martes, 14 de abril de 2026

Ubuntu 24. Instalar certificados de tarjeta pkcs#11. Problemas de certificados caducados.

 Ya se vio en una entrada anterior como hacerlo con ubuntu 18

Veamos ahora para Ubuntu 24


1. Instalación de drivers y reconocimiento de la tarjeta

#1. Instalar drivers
sudo apt update
sudo apt install pcscd pcsc-tools libccid opensc

#2. Activar el servicio
sudo systemctl enable --now pcscd

#3. Conectar el lector y meter el DNIe
pcs_scan

#4. Verificar que se detecta el lector y aparece DNIe Spain (eid)

#5. Salir con Ctrl + C


Y el pcs_scan da esta salida:

pcsc_scan
PC/SC device scanner
V 1.7.1 (c) 2001-2022, Ludovic Rousseau <ludovic.rousseau@free.fr>
Using reader plug'n play mechanism
Scanning present readers...
0: Identiv uTrust 2700 R Smart Card Reader [CCID Interface] (53691541213332) 00 00
 
Tue Apr 14 08:48:06 2026
 Reader 0: Identiv uTrust 2700 R Smart Card Reader [CCID Interface] (53691541213332) 00 00
  Event number: 25
  Card state: Card inserted, 
  ATR: 3B 7F 96 00 00 00 6A 44 4E 49 65 10 01 01 55 04 21 03 90 00

ATR: 3B 7F 96 00 00 00 6A 44 4E 49 65 10 01 01 55 04 21 03 90 00
+ TS = 3B --> Direct Convention
+ T0 = 7F, Y(1): 0111, K: 15 (historical bytes)
  TA(1) = 96 --> Fi=512, Di=32, 16 cycles/ETU
    250000 bits/s at 4 MHz, fMax for Fi = 5 MHz => 312500 bits/s
  TB(1) = 00 --> VPP is not electrically connected
  TC(1) = 00 --> Extra guard time: 0
+ Historical bytes: 00 6A 44 4E 49 65 10 01 01 55 04 21 03 90 00
  Category indicator byte: 00 (compact TLV data object)
    Tag: 6, len: A (pre-issuing data)
      Data: 44 4E 49 65 10 01 01 55 04 21
    Mandatory status indicator (3 last bytes)
      LCS (life card cycle): 03 (Initialisation state)
      SW: 9000 (Normal processing.)

Possibly identified card (using /home/eduard/.cache/smartcard_list.txt):
3B 7F 96 00 00 00 6A 44 4E 49 65 10 01 01 55 04 21 
#Autenticación
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so \
--read-object --type cert --label CertAutenticacion \
| openssl x509 -inform DER -noout -dates

# Firma
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so \
--read-object --type cert --label CertFirmaDigital \
| openssl x509 -inform DER -noout -dates


"color: #6600ee; font-weight: bold;">03 90 00
3B 7F 96 00 00 00 6A 44 4E 49 65 10 01 01 55 04 .. 03 90 00
	DNIE Spain (eID)
	http://www.dnielectronico.es/PortalDNIe/


2. Comprobar que el sistema ve los certificados y que no estan caducados

Se ejecuta:

pkcs11-tool --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so -O

y nos da información sobre los certificados de autenticación, firma y certificados intermedios:
  • CertAutentication (comprobaremos nuestros datos de autenticación)
  • CertFirmaDigital (mostrará nuestrso datos de firma)
  • Pueden aparecer otros certificados intermedios como CertCAIntermediaDGP
Y ahora debemos comprobar que los certificados de autenticación y firma no estén caducados

#Autenticación
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so \
--read-object --type cert --label CertAutenticacion \
| openssl x509 -inform DER -noout -dates

# Firma
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so \
--read-object --type cert --label CertFirmaDigital \
| openssl x509 -inform DER -noout -dates

Y para cada sentencia contesta las fechas de validez:

Using slot 0 with a present token (0x0)
notBefore=Feb 12 10:29:00 2024 GMT
notAfter=Feb 12 10:29:00 2026 GMT


3. Problema de certificado caducado.

He renovado el certificado y me dice que está caducado. Parece ser que se guarda el primer certificado en la cache. Para ello conviene borrar caché y reinciar el servicio

#1. Borrar la caché del opensc
sudo rm -rf ~/.cache/opensc

#2. Matar y reiniciar el servicio pcscd
sudo pkill -f opensc
sudo systemctl restart pcscd

#3. Esperar 2-3 segundos y volver a verificar
pkcs11-tool --module /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so \
--read-object --type cert --label CertAutenticacion \
| openssl x509 -inform DER -noout -dates


Y ahora ya sale bien:

Using slot 0 with a present token (0x0)
notBefore=Apr 14 07:41:32 2026 GMT
notAfter=Apr 14 07:41:32 2028 GMT


4. Instalación en Mozilla

Con esto ya funciona en Chrome y Brave. A veces puede que no funcione y para solucionarlo se explica en el punto 5. Para que funcione en Mozilla Firefox, podemos tener el mismo problema de que se guarde el certificado antiguo en la caché.

4.1 Arreglar el tema de los certificados caducados

4.1.1 Ver donde se guardan los certificados de Mozilla

Primeramente vamos a ver donde estan los certificados de Mozilla

#1. Ver donde estan los certificados
ls ~/.mozilla/firefox/

#2. Y devuelve_
  35j7fxvk.default   
  72s3mnjv.default-release-1588245081987
  'Crash Reports'   
  installs.ini  
  'Pending Pings'   
  profiles.ini

Los dos candidatos son :

35j7fxvk.default   
72s3mnjv.default-release-1588245081987

Ahora hacemos 

cat ~/.mozilla/firefox/profiles.ini

y nos nuestra

[Install4F96D1932A9F858E]
Default=72s3mnjv.default-release-1588245081987
Locked=1

[Profile1]
Name=default
IsRelative=1
Path=35j7fxvk.default
Default=1

[Profile0]
Name=default-release
IsRelative=1
Path=72s3mnjv.default-release-1588245081987

[General]
StartWithLastProfile=1
Version=2

con lo que el candidato es 35j7fxvk.default

Y para listar los certificados o si tiene el OpenSC

#1. Listar certificados instalados
certutil -L -d sql:$HOME/.mozilla/firefox/35j7fxvk.default

#2. Ver si está el OpenSC instalado
modutil -dbdir sql:$HOME/.mozilla/firefox/35j7fxvk.default -list

4.1.2 Borrar la BD del perfil (solo si continua con los certificados caducados)

rm ~/.mozilla/firefox/35j7fxvk.default/cert9.db
rm ~/.mozilla/firefox/35j7fxvk.default/key4.db
rm ~/.mozilla/firefox/35j7fxvk.default/pkcs11.txt

4.2 Instalar el pkcs11 en Mozilla

Si no hay problemas de caducados se puede comenzar aquí.
Abrimos mozilla y en la url "about:preferences#privacy"
Tenemos que buscar Certificados - Dispositivos de Seguridad


Pulsa “Cargar”
Asumimos el niombre por defecto y escribimos (y no vamos al selector de archivos pues falla):
Ruta del módulo: /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so
Acepta

5. Instalación en Chrome

Si no funciona, reaiizar estos pasos:
1. Instalar soporte NSS tools

sudo apt install libnss3-tools

2. Añadir módulo manualmente
modutil -dbdir sql:$HOME/.pki/nssdb -add "DNIe" -libfile \ /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so

Seguramente dirá que se cierre Chrome (y también hay que cerrar Brave) pues puede dañar la base de datos.

3. Reiniciar Chrome (y Brave)

Publicado por en
Etiquetas: , , , , , , , ,

No hay comentarios :

Publicar un comentario

Suscribirse a: Enviar comentarios ( Atom )