Guía de instalación de Certificado Digital IZENPE para Ubuntu 12.04

Manual de Instalación
Certificado Digital Izenpe
GNU/Linux
Ubuntu 12.04 LTS - Precise Pangolin
© Izenpe s.a. 2013
Esta obra está bajo la licencia Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 de Creative Commons. Puede
copiarla, distribuirla y comunicarla públicamente siempre que especifique su autor y no se utilice para fines comerciales.
La licencia completa puede consultarla en http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es. Izenpe, s.a. no podrá ser
considerada responsable de eventuales errores u omisiones en la edición del documento.

Índice de contenido
Introducción............................................................................................................................ 4
Estructura y Alcance del Documento......................................................................................4
Hardware y Aplicaciones Soportadas......................................................................................5
Algunos De Los Lectores Soportados.................................................................................5
Tarjetas Inteligentes Soportadas De Forma Nativa............................................................5
Tarjetas Inteligentes Soportadas Mediante El Uso De Librerías PKCS#11 Externas:.......6
Aplicaciones Soportadas.....................................................................................................6
Requisitos Software para la Instalación..................................................................................7
Configuración de los lectores.............................................................................................7
Descarga e Instalación del Middleware de Izenpe..................................................................9
Descarga e Instalación de los Certificados Izenpe ...............................................................13
Forma 1 – Modo Automático.............................................................................................14
Forma 2 – Modo Manual...................................................................................................20
Descarga e Instalación de JAVA JRE de Oracle.....................................................................25
Pasos de instalación en sistemas de 64 bits.....................................................................25
Pasos de instalación en sistemas de 32 bits.....................................................................27
Configuración de las aplicaciones.........................................................................................29
Navegadores web.............................................................................................................29
Firefox......................................................................................................................... 29
Instalación de módulo para certificados.................................................................29
Google Chrome / Chromium........................................................................................31
Instalación del módulo para los certificados...........................................................31
Comprobación del módulo y de los Certificados.....................................................32
Pasos necesarios para que funcione Java en Google Chrome ................................33
Pasos necesarios para que funcione Java en Chromium.........................................34
Opera........................................................................................................................... 34
Envío de correos firmados digitalmente...........................................................................35
Thunderbird................................................................................................................. 35
Instalación de módulo para certificados.................................................................35
Configuración de los certificados previamente instalados......................................36
Envío de un correo firmado digitalmente en Thunderbird......................................36
Evolution..................................................................................................................... 37
Instalación de módulo para certificados.................................................................37
Configuración de los certificados previamente instalados......................................37
Envío de un correo firmado digitalmente en Evolution...........................................38
KMail........................................................................................................................... 38
Herramientas Ofimáticas......................................................................................................38
LibreOffice................................................................................................................... 38
Ejemplo de uso de las aplicaciones.......................................................................................39
Identificación en sitios web..............................................................................................39
Firefox......................................................................................................................... 39
Cambio necesario en Firefox para que funcione el acceso en algunas Webs...............42
2/

Google Chrome / Chromium........................................................................................43
Comprobar Plugin de Java......................................................................................43
Prueba de Firma.....................................................................................................43
Envío de correos firmados digitalmente................................................................................44
Thunderbird................................................................................................................. 44
Configuración cuenta de correo con certificado.....................................................44
Envío de correo firmado digitalmente....................................................................45
Verificación de firma digital en correo...................................................................46
Evolution..................................................................................................................... 47
Configuración cuenta de correo con certificado.....................................................47
Envío de correo firmado digitalmente....................................................................48
Verificación de firma digital en correo...................................................................49
Firma de documentos ofimáticos......................................................................................50
LibreOffice................................................................................................................... 50
Otras aplicaciones adicionales..............................................................................................53
Gestor de la Tarjeta de Izenpe..........................................................................................53
Cambio de PIN usando Firefox.........................................................................................55
Incompatibilidades conocidas (Importante)..........................................................................56
DNIe................................................................................................................................. 56
Tarjetas Antiguas de Izenpe.............................................................................................57
Acerca de.............................................................................................................................. 57
3/

Introducción
Izenpe, en un esfuerzo por apoyar y facilitar el uso de sus certificados a los usuarios de
software libre y open source en la Comunidad Autónoma Vasca ha desarrollado diversas guías
con el objetivo de detallar los pasos necesarios para instalar y configurar los certificados
digitales de Izenpe sobre el sistema operativo GNU/Linux.
En este caso se describirá el proceso a seguir en la distribución Ubuntu 12.04 LTS para lograr
utilizar los certificados digitales de Izenpe con las aplicaciones más importantes que dan
acceso a los servicios ofrecidos por la administración pública vasca.
Estructura y Alcance del Documento
El documento se estructura en 5 secciones secuenciales que detallan minuciosamente el
proceso completo de instalación, configuración y uso de los certificados digitales de Izenpe en
GNU/Linux:
● Requisitos de Hardware (Lectores) y Software (Aplicaciones externas).
● Descarga e Instalación del Middleware de Izenpe.
● Descarga e Instalación de los certificados para Izenpe.
● Configuración y ejemplos de uso para las distintas aplicaciones soportadas.
● Errores conocidos, consejos y soluciones.
Cada una de estas secciones explica las tareas necesarias para llevar a cabo el proceso
completo.
Este documento pretende servir de manual de instalación para todas aquellas distribuciones
Linux similares que usan paquetes .deb, como:
– Debian 6 y 7.
– Linux Mint 13 y 14.
– Ubuntu desde la versión 10.04 LTS hasta la versión mas actual 12.10.
4/

