[Programa .deb] AutoFirma (Solucionado)

[cameta]

Ya esta funcionando el problema era el oracle-jre-bin-1.8. He puesto el icedtea-bin-8 y ya puedo firmar. Ahora he de solucionar el problema de que no encuentra el álmacen de certificados.. Menudas chapuzas.

[expobi]

Parece ser que autofirma tiene un problema con los perfiles de firefox, si no con todos los navegadores.
Extracto de ~/.afirma/AUTOFIRMA.afirma.log.xml

Code: Select all

<record>
  <date>2020-05-01T11:07:11</date>
  <millis>1588324031110</millis>
  <sequence>21</sequence>
  <logger>es.gob.afirma</logger>
  <level>INFO</level>
  <class>es.gob.afirma.keystores.mozilla.MozillaKeyStoreUtilities</class>
  <method>loadNSS</method>
  <thread>17</thread>
  <message>Configuracion de NSS para SunPKCS11:
name=NSSCrypto-AFirma
library=/usr/lib64/libsoftokn3.so
attributes=compatibility
slot=2
showInfo=false
allowSingleThreadedModules=true
nssArgs="configdir='sql:/USERHOME/.mozilla/firefox/8xb9c34n.default' certPrefix='' keyPrefix='' flags='readOnly'"</message>
</record>

Fijarse en la penúltima linea y comparar con el contenido de ~/.mozilla/firefox/profiles.ini

Code: Select all

[Profile1]
Name=default
IsRelative=1
Path=8xb9c34n.default
Default=1

[Profile0]
Name=default-release
IsRelative=1
Path=q9xtwkr9.default-release

[General]
StartWithLastProfile=1
Version=2

[Install6AFDA46A1A8AD48]
Default=q9xtwkr9.default-release
Locked=1

Si lo dejamos así, comentando el profile default ya que el que usamos normalmente es el default-relase.
(He intentado cambiar los números de inicio en el profile pero entonces firefox me pide que cree un nuevo perfil, esta parece una solución sencilla y funciona.)

Code: Select all

#[Profile1]
#Name=default
#IsRelative=1
#Path=8xb9c34n.default
#Default=1

[Profile0]
Name=default-release
IsRelative=1
Path=q9xtwkr9.default-release

[General]
StartWithLastProfile=1
Version=2

[Install6AFDA46A1A8AD48]
Default=q9xtwkr9.default-release
Locked=1

Cambios que se ven el log de autoafirma:

Code: Select all

<record>
  <date>2020-05-01T11:21:28</date>
  <millis>1588324888401</millis>
  <sequence>21</sequence>
  <logger>es.gob.afirma</logger>
  <level>INFO</level>
  <class>es.gob.afirma.keystores.mozilla.MozillaKeyStoreUtilities</class>
  <method>loadNSS</method>
  <thread>17</thread>
  <message>Configuracion de NSS para SunPKCS11:
name=NSSCrypto-AFirma
library=/usr/lib64/libsoftokn3.so
attributes=compatibility
slot=2
showInfo=false
allowSingleThreadedModules=true
nssArgs="configdir='sql:/USERHOME/.mozilla/firefox/q9xtwkr9.default-release' certPrefix='' keyPrefix='' flags='readOnly'"</message>
</record>

Ahora funciona como debiera, cuando quieres firmar un documento de la administración desde el navegador pide la clave del almacén de claves de firefox,
a continuación te muestra los certificados personales instalados para elegir. Eliges uno y lo identifica correctamente. Y se procede a la firma sin problemas.
Edito: Ahora cuando ejecutas AutoFirma desde el escritorio te pide la contraseña del almacén de firefox y te muestra la lista de certificados cuando quieres firmar un archivo.

