Certificado Digital Izenpe - Fedora 9
Certificado Digital Izenpe - Fedora 9
Certificado Digital Izenpe - Fedora 9
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Manual de Instalación<br />
<strong>Certificado</strong> <strong>Digital</strong> <strong>Izenpe</strong><br />
GNU/Linux<br />
Ubuntu 11.10 - Oneiric Ocelot<br />
<strong>Izenpe</strong> s.a. 2012<br />
Esta obra está bajo la licencia Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 de Creative Commons. Puede<br />
copiarla, distribuirla y comunicarla públicamente siempre que especifique su autor y no se utilice para fines comerciales.<br />
La licencia completa puede consultarla en http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es. <strong>Izenpe</strong>, s.a. no podrá ser<br />
considerada responsable de eventuales errores u omisiones en la edición del documento.
Índice de contenido<br />
Introducción ........................................................................................................ 4<br />
Estructura y Alcance del Documento ................................................................. 4<br />
Hardware y Aplicaciones Soportadas ................................................................. 5<br />
Algunos De Los Lectores Soportados ........................................................ 5<br />
Tarjetas Inteligentes Soportadas De Forma Nativa .................................... 5<br />
Tarjetas Inteligentes Soportadas Mediante El Uso De Librerías PKCS#11<br />
Externas: .................................................................................................... 6<br />
Aplicaciones Soportadas ............................................................................ 6<br />
Requisitos Software para la Instalación ............................................................. 7<br />
Configuración de los lectores ..................................................................... 7<br />
Descarga e Instalación del Middleware de <strong>Izenpe</strong> ............................................. 9<br />
Descarga e Instalación de los <strong>Certificado</strong>s <strong>Izenpe</strong> .......................................... 12<br />
Forma 1 – Modo Automático .................................................................... 13<br />
Forma 2 – Modo Manual .......................................................................... 18<br />
Configuración de las aplicaciones .................................................................... 23<br />
Navegadores web .................................................................................... 23<br />
Firefox .............................................................................................. 23<br />
Instalación de módulo para certificados ................................... 23<br />
Opera ............................................................................................... 24<br />
Google Chrome / Chromium ............................................................ 24<br />
Clientes de correo .................................................................................... 25<br />
Thunderbird...................................................................................... 25<br />
Instalación de módulo para certificados ................................... 25<br />
Configuración de cuenta de correo con certificado .................. 25<br />
Comprobación ......................................................................... 25<br />
Evolution .......................................................................................... 26<br />
Instalación de módulo para certificados ................................... 26<br />
Configuración de cuenta de correo con certificado .................. 26<br />
Comprobación ......................................................................... 26<br />
KMail ................................................................................................ 27<br />
Herramientas Ofimáticas .................................................................................. 27<br />
LibreOffice ....................................................................................... 27<br />
Ejemplo de uso de las aplicaciones ................................................................. 28<br />
Identificación en sitios web....................................................................... 28<br />
Firefox .............................................................................................. 28<br />
Envío de correos firmados digitalmente ........................................................... 30<br />
Thunderbird...................................................................................... 30<br />
Configuración cuenta de correo con certificado ....................... 30<br />
