Pourquoi l'erreur accesscontrol access denied read apparait-elle lors du renouvellement du certificat IDSE?

Java bloque la lecture des fichiers par politique de sécurité. Modifier java.policy en ajoutant la permission FilePermission pour le chemin requis résout le problème.

Où se trouve le fichier java.policy sous Windows?

Il se trouve dans le sous-répertoire lib/security de chaque version Java installée, par exemple: C:\Program Files (x86)\Java\jre1.8.0_191\lib\security\java.policy.

Est-il sûr de modifier java.policy pour renouveler le certificat IMSS?

La modification présente des risques: elle permet à toute application Java de lire des fichiers sur votre ordinateur. Elle doit être annulée immédiatement après le renouvellement.

Quelle ligne ajouter dans java.policy pour corriger l'erreur de lecture de l'IDSE?

Ajoutez permission java.io.FilePermission "<>", "read"; juste avant la dernière accolade fermante du fichier. Enregistrez en tant qu'administrateur et relancez le renouvellement.

Qu'est-ce que l'erreur 0x8009030d lors du renouvellement du certificat numérique de l'IMSS?

Le code 0x8009030d indique que le fournisseur d'informations d'identification est introuvable ou que le certificat n'est pas disponible dans le magasin du système. Vérifiez que le fichier .cer de l'IMSS est correctement importé dans Windows et que Java dispose d'un accès en lecture sur le chemin concerné.

Pourquoi java.security.AccessControlException apparait-elle spécifiquement dans l'IDSE?

Le portail IDSE de l'IMSS utilise des applets Java qui nécessitent des permissions de lecture et d'écriture sur le système de fichiers local pour accéder au répertoire des certificats. Le fichier java.policy doit accorder explicitement l'accès FilePermission en lecture/écriture au répertoire où le certificat numérique de l'IDSE est stocké.

Como resolver el error 'accesscontrol access denied read' cuando intentan renovar el Certificado del IDSE con el IMSS

Q: Que signifie l'erreur java.security.AccessControlException access denied java.io.FilePermission?

C'est l'exception complète levée par la JVM lorsqu'une application Java tente de lire un fichier sans permission explicite dans java.policy. Ajouter FilePermission avec l'action "read" pour le chemin du certificat résout l'exception.

TL;DR — Résumé Rapide

Solution pour l'erreur java.security.AccessControlException: access denied sur l'IDSE de l'IMSS. Modifiez java.policy pour renouveler votre certificat.

Nota: Este artículo fue publicado originalmente en 2019. Algunos pasos o versiones de software pueden haber cambiado. Verifica la documentación actual de IMSS para la información más reciente.

Ahorita nos tocó nuevamente renovar el certificado del IDSE del IMSS. Como siempre, es un proceso que resulta engorroso, complicado, y depende de JAVA y políticas de baja seguridad para que funcione. Sigo sin entender porque el IMSS decidió irse por estos caminos tan poco usuales. No más de una vez me he metido al sitio y ni siquiera el certificado web está actualizado (just ahorita si te metes ya expiró). Pero bueno, regresando al tema: Hubieron dos problemas con los que nos topamos esta vez. El primero es que dice que para bajar tu certificado te va a llegar una liga por correo: MENTIRA. Ningún correo nos llegó, pero si puedes darle click en continuar y en la siguiente página puedes bajarlo sin mayor problema. Eso sí, si hablas a soporte técnico te mandan a las oficinas del IMSS con tu USB y archivos a que ellos te den el certificado… que burocracia más engorrosa.

El segundo problema que tuvimos es que para terminar de obtener nuestro certificado teníamos que permitir que leyera el sistema nuestra carta y firmarla… sin embargo el sistema no dejaba de mandar errores indicando “access denied, read”. Esto me llevó a sospechar que por alguna razón o política de seguridad los archivos no podían ser leídos. Volví a ejecutar el java policy que te pide el IMSS y nada. Finalmente encontramos una manera de hacerlo funcionar. Cabe mencionar, esta forma tiene riesgos de seguridad y si la van a usar es bajo su propio riesgo y sugiero hagan el cambio y reviertan a la configuración default cuando terminen de renovar su certificado, no usar ningún otro sitio web o aplicación en el momento, particularmente si usan java.

