Guía de instalación de Certificado Digital IZENPE para Linux Mint 17

Anuncio
Manual de Instalación
Certificado Digital Izenpe
GNU/Linux
Linux Mint 17 - Qiana
 Izenpe s.a. 2015
Esta obra está bajo la licencia Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 de Creative Commons. Puede
copiarla, distribuirla y comunicarla públicamente siempre que especifique su autor y no se utilice para fines comerciales.
La licencia completa puede consultarla en http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es. Izenpe, s.a. no podrá ser
considerada responsable de eventuales errores u omisiones en la edición del documento.
2/
Índice de contenido
1.Introducción........................................................................................................... 4
2.Estructura y Alcance del Documento.....................................................................4
3.Hardware y Aplicaciones Soportadas.....................................................................5
3.1.Algunos De Los Lectores Soportados..............................................................5
3.2.Tarjetas Inteligentes Soportadas De Forma Nativa........................................5
3.3.Tarjetas Inteligentes Soportadas Mediante El Uso De Librerías PKCS#11
Externas:............................................................................................................... 6
3.4.Aplicaciones Soportadas.................................................................................6
4.Requisitos Software para la Instalación.................................................................7
4.1.Configuración de los lectores..........................................................................7
4.2.Descarga e Instalación del Middleware de Izenpe..........................................9
4.3.Descarga e Instalación de OpenJDK y IcedTea.............................................12
5.Descarga e Instalación de los Certificados Izenpe...............................................13
5.1.Forma 1 – Modo Automático.........................................................................14
5.2.Forma 2 – Modo Manual...............................................................................20
6.Configuración de las aplicaciones........................................................................23
6.1.Navegadores web.......................................................................................... 23
6.1.1.Firefox................................................................................................... 23
Instalación de módulo para certificados....................................................23
6.2.Envío de correos firmados digitalmente.......................................................25
6.2.1.Thunderbird...........................................................................................25
Instalación de módulo para certificados....................................................25
Configuración de los certificados previamente instalados.........................26
Envío de un correo firmado digitalmente en Thunderbird.........................26
6.2.2.Evolution................................................................................................27
7.Ejemplo de uso de las aplicaciones......................................................................29
7.1.Identificación en sitios web...........................................................................29
7.1.1.Firefox................................................................................................... 29
Cambio necesario en Firefox para que funcione el acceso en algunas Webs
................................................................................................................... 32
7.2.Envío de correos firmados digitalmente.......................................................34
7.2.1.Thunderbird...........................................................................................34
Configuración cuenta de correo con certificado........................................34
Envío de correo firmado digitalmente........................................................36
Verificación de firma digital en correo.......................................................36
7.2.2.Evolution................................................................................................37
7.3.Firma de documentos...................................................................................39
7.3.1.LibreOffice............................................................................................. 39
8.Otras aplicaciones adicionales.............................................................................42
8.1.Gestor de la Tarjeta de Izenpe......................................................................42
8.2.Cambio de PIN usando Firefox.....................................................................44
9.Incompatibilidades conocidas (Importante).........................................................45
9.1.DNIe.............................................................................................................. 45
9.2.Tarjetas Antiguas de Izenpe..........................................................................46
10.Anexo para Sistemas Móviles.............................................................................47
10.1.Android OS.................................................................................................. 47
3/
11.Acerca de............................................................................................................ 48
4/
1. Introducción
Izenpe, en un esfuerzo por apoyar y facilitar el uso de sus certificados a los usuarios de
software libre y open source en la Comunidad Autónoma Vasca ha desarrollado diversas guías
con el objetivo de detallar los pasos necesarios para instalar y configurar los certificados
digitales de Izenpe sobre el sistema operativo GNU/Linux.
En este caso se describirá el proceso a seguir en la distribución Linux Mint 17 para lograr
utilizar los certificados digitales de Izenpe con las aplicaciones más importantes que dan
acceso a los servicios ofrecidos por la administración pública vasca.
2. Estructura y Alcance del Documento
El documento se estructura en 5 secciones secuenciales que detallan minuciosamente el
proceso completo de instalación, configuración y uso de los certificados digitales de Izenpe en
GNU/Linux:
●
●
●
●
●
Requisitos de Hardware (Lectores) y Software (Aplicaciones externas).
Descarga e Instalación del Middleware de Izenpe.
Descarga e Instalación de los certificados para Izenpe.
Configuración y ejemplos de uso para las distintas aplicaciones soportadas.