Hardware y Aplicaciones Soportadas
Algunos De Los Lectores Soportados
En este documento no es posible dar cabida a todos los dispositivos hardware existentes en el
mercado. Por ello desde Izenpe se ha decido dar soporte de manera oficial a los siguientes
lectores USB de tarjetas criptográficas:
● miniLector USB
● Cherry Keyboard
● miniLector BAY
● miniLector PCMCIA-92
Todos ellos pueden ser adquiridos o a través de la tienda web de Izenpe
(http://www.izenpedenda.com/) o en cualquier otro proveedor autorizado. Además otros
lectores podrán funcionar siempre según la disponibilidad de drivers.
Nota Importante: El lector de tarjetas ha de ser compatible PC/SC.
Tarjetas Inteligentes Soportadas De Forma Nativa
El Universal Middleware de Izenpe para Linux (en adelante UM) consiste en un módulo de
librería que expone una API compatible con la especificación PKCS#11 v2.11.
Dicho módulo ofrece al software que utilizan las diversas interfaces de programación la
posibilidad de utilizar las tarjetas inteligentes soportadas como tokens criptográficos.
La siguiente lista consta de las tarjetas que son compatibles con el módulo de Izenpe.
• Gemalto Classic TPC:
o FileSystem full compliant PKCS#11 con objetos de 2048 bit
o FileSystem de Firma electrónica con validez legal con objetos de 2048 bit
• Giesecke&Devrient (StarCOS 2.3)
o FileSystem full compliant PKCS#11 con objetos de 1024 bit
• Incard Incrypto34 V2 con filesystem: CNS + Firma electrónica + FullP11:
o FileSystem CNS conforme a las especificaciones CNS del CNIPA (v.1.1.3) (FS CNS)
o FileSystem de Firma electrónica con validez legal (FS DS-v1.0)
o FileSystem full compliant PKCS#11 (FS FullP11)
• Incard Touch&Sign2048:
o Todos los filesystem soportados en la tarjeta Incrypto34v2 más:
FileSystem full compliant PKCS#11 (FS FullP11), con objetos de 2048 bit
FileSystem de Firma electrónica reconocida (FS DS-v2.0), con tres pares de
claves de 2048bit o con tres pares de claves de 1024bit más tres pares de
claves de 2048bit.
5/

Tarjetas Inteligentes Soportadas Mediante El Uso De
Librerías PKCS#11 Externas:
• Incard CryptoSmartCard16
(SetecOS)
• Incard CryptoSmartCardE4H
(Starcos)
• Incard M4.01a FS1111 (Siemens
CardOS/M4)
• Gemplus (GemGATE 32K)
• Gemplus (GemGATE CardOS M4)
• Siemens (Siemens CardOS M4.01)
• Siemens (Siemens CardOS M4)
Aplicaciones Soportadas
6/
• Siemens (Siemens CIE)
• Siemens (Siemens SISS – HPC)
• Siemens (Siemens CardOS
M4.01a)
• Athena (ASECard Crypto)
• Ghirlanda (M4cvToken)
• Gemplus (SIM TIM)
• Oberthur (Cosmo 64 RSA dual
interface)
• Oberthur (Oberthur Cosmo64).
Para acceder a los servicios ofrecidos por Izenpe es necesario disponer de herramientas y
aplicaciones que hagan uso de los certificados de Izenpe.
Las aplicaciones más comunes que hacen uso de estos certificados se han agrupado en tres
categorías y se ha intentado documentar el proceso de instalación y configuración de las
mismas con los certificados de Izenpe.
Las aplicaciones que se explicarán en este documento son:
● Navegadores Web
○ Firefox 18.0.2
○ Opera 12.12
○ Google Chrome / Chromium 24.0.1312.68
● Clientes de correo:
○ Thunderbird 17.0.2
○ Evolution 3.4.4
○ Kmail 4.8.5
● Herramientas Ofimáticas
○ LibreOffice 3.5.4.7

Requisitos Software para la Instalación
Configuración de los lectores
Para instalar y configurar nuestro lector, primeramente tendremos que asegurarnos si es
compatible o no con nuestro sistema (Linux). Si ha sido comprado en Izenpedenda o ha sido
suministrado por Izenpe, 100% que será compatible, sino, dependiendo del distribuidor y del
tipo de lector podrá valer o no.
Hay algunos lectores que vienen con su propio software de instalación y otros que son
compatibles y funcionan con el software que se puede instalar nativamente en todos los
equipos Linux.
Para estos últimos (los mas comunes) tendremos que realizar los siguientes pasos de
instalación (se puede hacer de forma gráfica o por linea de comandos, como se prefiera).
De Forma Gráfica
Abrimos el Centro de Software de Ubuntu, y ponemos en su buscador: pcscd
7/

Le damos a instalar. Nos pedirá la contraseña del usuario y continua con la instalación.
Al terminar la instalación, reiniciamos el PC.
En Modo Comandos
Para instalarlo en modo comandos, abrimos un terminal:
Y escribimos en él lo siguiente:
sudo apt-get install pcscd
Una vez acabada la instalación, reiniciamos el equipo con el comando:
sudo reboot
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del usuario.
8/

Descarga e Instalación del Middleware de Izenpe
Para la descarga del Middleware, iremos a la web de izenpe y en el apartado Software
encontraremos para descargar el archivo que nos interesa.
www.izenpe.com
Seleccionamos Middleware Izenpe para Linux y le damos a Guardar Archivo.
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.
Una vez finalizada la descarga tendremos dos maneras de instalarlo: gráficamente o todo en
modo linea de comandos. Elije la que prefieras, el resultado final es el mismo.
9/

De Forma Gráfica
Tendremos en la carpeta Descargas el archivo → Kit_Izenpe_Linux_cryptoKEY_3.0.3.6.zip
Hacemos clic con el botón derecho sobre él y le damos a Extraer aquí.
Del contenido de la carpeta resultante, nos quedaremos con el directorio que se corresponda
con la arquitectura de nuestro sistema operativo (32 o 64 bits). Si la desconocemos, la manera
mas fácil de averiguarla es la siguiente:
- Abrimos un terminal y escribimos en el: uname -m
Si el resultado es i686 se refiere a 32 bits. En cambio, si nos muestra x86_64 la arquitectura
es de 64 bits. En el caso de este manual se trata de 64 bits.
10/

