Almacén de certificados invisible para AutoFirma (CONCLUIDO)

[Cero-Lan]

Hola de nuevo Tomeu.
Ciertamente una diferencia entre mi portátil de 64 bit y mi sobremesa de 32 bit es que el primero sí tiene un lector de tarjetas criptográficas; seguramente por eso sí puedo usar AutoFirma para firmar documentos en el portátil.
Lógicamente me apunto la opción de un lector auxiliar.
De nuevo muchas gracias por su ayuda y un saludo.

[tomeu]

No sé si atreverme a sugerir desenchufar el lector de tarjetas del portátil y enchufarlo en el de sobremesa, y viceversa.

[Cero-Lan]

El lector de tarjetas está integrado en el portátil, así que no lo puedo mover.
Pero tengo un lector USB de tarjetas de memoria y criptográficas, que es un regalo publicitario, que supuestamente solo funciona bajo Windows... si se le ocurre qué podría hacer para que funcione en Linux... no le molesto más. Un saludo.

[tomeu]

El lector de tarjetas está integrado en el portátil, así que no lo puedo mover.

Claro. ¡bobo de mí!

Pero tengo un lector USB de tarjetas de memoria y criptográficas, que es un regalo publicitario, que supuestamente solo funciona bajo Windows... si se le ocurre qué podría hacer para que funcione en Linux... no le molesto más. Un saludo.

Pues se trata de solo enchufarlo y probarlo.

[Cero-Lan]

Hola a todos:
Después de consultar en el foro de OpenOffice/LibreOffice Writer la imposibilidad de firmar documentos con los certificados digitales descargados en mi ordenador, he podido comprobar que si se instala la versión 6.2 de LibreOffice, yo la he descargado directamente desde su web, Writer sí encuentra los certificados y sí se pueden firmar documentos con ellos.
Intentaré ver si el problema de la invisibilidad de los certificados se mantiene en AutoFirma y les contaré.
Un saludo

[tomeu]

Quedemos a la espera de tus comprobaciones con Autofirma (que es el título del post).

He seguido el tema también en el foro de OpenOffice, y como allí he comentado a mi me funcionaba la firma digital tanto con la versión del PPA como la de bajada en "debs" desde TDF. En mi última prueba solo funcionaba con la versión bajada desde TDF (ambas 6.2.2), pero solo con el certificado del DNIe en todas sus fases hasta el final.

Con el otro certificado fallaba en el último paso.

Lo que me tiene realmente confundido es que, a mí, sin introducir el DNIe en el lector de tarjetas criptográficas, no se me reconoce certificado alguno ni firmar nada. Es más, me parece lo normal y deseable. De otra forma alguien podría copiar mi perfil de firefox/thunderbird/chrome donde tengo instalados los certificados, y podría firmar por mí sin tener mi DNIe (que contiene la clave privada). O desde mi mismo ordenador sin mi DNIe meterse en mi página de Hacienda, o firmar documentos en Seguridad Social, catastro, etc.. etc.. ¡sin introducir mi DNIe ni mi password!

Estaría bien que aclarases si has logrado usar el certificado instalado en el navegador sin tener a la vez (o sin tener introducido-enchufado) tarjeta criptopgráfica o usb criptográfico.

Creo que tampoco estás usando Cl@ve

[Macafyc]

Hola.

He tenido un problema similar con Autofirma 1.6.2, openJDK 1.8 y Linux Mint 17.3

No me funcionaba ni la versión escritorio ni la versión de firma web.

La forma de solucionarlo la encontré aquí. Aunque probé alguna de las cosas que allí se comentan (en concreto la creación de enlaces simbólicos a las db de Firefox) lo único que tuve que hacer fue desinstalar libnss3:i386 y con eso todo funcionó correctamente.

Espero que te sirva porque yo me he vuelto también loco.
Un saludo.

[tomeu]

He tenido un problema similar con Autofirma 1.6.2, openJDK 1.8 y Linux Mint 17.3

Solo una pregunta, que no hago por pedante, sino con pretensión de aprender y comprender mejor.
¿Tienes una tarjeta criptográfica introducida en su lector o un usb-criptográfico enchufado cuando funciona?
¿o solo tienes los certificados instalador en el navegador?
Entendí que el problema lo pusieron por "Concluido" por no poder firmar sin clave privada (en medio externo, tarjeta o usb) con autofirma, aunque el informe o aviso del fallo resultara ser el mismo que por el que comentas de la librería: no encontrar el certificado (la clave privada entendí yo).

