Manual de Instalación

Certificado Digital Izenpe

GNU/Linux

Ubuntu 14.04 – Trusty Tahr

Izenpe s.a. 2015Esta obra está bajo la licencia Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 de Creative Commons. Puedecopiarla, distribuirla y comunicarla públicamente siempre que especifique su autor y no se utilice para fines comerciales.

La licencia completa puede consultarla en http://creativecommons.org/licenses/by-nc-sa/3.0/deed.es. Izenpe, s.a. no podrá serconsiderada responsable de eventuales errores u omisiones en la edición del documento.

2/

Índice de contenido1.Introducción...........................................................................................................42.Estructura y Alcance del Documento.....................................................................43.Hardware y Aplicaciones Soportadas.....................................................................5

3.1.Algunos De Los Lectores Soportados..............................................................53.2.Tarjetas Inteligentes Soportadas De Forma Nativa........................................53.3.Tarjetas Inteligentes Soportadas Mediante El Uso De Librerías PKCS#11Externas:...............................................................................................................63.4.Aplicaciones Soportadas.................................................................................6

4.Requisitos Software para la Instalación.................................................................74.1.Configuración de los lectores..........................................................................74.2.Descarga e Instalación del Middleware de Izenpe..........................................84.3.Descarga e Instalación de JAVA JRE.............................................................14

5.Descarga e Instalación de los Certificados Izenpe...............................................155.1.Forma 1 – Modo Automático.........................................................................165.2.Forma 2 – Modo Manual...............................................................................22

6.Configuración de las aplicaciones........................................................................246.1.Navegadores web..........................................................................................24

6.1.1.Firefox...................................................................................................24Instalación de módulo para certificados....................................................24

6.2.Envío de correos firmados digitalmente.......................................................266.2.1.Thunderbird...........................................................................................26

Instalación de módulo para certificados....................................................26Configuración de los certificados previamente instalados.........................27Envío de un correo firmado digitalmente en Thunderbird.........................27

6.2.2.Evolution................................................................................................28Instalación de módulo para certificados....................................................28Configuración de los certificados previamente instalados.........................28Envío de un correo firmado digitalmente en Evolution..............................29

6.3.Herramientas Ofimáticas..............................................................................306.3.1.LibreOffice.............................................................................................30

7.Ejemplo de uso de las aplicaciones......................................................................317.1.Identificación en sitios web...........................................................................31

7.1.1.Firefox...................................................................................................31Cambio necesario en Firefox para que funcione el acceso en algunas Webs...................................................................................................................36

7.2.Envío de correos firmados digitalmente.......................................................367.2.1.Thunderbird...........................................................................................36

Configuración cuenta de correo con certificado........................................36Envío de correo firmado digitalmente........................................................37Verificación de firma digital en correo.......................................................38

7.2.2.Evolution................................................................................................40Configuración cuenta de correo con certificado........................................40Envío de correo firmado digitalmente........................................................42Verificación de firma digital en correo.......................................................42

7.3.Firma de documentos ofimáticos..................................................................437.3.1.LibreOffice.............................................................................................43

8.Otras aplicaciones adicionales.............................................................................46

3/

8.1.Gestor de la Tarjeta de Izenpe......................................................................468.2.Cambio de PIN usando Firefox.....................................................................48

9.Incompatibilidades conocidas (Importante).........................................................499.1.DNIe..............................................................................................................499.2.Tarjetas Antiguas de Izenpe..........................................................................50

10.Anexo para Sistemas Móviles.............................................................................5110.1.Android OS..................................................................................................51

11.Acerca de............................................................................................................52

4/

1. IntroducciónIzenpe, en un esfuerzo por apoyar y facilitar el uso de sus certificados a los usuarios desoftware libre y open source en la Comunidad Autónoma Vasca ha desarrollado diversas guíascon el objetivo de detallar los pasos necesarios para instalar y configurar los certificadosdigitales de Izenpe sobre el sistema operativo GNU/Linux.

En este caso se describirá el proceso a seguir en la distribución Ubuntu 14.04 para lograrutilizar los certificados digitales de Izenpe con las aplicaciones más importantes que danacceso a los servicios ofrecidos por la administración pública vasca.

2. Estructura y Alcance del DocumentoEl documento se estructura en 5 secciones secuenciales que detallan minuciosamente elproceso completo de instalación, configuración y uso de los certificados digitales de Izenpe enGNU/Linux:

● Requisitos de Hardware (Lectores) y Software (Aplicaciones externas).● Descarga e Instalación del Middleware de Izenpe.● Descarga e Instalación de los certificados para Izenpe.● Configuración y ejemplos de uso para las distintas aplicaciones soportadas.● Errores conocidos, consejos y soluciones.

Cada una de estas secciones explica las tareas necesarias para llevar a cabo el procesocompleto.

