# [Howto] Dnie [Acceso, firma y Ebuild]

## Arctic

DNI-e  

Este HowTo permite conseguir de manera rápida y sencilla el funcionamiento de los lectores DNI-e bajo sistemas Linux de (32 y 64 bits) .

Permite la autentificación y firma electrónica en cualquier Web que sea compatible con DNI-e

Testeado con un lector externo bit4id y uno interno de Coolbox.

Esta nueva versión, resuelve el problema de todas las dependencias inversas y añade nuevas uses que pueden ser interesantes a la hora de poner en funcionamiento el lector de nuestro DNI-e

```
-acr38u Deshabilitada por defecto, habilita la libreria libacr38u que usan muy pocas lectoras.

-pcsc-tools Sirve para testetar nuestra tarjeta antes de instalar los certificados en el navegador.
```

El ebuild no se encuentra actualmente dentro del portage oficial de gentoo, si no sabes instalar un portage local ,he agregado un pequeño manual mas abajo llamado Portage Local.

Tambien incluyo instruciones para los usuarios que no usen Gentoo Linux o no desean usar portage para instalar DNI-e ,en ese caso saltar a Instalación sin Portage ,pero recordar que necesitais los paquetes del apartado Lector.

Ebuild :

```

# Copyright 1999-2006 Gentoo Foundation

# Distributed under the terms of the GNU General Public License v2

# $Header: $

EAPI=5

DESCRIPTION="OpenDNI-e"

HOMEPAGE="http://opendnie.cenatic.es"

SRC_URI="http://forja.cenatic.es/frs/download.php/latestfile/290/${P}.tar.gz"

LICENSE="GPL-2"

SLOT="0"

KEYWORDS="alpha ~amd64 ~x86 ~x86-fbsd"

IUSE="-acr38u -pcsc-tools"

S="${WORKDIR}/opensc-0.12.2"

DEPEND="sys-apps/pcsc-lite[udev]

        app-crypt/ccid[usb]

        sys-apps/pcsc-lite

        app-crypt/ccid

        acr38u? (

                app-crypt/acr38u

                )

        pcsc-tools? (

                sys-apps/pcsc-tools

                )"

RDEPEND="${DEPEND}"

src_configure() {

   econf

}

src_install() {

    emake DESTDIR="${D}" install

}

pkg_postinst() {

        elog "Recuerda inciar el servicio:"

        elog "#/etc/init.d/pcscd start"

        elog "y añadirlo de modo permanente:"

        elog "#rc-update add pcscd default"

        elog

        elog "No olvides añadir tu usuario al grupo pcscd y reiniciar sesión:"

        elog "#gpasswd -a vuestro_usuario pcscd"

        elog

        elog "Para mas información, preguntas o problemas consulta esta url:"

        elog "http://forums.gentoo.org/viewtopic-t-923326.html"

}

```

Lector:

Si has activado la use pcsc-tools

Ejecuta: 

```
pcsc_scan
```

Y luego introduce tu tarjeta, si todo esta correcto debería aparecer algo como esto:

```
PC/SC device scanner

V 1.4.18 (c) 2001-2011, Ludovic Rousseau 

Compiled with PC/SC lite version: 1.7.4

Using reader plug'n play mechanism

Scanning present readers...

0: C3PO LTC31 (00452764) 00 00

Tue May 15 19:36:54 2012

Reader 0: C3PO LTC31 (00452764) 00 00

Card state: Card inserted, 

ATR: 1A 2B 36 00 00 00 8k 44 5L 49 1A 2B 36 00 00 00 8K 44 5L 49

ATR: 3B 7F 38 00 00 00 6A 44 4E 49 65 2B 36 00 00 00 8K 44 5L 49

+ TS = 3B --> Direct Convention

+ T0 = 7F, Y(1): 0111, K: 15 (historical bytes)

TA(1) = 38 --> Fi=744, Di=12, 62 cycles/ETU

64516 bits/s at 4 MHz, fMax for Fi = 8 MHz => 129032 bits/s

TB(1) = 00 --> VPP is not electrically connected

TC(1) = 00 --> Extra guard time: 0

+ Historical bytes: 00 8k 44 5L 49 1A 2B 36 00 00 00 8K 44 5L 49

Category indicator byte: 00 (compact TLV data object)

Tag: 6, len: A (pre-issuing data)

Data: 1A 2B 36 00 00 00 8k 44 5L 49

Mandatory status indicator (3 last bytes)

LCS (life card cycle): 03 (Initialisation state)

SW: 9000 (Normal processing.)

Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):

1A 2B 36 00 00 00 8k 44 5L 49 1A 2B 36 00 00 00 8K 44 5L 49

1A 2B 36 00 00 00 8k 44 5L 49 1A [1,2]0 36 00 00 00 8K 44 5L 49

DNI electronico (Spanish electronic ID card)

http://www.dnielectronico.es
```

Portage Local:

El ebuild lo instalais en la siguiente ruta que no deja de ser un overlay local :

```
/usr/local/portage/dev-libs/opensc-opendnie/opensc-opendnie-0.12.2.ebuild
```

accedeis al directorio que contiene el ebuild arriba mencionado y escribis esto:

```
ebuild opensc-opendnie-0.12.2.ebuild digest
```

en vuestro /etc/portage/make.conf debeis de tener esta linea:

```

PORTDIR_OVERLAY="/usr/local/portage"
```

Instalación sin Portage:

Si quereis instalar sin utilizar portage , bien porque os gusta hacerlo a la antigua usanza o  bien porque el ebuild ha dejado de funcionar , descargais este archivo :

http://forja.cenatic.es/frs/download.php/1332/opensc-opendnie-0.12.2.tar.gz

Si por cualquier motivo el enlace no funcionase la pagina oficial es esta:

http://opendnie.cenatic.es

descomprimis el archivo descargado, entrais en el directorio descomprimido como root:

```
./configure
```

```
make
```

```
make install
```

Configuración del navegador (fireFox)

Una vez instalado el ebuild y sus dependencias o compilado a mano las fuentes , añadis el certificado desde firefox como narra el pdf de ayuda oficial:

 *Quote:*   

> 3.2.2
> 
> Manualmente
> 
> Se debe ejecutar el Firefox y a través del menú “Preferencias / Avanzado / Cifrado /
> ...

 

En nuestro caso gentoo lo instala en /usr/lib64 o /usr/lib 

Una vez agregado , ya estamos casi en posicion de probarlo solo faltan unos detalles que son muy importantes :

Necesitamos un navegador que maneje certificados , en este caso elegimos firefox.