[Macafyc]

No tengo lector de tarjetas ni usb criptográfico. Sólo dispongo de los certificados instalados en el navegador (Firefox).
El problema parece estar en que Autofirma pasó de 32 a 64 bits y si se mantiene la versión de 32 bits de libnss3 intenta hacer uso de ella.

Hola a tod@s:

No me he debido de expresar bien, porque el caso es que yo solo utilizo certificados digitales de la FNMT que tengo descargados en mis ordenadores. Dicho de otro modo, no uso ni USB ni tarjetas criptográfica alguna; de ahí mi sorpresa de que se me pidiera la contraseña de un aparato que no tengo conectado al ordenador.

Me parece que el problema de Cero-Lan estaba referido al uso de certificados software y luego derivó al empleo de tarjetas criptográficas.

Me fue complicado encontrar información sobre este tema y como en este foro era de los pocos sitios donde claramente se manifestaba la misma situación que tenía yo, y al ver la renuncia de Cero-Lan por no encontrar solución, me pareció interesante añadir otra posibilidad; más que nada por tener otro enfoque diferente y por que quedara constancia por si alguien más enfrenta ese problema

[tomeu]

No tengo lector de tarjetas ni usb criptográfico. Sólo dispongo de los certificados instalados en el navegador (Firefox).

Pues he aprendido algo (visto que Cero-Lan tampoco tenía), y que a falta de más explicaciones es que instaláis los certificados personales en el ordenador. Es decir, el que está en el dnie o en la tarjeta que sea, clave privada, lo habéis exportado y copiado en el perfil del navegador.
Me rechina algo con la seguridad, pero cada uno hace de su pan las sopas.

El problema parece estar en que Autofirma pasó de 32 a 64 bits y si se mantiene la versión de 32 bits de libnss3 intenta hacer uso de ella.

Uso Autofirma en linux hará dos o tres años, siempre hubo una versión para 32 bits y otra para 64 bits. No esté en los repositorios, hay que descargarla e instalarla con debi o desde terminal con dpkg.

[Macafyc]

Pues he aprendido algo (visto que Cero-Lan tampoco tenía), y que a falta de más explicaciones es que instaláis los certificados personales en el ordenador. Es decir, el que está en el dnie o en la tarjeta que sea, clave privada, lo habéis exportado y copiado en el perfil del navegador.
Me rechina algo con la seguridad, pero cada uno hace de su pan las sopas.

Los certificados que emite la Fábrica Nacional de Moneda y Timbre pueden solicitarse en forma de software o en tarjeta criptográfica. Los primeros son gratuitos, los segundos de pago. Mayoritariamente suministra los primeros ya que no es necesario disponer de lectores para la tarjeta criptográfica y además el certificado software se obtiene de forma casi inmediata. El DNI funciona de forma diferente y sólo puede usarse con lector para él y que yo sepa no es exportable en forma de software.

La descarga del certificado software la efectúa directamente la página de la FNMT y lo introduce de forma automática en el navegador usado. En ese momento el certificado no dispone de ningún tipo de seguridad. Por tanto el primer paso es exportarlo completo (con la clave privada también) y es en ese proceso cuando se le dota de contraseña para su posterior reinstalación. Hecho este paso debe borrarse del navegador y proceder de nuevo a su instalación, momento en el que nos pedirá la contraseña que hayamos elegido a la hora de exportarlo.

En esta nueva instalación es posible además dotar de contraseña de protección de uso al certificado. En Windows através de la criptoAPI de Windows escogiendo un nivel alto de protección y en Linux (al no existir un almacén de certificados como en Windows) dotando de una contraseña maestra al navegador.

Cuando se descarga AutoFirma desde el portal de firma en forma de zip (que incorpora un deb en su interior), el proceso de instalación de ese deb se detiene a la espera de la introducción de la contraseña maestra del navegador (generalmente Firefox) si previamente disponíamos de ella. Si no teníamos contraseña maestra establecida no sé si en ese momento el instalador pedirá que establezcamos una, ya que Firefox almacena los certificados sotware en el apartado «dispositivo software de seguridad» en las opciones de certificados y para desbloquearlo es necesario dicha contraseña maestra.

Al iniciarse la aplicación de escritorio de AutoFirma, o al intentar efectuar una firma en una página web, se nos pedirá la contraseña maestra de Firefox (que es la que dota de seguridad al uso del certificado) si trabajamos en Linux, mientras que si lo hacemos en Windows la seguridad se realiza a través de su criptoAPI y nos solicitará la contraseña de uso que hayamos establecido en el proceso de instalación del certificado.