[expobi]

Por cierto cameta

Ya esta funcionando el problema era el oracle-jre-bin-1.8. He puesto el icedtea-bin-8 y ya puedo firmar

Yo antes tenia instalado icedtea-bin, pero como no funcionaba autofirma y parecía problemas de java lo cambie por dev-java/openjdk-bin y como puedes ver funciona, asi que parece que cualquiera de esos paquetes parece que son validos para autofirma.
Y tampoco tengo activada la use abi_x86_32

[cameta]

Hola,
la use rfc3779 en openssl-1.1.1f no me es necesaria con el icedtea-bin funciona exactamente igual.
Problema de los perfiles.
Yo he hecho lo siguiente:
about:profiles
Cambiar el nombre de mi perfil a default2
Crear un nuevo perfil con el nombre default y convertirlo en el por defecto
Arrancar en este nuevo perfil e instalar los certificados/firma electronica de la FNMT
Establecer de nuevo por defecto el perfil default2, apagar navegador y volverlo a poner en marcha
Cuando hago el test de autofirma en la web detecta los certificados instalados en default. También la aplicación AutoFirma detecta esos certificados.

Chiste
-No se que hacer durante la cuarentena
-Oye puedes ayudarme a presentar unos papeles en el registro común, sale una cosa que se llama autofirma...
https://rec.redsara.es/registro/action/are/acceso.do
Tras cuarenta días
Oye que la cuarentena ya se ha acabado, ¿Conseguiste que funcionase o voy directo a la oficina?

PS

No se pero me parece que la instalación de este programa deja un poco rara la ventana del gestor de certificados y es díficil acceder a la opción de borrar certificados. Bueno tengo un usuario para hacer pruebas con esto.

[expobi]

Bueno es otra solución.
A mi no me da problemas la ventana del gestor de certificados, puedo borrar e instalar certificados sin problema, ( ya lo he tenido que hacer )

[cameta]

[No se pero me parece que la instalación de este programa deja un poco rara la ventana del gestor de certificados y es difícil acceder a la opción de borrar certificados. Bueno tengo un usuario para hacer pruebas con esto
PS
También me he de entretener viendo si es capaz de detectar el DNI electrónico. (pero no es algo urgente)

[cameta]

Bueno es otra solución.
A mi no me da problemas la ventana del gestor de certificados, puedo borrar e instalar certificados sin problema, ( ya lo he tenido que hacer )

Si ya me he fijado que has echo algo con el profiles.ini. Intentare montar algo parecido.
Escribiré otra "receta" de como lo he hecho yo.
Ahora lo ideal sería que alguien hiciese un ebuild para autofirma.

[expobi]

Buscando por internet por qué mi solución con el profile.ini funcionó encontre esto:
https://github.com/ctt-gob-es/clienteaf ... -497671066
por si a alguien le interesa, se da una explicación y se plantean otras variantes.

[cameta]

Mi receta. (se está editando)

1º Instalar las dependencias necesarias:

icedtea-bin (con use abi_x86_32. Las máquinas virtuales java oracle-jdk-bin-1.8 y oracle-jre-bin-1.8 no funcionan en el navegador
nss (con uses utils y abi_x86_32)
openssl (con use rfc3779 )

2º Descargar autofirma de https://estaticos.redsara.es/comunes/au ... l.tar.xzip

3º Descomprimir autofirma con unzip

4ºCrear un directorio de trabajo y abrirlo:

Code: Select all

 mkdir ./autofirma-trabajo
cd ./autofirma-trabajo

5º Copiar AutoFirma_1_6_5.deb al directorio de trabajo
Descomprimirlo

Code: Select all

 ar x ./AutoFirma_1_6_5.deb 

6º Crear un directorio para los scripts del paquete

Code: Select all

 mkdir ./scripts	

7º Extraer los scripts

Code: Select all

 tar xvJf ./control.tar.xz -C ./scripts	

8º A partir de aquí ejecutar como root sin cambiar de directorio.
Ejecutar el script de preinstalación

Code: Select all

(root)# ./scripts/preinst	

Se cerrará el navegador.