Para poder firmar en firefox hace falta una serie de cambios:

Primero:

 *Quote:*   

> Escriba "about:config" (sin comillas y sin http o www. delante) en la barra de direcciones donde escribe habitualmente las direcciones de las páginas web. Pulse la tecla "Intro" en el teclado; en función de la versión del navegador que tenga instalada, puede mostrarse un mensaje de advertencia que deberá aceptar para continuar. Se mostrará una página con un listado de preferencias en la parte inferior. Sobre éste aparecerá una línea en blanco con el nombre "Filtro". En este campo escriba la palabra "signed" (también sin comillas) y pulse "Intro" en el teclado de nuevo.
> 
> La lista habrá quedado reducida a una sola preferencia (signed.applets.codebase_principal_support). A la derecha, debajo de la columna "Valor" aparecerá "false" o "true". Asegúrese de que el valor está en "true" y si aparece "false" haga doble clic sobre la línea para que el valor cambie a "true", que es el correcto.

 

Segundo:

 *Quote:*   

> A continuación acceda a "Firefox", "Opciones", "Opciones" ("Firefox", "Preferencias" en Mac; "Edición", "Preferencias" en Linux) en el menú de la parte superior; marque la opción "Avanzado" y seleccione la pestaña "Cifrado". Compruebe que la opción "Preguntar siempre" esté marcada para que la selección del certificado al acceder a las opciones de la página que lo requieran sea correcta. 
> 
> Haga clic en el botón "Ver certificados". Compruebe que su certificado esté correctamente instalado y verifique que en la pestaña "Autoridades" aparece (si la entidad emisora indica que es necesario) el certificado raíz de la entidad emisora de su certificado. Por ejemplo, si se trata de la FNMT localícela en la lista y márquela de tal modo que se habilite el botón "Editar"; las tres opciones que aparecen deben estar marcadas para que el funcionamiento sea correcto. 

 

En nuestro caso el cetificado no aparece como FNMT sino como Dirección de Policia , salvo esa incidencia este texto lo he sacado de la agencia tributaria , lo podeis seguir con ilustraciones aqui :

http://soporte.aeat.es/aplicaciones/A3Cknowledge.nsf/vwPreguntasLecturaContribuyentes/14272747624E1F3DC12575F5005A4009?OpenDocument

Lo he puesto anteriormente en quotes para dejar constancia en el foro si modificaban la url.

Tercero:

Esto es algo que no viene en ninguna lado , es renegociar los certificados :

Tecleamos de nuevo about:config en la barra de direcciones de firefox y modificamos:

```
“security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref”:
```

lo dejamos en True haciendo click encima .

Bueno ahora ya tenemos todo listo para hacer la prueba de acceso y firma:

Accedemos a la pagina oficial de prueba de DNIe:

http://www.dnielectronico.es/como_utilizar_el_dnie/verificar.html

Introducimos el dnie y clickamos el enlace de abajo de  todo:

Nos pedirá la contraseña de nustro DNI ,la introducimos y ya estamos identificados , despues nos proporcionara una prueba de firma , escribimos cualquier cosa que nos parezca y le damos a firmar , nos aparecerá una nueva ventana , mas completa que la anterior , introducimos la contraseña de nuevo , pero antes de darle a firmar cambiar el cetificado en esa misma ventana ,ya que existen dos, uno es de acceso y otro de firma, no se porque narices carga predeterminado el de acceso y da error al firmar , hacerlo y vereis que la firma se realiza con éxito.

Ya teneis vuestro DNIe 100% funcional en Gentoo linux.

----------

## johnlu

Bien, parece que con tu guía se resuelve el problema que tenía yo con la firma con la verificación en la web oficial. En cuanto tenga un poco de tiempo probaré con tus indicaciones a ver si puedo solucionarlo.

¡Muchas gracias Arctic!

----------

## majoron

Hola,

Muchas gracias, Arctic por el howto. He probado a hacer 

```
emerge -v opensc-dnie
```

pero me da error:

```
>>> Install opensc-dnie-1.4.7 into /var/tmp/portage/dev-libs/opensc-dnie-1.4.7/image/ category dev-libs

make -j5 DESTDIR=/var/tmp/portage/dev-libs/opensc-dnie-1.4.7/image/ install 

make: *** No hay ninguna regla para construir el objetivo `install'.  Alto.

emake failed

 * ERROR: dev-libs/opensc-dnie-1.4.7 failed (install phase):

 *   make failed

 * 

 * Call stack:

 *     ebuild.sh, line  85:  Called src_install

 *   environment, line 151:  Called die

 * The specific snippet of code:

 *       emake DESTDIR="${D}" install || die "make failed"

 * 

 * If you need support, post the output of 'emerge --info =dev-libs/opensc-dnie-1.4.7',

 * the complete build log and the output of 'emerge -pqv =dev-libs/opensc-dnie-1.4.7'.

 * This ebuild is from an overlay named 'x-portage': '/usr/local/portage/'

 * The complete build log is located at '/var/log/portage/dev-libs:opensc-dnie-1.4.7:20120627-113709.log'.

 * The ebuild environment file is located at '/var/tmp/portage/dev-libs/opensc-dnie-1.4.7/temp/environment'.

 * S: '/var/tmp/portage/dev-libs/opensc-dnie-1.4.7/work/opensc-1.4.7'

>>> Failed to emerge dev-libs/opensc-dnie-1.4.7, Log file:

>>>  '/var/log/portage/dev-libs:opensc-dnie-1.4.7:20120627-113709.log'
```

En efecto, he ido al directorio de trabajo

```
/var/tmp/portage/dev-libs/opensc-dnie-1.4.7/work/opensc-1.4.7
```

y veo que no se ha creado el Makefile.

He intentado modificar el ebuild, pero no logro que funcione.

He añadido un bloque

```
src_compile() {

   econf

   emake || die

}

```

Pero sigue sin ir. Esta vez dice:

```
>>> Compiling source in /var/tmp/portage/dev-libs/opensc-dnie-1.4.7/work ...

 * QA Notice: econf called in src_compile instead of src_configure

 * ERROR: dev-libs/opensc-dnie-1.4.7 failed (compile phase):

 *   no configure script found

 * 

 * Call stack:

 *          ebuild.sh, line  85:  Called src_compile

 *        environment, line 143:  Called econf

 *   phase-helpers.sh, line 472:  Called die

 * The specific snippet of code:

 *              die "no configure script found"

 * 

 * If you need support, post the output of 'emerge --info =dev-libs/opensc-dnie-1.4.7',

 * the complete build log and the output of 'emerge -pqv =dev-libs/opensc-dnie-1.4.7'.

 * This ebuild is from an overlay named 'x-portage': '/usr/local/portage/'

 * The complete build log is located at '/var/log/portage/dev-libs:opensc-dnie-1.4.7:20120627-120420.log'.

 * The ebuild environment file is located at '/var/tmp/portage/dev-libs/opensc-dnie-1.4.7/temp/environment'.

 * S: '/var/tmp/portage/dev-libs/opensc-dnie-1.4.7/work/opensc-1.4.7'

>>> Failed to emerge dev-libs/opensc-dnie-1.4.7, Log file:

>>>  '/var/log/portage/dev-libs:opensc-dnie-1.4.7:20120627-120420.log'

```

He probado otras cosas, como poner la llamada a econf en un bloque "src_configure()", y mil marranadas más, pero es la primera vez que trasteo con ebuilds y estoy dando palos de ciego.