Este documento pretende servir de manual de instalación para todas aquellas distribucionesLinux similares que usan paquetes .deb, como:

– Debian 6 y 7.– Linux Mint 13 en adelante.– Ubuntu desde la versión 10.04 LTS hasta la versión mas actual 14.10.

Nota: Según la versión de sistema operativo que utilicemos puede haber ligeras variaciones.

5/

3. Hardware y Aplicaciones Soportadas

3.1. Algunos De Los Lectores SoportadosEn este documento no es posible dar cabida a todos los dispositivos hardware existentes en elmercado. Por ello desde Izenpe se ha decido dar soporte de manera oficial a los siguienteslectores USB de tarjetas criptográficas:

● PC Twin (Gemalto)● PCT-combi (Giesecke & Devrient)● Minilector EVO (Bit4id)

Todos ellos pueden ser adquiridos o a través de la tienda web de Izenpe(http://www.izenpedenda.com/) o en cualquier otro proveedor autorizado. Además otros lectorespodrán funcionar siempre según la disponibilidad de drivers.

Nota Importante: El lector de tarjetas ha de ser compatible PC/SC.

3.2. Tarjetas Inteligentes Soportadas De Forma NativaEl Universal Middleware de Izenpe para Linux (en adelante UM) consiste en un módulo delibrería que expone una API compatible con la especificación PKCS#11 v2.11.

Dicho módulo ofrece al software que utilizan las diversas interfaces de programación laposibilidad de utilizar las tarjetas inteligentes soportadas como tokens criptográficos.

La siguiente lista consta de las tarjetas que son compatibles con el módulo de Izenpe.

Gemalto Classic TPC:

o FileSystem full compliant PKCS#11 con objetos de 2048 bit o FileSystem de Firma electrónica con validez legal con objetos de 2048 bit

Giesecke&Devrient (StarCOS 2.3) o FileSystem full compliant PKCS#11 con objetos de 1024 bit

Incard Incrypto34 V2 con filesystem: CNS + Firma electrónica + FullP11:o FileSystem CNS conforme a las especificaciones CNS del CNIPA (v.1.1.3) (FS CNS)o FileSystem de Firma electrónica con validez legal (FS DS-v1.0)o FileSystem full compliant PKCS#11 (FS FullP11)

Incard Touch&Sign2048:o Todos los filesystem soportados en la tarjeta Incrypto34v2 más:

FileSystem full compliant PKCS#11 (FS FullP11), con objetos de 2048 bit FileSystem de Firma electrónica reconocida (FS DS-v2.0), con tres pares de

claves de 2048bit o con tres pares de claves de 1024bit más tres pares declaves de 2048bit.

6/

3.3. Tarjetas Inteligentes Soportadas Mediante El UsoDe Librerías PKCS#11 Externas:

Incard CryptoSmartCard16(SetecOS)

Incard CryptoSmartCardE4H(Starcos)

Incard M4.01a FS1111 (SiemensCardOS/M4)

Gemplus (GemGATE 32K) Gemplus (GemGATE CardOS M4) Siemens (Siemens CardOS M4.01) Siemens (Siemens CardOS M4)

Siemens (Siemens CIE) Siemens (Siemens SISS – HPC) Siemens (Siemens CardOS

M4.01a) Athena (ASECard Crypto) Ghirlanda (M4cvToken) Gemplus (SIM TIM) Oberthur (Cosmo 64 RSA dual

interface) Oberthur (Oberthur Cosmo64).

3.4. Aplicaciones SoportadasPara acceder a los servicios ofrecidos por Izenpe es necesario disponer de herramientas yaplicaciones que hagan uso de los certificados de Izenpe.

Las aplicaciones más comunes que hacen uso de estos certificados se han agrupado en trescategorías y se ha intentado documentar el proceso de instalación y configuración de lasmismas con los certificados de Izenpe.

Este manual esta hecho expresamente para las siguientes versiones no seresponsabiliza de que en otras versiones no funcione.

Las aplicaciones que se explicarán en este documento son:

● Navegadores Web○ Firefox 33.0

● Clientes de correo:○ Thunderbird 31.2.0○ Evolution 3.12.7

● Herramientas Ofimáticas○ LibreOffice 4.3.3.2

● Version de JAVA OpenJDK y icedtea○ OpenJDK 7○ Icedtea 1.5

7/

4. Requisitos Software para la Instalación

4.1. Configuración de los lectoresPara instalar y configurar nuestro lector, primeramente tendremos que asegurarnos si escompatible o no con nuestro sistema (Linux). Si ha sido comprado en Izenpedenda o ha sidosuministrado por Izenpe, 100% que será compatible, sino, dependiendo del distribuidor y deltipo de lector podrá valer o no.