Envío de correo firmado digitalmente ...................................... 31<br />
2/
Verificación de firma digital en correo ...................................... 31<br />
Evolution .......................................................................................... 32<br />
Configuración cuenta de correo con certificado ....................... 32<br />
Envío de correo firmado digitalmente ...................................... 33<br />
Verificación de firma digital en correo ...................................... 34<br />
Firma de documentos ofimáticos ............................................................. 35<br />
LibreOffice ....................................................................................... 35<br />
Otras aplicaciones adicionales ......................................................................... 37<br />
Gestor de la Tarjeta de <strong>Izenpe</strong> ................................................................. 37<br />
Cambio de PIN usando Firefox ................................................................ 38<br />
Incompatibilidades conocidas (Importante) ...................................................... 39<br />
DNIe ......................................................................................................... 39<br />
Tarjetas Antiguas de <strong>Izenpe</strong>..................................................................... 39<br />
Acerca de ......................................................................................................... 39<br />
3/
Introducción<br />
<strong>Izenpe</strong>, en un esfuerzo por apoyar y facilitar el uso de sus certificados a los<br />
usuarios de software libre y open source en la Comunidad Autónoma Vasca ha<br />
desarrollado diversas guías con el objetivo de detallar los pasos necesarios<br />
para instalar y configurar los certificados digitales de <strong>Izenpe</strong> sobre el sistema<br />
operativo GNU/Linux.<br />
En este caso se describirá el proceso a seguir en la distribución Ubuntu 11.10<br />
para lograr utilizar los certificados digitales de <strong>Izenpe</strong> con las aplicaciones más<br />
importantes que dan acceso a los servicios ofrecidos por la administración<br />
pública vasca.<br />
Estructura y Alcance del Documento<br />
El documento se estructura en 5 secciones secuenciales que detallan<br />
minuciosamente el proceso completo de instalación, configuración y uso de los<br />
certificados digitales de <strong>Izenpe</strong> en GNU/Linux:<br />
Requisitos de Hardware (Lectores) y Software (Aplicaciones externas).<br />
Descarga e Instalación del Middleware de <strong>Izenpe</strong>.<br />
Descarga e Instalación de los certificados para <strong>Izenpe</strong>.<br />
Configuración y ejemplos de uso para las distintas aplicaciones<br />
soportadas.<br />
Errores conocidos, consejos y soluciones.<br />
Cada una de estas secciones explica las tareas necesarias para llevar a cabo<br />
el proceso completo.<br />
Este documento pretende servir de manual de instalación para todas aquellas<br />
distribuciones tipo Red Hat, caracterizadas por disponer de paquetes .rpm y la<br />
herramienta de gestión de paquetes yum.<br />
El proceso que se ha documentado es específico para Ubuntu 11.10 pero el<br />
resto de distribuciones similares como por ejemplo Debian y en las versiones<br />
anteriores de Ubuntu tendrán un proceso de configuración muy semejante al<br />
indicado.<br />
4/
Hardware y Aplicaciones Soportadas<br />
Algunos De Los Lectores Soportados<br />
En este documento no es posible dar cabida a todos los dispositivos hardware<br />
existente en el mercado. Por ello desde <strong>Izenpe</strong> se ha decido dar soporte de<br />
manera oficial a los siguientes lectores USB de tarjetas criptográficas:<br />
miniLector USB<br />
Cherry Keyboard<br />
miniLector BAY<br />
miniLector PCMCIA-92<br />
Todos ellos pueden ser adquiridos o a través de la tienda web de <strong>Izenpe</strong><br />
(http://www.izenpedenda.com/) o en cualquier otro proveedor autorizado.<br />
Además otros lectores podrán funcionar siempre según la disponibilidad de<br />
drivers.<br />
Nota Importante: El lector de tarjetas ha de ser compatible PC/SC.<br />
Tarjetas Inteligentes Soportadas De Forma Nativa<br />
El Universal Middleware de <strong>Izenpe</strong> para Linux (en adelante UM) consiste en un<br />
módulo de librería que expone una API compatible con la especificación<br />
PKCS#11 v2.11.<br />
Dicho módulo ofrece al software que utilizan las diversas interfaces de<br />
programación la posibilidad de utilizar las tarjetas inteligentes soportadas como<br />
tokens criptográficos.<br />
La siguiente lista consta de las tarjetas que son compatibles con el módulo de<br />