Dentro de la carpeta con nuestra arquitectura, tendremos lo siguiente:
· El directorio pkcs11, que contiene los archivos libbit4ipki.so, libbit4ipki.so.conf
y libbit4ipki.so.interop.plugin
- El archivo ejecutable p11test, el cual podemos eliminar.
· Y el archivo pinmanager_64.zip, que contiene la aplicación para gestionar el cambio de pin de
la tarjeta, desbloquearla y alguna opción mas, las cuales se explican en un apartado próximo al
final de este documento.
Teniendo claro lo anterior, nuestro siguiente paso será copiar el contenido de la carpeta
pkcs11 al directorio /usr/lib/
Como es una operación que requiere permisos de root, lo haremos usando un terminal,
entrando en la carpeta pkcs11 y moviendo los archivos, tal y como mostramos en la imagen.
cd Descargas/Kit_Izenpe_Linux_3.0.3.5/64/pkcs11/
sudo mv * /usr/lib/
sudo chmod 777 /usr/lib/libbit4ipki.so*
Como último paso, descomprimimos el archivo pinmanager_64.zip, crearemos una carpeta de
nombre Izenpe en nuestra Carpeta personal, a donde moveremos el directorio pinmanager_64
11/

En Modo Comandos
Para instalarlo en modo comandos, abrimos un terminal y escribimos en él lo siguiente:
cd ~/Descargas
mkdir Kit_Izenpe_Linux_cryptoKEY_3.0.3.6
unzip -d Kit_Izenpe_Linux_cryptoKEY_3.0.3.6/ Kit_Izenpe_Linux_cryptoKEY_3.0.3.6.zip
cd Kit_Izenpe_Linux_cryptoKEY_3.0.3.6/
cd 64/
cd pkcs11/
sudo mv * /usr/lib/
sudo chmod 644 /usr/lib/libbit4ipki.so*
cd ..
mkdir pinmanager_64
unzip -d pinmanager_64 pinmanager_64.zip
mkdir ~/Izenpe
mv pinmanager_64/ ~/Izenpe/
sudo chmod 700 ~/Izenpe/pinmanager_64/* -R
exit
Hemos hecho los mismos pasos que en el modo gráfico pero en menos movimientos.
Los siguientes pasos que realizaremos con estos archivos los encontraremos en el apartado de
Configuración de las Aplicaciones → Navegadores Web → Firefox.
Pero antes, procedamos a instalar los certificados.
12/

Descarga e Instalación de los Certificados Izenpe
Izenpe ha dispuesto una jerarquía de autoridades de certificación y subordinadas para dar
respuesta a las diferentes necesidades que se presentan al acceder a los diferentes servicios
que se proporcionan a través de internet y certifica a sus usuarios con distintos perfiles según
el caso.
Para ver el gráfico mas grande: https://servicios.izenpe.com/images/CAS-IZENPE-2011.gif
13/

Forma 1 – Modo Automático
Izenpe ha desarrollado una serie de instaladores especiales para cada plataforma, cuyo
objetivo es conseguir que la descarga e instalación de los certificados no sea tan compleja
como solía ser por las características del software vigentes hasta la fecha.
En este caso el instalador que nos interesa es un paquete .deb, compatible para las
distribuciones que usan este tipo de paquetes, como son Ubuntu, Debian, Linux Mint ...
Para la descarga de los certificados, iremos a la web de izenpe y en el apartado Software
encontraremos el archivo para su descarga.
www.izenpe.com
Seleccionamos Certificado Izenpe para Ubuntu Debian y le damos a Guardar Archivo.
Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.
Una vez finalizada la descarga tendremos dos maneras de instalarlos: gráficamente o en modo
linea de comandos. Elije la que prefieras, el resultado final es el mismo.
14/

De Forma Gráfica
Tendremos en la carpeta Descargas el archivo → izenpe-certificates_1.0.1.0_all.deb
En el cual, hacemos clic derecho y elegimos Abrir con Centro de software de Ubuntu.
Se nos abre el Centro de software de Ubuntu en el cual le daremos al botón Instalar.
Nos pedirá la contraseña del usuario, la introducimos y le damos a Autenticar.
Mientras se instala, nos saldrá en la barra lateral, un nuevo icono al cual hemos de dar para
poder seleccionar los navegadores en los que queremos importar los certificados.
15/

Si no tenemos instalado Chrome, seleccionamos tanto Firefox como Thunderbird (de ser
nuestro gestor de correo predeterminado), y le damos al botón Adelante. (Ver Imagen):
Antes de finalizar, nos saldrá un mensaje confirmando la correcta instalación.
Si se desea se puede comprobar si la instalación ha sido exitosa consultando los certificados
instalados en tu navegador.
Ruta: Firefox → Editar → Preferencias → Avanzado → Cifrado → Certificados → Autoridades
16/

17/

En Modo Comandos
Para instalarlo en modo comandos, abrimos un terminal:
Y escribimos en él las siguientes sentencias en el hasta que finalice la instalación (ver imagen),
introduciendo la contraseña del sistema cuando nos la pida y afirmando la instalación:
cd ~/Descargas
sudo dpkg -i izenpe-certificates_1.0.1.0_all.deb
Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del usuario.
18/

Con la tecla “Tabulador” cambiamos de opciones y con la “Barra Espaciadora” seleccionamos
Firefox y Thunderbird (de ser nuestro gestor de correo predeterminado) y pulsamos Aceptar
para continuar con la instalación.
Nota: Si tenemos también instalado el navegador Chrome en nuestro equipo, y desea
configurarlo, puede seleccionarlo y se importaran los certificados en su base de datos.
Si nos sale este mensaje es que ha finalizado la instalación correctamente. Ya podemos pasar
al paso de configurar el módulo en Firefox.
19/