Como he dicho, la diferencia estriba en que Linux no dispone de almacén de certificados por lo que si se quiere dotar de seguridad en su uso debe hacerse mediante el mismo sistema de seguridad que hay cuando se usa dentro del navegador.

Respecto del los 32 o 64 bits, mi problema fue que el algún momento un instalador situó en mi equipo libnss3:i386 (no sé si relacionado con AutiFirma o con alguna otra aplicación) y esa librería era lo que intentaba usar el último AutoFirma instalado haciendo que me mostrase el mensaje de error de inexistencia de certificados en el almacén de Mozilla Firefox.

[Cero-Lan]

Buenas tardes.
Disculpen que no haya respirado hasta hoy: circunstancias que no hacen al caso no me lo han permitido.
Volviendo al tema de la consulta inicial, les diré que no he probado con un lector de tarjetas en mi equipo de sobremesa de 32 bit, pensaba erróneamente que tenía uno pero no era así, por lo que ahora mismo no puedo saber si con ese dispositivo funcionaría o no AutoFirma.
Lo que si les puedo decirles es que tras instalar nuevamente AutoFirma sigo sin poder firmar ningún documento con ese programa, pues sigue sin detectar los certificados que tengo importados en Firefox y un Thunderbird (dichos certificados fueron descargados a mi ordenador desde la web de Ceres-FNMT y posteriormente guardados con clave antes de ser importados).
Y como ya les dije, con LibreOffice Writer 6.2, sí que puedo firmar documentos.
Respecto a las indicaciones sobre libnss3, les diré que ahora mismo, con AutoFirma nuevamente desinstalado, Synaptic me dice que tengo en mi equipo: libnss3, libnss-1d, libnss3-tools, libnss3-nssdb, libnss3-dev y libnss3.dbg: versión, todos ellos, 2:3.28.4-0ubuntu0.16.04.5.
Un saludo a todos.

[tomeu]

Los certificados que emite la Fábrica Nacional de Moneda y Timbre pueden solicitarse en forma de software o en tarjeta criptográfica........

Muchas gracias por la explicación

[mramra]

Buenas tardes:
Acabo de llegar al foro y os voy a explicar cómo hacer funcionar autofirma en Mint 19 64Bits, porque a mi me pasó lo mismo cuando dejé guadalinex v9, hay dos formas: la primera es desinstalar todos los Javas que haya antes de instalar autofirma porque instala java-8 que es el único que funciona y la segunda opción es instalar autofirma con java-8 y escribir en la terminal "sudo update-alternatives --config java" y seleccionar el número de la posición de java-8 para que funcione predeterminado. Ya me contareis a ver si os ha funcionado, creo que vale para todos los sistemas.
Un saludo.

[tomeu]

Gracias.
Entiendo que te refieres a OpenJDK cuando hablas de Java-8, pues así se comenta al principio respecto de que hay a quien no le funciona con OpenJDK-11.
El manual dice:

Con Java Oracle igualmente funciona.
Solo que el PPA de WebUPD8 Java ha sido descontinuado en sus actualizaciones; la última que hay es la versión 8.201 (que funciona perfectamente), y si alguien tiene versionitis 8.211 deberá descargarsela de la página de Oracle.
Por cierto Autofirma también ha sido actualizado en Linux a la versión 1.6.5 (permite añadir imagen de firma entre otras novedades). No he probado si ahora funciona java 11 (openJDK) con esa versión o no.

[mramra]

Efectivamente me refiero a OpenJDK, LM19 viene con el OpenJDK-11 instalado y a mi no me funcionó Autofirma 1.6.2 hasta que no lo configuré manualmente en la terminal para que funcionara OpenJDK-8 por defecto, ahora me reconoce perfectamente el certificado digital en Firefox y me permite firmar cualquier documento, tampoco he actualizado a 1.6.5 porque las cosas que funcionan bien no las toco.

[tomeu]

...., tampoco he actualizado a 1.6.5 porque las cosas que funcionan bien no las toco.

Sabio proceder. Aunque a veces también está el mejorar con @utofirma 1.6.5 puedes incluir una imagen en la firma digital, como parte de ella o como fondo, como podría ser un sello de empresa o la propia firma ológrafa.

[tomeu]

Voy a comentar que he experimentado un problema similar al comentado al inicio y forma de solucionarlo.

