Manual de Instalación Certificado Digital Izenpe€¦ · Manual de Instalación Certificado...
57
Manual de Instalación Certificado Digital Izenpe GNU/Linux Ubuntu 12.04 LTS - Precise Pangolin Izenpe s.a. 2013 Esta obra está bajo la licencia Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 de Creative Commons. Puede copiarla, distribuirla y comunicarla públicamente siempre que especifique su autor y no se utilice para fines comerciales. La licencia completa puede consultarla en http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es . Izenpe, s.a. no podrá ser considerada responsable de eventuales errores u omisiones en la edición del documento.
Transcript of Manual de Instalación Certificado Digital Izenpe€¦ · Manual de Instalación Certificado...
Manual de Instalación
Certificado Digital Izenpe
GNU/Linux
Ubuntu 12.04 LTS - Precise Pangolin
Izenpe s.a. 2013Esta obra está bajo la licencia Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 de Creative Commons. Puede copiarla, distribuirla y comunicarla públicamente siempre que especifique su autor y no se utilice para fines comerciales.
La licencia completa puede consultarla en http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es. Izenpe, s.a. no podrá ser considerada responsable de eventuales errores u omisiones en la edición del documento.
2/
Índice de contenidoIntroducción............................................................................................................................ 4Estructura y Alcance del Documento......................................................................................4Hardware y Aplicaciones Soportadas......................................................................................5
Algunos De Los Lectores Soportados.................................................................................5Tarjetas Inteligentes Soportadas De Forma Nativa............................................................5Tarjetas Inteligentes Soportadas Mediante El Uso De Librerías PKCS#11 Externas:.......6Aplicaciones Soportadas.....................................................................................................6
Requisitos Software para la Instalación..................................................................................7Configuración de los lectores.............................................................................................7
Descarga e Instalación del Middleware de Izenpe..................................................................9Descarga e Instalación de los Certificados Izenpe ...............................................................13
Forma 1 – Modo Automático.............................................................................................14Forma 2 – Modo Manual...................................................................................................20
Descarga e Instalación de JAVA JRE de Oracle.....................................................................25Pasos de instalación en sistemas de 64 bits.....................................................................25Pasos de instalación en sistemas de 32 bits.....................................................................27
Configuración de las aplicaciones.........................................................................................29Navegadores web.............................................................................................................29
Firefox......................................................................................................................... 29Instalación de módulo para certificados.................................................................29
Google Chrome / Chromium........................................................................................31Instalación del módulo para los certificados...........................................................31Comprobación del módulo y de los Certificados.....................................................32Pasos necesarios para que funcione Java en Google Chrome ................................33Pasos necesarios para que funcione Java en Chromium.........................................34
Opera........................................................................................................................... 34Envío de correos firmados digitalmente...........................................................................35
Thunderbird.................................................................................................................35Instalación de módulo para certificados.................................................................35Configuración de los certificados previamente instalados......................................36Envío de un correo firmado digitalmente en Thunderbird......................................36
Evolution..................................................................................................................... 37Instalación de módulo para certificados.................................................................37Configuración de los certificados previamente instalados......................................37Envío de un correo firmado digitalmente en Evolution...........................................38
KMail........................................................................................................................... 38Herramientas Ofimáticas......................................................................................................38
LibreOffice................................................................................................................... 38Ejemplo de uso de las aplicaciones.......................................................................................39
Identificación en sitios web..............................................................................................39Firefox......................................................................................................................... 39Cambio necesario en Firefox para que funcione el acceso en algunas Webs...............42
3/
Google Chrome / Chromium........................................................................................43Comprobar Plugin de Java......................................................................................43Prueba de Firma.....................................................................................................43
Envío de correos firmados digitalmente................................................................................44Thunderbird.................................................................................................................44
Configuración cuenta de correo con certificado.....................................................44Envío de correo firmado digitalmente....................................................................45Verificación de firma digital en correo...................................................................46
Evolution..................................................................................................................... 47Configuración cuenta de correo con certificado.....................................................47Envío de correo firmado digitalmente....................................................................48Verificación de firma digital en correo...................................................................49
Firma de documentos ofimáticos......................................................................................50LibreOffice................................................................................................................... 50
Otras aplicaciones adicionales..............................................................................................53Gestor de la Tarjeta de Izenpe..........................................................................................53Cambio de PIN usando Firefox.........................................................................................55
Incompatibilidades conocidas (Importante)..........................................................................56DNIe................................................................................................................................. 56Tarjetas Antiguas de Izenpe.............................................................................................57
Acerca de.............................................................................................................................. 57
4/
IntroducciónIzenpe, en un esfuerzo por apoyar y facilitar el uso de sus certificados a los usuarios de software libre y open source en la Comunidad Autónoma Vasca ha desarrollado diversas guías con el objetivo de detallar los pasos necesarios para instalar y configurar los certificados digitales de Izenpe sobre el sistema operativo GNU/Linux.
En este caso se describirá el proceso a seguir en la distribución Ubuntu 12.04 LTS para lograr utilizar los certificados digitales de Izenpe con las aplicaciones más importantes que dan acceso a los servicios ofrecidos por la administración pública vasca.
Estructura y Alcance del DocumentoEl documento se estructura en 5 secciones secuenciales que detallan minuciosamente el proceso completo de instalación, configuración y uso de los certificados digitales de Izenpe en GNU/Linux:
● Requisitos de Hardware (Lectores) y Software (Aplicaciones externas).● Descarga e Instalación del Middleware de Izenpe.● Descarga e Instalación de los certificados para Izenpe.● Configuración y ejemplos de uso para las distintas aplicaciones soportadas.● Errores conocidos, consejos y soluciones.
Cada una de estas secciones explica las tareas necesarias para llevar a cabo el proceso completo.