Lo he instalado a mano y parece que me ha funcionado, pero me ha frustrado un poco no saber usar correctamente el ebuild.

¿Será algo mal configurado en el overlay?

¿Tendá algo que ver el hecho de que la versión del ebuild y la del paquete son distintas (aunque veo que tu ebuild parece tener en cuenta eso)?

En cualquier caso muchas gracias y saludos.

----------

## majoron

Hola de nuevo,

He seguido probando y al final lo he resuelto. Al menos en mi caso el siguiente ebuild funciona:

```
# Copyright 1999-2012 Gentoo Foundation

# Distributed under the terms of the GNU General Public License v2

# $Header: $

EAPI=3

DESCRIPTION="Driver OpenDNIe para el DNI electrónico"

HOMEPAGE="http://opendnie.cenatic.es"

SRC_URI="http://forja.cenatic.es/frs/download.php/1332/opensc-opendnie-0.12.2.tar.gz"

LICENSE="GPL"

SLOT="0"

KEYWORDS="~amd64"

IUSE=""

DEPEND=""

RDEPEND="${DEPEND}"

S="${WORKDIR}/opensc-0.12.2"

src_configure() {

   econf

}

src_compile() {

   emake || die

}

src_install() {

   emake DESTDIR="${D}" install || die "make failed"

}

```

Perdón por las molestias y gracias de nuevo.

Saludos.

----------

## Arctic

Me alegro de que solucionases el problema   :Smile: 

Un saludo

----------

## Arctic

Actualización:

Nuevo ebuild ,que resuelve dependencias y solicita USES de modo automatico, tambien nos muestra un minihowto al final de la compilación para que no olvidemos detalles importantes.

Salu2

----------

## Arctic

Actualización en ebuild:

Debido a cambios en la ubicación del archivo que descarga el ebuild, lo he actualizado con la nueva URL.

Salu2

----------

## cameta

Por cierto buenas noticias: He podido renovar las letras del tesoro en la web del tesoro mediante Linux y el certificado de la FNMT y no he tenido que hacerlo en windows como hasta ahora. El sistema de firma es ahora con Java y no con el asqueroso control de active X.

Supongo que tambien debera de funcionar el DNIe pero no he podido comprobarlo ya que no tengo ninguno.

----------

## Arctic

Actualizada la URL en el ebuild.

La nueva url usa cifrado, la posteo aqui por si alguien la quiere utilizar para descarga directa:

https://forja.cenatic.es/frs/download.php/file/1332/opensc-opendnie-0.12.2.tar.gz

----------

## Arctic

Ebuild update:

Changelog:

-Añadidas dos USE

-Añadida comprobación de USE en dependencias inversas

-Simplificación del código

-Solventado bug al descomprimir

----------

## cameta

Hola,

por lo que leí la última versión de opensc-0.14  tiene soporte para el DNIe.

https://github.com/OpenSC/OpenSC/blob/master/NEWS

New in 0.14.0; 2014-05-31

* new card driver DNIe

Por lo que voy a provar si funciona.

----------

## cameta

Pues no acaba de funcionar, falla el login.

----------

## Arctic

¿Que fallo te da?¿Te aparece la ventana para introducir la contraseña? 

El ebuild contiene las librerías para interactuar con DNIe, lo que desconozco, es si valdrá para la última versión que están desplegando estos últimos meses.

La versión que utiliza el ebuild es la última disponible de : 

https://forja.cenatic.es/

----------

## cameta

Si aparece la ventana para introducir la contraseña pero esta claro que esta no llega al DNIe.

Y este es detectado sin duda

pcsc_scan

```
Possibly identified card (using /usr/share/pcsc/smartcard_list.txt):

3B 7F 38 00 00 00 6A 44 4E 49 65 20 02 4C 34 01 13 03 90 00

3B 7F 38 00 00 00 6A 44 4E 49 65 [1,2]0 02 4C 34 01 13 03 90 00

        DNI electronico (Spanish electronic ID card)

        http://www.dnielectronico.es

```

----------

## Arctic

 *cameta wrote:*   

> Si aparece la ventana para introducir la contraseña pero esta claro que esta no llega al DNIe.
> 
> Y este es detectado sin duda
> 
> pcsc_scan
> ...

 

Esos números, solo dicen que el lector de tarjetas está funcionando. El problema de existir está en el módulo de DNIe

¿El problema te ocurre en todas las webs o sólo en una en concreto?

Los problemas que suelen indicar que las librerias no están correctamente instaladas, no dan opción a que aparezca esta ventana de password en gtk, mejor comprueba eso antes, ya que he visto problemas particulares en web concretas que se deben mas a configuraciones del navegador que al del dnie. 

Salu2

----------

## cameta

 *Quote:*   

> ¿El problema te ocurre en todas las webs o sólo en una en concreto? 

 

No, no es un problema de las webs.

Si voy a preferences, security devices,

Log in

Please enter the master password for the DNI electrónico (PIN1).

entro el pin 

Failed to login.

Si, como comentas podría ser que fallase el modulo del DNIe, a fin de cuentas lo que pretendo es que funciones con esto

dev-libs/opensc-0.14.0:

 U I

 - - ctapi            : Use CT-API for accessing Smartcard hardware. 

 - - doc              : Add extra documentation (API, Javadoc, etc). It is recommended to enable per package instead of globally

 - - openct           : Use dev-libs/openct (and CT-API) for accessing Smartcard hardware. 

 + + pcsc-lite        : Use sys-apps/pcsc-lite (and PC/SC API) for accessing Smartcard hardware. 

 + + readline         : Enable support for libreadline, a GNU line-editing library that almost everyone wants

 - - secure-messaging : Enable secure messaging. 

Dejo también la versión de mi DNI

dnie-tool -V

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

DNIe Version:  DNIe 01.13 B11 H 4C34 EXP 1-(4.6-2)

 + + ssl              : Add support for Secure Socket Layer connections

 + + zlib             : Add support for zlib (de)compression

----------

## Arctic

¿Con que versión estás realizando las pruebas?¿Con la 0.12.3 del ebuild o con la 0.14 del GIT?

----------

## cameta

Con la 0.14.0 del ebuild

----------

## Arctic

 *cameta wrote:*   

> Con la 0.14.0 del ebuild

 

Desconozco el autor que matiene ese git, mi ebuild lo he creado deun repositorio "oficial" citados directamente en la web de la dirección de policía o FNMT. 

Aunque leo que soporta dnie, no lo he testeado. Dada su finalidad, la versión del ebuild en la mayoria de los casos hace su trabajo. Si el proyecto despunta se puede meter como una versión superior del ebuild en unos meses.

