Fwd: Re: Iceweasel y Firma con Certificado
Bueno pues...
Tras mucho indagar y haber logrado la solución, os comento la manera de
poder FIRMAR con Certificado digital en el navegador Iceweasel.
Allá voy...
PASOS para FIRMAR con Certificado de la FNMT en Iceweasel:
1.- He instalado la versión de Java de Oracle, habiendo desinstalado
previamente la versión libre openjdk-7. Así lo recomienda AEAT en las
Instrucciones del Programa Padre.
2.- De acuerdo con una respuesta del CAU de la AEAT, localizada en
Google, reproduzco la configuración recomendada para Firefox (en nuestro
caso, Iceweasel):
2.a.- La preferencia "signed applets codebase principal support" debe
estar activada en el valor "true". Escriba "about:config" (sin comillas
y sin http o www. delante) en la barra de direcciones donde escribe
habitualmente las direcciones de las páginas web. Pulse la tecla "Intro"
en el teclado; en función de la versión del navegador que tenga
instalada, puede mostrarse un mensaje de advertencia que deberá aceptar
para continuar. Se mostrará una página con un listado de preferencias en
la parte inferior. Sobre éste aparecerá una línea en blanco con el
nombre "Filtro". En este campo escriba la palabra "signed" (también sin
comillas) y pulse "Intro" en el teclado de nuevo.
La lista habrá quedado reducida a una sola preferencia
(signed.applets.codebase_principal_support). A la derecha, debajo de la
columna "Valor" aparecerá "false" o "true". Asegúrese de que el valor
está en "true" y si aparece "false" haga doble clic sobre la línea para
que el valor cambie a "true", que es el correcto.
2.b.- Para acceder a la Sede es necesario que descargue e instale los
certificados electrónicos que la identifican (AC RAIZ FNMT-RCM y AC
APE). Esta instalación se realiza desde el apartado Información y
Requisitos de la nueva Sede Electrónica disponible en la Ayuda en línea
de la página web de la AEAT.
En Firefox es necesario que las tres casillas de la configuración de
confianza de los 2 certificados FNMT-RCM están marcadas. Dentro de la
pestaña "Autoridades" (en "Edición", "Preferencias", "Avanzado",
"Cifrado", "Ver certificados"), seleccione el certificado AC APE y el AC
RAIZ FNMT-RCM, haga clic en "Editar confianza..." y active las tres
casillas.
2.c.- Para la realización de trámites electrónicos que requieran su
identificación es necesario disponer de certificado electrónico.
Si usa un certificado electrónico de la FNMT, debe tener instalado en el
navegador el certificado raíz de la FNMT Clase 2CA. Para la FNMT la
descarga del certificado raíz está disponible en la página web de CERES
(Certificación Española), dentro de la opción de obtención del
certificado, entre las opciones en verde de la columna de la izquierda,
dentro del apartado "Descarga de contratos". Guarde el archivo
descargado (por ejemplo en el Escritorio) para importarlo después desde
"Edición", "Preferencias", en el menú de la parte superior; "Avanzado",
"Cifrado", "Ver certificados", "Autoridades". Recuerde marcar las tres
casillas que aparecen cuando lo selecciona pulsando el botón "Editar".
3.- Este punto no sé si es preciso, pero lo he visto por Google y lo he
aplicado.
Como usuario root he tecleado en la Terminal:
# ln -s /usr/lib/iceweasel /usr/firefox
# chmod 777 /usr/firefox
Es decir, he creado en la carpeta “usr” la carpeta “firefox” que es sólo
un enlace hacia el directorio /usr/lib/iceweasel.
Y le he dado todos los permisos a dicho directorio /usr/firefox
4.- Reproduzco a continuación el correo de un compañero que ha sido
decisivo en la solución del problema:
--------------------------------------------------------------------
“Hola Damián,
He visto el mensaje que has enviado a la lista de correo
debian-user-spanish. Como no estoy suscrito a la lista no
puedo contestar en ella, por eso te envío la respuesta
personalmente a tí.
Sería un detalle que enviases esta respuesta a la lista para
que otros con el mismo problema que tú puedan ver la solución.
Solución:
Las herramientas de la AEAT "asumen" determinadas cosas que en
nuestro sistema Debian no se cumplen.
