Problemes amb firma electrònica tCAT i Maverick

Recentment he actualitzat el meu equip, i per comptes d’instal·lar tot a partir d’una còpia de seguretat vaig decidir partir d’una instal·lació neta.   Fa dos dies que intento fer un tràmit electrònic i de nou tornen els problemes per poder fer servir un certificat electrònic amb un sistema operatiu Mac OSX (en el meu cas amb la versió 10.9.1 -maverick-).

Primera premissa: fer servir firefox en versió 32 bits.  (anar a aplicacions / propietats del firefox i marcar la opció executar en mode 32 bits).

Segona premissa: tenir els paquets d’instal·lació dels controladors per al lector de t-CAT o DNIe. En el meu cas, els he trobat després de molt buscar a la web de aoc.cat (http://www.aoc.cat/Inici/SERVEIS/Signatura-electronica-i-seguretat/T-CAT-administracions/Com-utilitzar-ho) i els adjunto a aquest artícle per què no em torni costar localitzar-ho.

Tercera premissa: els manuals de l’AOC, de CATCERT, de EACAT.cat sempre indiquen que s’ha de crear un PKCS # Library -tan al firefox com a l’acrobat- que apunti a la ruta local  INCORRECTE: /usr/lib/libaetpkss.dylib quan la ruta CORRECTE és: /usr/local/lib/libaetpkss.dylib

Amb aquestes tres premisses he aconseguit tornar a signar de nou amb MacOS. No garantitzo que duri molt.

Firma electrònica en un mac, quan java i firefox no estan en conjunció

En l’entrada d’ahir (Firma electrònica DNIe, T-CAT i OSX Mountain Lion (MAC 10.8.4) comentava que és bàsic tenir activat JAVA a la vostre màquina, i que no tenia del tot clar si en 64bits es podia signar amb firefox.

Confirmat que:

  • de moment els aplicatius que donen catcert per fer servir la t-CAT només funciona amb firefox en mode 32 bits.
  • Ja versió de java 7 up22 només funciona en mode 64 bits.

Què provoca això?  que si vols entrar un etram a un ajuntament (o sigui presentar una instància electrònicament per exemple), no podràs fer-ho amb un MAC ja que quan llegeix el navegador el teu certificat, no és capaç de carregar el java; i quan carrega el java no és capaç de llegir el teu certificat.   Certament és lamentable aquesta limitació.

Opcions:

  • El navegador safari no llegeix el certificat d’un dispositiu
  • El navegador opera directament no està soportat.
  • El navegador Chrome és només 32 bits o sigui que tampoc serà capaç de fer servir el JAVA 64 bits.
  • Descarregar JAVA  a una versió anterior, és insegur… però potser la millor opció.

Per aquesta última opció hi ha un “support case” d’Apple on explica com  tornar a habilitar el java SE 6 web plugin per firefox (Java for OS X 2013-002: How to re-enable the Apple-provided Java SE 6 web plug-in and Web Start functionality)    (http://support.apple.com/kb/HT5559?viewlocale=en_US)

Si, després d’instal lar Java per OS X 2013-002 i l’última versió de Java 7 d’Oracle, que desitja desactivar Java 7 i tornar a habilitar l’Apple proporciona Java SE 6 web plug-in i la funcionalitat Web Start, feu el següent .

Nota: Hi ha d’haver iniciat sessió com a administrador. Si se li demana la contrasenya d’administrador després d’un comandament, introduïu-lo i premeu la tecla Retorn o Retorn.

Obrir terminal, situada a la carpeta Utilitats.
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo mkdir-p / Library / Internet \ Plug-Ins/disabled
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo mv / Library / Internet \ Plug-Ins/JavaAppletPlugin.plugin / Library / Internet \ Plug-Ins/disabled
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo ln-sf / System/Library/Java/Support/Deploy.bundle/Contents/Resources/JavaPlugin2_NPAPI.plugin / Library / Internet \ Plug-Ins/JavaAppletPlugin.plugin
Per tornar a habilitar Java SE 6 Web Start, introdueixi aquesta comanda i premeu la tecla Retorn o Intro:
sudo ln-sf / System / Library / Frameworks / JavaVM.framework / Ordres / javaws / usr / bin / javaws

Informació addicional
Els següents passos desfer les ordres anteriors i restaurar Java 7.