Este documento pretende servir de manual de instalación para todas aquellas distribuciones Linux similares que usan paquetes .deb, como:
– Debian 6 y 7.– Linux Mint 13 y 14.– Ubuntu desde la versión 10.04 LTS hasta la versión mas actual 12.10.
5/
Hardware y Aplicaciones Soportadas
Algunos De Los Lectores SoportadosEn este documento no es posible dar cabida a todos los dispositivos hardware existentes en el mercado. Por ello desde Izenpe se ha decido dar soporte de manera oficial a los siguientes lectores USB de tarjetas criptográficas:
● miniLector USB● Cherry Keyboard● miniLector BAY● miniLector PCMCIA-92
Todos ellos pueden ser adquiridos o a través de la tienda web de Izenpe (http://www.izenpedenda.com/) o en cualquier otro proveedor autorizado. Además otros lectores podrán funcionar siempre según la disponibilidad de drivers.
Nota Importante: El lector de tarjetas ha de ser compatible PC/SC.
Tarjetas Inteligentes Soportadas De Forma NativaEl Universal Middleware de Izenpe para Linux (en adelante UM) consiste en un módulo de librería que expone una API compatible con la especificación PKCS#11 v2.11.
Dicho módulo ofrece al software que utilizan las diversas interfaces de programación la posibilidad de utilizar las tarjetas inteligentes soportadas como tokens criptográficos.
La siguiente lista consta de las tarjetas que son compatibles con el módulo de Izenpe.
• Gemalto Classic TPC:
o FileSystem full compliant PKCS#11 con objetos de 2048 bit o FileSystem de Firma electrónica con validez legal con objetos de 2048 bit
• Giesecke&Devrient (StarCOS 2.3) o FileSystem full compliant PKCS#11 con objetos de 1024 bit
• Incard Incrypto34 V2 con filesystem: CNS + Firma electrónica + FullP11:o FileSystem CNS conforme a las especificaciones CNS del CNIPA (v.1.1.3) (FS CNS)o FileSystem de Firma electrónica con validez legal (FS DS-v1.0)o FileSystem full compliant PKCS#11 (FS FullP11)
• Incard Touch&Sign2048:o Todos los filesystem soportados en la tarjeta Incrypto34v2 más:
FileSystem full compliant PKCS#11 (FS FullP11), con objetos de 2048 bit FileSystem de Firma electrónica reconocida (FS DS-v2.0), con tres pares de
claves de 2048bit o con tres pares de claves de 1024bit más tres pares de claves de 2048bit.
6/
Tarjetas Inteligentes Soportadas Mediante El Uso De Librerías PKCS#11 Externas:
• Incard CryptoSmartCard16 (SetecOS)
• Incard CryptoSmartCardE4H (Starcos)
• Incard M4.01a FS1111 (Siemens CardOS/M4)
• Gemplus (GemGATE 32K)• Gemplus (GemGATE CardOS M4)• Siemens (Siemens CardOS M4.01)• Siemens (Siemens CardOS M4)
• Siemens (Siemens CIE)• Siemens (Siemens SISS – HPC)• Siemens (Siemens CardOS
M4.01a)• Athena (ASECard Crypto)• Ghirlanda (M4cvToken)• Gemplus (SIM TIM)• Oberthur (Cosmo 64 RSA dual
interface)• Oberthur (Oberthur Cosmo64).
Aplicaciones SoportadasPara acceder a los servicios ofrecidos por Izenpe es necesario disponer de herramientas y aplicaciones que hagan uso de los certificados de Izenpe.
Las aplicaciones más comunes que hacen uso de estos certificados se han agrupado en tres categorías y se ha intentado documentar el proceso de instalación y configuración de las mismas con los certificados de Izenpe.
Las aplicaciones que se explicarán en este documento son:
● Navegadores Web○ Firefox 18.0.2○ Opera 12.12○ Google Chrome / Chromium 24.0.1312.68
● Clientes de correo:○ Thunderbird 17.0.2○ Evolution 3.4.4○ Kmail 4.8.5
● Herramientas Ofimáticas○ LibreOffice 3.5.4.7
7/
Requisitos Software para la Instalación
Configuración de los lectoresPara instalar y configurar nuestro lector, primeramente tendremos que asegurarnos si es compatible o no con nuestro sistema (Linux). Si ha sido comprado en Izenpedenda o ha sido suministrado por Izenpe, 100% que será compatible, sino, dependiendo del distribuidor y del tipo de lector podrá valer o no.
Hay algunos lectores que vienen con su propio software de instalación y otros que son compatibles y funcionan con el software que se puede instalar nativamente en todos los equipos Linux.
Para estos últimos (los mas comunes) tendremos que realizar los siguientes pasos de instalación (se puede hacer de forma gráfica o por linea de comandos, como se prefiera).
De Forma GráficaAbrimos el Centro de Software de Ubuntu, y ponemos en su buscador: pcscd
8/
Le damos a instalar. Nos pedirá la contraseña del usuario y continua con la instalación.
Al terminar la instalación, reiniciamos el PC.
En Modo ComandosPara instalarlo en modo comandos, abrimos un terminal:
Y escribimos en él lo siguiente:
sudo apt-get install pcscd
Una vez acabada la instalación, reiniciamos el equipo con el comando:
sudo reboot
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del usuario.
9/
Descarga e Instalación del Middleware de Izenpe
Para la descarga del Middleware, iremos a la web de izenpe y en el apartado Software encontraremos para descargar el archivo que nos interesa.
www.izenpe.com
Seleccionamos Middleware Izenpe para Linux y le damos a Guardar Archivo.
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.
Una vez finalizada la descarga tendremos dos maneras de instalarlo: gráficamente o todo en modo linea de comandos. Elije la que prefieras, el resultado final es el mismo.
10/
De Forma GráficaTendremos en la carpeta Descargas el archivo → Kit_Izenpe_Linux_cryptoKEY_3.0.3.6.zip
Hacemos clic con el botón derecho sobre él y le damos a Extraer aquí.