Forma 2 – Modo Manual
Si el paso anterior no esta disponible por algún motivo, siempre podemos realizar la descarga e
instalación de cada certificado a mano. Un proceso bastante costoso.
Estos certificados, están disponibles en la web: www.izenpe.com Descarga de certificados.
Enlace Directo a los certificados→ https://servicios.izenpe.com/jsp/descarga_ca/descarga.htm
20/

Para descargar los certificados hay que hacer “click” sobre las imágenes que tienen dibujada
una flecha blanca en un recuadro azul, y guardar el certificado para su posterior importación.
Según la estructura de autoridades certificadoras definidas por Izenpe, cada tarjeta únicamente
va a ser validada contra una autoridad raíz y una subordinada. Ello significa que no es
estrictamente necesario importar todos los certificados de todas las autoridades certificadoras,
ya que el aplicativo en cuestión no va a utilizarlas con nuestra tarjeta. Sin embargo, si no se
conoce adecuadamente el funcionamiento de la jerarquía de autoridades se recomienda
instalarlas todas.
Es fundamental importar los certificados raíz de las autoridades certificadoras en Firefox para
poder realizar los procesos de autenticación y firma en los sitios web. Si el navegador no
dispone de dichos certificados el servidor rechazará el acceso al mismo.
Para importarlos en el menú Editar → Preferencias hacemos “click” sobre Avanzado y a
continuación sobre la pestaña de Cifrado. Por último hacemos “click”, como se ve en la imagen,
sobre el botón Ver Certificados y sobre la pestaña Autoridades para importar los certificados de
las autoridades certificadoras raíz y sus subordinadas.
21/

Importamos todos los certificados de las autoridades certificadoras raíz y subordinadas de
Izenpe, uno a uno, haciendo “click” en el botón Importar y seleccionando uno a uno los
certificados:
22/

A la hora de importar los certificados raíz el navegador nos preguntará acerca de la confianza
que depositamos sobre el certificado. Existen 3 categorías de confianza:
● Confianza en verificaciones sobre sitios web
● Confianza en verificaciones sobre usuarios de correo
● Confianza en verificaciones sobre desarrolladores de software
Marcamos las 3 categorías.
23/

Este proceso hay que realizarlo para todos y cada uno de los certificados.
Podemos comprobar que aparecen los nuevos certificados:
24/

Descarga e Instalación de JAVA JRE de Oracle
Para que funcione correctamente el Applet que gestiona la conexión a las webs y la firma de
documentos online (Applet de Idazki), es necesario tener instalada en el equipo la última
versión de Java JRE de Oracle la cual no se encuentra en los repositorios de Ubuntu.
Si no lo esta, es posible que nos encontremos con algo como esto al entrar en las webs, y la
instalación automática suele fallar o está casi siempre desactivada:
Para comprobar si tenemos la ultima versión: http://www.java.com/es/download/installed.jsp
Si no fuera este el caso, descargaremos la última versión y procederemos a su instalación
siguiendo los siguientes pasos, dependiendo de la arquitectura de tu sistema operativo.
Pasos de instalación en sistemas de 64 bits.
· Descarga de Java JRE -> http://www.java.com/es/download/linux_manual.jsp?locale=es
· Nos bajamos la versión dependiendo de nuestra arquitectura, en este caso la de 64 bits.
· Cuando finalice la descarga, cerramos Firefox.
25/

· Abrimos un terminal en él iremos haciendo los diferentes pasos necesarios (letras en negrita).
· Creamos el directorio /usr/java si no esta creado, y moveremos allí el archivo descargado.
sudo mkdir /usr/java
sudo mv jre-7u13-linux-x64.tar.gz /usr/java/
cd /usr/java/
· Descomprimimos el archivo:
tar -xvf jre-7u13-linux-x64.tar.gz
· Después actualizamos las siguientes alternativas:
sudo update-alternatives --install /usr/bin/java java /usr/java/jre1.7.0_13/bin/java 1
sudo update-alternatives --install /usr/bin/javaws javaws /usr/java/jre1.7.0_13/bin/javaws 1
sudo update-alternatives --install /usr/bin/java_vm java_vm /usr/java/jre1.7.0_13/bin/java_vm 1
· Con este comando elegiremos nuestra ultima versión instalada (la 7_13):
update-alternatives --config java
· Ahora vamos con el plugin de Firefox. Para que java sea usado por el navegador son
necesarios los siguientes pasos:
sudo rm /etc/alternatives/mozilla-javaplugin.so
sudo rm /usr/lib/mozilla/plugins/mozilla-javaplugin.so
sudo ln -s /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so /etc/alternatives/mozilla-javaplugin.so
sudo ln -s /etc/alternatives/mozilla-javaplugin.so /usr/lib/mozilla/plugins/mozilla-javaplugin.so
sudo update-alternatives --install /usr/lib/mozilla/plugins/mozilla-javaplugin.so mozillajavaplugin.so
/usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que
se encuentre en la web de java.
26/

Pasos de instalación en sistemas de 32 bits.
· Descarga de Java JRE -> http://www.java.com/es/download/linux_manual.jsp?locale=es
· Nos bajamos la versión dependiendo de nuestra arquitectura, en este caso la de 32 bits.
· Cuando finalice la descarga, cerramos Firefox.
· Abrimos un terminal en él iremos haciendo los diferentes pasos necesarios (letras en negrita).
· Creamos el directorio /usr/java si no esta creado, y moveremos allí el archivo descargado.
sudo mkdir /usr/java
sudo mv jre-7u13-linux-i586.tar.gz /usr/java/
cd /usr/java/
· Descomprimimos el archivo:
tar -xvf jre-7u13-linux-i586.tar.gz
27/