Hay algunos lectores que vienen con su propio software de instalación y otros que soncompatibles y funcionan con el software que se puede instalar nativamente en todos losequipos Linux.

Para estos últimos (los mas comunes) tendremos que realizar los siguientes pasos deinstalación (se puede hacer de forma gráfica o por linea de comandos, como se prefiera).

De Forma GráficaAbrimos el Centro de Software de Ubuntu, y ponemos en su buscador: pcscd

Le damos a instalar. Nos pedirá la contraseña del usuario y continua con la instalación.

8/

Al terminar la instalación, reiniciamos el PC.

En Modo ComandosPara instalarlo en modo comandos, abrimos un terminal:

Y escribimos en él lo siguiente:

sudo apt-get install pcscd

Una vez acabada la instalación, reiniciamos el equipo con el comando:

sudo reboot

Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del sistema.

4.2. Descarga e Instalación del Middleware de Izenpe

9/

Para la descarga del Middleware, iremos a la web de izenpe y en el apartado Softwareencontraremos para descargar el archivo que nos interesa.

www.izenpe.com

Seleccionamos Middleware Izenpe para Linux y le damos a Guardar Archivo.

Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.

Una vez finalizada la descarga tendremos dos maneras de instalarlo: gráficamente o todo enmodo linea de comandos. Elije la que prefieras, el resultado final es el mismo.

10/

De Forma GráficaTendremos en la carpeta Descargas el archivo → Kit_Izenpe_Linux_4.0.1.0.zip

Hacemos clic con el botón derecho sobre él y le damos a Extraer aquí.

Del contenido de la carpeta resultante, nos quedaremos con el directorio que se correspondacon la arquitectura de nuestro sistema operativo (32 o 64 bits). Si la desconocemos, la maneramas fácil de averiguarla es la siguiente:

- Abrimos un terminal y escribimos en el: uname -m

Si el resultado es i686 se refiere a 32 bits. En cambio, si nos muestra x86_64 la arquitecturaes de 64 bits. En el caso de este manual se trata de 64 bits.

11/

Dentro de la carpeta con nuestra arquitectura, tendremos lo siguiente:

· El directorio pkcs11, que contiene los archivos libbit4ipki.so, libbit4ipki.so.confy libbit4ipki.so.interop.plugin

- El archivo ejecutable p11test, el cual podemos eliminar.

· Y el archivo pinmanager_64.zip, que contiene la aplicación para gestionar el cambio de pin dela tarjeta, desbloquearla y alguna opción mas, las cuales se explican en un apartado próximo alfinal de este documento.

Teniendo claro lo anterior, nuestro siguiente paso será copiar el contenido de la carpeta pkcs11al directorio /usr/lib/

Como es una operación que requiere permisos de root, lo haremos usando un terminal,entrando en la carpeta pkcs11 y moviendo los archivos, tal y indicamos:.

cd Descargas/Kit_Izenpe_Linux_4.0.1.0/64/pkcs11/sudo mv * /usr/lib/sudo chmod 777 /usr/lib/libbit4ipki.so*

Como último paso, descomprimimos el archivo pinmanager_64.zip, crearemos una carpeta denombre Izenpe en nuestra Carpeta personal, a donde moveremos el directorio pinmanager_64

12/

13/

En Modo ComandosPara instalarlo en modo comandos, abrimos un terminal y escribimos en él lo siguiente:

cd ~/Descargasmkdir Kit_Izenpeunzip -d Kit_Izenpe/ Kit_Izenpe_Linux_4.0.1.0.zipcd Kit_Izenpe/cd 64/cd pkcs11/sudo mv * /usr/lib/sudo chmod 644 /usr/lib/libbit4ipki.so*cd ..mkdir pinmanager_64unzip -d pinmanager_64 pinmanager_64.zipmkdir ~/Izenpemv pinmanager_64/ ~/Izenpe/sudo chmod 700 ~/Izenpe/pinmanager_64/* -R

Hemos hecho los mismos pasos que en el modo gráfico pero en menos movimientos.

Los siguientes pasos que realizaremos con estos archivos los encontraremos en el apartado deConfiguración de las Aplicaciones → Navegadores Web → Firefox.Pero antes, procedamos a instalar los certificados.

14/

4.3. Descarga e Instalación de JAVA JRE Para que funcione correctamente el Applet que gestiona la conexión a las webs y la firma dedocumentos online (Applet de Idazki), es necesario tener instalada en el equipo la últimaversión de OpenJDK y Icedtea-plugin que son las versiones comunitarias de JAVA. Ya que conJAVA de oracle no funciona correctamente.

De Forma Gráfica

Ir al centro de aplicaciones de ubuntu y buscar openJDK

Y seleccionar Instalar.