Del contenido de la carpeta resultante, nos quedaremos con el directorio que se corresponda con la arquitectura de nuestro sistema operativo (32 o 64 bits). Si la desconocemos, la manera mas fácil de averiguarla es la siguiente:
- Abrimos un terminal y escribimos en el: uname -m
Si el resultado es i686 se refiere a 32 bits. En cambio, si nos muestra x86_64 la arquitectura es de 64 bits. En el caso de este manual se trata de 64 bits.
11/
Dentro de la carpeta con nuestra arquitectura, tendremos lo siguiente:
· El directorio pkcs11, que contiene los archivos libbit4ipki.so, libbit4ipki.so.conf y libbit4ipki.so.interop.plugin
- El archivo ejecutable p11test, el cual podemos eliminar.
· Y el archivo pinmanager_64.zip, que contiene la aplicación para gestionar el cambio de pin de la tarjeta, desbloquearla y alguna opción mas, las cuales se explican en un apartado próximo al final de este documento.
Teniendo claro lo anterior, nuestro siguiente paso será copiar el contenido de la carpeta pkcs11 al directorio /usr/lib/
Como es una operación que requiere permisos de root, lo haremos usando un terminal, entrando en la carpeta pkcs11 y moviendo los archivos, tal y como mostramos en la imagen.
cd Descargas/Kit_Izenpe_Linux_3.0.3.5/64/pkcs11/
sudo mv * /usr/lib/
sudo chmod 777 /usr/lib/libbit4ipki.so*
Como último paso, descomprimimos el archivo pinmanager_64.zip, crearemos una carpeta de nombre Izenpe en nuestra Carpeta personal, a donde moveremos el directorio pinmanager_64
12/
En Modo ComandosPara instalarlo en modo comandos, abrimos un terminal y escribimos en él lo siguiente:
cd ~/Descargas
mkdir Kit_Izenpe_Linux_cryptoKEY_3.0.3.6
unzip -d Kit_Izenpe_Linux_cryptoKEY_3.0.3.6/ Kit_Izenpe_Linux_cryptoKEY_3.0.3.6.zip
cd Kit_Izenpe_Linux_cryptoKEY_3.0.3.6/
cd 64/
cd pkcs11/
sudo mv * /usr/lib/
sudo chmod 644 /usr/lib/libbit4ipki.so*
cd ..
mkdir pinmanager_64
unzip -d pinmanager_64 pinmanager_64.zip
mkdir ~/Izenpe
mv pinmanager_64/ ~/Izenpe/
sudo chmod 700 ~/Izenpe/pinmanager_64/* -R
exit
Hemos hecho los mismos pasos que en el modo gráfico pero en menos movimientos.
Los siguientes pasos que realizaremos con estos archivos los encontraremos en el apartado de Configuración de las Aplicaciones → Navegadores Web → Firefox.
Pero antes, procedamos a instalar los certificados.
13/
Descarga e Instalación de los Certificados Izenpe Izenpe ha dispuesto una jerarquía de autoridades de certificación y subordinadas para dar respuesta a las diferentes necesidades que se presentan al acceder a los diferentes servicios que se proporcionan a través de internet y certifica a sus usuarios con distintos perfiles según el caso.
Para ver el gráfico mas grande: https://servicios.izenpe.com/images/CAS-IZENPE-2011.gif
14/
Forma 1 – Modo Automático
Izenpe ha desarrollado una serie de instaladores especiales para cada plataforma, cuyo objetivo es conseguir que la descarga e instalación de los certificados no sea tan compleja como solía ser por las características del software vigentes hasta la fecha.
En este caso el instalador que nos interesa es un paquete .deb, compatible para las distribuciones que usan este tipo de paquetes, como son Ubuntu, Debian, Linux Mint ...
Para la descarga de los certificados, iremos a la web de izenpe y en el apartado Software encontraremos el archivo para su descarga.
www.izenpe.com
Seleccionamos Certificado Izenpe para Ubuntu Debian y le damos a Guardar Archivo.
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.
Una vez finalizada la descarga tendremos dos maneras de instalarlos: gráficamente o en modo linea de comandos. Elije la que prefieras, el resultado final es el mismo.
15/
De Forma GráficaTendremos en la carpeta Descargas el archivo → izenpe-certificates_1.0.1.0_all.deb
En el cual, hacemos clic derecho y elegimos Abrir con Centro de software de Ubuntu.
Se nos abre el Centro de software de Ubuntu en el cual le daremos al botón Instalar.
Nos pedirá la contraseña del usuario, la introducimos y le damos a Autenticar.
Mientras se instala, nos saldrá en la barra lateral, un nuevo icono al cual hemos de dar para poder seleccionar los navegadores en los que queremos importar los certificados.
16/
Si no tenemos instalado Chrome, seleccionamos tanto Firefox como Thunderbird (de ser nuestro gestor de correo predeterminado), y le damos al botón Adelante. (Ver Imagen):
Antes de finalizar, nos saldrá un mensaje confirmando la correcta instalación.
Si se desea se puede comprobar si la instalación ha sido exitosa consultando los certificados instalados en tu navegador.
Ruta: Firefox → Editar → Preferencias → Avanzado → Cifrado → Certificados → Autoridades
17/
18/
En Modo ComandosPara instalarlo en modo comandos, abrimos un terminal:
Y escribimos en él las siguientes sentencias en el hasta que finalice la instalación (ver imagen), introduciendo la contraseña del sistema cuando nos la pida y afirmando la instalación:
cd ~/Descargas
sudo dpkg -i izenpe-certificates_1.0.1.0_all.deb
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del usuario.
19/
Con la tecla “Tabulador” cambiamos de opciones y con la “Barra Espaciadora” seleccionamos Firefox y Thunderbird (de ser nuestro gestor de correo predeterminado) y pulsamos Aceptar para continuar con la instalación.