9º Extraer los archivos del paquete al sistema raiz

(

Code: Select all

root)# tar xvJf ./data.tar.xz -C / --keep-directory-symlink --no-overwrite-dir	

De esta manera no habremos de crear directorios a mano, ni copiar los archivos. Evitamos también dañar el

10º crear la carpeta /usr/local/share/

Code: Select all

mkdir /usr/local/share

crear un enlace en la misma apuntando a /usr/share/ca-certificates

Code: Select all

ln -sf  /us/usr/share/ca-certificates

(evita un error en el script de postinstalación)

Ejecutar el script de postinstalación

Code: Select all

(root)# ./scripts/postinst	

Dará un error al querer copiar un archivo a una ruta inexistente. No importa.


Editar el profile de firefox ya que autofirma busca los certificados en el primer perfil que encuentra

[expobi]

Hola cameta

openssl (la use rfc3779 no creo que haga falta pero daño no hace)

¿Qué firefox usas?
Yo uso el firefox-bin-75.0, lo pregunto por que después de hacer todo lo que comente hasta que no recompile openssl con esa use no funciono.
AutoFirma me daba fallos ROA asi que investigando, por ejemplo https://en.wikipedia.org/wiki/Resource_ ... astructure deduje que no se estaban negociando bien los certificados con el servidor desde mi navegador.
Es interesante saber por que a mi me hace falta y a ti no.
Tampoco me hace falta nss con use abi_x86_32, ¿por qué?¿ que marca la diferencia? No la tengo ni a nivel global ni en ningún otro paquete.
Tambien:

Dará un error al querer copiar un archivo a una ruta inexistente. No importa.

¿Qué error?
A mi no me dio ninguno, es curiosidad. Igual hice algún paso que no he comentado.
Un saludo.

[expobi]

cameta

También me he de entretener viendo si es capaz de detectar el DNI electrónico. (pero no es algo urgente)

Haber si puedes sacar algo de tiempo, eso mejoraría el post muchisimo para los que lo lean buscando soluciones.
Yo no puedo ayudar en ese apartado, tengo el DNIe de la serie que vino con certificados corruptos o directamente sin certificados, y precisamente la cita para renovarlo me tocaba en medio de la cuarentena
Seguro que hay personas que te lo agradecerán.
Un saludo sincero.

[cameta]

¿Qué error?
A mi no me dio ninguno, es curiosidad. Igual hice algún paso que no he comentado.

Es aquel link que hiciste.

[cameta]

A ver si puedes sacar algo de tiempo, eso mejoraría el post muchisimo para los que lo lean buscando soluciones.

Ya lo he probado, funciona perfectamente.
1º Tiene que estar funcionando el DNIe en gentoo (había una guia aquí en el foro)
2º Asegurarse que autofirma tiene activada en su configuración una casilla que pone Habilitar Jmulticard para el uso de las tarjetas de la FNMT Y DNIe. Esta activado por defecto. apagar autofirma
2º Activar el servicio pcscd
3º Poner el DNIe en el lector y ya funciona. os pedirá evidentemente la contraseña.

Cuando pueda pondré un video con todo el proceso.

[cameta]

Yo uso el firefox-bin-75.0, lo pregunto por que después de hacer todo lo que comente hasta que no recompile openssl con esa use no funciono.
AutoFirma me daba fallos ROA asi que investigando, por ejemplo https://en.wikipedia.org/wiki/Resource_ ... astructure deduje que no se estaban negociando bien los certificados con el servidor desde mi navegador.
Es interesante saber por que a mi me hace falta y a ti no.

el 68, prueba a sacar la use, a ver si sigue funcionando. Es que a mi no me funcionaba tampoco, la puse y funciono, la saque y siguió funcionando.

[expobi]

Hecho, reinstalado sin la use y funciona.