Errores conocidos, consejos y soluciones.
Cada una de estas secciones explica las tareas necesarias para llevar a cabo el proceso
completo.
Este documento pretende servir de manual de instalación para todas aquellas distribuciones
Linux similares que usan paquetes .deb, como:
–
–
–
Debian 6 y 7.
Linux Mint.
Ubuntu desde la versión 10.04 LTS hasta la versión mas actual.
Nota: Según la versión de sistema operativo que utilicemos puede haber ligeras variaciones.
5/
3. Hardware y Aplicaciones Soportadas
3.1. Algunos De Los Lectores Soportados
En este documento no es posible dar cabida a todos los dispositivos hardware existentes en el
mercado. Por ello desde Izenpe se ha decido dar soporte de manera oficial a los siguientes
lectores USB de tarjetas criptográficas:
●
●
●
PC Twin (Gemalto)
PCT-combi (Giesecke & Devrient)
Minilector EVO (Bit4id)
Todos ellos pueden ser adquiridos o a través de la tienda web de Izenpe
(http://www.izenpedenda.com/) o en cualquier otro proveedor autorizado. Además otros lectores
podrán funcionar siempre según la disponibilidad de drivers.
Nota Importante: El lector de tarjetas ha de ser compatible PC/SC.
3.2. Tarjetas Inteligentes Soportadas De Forma Nativa
El Universal Middleware de Izenpe para Linux (en adelante UM) consiste en un módulo de
librería que expone una API compatible con la especificación PKCS#11 v2.11.
Dicho módulo ofrece al software que utilizan las diversas interfaces de programación la
posibilidad de utilizar las tarjetas inteligentes soportadas como tokens criptográficos.
La siguiente lista consta de las tarjetas que son compatibles con el módulo de Izenpe.




Gemalto Classic TPC:
o FileSystem full compliant PKCS#11 con objetos de 2048 bit
o FileSystem de Firma electrónica con validez legal con objetos de 2048 bit
Giesecke&Devrient (StarCOS 2.3)
o FileSystem full compliant PKCS#11 con objetos de 1024 bit
Incard Incrypto34 V2 con filesystem: CNS + Firma electrónica + FullP11:
o FileSystem CNS conforme a las especificaciones CNS del CNIPA (v.1.1.3) (FS CNS)
o FileSystem de Firma electrónica con validez legal (FS DS-v1.0)
o FileSystem full compliant PKCS#11 (FS FullP11)
Incard Touch&Sign2048:
o Todos los filesystem soportados en la tarjeta Incrypto34v2 más:
 FileSystem full compliant PKCS#11 (FS FullP11), con objetos de 2048 bit
 FileSystem de Firma electrónica reconocida (FS DS-v2.0), con tres pares de
claves de 2048bit o con tres pares de claves de 1024bit más tres pares de
claves de 2048bit.
6/
3.3. Tarjetas Inteligentes Soportadas Mediante El Uso
De Librerías PKCS#11 Externas:







Incard
CryptoSmartCard16
(SetecOS)
Incard
CryptoSmartCardE4H
(Starcos)
Incard M4.01a FS1111 (Siemens
CardOS/M4)
Gemplus (GemGATE 32K)
Gemplus (GemGATE CardOS M4)
Siemens (Siemens CardOS M4.01)
Siemens (Siemens CardOS M4)








Siemens (Siemens CIE)
Siemens (Siemens SISS – HPC)
Siemens
(Siemens
CardOS
M4.01a)
Athena (ASECard Crypto)
Ghirlanda (M4cvToken)
Gemplus (SIM TIM)
Oberthur (Cosmo 64 RSA dual
interface)
Oberthur (Oberthur Cosmo64).
3.4. Aplicaciones Soportadas
Para acceder a los servicios ofrecidos por Izenpe es necesario disponer de herramientas y
aplicaciones que hagan uso de los certificados de Izenpe.
Las aplicaciones más comunes que hacen uso de estos certificados se han agrupado en tres
categorías y se ha intentado documentar el proceso de instalación y configuración de las
mismas con los certificados de Izenpe.
Este manual esta hecho expresamente para las siguientes versiones no se
responsabiliza de que en otras versiones no funcione.
Las aplicaciones que se explicarán en este documento son:
●
Navegadores Web
○ Firefox 33
●
Clientes de correo:
○ Thunderbird 31.2.0
○ Evolution 3.12.7
●
Herramientas Ofimáticas
○ LibreOffice 4.3.3.2
●
Versión de Java
○ IcedTea 1.5
7/
4. Requisitos Software para la Instalación
4.1. Configuración de los lectores
Para instalar y configurar nuestro lector, primeramente tendremos que asegurarnos si es
compatible o no con nuestro sistema (Linux). Si ha sido comprado en Izenpedenda o ha sido
suministrado por Izenpe, 100% que será compatible, sino, dependiendo del distribuidor y del
tipo de lector podrá valer o no.
Hay algunos lectores que vienen con su propio software de instalación y otros que son
compatibles y funcionan con el software que se puede instalar nativamente en todos los
equipos Linux.
Para estos últimos (los mas comunes) tendremos que realizar los siguientes pasos de
instalación (se puede hacer de forma gráfica o por linea de comandos, como se prefiera).
De Forma Gráfica
Abrimos el Gestor de Software.
Y ponemos en su buscador: pcscd e instalamos.
8/
En Modo Comandos
Para instalarlo en modo comandos, abrimos un terminal:
Y escribimos en él lo siguiente:
sudo apt-get install pcscd
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del usuario.
9/
4.2. Descarga e Instalación del Middleware de Izenpe
Para la descarga del Middleware, iremos a la web de izenpe y en el apartado Software
encontraremos para descargar el archivo que nos interesa.
www.izenpe.com
Seleccionamos Middleware Izenpe para Linux y le damos a Guardar Archivo.
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.
Una vez finalizada la descarga tendremos dos maneras de instalarlo: gráficamente o todo en
modo linea de comandos. Elije la que prefieras, el resultado final es el mismo.
10/
De Forma Gráfica
Tendremos en la carpeta Descargas el archivo → Kit_Izenpe_Linux_cryptoKEY_4.0.0.0.zip
Hacemos clic con el botón derecho sobre él y le damos a Extraer aquí.
Del contenido de la carpeta resultante, nos quedaremos con el directorio que se corresponda
con la arquitectura de nuestro sistema operativo (32 o 64 bits). Si la desconocemos, la manera
mas fácil de averiguarla es la siguiente:
- Abrimos un terminal y escribimos en el: uname -m
11/
Si el resultado es i686 se refiere a 32 bits. En cambio, si nos muestra
es de 64 bits. En el caso de este manual se trata de 64 bits.
x86_64 la arquitectura
Dentro de la carpeta con nuestra arquitectura, tendremos lo siguiente:
· El directorio pkcs11, que contiene los archivos libbit4ipki.so, libbit4ipki.so.conf
y libbit4ipki.so.interop.plugin
- El archivo ejecutable p11test, el cual podemos eliminar.
· Y el archivo pinmanager_64.zip, que contiene la aplicación para gestionar el cambio de pin de
la tarjeta, desbloquearla y alguna opción mas, las cuales se explican en un apartado próximo al
final de este documento.
Teniendo claro lo anterior, nuestro siguiente paso será copiar el contenido de la carpeta pkcs11
al directorio /usr/lib/
Como es una operación que requiere permisos de root, lo haremos usando un terminal,
entrando en la carpeta pkcs11 y moviendo los archivos, tal y indicamos:.
cd Descargas/Kit_Izenpe_Linux_4.0.1.0/64/pkcs11/
sudo mv * /usr/lib/
sudo chmod 777 /usr/lib/libbit4ipki.so*
Como último paso, descomprimimos el archivo pinmanager_64.zip, crearemos una carpeta de
nombre Izenpe
en nuestra Carpeta personal, a donde moveremos el directorio
pinmanager_64
12/
En Modo Comandos
Para instalarlo en modo comandos, abrimos un terminal y escribimos en él lo siguiente:
cd ~/Descargas
mkdir Kit_Izenpe_Linux_4.0.1.0
unzip -d Kit_Izenpe_Linux_4.0.1.0/ Kit_Izenpe_Linux_4.0.1.0.zip
cd Kit_Izenpe_Linux_4.0.1.0/
cd 64/
cd pkcs11/
sudo mv * /usr/lib/
sudo chmod 644 /usr/lib/libbit4ipki.so*
cd ..
unzip pinmanager_64
mkdir ~/Izenpe
mv pinmanager_64/ ~/Izenpe/
sudo chmod 700 ~/Izenpe/pinmanager_64/* -R
Hemos hecho los mismos pasos que en el modo gráfico pero en menos movimientos.