Nota: Si tenemos también instalado el navegador Chrome en nuestro equipo, y desea configurarlo, puede seleccionarlo y se importaran los certificados en su base de datos.
Si nos sale este mensaje es que ha finalizado la instalación correctamente. Ya podemos pasar al paso de configurar el módulo en Firefox.
20/
Forma 2 – Modo ManualSi el paso anterior no esta disponible por algún motivo, siempre podemos realizar la descarga e instalación de cada certificado a mano. Un proceso bastante costoso.
Estos certificados, están disponibles en la web: www.izenpe.com Descarga de certificados.
Enlace Directo a los certificados→ https://servicios.izenpe.com/jsp/descarga_ca/descarga.htm
21/
Para descargar los certificados hay que hacer “click” sobre las imágenes que tienen dibujada una flecha blanca en un recuadro azul, y guardar el certificado para su posterior importación.
Según la estructura de autoridades certificadoras definidas por Izenpe, cada tarjeta únicamente va a ser validada contra una autoridad raíz y una subordinada. Ello significa que no es estrictamente necesario importar todos los certificados de todas las autoridades certificadoras, ya que el aplicativo en cuestión no va a utilizarlas con nuestra tarjeta. Sin embargo, si no se conoce adecuadamente el funcionamiento de la jerarquía de autoridades se recomienda instalarlas todas.
Es fundamental importar los certificados raíz de las autoridades certificadoras en Firefox para poder realizar los procesos de autenticación y firma en los sitios web. Si el navegador no dispone de dichos certificados el servidor rechazará el acceso al mismo.
Para importarlos en el menú Editar → Preferencias hacemos “click” sobre Avanzado y a continuación sobre la pestaña de Cifrado. Por último hacemos “click”, como se ve en la imagen, sobre el botón Ver Certificados y sobre la pestaña Autoridades para importar los certificados de las autoridades certificadoras raíz y sus subordinadas.
22/
Importamos todos los certificados de las autoridades certificadoras raíz y subordinadas de Izenpe, uno a uno, haciendo “click” en el botón Importar y seleccionando uno a uno los certificados:
23/
A la hora de importar los certificados raíz el navegador nos preguntará acerca de la confianza que depositamos sobre el certificado. Existen 3 categorías de confianza:
● Confianza en verificaciones sobre sitios web● Confianza en verificaciones sobre usuarios de correo● Confianza en verificaciones sobre desarrolladores de software
Marcamos las 3 categorías.
24/
Este proceso hay que realizarlo para todos y cada uno de los certificados.Podemos comprobar que aparecen los nuevos certificados:
25/
Descarga e Instalación de JAVA JRE de OraclePara que funcione correctamente el Applet que gestiona la conexión a las webs y la firma de documentos online (Applet de Idazki), es necesario tener instalada en el equipo la última versión de Java JRE de Oracle la cual no se encuentra en los repositorios de Ubuntu.
Si no lo esta, es posible que nos encontremos con algo como esto al entrar en las webs, y la instalación automática suele fallar o está casi siempre desactivada:
Para comprobar si tenemos la ultima versión: http://www.java.com/es/download/installed.jsp
Si no fuera este el caso, descargaremos la última versión y procederemos a su instalación siguiendo los siguientes pasos, dependiendo de la arquitectura de tu sistema operativo.
Pasos de instalación en sistemas de 64 bits.
· Descarga de Java JRE -> http://www.java.com/es/download/linux_manual.jsp?locale=es
· Nos bajamos la versión dependiendo de nuestra arquitectura, en este caso la de 64 bits.
· Cuando finalice la descarga, cerramos Firefox.
26/
· Abrimos un terminal en él iremos haciendo los diferentes pasos necesarios (letras en negrita).
· Creamos el directorio /usr/java si no esta creado, y moveremos allí el archivo descargado.
sudo mkdir /usr/javasudo mv jre-7u13-linux-x64.tar.gz /usr/java/cd /usr/java/
· Descomprimimos el archivo:
tar -xvf jre-7u13-linux-x64.tar.gz
· Después actualizamos las siguientes alternativas:
sudo update-alternatives --install /usr/bin/java java /usr/java/jre1.7.0_13/bin/java 1 sudo update-alternatives --install /usr/bin/javaws javaws /usr/java/jre1.7.0_13/bin/javaws 1 sudo update-alternatives --install /usr/bin/java_vm java_vm /usr/java/jre1.7.0_13/bin/java_vm 1
· Con este comando elegiremos nuestra ultima versión instalada (la 7_13):
update-alternatives --config java
· Ahora vamos con el plugin de Firefox. Para que java sea usado por el navegador son necesarios los siguientes pasos:
sudo rm /etc/alternatives/mozilla-javaplugin.so sudo rm /usr/lib/mozilla/plugins/mozilla-javaplugin.sosudo ln -s /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so /etc/alternatives/mozilla-javaplugin.so sudo ln -s /etc/alternatives/mozilla-javaplugin.so /usr/lib/mozilla/plugins/mozilla-javaplugin.so
sudo update-alternatives --install /usr/lib/mozilla/plugins/mozilla-javaplugin.so mozilla-javaplugin.so /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que se encuentre en la web de java.
27/
Pasos de instalación en sistemas de 32 bits.
· Descarga de Java JRE -> http://www.java.com/es/download/linux_manual.jsp?locale=es
· Nos bajamos la versión dependiendo de nuestra arquitectura, en este caso la de 32 bits.
· Cuando finalice la descarga, cerramos Firefox.
· Abrimos un terminal en él iremos haciendo los diferentes pasos necesarios (letras en negrita).