Causa: Necesito el 'java' de Oracle para determinada página (no sirve openjdk). Oracle-Java se ha actualizado a la versión 211, y en esa página se dan fallos con la versión anterior '201'. Por cosas de Oracle, la PPA 'Webupd8 java' ya no permite actualizar (ni instalar) java 8 de oracle. Solución: desinstalar oracle-java-8 ver 201 e instalar la versión 211 con el tar.gz descargado de Oracle.

Problema colateral = Autofirma deja de funcionar con el DNIe, curiosamente sigue funcionando perfectamente con el certificado tarjeta ACA. Pero quiero usar cualquiera de las dos.

Para volver a usar el certificado del DNIe con Autofirma he hecho lo siguiente:

1º.- Desinstalar Autofirma.

2º.- Desinstalar el paquete del dnie: (en 'paquetes externos' = libpkcs11-dnitif) y, seguidamente, volverlo a instalar.

3º.- Volver a instalar Autofirma (va bien tanto con la versión 1.6.5 como con la 1.6.2).

Nota: Al instalar la versión 1.6.2 pide como dependencias el java openJDK8, conviene instalarlo.

4º.- Si instalamos la versión 1.6.5 de Autofirma (o no se nos han pedido las dependencias anteriores con 1.6.2), hay que instalar OPENJDK 8

sudo apt install openjdk-8-jre

5º.- NO hacemos (como en la primera solución de la página del enlace de Macafyc) a OpenJDK 8 la opción por defecto de todo el sistema operativo. En la misma página @victorjss da una solución más correcta: hacer que openJDK 8 funcione especialmente para Autofirma. Así:

6º.- Modificamos (como root) el fichero /usr/share/applications/afirma.desktop

sudo xed /usr/share/applications/afirma.desktop

7º.- sustituyendo la línea (la comentamos con '#')
# Exec=/usr/bin/AutoFirma %u
Por:
Exec=/usr/lib/jvm/java-8-openjdk-amd64/bin/java -jar /usr/lib/AutoFirma/AutoFirma.jar %u

Guardamos el fichero y reiniciamos Firefox

Para probar que la asociación con "afirma://" está bien hecha podemos lanzar:

xdg-open afirma://service?ports=60539,56638,49305

Después de esto me vuelve a funcionar el DNIe con autofirma (la tarjeta ACA sigue funcionando) y mi versión de java por defecto para el resto del SO sigue siendo Oracle-Java 211

[droguibd]

Buenas tardes

Después de dar muchas vueltas a este tema y no encontrar casi ninguna información, por fin he dado con una solución que funciona. Esta solución funciona con Ubuntu 18.04 y OpenJDK-8, también con el JDK de Oracle ( versión 8 ), pero actualmente hay que instalarlo de forma manual y es más engorroso. Con Ubuntu 16.04 no hay que hacer nada de lo que os pongo a continuación, simplemente se instala el JDK que queramos (Oracle u Open) y Autofirma funciona sin problemas.

El problema es que Autofirma no puede acceder al almacén de certificados de Firefox porque no lo encuentra en el sitio que debería estar.

Al ejecutar Firefox por primera vez, se crean dos perfiles que almacena en sendas carpetas: una que se llama xxxxxxxxxxx.default-release y otra que se llama yyyyyyyyyyyyy.default . El primero debería ser una especie de plantilla, y el segundo en el que se guardara la configuración del usuario (el predeterminado).

Firefox lo hace al revés, esto es, almacena la configuración en default-release (lo pone como predeterminado) y deja vacío el default. El problema viene cuando AutoFirma busca el perfil de Firefox que contiene un certificado electrónico, lo que hace es leer buscar una carpeta con nombre terminado en .default... y la encuentra, pero esta carpeta está vacía, por lo que cuando va a acceder a su almacén de certificados no puede localizarlo y por tanto nos da el fallo.

Hay varias soluciones posibles, pero la más sencilla es utillizar el gestor de perfiles de Firefox a través de la dirección about:profiles.

Captura de pantalla de 2019-08-30 08-10-38.png

Una vez dentro, podemos eliminar el perfil default (que está vacío):

Captura de pantalla de 2019-08-30 08-11-15.png

Y renombrar el default-release (que es el predeterminado) como default:

Captura de pantalla de 2019-08-30 08-11-51.png

Tras cerrar o reiniciar el navegador el perfil se predeterminado se actualiza y Autofirma ya encuentra correctamente los certificados que tengamos instalados en Firefox.

Un saludo y espero que os resulte útil

[Wibol]

Muchas gracias por compartir.

Pues de ahí vienen las diferencias entre mi caso y el tuyo: mi Firefox sólo tiene un perfil del tipo yyyyyyy.default.

Por cierto, desconocía el administrador de perfiles.