Desactivar SE 6 obertura Java Web Start:
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo ln-sf / System / Library / Frameworks / JavaVM.framework / versions / Actualitat / Ordres / javaws / usr / bin / javaws
Quan se us demani, introduïu la contrasenya d’administrador i premeu la tecla Retorn o Retorn.
Torneu a activar l’applet de Java 7 plug-in mitjançant la descàrrega i tornar a instal lar l’última versió d’Oracle Java 7 JRE.

Jo he seguit els passos indicats i he aconseguit que firefox versió 32 bits pugui tenir habilitat el java sense problemes. Però llavors em trobo que la pàgina web no acaba de carregar bé tots els components ja que la versió de java que faig servir és antiga… el peix que es mossega la cua.

Reitero el mateix que deia en l’artícle d’ahir: s’han de tenir ganes per firmar una cosa electrònicament amb les “facilitats” que es donen.

 

Firma electrònica DNIe, T-CAT i OSX Mountain Lion (MAC 10.8.4)

Farà ja algun temps vaig avisar que firmar electrònicament no era una cosa fàcil (http://can.nandes.cat/batalles-de-fer-servir-certificats-digitals-catcert-a-un-mac-lion). Després d’estar lluitant contra els elements he aconseguit firmar i validar-me electrònicament amb un MAC (amb sistema operatiu 10.8.4 mountain lion).  Alerta, les aplicacions, claus públiques i passos per fer servir la firma electrònica d’una t-CAT o d’un DNIe de moment són diferents i independents entre elles. Pot semblar que al tenir un operatiu puguis tranquil·lament fer servir l’altre… paradoxes de les nostres administracions tenim eines i procediments diferents. Si només vols instal·lar o fer servir un dels mètodes de firma no cal que instal·lis i embrutis el teu sistema operatiu amb totes les aplicacions i certificats.

Guia bàsica per poder firmar amb un navegador a Mac OSX 10.8.4:

  • Disposar de l’última versió de java operativa a la màquina. En el meu cas tenia una versió anterior a la 7.21 i sense ser conscient el sistema operatiu tenia el motor java desactivat per motius de seguretat.  Podeu veure com descarregar l’última versió de java o validar que teniu el java activat a la vostre màquina en aquest post.
  • No sempre els navegadors en 64bits podem firmar electrònicament.  Comenceu validant que funciona en mode 32 bits.
  • No és el mateix fer servir el DNIe, que la targeta t-CAT o idCAT
    • Guia DNIe (guia bàsica de DNIe així com accés a la descàrrega d’aplicacions per a la seva configuració i ús).
    • Guies t-CAT (guies, aplicacions i manuals per fer servir una t-CAT a una màquina amb mac OSX, windows o linux).
    • Guies idCAT (guies, aplicacions i manuals per fer servir un idCAT a una màquina amb mac OSX, windows o linux).
  • Safari no funciona ara per ara per firmar electrònicament amb aquests certificats. Millor centrar-se en firefox (la versió que sigui) i en mode 32 bits.
  • Has de tenir les claus públiques del certificat que vols fer servir instal·lades en el navegador que faràs servir per signar electrònicament.
  • Firefox, necessitarà:
    • saber quin dispositiu és el que llegeix la teva t-CAT o DNIe (o sigui quin controladors necesites per fer funcionar el lector de targetes),
    • i quina aplicació utilitzarà el sistema per llegir el certificat mitjançant el dispositiu que llegeix la targeta.  Aquest és el punt potser més complexe d’entendre: tens un controlador que llegeix certificats però en funció del certificat que sigui necessitaràs llegir-lo d’una manera o altre diferent. Dit d’una altre manera els certificats no són “compatibles” o “estàndards” a nivell d’aplicació d’aquí la complexitat d’instal·lació i ús dels mateixos.
      • Aplicació per DNIe
        • Firefox > Preferències > Avançat > Xifratge > Dispositius de seguretat
          • Carrega:
            • Nom: DNIe
            • Ruta: /Library/OpenSCDNIe/lib/dnieopensc-pkcs11.so
              2013_cami-dnie
      • Aplicació per t-CAT
        • Firefox > Preferències > Avançat > Xifratge > Dispositius de seguretat
          • Carrega:
            • Nom: t-CAT
            • Ruta: /usr/local/lib/libaetpkss.dylib
              2013_cami-tcat
      • Alertes, que els noms dels dispositius de seguretat siguin diferents i ben identificatius. En les captures de pantalla els noms no corresponen a l’indicat.
      • Potser que al introduïr la ruta del component no es localitzi. Validar previament que en aquesta carpeta està el fitxer (un cop instal·lada l’aplicació del pas anterior).