· Después actualizamos las siguientes alternativas:
sudo update-alternatives --install /usr/bin/java java /usr/java/jre1.7.0_13/bin/java 1
sudo update-alternatives --install /usr/bin/javaws javaws /usr/java/jre1.7.0_13/bin/javaws 1
sudo update-alternatives --install /usr/bin/java_vm java_vm /usr/java/jre1.7.0_13/bin/java_vm 1
· Con este comando elegiremos nuestra ultima versión instalada (la 7_13):
update-alternatives --config java
· Ahora vamos con el plugin de Firefox. Para que java sea usado por el navegador son
necesarios los siguientes pasos:
sudo rm /etc/alternatives/mozilla-javaplugin.so
sudo rm /usr/lib/mozilla/plugins/mozilla-javaplugin.so
sudo ln -s /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so /etc/alternatives/mozilla-javaplugin.so
sudo ln -s /etc/alternatives/mozilla-javaplugin.so /usr/lib/mozilla/plugins/mozilla-javaplugin.so
sudo update-alternatives --install /usr/lib/mozilla/plugins/mozilla-javaplugin.so mozillajavaplugin.so
/usr/java/jre1.7.0_13/lib/i386/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que
se encuentre en la web de java.
28/

Configuración de las aplicaciones
Navegadores web
Firefox
Firefox es el navegador por excelencia en GNU/Linux.
Instalación de módulo para certificados
En el menú Editar → Preferencias hacemos “click” sobre Avanzado y a continuación sobre la
pestaña de Cifrado, como vemos en la imagen. Por último volvemos a hacer “click” sobre el
botón Dispositivos de seguridad.
El Administrador de dispositivos es una herramienta que permite gestionar los módulos de
seguridad de Firefox. Por defecto viene provisto de 2 módulos de seguridad, uno para la
gestión de los certificados raíz que vienen instalados por defecto y otro para todos aquellos
certificados no externos que vayamos añadiendo, junto con las librerías necesarias.
Para añadir el nuevo módulo de seguridad que necesitamos hacemos “click” sobre el botón
Cargar.
29/

Se nos abre una ventana que nos permite definir un nuevo módulo PKCS#11 en el que:
● Nombre del módulo:
un nombre genérico que haga referencia al módulo de seguridad
para el Middleware. Introducimos un nombre cualquiera. Por ejemplo: Izenpe
● Archivo del módulo:
le damos a Examinar y navegaremos hasta la ruta donde se
encuentra el archivo libbit4ipki.so
(/usr/lib/libbit4ipki.so)
Después, hacemos “click” en aceptar y veremos como se nos añade el nuevo módulo.
Nota: Si por un casual al añadir el módulo aparece vacío, puede ser que necesite reiniciar el
equipo. Asegúrate de que tanto el lector como la tarjeta están correctamente conectados al PC.
30/

Google Chrome / Chromium
Actualmente, el navegador Google Chrome o su rama en Linux de nombre Chromium,
incorpora el poder añadir módulos PKCS#11 para el funcionamiento con tarjetas criptográficas.
Instalación del módulo para los certificados
Los requisitos previos para poder añadir el módulo (explicados en apartados previos) son:
• Tener instalado el navegador en nuestro equipo.
• Haber ejecutado el instalador de certificados de Izenpe (seleccionando correctamente
el navegador Chrome),
• Tener instalado Java JRE de Oracle.
Si se cumple con todo lo anterior, continuaremos con los siguientes pasos para añadir el
módulo.
Pasos para Google Chrome / Chromium
Abrimos un terminal y escribimos la siguiente sentencia:
modutil -dbdir sql:.pki/nssdb/ -add "Izenpe" -libfile /usr/lib/libbit4ipki.so
Nota: Al añadir la sentencia de modutil, recibiremos un warning en el cual deberemos presionar
la tecla para continuar. Recibiremos el siguiente mensaje de confirmación:
Module "Izenpe" added to database.
31/

Comprobación del módulo y de los Certificados
Para comprobar que el módulo esta añadido y funcionando correctamente, con el lector y la
tarjeta conectadas al equipo, abrimos el navegador y vamos a la siguiente ruta:
Edición → Preferencias → Mostrar opciones avanzadas → HTTPS/SSL → Administrar
Certificados
Una vez abramos el administrador de certificados, nos pedirá el pin de la tarjeta. Después de
introducirlo, nos mostrará nuestro certificado.
Haciendo “clic” en la pestaña Entidades Emisoras debemos encontrar todos los certificados de
Izenpe, que previamente instalamos en los primeros pasos del manual.
32/

Pasos necesarios para que funcione Java en Google Chrome
Dependiendo de si nuestra maquina es de 32 o de 64 bits, tendremos que insertar unas
sentencias u otras, en un terminal.
El comando uname -m nos devuelve la arquitectura del sistema. i686 [32 bits], x86_64 [64 bits].
-64 bits-
sudo mkdir /opt/google/chrome/plugins/
sudo ln -s /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so /etc/alternatives/chrome-javaplugin.so
sudo ln -s /etc/alternatives/chrome-javaplugin.so /opt/google/chrome/plugins/chrome-javaplugin.so
sudo update-alternatives --install /opt/google/chrome/plugins/chrome-javaplugin.so chromejavaplugin.so
/usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so 1
33/