Luego instalar IcedTea plugin para eso buscar en el centro de aplicaciones de ubuntu icedtea

Y seleccionar Instalar.

En Modo ComandosPara instalarlo en modo comandos, abrimos un terminal y escribimos en él lo siguiente:

Instalar openjdk-7-jre sudo apt-get install openjdk-7-jre

Instalar Iced tea sudo apt-get install icedtea-plugin

15/

5. Descarga e Instalación de los CertificadosIzenpe Izenpe ha dispuesto una jerarquía de autoridades de certificación y subordinadas para darrespuesta a las diferentes necesidades que se presentan al acceder a los diferentes serviciosque se proporcionan a través de internet y certifica a sus usuarios con distintos perfiles segúnel caso.

Para ver el gráfico mas grande: https://servicios.izenpe.com/images/CAS-IZENPE-2011.gif

16/

5.1. Forma 1 – Modo Automático

Izenpe ha desarrollado una serie de instaladores especiales para cada plataforma, cuyoobjetivo es conseguir que la descarga e instalación de los certificados no sea tan complejacomo solía ser por las características del software vigentes hasta la fecha.

En este caso el instalador que nos interesa es un paquete .deb, compatible para lasdistribuciones que usan este tipo de paquetes, como son Ubuntu, Debian, Linux Mint ...

Para la descarga de los certificados, iremos a la web de izenpe y en el apartado Softwareencontraremos el archivo para su descarga.

www.izenpe.com

Seleccionamos Certificado Izenpe para Ubuntu Debian y le damos a Guardar Archivo.

Nota: Por defecto se guardará en la carpeta descargas dentro de tu directorio personal.Una vez finalizada la descarga tendremos dos maneras de instalarlos: gráficamente o en modolinea de comandos. Elije la que prefieras, el resultado final es el mismo.Nota: La versión de los certificados tiene que ser la 1.2.0.0 ya que trae mejoras de seguridadcon los certificados SHA2. De tener la versión 1.1.0.0 habría que actualizarla.Nota: Hay que tener instalado el siguiente paquete: libgtk2-perl

$ sudo apt-get install libgtk2-perl

17/

De Forma GráficaTendremos en la carpeta Descargas el archivo → izenpe-certificates_1.2.0.0_all.deb

En el cual, hacemos clic derecho y elegimos Abrir con Centro de software de Ubuntu.

Se nos abre el Centro de software de Ubuntu en el cual le daremos al botón Instalar.

Nos pedirá la contraseña del usuario, la introducimos y le damos a Autenticar.

18/

Mientras se instala, nos saldrá en la barra lateral, un nuevo icono al cual hemos de dar parapoder seleccionar los navegadores en los que queremos importar los certificados.

Seleccionamos tanto Firefox como Thunderbird(de ser nuestro gestor de correopredeterminado) como Java, y le damos al botón Adelante. (Ver Imagen):

Antes de finalizar, nos saldrá un mensaje confirmando la correcta instalación.

19/

Si se desea se puede comprobar si la instalación ha sido exitosa consultando los certificadosinstalados en tu navegador.

Ruta: Firefox → Preferencias → Avanzado → Certificados → Ver Certificados → Autoridades

20/

En Modo ComandosPara instalarlo en modo comandos, abrimos un terminal:

Y escribimos en él las siguientes sentencias en el hasta que finalice la instalación (ver imagen),introduciendo la contraseña del sistema cuando nos la pida y afirmando la instalación:

cd ~/Descargas

sudo apt-get install libnss3-tools

sudo dpkg -i izenpe-certificates_1.2.0.0_all.deb

Nota: Al usar sudo (permisos de súper-usuario) nos pedirá la contraseña del usuario.

21/

Con la tecla “Tabulador” cambiamos de opciones y con la “Barra Espaciadora” seleccionamosFirefox y Thunderbird (de ser nuestro gestor de correo predeterminado) y pulsamos Aceptarpara continuar con la instalación.

Nota: Si tenemos también instalado el navegador Chrome en nuestro equipo, y deseaconfigurarlo, puede seleccionarlo y se importaran los certificados en su base de datos.

Si nos sale este mensaje es que ha finalizado la instalación correctamente. Ya podemos pasaral paso de configurar el módulo en Firefox.

22/

5.2. Forma 2 – Modo ManualSi el paso anterior no esta disponible por algún motivo, siempre podemos realizar la descarga einstalación de cada certificado a mano. Un proceso bastante costoso.

Estos certificados, están disponibles en la web: www.izenpe.com Descarga de certificados.

Enlace Directo a los certificados→ https://servicios.izenpe.com/jsp/descarga_ca/descarga.htm

23/

Para descargar los certificados hay que hacer “click” sobre las imágenes que tienen dibujadauna flecha blanca en un recuadro azul, y marcar las 3 casillas.