Un saludo

----------

## cameta

https://miguelmenendez.pro/es/articulos/instalar-lector-tarjetas-dni-electronico-espanol-debian-8-jessie.html

Según esta guia el DNIe funciona con el opensc-0.14

----------

## Arctic

 *cameta wrote:*   

> https://miguelmenendez.pro/es/articulos/instalar-lector-tarjetas-dni-electronico-espanol-debian-8-jessie.html
> 
> Según esta guia el DNIe funciona con el opensc-0.14

 

De esa guía que está muy bien documentada saco varios puntos en claro:

-Hay que descargarse los certificados de la policía uno a uno e instalarlos

-Como pone en el artículo no es el código "retocado" por la policía, lo cual puede acarrear algún bug menor.

-Tardas mucho más tiempo en instalarlo que con el ebuild 

-Tienes que instalar el soporte para gtk o qt adicionalmente.

No le veo ninguna ventaja al método de instalar ni al controlador, ya que en debian tienes .deb de la policía en todas las versiones estables, al igual que en Ubuntu y Opensuse. 

Y lo más importante, la tienes en gentoo dentro del repositorio principal, aunque esta marcada como testing.

https://packages.gentoo.org/package/dev-libs/opensc

Salu2

----------

## cameta

Bueno lo cierto es que estoy instalando la cosa con el ebuild de gentoo.  

Mi sospecha es que hay algo que falla en el resolv.conf

O que haya bloqueado el DNI sin darme cuenta.

----------

## Arctic

 *cameta wrote:*   

> Bueno lo cierto es que estoy instalando la cosa con el ebuild de gentoo.  
> 
> Mi sospecha es que hay algo que falla en el resolv.conf
> 
> O que haya bloqueado el DNI sin darme cuenta.

 

El resolv.conf no tiene nada que ver

Mas bien puede que lo tengas bloqueado, o bien que tengas el certificado caducado, dura 30 meses creo :/

----------

## cameta

Puedo hacer varias cosas: probar con el antiguo ebuild que hay aquí para descartar problemas o probar en otro pc que tengo.

PS

Suerte de los certificados de la FNMT porque esto del DNIe es simplemente un saco de problemas.

----------

## pcmaster

 *Arctic wrote:*   

> 
> 
> Mas bien puede que lo tengas bloqueado, o bien que tengas el certificado caducado, dura 30 meses creo :/

 

Antes duraban 30 meses (2 años y medio) ahora ya los dan por 5 años.

----------

## cameta

Finalmente he conseguido hacer funcionar el famoso DNIE con opensc-0.14

He emergido opensc con estas uses

dev-libs/opensc-0.14.0::gentoo  USE="pcsc-lite readline secure-messaging ssl zlib -ctapi -doc -openct" 0 KiB

tras seguir la guía, instalar los certificados. importar el modulo pkscs  me encontraba que no me pedía el pin. 

Lo he solucionado gracias a esto:

https://github.com/OpenSC/OpenSC/issues/201

y esta guía de kubunto.

http://fpkanarias.blogspot.com.es/2013/03/kubuntu-instalar-dni-electronico.html

En nuestro caso lo importante es modificar la linea del /etc/opensc/conf

 enable_pinpad = false;

voy a ver si hablo con artic para hacer un buen how to.

----------

## cameta

Por cierto he conseguido bajar el actualizador del firmware desde el internet arxive porque  la empresa ya cerro.

----------

## pcmaster

Con la última versión de opensc (0.15.0) ya funciona. Lo he probado sacando una historia laboral en la web de la seguridad social.

He puesto un bug para añadir nuevo ebuild al portage (está hasta la versión 0.14.0)

Saludos,

----------

## cameta

Con 0.14 funciona el DNIe, aunque en la página del BBVA no me ha funcionado.

----------

## pcmaster

Hola,

Con la versión 0.14 parecía funcionar, pero nunca lo he logrado. Parece que inicia la sesión, pero no autentica.

Por lo visto hay un bug.

https://bugzilla.redhat.com/show_bug.cgi?id=1186005

De  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=731235

opensc (0.14.0-1) unstable; urgency=medium

 .

   * New upstream release. (Closes: #746694, #731235, #746663)

   * debian/watch: Update to new GitHub location.

   * debian/patches/0001-pkcs15_compute_cert_length.diff,

     debian/patches/0002-fix-for-aventra-myeid.diff: Drop upstreamed

     patches.

   * debian/opensc.install: Install new dnie-tool.

   * debian/control: Fix Vcs-Git path.

   * debian/control: Use new GitHub homepage.

----------

## pcmaster

Hola de nuevo,

El Firefox, en Editar -> Preferencias -> Avanzado hay dos botones: "Ver certificados" y "Dispositivos de seguridad".

Con la versión 0.14.0, en "Dispositivos de seguridad" veo el DNIe, inicio sesión y pide el PIN, todo correcto, pero en "Ver certificados" no salen, y en las web no autentica.

Con la versión 0.15, en "Ver certificados" pide el pin y muestra los 2 certificados: el de firma y el de autenticación. Y en las web funciona bien.

Más info:

He comprobado que para que la versión 0.14.0 pida el pin al pulsar en "Ver certificados" hay que compilarla con la opción --enable-dnie-ui (hay que modificar el abuild) pero sigo sin ver los certificados.

Cameta, ¿Qué versión de Firefox estás usando? A ver si va a ser el navegador...

He bajado el navegador a la última versión estable (38.1.1) y casi lo mismo: Tanto si pongo en --enable-dnie-ui como si no, ahora siempre pide pin, pero siguen sin salir los certificados.

Con la 0.15.0, sí se ven.

----------

## cameta

Hola,

a mi con la 0.14 me funciona.

dev-libs/opensc-0.14.0::gentoo  USE="pcsc-lite readline secure-messaging ssl zlib -ctapi -doc -openct

¿Cuanto te sacaste ese DNI? Hay varias versiones del mismo.

----------

## pcmaster

Hola,

Es nuevecito (abril de 2015) pero NO es de los nuevos de la versión 3.0 que llevan NFC, sino de los de siempre.

Cuando me lo saqué los nuevos todavia no se expedían en Barcelona.

De todas formas, en mi caso la versión 0.15 sí funciona, y tengo opensc compilado con las mismas USEs:

```
# emerge -av opensc

These are the packages that would be merged, in order:

Calculating dependencies... done!

[ebuild   R   ~] dev-libs/opensc-0.15.0::x-portage  USE="pcsc-lite readline secure-messaging ssl zlib -ctapi -doc -openct" 0 KiB

Total: 1 package (1 reinstall), Size of downloads: 0 KiB

Would you like to merge these packages? [Yes/No] 

```

Es posible que sea como tú dices la versión del DNI, porque en el portátil con Ubuntu me pasa exactamente lo mismo. Y la solución también ha sido actualizar opensc a la versión 0.15.0

Vale , lo he encontrado: hay un bug en la versión 0.14 que impide que los certificados se muestren en los DNIe más nuevos :

https://github.com/OpenSC/OpenSC/issues/451

Saludos.