-32 bits-
sudo mkdir /opt/google/chrome/plugins/
sudo ln -s /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so /etc/alternatives/chrome-javaplugin.so
sudo ln -s /etc/alternatives/chrome-javaplugin.so /opt/google/chrome/plugins/chrome-javaplugin.so
sudo update-alternatives --install /opt/google/chrome/plugins/chrome-javaplugin.so chromejavaplugin.so
/usr/java/jre1.7.0_13/lib/i386/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que
se encuentre instalada en el equipo.
Pasos necesarios para que funcione Java en Chromium
Dependiendo de si nuestra maquina es de 32 o de 64 bits, tendremos que insertar unas
sentencias u otras, en un terminal.
El comando uname -m nos devuelve la arquitectura del sistema. i686 [32 bits], x86_64 [64 bits].
-64 bits-
sudo ln -s /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so /etc/alternatives/chromium-javaplugin.so
sudo ln -s /etc/alternatives/chromium-javaplugin.so /usr/lib/chromium-browser/plugins/chromiumjavaplugin.so
sudo update-alternatives --install /usr/lib/chromium-browser/plugins/chromium-javaplugin.so
chromium-javaplugin.so /usr/java/jre1.7.0_13/lib/amd64/libnpjp2.so 1
-32 bits-
sudo ln -s /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so /etc/alternatives/chromium-javaplugin.so
sudo ln -s /etc/alternatives/chromium-javaplugin.so /usr/lib/chromium-browser/plugins/chromiumjavaplugin.so
sudo update-alternatives --install /usr/lib/chromium-browser/plugins/chromium-javaplugin.so
chromium-javaplugin.so /usr/java/jre1.7.0_13/lib/i386/libnpjp2.so 1
Nota: Los directorios pueden no coincidir exactamente dependiendo de la versión de java que
se encuentre instalada en el equipo.
Opera
La versión actual de Opera únicamente dispone de soporte para certificados de tipo software
(PKCS#12), por lo que no es compatible con los certificados expedidos por Izenpe.
34/

Envío de correos firmados digitalmente
Para poder enviar correos firmados es necesario disponer de un certificado que tenga definido
como atributo su uso extendido de la clave, concretamente, la Protección de correo electrónico
(OID 1.3.6.1.5.5.7.3.4).
Solo algunas de las tarjetas de Izenpe cuentan con dicha extensión.
Thunderbird
El proceso de configuración de Thunderbird es muy similar al de Firefox.
Instalación de módulo para certificados
Para la instalación de los certificados y del módulo PKCS#11 la ruta es la siguiente:
Thunderbird → Editar → Preferencias → Avanzado → Certificados → Dispositivos de
Seguridad
Ver configuración de Firefox en el apartado correspondiente para mas detalles. Es el mismo
proceso de carga del modulo Izenpe con el archivo libbit4ipki.so.
35/

Configuración de los certificados previamente instalados
Para instalar los certificados de Izenpe, basta con ejecutar el instalador de Izenpe y seleccionar
Thunderbird en su menú de instalación.
Si has seguido los pasos anteriores del manual, es muy probable que ya los tengas instalados,
en cuyo caso, abriremos el Administrador de Certificados en Thunderbird y modificaremos su
confianza tal y como se muestra en la imagen:
Thunderbird → Editar → Configuración de las cuentas → Seguridad → Ver Certificados →
Autoridades → Seleccionar todos los certificados de Izenpe → Editar Confianza → Activar las
tres casillas.
Nota: Al entrar en la pestaña Ver Certificados, si tienes el módulo correctamente instalado y la
tarjeta en el lector, te pedirá el código pin.
Envío de un correo firmado digitalmente en Thunderbird
El siguiente proceso lo veremos en un apartado posterior de este manual.
36/

Evolution
Instalación de módulo para certificados
Caso 1 (Solo instalado y configurado Firefox en el equipo)
Efectuaremos los siguientes pasos si no tenemos instalado y configurado Google Chrome en el
equipo, teniendo como navegador por defecto Firefox (previamente configurado).
Evolution puede utilizar las librerías NSS (Network Security Services) de Mozilla, así que
enlazaremos el almacén de certificados de Mozilla con el Evolution.
La manera más elegante de realizarlo es a través de una serie de enlaces simbólicos y así
tener sincronizadas las configuraciones de los dispositivos de seguridad de Firefox y Evolution
(si los copiásemos cada vez que cambiásemos algo tendríamos que volver a copiarlo)
Para ello es necesario abrir una terminal y ejecutar lo siguiente:
$ rm $HOME/.pki/nssdb/*
$ ln -sf $HOME/.mozilla/firefox/*.default/*.db $HOME/.pki/nssdb/
Caso 2 (Instalado y configurado Google Chrome en el equipo)
Si tenemos instalado en el equipo el navegador Google Chrome (o Chromium en su defecto),
con los certificados de Izenpe y el módulo correctamente añadido, no tendremos que realizar
ningún proceso extra de instalación.
Configuración de los certificados previamente instalados
Si has realizado los pasos anteriores, ya tendrás instalados los certificados en Evolution, así
pues, solo tendremos que editar la confianza en cada uno de los certificados de Izenpe, tal y
como se muestra en la imagen.
Evolution → Editar → Preferencias → Certificados → Autoridades → Seleccionar todos los
certificados de Izenpe → Editar Confianza → Activar las tres casillas.
Este proceso tendremos que realizarlo con cada uno de los certificados dentro de Izenpe S.A.
Nota: Si tienes conectada la tarjeta, te pedirá el pin de la misma al acceder a los certificados.
37/

Envío de un correo firmado digitalmente en Evolution
El siguiente proceso lo veremos en un apartado posterior de este manual.
KMail
La versión actual de KMail únicamente dispone de soporte para certificados de tipo software
(PKCS#12), por lo que no es factible con los certificados expedidos por Izenpe.
Herramientas Ofimáticas
LibreOffice
LibreOffice no dispone de un gestor de propio de certificados. Aunque es capaz de utilizar el
repositorio de certificados de la suite de Mozilla.
Por ello es requerimiento indispensable para poder firmar documentación ofimática con
LibreOffice, tener previamente configurado el acceso a certificados digitales a través de
Firefox o Thunderbird.
38/

Ejemplo de uso de las aplicaciones
Identificación en sitios web
Firefox
Una vez configurada la ubicación de los certificados según se ha explicado en el apartado
correspondiente realizaremos una prueba de firma para comprobar que toda la instalación es
correcta y el proceso se realiza satisfactoriamente.
Abrimos Firefox → Complementos → Plugins , revisamos si esta cargado el plugin de java y
volvemos a comprobar la versión en la pagina web:
Verificar Versión de Java → http://www.java.com/es/download/installed.jsp
Cuando todo este correcto. Accedemos a la web de Izenpe (http://www.izenpe.com/), hacemos
“clic” sobre Gestiona tu certificado y a continuación en Prueba de Firma.
Permitiremos las Ventanas Emergentes
39/
La primera vez que accedamos es posible que nos
aparecerá una advertencia relacionada con permitir
o no permitir las ventanas emergentes.
En este caso, permitiremos la ventanas emergente.
Si nos da la opción de permitir siempre para este
sitio, la elegiremos.