· Creamos el directorio /usr/java si no esta creado, y moveremos allí el archivo descargado.
sudo mkdir /usr/javasudo mv jre-7u13-linux-i586.tar.gz /usr/java/cd /usr/java/
· Descomprimimos el archivo:
tar -xvf jre-7u13-linux-i586.tar.gz
28/
· Después actualizamos las siguientes alternativas:
sudo update-alternatives --install /usr/bin/java java /usr/java/jre1.7.0_13/bin/java 1 sudo update-alternatives --install /usr/bin/javaws javaws /usr/java/jre1.7.0_13/bin/javaws 1 sudo update-alternatives --install /usr/bin/java_vm java_vm /usr/java/jre1.7.0_13/bin/java_vm 1
· Con este comando elegiremos nuestra ultima versión instalada (la 7_13):
update-alternatives --config java
· Ahora vamos con el plugin de Firefox. Para que java sea usado por el navegador son necesarios los siguientes pasos:
sudo rm /etc/alternatives/mozilla-javaplugin.so sudo rm /usr/lib/mozilla/plugins/mozilla-javaplugin.sosudo ln -s /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so /etc/alternatives/mozilla-javaplugin.so sudo ln -s /etc/alternatives/mozilla-javaplugin.so /usr/lib/mozilla/plugins/mozilla-javaplugin.so
sudo update-alternatives --install /usr/lib/mozilla/plugins/mozilla-javaplugin.so mozilla-javaplugin.so /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que se encuentre en la web de java.
29/
Configuración de las aplicaciones
Navegadores web
FirefoxFirefox es el navegador por excelencia en GNU/Linux.
Instalación de módulo para certificados
En el menú Editar → Preferencias hacemos “click” sobre Avanzado y a continuación sobre la pestaña de Cifrado, como vemos en la imagen. Por último volvemos a hacer “click” sobre el botón Dispositivos de seguridad.
El Administrador de dispositivos es una herramienta que permite gestionar los módulos de seguridad de Firefox. Por defecto viene provisto de 2 módulos de seguridad, uno para la gestión de los certificados raíz que vienen instalados por defecto y otro para todos aquellos certificados no externos que vayamos añadiendo, junto con las librerías necesarias.
Para añadir el nuevo módulo de seguridad que necesitamos hacemos “click” sobre el botón Cargar.
30/
Se nos abre una ventana que nos permite definir un nuevo módulo PKCS#11 en el que:
● Nombre del módulo : un nombre genérico que haga referencia al módulo de seguridad para el Middleware. Introducimos un nombre cualquiera. Por ejemplo: Izenpe
● Archivo del módulo : le damos a Examinar y navegaremos hasta la ruta donde se encuentra el archivo libbit4ipki.so(/usr/lib/libbit4ipki.so)
Después, hacemos “click” en aceptar y veremos como se nos añade el nuevo módulo.
Nota: Si por un casual al añadir el módulo aparece vacío, puede ser que necesite reiniciar el equipo. Asegúrate de que tanto el lector como la tarjeta están correctamente conectados al PC.
31/
Google Chrome / ChromiumActualmente, el navegador Google Chrome o su rama en Linux de nombre Chromium, incorpora el poder añadir módulos PKCS#11 para el funcionamiento con tarjetas criptográficas.
Instalación del módulo para los certificados
Los requisitos previos para poder añadir el módulo (explicados en apartados previos) son:
• Tener instalado el navegador en nuestro equipo.• Haber ejecutado el instalador de certificados de Izenpe (seleccionando correctamente
el navegador Chrome),• Tener instalado Java JRE de Oracle.
Si se cumple con todo lo anterior, continuaremos con los siguientes pasos para añadir el módulo.
Pasos para Google Chrome / Chromium
Abrimos un terminal y escribimos la siguiente sentencia:
modutil -dbdir sql:.pki/nssdb/ -add "Izenpe" -libfile /usr/lib/libbit4ipki.so
Nota: Al añadir la sentencia de modutil, recibiremos un warning en el cual deberemos presionar la tecla <enter> para continuar. Recibiremos el siguiente mensaje de confirmación:
Module "Izenpe" added to database.
32/
Comprobación del módulo y de los Certificados
Para comprobar que el módulo esta añadido y funcionando correctamente, con el lector y la tarjeta conectadas al equipo, abrimos el navegador y vamos a la siguiente ruta:
Edición → Preferencias → Mostrar opciones avanzadas → HTTPS/SSL → Administrar Certificados
Una vez abramos el administrador de certificados, nos pedirá el pin de la tarjeta. Después de introducirlo, nos mostrará nuestro certificado.
Haciendo “clic” en la pestaña Entidades Emisoras debemos encontrar todos los certificados de Izenpe, que previamente instalamos en los primeros pasos del manual.
33/
Pasos necesarios para que funcione Java en Google Chrome
Dependiendo de si nuestra maquina es de 32 o de 64 bits, tendremos que insertar unas sentencias u otras, en un terminal.
El comando uname -m nos devuelve la arquitectura del sistema. i686 [32 bits], x86_64 [64 bits].
-64 bits-
sudo mkdir /opt/google/chrome/plugins/
sudo ln -s /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so /etc/alternatives/chrome-javaplugin.so
sudo ln -s /etc/alternatives/chrome-javaplugin.so /opt/google/chrome/plugins/chrome-javaplugin.so
sudo update-alternatives --install /opt/google/chrome/plugins/chrome-javaplugin.so chrome-javaplugin.so /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so 1
34/
-32 bits-
sudo mkdir /opt/google/chrome/plugins/
sudo ln -s /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so /etc/alternatives/chrome-javaplugin.so
sudo ln -s /etc/alternatives/chrome-javaplugin.so /opt/google/chrome/plugins/chrome-javaplugin.so
sudo update-alternatives --install /opt/google/chrome/plugins/chrome-javaplugin.so chrome-javaplugin.so /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que se encuentre instalada en el equipo.