Por lo que he podido ver comparando el gentoo de la partición donde no se instaló openssl con la use rfc3779
y la que sí se instaló openssl con la use rfc3779, a pesar de haber reinstalado openssl en está última, hay dos enlaces:

Code: Select all

/etc/ssl/certs/6a0e091a.0
/etc/ssl/certs/AutoFirma_ROOT.pem

que apuntan a:

Code: Select all

AutoFirma_ROOT.pem
/usr/local/share/ca-certificates/AutoFirma_ROOT.crt
(osea los dos apuntan al mismo sitio)

que siguen estando después de la reinstalación y antes no estaban, supongo que los puso hay openssl para gestionar la negociación basada en X.509, pero al reinstalar sin esa caracteristica no los borró y por eso sigue funcionando.
Es mi humilde opinión pero yo lo voy a dejar puesto con la use, que si en el futuro otro programa o el mismo necesitan de esa caracteristica a lo mejor no me acuerdo y me vuelvo loco buscando soluciones.

[cameta]

Es mi humilde opinión pero yo lo voy a dejar puesto con la use, que si en el futuro otro programa o el mismo necesitan de esa caracteristica a lo mejor no me acuerdo y me vuelvo loco buscando soluciones.

Yo haré lo mismo y de paso voy a poner un comentario en el package.use de para que sirve esa USE.
Por cierto, ¿te has fijado en el montón de lecturas que tiene este hilo?
Señal de que eso de autofirma da problemas a la gente.

[expobi]

Sí, precisamente por eso, aunque al principio me conforme con la solución del opensuse en otra partición, tus comentarios y la cantidad de visitas me empujaron a encontrar una solución para nuestra distribución.
Al fin y al cabo es una buena manera de pasar el tiempo en esta cuarentena.
Me satisface que lo consiguiéramos, y si hemos ayudado a alguien todavía mejor.

[cameta]

Una gran herramienta para hacer pruebas es la Oracle xVM Virtual Box.
Instalas cualquier sistema operativo y puedes hacer experimentos sin miedo a romper nada.
¿Oye creees que se podria adaptar un ebuild a partir de esto?
https://aur.archlinux.org/cgit/aur.git/ ... =autofirma

Yo es que nunca he hecho un ebuild pero esa si que sería una forma elegante de instalar autofirma.

[expobi]

Por si alguien llegó hasta aquí:
He hecho un par de modificaciones en el mensaje con la solución, había un par de cosas que hice y no las puse en su momento.
(lineas ·15 a ·20 del listado de pasos) no afectan al buen funcionamiento de AutoFirma, pero así queda mejor.

Virtual-box está bien, pero a mí no me gusta, no me permite ver los cambios entre un SO y otro sin que estén ejecutándose los dos.
Supongo que para pruebas está bien pero yo prefiero instalar en partición aparte (no es que me falten discos precisamente)

En cuanto a lo del ebuild, no tengo tanto conocimiento de las tripas de portage ni de las convenciones de los ebuild, se podría hacer un script pero creo que la mayoría de los que usan gentoo no son de los que les gusta que se lo den todo masticado y si han llegado hasta aquí es probable que ya tengan funcionando AutoFirma.

[pcmaster]

Yo no puedo ayudar en ese apartado, tengo el DNIe de la serie que vino con certificados corruptos o directamente sin certificados, y precisamente la cita para renovarlo me tocaba en medio de la cuarentena

En mi caso se me caducaron los certificados (duran un par de años) y se pueden renovar sin pedir cita previa, en una máquina similar a un cajero automático que hay en las oficinas del DNI. La máquina te identifica mediante la huella dactilar y hace la renovación. No sé si en tu caso funcionará bien.

[expobi]

En tu caso caducaron, lo que significa que eran válidos.
En los de mi serie vienen mal de fábrica.
Acompañe a renovar su carnet a otra persona y me dio por meter mi DNIe en la maquina de renovación de certificados,
como me dio fallo se lo comente a la policía y ellos me explicaron lo de la serie defectuosa,
y me ofrecieron la renovación, por cierto para estos DNIe defectuosos por ese motivo, la renovación es gratuita, no hay ni que llevar foto,
te dan el nuevo DNI.3 que viene también con tecnología NFC

[cameta]

Virtual-box está bien, pero a mí no me gusta, no me permite ver los cambios entre un SO y otro sin que estén ejecutándose los dos.