Los siguientes pasos que realizaremos con estos archivos los encontraremos en el apartado de
Configuración de las Aplicaciones → Navegadores Web → Firefox.
Pero antes, procedamos a instalar los certificados.
4.3. Descarga e Instalación de OpenJDK y IcedTea
En mint viene por defecto instalado el IcedTea y el OpenJDK. Por lo tanto no es necesario
instalarlo.
13/
5. Descarga e Instalación de los Certificados
Izenpe
Izenpe ha dispuesto una jerarquía de autoridades de certificación y subordinadas para dar
respuesta a las diferentes necesidades que se presentan al acceder a los diferentes servicios
que se proporcionan a través de internet y certifica a sus usuarios con distintos perfiles según
el caso.
Para ver el gráfico mas grande: https://servicios.izenpe.com/images/CAS-IZENPE-2011.gif
14/
5.1. Forma 1 – Modo Automático
Izenpe ha desarrollado una serie de instaladores especiales para cada plataforma, cuyo
objetivo es conseguir que la descarga e instalación de los certificados no sea tan compleja
como solía ser por las características del software vigentes hasta la fecha.
En este caso el instalador que nos interesa es un paquete .deb, compatible para las
distribuciones que usan este tipo de paquetes, como son Ubuntu, Debian, Linux Mint ...
Para la descarga de los certificados, iremos a la web de izenpe y en el apartado Software
encontraremos el archivo para su descarga.
www.izenpe.com
Seleccionamos Certificado Izenpe para Ubuntu Debian y le damos a Guardar Archivo.
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.
Nota: La versión de los certificados tiene que ser la 1.2.0.0 ya que trae mejoras de seguridad
con los certificados SHA2. De tener la versión 1.1.0.0 habría que actualizarla.
15/
Una vez finalizada la descarga tendremos dos maneras de instalarlos: gráficamente o en modo
linea de comandos. Elije la que prefieras, el resultado final es el mismo.
De Forma Gráfica
Tendremos en la carpeta Descargas el archivo → izenpe-certificates_1.2.0.0_all.deb
En el cual, hacemos clic derecho y elegimos Abrir con el instalador de paquetes Gdebi.
Se nos abre el instalador de paquetes en el cual le daremos al botón Instalar.
Mientras se instala, nos saldrá en la barra lateral, un nuevo icono al cual hemos de dar para
poder seleccionar los navegadores en los que queremos importar los certificados.
Seleccionamos tanto Firefox como Thunderbird (de ser nuestro gestor de correo
predeterminado), y le damos al botón Adelante. (Ver Imagen):
16/
17/
Si se desea se puede comprobar si la instalación ha sido exitosa consultando los certificados
instalados en tu navegador.
Ruta: Firefox → Editar → Preferencias → Avanzado → Cifrado → Certificados → Autoridades
18/
En Modo Comandos
Para instalarlo en modo comandos, abrimos un terminal.
Y escribimos en él las siguientes sentencias en el hasta que finalice la instalación (ver imagen),
introduciendo la contraseña del sistema cuando nos la pida y afirmando la instalación:
cd ~/Descargas
sudo dpkg -i izenpe-certificates_1.2.0.0_all.deb
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del usuario.
Nota: Si a la hora de instalar da error por falta de librería libnss3-tools hay que instalarla de la
siguiente manera: sudo aptitude install libnss3-tools
Con la tecla “Tabulador” cambiamos de opciones y con la “Barra Espaciadora” seleccionamos
Firefox y Thunderbird (de ser nuestro gestor de correo predeterminado) y pulsamos Aceptar
para continuar con la instalación.
19/
Si nos sale este mensaje es que ha finalizado la instalación correctamente. Ya podemos pasar
al paso de configurar el módulo en Firefox.
20/
5.2. Forma 2 – Modo Manual
Si el paso anterior no esta disponible por algún motivo, siempre podemos realizar la descarga e
instalación de cada certificado a mano. Un proceso bastante costoso.
Estos certificados, están disponibles en la web: www.izenpe.com  Descarga de certificados.
Enlace Directo a los certificados→
http://www.izenpe.com/s15-12020/es/contenidos/informacion/cas_izenpe/es_cas/cas_izenpe.html
21/
Para instalar un certificado hay que hacer lo siguiente. Clickar en la flecha azul de cada uno y
marcar las 3 casillas. Se añadirán automáticamente al Firefox.