Pasos necesarios para que funcione Java en Chromium
Dependiendo de si nuestra maquina es de 32 o de 64 bits, tendremos que insertar unas sentencias u otras, en un terminal.
El comando uname -m nos devuelve la arquitectura del sistema. i686 [32 bits], x86_64 [64 bits].
-64 bits-
sudo ln -s /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so /etc/alternatives/chromium-javaplugin.so
sudo ln -s /etc/alternatives/chromium-javaplugin.so /usr/lib/chromium-browser/plugins/chromium-javaplugin.so
sudo update-alternatives --install /usr/lib/chromium-browser/plugins/chromium-javaplugin.so chromium-javaplugin.so /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so 1
-32 bits-
sudo ln -s /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so /etc/alternatives/chromium-javaplugin.so
sudo ln -s /etc/alternatives/chromium-javaplugin.so /usr/lib/chromium-browser/plugins/chromium-javaplugin.so
sudo update-alternatives --install /usr/lib/chromium-browser/plugins/chromium-javaplugin.so chromium-javaplugin.so /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que se encuentre instalada en el equipo.
OperaLa versión actual de Opera únicamente dispone de soporte para certificados de tipo software (PKCS#12), por lo que no es compatible con los certificados expedidos por Izenpe.
35/
Envío de correos firmados digitalmentePara poder enviar correos firmados es necesario disponer de un certificado que tenga definido como atributo su uso extendido de la clave, concretamente, la Protección de correo electrónico (OID 1.3.6.1.5.5.7.3.4).
Solo algunas de las tarjetas de Izenpe cuentan con dicha extensión.
ThunderbirdEl proceso de configuración de Thunderbird es muy similar al de Firefox.
Instalación de módulo para certificados
Para la instalación de los certificados y del módulo PKCS#11 la ruta es la siguiente:
Thunderbird → Editar → Preferencias → Avanzado → Certificados → Dispositivos de Seguridad
Ver configuración de Firefox en el apartado correspondiente para mas detalles. Es el mismo proceso de carga del modulo Izenpe con el archivo libbit4ipki.so.
36/
Configuración de los certificados previamente instalados
Para instalar los certificados de Izenpe, basta con ejecutar el instalador de Izenpe y seleccionar Thunderbird en su menú de instalación.
Si has seguido los pasos anteriores del manual, es muy probable que ya los tengas instalados, en cuyo caso, abriremos el Administrador de Certificados en Thunderbird y modificaremos su confianza tal y como se muestra en la imagen:
Thunderbird → Editar → Configuración de las cuentas → Seguridad → Ver Certificados → Autoridades → Seleccionar todos los certificados de Izenpe → Editar Confianza → Activar las tres casillas.
Nota: Al entrar en la pestaña Ver Certificados, si tienes el módulo correctamente instalado y la tarjeta en el lector, te pedirá el código pin.
Envío de un correo firmado digitalmente en Thunderbird
El siguiente proceso lo veremos en un apartado posterior de este manual.
37/
Evolution
Instalación de módulo para certificados
Caso 1 (Solo instalado y configurado Firefox en el equipo)
Efectuaremos los siguientes pasos si no tenemos instalado y configurado Google Chrome en el equipo, teniendo como navegador por defecto Firefox (previamente configurado).
Evolution puede utilizar las librerías NSS (Network Security Services) de Mozilla, así que enlazaremos el almacén de certificados de Mozilla con el Evolution.
La manera más elegante de realizarlo es a través de una serie de enlaces simbólicos y así tener sincronizadas las configuraciones de los dispositivos de seguridad de Firefox y Evolution (si los copiásemos cada vez que cambiásemos algo tendríamos que volver a copiarlo)
Para ello es necesario abrir una terminal y ejecutar lo siguiente:
$ rm $HOME/.pki/nssdb/*$ ln -sf $HOME/.mozilla/firefox/*.default/*.db $HOME/.pki/nssdb/
Caso 2 (Instalado y configurado Google Chrome en el equipo)
Si tenemos instalado en el equipo el navegador Google Chrome (o Chromium en su defecto), con los certificados de Izenpe y el módulo correctamente añadido, no tendremos que realizar ningún proceso extra de instalación.
Configuración de los certificados previamente instalados
Si has realizado los pasos anteriores, ya tendrás instalados los certificados en Evolution, así pues, solo tendremos que editar la confianza en cada uno de los certificados de Izenpe, tal y como se muestra en la imagen.
Evolution → Editar → Preferencias → Certificados → Autoridades → Seleccionar todos los certificados de Izenpe → Editar Confianza → Activar las tres casillas.
Este proceso tendremos que realizarlo con cada uno de los certificados dentro de Izenpe S.A.
Nota: Si tienes conectada la tarjeta, te pedirá el pin de la misma al acceder a los certificados.
38/
Envío de un correo firmado digitalmente en Evolution
El siguiente proceso lo veremos en un apartado posterior de este manual.
KMailLa versión actual de KMail únicamente dispone de soporte para certificados de tipo software (PKCS#12), por lo que no es factible con los certificados expedidos por Izenpe.
Herramientas Ofimáticas
LibreOffice
LibreOffice no dispone de un gestor de propio de certificados. Aunque es capaz de utilizar el repositorio de certificados de la suite de Mozilla.
Por ello es requerimiento indispensable para poder firmar documentación ofimática con LibreOffice, tener previamente configurado el acceso a certificados digitales a través de Firefox o Thunderbird.
39/
Ejemplo de uso de las aplicaciones
Identificación en sitios web
FirefoxUna vez configurada la ubicación de los certificados según se ha explicado en el apartado correspondiente realizaremos una prueba de firma para comprobar que toda la instalación es correcta y el proceso se realiza satisfactoriamente.