Se usa para pruebas, no para usar de manera rutinaria un sistema operativo.

[cameta]

En cuanto a lo del ebuild, no tengo tanto conocimiento de las tripas de portage ni de las convenciones de los ebuild,

Igual un día me entretengo yo, cuando venga la segunda oleada de la covid-19.

[quilosaq]

He hecho un ebuild que creo que funciona. Se puede descargar desde:
https://gitlab.com/quilosaq/qq-gentoo/- ... -r1.ebuild

Se puede usar en un repositorio local o clonar el repositorio en el que está:
https://gitlab.com/quilosaq/qq-gentoo.git

Editado para actualizar enlace al ebuild.

[expobi]

!Aviso importante¡
Después de un tiempo funcionando con AutoFirma sin problemas y de unas cuantas actualizaciones del sistema también sin problemas, me dio por retomar la gestión de certificados en Gentoo y me encontre con esto en https://wiki.gentoo.org/wiki/Certificates

Certificados ca compatibles con OpenSSL

Las bibliotecas compatibles con OpenSSL usan el directorio /etc/ssl/certs como el almacén de confianza (predeterminado). Todos los certificados de confianza se enumeran en este directorio (generalmente a través de enlaces simbólicos a su ubicación real), junto con un único archivo ca-certificados.crt que tiene todos los certificados de CA confiables enumerados.

De manera predeterminada, este directorio se administra automáticamente a través del paquete app-misc/ca-certificates, que utiliza los certificados de CA del almacén de certificados de CA de Mozilla y los vuelve a empaquetar para usarlos con aplicaciones basadas en OpenSSL.

En la mayoría de los sistemas, este paquete ya estará instalado:

Code: Select all

root #emerge --ask app-misc/ca-certificates

Tras la instalación, este paquete

• 1 - genera el archivo de configuración /etc/ca-certificates.conf enumerando todos los certificados dentro de /usr/share/ca-certificates dentro del archivo de configuración
  2 - llama al script update-ca-certificates que lee en este archivo de configuración y actualiza el directorio /etc/ssl/certs en consecuencia

El script de actualización de certificados de ca también verifica si hay certificados proporcionados por el administrador en /usr/local/share/ca-certificates y agrega enlaces a esos certificados al directorio /etc/ssl/certs

Visto esto miro en /etc/ssl/certs y compruebo que tengo 126 archivos (que antes no tenia), por ejemplo: ._cfg0000_Sonera_Class_2_Root_CA.pem
Revisando donde apunta el enlace compruebo que apuntan a /usr/share/ca-certificates/mozilla/ igual que los otros 126 que se llaman igual pero sin el ._cfg0000_ y de igual contenido que también están en ese directorio.
Esto debe haber sucedido por haber creado el enlace /usr/local/share/ca-certificates/ apuntando a /usr/share/ca-certificates/ y al ejecutarse el script mencionado antes se han duplicado los enlaces a los certificados.
No me parecía muy correcto precisamente así que hice lo siguente:
Borre todos los enlaces de /etc/ssl/certs que empiezan por ._cfg0000_
Convertir el enlace /usr/local/share/ca-certificates/ en un directorio y copiar dentro AutoFirma_ROOT.crt
Funciona perfectamente, incluso mas rápido a la hora de buscar los certificados con AutoFirma
No se si en la instalación funcionara bien la misma creando /usr/local/share/ca-certificates como un directorio o como un enlace como puse al principio, la verdad ya no recuerdo con el detalle de entonces como funcionaba la instalación, con estos últimos pasos parece que funciona como debiera.
Siento si he causado algún problema a alguien con mis sugerencias.