Nos saldrá una advertencia de seguridad en la cual es muy importante ACTIVAR la casilla de
CONFIAR SIEMPRE y después darle a EJECUTAR.
Después se nos cargará una página en la que tendremos que poner unos datos para realizar la
prueba de firma. No tienen por que ser reales, tal y como se muestra en la imagen.
Le damos a firmar y nos pedirá el pin de nuestra tarjeta, lo introducimos y le damos a Aceptar.
40/

Elegiremos nuestro certificado con el que queremos firmar y le damos a aceptar.
Si nuestro certificado es válido para acceder a la aplicación y no está revocado la aplicación
nos permitirá el acceso con las mismas garantías que lo hacemos de forma presencial.
Se procesa la firma y cuando se complete nos aparecerá un mensaje confirmando que todo ha
ido correctamente.
Nota: Es importante que cuando acabemos de realizar las gestiones oportunas cerremos
la sesión del sitio web así como el navegador para evitar que otras personas puedan
acceder a Internet con nuestros credenciales.
41/

Cambio necesario en Firefox para que funcione el acceso en algunas
Webs
Con el salto de las versiones de Firefox y los cambios realizados en cada versión del
navegador, el acceso o la ejecución de ciertos servicios en algunas paginas webs se ha visto
“capado” produciendo algunas incompatibilidades.
Por ejemplo, para acceder a Bizkaia.net necesitamos modificar un valor en la configuración de
Firefox. Y lo hacemos de la siguiente manera:
Abrimos Firefox y escribimos en el campo de url: about:config
Aceptamos haciendo click en ¡Tendré cuidado, lo prometo! y escribimos en el buscador:
security.ssl
Hacemos doble click sobre la primera opción que nos encuentra, y veremos que, además de
resaltar en negrita, cambia su valor a TRUE.
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref
Cerramos la pestaña y ya podremos acceder correctamente con nuestra tarjeta en Bizkaia.net
42/

Google Chrome / Chromium
Una vez realizados todos los pasos para Google Chrome / Chromium según se ha explicados
en sus apartados correspondientes, realizaremos una prueba de firma para comprobar que
toda la instalación es correcta y el proceso se realiza satisfactoriamente.
Comprobar Plugin de Java
Para comprobar si esta correctamente cargado y funcionando Java, abrimos una nueva
pestaña en el navegador y escribimos como url: chrome://plugins
Podremos observar un listado de los plugins instalados, entre los que se ha de encontrar Java.
Una vez comprobado el Java, podemos realizar la prueba de firma en la web de Izenpe.
Prueba de Firma
El proceso es el mismo que el visto en el apartado anterior para el navegador Firefox.
El resultado final, de estar todo correcto, será el siguiente:
43/

Envío de correos firmados digitalmente
Una vez realizada la instalación de los certificados y del modulo de Izenpe, será necesario
asociar la cuenta de correo electrónico con el certificado de la tarjeta con la que vamos a firmar
el correo. Veamos como realizar dicha tarea en los distintos clientes de correo.
Thunderbird
Configuración cuenta de correo con certificado
En el menú Editar → Configuración de las cuentas hacemos “clic” sobre el apartado de
Seguridad en la cuenta correspondiente. A continuación seleccionamos el certificado para el
firmado digital. Nos llegará a pedir el pin de la tarjeta.
Opcionalmente, podemos seleccionar el certificado que se utilizaría si cifrásemos el mensaje.
44/

En conjunto, quedaría tal y como se muestra en la imagen:
Envío de correo firmado digitalmente
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada la
opción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente a
través de la pestaña Seguridad → Firmar digitalmente este mensaje.
Observaremos que aparecerá un check afirmativo de confirmación, como el siguiente:
45/

Verificación de firma digital en correo
Thunderbird nos muestra un icono de un sobre cerrado y sellado, que indica que el correo está
firmado digitalmente.
Si hacemos clic en el sobre, nos mostrara la información de la firma digital.
En caso que no sea válida nos avisará de ello. Bien porque el correo ha sido modificado o bien
porque no hemos importado los certificados raíz de las autoridades certificadoras y sus
subordinadas.
46/

Evolution
Configuración cuenta de correo con certificado
En el menú Editar → Preferencias hacemos “clic” sobre la opción Cuentas de correo,
seleccionamos la cuenta que queremos configurar y volvemos a hacer “clic” en Editar.
Nos llegará a pedir el pin de la tarjeta.
Accedemos a la sección Seguridad y seleccionamos el certificado que queremos utilizar para la
firma de correos haciendo “clic” en el botón Seleccionar del apartado MIME Seguro.
47/

Veremos como se carga el certificado:
Y por último le damos a Aplicar para que se guarden los cambios.
Envío de correo firmado digitalmente
Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada la
opción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente a
través del menú Opciones→ Firmar con S/MIME.
48/

Observaremos que aparecerá un check afirmativo de confirmación:
Verificación de firma digital en correo
Evolution nos muestra un icono que indica que el correo está firmado digitalmente.
Si hacemos clic sobre él, nos mostrara la información de la firma digital.
Para poder comprobar si la firma es válida es necesario haber importado los certificados
raíz de las autoridades certificadoras y subordinadas.
49/