<strong>Izenpe</strong>.<br />
Gemalto Classic TPC:<br />
o FileSystem full compliant PKCS#11 con objetos de 2048 bit<br />
o FileSystem de Firma electrónica con validez legal con objetos de 2048 bit<br />
Giesecke&Devrient (StarCOS 2.3)<br />
o FileSystem full compliant PKCS#11 con objetos de 1024 bit<br />
Incard Incrypto34 V2 con filesystem: CNS + Firma electrónica + FullP11:<br />
o FileSystem CNS conforme a las especificaciones CNS del CNIPA (v.1.1.3) (FS CNS)<br />
o FileSystem de Firma electrónica con validez legal (FS DS-v1.0)<br />
o FileSystem full compliant PKCS#11 (FS FullP11)<br />
Incard Touch&Sign2048:<br />
o Todos los filesystem soportados en la tarjeta Incrypto34v2 más:<br />
FileSystem full compliant PKCS#11 (FS FullP11), con objetos de 2048 bit<br />
FileSystem de Firma electrónica reconocida (FS DS-v2.0), con tres pares de<br />
claves de 2048bit o con tres pares de claves de 1024bit más tres pares de<br />
claves de 2048bit.<br />
5/
Tarjetas Inteligentes Soportadas Mediante El Uso De<br />
Librerías PKCS#11 Externas:<br />
Incard CryptoSmartCard16<br />
(SetecOS)<br />
Incard CryptoSmartCardE4H<br />
(Starcos)<br />
Incard M4.01a FS1111 (Siemens<br />
CardOS/M4)<br />
Gemplus (GemGATE 32K)<br />
Gemplus (GemGATE CardOS M4)<br />
Siemens (Siemens CardOS M4.01)<br />
Siemens (Siemens CardOS M4)<br />
Siemens (Siemens CIE)<br />
Siemens (Siemens SISS – HPC)<br />
Siemens (Siemens CardOS<br />
M4.01a)<br />
Athena (ASECard Crypto)<br />
Ghirlanda (M4cvToken)<br />
Gemplus (SIM TIM)<br />
Oberthur (Cosmo 64 RSA dual<br />
interface)<br />
Oberthur (Oberthur Cosmo64).<br />
Aplicaciones Soportadas<br />
Para acceder a los servicios ofrecidos por <strong>Izenpe</strong> es necesario disponer de<br />
herramientas y aplicaciones que hagan uso de los certificados de <strong>Izenpe</strong>.<br />
Las aplicaciones más comunes que hacen uso de estos certificados se han<br />
agrupado en tres categorías y se ha intentado documentar el proceso de<br />
instalación y configuración de las mismas con los certificados de <strong>Izenpe</strong>.<br />
Las aplicaciones que se explicarán en este documento son:<br />
Navegadores Web<br />
Firefox 8.0.1<br />
Opera 11.10<br />
Google Chrome / Chromium 11<br />
Clientes de correo:<br />
Thunderbird 8.0<br />
Evolution 3.2.1<br />
Kmail 4.7.3<br />
Herramientas Ofimáticas<br />
LibreOffice 3.3<br />
Requisitos Software para la Instalación<br />
Configuración de los lectores<br />
Para instalar y configurar nuestro lector, primeramente tendremos que<br />
asegurarnos si es compatible o no con nuestro sistema (Linux). Si ha sido<br />
comprado en <strong>Izenpe</strong>denda o ha sido suministrado por <strong>Izenpe</strong>, 100% que será<br />
compatible, sino, dependiendo del distribuidor y del tipo de lector podrá valer o<br />
no.<br />
6/
Hay algunos lectores que vienen con su propio software de instalación y otros<br />
que son compatibles y funcionan con el software que se puede instalar<br />
nativamente en todos los equipos Linux.<br />
Para estos últimos (los más comunes) tendremos que realizar los siguientes<br />
pasos de instalación (se puede hacer de forma gráfica o por línea de<br />
comandos, como se prefiera).<br />
De Forma Gráfica<br />
Abrimos el Centro de Software de Ubuntu, y ponemos en su buscador: pcscd<br />
Le damos a instalar. Nos pedirá la contraseña del sistema y continúa con la<br />
instalación.<br />
7/
Al terminar la instalación, reiniciamos el PC.<br />
En Modo Comandos<br />
Para instalarlo en modo comandos, abrimos un terminal:<br />
Y escribimos en él lo siguiente:<br />
sudo apt-get install pcscd<br />
Una vez acabada la instalación, reiniciamos el equipo con el comando:<br />
sudo reboot<br />
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del<br />
sistema.<br />
Descarga e Instalación del Middleware de <strong>Izenpe</strong><br />
Para la descarga del Middleware, iremos a la web de izenpe.com y en el<br />
apartado Puesta en marcha de los certificados (Software <strong>Izenpe</strong>)<br />
encontraremos para descargar el archivo que nos interesa.<br />
8/
Seleccionamos Software <strong>Izenpe</strong> para Linux y le damos a Guardar Archivo.<br />
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio<br />
personal.<br />
Una vez finalizada la descarga tendremos dos maneras de instalarlo:<br />
gráficamente o en modo línea de comandos. Elije la que prefieras, el resultado<br />
final es el mismo.<br />
De Forma Gráfica<br />
Tendremos en la carpeta Descargas el archivo → it_<strong>Izenpe</strong>_Linux_3.0.2.12.zip<br />
9/
Hacemos clic con el botón<br />
derecho sobre él y le damos a<br />
Extraer aquí.<br />
El contenido de la carpeta resultante (teniendo en cuanta si nuestro sistema es<br />