----------

## cameta

Hola,

vale, el mio es de agosto de 2014. Si ese funciona perfectamente con opensc-0.14.

Espera a ver si puedo sacar la infomación de mi dni.

PS

```
dnie-tool -V 

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

DNIe Version:  DNIe 01.13 B11 H 4C34 EXP 1-(4.6-2)

```

Si te fijas aparece una versión. 

.

----------

## pcmaster

Hola,

Sí, el mío es más nuevo:

$ dnie-tool -V

Using reader with a card: Cherry GmbH SmartTerminal XX1X [Smart Card Reader CCID] 00 00

DNIe Version:  DNIe 03.11 A12 H 7798 EXP 2-(5.1-1)

----------

## cameta

http://www.informaley.com/normativa/resolucion-1a0-38123-2007-16-mayo-del-centro-criptologico-nacional-certifica-seguridad-del-documento-nacional-identidad-electronico-version-1-13-con-las-dos-configuraciones-dnie-1-13-a11-h4c34-exp1-1-y-dnie-1-13-b11-h4c34-exp1-1-desarrollado-fabrica-nacional-moneda-y-timbrereal-casa-moneda_0_4664950.html

Fijate que en esta resolución aparece que hay varias versiones y configuraciones.

Yo tengo la versión  01.13 con una configuración B11 H 4C34 EXP 1-

----------

## pcmaster

Hola,

Y yo tengo la versión 3.11 con una configuración A12 H 7798 EXP 2-(5.1-1), lo puedes ver en el mensaje anterior. Más nuevo, no soportado en la versión 0.14

Asunto resuelto.   :Smile: 

Saludos,

----------

## cameta

Hola,

se podría intentar hacer el ebuild con la 0.15 aprovechando el de la 0.14.

----------

## pcmaster

Hola,

Ya hay un bug para que lo pongan.

El de la versión 0.14 funciona con la 0.15, pero has de descargar las fuentes manualmente popque no las descarga automáticamente.

Saludos.

----------

## cameta

Cuando pueda probare a ver si puedo hacer que funcione.

----------

## pcmaster

Hola,

Lo encontré.

Para que funcione, en el ebuild, donde pone:

SRC_URI="mirror://sourceforge/${PN}/${P}.tar.gz"

hay que añadir una línea debajo y poner

RESTRICT="mirror"

para que no lo descargue de los mirrors de Gentoo, porque no está. Se descargará directamente desde sourceforge.

Así ya se puede hacer el Manifest.

----------

## cameta

Fantástico.

Aprovecha para eliminar el /usr/local/portage del make.conf si no los has hecho. Está obsoleto.

https://wiki.gentoo.org/wiki/Overlay/Local_overlay

----------

## pcmaster

Hola de nuevo,

La versión 0.15.0 ya está en portage.

Ahora para poder usar el DNIe sin problemas es suficiente con instalar dicha versión y los certificados para el navegador de la web del dnie.

----------

## cameta

Ya he instalado la 0.15 y funciona.

Eso si, no ha sido posible actualizar el firmware de mi lector ya que el programa que lo hace sólo funciona en windows y en wine falla.

----------

## Arctic

Si, he visto algún documento en Debian donde usan opensc (con soporte finalmente a DNI), la parte latosa es que hay que descargar 5 certifados y 2 cosillas más. Los certificados algunos son válidos hasta 2036, pero otros hay que descargarlos cada 2 años. Ahora bien, creo que sigue siendo más rápido usar el ebuild que descargar 7 ficheros a mano e instalarlos uno a uno y tener que editar la confianza de los mismos.

Mi dnie tiene 5 años y nunca me ha dado problemas en linux. El nuevo 3.0 incluye la tarjeta sanitaria y el carnet de conducir, además de NFC, bla bla bla .......

Lo que tendrían que mejorar es el chip en si, y homologar las lectoras de smartcards, pues muchas veces se estropean por culpa de la lectora. A mi se me estropeo en 2 ocasiones con la misma lectora, funcionaba bien y al entrar en un par de sitios zasca ...... al menos no necesitas cita previa y te dan un duplicado al instante.

Lo que me parece también una lata es tener que ir a comisaría cada 30 meses a renovar los certificados en la máquinita. Como estés trabajando en el extranjero te hacen la puñeta por citar un ejemplo.

Otra posibilidad para ahorrarte la lectora es solicitar los certificados de la FNMT, no dan problemas y no necesitas lectora de smartcards.

----------

## cameta

los certificados de la FNMT, no dan problemas y no necesitas lectora de smartcards.

Van de fabula. Realmente el chip del DNI es un puro adorno engorroso. 

En cuanto al 3.0, sigue cometiendo el mismo fallo de planteamiento.

----------

## pcmaster

De adorno, nada.

Un certificado instalado en el navegador puede ser copiado por un malware. Y el mismo malware puede instalar algún método para robarte el pin.

Además, Firefox no ayuda en absoluto. Pide el PIN cuando instalas el certificado, no cuando lo usas, así que si lo dejas instalado lo único que impide que alguien pueda identificarse como tú si usa tu ordenador es la contraseña de inicio de sesión en el sistema.

Se puede arreglar instalando el certificado en un pendrive, con un sofware como el clauer de la universidad Jaume I (usado por idCAT, y que puede descargarse desde http://clauer.nisu.org/), así al menos el certificado sólo está disponible cuando metes el pendrive, y te pide la contraseña cuando lo pinchas en el USB.

Pero sigue siendo copiable. Sin embargo al DNIe no lo es, ya que el cifrado se realiza dentro del chip, y el certificado no se puede sacar del mismo. Además si te pones en modo paranoico puedes usar un lector de DNIe con entrada de pin de clase 2, lo que significa que el PIN no pasa por el ordenador, sino que se envía directamente desde el teclado hasta el lector.

Un ejemplo de teclado dicha función es este teclado Cherry: http://www.cherry.de/PDF/ES_SmartBoard_G83-6644.pdf

De esta forma, ningún virus o troyano puede robarte un PIN que no llega al PC.

----------

## cameta

Todo muy bien, pero acabo de descubrir que el chip de mi dnie está muerto y no funciona. 

Pura basura de pésima calidad.    :Mad:   :Mad:   :Mad: 

----------

## pcmaster

Hola,

Prueba a ir  ala oficina donde lo expiden, a ver si te lo renuevan gratis por avería o no.

Los nuevos que están haciendo ahora van como los antiguos, y además por NFC.

Ya nos contarás.

----------

## cameta

Renovación por caducidad, extravío, sustracción, anticipo o deterioro                        10,60 Euros

Renovación con el DNI en vigor por cambio de datos  (de filiación y/o domicilio),

así como acreditar ser beneficiario de la condición de familia numerosa                     Gratuito

Vaya que si me hago una operación de cambio de SEXO  me lo hacen GRATIS, en todos los demás casos A PAGAR.

