Base64Cert" type="s:string"

/>

<s:element minOccurs="1" maxOccurs="1" name="lngTimeToUse" type="s:long"

/>

</s:sequence>

</s:complexType>

<s:element name="VerifyResponse">

<s:complexType>

<s:sequence>

<s:element minOccurs="0" maxOccurs="1" name="VerifyResult"

type="tns:CVerificationResponse" />

</s:sequence>

</s:complexType>

</s:element>

<s:complexType name="CVerificationResponse">

<s:sequence>

<s:element minOccurs="1" maxOccurs="1" name="AgentCode" type="s:boolean"

/>

<s:element minOccurs="1" maxOccurs="1" name="ReasonCode" type="s:int" />

<s:element minOccurs="1" maxOccurs="1" name="LastError"

type="s:unsignedInt" />

<s:element minOccurs="1" maxOccurs="1" name="lngRevocationDate"

type="s:long" />

<s:element minOccurs="1" maxOccurs="1" name="Action" nillable="true"

type="s:unsignedInt" />

</s:sequence>

</s:complexType>

</s:schema>

</wsdl:types>

<wsdl:message name="VerifySoapIn">



<wsdl:part name="parameters" element="tns:Verify" />

</wsdl:message>

<wsdl:message name="VerifySoapOut">

<wsdl:part name="parameters" element="tns:VerifyResponse" />

</wsdl:message>

<wsdl:portType name="RevocationSoap">

<wsdl:operation name="Verify">

<wsdl:input message="tns:VerifySoapIn" />

<wsdl:output message="tns:VerifySoapOut" />

</wsdl:operation>

</wsdl:portType>

<wsdl:binding name="RevocationSoap" type="tns:RevocationSoap">



<soap:operation soapAction="http://smartaccess.es/RevokeClient/Verify"

style="document" />

<wsdl:input>


</wsdl:input>

<wsdl:output>


</wsdl:output>

</wsdl:operation>

</wsdl:binding>

<wsdl:binding name="RevocationSoap12" type="tns:RevocationSoap">



<soap12:operation soapAction="http://smartaccess.es/RevokeClient/Verify"

style="document" />

<wsdl:input>


</wsdl:input>

<wsdl:output>


</wsdl:output>

</wsdl:operation>

</wsdl:binding>

<wsdl:service name="Revocation">

<wsdl:port name="RevocationSoap" binding="tns:RevocationSoap">

<soap:address location="http://localhost/RevokeClientWS/Revocation.asmx" />

</wsdl:port>

<wsdl:port name="RevocationSoap12" binding="tns:RevocationSoap12">

<soap12:address location="http://localhost/RevokeClientWS/Revocation.asmx" />

</wsdl:port>

</wsdl:service>

</wsdl:definitions>

5.6 Ejemplos de Peticiones y Respuestas SOAP al Servicio de Verificación

de Revocación


5.6.1 Ejemplo SOAP 1.1 POST /revokeclientws/revocation.asmx HTTP/1.1




SOAPAction: "http://smartaccess.es/RevokeClient/Verify"







<soap:Body>

<Verify xmlns="http://smartaccess.es/RevokeClient">

<VerificationRequest>



<ConfigurationVersion>int</ConfigurationVersion>

<Base64Cert>string</Base64Cert>

<lngTimeToUse>long</lngTimeToUse>

</VerificationRequest>

</Verify>

</soap:Body>

</soap:Envelope>

HTTP/1.1 200 OK







<soap:Body>

<VerifyResponse xmlns="http://smartaccess.es/RevokeClient">

<VerifyResult>

<AgentCode>boolean</AgentCode>

<ReasonCode>int</ReasonCode>

<LastError>unsignedInt</LastError>

<lngRevocationDate>long</lngRevocationDate>

<Action>unsignedInt</Action>

</VerifyResult>

</VerifyResponse>

</soap:Body>

</soap:Envelope>

5.6.2 Ejemplo SOAP 1.2 POST /revokeclientws/revocation.asmx HTTP/1.1








<soap12:Body>

<Verify xmlns="http://smartaccess.es/RevokeClient">

<VerificationRequest>



<ConfigurationVersion>int</ConfigurationVersion>

<Base64Cert>string</Base64Cert>

<lngTimeToUse>long</lngTimeToUse>

</VerificationRequest>

</Verify>

</soap12:Body>

</soap12:Envelope>

HTTP/1.1 200 OK









<soap12:Body>

<VerifyResponse xmlns="http://smartaccess.es/RevokeClient">

<VerifyResult>

<AgentCode>boolean</AgentCode>

<ReasonCode>int</ReasonCode>

<LastError>unsignedInt</LastError>

<lngRevocationDate>long</lngRevocationDate>

<Action>unsignedInt</Action>

</VerifyResult>

</VerifyResponse>

</soap12:Body>

</soap12:Envelope>



6 Recursos

Para información acerca de los distintos servicios de SealSign puede accederse a esta dirección: https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

Además en el blog de ElevenPaths es posible encontrar artículos interesantes y novedades acerca de este producto.

Puede encontrarse más información acerca de los productos de Eleven Paths en YouTube, en Vimeo y en Slideshare.

https://www.elevenpaths.com/es/tecnologia/sealsign/index.html

http://blog.elevenpaths.com/

https://www.youtube.com/user/ElevenPaths

http://vimeo.com/elevenpaths

http://www.slideshare.net/elevenpaths/



La información contenida en el presente documento es propiedad de Telefónica Digital España, S.L.U. (“TDE”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDE y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDE se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso.

La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDE.

El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro.

TDE no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso.

TDE y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDE y sus filiales se reservan todo los derechos sobre las mismas.

PUBLICACIÓN:

Octubre 2016

En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos.

La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, y ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online.

Con sede en Madrid, estamos presentes también en Londres, EE.UU, Brasil, Argentina, y Colombia.

TIENES ALGO QUE CONTARNOS, PUEDES HACERLO EN:

elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths YouTube.com/ElevenPaths

guía de desarrollo de trustid revoke server

Technology