Según la estructura de autoridades certificadoras definidas por Izenpe, cada tarjeta únicamenteva a ser validada contra una autoridad raíz y una subordinada. Ello significa que no esestrictamente necesario importar todos los certificados de todas las autoridades certificadoras,ya que el aplicativo en cuestión no va a utilizarlas con nuestra tarjeta. Sin embargo, si no seconoce adecuadamente el funcionamiento de la jerarquía de autoridades se recomiendainstalar todas las de la columna SHA2

Es fundamental importar los certificados raíz de las autoridades certificadoras en Firefox parapoder realizar los procesos de autenticación y firma en los sitios web. Si el navegador nodispone de dichos certificados el servidor rechazará el acceso al mismo.

24/

6. Configuración de las aplicaciones

6.1. Navegadores web

6.1.1. FirefoxFirefox es el navegador por excelencia en GNU/Linux.

Instalación de módulo para certificados

En el menú Editar → Preferencias hacemos “click” sobre Avanzado y a continuación sobre lapestaña de Cifrado, como vemos en la imagen. Por último volvemos a hacer “click” sobre elbotón Dispositivos de seguridad.

El Administrador de dispositivos es una herramienta que permite gestionar los módulos deseguridad de Firefox. Por defecto viene provisto de 2 módulos de seguridad, uno para lagestión de los certificados raíz que vienen instalados por defecto y otro para todos aquelloscertificados no externos que vayamos añadiendo, junto con las librerías necesarias.

25/

Para añadir el nuevo módulo de seguridad que necesitamos hacemos “click” sobre el botónCargar.

Se nos abre una ventana que nos permite definir un nuevo módulo PKCS#11 en el que:

● Nombre del módulo: un nombre genérico que haga referencia al módulo de seguridadpara el Middleware. Introducimos un nombre cualquiera. Por ejemplo: Izenpe

● Archivo del módulo: le damos a Examinar y navegaremos hasta la ruta donde seencuentra el archivo libbit4ipki.so(/usr/lib/libbit4ipki.so)

Después, hacemos “click” en aceptar y veremos como se nos añade el nuevo módulo.

Nota: Si por un casual al añadir el módulo aparece vacío, puede ser que necesite reiniciar elequipo. Asegúrate de que tanto el lector como la tarjeta están correctamente conectados al PC.

26/

6.2. Envío de correos firmados digitalmentePara poder enviar correos firmados es necesario disponer de un certificado que tenga definidocomo atributo su uso extendido de la clave, concretamente, la Protección de correo electrónico(OID 1.3.6.1.5.5.7.3.4).

Solo algunas de las tarjetas de Izenpe cuentan con dicha extensión.

6.2.1. ThunderbirdEl proceso de configuración de Thunderbird es muy similar al de Firefox.

Instalación de módulo para certificados

Para la instalación de los certificados y del módulo PKCS#11 la ruta es la siguiente:

Thunderbird → Editar → Preferencias → Avanzado → Certificados → Dispositivos deSeguridad

Ver configuración de Firefox en el apartado correspondiente para mas detalles. Es el mismoproceso de carga del modulo Izenpe con el archivo libbit4ipki.so.

27/

Configuración de los certificados previamente instalados

Para instalar los certificados de Izenpe, basta con ejecutar el instalador de Izenpe y seleccionarThunderbird en su menú de instalación.

Si has seguido los pasos anteriores del manual, es muy probable que ya los tengas instalados,en cuyo caso, abriremos el Administrador de Certificados en Thunderbird y modificaremos suconfianza tal y como se muestra en la imagen:

Thunderbird → Editar → Configuración de las cuentas → Seguridad → Ver Certificados →Autoridades → Seleccionar todos los certificados de Izenpe → Editar Confianza → Activar lastres casillas.

Nota: Al entrar en la pestaña Ver Certificados, si tienes el módulo correctamente instalado y latarjeta en el lector, te pedirá el código pin.

Envío de un correo firmado digitalmente en Thunderbird

El siguiente proceso lo veremos en un apartado posterior de este manual.

28/

6.2.2. Evolution

Instalación de módulo para certificados

Efectuaremos los siguientes pasos si no tenemos instalado y configurado Google Chrome en elequipo, teniendo como navegador por defecto Firefox (previamente configurado).

Evolution puede utilizar las librerías NSS (Network Security Services) de Mozilla, así queenlazaremos el almacén de certificados de Mozilla con el Evolution.