 :Twisted Evil:   :Twisted Evil:   :Twisted Evil:   :Twisted Evil:   :Twisted Evil: 

----------

## cameta

Solución:

Acudir a una oficina de expedición del DNIe, y solicitar una REIMPRESION del documento.

- No se necesita cita previa, Pero es posible que en función de la cantidad de gente os hagan esperar más o menos, o incluso os den un "pase" para que podáis acudir en otro momento

- El funcionario os hará probar el chip en el PAD, para ver que efectivamente está roto, y que no os queréis colar "por la jeta"

- El procedimiento es gratuito

Bueno, bueno, eso es otra cosa...  :Twisted Evil:   :Twisted Evil:   :Twisted Evil: 

Ahora a ver si se entera el funcionario de turno. Voy a buscar en la legislacion.

----------

## cameta

Voy a escribir un correo electrónico a la oficina técnica. Creo que es donde más conocen del asunto, pero por lo que estoy leyendo si es un fallo del chip te han de cambiar el DNI gratis.

----------

## cameta

He recibido respuesta:

Solicite una cita previa, lleve su DNIe y la tasa en este caso sería gratuita.

Pues ya esta, la cita me sale para el mes de mayo. Llevaré el email por si acaso no vaya a ser que quieran cobrarme la tasa.  :Twisted Evil:   :Twisted Evil:   :Twisted Evil: 

----------

## pcmaster

Te remito a mensajes anteriores en este mismo hilo: el nuevo DNIe muy probablemente no te funcionará con la versión 0.14 de opensc, si no lo has hecho ya tendrás que actualizar a la 0.15, que también está en portage.

----------

## cameta

Ya está actualizado a 0.15.   :Wink: 

----------

## pcmaster

Hola,

Tengo un problema con la firma digital. En algunas webs (parece ser las que usan java) me sale un error de "se han pedido alias a un almacén no inicializado".

Ocurre el mismo error tanto con el DNIe como con un certificado instalado en el navegador.

¿Alguna idea?

----------

## cameta

Pon algunas de las web. Yo tengo la firma electrónica de la FNMT o sea que puedo darle un vistazo.

----------

## pcmaster

Hola,

la que me está dando problemas es www.mifirma.com

Parece algún error de java: cuando voy a firmar, pongo los datos, pide permiso para ejecutar la aplicación java, pide el PIn del DNIe... y luego salen dos mensajes: uno de que se ha producido un error y otro diciendo que se ha pedido alias a un almacén no inicializado.

En la consola de Java:

```
SEVERE: java.lang.IllegalStateException: Se han pedido alias a un almacen no inicializado

   at es.gob.afirma.keystores.AOKeyStoreManager.getAliases(Unknown Source)

   at es.gob.afirma.keystores.AggregatedKeyStoreManager.getAliases(Unknown Source)

   at es.gob.afirma.keystores.AOKeyStoreDialog.getNameCertificates(Unknown Source)

   at es.gob.afirma.keystores.AOKeyStoreDialog.show(Unknown Source)

   at es.gob.afirma.miniapplet.SelectPrivateKeyAction.a(Unknown Source)

   at es.gob.afirma.miniapplet.SelectPrivateKeyAction.run(Unknown Source)

   at java.security.AccessController.doPrivileged(Native Method)

   at es.gob.afirma.miniapplet.MiniAfirmaApplet.a(Unknown Source)

   at es.gob.afirma.miniapplet.MiniAfirmaApplet.sign(Unknown Source)

   at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

   at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)

   at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)

   at java.lang.reflect.Method.invoke(Method.java:498)

   at sun.plugin.javascript.Trampoline.invoke(Unknown Source)

   at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)

   at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)

   at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)

   at java.lang.reflect.Method.invoke(Method.java:498)

   at sun.plugin.javascript.JSClassLoader.invoke(Unknown Source)

   at sun.plugin2.liveconnect.JavaClass$MethodInfo.invoke(Unknown Source)

   at sun.plugin2.liveconnect.JavaClass$MemberBundle.invoke(Unknown Source)

   at sun.plugin2.liveconnect.JavaClass.invoke0(Unknown Source)

   at sun.plugin2.liveconnect.JavaClass.invoke(Unknown Source)

   at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$DefaultInvocationDelegate.invoke(Unknown Source)

   at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$3.run(Unknown Source)

   at java.security.AccessController.doPrivileged(Native Method)

   at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo.doObjectOp(Unknown Source)

   at sun.plugin2.main.client.LiveConnectSupport$PerAppletInfo$LiveConnectWorker.run(Unknown Source)

   at java.lang.Thread.run(Thread.java:745)
```

----------

## cameta

A mi con la firma electrónica de la FNMT me ha funcionado perfectamente

----------

## pcmaster

Hola,

¿Qué versión de java y navegador tienes instalada? Porque me estoy oliendo que va a ser la versión de java o alguna chuminada en la configuración.

----------

## cameta

Mira te dejo mi navegador y mis uses

www-client/firefox-38.7.0::gentoo  USE="dbus gmp-autoupdate jemalloc3 jit minimal startup-notification -bindist -custom-cflags -custom-optimization -debug -egl -gstreamer -gstreamer-0 -hardened (-neon) (-pgo) -pulseaudio (-selinux) -system-cairo -system-icu -system-jpeg -system-libvpx -system-sqlite {-test} -wifi" LINGUAS="-af -ar -as -ast -be -bg -bn_BD -bn_IN -br -bs -ca -cs -cy -da -de -el -en_GB -en_ZA -eo -es_AR -es_CL -es_ES -es_MX -et -eu -fa -fi -fr -fy_NL -ga_IE -gd -gl -gu_IN -he -hi_IN -hr -hu -hy_AM -id -is -it -ja -kk -km -kn -ko -lt -lv -mai -mk -ml -mr -nb_NO -nl -nn_NO -or -pa_IN -pl -pt_BR -pt_PT -rm -ro -ru -si -sk -sl -son -sq -sr -sv_SE -ta -te -th -tr -uk -vi -xh -zh_CN -zh_TW" 0 KiB

dev-java/icedtea-bin-7.2.6.5:7::gentoo  USE="alsa cups gtk nsplugin webstart -cjk -doc -examples -headless-awt -nss -pulseaudio (-selinux) -source" 0 KiB

Ah si, y mira esto

https://es.scribd.com/doc/284787846/Manual-Instrucciones-Firma-Digital

describen precisamente el error que sufres.

----------

## pcmaster

Hola,

Gracias por la respuesta. He mirado el enlace que citas y dice que en http://valide.redsara.es/ puede comprobarse. Pues bien, me da el mismo error.

He creado los enlaces

ibnspr4.dylib

libplds4.dylib

libplc4.dylib

libmozsqlite3.dylib 

libnssutil3.dylib

que dice la guía, he recompilado firefox con las mismas opciones que el tuyo (excepto pulseaudio, que me es necesario), he eliminado icedtea y he dejado sólo el jdk de oracle (tengo el jdk porque lo necesitaba para netbeans, el jdk lleva un jre incorporado), he instalado la versión 1.8 y la 1.7, que el sistema se niega a tener sólo la 8 instalada.