Abrimos Firefox → Complementos → Plugins , revisamos si esta cargado el plugin de java y volvemos a comprobar la versión en la pagina web:
Verificar Versión de Java → http://www.java.com/es/download/installed.jsp
Cuando todo este correcto. Accedemos a la web de Izenpe (http://www.izenpe.com/), hacemos “clic” sobre Gestiona tu certificado y a continuación en Prueba de Firma.
Permitiremos las Ventanas Emergentes
La primera vez que accedamos es posible que nos aparecerá una advertencia relacionada con permitir o no permitir las ventanas emergentes.
En este caso, permitiremos la ventanas emergente.
Si nos da la opción de permitir siempre para este sitio, la elegiremos.
40/
Nos saldrá una advertencia de seguridad en la cual es muy importante ACTIVAR la casilla de CONFIAR SIEMPRE y después darle a EJECUTAR.
Después se nos cargará una página en la que tendremos que poner unos datos para realizar la prueba de firma. No tienen por que ser reales, tal y como se muestra en la imagen.
Le damos a firmar y nos pedirá el pin de nuestra tarjeta, lo introducimos y le damos a Aceptar.
41/
Elegiremos nuestro certificado con el que queremos firmar y le damos a aceptar.
Si nuestro certificado es válido para acceder a la aplicación y no está revocado la aplicación nos permitirá el acceso con las mismas garantías que lo hacemos de forma presencial.
Se procesa la firma y cuando se complete nos aparecerá un mensaje confirmando que todo ha ido correctamente.
Nota: Es importante que cuando acabemos de realizar las gestiones oportunas cerremos la sesión del sitio web así como el navegador para evitar que otras personas puedan acceder a Internet con nuestros credenciales.
42/
Cambio necesario en Firefox para que funcione el acceso en algunas Webs
Con el salto de las versiones de Firefox y los cambios realizados en cada versión del navegador, el acceso o la ejecución de ciertos servicios en algunas paginas webs se ha visto “capado” produciendo algunas incompatibilidades.
Por ejemplo, para acceder a Bizkaia.net necesitamos modificar un valor en la configuración de Firefox. Y lo hacemos de la siguiente manera:
Abrimos Firefox y escribimos en el campo de url: about:config
Aceptamos haciendo click en ¡Tendré cuidado, lo prometo! y escribimos en el buscador: security.ssl
Hacemos doble click sobre la primera opción que nos encuentra, y veremos que, además de resaltar en negrita, cambia su valor a TRUE.
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref
Cerramos la pestaña y ya podremos acceder correctamente con nuestra tarjeta en Bizkaia.net
43/
Google Chrome / ChromiumUna vez realizados todos los pasos para Google Chrome / Chromium según se ha explicados en sus apartados correspondientes, realizaremos una prueba de firma para comprobar que toda la instalación es correcta y el proceso se realiza satisfactoriamente.
Comprobar Plugin de Java
Para comprobar si esta correctamente cargado y funcionando Java, abrimos una nueva pestaña en el navegador y escribimos como url: chrome://plugins
Podremos observar un listado de los plugins instalados, entre los que se ha de encontrar Java.
Una vez comprobado el Java, podemos realizar la prueba de firma en la web de Izenpe.
Prueba de Firma
El proceso es el mismo que el visto en el apartado anterior para el navegador Firefox.
El resultado final, de estar todo correcto, será el siguiente:
44/
Envío de correos firmados digitalmenteUna vez realizada la instalación de los certificados y del modulo de Izenpe, será necesario asociar la cuenta de correo electrónico con el certificado de la tarjeta con la que vamos a firmar el correo. Veamos como realizar dicha tarea en los distintos clientes de correo.
Thunderbird
Configuración cuenta de correo con certificado
En el menú Editar → Configuración de las cuentas hacemos “clic” sobre el apartado de Seguridad en la cuenta correspondiente. A continuación seleccionamos el certificado para el firmado digital. Nos llegará a pedir el pin de la tarjeta.
Opcionalmente, podemos seleccionar el certificado que se utilizaría si cifrásemos el mensaje.
45/
En conjunto, quedaría tal y como se muestra en la imagen:
Envío de correo firmado digitalmente
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada la opción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente a través de la pestaña Seguridad → Firmar digitalmente este mensaje.
Observaremos que aparecerá un check afirmativo de confirmación, como el siguiente:
46/
Verificación de firma digital en correo
Thunderbird nos muestra un icono de un sobre cerrado y sellado, que indica que el correo está firmado digitalmente.
Si hacemos clic en el sobre, nos mostrara la información de la firma digital.
En caso que no sea válida nos avisará de ello. Bien porque el correo ha sido modificado o bien porque no hemos importado los certificados raíz de las autoridades certificadoras y sus subordinadas.
47/
Evolution
Configuración cuenta de correo con certificado
En el menú Editar → Preferencias hacemos “clic” sobre la opción Cuentas de correo, seleccionamos la cuenta que queremos configurar y volvemos a hacer “clic” en Editar.
Nos llegará a pedir el pin de la tarjeta.
Accedemos a la sección Seguridad y seleccionamos el certificado que queremos utilizar para la firma de correos haciendo “clic” en el botón Seleccionar del apartado MIME Seguro.
48/
Veremos como se carga el certificado:
Y por último le damos a Aplicar para que se guarden los cambios.
Envío de correo firmado digitalmente
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada la opción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente a través del menú Opciones→ Firmar con S/MIME.
49/
Observaremos que aparecerá un check afirmativo de confirmación:
Verificación de firma digital en correo
Evolution nos muestra un icono que indica que el correo está firmado digitalmente.
Si hacemos clic sobre él, nos mostrara la información de la firma digital.
Para poder comprobar si la firma es válida es necesario haber importado los certificados raíz de las autoridades certificadoras y subordinadas.
50/
Firma de documentos ofimáticos
LibreOfficeUna vez configurada la ubicación de los certificados según se ha explicado en el apartado correspondiente, realizaremos un proceso de firma de un documento ofimático.