de 32 o de 64 bits) la podemos mover a nuestra carpeta personal, al escritorio<br />
o donde se prefiera.<br />
En nuestro caso, crearemos una carpeta llamada <strong>Izenpe</strong> dentro de nuestro<br />
Carpeta personal y lo moveremos allí. Quedando tal que así:<br />
El directorio pinman_32_bit contiene la aplicación para gestionar el cambio de<br />
pin de la tarjeta, desbloquearla y alguna opción más, las cuales se explica en<br />
un apartado próximo al final de este documento.<br />
El directorio pkcs11 contiene los archivos libbit4ipki.so y libbit4ipki.so.conf<br />
Ambos archivos siempre han de estar juntos. Y son los que usaremos para<br />
configurar el navegador Firefox para que funcione la tarjeta en nuestro equipo.<br />
10/
Explicamos los pasos necesarios en el apartado de Configuración de las<br />
Aplicaciones → Navegadores Web → Firefox. Pero antes, procedamos a<br />
instalar los certificados.<br />
En Modo Comandos<br />
Para instalarlo en modo comandos, abrimos un terminal:<br />
Y escribimos en él lo siguiente:<br />
cd ~/Descargas<br />
gunzip -d Kit_<strong>Izenpe</strong>_Linux_3.0.2.12.zip<br />
cd Kit_<strong>Izenpe</strong>_Linux_3.0.2.12<br />
cd 32<br />
mkdir ~/<strong>Izenpe</strong><br />
mv * ~/<strong>Izenpe</strong><br />
Hemos hecho los mismos pasos que en el modo gráfico pero en menos<br />
movimientos.<br />
Los siguientes pasos que realizaremos con estos archivos los encontraremos<br />
en el apartado de Configuración de las Aplicaciones → Navegadores Web →<br />
Firefox.<br />
Pero antes, procedamos a instalar los certificados.<br />
11/
Descarga e Instalación de los <strong>Certificado</strong>s <strong>Izenpe</strong><br />
<strong>Izenpe</strong> ha dispuesto una jerarquía de autoridades de certificación y<br />
subordinadas para dar respuesta a las diferentes necesidades que se<br />
presentan al acceder a los diferentes servicios que se proporcionan a través de<br />
internet y certifica a sus usuarios con distintos perfiles según el caso.<br />
Para ver el gráfico más grande: https://servicios.izenpe.com/images/CAS-<br />
IZENPE-2011.gif<br />
12/
Forma 1 – Modo Automático<br />
<strong>Izenpe</strong> ha desarrollado una serie de instaladores especiales para cada<br />
plataforma, cuyo objetivo es conseguir que la descarga e instalación de los<br />
certificados no sea tan aparatosa como solía requerirse por las características<br />
del software vigentes hasta la fecha.<br />
En este caso el instalador que nos interesa es un .rpm, compatible para las<br />
distribuciones que usan este tipo de paquetes, como son <strong>Fedora</strong>, OpenSuSe,<br />
Centos...<br />
Para la descarga de los certificados, iremos a la web de izenpe.com y en el<br />
apartado Puesta en marcha de los certificados (Software <strong>Izenpe</strong>)<br />
encontraremos el archivo para su descarga.<br />
Seleccionamos <strong>Certificado</strong> <strong>Izenpe</strong> para Ubuntu Debian y le damos a Guardar<br />
Archivo.<br />
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio<br />
personal.<br />
13/
Una vez finalizada la descarga tendremos dos maneras de instalarlos:<br />
gráficamente o en modo línea de comandos. Elije la que prefieras, el resultado<br />
final es el mismo.<br />
De Forma Gráfica<br />
Tendremos en la carpeta Descargas el archivo → izenpecertificates_1.0.0.4_all.deb<br />
En el cual, hacemos clic derecho y elegimos Abrir con Centro de software de<br />
Ubuntu.<br />
Se nos abre el Centro de software de Ubuntu en el cual le daremos al botón<br />
Instalar.<br />
Nos pedirá la contraseña del equipo, la introducimos y le damos a Autenticar.<br />
14/
Mientras se instala, nos saldrá en la barra lateral, un nuevo icono al cual hemos<br />
de dar para poder seleccionar los navegadores en los que queremos importar<br />
los certificados.<br />
Si no tienes instalado Chrome, solo selecciona Firefox y dale al botón Adelante.<br />
(Ver Imagen):<br />
Antes de finalizar, nos saldrá un mensaje confirmando la correcta instalación.<br />
Si se desea se puede comprobar si la instalación ha sido exitosa consultando<br />
los certificados instalados en tu navegador.<br />
Ruta: Firefox → Editar → Preferencias → Avanzado → Cifrado → <strong>Certificado</strong>s<br />
→ Autoridades<br />
15/
16/
En Modo Comandos<br />
Para instalarlo en modo comandos, abrimos un terminal:<br />
Y escribimos en él las siguientes sentencias en el hasta que finalice la<br />
instalación (ver imagen), introduciendo la contraseña del sistema cuando nos la<br />
pida y afirmando la instalación:<br />
cd ~/Descargas<br />
sudo dpkg -i izenpe-certificates_1.0.0.4_all.deb<br />
17/
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del<br />
sistema.<br />
Aceptamos pulsando la tecla “Enter” y pasamos al siguiente punto que es elegir<br />