La manera más elegante de realizarlo es a través de una serie de enlaces simbólicos y asítener sincronizadas las configuraciones de los dispositivos de seguridad de Firefox y Evolution(si los copiásemos cada vez que cambiásemos algo tendríamos que volver a copiarlo)

Para ello es necesario abrir una terminal y ejecutar lo siguiente:

sudo rm /etc/pki/nssdb/*sudo ln -sf $HOME/.mozilla/firefox/*.default/*.db /etc/pki/nssdb/sudo modutil -dbdir sql:/etc/pki/nssdb/ -add "Izenpe" -libfile /usr/lib/libbit4ipki.so

Configuración de los certificados previamente instalados

Para tener los certificados en Evolution hay que descargarselos manualmente uno a uno desdela página ofcial y luego importarlos.

Primero hay que ir a la página:

http://www.izenpe.com/s15-12020/es/contenidos/informacion/cas_izenpe/es_cas/cas_izenpe.html

29/

Una vez descargados todos los certificados hay que ir al Evolution → Editar → Preferencias →Certificados → Importar. Seleccionar el Certificado cargarlo y marcar las 3 casillas.

Una vez añadidas todos los certificados y marcadas las 3 casillas tiene que quedar así.

Envío de un correo firmado digitalmente en Evolution

El siguiente proceso lo veremos en un apartado posterior de este manual.

30/

6.3. Herramientas Ofimáticas

6.3.1. LibreOffice

LibreOffice no dispone de un gestor de propio de certificados. Aunque es capaz de utilizar elrepositorio de certificados de la suite de Mozilla.

Por ello es requerimiento indispensable para poder firmar documentación ofimática conLibreOffice, tener previamente configurado el acceso a certificados digitales a través deFirefox o Thunderbird.

Para firmar un documento con LibreOffice iremos a:

Archivo → Firmas Digitales (Nos pedirá guardar el documento) → Firmar Documento...

Y seleccionamos nuestro certificado.

31/

7. Ejemplo de uso de las aplicaciones

7.1. Identificación en sitios web

7.1.1. FirefoxUna vez configurada la ubicación de los certificados según se ha explicado en el apartadocorrespondiente realizaremos una prueba de firma para comprobar que toda la instalación escorrecta y el proceso se realiza satisfactoriamente.

Abrimos Firefox → Complementos → Plugins , revisamos si esta cargado el plugin de IcedTea yvolvemos a comprobar la versión en la pagina web:

VCuando todo este correcto. Accedemos a la web de Izenpe (http://www.izenpe.com/),hacemos “clic” sobre Gestiona tu certificado y a continuación en Prueba de Firma.

Permitiremos las Ventanas Emergentes

La primera vez que accedamos es posible que nosaparecerá una advertencia relacionada con permitiro no permitir las ventanas emergentes.

En este caso, permitiremos la ventanas emergente.

Si nos da la opción de permitir siempre para estesitio, la elegiremos.

Nos saldrá una advertencia de seguridad en la cuales muy importante ACTIVAR la casilla de

CONFIAR SIEMPRE y después darle a EJECUTAR.

32/

33/

Después se nos cargará una página en la que tendremos que poner unos datos para realizar laprueba de firma. No tienen por que ser reales, tal y como se muestra en la imagen.

34/

Le damos a firmar y nos pedirá el pin de nuestra tarjeta, lo introducimos y le damos a Aceptar.

Elegiremos nuestro certificado con el que queremos firmar y le damos a aceptar.

Si nuestro certificado es válido para acceder a la aplicación y no está revocado la aplicaciónnos permitirá el acceso con las mismas garantías que lo hacemos de forma presencial.

Se procesa la firma y cuando se complete nos aparecerá un mensaje confirmando que todo haido correctamente.

35/

Nota: Es importante que cuando acabemos de realizar las gestiones oportunas cerremos lasesión del sitio web así como el navegador para evitar que otras personas puedan acceder aInternet con nuestros credenciales.

36/

Cambio necesario en Firefox para que funcione el acceso en algunasWebs

Con el salto de las versiones de Firefox y los cambios realizados en cada versión delnavegador, el acceso o la ejecución de ciertos servicios en algunas paginas webs se ha visto“capado” produciendo algunas incompatibilidades.

Por ejemplo, para acceder a ciertas páginas necesitamos modificar un valor en la configuraciónde Firefox. Y lo hacemos de la siguiente manera:

Abrimos Firefox y escribimos en el campo de url: about:config

Aceptamos haciendo click en ¡Tendré cuidado, lo prometo! y escribimos en el buscador:security.ssl

Hacemos doble click sobre la primera opción que nos encuentra, y veremos que, además deresaltar en negrita, cambia su valor a TRUE.

security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref

7.2. Envío de correos firmados digitalmenteUna vez realizada la instalación de los certificados y del modulo de Izenpe, será necesarioasociar la cuenta de correo electrónico con el certificado de la tarjeta con la que vamos a firmarel correo. Veamos como realizar dicha tarea en los distintos clientes de correo.