Según la estructura de autoridades certificadoras definidas por Izenpe, cada tarjeta únicamente
va a ser validada contra una autoridad raíz y una subordinada. Ello significa que no es
estrictamente necesario importar todos los certificados de todas las autoridades certificadoras,
ya que el aplicativo en cuestión no va a utilizarlas con nuestra tarjeta. Sin embargo, si no se
conoce adecuadamente el funcionamiento de la jerarquía de autoridades se recomienda
instalar todas las de la columna SHA2.
Es fundamental importar los certificados raíz de las autoridades certificadoras en Firefox para
poder realizar los procesos de autenticación y firma en los sitios web. Si el navegador no
dispone de dichos certificados el servidor rechazará el acceso al mismo.
22/
Para ver si se han importado correctamente los certificados hay que ir a:
Firefox → Propiedades → Avanzado → Certificados → Ver certificados
23/
6. Configuración de las aplicaciones
6.1. Navegadores web
6.1.1. Firefox
Firefox es el navegador por excelencia en GNU/Linux.
Instalación de módulo para certificados
En el menú Editar → Preferencias hacemos “click” sobre Avanzado y a continuación sobre la
pestaña de Cifrado, como vemos en la imagen. Por último volvemos a hacer “click” sobre el
botón Dispositivos de seguridad.
El Administrador de dispositivos es una herramienta que permite gestionar los módulos de
seguridad de Firefox. Por defecto viene provisto de 2 módulos de seguridad, uno para la
gestión de los certificados raíz que vienen instalados por defecto y otro para todos aquellos
certificados no externos que vayamos añadiendo, junto con las librerías necesarias.
24/
Para añadir el nuevo módulo de seguridad que necesitamos hacemos “click” sobre el botón
Cargar.
Se nos abre una ventana que nos permite definir un nuevo módulo PKCS#11 en el que:
●
Nombre del módulo: un nombre genérico que haga referencia al módulo de seguridad
para el Middleware. Introducimos un nombre cualquiera. Por ejemplo: Izenpe
●
Archivo del módulo: le damos a Examinar y navegaremos hasta la ruta donde se
encuentra el archivo libbit4ipki.so
(/usr/lib/libbit4ipki.so)
Después, hacemos “click” en aceptar y veremos como se nos añade el nuevo módulo.
Nota: Si por un casual al añadir el módulo aparece vacío, puede ser que necesite reiniciar el
equipo. Asegúrate de que tanto el lector como la tarjeta están correctamente conectados al PC.
25/
6.2. Envío de correos firmados digitalmente
Para poder enviar correos firmados es necesario disponer de un certificado que tenga definido
como atributo su uso extendido de la clave, concretamente, la Protección de correo electrónico
(OID 1.3.6.1.5.5.7.3.4).
Solo algunas de las tarjetas de Izenpe cuentan con dicha extensión.
6.2.1. Thunderbird
El proceso de configuración de Thunderbird es muy similar al de Firefox.
Instalación de módulo para certificados
Para la instalación de los certificados y del módulo PKCS#11 la ruta es la siguiente:
Thunderbird → Editar → Preferencias → Avanzado → Certificados → Dispositivos de
Seguridad
Ver configuración de Firefox en el apartado correspondiente para mas detalles. Es el mismo
proceso de carga del modulo Izenpe con el archivo libbit4ipki.so.
26/
Configuración de los certificados previamente instalados
Para instalar los certificados de Izenpe, basta con ejecutar el instalador de Izenpe y seleccionar
Thunderbird en su menú de instalación.
Si has seguido los pasos anteriores del manual, es muy probable que ya los tengas instalados,
en cuyo caso, abriremos el Administrador de Certificados en Thunderbird y modificaremos su
confianza tal y como se muestra en la imagen:
Thunderbird → Editar → Configuración de las cuentas → Seguridad → Ver Certificados →
Autoridades → Seleccionar todos los certificados de Izenpe → Editar Confianza → Activar las
tres casillas.
Nota:Habrá que editar la confianza de todos los certificados por lo tanto saldra el mismo
mensaje varias veces.
Nota: Al entrar en la pestaña Ver Certificados, si tienes el módulo correctamente instalado y la
tarjeta en el lector, te pedirá el código pin.
Envío de un correo firmado digitalmente en Thunderbird
El siguiente proceso lo veremos en un apartado posterior de este manual.
27/
6.2.2. Evolution
Efectuaremos los siguientes pasos, teniendo como navegador por defecto Firefox (previamente
configurado).