Firma de documentos ofimáticos
LibreOffice
Una vez configurada la ubicación de los certificados según se ha explicado en el apartado
correspondiente, realizaremos un proceso de firma de un documento ofimático.
LibreOffice permite firmar los siguientes tipos de documentos:
● Documentos de texto
● Hojas de cálculo
● Presentaciones
● Dibujos
Para proceder con la firma del documento, en el menú Archivo seleccionamos la opción Firmas
digitales.
Nota: La firma del documento es necesario realizarla sobre un documento guardado, que no se
va a modificar. En el momento en que se firma el documento si se modifica se pierde la firma y
es necesario volver a firmarlo.
Una vez guardado nos muestra el gestor de firmas digitales de LibreOffice
50/

Hacemos “clic” sobre Firmar documento... y nos muestra los certificados que tenemos
configurados desde la base de datos de certificados, así como el propio de la tarjeta si la
tenemos conectada y el modulo correctamente configurado (en Firefox).
51/

Una vez Aceptado el certificado se mostrará en el gestor de firmas.
Podemos distinguir que esta firmado por la modificación del titulo con la etiqueta de (firmado), y
por el siguiente icono en la parte inferior de LibreOffice:
52/

Otras aplicaciones adicionales
Gestor de la Tarjeta de Izenpe
Junto con el Middleware descargado, viene una aplicación con la cual podremos cambiar el
PIN, desbloquearla introduciendo el PUK (por si hemos introducido tres veces el PIN mal y se
ha bloqueado), y alguna que otra opción.
Para que la aplicación funcione, es necesario tener instaladas una serie de librerías en nuestro
equipo. Para ello, abriremos un terminal he instalaremos los paquetes libglade2-0 y también
libssl0.9.8.
sudo apt-get install libglade2-0 libssl0.9.8
Una vez instaladas dichas librerías, si has seguido correctamente el manual la tendrás en la
carpeta Izenpe dentro de tu carpeta personal, y dentro de ella la aplicación pinmanager_64:
En este directorio se necesitan permisos de ejecución para poder usar la aplicación, así pues
procederemos a establecer dichos permisos vía terminal o manualmente, como se prefiera.
Desde un terminal, para poder lanzar la aplicación, bastaría con escribir:
sudo chmod 775 ~/Izenpe/* -R
cd ~/Izenpe/pinmanager_*/
./gtkbit4pin
53/

O si preferimos hacerlo de forma manual, entraríamos en el directorio, hacemos click derecho
sobre gtkbit4pin y le damos a Propiedades.
Seleccionamos la pestaña de permisos y activamos la casilla de Ejecución, tal y como
podemos ver en la siguiente imagen.
Ahora ya podremos ejecutarla haciendo doble click sobre gtkbit4pin
54/

Cambio de PIN usando Firefox
En el menú Editar → Preferencias pinchamos sobre Avanzado y a continuación sobre la
pestaña de Cifrado, como vemos en la imagen. Por último pinchamos sobre el botón
Dispositivos de seguridad y seguido a Cambiar contraseña
Nos aparecerá una ventana que nos permite cambiar el PIN, previa introducción del PIN actual.
Nota: Recomendamos el uso de la propia aplicación de Izenpe, no obstante, se explica el
cambio con Firefox por ser la manera que ha predominado hasta la actualidad.
55/

Incompatibilidades conocidas (Importante)
DNIe
A diferencia de Izenpe que tiene sus propio Middleware para el uso de sus tarjetas, la
instalación del DNIe en Linux y Mac, usa las librerías OpenSC para hacer funcionar la lectura
del mismo, lo que provoca incompatibilidades en la funcionalidad de ambos dispositivos a la
vez.
Si antes de realizar la de Izenpe, se dispone ya de la instalación del DNIe, merece la pena
probar si también es capaz de leer la tarjeta de Izenpe, en caso afirmativo, solo realizaremos la
instalación de los certificados de Izenpe y no la del Middleware.
Si aun así, se pretende usar, tanto el DNIe como las tarjetas Izenpe en el mismo equipo, hay
una posibilidad, aunque no vamos a entrar mucho en detalle. Los pasos serian:
1. Realizar la instalación del DNIe, siguiendo las guías de www.dnielectronico.es o
usando el instalador de Zonatic
2. Asegurarte de que el DNIe funciona correctamente en Firefox y puedes realizar
gestiones.
3. Crear un nuevo perfil en Firefox, de nombre Izenpe, ejecutando en un terminal el
siguiente comando y siguiendo su asistente: firefox -P
4. Lanzar Firefox desde el terminal con: firefox -P Izenpe y realizar la instalación del
módulo, de los certificados y demás apartados explicados este manual.
5. Crear dos lanzadores (accesos directos) para Firefox y editar su comando de
ejecución, para que uno abra el perfil default donde estará instalado el DNIe y el otro
ejecute el perfil Izenpe donde previamente hemos realizado la instalación.
Nota Importante: Izenpe no se hace responsable del soporte o problemas
relacionados con el DNIe.
Mostramos esta solución como ayuda orientativa a posibles usuarios que se
aventuren a realizar ambas instalaciones y/o configuraciones en el mismo
sistema.
56/

Tarjetas Antiguas de Izenpe
Con el cambio de fabricante en las tarjetas de Izenpe, se producen dos casos a destacar:
· Las tarjetas antiguas (anteriores al 2012), funcionan con el nuevo Middleware y la nueva
instalación.
· Las tarjetas nuevas, no funcionan en instalaciones antiguas (realizadas con las librerías
OpenSC). Necesitan el nuevo Middleware para que funcionen correctamente.
Acerca de
Este documento ha sido elaborado por la empresa Irontec Internet y Sistemas sobre
GNU/Linux.
Para la elaboración del presente documento se ha desarrollado una cuidadosa metodología de
análisis y puesta en funcionamiento, garantizado la adecuación del documento a las
necesidades de los usuarios.
Si el lector considera que hay algún aspecto erróneo o encuentra alguna errata, puede
trasladarla mediante email a cau-izenpe@izenpe.net e intentaremos incluirla en próximas
revisiones del documento.
57/