7.2.1. Thunderbird

Configuración cuenta de correo con certificado

En el menú Editar → Configuración de las cuentas hacemos “clic” sobre el apartado deSeguridad en la cuenta correspondiente. A continuación seleccionamos el certificado para elfirmado digital. Nos llegará a pedir el pin de la tarjeta.

37/

Opcionalmente, podemos seleccionar el certificado que se utilizaría si cifrásemos el mensaje.

En conjunto, quedaría tal y como se muestra en la imagen:

Envío de correo firmado digitalmente

Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada laopción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente através de la pestaña Seguridad → Firmar digitalmente este mensaje.

38/

Observaremos que aparecerá un check afirmativo de confirmación, como el siguiente:

Verificación de firma digital en correo

Thunderbird nos muestra un icono de un sobre cerrado y sellado, que indica que el correo estáfirmado digitalmente.

Si hacemos clic en el sobre, nos mostrara la información de la firma digital.

En caso que no sea válida nos avisará de ello. Bien porque el correo ha sido modificado o bienporque no hemos importado los certificados raíz de las autoridades certificadoras y sussubordinadas.

39/

40/

7.2.2. Evolution

Configuración cuenta de correo con certificado

Primero hay que añadir el modulo del lector de tarjetas. La manera más elegante de realizarloes a través de una serie de enlaces simbólicos y así tener sincronizadas las configuraciones delos dispositivos de seguridad de Firefox y Evolution (si los copiásemos cada vez quecambiásemos algo tendríamos que volver a copiarlo)

Para ello es necesario abrir una terminal y ejecutar lo siguiente:

sudo rm /etc/pki/nssdb/*sudo ln -sf $HOME/.mozilla/firefox/*.default/*.db /etc/pki/nssdb/sudo modutil -dbdir sql:/etc/pki/nssdb/ -add "Izenpe" -libfile /usr/lib/libbit4ipki.so

Y una vez hecho esto ya sería cargar los certificados para eso:

En el menú Editar → Preferencias hacemos “clic” sobre la opción Cuentas de correo,seleccionamos la cuenta que queremos configurar y volvemos a hacer “clic” en Editar.

Nos llegará a pedir el pin de la tarjeta.

41/

Accedemos a la sección Seguridad y seleccionamos el certificado que queremos utilizar para lafirma de correos haciendo “clic” en el botón Seleccionar del apartado MIME Seguro.

Veremos como se carga el certificado:

Y por último le damos a Aplicar para que se guarden los cambios.

42/

Envío de correo firmado digitalmente

Para enviar un correo firmado digitalmente es necesario indicarlo. Si no tenemos marcada laopción de firmar digitalmente todos los correos salientes, podemos hacerlo manualmente através del menú Opciones→ Firmar con S/MIME.

Observaremos que aparecerá un check afirmativo de confirmación:

Verificación de firma digital en correo

Evolution nos muestra un icono que indica que el correo está firmado digitalmente.

Si hacemos clic sobre él, nos mostrara la información de la firma digital.

xº

Para poder comprobar si la firma es válida es necesario haber importado los certificadosraíz de las autoridades certificadoras y subordinadas.

43/

7.3. Firma de documentos ofimáticos

7.3.1. LibreOfficeUna vez configurada la ubicación de los certificados según se ha explicado en el apartadocorrespondiente, realizaremos un proceso de firma de un documento.

LibreOffice permite firmar los siguientes tipos de documentos:

● Documentos de texto● Hojas de cálculo● Presentaciones● Dibujos

Para proceder con la firma del documento, en el menú Archivo seleccionamos la opción Firmasdigitales.

Nota: La firma del documento es necesario realizarla sobre un documento guardado, que no seva a modificar. En el momento en que se firma el documento si se modifica se pierde la firma yes necesario volver a firmarlo.

44/

Una vez guardado nos muestra el gestor de firmas digitales de LibreOffice

Hacemos “clic” sobre Firmar documento... y nos muestra los certificados que tenemosconfigurados desde la base de datos de certificados, así como el propio de la tarjeta si latenemos conectada y el modulo correctamente configurado (en Firefox).

Una vez Aceptado el certificado se mostrará en el gestor de firmas.

45/

Podemos distinguir que esta firmado por la modificación del titulo con la etiqueta de (firmado), ypor el siguiente icono en la parte inferior de LibreOffice:

46/

8. Otras aplicaciones adicionales

8.1. Gestor de la Tarjeta de IzenpeJunto con el Middleware descargado, viene una aplicación con la cual podremos cambiar elPIN, desbloquearla introduciendo el PUK (por si hemos introducido tres veces el PIN mal y seha bloqueado), y alguna que otra opción.