Evolution puede utilizar las librerías NSS (Network Security Services) de Mozilla, así que
enlazaremos el almacén de certificados de Mozilla con el Evolution.
La manera más elegante de realizarlo es a través de una serie de enlaces simbólicos y así
tener sincronizadas las configuraciones de los dispositivos de seguridad de Firefox y Evolution
(si los copiásemos cada vez que cambiásemos algo tendríamos que volver a copiarlo)
Para ello es necesario abrir una terminal y ejecutar lo siguiente:
sudo rm /etc/pki/nssdb/*
sudo ln -sf $HOME/.mozilla/firefox/*.default/*.db /etc/pki/nssdb/
sudo modutil -dbdir sql:/etc/pki/nssdb/ -add "Izenpe" -libfile /usr/lib/libbit4ipki.so
Ademas de hacer esto hay que ir a la página de Izenpe para descargar certificados.
http://www.izenpe.com/s15-12020/es/contenidos/informacion/cas_izenpe/es_cas/cas_izenpe.html
Una vez ahí con el botón derecho seleccionar uno a uno los certificados y darle a Guardar
enlace como. Y guardarlos en la carpeta Descargar por ejemplo.
Una vez descargados hay que importarlo, para ello hay que abrir el evolution e ir a:
Editar → Preferencias → Certificados → Autoridades.
28/
Y una vez en importar seleccionar los certificados de la Carpeta Descargar e importarlos uno a
uno marcando todas las casillas de confianza.
Envío de un correo firmado digitalmente en Evolution
El siguiente proceso lo veremos en un apartado posterior de este manual.
Una vez terminados todos tiene que quedar así:
29/
7. Ejemplo de uso de las aplicaciones
7.1. Identificación en sitios web
7.1.1. Firefox
Una vez configurada la ubicación de los certificados según se ha explicado en el apartado
correspondiente realizaremos una prueba de firma para comprobar que toda la instalación es
correcta y el proceso se realiza satisfactoriamente.
Abrimos Firefox → Complementos → Plugins , revisamos si esta cargado el plugin de java y
volvemos a comprobar la versión en la pagina web:
Cuando todo este correcto. Accedemos a la web de Izenpe (http://www.izenpe.com/), hacemos
“clic” sobre Gestiona tu certificado y a continuación en Prueba de Firma.
Permitiremos las Ventanas Emergentes
La primera vez que accedamos es posible que nos aparecerá una advertencia relacionada con
permitir o no permitir las ventanas emergentes.
En este caso, permitiremos la ventanas emergente.
30/
Si nos da la opción de permitir siempre para este sitio, la elegiremos.
Nos saldrá una advertencia de seguridad en la cual es muy importante ACTIVAR la casilla de
CONFIAR SIEMPRE y después darle a EJECUTAR.
31/
Luego hay que introducir unos datos para realizar la prueba de firma. Y con el lector y la tarjeta
conectados darle a firmar.
Le damos a firmar y nos pedirá el pin de nuestra tarjeta, lo introducimos y le damos a Aceptar.
Elegiremos nuestro certificado con el que queremos firmar y le damos a aceptar.
Si nuestro certificado es válido para acceder a la aplicación y no está revocado la aplicación
nos permitirá el acceso con las mismas garantías que lo hacemos de forma presencial.
32/
Se procesa la firma y cuando se complete nos aparecerá un mensaje confirmando que todo ha
ido correctamente.
Nota: Es importante que cuando acabemos de realizar las gestiones oportunas cerremos la
sesión del sitio web así como el navegador para evitar que otras personas puedan acceder a
Internet con nuestros credenciales.
Cambio necesario en Firefox para que funcione el acceso en algunas
Webs
Con el salto de las versiones de Firefox y los cambios realizados en cada versión del
navegador, el acceso o la ejecución de ciertos servicios en algunas paginas webs se ha visto
“capado” produciendo algunas incompatibilidades.
Por ejemplo, para acceder a Bizkaia.net necesitamos modificar un valor en la configuración de
Firefox. Y lo hacemos de la siguiente manera:
Abrimos Firefox y escribimos en el campo de url: about:config
33/
Aceptamos haciendo click en ¡Tendré cuidado, lo prometo! y escribimos en el buscador:
security.ssl
Hacemos doble click sobre la primera opción que nos encuentra, y veremos que, además de
resaltar en negrita, cambia su valor a TRUE.