Amb aquests passos esquemàtics, si tot és correcte:

  • puntxeu el vostre lector de targetes,
  • introduïu la vostre t-CAT o DNIe,
  • obriu el firefox en mode 32 bits,
  • Preferències > avançat > xifratge > visualitza els certificats
  • I us demanarà el PIN de la vostre targeta,  Si arribeu aquí heu triomfat!!
    2013_Certificat_t-CAT

Ja només cal que no oblideu el vostre PIN o que tingueu bloquejat el vostre token de la vostre targeta criptogràfica.

Conclusions:

Els passos estan indicats de manera molt esquemàtica però serveixen per adonar-se de:

  • No és fàcil, 
  • No és intuïtiu,
  • Podria ser encara més difícil, sí.
  • Falta integració amb el propi sistema operatiu MAC OSX. És una llàstima aquest punt.
  • Cal aplicacions diferents en funció del tipus de certificats que vulguis fer servir malgrat que el “front-end” o entorn final sigui el firefox.
  • Tots aquests punts anteriors són els que provoquen que avui en dia encara no s’hagi estès l’ús de la firma electrònica. Ens queda molt per avançar.

 

 

 

 

 

 

Identificar-nos a una web (seu electrònica) amb firefox 4 o superior i certificat electrònic

Resulta que a partir de la versió 4 del nostre navegador favorit (firefox), hi ha un paràmetre de configuració ben amagat que ens donarà problemes alhora d’accedir amb el nostre certificat digital a una pàgina web. Això vol dir que podem tenir ben instal·lat les claus públiques, el nostre certificat, el lector… però alhora de validar-nos a una pàgina web mitjançant el nostre certificat (sigui T-Cat o DNIe), el nostre navegador ens mostrarà un error tal com:

No es permet renegociació del socket SSL.  ssl_error_renegotiation_not_allowed

Per solventar-ho cal fer el següent:

  • Obrir una nova pestanya al firefox (contro+t).
  • Escriure-hi: about:config  i acceptar el missatge d’advertència que ens donarà el navegador.
  • Cercar la cadena: allow_unrestricted_renego,
  • Farem doble click en aquesta cadena per al que quedi amb el valor “true”
Amb això podrem autentificar-nos a diferents seus electròniques d’administracions estatals que estiguin adaptades a la llei 11/2007 si nosaltres tenim ben instal·lat el nostre certificat, lector de dnie…

Batalles per poder fer servir certificats digitals (catcert) a un MAC amb Lion (10.7.2)

Porto uns quants dies amb unes dures “batalles” per poder fer servir el certificats electrònics de l’Agència Catalana de Certificació (CATCERT) amb el meu MAC amb Lion (versió 10.7.2) .  Resulta que hi ha molta preidsposició per part de l’administració en donar suport a més plataformes que no només windows i internet explorer. Està genial aquesta actitut.  Però no sempre tots els manuals ni funcionalitats estan documentats.  Ni tot és fàcil. De fet, per poder firmar he hagut de dedicar molt més del temps que inicialment havia previst.  Sobre tot per manca de documentació ordenada.  Això sí, un cop instal·lades les claus públiques, el controlador del lector de targeta, i t altres filigranes… firmar formularis electrònics o pdf’s és un moment.

Aniré fent un seguit d’artícles amb els passos que he hagut de realitzar per personalitzar i adaptar el sistema operatiu a l’ús dels certificats T-CAT de CatCert, que en el seu defecte seran pràcticament els mateixos per al DNI electrònic.

El que sí puc dir, és que es pot signar i fer servir els certificats en targetes per comunicar-te amb administracions públiques. En cara que sembli impossible, es pot fer!!