Problemas con Kleopatra y los certificados FNMT

Hola.

Recientemente hablamos del uso de Autofirma vs Okular para manejar certificados digitales y principalmente firmar digitalmente. Ambas aplicaciones usan o pueden usar los sistemas (“almacenes”) de certificación de los navegadores, por lo que dada una instalación correcta de Firefox, por ejemplo, con su certificado digital correctamente importado (fichero.p12), ambas aplicaciones funcionarán sin mayor novedad.

Kleopatra es la aplicación proporcionada por Plasma Desktop para manejar certificación y firma. Es relativamente sencillo crear un par de claves y usarlas para estas cosas. Puedes firmar tus documentos desde libreoffice sin mayor historia.

Pero dado que en España tenemos los certificados digitales de la FNMT que funcionan bien con Autofirma u Okular, lo suyo sería poder utilizarlos también en LibreOffice. Y por lo que veo tiene que ser a través de Kleopatra.

He instalado esto alguna vez correctamente, pero normalmente tengo el mismo problema en cualquier versión de openSUSE. Si importo el certificado digital (el mismo que he utilizado en Firefox), me importa el raíz de la FNMT y uno secundario (FNMT Usuario) y el certificado digital, pero al consultar los detalles en “nivel de confianza” aparece “incorrecto” junto con un icono de interrogante. Luego en la lista en “identificadores de usuario” aparece el mismo error. Esto sucede tanto para mi certificado digital como con el de FNMT Usuario, mientras que el raíz AC aparece como “correcto”.

Y por supuesto, si listo las claves con gpg --list-keys o gpg --list-secret-keys no sale nada.

¿Alguien tiene esto correctamente configurado?

Salud!!

¿Te refieres a que se llene el campo de Id de los usuarios en Certificado ?

Lo hice en su momento, pero tuve que añadir el ocsp → http://ocsp.dnie.es
y después bajar unos certificados de la página de dnie e importarlos, ya que el de la fnmt, creo que estaba por cerrarse al público.

Hola. @soyasi .

Mi problema parece ser que desde el raíz OU=AC RAIZ FNMT-RCM (que pone que es correcto) cuelga el AC FNMT Usuarios (igual que en tu captura) y ése es marcado como incorrecto (primero se marca como correcto, y al consultar en detalles pasa a aparecer como incorrecto).

(he eliminado mi certificado que se muestra igual que el AC FNMT Usuarios.

También puedo estar entendiéndolo mal y el certificado personal no requiera que el de Usuarios esté correctamente, pero es la pista que tengo ahora mismo.

Salud!!



te dejo las imagenes por si te sirven de orientación.

Pero si no recuerdo mal (hace ya tiempo), una vez cargado los certificados en kleopatra , señalas el certificado y tienes que ir a la pestaña de certificados y validarlo.

Hola otra vez, @soyasi

Al añadir la Validación S/MIme → Validar certificados en línea con la URL y la firma he conseguido que funcione eso.

Ahora puedo firmar un documento y comprobar su validez. Pero ¿cómo se utiliza exactamente? Por ejemplo, si cifro un documento pdf con un texto, y abro el documento firmado con extensión p7s con okular no veré nada en el fichero (tampoco la firma digital). Tampoco veo cómo firmar digitalmente un documento de Libreoffice (y poder consultar su contenido al menos). ¿Cómo uso esto?

Salud!!

[añado]

Tampoco veo que funcione bien en LibreOffice, y si intento añadir una firma me dice que no fue posible validar el certificado.

En Kleopatra → Certificados no puedo usar más opciones que eliminar o detalles si selecciono mi certificado.

Salud!!

Pues tienes razón, he estado mirando y lo que me funcionaba a la perfección en la 15.4 ahora no me funciona en tumbleweed con libreoffice 7.5… :frowning:

Hola @soyasi .

Vale, estaba escribiendo este mensaje, se me dio por buscar por libreoffice y ahora que ya he acabado de jurar en arameo, resulta que es cosa de Mozilla y sus cosas y que hay que cambiar el “almacén de certificados” de Mozilla por el de Thunderbird… Yo pensaría que la idea de usarlo con Kleopatra era aceptar lo que le diese Kleopatra, pero por lo que se ve no…

En LibreOffice, Herramientas → Opciones → Seguridad → Certificados: cambias Firefox por thunderbird al menos si tienes éste instalado. Será cuestión de dar con una fórmula alternativa.

Lo bueno es que estaba probando la firma en Thunderbird, por eso lo tengo instalado.

Lo que iba contando, a mayores:

Al menos funciona bien en el correo (aunque yo pensaba que podría forzar a cualquier cuenta a usar cualquier certificado pero no va así, tiene que ser el mismo), también con Kmail: en la web fnmt solo citan thunderbird.

Por lo visto en Android esas firmas no le molan mucho a k-9 mail aunque sí parecen ir bien con Fairmail.

Salud!!

Hola
No viene al caso, pero tenéis la firma FNMT instalada en Firefox en el profile “default” o en otro profile?
Yo tengo problemas con eso, si instalo la firma en le profile “default”, Autofirma la detecta perfectamente, pero si está instalada en otro profile NO, la tengo que importar el fichero .p12 cada vez.

Hola!!

@daltcorda alguna vez tuve el mismo problema pero no sé si lo solucioné reconfigurando firefox… He visto que Autofirma no dispone de ninguna configuración para especificar lo que quieres usar.

@soyasi Después de darle vueltas al invento de usar Thunderbird, creo que no es necesario y basta con editar la confianza del FNMT Usuarios…

Salud!!

Te lo confirmo, es editando la confianza en el certificado del almacen de firefox, no se el motivo de porque cuando actualicé de la 15.4 a Tumbleweed se borraron las confirmaciones, pero al menos esto me ha servido para recordarlo. Kleopatra si funciona muy bien con kmail, llevo utilizandolo mucho tiempo y me he acostumbrado a él, los únicos certificados que uso hoy día son los de la FNMT, he dejado de usar los pgp, ya que de mi entorno, era el único usuario que los mantenía y eso que en mi empresa usamos un webmail que los crea y los permitía usar. Al final nuestro jefe de informática ocultó la opción, porque no había forma de que la gente los usara. :frowning:

@daltcorda pues en mi caso en la que tengo por defecto en firefox.

encontré este blog que te podría interesar @daltcordahttps://bitubuntu.canarisoft.es/2022/01/firma-digital-de-documentos-usando.html

1 Like

Hola.

@soyasi En kmail, ¿hay alguna forma de poder usar el mismo certificado digital con distintas cuentas? En particular para casos donde se quiera cambiar de cuenta, o bien se haya obtenido uno antes con una cuenta personal (ej. ejempresas con certificados de empresa obtenidos con cuentas de gmail)…

O también para una organización que tenga varias cuentas y quiera validarlas todas.

Salud!!

Los certificados de la fnmt o s/mime van asociados a una sola cuenta de correo, lo puedes verificar aqui si lo deseas.

Los certificados pgp son los únicos que puedes añadirles varios correos y usarlos en varios perfiles. Pero al dia de hoy, no los encuentro personalmente operativo.

Lo que puedes es crear un certificado s/mime, por cada cuenta de correo que tengas y crear un perfil para cada uno de ellos, buscando por internet he encontrado este que los facilita gratuitamente, pero no lo he probado.
En su día, sí recuerdo que probé los de cacert, que me permitió generar uno por cada correo, pero dejé de usarlos cuando me caducaron, ya que no eran reconocidos por todas las entidades.

Gracias, @soyasi

Una cosa, ¿en tu organización cómo hacéis? ¿tenéis un certificado para cada persona que use cuenta de correo o cómo os organizáis?

Salud!!

Como te comenté anteriormente en mi organización se permitía el uso del pgp, para cada usuario, hasta que se ocultó la opción, nadie lo usaba y eso que yo a nivel personal, era y soy partidario de usarlo. Solo había que darle a una pestaña y se generaba en automático.

La opción del s/mime también está, pero no genera uno para cada usuario automáticamente, en este caso se solicita al jefe de informática y éste lo genera y lo pone a tu disposición. Solo tienes que generar un p10 con los datos y enviarlo. Pero al día de hoy, solo me consta que se han generado 56, algo ridículo.

La recomendación es firmar y cifrar, pero es algo opcional.

1 Like

Gracias.

El asunto para sorpresa de nadie es de vagancia xD, es decir, yo tengo el mío con mi cuenta de correo personal pero no me supone problema pedir un certificado nuevo (aunque sea molesto que un documento que sirve precisamente para representarte no sirva para cambiar él certificado).

Pero intento mentalizar a algunos clientes en determinados buenos hábitos, y quería que el de usar herramientas de firma y demás fuera uno de ellos. Pero algunos tienen sus certificados expedidos antes de tener sus dominios y por ende de sus cuentas de correo. Así que tendré que convencerles de que los cambien y tendrán que ir presencialmente.

Salud!!