Para que la aplicación funcione, es necesario tener instaladas una serie de librerías en nuestroequipo. Para ello, abriremos un terminal he instalaremos los paquetes libglade2-0 y tambiénlibssl1.0.0 y libssl0.9.8.

sudo apt-get install libglade2-0 libssl1.0.0 libssl0.9.8

Una vez instaladas dichas librerías, si has seguido correctamente el manual la tendrás en lacarpeta Izenpe dentro de tu carpeta personal, y dentro de ella la aplicación pinmanager_64:

En este directorio se necesitan permisos de ejecución para poder usar la aplicación, así puesprocederemos a establecer dichos permisos vía terminal o manualmente, como se prefiera.

Desde un terminal, para poder lanzar la aplicación, bastaría con escribir:

sudo chmod 775 ~/Izenpe/* -R cd ~/Izenpe/pinmanager_*/pinmanager_*/ ./gtkbit4pin

O si preferimos hacerlo de forma manual, entraríamos en el directorio, hacemos click derechosobre gtkbit4pin y le damos a Propiedades.

47/

Seleccionamos la pestaña de permisos y activamos la casilla de Ejecución, tal y comopodemos ver en la siguiente imagen.

Ahora ya podremos ejecutarla haciendo doble click sobre gtkbit4pin

48/

8.2. Cambio de PIN usando FirefoxEn el menú Editar → Preferencias pinchamos sobre Avanzado y a continuación sobre lapestaña de Cifrado, como vemos en la imagen. Por último pinchamos sobre el botónDispositivos de seguridad y seguido a Cambiar contraseña

Nos aparecerá una ventana que nos permite cambiar el PIN, previa introducción del PIN actual.

Nota: Recomendamos el uso de la propia aplicación de Izenpe, no obstante, se explica elcambio con Firefox por ser la manera que ha predominado hasta la actualidad.

49/

9. Incompatibilidades conocidas (Importante)

9.1. DNIeA diferencia de Izenpe que tiene sus propio Middleware para el uso de sus tarjetas, lainstalación del DNIe en Linux y Mac, usa las librerías OpenSC para hacer funcionar la lecturadel mismo, lo que provoca incompatibilidades en la funcionalidad de ambos dispositivos a lavez.

Si antes de realizar la de Izenpe, se dispone ya de la instalación del DNIe, merece la penaprobar si también es capaz de leer la tarjeta de Izenpe, en caso afirmativo, solo realizaremos lainstalación de los certificados de Izenpe y no la del Middleware.

Si aun así, se pretende usar, tanto el DNIe como las tarjetas Izenpe en el mismo equipo, hayuna posibilidad, aunque no vamos a entrar mucho en detalle. Los pasos serian:

1. Realizar la instalación del DNIe, siguiendo las guías de www.dnielectronico.es ousando el instalador de Zonatic

2. Asegurarte de que el DNIe funciona correctamente en Firefox y puedes realizargestiones.

3. Crear un nuevo perfil en Firefox, de nombre Izenpe, ejecutando en un terminal elsiguiente comando y siguiendo su asistente: firefox -P

4. Lanzar Firefox desde el terminal con: firefox -P Izenpe y realizar la instalación delmódulo, de los certificados y demás apartados explicados este manual.

5. Crear dos lanzadores (accesos directos) para Firefox y editar su comando deejecución, para que uno abra el perfil default donde estará instalado el DNIe y el otroejecute el perfil Izenpe donde previamente hemos realizado la instalación.

Nota Importante: Izenpe no se hace responsable del soporte o problemasrelacionados con el DNIe.

Mostramos esta solución como ayuda orientativa a posibles usuarios que seaventuren a realizar ambas instalaciones y/o configuraciones en el mismosistema.

50/

9.2. Tarjetas Antiguas de IzenpeCon el cambio de fabricante en las tarjetas de Izenpe, se producen dos casos a destacar:

· Las tarjetas antiguas (anteriores al 2012), funcionan con el nuevo Middleware y la nuevainstalación.

· Las tarjetas nuevas, no funcionan en instalaciones antiguas (realizadas con las libreríasOpenSC). Necesitan el nuevo Middleware para que funcionen correctamente.

51/

10. Anexo para Sistemas Móviles

10.1. Android OSA día de hoy en las versiones de Android OS 4 en adelante no es necesario la instalación decertificados raíz para poder navegar sin avisos de error por paginas que los soliciten, están yaincluidos en el navegador del sistema.

52/

11. Acerca deEste documento ha sido elaborado por la empresa Irontec Internet y Sistemas sobreGNU/Linux.

Para la elaboración del presente documento se ha desarrollado una cuidadosa metodología deanálisis y puesta en funcionamiento, garantizado la adecuación del documento a lasnecesidades de los usuarios.

Si el lector considera que hay algún aspecto erróneo o encuentra alguna errata, puedetrasladarla mediante email a cau-izenpe@izenpe.net e intentaremos incluirla en próximasrevisiones del documento.