en que navegadores vamos a importar los certificados.<br />
Con la tecla “Tabulador” cambiamos de opciones y con la “Barra Espaciadora”<br />
seleccionamos Firefox y pulsamos Aceptar para continuar con la instalación.<br />
Nota: Si tenemos también instalado el navegador Chrome en nuestro equipo,<br />
puede seleccionarlo y se importaran los certificados en su base de datos,<br />
aunque por el momento la tarjeta solo funciona con Firefox.<br />
Si nos sale este mensaje es que ha finalizado la instalación correctamente. Ya<br />
podemos pasar al paso de configurar el módulo en Firefox.<br />
18/
Forma 2 – Modo Manual<br />
Si el paso anterior no esta disponible por algún motivo, siempre podemos<br />
realizar la descarga e instalación de cada certificado a mano. Un proceso<br />
bastante costoso.<br />
Estos certificados, están disponibles en la web: www.izenpe.com Descarga<br />
de certificados.<br />
Enlace Directo a los certificados→<br />
https://servicios.izenpe.com/jsp/descarga_ca/descarga.htm<br />
19/
Para descargar los certificados hay que hacer “click” sobre las imágenes que<br />
tienen dibujada una flecha blanca en un recuadro azul, y guardar el certificado<br />
para su posterior importación.<br />
Según la estructura de autoridades certificadoras definidas por <strong>Izenpe</strong>, cada<br />
tarjeta únicamente va a ser validada contra una autoridad raíz y una<br />
subordinada. Ello significa que no es estrictamente necesario importar todos los<br />
certificados de todas las autoridades certificadoras, ya que el aplicativo en<br />
cuestión no va a utilizarlas con nuestra tarjeta. Sin embargo, si no se conoce<br />
adecuadamente el funcionamiento de la jerarquía de autoridades se<br />
recomienda instalarlas todas.<br />
Es fundamental importar los certificados raíz de las autoridades certificadoras<br />
en Firefox para poder realizar los procesos de autenticación y firma en los sitios<br />
web. Si el navegador no dispone de dichos certificados el servidor rechazará el<br />
acceso al mismo.<br />
Para importarlos en el menú Editar → Preferencias hacemos “click” sobre<br />
Avanzado y a continuación sobre la pestaña de Cifrado. Por último hacemos<br />
“click”, como se ve en la imagen, sobre el botón Ver <strong>Certificado</strong>s y sobre la<br />
pestaña Autoridades para importar los certificados de las autoridades<br />
certificadoras raíz y sus subordinadas.<br />
20/
Importamos todos los certificados de las autoridades certificadoras raíz y<br />
subordinadas de <strong>Izenpe</strong>, uno a uno, haciendo “click” en el botón Importar y<br />
seleccionando uno a uno los certificados:<br />
21/
A la hora de importar los certificados raíz el navegador nos preguntará acerca<br />
de la confianza que depositamos sobre el certificado. Existen 3 categorías de<br />
confianza:<br />
Confianza en verificaciones sobre sitios web<br />
Confianza en verificaciones sobre usuarios de correo<br />
Confianza en verificaciones sobre desarrolladores de software<br />
Marcamos las 3 categorías.<br />
22/
Este proceso hay que realizarlo para todos y cada uno de los certificados.<br />
Podemos comprobar que aparecen los nuevos certificados:<br />
23/
Configuración de las aplicaciones<br />
Navegadores web<br />
Firefox<br />
Firefox es el navegador por excelencia en GNU/Linux.<br />
Instalación de módulo para certificados<br />
En el menú Editar → Preferencias hacemos “click” sobre Avanzado y a<br />
continuación sobre la pestaña de Cifrado, como vemos en la imagen. Por<br />
último volvemos a hacer “click” sobre el botón Dispositivos de seguridad.<br />
El Administrador de dispositivos es una herramienta que permite gestionar los<br />
módulos de seguridad de Firefox. Por defecto viene provisto de 2 módulos de<br />
seguridad, uno para la gestión de los certificados raíz que vienen instalados por<br />
defecto y otro para todos aquellos certificados no externos que vayamos<br />
añadiendo, junto con las librerías necesarias.<br />
Para añadir el nuevo módulo de seguridad que necesitamos hacemos “click”<br />
sobre el botón Cargar.<br />
24/
Se nos abre una ventana que nos permite definir un nuevo módulo PKCS#11<br />
en el que:<br />
Nombre del módulo: un nombre genérico que haga referencia al módulo<br />
de seguridad para el Middleware. Introducimos un nombre cualquiera.<br />
Por ejemplo: <strong>Izenpe</strong><br />
Archivo del módulo: le damos a Examinar y navegaremos hasta la ruta<br />
donde se encuentra el archivo libbit4ipki.so<br />
(/home/”TU NOMBRE DE USUARIO”/<strong>Izenpe</strong>/pkcs11/libbit4ipki.so)<br />
Después, hacemos “click” en aceptar y veremos cómo se nos añade el nuevo<br />
módulo.<br />
Si por un casual se añade el módulo, pero aparece vacío, puede ser que<br />