En concreto, aparece el siguiente error:
Error type:
es.gob.afirma.keystores.main.common.AOKeystoreAlternativeException
Error message: Error al inicializar el almacen NSS unificado de Mozilla
Firefox:
es.gob.afirma.keystores.main.common.AOKeyStoreManagerException:
No se ha podido inicializar ningun almacen, interno o externo, de Firefox
El problema parece que se encuentra en:
package es.mityc.javasign.pkstore.mozilla;
private static String getSystemNSSLibDirUnix()
Este método busca las rutas de las bibliotecas libsoftokn3.so y libnspr4.so
en varios directorios. Sin embargo, en Debian wheezy (arquitectura i386)
estas bibliotecas se encuentran en distintos lugares:
- el paquete libnss3:i386 instala /usr/lib/i386-linux-gnu/nss/libsoftokn3.so
- el paquete libnspr4:i386 instala /usr/lib/i386-linux-gnu/libnspr4.so
- el paquete xulrunner-24.0 instala ambas bibliotecas en el directorio
/usr/lib/xulrunner-24.0
Puesto que iceweasel depende de xulrunner-24.0 parece conveniente usar
las bibliotecas suministradas por este paquete para que las usen las
herramientas de la AEAT. Uno de los directorios en que buscan estas
herramientas es /opt/firefox, y dado que ese directorio no se usa para
nada en
Debian, podemos corregir el problema creando un enlace simbólico así:
# ln -fs /usr/lib/xulrunner-24.0 /opt/firefox
Si estás utilizando otra arquitectura (p.e. ia64 o amd64) deberás localizar
dichas bibliotecas y crear los enlaces correspondientes. Para localizar las
bibliotecas puedes usar cualquiera de estos métodos:
# locate libsoftokn3.so libnspr4.so
# dlocate libsoftokn3.so libnspr4.so
# find /usr/lib -name libsoftokn3.so -o -name libnspr4.so
Por supuesto, este apaño fallará en cuanto se actualice el software y cam-
bien dichas dependencias (nuevas versiones de las bibliotecas o nuevas
ubicaciones).
Saludos,
Gonzalo.”
-------------------------------------------------------------------------------------------
Pues bien, yo lo que he hecho, a partir de esta información, ha sido lo
siguiente:
He entrado al directorio /usr/lib , he localizado la carpeta
“xulrunner-24.0” y he creado un enlace (selecciono “xulrunner-24.0”,
botón derecho y opción crear enlace). He cogido este enlace, me lo he
llevado y lo he ubicado en el directorio /opt . En este directorio he
borrado la carpeta “firefox” (vacía), y la carpeta “Enlace hacia
xulrunner-24.0” que acabo de llevar allí (a /opt) la he renombrado y la
he llamado “firefox”.
A continuación, le he dado todos los permisos a /opt/firefox con el comando
# chmod 777 /opt/firefox
5.- COMPROBACIÓN.
Voy a la página https://valide.redsara.es/valide/inicio.html
Y en la opción Validar Certificado, ya me presenta los certificados
disponibles en mi Iceweasel (antes no se abría el almacén de
certificados de Icewesasel).
O en la opción Realizar Firma, ya puedo firmar un documento (antes daba
error).
6.- PREGUNTA:
¿Son precisos todos estos pasos para lograr FIRMAR con Certificado en
nuestro Iceweasel?
Pues no sé si todos, no voy a hacer la prueba de descarte hacia atrás...
La cuestión es que a mi, tras todo este proceso, el navegador Iceweasel
me permite FIRMAR con Certificado.
Saludos a tod@s y ¡gracias a esta excelente comunidad!
Especialmente a Gonzalo.
-------- Mensaje original --------
El día 26 de junio de 2014, 23:29, Damián Naya
<damiannaya03@gmail.com> escribió:
Buenas noches.
Llevo unos dos meses usando Debian y, salvando los primeros escollos, estoy
encantado.
Pero me he topado con un problema que no he logrado solucionar:
Uso Iceweasel como navegador.
Tengo correctamente instalado mi certificado de firma digital de la FNMT,
pues me identifico sin problemas en distintas páginas web.
Tengo instalado correctamente y comprobado Oracle Java 7 (ya evité problemas
desinstalando la versión libre e instalando esta).
Pero a la hora de FIRMAR un documento, o una declaración de IRPF en la AEAT,
me sale un mensaje "...Error al inicializar el almacen NSS unificado de
Mozilla..."
Como si Java no pudiera abrir el almacén de certificados de Iceweasel.
¿Alguien me puede ayudar?
Gracias.
Yo para presentar la declaración de la renta tuve que instalar el java
de Oracle y la última versión de Firefox, la de Debian no valía.
S2.
--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: https://lists.debian.org/CAGw=jZG7JvrgqcX9HzUr8Rh9Njk6BrJT8ThqET5kzk7kmZEg@mail.gmail.com
Reply to: