DNI electrónico en Mandriva 2010

Hola:

(Ir al final por si lo quiere alguien en OpenSuse)

Voy a contaros como hice funcionar el DNI electrónico en Mandriva 2010. Lo había intentado anteriormente con las instrucciones de http://www.kriptopolis.org/acceso-dni-electronico-mandriva-xp sin haberlo conseguido. Desistí del tema, y al recibir el lector de Tractis, lo volví a intentar. Creo que estas instrucciones podrían funcionar en cualquier distro rpm (p.ej opensuse) sólo cambiando urpmi (p.ej en opensuse por "zypper in")

Lo primero es tener configurado el lector según las instrucciones que vengan en el mismo. Eso lo dejo a cada uno, en el caso del mío se reduce a ejecutar un script que viene en el cd. (Por cierto es el scr3310 v2.0)

Parto de una Mandriva 2010 actualizada. Comenzamos como root instalando unos paquetes que nos harán falta:


urpmi libopenct1 libopensc2 pinentry pcsc-lite pcsc-tools
ln -s /usr/lib/libcrypto.so.0.9.8 /usr/lib/libcrypto.so.7


El paso de linkar a otra versión de la librería no estoy seguro de que sea necesario, pero como es una dependencia para después....por si acaso.

Lo siguiente es bajar el paquete del dnie para fedora:


wget http://www.dnielectronico.es/descargas/PKCS11_para_Sistemas_Unix/1.4.6.Fedora_10_32/Fedora_Core_10_o...


Lo descomprimimos con

tar xvf ./Fedora_Core_10_opensc-dnie-1.4.6-2.fc10.i386.rpm.tar


Ahora vamos con la chicha. Yo creo que el problema está en la versión de opensc 0.11.9 (creo) que viene con Mandriva, quizás con la 0.11.7 funcionaría, pero para evitar problemas y asegurarme cojo el paquete de fedora.


urpmi --allow-nodeps --allow-force opensc-0.11.7-7-fc10.i386.rpm


En mi caso, tuve que hacerlo un par de veces, ya que la primera se paró después de bajar una de las dependencias.A lo que os pregunte decir que sí.
Ahora vamos con lo importante:


rpm -ivh opensc-dnie-1.4.6-2.fc10.i386.rpm


Aquí saltaron varios errores de gnome al abrir el navegador. En Oficina debía de estar el enlace que dice algo así como "registrar módulo...", si no basta con ejecutar /usr/share/opensc-dnie/inst_pkcs11_cert.pl y seguir las instrucciones.

En este paso es mejor reiniciar para que coja todos los cambios, al entrar en la sesión volverá a saltar la pantalla de firefox para instalar el certificado raíz.

Este es un buen momento para (con el dni en el lector) probar a ver como está la cosa, ya no hace falta que seamos root:


pcsc_scan

Que da este resultado (he quitado cosas, algo similar os debía de salir):


PC/SC device scanner
V 1.4.15 (c) 2001-2009, Ludovic Rousseau
Compiled with PC/SC lite version: 1.5.5
Scanning present readers...
Waiting for the first reader...found one
Scanning present readers...
0: SCM SCR 3310 [CCID Interface] 00 00
Tue Nov 17 19:42:19 2009
Reader 0: SCM SCR 3310 [CCID Interface] 00 00
Card state: Card removed,
Tue Nov 17 19:42:45 2009
Reader 0: SCM SCR 3310 [CCID Interface] 00 00
Card state: Card inserted,
ATR: 3B 7F 38 00 00 00 6A xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ATR: 3B 7F 38 00 00 00 6A 44 4E xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
+ TS = 3B --> Direct Convention
+ T0 = 7F, Y(1): 0111, K: 15 (historical bytes)
TA(1) = 38 --> Fi=744, Di=12, 62 cycles/ETU
64516 bits/s at 4 MHz, fMax for Fi = 8 MHz => 129032 bits/s
TB(1) = 00 --> VPP is not electrically connected
TC(1) = 00 --> Extra guard time: 0
+ Historical bytes: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Category indicator byte: 00 (compact TLV data object)
Tag: 6, len: A (pre-issuing data)
Data: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Mandatory status indicator (3 last bytes)
LCS (life card cycle): 03 (Initialisation state)
SW: 9000 (Normal processing.)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
DNI electronico (Spanish electronic ID card)
http://www.dnielectronico.es

O probar con:


pkcs11-tool -IO


Que sale algo parecido a:


...errores varios...
Cryptoki version 2.20
Manufacturer OpenSC (www.opensc-project.org)
Library smart card PKCS#11 API (ver 0.0)
Certificate Object, type = X.509 cert
label: CertCAIntermediaDGP
ID: 5338363230xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Public Key Object; RSA 2048 bits
label: CertCAIntermediaDGP
ID: 5338363230xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Usage: encrypt, verify

Si estos comandos reconocen el lector y el DNI electrónico, luego podemos probar a poner el pin para ver más cosas:


pkcs11-tool -IO --pin TUPIN


Si hasta aquí vamos bien, ahora sólo falta configurar firefox (el urpmi como root, por supuesto, el resto no):


urpmi mozilla-plugin-opensc


Y después (cambiando TUHOME por el nombre de tu usuario y NOMBREPERFIL por la carpeta que tengáis dentro):


modutil -add DNIE -libfile /usr/lib/opensc-pkcs11.so -dbdir /home/TUHOME/.mozilla/firefox/NOMBREPERFIL


Si no tenemos errores, ya podemos abrir firefox y dirigirnos a https://av-dnie.cert.fnmt.es/compruebacert/compruebacert , donde después de añadir la excepción de seguridad debería pedirnos el pin y mostrarnos una página con nuestros datos.

Por último, como hemos instalado una versión de opensc más antigua que la que hay en el repositorio, hay que decirle a urpmi que no la actualice nunca:


echo opensc >> /etc/urpmi/skip.list


Saludos a todos, espero que os funcione.

Para OpenSuse (resumido):

- Opensuse 11.2 actualizada

zypper in libopenct1 libopensc2 pinentry pcsc-lite mozilla-nss-tools libreadline5 libltdl3

- Por cierto, ¿cuál es el paquete para pcsc_scan?

ln -s /usr/lib/libcrypto.so.0.9.8 /usr/lib/libcrypto.so.7
wget http://www.dnielectronico.es/descargas/PKCS11_para_Sistemas_Unix/1.4.6.Fedora_10_32/Fedora_Core_10_o...
tar xvf ./Fedora_Core_10_opensc-dnie-1.4.6-2.fc10.i386.rpm.tar
zypper in opensc-0.11.7-7.fc10.i386.rpm

Creo que elegí la opción 2 - el tema es que continúe la instalación. Tendría que mirar las opciones de zypper para ver cual es la de forzar la instalación.

rpm -ivh opensc-dnie-1.4.6-2.fc10.i386.rpm

Todo esto como root. A partir de aquí como usuario:

- modutil -add DNIE -libfile /usr/lib/opensc-pkcs11.so -dbdir /home/TUHOME/.mozilla/firefox/NOMBREPERFIL

Faltaría añadir que no se actualice el paquete opensc, pero en OpenSuse no se como va...