necesite reiniciar el equipo. Asegúrate de que tanto el lector como la tarjeta<br />
están correctamente conectados al PC.<br />
25/
Opera<br />
La versión actual de Opera únicamente dispone de soporte para certificados de<br />
tipo software (PKCS#12), por lo que no es compatible con los certificados<br />
expedidos por <strong>Izenpe</strong>.<br />
Google Chrome / Chromium<br />
En la versión actual de Google Chrome / Chromium, si está instalado se<br />
importarán los certificados de <strong>Izenpe</strong> en su base de datos, no obstante, este<br />
navegador por el momento no implementa módulos PKCS#11 así que no nos<br />
servirá para usar la tarjeta.<br />
26/
Clientes de correo<br />
Para poder enviar correos firmados es necesario disponer de un certificado que<br />
tenga definido como atributo su uso extendido de la clave, concretamente, la<br />
Protección de correo electrónico (OID 1.3.6.1.5.5.7.3.4). Solo algunas de las<br />
tarjetas de <strong>Izenpe</strong> cuentan con dicha extensión.<br />
Thunderbird<br />
El proceso de configuración de Thunderbird es muy similar al de Firefox.<br />
Instalación de módulo para certificados<br />
Para la instalación de los certificados y del módulo PKCS#11 ver configuración<br />
de Firefox en el apartado correspondiente.<br />
Configuración de cuenta de correo con certificado<br />
La configuración de una cuenta de correo con un certificado correspondiente se<br />
muestra en un apartado posterior.<br />
Comprobación<br />
Para comprobar que la carga de certificados se ha realizado correctamente<br />
accedemos al menú Editar → Preferencias → Avanzado → <strong>Certificado</strong>s → Ver<br />
certificados y seguido nos pedirá el PIN de acceso a la tarjeta<br />
27/
Evolution<br />
Instalación de módulo para certificados<br />
Evolution únicamente soporta de forma nativa certificados software (PKCS#12).<br />
<strong>Izenpe</strong> solo dispone de certificados hardware a través de dispositivos<br />
criptográficos. Por ello vamos a tener que hacer una pequeña adaptación del<br />
sistema para poder utilizarlo. Evolution puede utilizar las librerías NSS (Network<br />
Security Services) de Mozilla, así que enlazaremos el almacén de certificados<br />
de Mozilla con el Evolution.<br />
La manera más elegante de realizarlo es a través de una serie de enlaces<br />
simbólicos y así tener sincronizadas las configuraciones de los dispositivos de<br />
seguridad de Firefox y Evolution (si los copiásemos cada vez que<br />
cambiásemos algo tendríamos que volver a copiarlo)<br />
Para ello es necesario abrir una terminal y ejecutar lo siguiente:<br />
$ rm $HOME/.pki/nssdb/*<br />
$ ln -sf $HOME/.mozilla/firefox/*.default/*.db $HOME/.pki/nssdb/<br />
Configuración de cuenta de correo con certificado<br />
La configuración de una cuenta de correo con un certificado correspondiente se<br />
muestra en el apartado correspondiente.<br />
Comprobación<br />
Para comprobar que la carga de certificados se ha realizado correctamente<br />
accedemos al menú Editar → Preferencias y seguido nos pedirá el PIN de<br />
acceso a la tarjeta.<br />
28/
KMail<br />
La versión actual de KMail únicamente dispone de soporte para certificados de<br />
tipo software (PKCS#12), por lo que no es factible con los certificados<br />
expedidos por <strong>Izenpe</strong>.<br />
29/
Herramientas Ofimáticas<br />
LibreOffice<br />
LibreOffice no dispone de un gestor de propio de certificados. Aunque es capaz<br />
de utilizar el repositorio de certificados de la suite de Mozilla.<br />
Por ello es requerimiento indispensable para poder firmar documentación<br />
ofimática con LibreOffice, tener previamente configurado el acceso a<br />
certificados digitales a través de Firefox o Thunderbird.<br />
30/
Ejemplo de uso de las aplicaciones<br />
Identificación en sitios web<br />
Firefox<br />
Una vez configurada la ubicación de los certificados según se ha explicado en<br />
el apartado correspondiente realizaremos un proceso de autenticación en un<br />
sitio web que verifica el acceso al mismo con certificados expedidos por <strong>Izenpe</strong>:<br />
OSANET.<br />
Accedemos al portal de la Sanidad Vasca (http://www.osakidetza.euskadi.net),<br />
hacemos “click” sobre Cita Previa (Oficina Virtual de Salud) y a continuación<br />
en la ventana emergente seleccionamos la opción acceso mediante tarjeta<br />
sanitaria electrónica.<br />
Para poder acceder al servicio de Osanet, necesitaremos tener el “plugin” de<br />
Java instalado. Si no lo tenemos, nos aparecerá una advertencia, en la parte<br />
superior de la ventana desde donde podremos instalarlo.<br />
Si la instalación automática falla o esta desactivada, tendremos que instalarlo<br />
manualmente.<br />
Para ello, cerramos Firefox, abrimos un terminal y escribiremos los siguientes<br />