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref
Cerramos la pestaña y ya podremos acceder correctamente con nuestra tarjeta en Bizkaia.net
34/
7.2. Envío de correos firmados digitalmente
Una vez realizada la instalación de los certificados y del modulo de Izenpe, será necesario
asociar la cuenta de correo electrónico con el certificado de la tarjeta con la que vamos a firmar
el correo. Veamos como realizar dicha tarea en los distintos clientes de correo.
7.2.1. Thunderbird
Configuración cuenta de correo con certificado
En el menú Preferencias → Configuración de las cuentas
Hacemos “clic” sobre el apartado de Seguridad en la cuenta correspondiente. A continuación
seleccionamos el certificado para el firmado digital. Nos llegará a pedir el pin de la tarjeta.
35/
Opcionalmente, podemos seleccionar el certificado que se utilizaría si cifrásemos el mensaje.
En conjunto, quedaría tal y como se muestra en la imagen:
36/
Envío de correo firmado digitalmente
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada la
opción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente a
través de la pestaña Seguridad → Firmar digitalmente este mensaje.
Observaremos que aparecerá un check afirmativo de confirmación, como el siguiente:
Verificación de firma digital en correo
Thunderbird nos muestra un icono de un sobre cerrado y sellado, que indica que el correo está
firmado digitalmente.
Si hacemos clic en el sobre, nos mostrara la información de la firma digital.
En caso que no sea válida nos avisará de ello. Bien porque el correo ha sido modificado o bien
porque no hemos importado los certificados raíz de las autoridades certificadoras y sus
subordinadas.
La firma digital no es valida
37/
7.2.2. Evolution
Configuración cuenta de correo con certificado
En el menú Editar -> Preferencias hacemos "clic" sobre la opción Cuentas de correo,
Nos llegará a pedir el pin de la tarjeta.
Y una vez metida, seleccionamos la cuenta que queremos configurar y volvemos a hacer "clic"
en Editar.
Accedemos a la sección Seguridad y seleccionamos el certificado que queremos utilizar para la
firma de correos haciendo "clic" en el botón Seleccionar del apartado MIME Seguro.
Veremos como se carga el certificado:
38/
Y por último le damos a Aplicar para que se guarden los cambios.
Envío de correo firmado digitalmente
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada la
opción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente a
través del menú Opciones-> Firmar con S/MIME.
Observaremos que aparecerá un check afirmativo de confirmación:
Verificación de firma digital en correo
Evolution nos muestra un icono que indica que el correo está firmado digitalmente.
39/
Si hacemos clic sobre él, nos mostrara la información de la firma digital.
Para poder comprobar si la firma es válida es necesario haber importado los certificados raíz de
las autoridades certificadoras y subordinadas.
7.3. Firma de documentos
7.3.1. LibreOffice
Una vez configurada la ubicación de los certificados según se ha explicado en el apartado
correspondiente, realizaremos un proceso de firma de un documento.
LibreOffice permite firmar los siguientes tipos de documentos:
●
●
●
●
Documentos de texto
Hojas de cálculo
Presentaciones
Dibujos
Para proceder con la firma del documento, en el menú Archivo seleccionamos la opción Firmas
digitales.
40/
Nota: La firma del documento es necesario realizarla sobre un documento guardado, que no se
va a modificar. En el momento en que se firma el documento si se modifica se pierde la firma y
es necesario volver a firmarlo.
41/
Una vez guardado nos muestra el gestor de firmas digitales de LibreOffice
Hacemos “clic” sobre Firmar documento... y nos muestra los certificados que tenemos
configurados desde la base de datos de certificados, así como el propio de la tarjeta si la
tenemos conectada y el modulo correctamente configurado (en Firefox).
Una vez Aceptado el certificado se mostrará en el gestor de firmas.
Podemos distinguir que esta firmado por la modificación del titulo con la etiqueta de (firmado), y
por el siguiente icono en la parte inferior de LibreOffice:
42/
8. Otras aplicaciones adicionales
8.1. Gestor de la Tarjeta de Izenpe
Junto con el Middleware descargado, viene una aplicación con la cual podremos cambiar el
PIN, desbloquearla introduciendo el PUK (por si hemos introducido tres veces el PIN mal y se
ha bloqueado), y alguna que otra opción.