LibreOffice permite firmar los siguientes tipos de documentos:
● Documentos de texto● Hojas de cálculo● Presentaciones● Dibujos
Para proceder con la firma del documento, en el menú Archivo seleccionamos la opción Firmas digitales.
Nota: La firma del documento es necesario realizarla sobre un documento guardado, que no se va a modificar. En el momento en que se firma el documento si se modifica se pierde la firma y es necesario volver a firmarlo.
Una vez guardado nos muestra el gestor de firmas digitales de LibreOffice
51/
Hacemos “clic” sobre Firmar documento... y nos muestra los certificados que tenemos configurados desde la base de datos de certificados, así como el propio de la tarjeta si la tenemos conectada y el modulo correctamente configurado (en Firefox).
52/
Una vez Aceptado el certificado se mostrará en el gestor de firmas.
Podemos distinguir que esta firmado por la modificación del titulo con la etiqueta de (firmado), y por el siguiente icono en la parte inferior de LibreOffice:
53/
Otras aplicaciones adicionales
Gestor de la Tarjeta de IzenpeJunto con el Middleware descargado, viene una aplicación con la cual podremos cambiar el PIN, desbloquearla introduciendo el PUK (por si hemos introducido tres veces el PIN mal y se ha bloqueado), y alguna que otra opción.
Para que la aplicación funcione, es necesario tener instaladas una serie de librerías en nuestro equipo. Para ello, abriremos un terminal he instalaremos los paquetes libglade2-0 y también libssl0.9.8.
sudo apt-get install libglade2-0 libssl0.9.8
Una vez instaladas dichas librerías, si has seguido correctamente el manual la tendrás en la carpeta Izenpe dentro de tu carpeta personal, y dentro de ella la aplicación pinmanager_64:
En este directorio se necesitan permisos de ejecución para poder usar la aplicación, así pues procederemos a establecer dichos permisos vía terminal o manualmente, como se prefiera.
Desde un terminal, para poder lanzar la aplicación, bastaría con escribir:
sudo chmod 775 ~/Izenpe/* -R cd ~/Izenpe/pinmanager_*/ ./gtkbit4pin
54/
O si preferimos hacerlo de forma manual, entraríamos en el directorio, hacemos click derecho sobre gtkbit4pin y le damos a Propiedades.
Seleccionamos la pestaña de permisos y activamos la casilla de Ejecución, tal y como podemos ver en la siguiente imagen.
Ahora ya podremos ejecutarla haciendo doble click sobre gtkbit4pin
55/
Cambio de PIN usando FirefoxEn el menú Editar → Preferencias pinchamos sobre Avanzado y a continuación sobre la pestaña de Cifrado, como vemos en la imagen. Por último pinchamos sobre el botón Dispositivos de seguridad y seguido a Cambiar contraseña
Nos aparecerá una ventana que nos permite cambiar el PIN, previa introducción del PIN actual.
Nota: Recomendamos el uso de la propia aplicación de Izenpe, no obstante, se explica el cambio con Firefox por ser la manera que ha predominado hasta la actualidad.
56/
Incompatibilidades conocidas (Importante)
DNIeA diferencia de Izenpe que tiene sus propio Middleware para el uso de sus tarjetas, la instalación del DNIe en Linux y Mac, usa las librerías OpenSC para hacer funcionar la lectura del mismo, lo que provoca incompatibilidades en la funcionalidad de ambos dispositivos a la vez.
Si antes de realizar la de Izenpe, se dispone ya de la instalación del DNIe, merece la pena probar si también es capaz de leer la tarjeta de Izenpe, en caso afirmativo, solo realizaremos la instalación de los certificados de Izenpe y no la del Middleware.
Si aun así, se pretende usar, tanto el DNIe como las tarjetas Izenpe en el mismo equipo, hay una posibilidad, aunque no vamos a entrar mucho en detalle. Los pasos serian:
1. Realizar la instalación del DNIe, siguiendo las guías de www.dnielectronico.es o usando el instalador de Zonatic
2. Asegurarte de que el DNIe funciona correctamente en Firefox y puedes realizar gestiones.
3. Crear un nuevo perfil en Firefox, de nombre Izenpe, ejecutando en un terminal el siguiente comando y siguiendo su asistente: firefox -P
4. Lanzar Firefox desde el terminal con: firefox -P Izenpe y realizar la instalación del módulo, de los certificados y demás apartados explicados este manual.
5. Crear dos lanzadores (accesos directos) para Firefox y editar su comando de ejecución, para que uno abra el perfil default donde estará instalado el DNIe y el otro ejecute el perfil Izenpe donde previamente hemos realizado la instalación.
Nota Importante: Izenpe no se hace responsable del soporte o problemas relacionados con el DNIe.
Mostramos esta solución como ayuda orientativa a posibles usuarios que se aventuren a realizar ambas instalaciones y/o configuraciones en el mismo sistema.
57/
Tarjetas Antiguas de IzenpeCon el cambio de fabricante en las tarjetas de Izenpe, se producen dos casos a destacar:
· Las tarjetas antiguas (anteriores al 2012), funcionan con el nuevo Middleware y la nueva instalación.
· Las tarjetas nuevas, no funcionan en instalaciones antiguas (realizadas con las librerías OpenSC). Necesitan el nuevo Middleware para que funcionen correctamente.
Acerca deEste documento ha sido elaborado por la empresa Irontec Internet y Sistemas sobre GNU/Linux.
Para la elaboración del presente documento se ha desarrollado una cuidadosa metodología de análisis y puesta en funcionamiento, garantizado la adecuación del documento a las necesidades de los usuarios.
Si el lector considera que hay algún aspecto erróneo o encuentra alguna errata, puede trasladarla mediante email a [email protected] e intentaremos incluirla en próximas revisiones del documento.