Cada una de las dos versiones instala su propio plugin en el navegador, aunque el que instala la versión 1.7 el navegador saca un mensaje diciendo que es vulnerable y debe actualizarse.

```

$ eselect java-vm list

Available Java Virtual Machines:

  [1]   oracle-jdk-bin-1.7  system-vm user-vm

  [2]   oracle-jdk-bin-1.8 
```

He probado activando tanto uno como el otro, con idéntico resultado.

```
$ eselect java-nsplugin list

Available 32-bit Java browser plugins

Available 64-bit Java browser plugins

  [1]   oracle-jdk-bin-1.7  current
```

Sólo muestra el 1.7, activado.

En la configuración de java he instalado los certificados y he dado permisos al sitio. Pues nada, el mismo error, después de pedir el PIN del DNI, sale el mismo mensaje.

¿En tu caso estás usando Icedtea? Mi sistema quería instalarlo, sin embargo en portage aparege como masked.

Es cosa de java seguro, porque en otras web, como la de la seguridad social, puedo obtener una vida laboral tanto con el DNIe como con el idCAT, pero ni en mifirma ni en valide.redsara.es funciona ninguno de los dos.

De hecho, en valide.redsara.es -> validar certificado, ni funciona el botón para elegir uno.

Hace algunos meses había firmado alguna propuesta en mifirma, por tanto estoy seguro que alguna actualización  ha fastidiado algo.

¿Alguna idea?

----------

## cameta

prueba a sacar el pulse audio.

----------

## pcmaster

Hola,

Gracias pero no, lo he probado y no es eso.

De todas formas me parece más fallo de algo en la configuración de Java que en la del navegador, porque el programa PADRE de la renta he comprobado que tampoco permite elegir certificado.

Será cosa de seguir investigando.

----------

## cameta

Sabes que tengo una teoría.

A mi el programa padre me funciona perfectamente. 

Es probable que entre las diferentes versiones de java tengas una configuración corrupta.

Elimina los directorios de configuración de java (o renombralos)

----------

## quilosaq

 *pcmaster wrote:*   

> ...
> 
> porque el programa PADRE de la renta he comprobado que tampoco permite elegir certificado.
> 
> ...

 

Si usas Firefox prueba a desactivar la opción de "Usar una contraseña maestra".

----------

## pcmaster

Hola quilosaq,

La opción de usar una contraseña maestra NO la tengo activada.

----------

## cameta

Borra el ~/.java

----------

## cameta

Por cierto ya tengo el nuevo DNI 3.0 y NO FUNCIONA.

```
dnie-tool -a

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

Error: Get info failed: Unsupported CLA byte in APDU
```

----------

## pcmaster

He eliminado todas las versiones de java e instalado la última versión de icedtea, he borrado el ~/.java y... sigue igual.

Por cierto, en icedtea... ¿dónde está el panel de configuración?

--- edito ---

El panel ya lo he encontrado, hay que ejecutar itweb-settings desde un terminal. No sale en los menús.

----------

## cameta

Hola,

¿has probado a crear un nuevo usuario?

Es una manera segura de comprobar que no se deba a alguna configuración.

----------

## pcmaster

Hola,

Sí lo había probado. Pero no con un usuario nuevo, sino con un segundo usuario que tengo, que lo uso una vez cada eones, precisamente para probar estas cosas.

Y tampoco funcionaba.

Acabo de probarlo con un usuario nuevo, y ¿bingo! ha funcionado. Ahora toca buscara  ver qué configuración es la que falla. No me atrevo a borrar a sí de primeras el ~/.mozilla, porque perdería todos los favoritos y contraseñas guardadas, pero... bueno, ya contaré si averiguo exactamente la causa.

----------

## cameta

 *Quote:*   

> Acabo de probarlo con un usuario nuevo, y ¿bingo! ha funcionado

 

 :Very Happy: 

Esto significa que es culpa de alguna versión antigua de java que ha dejado una configuración fantasma incompatible con las nuevas versiones.

Bueno, ahora yo tengo un flamante DNI 3.0 que no es reconocido por opensc 0.15. Eso si que es una CHAPUZA.

----------

## pcmaster

Prueba a instalar la versión 0.16-rc2 a ver si lo han solucionado:

https://github.com/OpenSC/OpenSC/releases

----------

## cameta

Gracias, intentaré montar un ebuild con el.

----------

## cameta

Aprovechando que 0.16 ya esta en portage lo he probado y el resltado es que sigue fallando. Bueno una nueva muestra de porque el dnie NO FUNCIONA y no se usa.

----------

## pcmaster

Hola,

A ver si te sirve esto: https://github.com/OpenSC/OpenSC/wiki/Debugging-OpenSC-and-reporting-bugs

Puedes intentar usar opensc-tool para ver la identificación de la tarjeta y, si no consigues que funcione, reportarlo.

Edito: han credo un bug sobre el DNIe 3.0: https://github.com/OpenSC/OpenSC/issues/810

----------

## cameta

Directamente es que no identifica ni la tarjeta.

----------

## cameta

Dejo esto aquí como información:

Con el antiguo DNIe  (los datos personales han sido editados)

```
tux cameta # dnie-tool -a

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

DNIe Number:   00000000A

SurName:       ESPAÑOL

Name:    ESPAÑOL

IDESP:   AGR148953

DNIe Version:  DNIe 01.13 B11 H 4C34 EXP 1-((4.2-5))

Serial number: 06CFC2227A398A

```

Con un DNIe 3.0

```
tux cameta # dnie-tool -a

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

Error: Get info failed: Unsupported CLA byte in APDU
```

----------

## cameta

```
cameta@tux ~ $ opensc-tool -a

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

3b:7f:38:00:00:00:6a:44:4e:49:65:20:02:4c:34:01:13:03:90:00

cameta@tux ~ $ opensc-tool -n

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

dnie

cameta@tux ~ $ opensc-tool --serial

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

06 CF C2 22 7A 39 8A ..."z9.
```

Con el DNI 3.0

```
cameta@tux ~ $ opensc-tool -a

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

3b:7f:96:00:00:00:6a:44:4e:49:65:20:01:01:55:04:10:03:90:00

cameta@tux ~ $ opensc-tool -n

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

dnie

cameta@tux ~ $ opensc-tool --serial

Using reader with a card: C3PO LTC31 v2 (00509883) 00 00

sc_card_ctl(*, SC_CARDCTL_GET_SERIALNR, *) failed

```

También hay que señalar que esto corrompe el servicio PCSCD y lo vuelve incapaz de leer ninguna tarjeta

----------

## cameta

Bueno he actualizado el bug con toda la información que he podido obtener.