Para que la aplicación funcione, es necesario tener instaladas una serie de librerías en nuestro
equipo. Para ello, abriremos un terminal he instalaremos los paquetes libglade2-0, ibssl0.9.8
y también libssl1.0.0.
sudo apt-get install libglade2-0 libssl1.0.0 libssl0.9.8
sudo chmod 775 ~/Izenpe/* -R
cd ~/Izenpe/pinmanager_*/
./gtkbit4pin
O si preferimos hacerlo de forma manual, Ir a la carpeta personal → Pinmanager_64 o
Pinmanager_32 y dar doble click en gtkbit4pin y propiedades.
Seleccionamos la pestaña de permisos y activamos la casilla de Ejecución, tal y como
podemos ver en la siguiente imagen.
Ahora ya podremos ejecutarla haciendo doble click sobre gtkbit4pin
43/
A continuación abrirá la ventana del programa y ahí se podrán editar los parámetros.
44/
8.2. Cambio de PIN usando Firefox
En el menú Editar → Preferencias pinchamos sobre Avanzado y a continuación sobre la
pestaña de Certificados, como vemos en la imagen. Por último pinchamos sobre el botón
Dispositivos de seguridad y seguido a Cambiar contraseña
Nota: Recomendamos el uso de la propia aplicación de Izenpe, no obstante, se explica el
cambio con Firefox por ser la manera que ha predominado hasta la actualidad.
45/
9. Incompatibilidades conocidas (Importante)
9.1. DNIe
A diferencia de Izenpe que tiene sus propio Middleware para el uso de sus tarjetas, la
instalación del DNIe en Linux y Mac, usa las librerías OpenSC para hacer funcionar la lectura
del mismo, lo que provoca incompatibilidades en la funcionalidad de ambos dispositivos a la
vez.
Si antes de realizar la de Izenpe, se dispone ya de la instalación del DNIe, merece la pena
probar si también es capaz de leer la tarjeta de Izenpe, en caso afirmativo, solo realizaremos la
instalación de los certificados de Izenpe y no la del Middleware.
Si aun así, se pretende usar, tanto el DNIe como las tarjetas Izenpe en el mismo equipo, hay
una posibilidad, aunque no vamos a entrar mucho en detalle. Los pasos serian:
1. Realizar la instalación del DNIe, siguiendo las guías de www.dnielectronico.es o
usando el instalador de Zonatic
2. Asegurarte de que el DNIe funciona correctamente en Firefox y puedes realizar
gestiones.
3. Crear un nuevo perfil en Firefox, de nombre Izenpe, ejecutando en un terminal el
siguiente comando y siguiendo su asistente: firefox -P
4. Lanzar Firefox desde el terminal con: firefox -P Izenpe y realizar la instalación del
módulo, de los certificados y demás apartados explicados este manual.
5. Crear dos lanzadores (accesos directos) para Firefox y editar su comando de
ejecución, para que uno abra el perfil default donde estará instalado el DNIe y el otro
ejecute el perfil Izenpe donde previamente hemos realizado la instalación.
Nota Importante: Izenpe no se hace responsable del soporte o problemas
relacionados con el DNIe.
Mostramos esta solución como ayuda orientativa a posibles usuarios que se
aventuren a realizar ambas instalaciones y/o configuraciones en el mismo
sistema.
46/
9.2. Tarjetas Antiguas de Izenpe
Con el cambio de fabricante en las tarjetas de Izenpe, se producen dos casos a destacar:
· Las tarjetas antiguas (anteriores al 2012), funcionan con el nuevo Middleware y la nueva
instalación.
· Las tarjetas nuevas, no funcionan en instalaciones antiguas (realizadas con las librerías
OpenSC). Necesitan el nuevo Middleware para que funcionen correctamente.
47/
10. Anexo para Sistemas Móviles
10.1. Android OS
A día de hoy en las versiones de Android OS 4 en adelante no es necesario la instalación de
certificados raíz para poder navegar sin avisos de error por paginas que los soliciten, están ya
incluidos en el navegador del sistema.
48/
11. Acerca de
Este documento ha sido elaborado por la empresa Irontec Internet y Sistemas sobre
GNU/Linux.
Para la elaboración del presente documento se ha desarrollado una cuidadosa metodología de
análisis y puesta en funcionamiento, garantizado la adecuación del documento a las
necesidades de los usuarios.
Si el lector considera que hay algún aspecto erróneo o encuentra alguna errata, puede
trasladarla mediante email a cau-izenpe@izenpe.net e intentaremos incluirla en próximas
revisiones del documento.
Descargar