Solución

Leyendo el mensaje que más o menos va así: “java.security.AccessControlException access denied” y más adelante te indica que el error es de tipo “read” (osea, lectura). Usando esta información lo que nos dice es que Java no tiene permiso de leer los archivos que le estamos dando (y porque no tuvo problemas con la carta anterior es un misterio). Entonces, prosigamos:

Para corregir esta situación de falta de permisos de lectura, es necesario localizar el o los archivos llamados java.policy que se encuentran el carpeta de instalación de cada versión de Java (si sabes cual usa el IDSE, solo hay que cambiar esa… si no vas a tener que cambiar todas). Estos archivos se encuentran en el subdirectorio de cada instalación de java bajo \lib\security por ejemplo: C:\Program Files (x86)\Java\jre1.8.0_191\lib\security u otro ejemplo C:\Archivos de programa\Java\jre6\lib\security (la parte jre6 es la que cambia de acuerdo a la versión como pueden observar entre los dos ejemplos). Una vez localizados los archivos se tienen que editar, abran el bloc de notas (probablemente necesiten abrirlo como administrador para poder guardar los cambios) y prosigan a agregar insertar la siguiente línea justo en la línea antes del último corchete ( } ) :

permission java.io.FilePermission ”<>”, “read”;

NOTA: Esta solución permite a todos los programas de Java leer cualquier archivo en la máquina por lo que puede tener riesgos en la seguridad del equipo. Tan pronto terminen de renovar el certificado del IMSS se sugiere comenten o remuevan esta línea por seguridad.

Investigando más… es posible utilizar una ruta en vez de <> para todas las rutas. Mi sugerencia, es crear un folder donde por el momento pueda uno poner temporalmente ahí los archivos ya que cualquier aplicación java tendrá acceso de lectura a esa carpeta a partir de este cambio:

permission java.io.FilePermission “C:/Imss/Temp/-”, “read”;

Y listo! Ya con eso nos funcionó y pudimos terminar de renovar nuestro certificado digital del IMSS y utilizar nuevamente la plataforma del IDSE para nuestras altas, bajas y modificaciones obrero patronales.

Navigateurs Compatibles

De nombreux utilisateurs rencontrant l’erreur AccessControlException font également face à des problèmes de compatibilité avec les navigateurs modernes, car les applets Java ont été abandonnées dans la plupart d’entre eux. Gardez à l’esprit ce qui suit :

Internet Explorer 11 est le seul navigateur qui prend encore en charge les plugins Java. Assurez-vous d’utiliser la version 32 bits d’IE (C:\Program Files (x86)\Internet Explorer\iexplore.exe), car la version 64 bits ne charge pas correctement les applets.
Chrome, Firefox et Edge ont supprimé la prise en charge des plugins NPAPI/Java depuis 2015-2017. Ils ne fonctionneront pas pour le processus de signature de l’IDSE qui nécessite Java.
Alternative sans Java : L’IMSS a mis en place un Bureau Virtuel accessible depuis idse.imss.gob.mx qui permet d’effectuer les démarches de l’IDSE sans dépendre de Java ni d’un navigateur spécifique. Si votre certificat numérique est valide, cette option évite entièrement les problèmes de compatibilité Java.

Résumé

L’erreur java.security.AccessControlException access denied read lors du renouvellement du certificat IDSE de l’IMSS est causée par le blocage de la lecture de fichiers locaux par la politique de sécurité Java.
Le “Access denied Error 15” sur serviciosdigitales.imss.gob.mx a la même origine : la JVM ne peut pas lire le fichier de certificat sur le disque local.
La solution consiste à modifier le fichier java.policy dans lib/security de la version Java utilisée par l’IDSE et à ajouter la ligne permission java.io.FilePermission "<>", "read"; avant la dernière accolade fermante.
Pour plus de sécurité, utilisez un chemin spécifique ("C:/Imss/Temp/-") plutôt que <> (tous les chemins) afin de limiter l’accès en lecture au seul répertoire du certificat.
L’erreur 0x8009030d indique que le certificat n’est pas disponible dans le magasin du système ; vérifiez l’importation du fichier .cer dans Windows en plus des permissions Java.
Annulez la modification dans java.policy immédiatement après avoir terminé le renouvellement pour rétablir la sécurité par défaut.

Como resolver el error 'accesscontrol access denied read' cuando intentan renovar el Certificado del IDSE con el IMSS

Solución

Navigateurs Compatibles

Résumé

Articles Connexes

🏥 Guide Complet IMSS et Système SUA

Frequently Asked Questions

Solución

Navigateurs Compatibles

Résumé

Articles Connexes

🏥 Guide Complet IMSS et Système SUA

Frequently Asked Questions

Articles Connexes

IDSE IMSS : Erreur lors de l'envoi des mouvements d'affiliation en ligne

IDSE : Erreur d'envoi de mouvements d'affiliation au IMSS du Mexique

IDSE IMSS: Erreur 'Connexion sécurisée impossible' et problèmes de certificat e.firma