comandos para añadir el repositorio donde se encuentra JRE 1.6 para su<br />
instalación:<br />
sudo add-apt-repository ppa:ferramroberto/java<br />
Le damos a la tecla “Enter” para continuar y añadir el repositorio de java.<br />
Después escribimos:<br />
sudo apt-get update<br />
sudo apt-get install sun-java6-jre sun-java6-plugin sun-java6-fonts<br />
31/
Le damos a la tecla “s” y presionamos “Enter” para continuar con la instalación.<br />
Aceptamos los términos de la licencia y la instalación continua hasta que<br />
finaliza correctamente.<br />
Una vez instalado, volvemos a acceder a la página y nos aparecerá la siguiente<br />
advertencia, en la cual deberemos marcar, que siempre confiaremos y hacer<br />
“click” en “Ejecutar”.<br />
Después, hacemos “click” sobre<br />
→<br />
Si todo está correctamente configurado se abrirá una nueva ventana solicitando<br />
el PIN de la tarjeta de <strong>Izenpe</strong>.<br />
Nota: La primera vez que accedamos a OSANET, nos aparecerá una<br />
advertencia relacionada con permitir o no permitir las ventanas<br />
emergentes. En este caso, permitiremos las ventanas emergentes.<br />
32/
Introducimos correctamente el PIN y nos mostrará una nueva ventana<br />
permitiéndonos seleccionar con cuál de todos los certificados instalados en el<br />
servidor queremos autenticarnos.<br />
Seleccionamos el certificado de <strong>Izenpe</strong> y hacemos “click” sobre Aceptar.<br />
Si nuestro certificado es válido para acceder a la aplicación y no está revocado<br />
la aplicación nos permitirá el acceso con las mismas garantías que lo hacemos<br />
de forma presencial.<br />
Nota: Es importante que cuando acabemos de realizar las gestiones<br />
oportunas cerremos la sesión del sitio web así como el navegador para<br />
evitar que otras personas puedan acceder a Internet con nuestros<br />
credenciales.<br />
Envío de correos firmados digitalmente<br />
Tal y como hemos comentado anteriormente para poder enviar correos<br />
firmados es necesario disponer de un certificado que tenga definido como<br />
atributo su uso extendido y solo algunos de los certificados de <strong>Izenpe</strong> cuentan<br />
con dicha extensión.<br />
Una vez dispongamos de un certificado válido, será necesario asociar la cuenta<br />
de correo con el certificado en cuestión. Esta cuenta de correo debe ser la<br />
misma que la incorporada en el certificado.<br />
Veamos cómo realizar dicha tarea en los distintos clientes de correo.<br />
Thunderbird<br />
Configuración cuenta de correo con certificado<br />
En el menú Editar → Configuración de las cuentas hacemos “click” sobre el<br />
apartado de Seguridad en la cuenta correspondiente. A continuación<br />
seleccionamos el certificado<br />
33/
Envío de correo firmado digitalmente<br />
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no<br />
tenemos marcada la opción de firmar digitalmente todos los correos salientes,<br />
podemos hacerlo manualmente a través del menú Opciones → Seguridad →<br />
Firmar digitalmente este mensaje.<br />
Observaremos en la parte inferior de la ventana de redacción de correo un<br />
icono que indica que hemos seleccionado la opción de firmar el correo<br />
digitalmente.<br />
Verificación de firma digital en correo<br />
Thunderbird nos muestra un icono que indica que el correo está firmado<br />
digitalmente.<br />
34/
Para poder comprobar si la firma es válida es necesario haber importado los<br />
certificados raíz de las autoridades certificadoras y subordinadas.<br />
En caso que no sea válida nos avisará de ello. Bien porque el correo ha sido<br />
modificado o bien porque no hemos importado los certificados raíz de las<br />
autoridades certificadoras y sus subordinadas.<br />
35/
Evolution<br />
Configuración cuenta de correo con certificado<br />
En el menú Editar → Preferencias hacemos “click” sobre la opción Cuentas de<br />
correo, seleccionamos la cuenta que queremos configurar y volvemos a hacer<br />
“click” en Editar.<br />
Accedemos a la sección Seguridad y seleccionamos el certificado que<br />
queremos utilizar para la firma de correos haciendo “click” en el botón<br />
Seleccionar del apartado MIME Seguro.<br />
36/
Envío de correo firmado digitalmente<br />
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no<br />
tenemos marcada la opción de firmar digitalmente todos los correos salientes,<br />
podemos hacerlo manualmente a través del menú Seguridad → Firmar con<br />
S/MIME.<br />
Verificación de firma digital en correo<br />
Evolution nos muestra un icono que indica que el correo está firmado<br />
digitalmente.<br />
Para poder comprobar si la firma es válida es necesario haber importado los<br />
certificados raíz de las autoridades certificadoras y subordinadas.<br />
37/