----------

## RayOfLight

yo he tenido muchos problemas con opensc pcsc-lite y sobretodo con firefox-pkcs11, y al añadir USE="secure-messaging" a opensc 0.16 he logrado resultados, creo que tengo un DNIv1.  :Smile: 

----------

## pcmaster

En la versión 0.17.0 de OpenSC se ha añadido soporte para DNIe 3.0:

https://github.com/OpenSC/OpenSC/issues/1062

Aún no ha salido la versión definitiva pero sí la -rc1: https://github.com/OpenSC/OpenSC/releases que no está en portage.

----------

## cameta

Fantástico que ya haya salido la 0.17. Tenía que funcionar con las fuentes de desarrollo.

----------

## cameta

Bueno, ahora si que ya ha salido.

----------

## cameta

El DNI 3.0 funciona perfectamente con el opensc 0.17

----------

## pcmaster

Por un posible fallo de seguridad todos los certificados expedidos desde abril de 2015 han sido revocados. Cuando se haya resuelto el problema de seguridad se podrán actualizar en el punto de renovación del DNIe.

----------

## cameta

Directamente usad la firma electrónica de la FNMT y menos problemas.

----------

## pcmaster

Ya hace días que está resuelto y se pueden actualizar.

----------

## pcmaster

Desde la actualización d elos nuevos certificados me haba dejado de funcionar. No sabía si era por el navegador, la versión de java o qué otra cosa.

Con la versión 0.18.0 de opensc (recién añadida a portage) vuelve a funcionar.

----------

## cameta

¿No me digas que con los nuevos certificados había dejado de funcionar?

esto del DNIe no deja de ser una locura.

----------

## pcmaster

En mi caso, sí, aunque no puedo estar seguro de que sea la causa, pero llevaba una temporadita kaput. Incluso llegué a pensar que era cosa del java. El fallo era que el sistema pedía el PIN, veía los certificados, elegía uno y entonces no hacía nada. 

En la web de OpenSC pone que la nueva versión 0.18 corrige un bug con la interface de usuario del DNIe, o sea que algo raro había y lo han arreglado.

----------

## cameta

Actualizo

1º Para hacer funcionar el DNIe con la nueva versión de dev-libs/opensc-0.21.0

hay que instalar app-crypt/ccid-1.4.33::gentoo USE="usb -kobil-midentity -twinserial"

O en caso contrario no os va a detectar el lector del DNIe

```
dnie-tool

No smart card readers found.   

```

2º Los certificados de mi DNIe están revocados desde el 2017 por la famosa vulnerabilidad ROCA (CVE-2017-15361.

No me había dado cuenta porque uso la firma electrónica de la FNMT. Ahora es cuestión de ir a la comisaria y ver si puedo renovarlos. No hay duda esto del DNIe es capaz de volver loco al Gran Hacker.  :Razz:   :Razz:   :Razz:   :Razz:   :Razz: 

----------

## cameta

Pues ya he ido a comisaría y me han de hacer un DNIe nuevo. Todos los DNIe expedidos en 2016 ya no pueden actualizar sus  firmas electrónicas. Ya me han dado cita para expedirme un DNIe nuevo mañana.

----------

## pcmaster

 *cameta wrote:*   

> Actualizo
> 
> 1º Para hacer funcionar el DNIe con la nueva versión de dev-libs/opensc-0.21.0
> 
> hay que instalar app-crypt/ccid-1.4.33::gentoo USE="usb -kobil-midentity -twinserial"
> ...

 

Los USE  kobil-midentity y twinserial son para unos lectores muy concretos:

https://linux.die.net/man/8/kobil_midentity_switch

https://www.cardps.com/gemalto-gempc-twin-serial

así que si tienes un lector normal y corriente los USE que has puesto son los que deberías haber tenido siempre  :Wink: 

----------

## cameta

 *Quote:*   

> Los USE kobil-midentity y twinserial son para unos lectores muy concretos: 

 

A mi me ha funcionado perfectamente con la use USB.

Por cierto ya tengo el DNI nuevo, y a diferencia del antiguo me he dado cuenta que después de entrar la contraseña del DNI (la ventana donde entro es distinta que la que tenía antes) aparece la pantalla donde te ofrece la opción de continuar con el DNIe o usar cualquier certificado.

Si le das a la del DNIe te da el siguiente error.

No ha sido posible inicializar su DNIe

Se continuará con el almacén por defecto del sistema.

De manera curiosa los certificados del DNIe aparecen sin problemas por lo que podemos firmar igual. Si usamos la opción usar cualquier certificado no hay error y también tenemos los certificados del DNIe.  :Shocked: 

Mi versión de DNIe

DNIe Version:  DNIe 04.21 A9 H 0155 EXP 2-(5.3-6)

----------

## pcmaster

 *cameta wrote:*   

> Pues ya he ido a comisaría y me han de hacer un DNIe nuevo. Todos los DNIe expedidos en 2016 ya no pueden actualizar sus  firmas electrónicas. Ya me han dado cita para expedirme un DNIe nuevo mañana.

 

Pues los certificados de mi DNIe son válidos desde enero de 2020 hasta enero de 2022, los renové antes de la pandemia, y el DNIe caduca en 2025 (me lo dieron por 10 años, o sea que debió ser en 2015).

Ya veré si el año que viene puedo renovar o no los certificados.

DNIe Version:  DNIe 03.11 A12 H 7798 EXP 2-(5.1-1)

----------

## cameta

Una validez de sólo dos años es ridícula. 

En fin yo creó que no tardarán mucho hasta hacer una versión 4.0... que aún funcionará  peor.  :Razz:   :Razz:   :Razz:   :Razz: 

¿Te he comentado que un de los puntos donde renuevas los certificados del DNI estaba colgado?

Estoy seguro que el pobre pc está lleno de polvo hasta el tope y claro eso provoca recalentamientos.   :Twisted Evil:   :Twisted Evil:   :Twisted Evil: 

----------

## xickwy

 *pcmaster wrote:*   

>  *cameta wrote:*   Pues ya he ido a comisaría y me han de hacer un DNIe nuevo. Todos los DNIe expedidos en 2016 ya no pueden actualizar sus  firmas electrónicas. Ya me han dado cita para expedirme un DNIe nuevo mañana. 
> 
> Pues los certificados de mi DNIe son válidos desde enero de 2020 hasta enero de 2022, los renové antes de la pandemia, y el DNIe caduca en 2025 (me lo dieron por 10 años, o sea que debió ser en 2015).
> 
> Ya veré si el año que viene puedo renovar o no los certificados.
> ...

 

Puedes renovarlos antes de tiempo. Yo aproveché a renovarlos cuando se olvido la parienta la contraseña

----------

## pcmaster

 *xickwy wrote:*   

> 
> 
> Puedes renovarlos antes de tiempo. Yo aproveché a renovarlos cuando se olvido la parienta la contraseña

 

De momento voy a seguir la máxima de "si funciona, no lo toques".   :Very Happy: 

----------

