Problemes amb firma electrònica tCAT i Maverick

Recentment he actualitzat el meu equip, i per comptes d’instal·lar tot a partir d’una còpia de seguretat vaig decidir partir d’una instal·lació neta.   Fa dos dies que intento fer un tràmit electrònic i de nou tornen els problemes per poder fer servir un certificat electrònic amb un sistema operatiu Mac OSX (en el meu cas amb la versió 10.9.1 -maverick-).

Primera premissa: fer servir firefox en versió 32 bits.  (anar a aplicacions / propietats del firefox i marcar la opció executar en mode 32 bits).

Segona premissa: tenir els paquets d’instal·lació dels controladors per al lector de t-CAT o DNIe. En el meu cas, els he trobat després de molt buscar a la web de aoc.cat (http://www.aoc.cat/Inici/SERVEIS/Signatura-electronica-i-seguretat/T-CAT-administracions/Com-utilitzar-ho) i els adjunto a aquest artícle per què no em torni costar localitzar-ho.

Tercera premissa: els manuals de l’AOC, de CATCERT, de EACAT.cat sempre indiquen que s’ha de crear un PKCS # Library -tan al firefox com a l’acrobat- que apunti a la ruta local  INCORRECTE: /usr/lib/libaetpkss.dylib quan la ruta CORRECTE és: /usr/local/lib/libaetpkss.dylib

Amb aquestes tres premisses he aconseguit tornar a signar de nou amb MacOS. No garantitzo que duri molt.

Firma electrònica DNIe, T-CAT i OSX Mountain Lion (MAC 10.8.4)

Farà ja algun temps vaig avisar que firmar electrònicament no era una cosa fàcil (http://can.nandes.cat/batalles-de-fer-servir-certificats-digitals-catcert-a-un-mac-lion). Després d’estar lluitant contra els elements he aconseguit firmar i validar-me electrònicament amb un MAC (amb sistema operatiu 10.8.4 mountain lion).  Alerta, les aplicacions, claus públiques i passos per fer servir la firma electrònica d’una t-CAT o d’un DNIe de moment són diferents i independents entre elles. Pot semblar que al tenir un operatiu puguis tranquil·lament fer servir l’altre… paradoxes de les nostres administracions tenim eines i procediments diferents. Si només vols instal·lar o fer servir un dels mètodes de firma no cal que instal·lis i embrutis el teu sistema operatiu amb totes les aplicacions i certificats.

Guia bàsica per poder firmar amb un navegador a Mac OSX 10.8.4:

  • Disposar de l’última versió de java operativa a la màquina. En el meu cas tenia una versió anterior a la 7.21 i sense ser conscient el sistema operatiu tenia el motor java desactivat per motius de seguretat.  Podeu veure com descarregar l’última versió de java o validar que teniu el java activat a la vostre màquina en aquest post.
  • No sempre els navegadors en 64bits podem firmar electrònicament.  Comenceu validant que funciona en mode 32 bits.
  • No és el mateix fer servir el DNIe, que la targeta t-CAT o idCAT
    • Guia DNIe (guia bàsica de DNIe així com accés a la descàrrega d’aplicacions per a la seva configuració i ús).
    • Guies t-CAT (guies, aplicacions i manuals per fer servir una t-CAT a una màquina amb mac OSX, windows o linux).
    • Guies idCAT (guies, aplicacions i manuals per fer servir un idCAT a una màquina amb mac OSX, windows o linux).
  • Safari no funciona ara per ara per firmar electrònicament amb aquests certificats. Millor centrar-se en firefox (la versió que sigui) i en mode 32 bits.
  • Has de tenir les claus públiques del certificat que vols fer servir instal·lades en el navegador que faràs servir per signar electrònicament.
  • Firefox, necessitarà:
    • saber quin dispositiu és el que llegeix la teva t-CAT o DNIe (o sigui quin controladors necesites per fer funcionar el lector de targetes),
    • i quina aplicació utilitzarà el sistema per llegir el certificat mitjançant el dispositiu que llegeix la targeta.  Aquest és el punt potser més complexe d’entendre: tens un controlador que llegeix certificats però en funció del certificat que sigui necessitaràs llegir-lo d’una manera o altre diferent. Dit d’una altre manera els certificats no són “compatibles” o “estàndards” a nivell d’aplicació d’aquí la complexitat d’instal·lació i ús dels mateixos.
      • Aplicació per DNIe
        • Firefox > Preferències > Avançat > Xifratge > Dispositius de seguretat
          • Carrega:
            • Nom: DNIe
            • Ruta: /Library/OpenSCDNIe/lib/dnieopensc-pkcs11.so
              2013_cami-dnie
      • Aplicació per t-CAT
        • Firefox > Preferències > Avançat > Xifratge > Dispositius de seguretat
          • Carrega:
            • Nom: t-CAT
            • Ruta: /usr/local/lib/libaetpkss.dylib
              2013_cami-tcat
      • Alertes, que els noms dels dispositius de seguretat siguin diferents i ben identificatius. En les captures de pantalla els noms no corresponen a l’indicat.
      • Potser que al introduïr la ruta del component no es localitzi. Validar previament que en aquesta carpeta està el fitxer (un cop instal·lada l’aplicació del pas anterior).

Amb aquests passos esquemàtics, si tot és correcte:

  • puntxeu el vostre lector de targetes,
  • introduïu la vostre t-CAT o DNIe,
  • obriu el firefox en mode 32 bits,
  • Preferències > avançat > xifratge > visualitza els certificats
  • I us demanarà el PIN de la vostre targeta,  Si arribeu aquí heu triomfat!!
    2013_Certificat_t-CAT

Ja només cal que no oblideu el vostre PIN o que tingueu bloquejat el vostre token de la vostre targeta criptogràfica.

Conclusions:

Els passos estan indicats de manera molt esquemàtica però serveixen per adonar-se de:

  • No és fàcil, 
  • No és intuïtiu,
  • Podria ser encara més difícil, sí.
  • Falta integració amb el propi sistema operatiu MAC OSX. És una llàstima aquest punt.
  • Cal aplicacions diferents en funció del tipus de certificats que vulguis fer servir malgrat que el “front-end” o entorn final sigui el firefox.
  • Tots aquests punts anteriors són els que provoquen que avui en dia encara no s’hagi estès l’ús de la firma electrònica. Ens queda molt per avançar.