Firma de documentos ofimáticos<br />
LibreOffice<br />
Una vez configurada la ubicación de los certificados según se ha explicado en<br />
el apartado correspondiente realizaremos un proceso de firma de un<br />
documento ofimático.<br />
LibreOffice permite firmar los siguientes tipos de documentos:<br />
Documentos de texto<br />
Hojas de cálculo<br />
Presentaciones<br />
Dibujos<br />
Para proceder con la firma del documento, en el menú Archivo seleccionamos<br />
la opción Firmas digitales.<br />
La firma del documento es necesario realizarla sobre un documento guardado,<br />
que no se va a modificar. En el momento en que se firma el documento si se<br />
modifica se pierde la firma y es necesario volver a firmarlo.<br />
Una vez guardado nos muestra el gestor de firmas digitales de OpenOffice.org<br />
38/
Hacemos “click” sobre Agregar y nos muestra los certificados que tenemos<br />
configurados desde la base de datos de certificados referenciada (Firefox)<br />
En la ventana que se abre nos aparecerán tantos certificados como tengamos<br />
configurados. Seleccionamos el certificado en cuestión y pulsamos sobre<br />
Aceptar.<br />
39/
Para que las firmas del documento sean válidas es necesario tener importadas<br />
los certificados de las autoridades raíz y subordinadas correspondientes.<br />
Pulsamos sobre Aceptar de nuevo y ya tenemos el documento firmado.<br />
Podemos distinguir que está firmado por la modificación del título con la<br />
etiqueta de (firmado), y por el siguiente icono en la parte inferior de LibreOffice:<br />
Otras aplicaciones adicionales<br />
Gestor de la Tarjeta de <strong>Izenpe</strong><br />
Junto con el Middleware descargado, viene una aplicación con la cual<br />
podremos cambiar el PIN de la tarjeta, desbloquearla introduciendo el PUK (por<br />
si hemos introducido tres veces el PIN mal y se ha bloqueado), y alguna que<br />
otra opción.<br />
SI has seguido correctamente el manual la tendrás en la carpeta <strong>Izenpe</strong> dentro<br />
de tu carpeta personal:<br />
Entramos en el directorio y hacemos “click” derecho sobre gtkbit4pin y le<br />
damos a Propiedades.<br />
Seleccionamos la pestaña de permisos y activamos la casilla de Ejecución.<br />
40/
Ahora ya podremos ejecutarla haciendo doble “click” sobre gtkbit4pin.<br />
Cambio de PIN usando Firefox<br />
En el menú Editar → Preferencias pinchamos sobre Avanzado y a continuación<br />
sobre la pestaña de Cifrado, como vemos en la imagen. Por último pinchamos<br />
sobre el botón Dispositivos de seguridad y seguido a Cambiar contraseña<br />
41/
Nos aparecerá una ventana que nos permite cambiar el PIN, previa<br />
introducción del PIN actual.<br />
Nota: Recomendamos el uso de la propia aplicación de <strong>Izenpe</strong>, no obstante, se<br />
explica el cambio con Firefox por ser la manera que ha predominado hasta la<br />
actualidad.<br />
Incompatibilidades conocidas (Importante)<br />
DNIe<br />
A diferencia de <strong>Izenpe</strong> que tiene sus propio Middleware para el uso de sus<br />
tarjetas, la instalación del DNIe en Linux y Mac, usa las librerías OpenSC para<br />
hacer funcionar la lectura del mismo, lo que provoca incompatibilidades en la<br />
funcionalidad de ambos dispositivos a la vez.<br />
Así pues, no es recomendable realizar ambas instalaciones en el mismo equipo<br />
si tu tarjeta de <strong>Izenpe</strong> es una de las tarjetas antiguas (anteriores al 2012).<br />
Si antes de realizar la de <strong>Izenpe</strong>, se dispone ya de la instalación del DNIe,<br />
merece la pena probar si también es capaz de leer la tarjeta de <strong>Izenpe</strong>, en caso<br />
afirmativo, solo realizaremos la instalación de los certificados de <strong>Izenpe</strong> y no la<br />
del Middleware.<br />
Tarjetas Antiguas de <strong>Izenpe</strong><br />
Con el cambio de fabricante en las tarjetas de <strong>Izenpe</strong>, se producen dos casos a<br />
destacar:<br />
· Las tarjetas antiguas (anteriores al 2012), funcionan con el nuevo Middleware<br />
y la nueva instalación.<br />
42/
· Las tarjetas nuevas, no funcionan en instalaciones antiguas (realizadas con<br />
las librerías OpenSC). Necesitan el nuevo Middleware para que funcionen<br />
correctamente.<br />
Acerca de<br />
Este documento ha sido elaborado por la empresa Irontec Internet y Sistemas<br />
sobre GNU/Linux.<br />
Para la elaboración del presente documento se ha desarrollado una cuidadosa<br />
metodología de análisis y puesta en funcionamiento, garantizado la adecuación<br />
del documento a las necesidades de los usuarios.<br />
Si el lector considera que hay algún aspecto erróneo o encuentra alguna errata,<br />
puede trasladarla mediante email a cau-izenpe@izenpe.net e intentaremos<br />
incluirla en próximas revisiones del documento.<br />
43/