Instalación y uso de lector criptográfico del SAE (Junta de Andalucía) en UBUNTU

Posted on por

Actualización 11/09/08: manual actualizado a particularidades de Firefox 3.
Actualización 04/10/08: corregida la instalación del lector de tarjetas, ahora libccd está en los repositorios (gracias a J. Félix Ontañón por el aviso).

Seguro que si algunos de vosotros residís en Andalucía ya habéis pasado por vuestra oficina del INEM o SAE (Servicio Andaluz de Empleo) para recoger el lector criptográfico y la tarjeta que os permite renovar la demanda de empleo (sellar el paro, según el dicho popular) con la ayuda de Internet, con lo que no hay que faltar a clase ni al trabajo ni moverse de nuestro PC. Hasta ahora, me tenía que salir a Windows para aprovechar las ventajas de este sistema, pero con esta guía que he desarrollado, ya no es necesario. Podemos hacerlo con nuestro Ubuntu. El lector que poseemos se parece en algo a este:

Y en 6 pasos, lo tendremos funcionando bajo Linux. Veamos cómo.

Paso 0. Instalar JRE (Java Runtime Enviroment): No sé por qué pero no la página de la Oficina Virtual del SAE no coge bien el plugin Java Firefox en su última versión (la 6, update 3). Así que decidí instalar un JRE antiguo como el enlace al que te señalan en la página de dicha Oficina Virtual. En concreto, debéis bajar este archivo. Una vez descargado, le dais permisos:

neonigma@neonigma-desktop:~/descargas/sae$ sudo chmod +x j2re-1_4_2_03-linux-i586.bin

Esto es necesario para la nueva Ubuntu Hardy Heron:

neonigma@neonigma-desktop:~/descargas/sae$ export _POSIX2_VERSION=199209

Lo instalais aquí mismo si queréis:

neonigma@neonigma-desktop:~/descargas/sae$ ./j2re-1_4_2_03-linux-i586.bin

Y lo movéis a una ubicación conocida:

neonigma@neonigma-desktop:~/descargas/sae$ sudo mv j2re1.4.2_03/ /usr/local/

Instalamos este JRE como alternativa:

neonigma@neonigma-desktop:~$ sudo update-alternatives --install "/usr/bin/java" "java" "/usr/local/j2re1.4.2_03/bin/java" 1

Configuramos la alternativa a elegir:

neonigma@neonigma-desktop:~$ sudo update-alternatives --config java

Escogemos el número que contenga la entrada /usr/local/j2re1.4.2_03/bin/java y pulsamos Intro.

Ahora enlazamos el plugin de Java con Firefox, para que el navegador reconozca los applets Java. Primero eliminamos los anteriores enlaces simbólicos, por si ya existieran:

neonigma@neonigma-desktop:~$ sudo rm /usr/lib/firefox/plugins/libjavaplugin_oji.so

Seguidamente, creamos los enlaces simbólicos:

neonigma@neonigma-desktop:~$ sudo ln -s /usr/local/j2re1.4.2_03/plugin/i386/ns610-gcc32/libjavaplugin_oji.so /usr/lib/firefox/plugins/

Hay que cuidar que sea el directorio de firefox correcto que estemos ejecutando.

Hecho esto, ya sólo nos queda reiniciar Firefox y probar que Java es totalmente reconocido por Firefox en esta página. Si no te ha ido bien, comprueba que Editar -> Preferencias -> Contenido -> Activar Java esté activado. Si te sigue sin verificar bien el plugin, deja un comentario.

Paso 1. Instalar middleware PC/SC: Es el middleware que conecta el software criptográfico con el lector de tarjetas. Se encuentra en los repositorios, así que podemos instalarlo de la siguiente forma:

neonigma@neonigma-desktop:~/descargas/sae$ sudo apt-get install pcscd pcsc-tools

Paso 2. Instalación del driver del lector del tarjetas: En el caso que nos ocupa, el lector de tarjetas proporcionado por la Junta de Andalucía es el modelo 3121 de Omnikey, que utiliza el estándar CCID. En la actualidad estos drivers los proporciona el paquete libccid, así que para instalarlos basta con escribir:

neonigma@neonigma-desktop:~/descargas/sae$ sudo apt-get install libccid

Paso 3. Driver de la tarjeta: La Junta de Andalucía provee en el CD-ROM que entrega con el lector los drivers de la tarjeta criptográfica para Linux. En mi caso, los drivers están en /media/cdrom0/tarjeta/Linux y el nombre de archivo es HiPath_SIcurity_Card_API_V3_1_010_Linux.tar.gz. En el archivo readme.html incluido lo explican bastante bien, pero por centralizar toda la información lo comento también aquí. Se trata de copiar el mencionado archivo a la raiz del usuario root.

root@neonigma-desktop:/home/neonigma/descargas/sae/syncapi_lnx-1.4.0# cd /
root@neonigma-desktop:/# cp /media/cdrom0/tarjeta/Linux/HiPath_SIcurity_Card_API_V3_1_010_Linux.tar.gz .


O si no tenéis el CD-ROM a mano, podéis descargar el archivo de aquí, siempre y cuando lo copiéis como root en /.
Una vez copiado lo descomprimimos.

root@neonigma-desktop:/# cp /home/neonigma/descargas/hipath_sicurity_card_api_v3_1_010_linuxtar.gz /
root@neonigma-desktop:/# tar -xvzf HiPath_SIcurity_Card_API_V3_1_010_Linux.tar.gz


Y ya está el driver instalado. Fácil ¿no?. Ahora nos indican un pequeño detalle a realizar. Como root, o con sudo, debemos enlazar una librería para que no nos de problemas relacionados con versiones.

root@neonigma-desktop:/# ln -s /usr/lib/libpcsclite.so.1.0.0 /usr/lib/libpcsclite.so.0

Ahora instalamos de los repositorios opensc:

root@neonigma-desktop:/# sudo apt-get install opensc mozilla-opensc


Y ya hemos terminado en cuanto a drivers. Para comprobar que se reconoce el lector, utilizamos:

root@neonigma-desktop:/# opensc-tool -l
Error: can't open /var/run/openct/status: No such file or directory
Error: can't open /var/run/openct/status: No such file or directory
Error: can't open /var/run/openct/status: No such file or directory
Error: can't open /var/run/openct/status: No such file or directory
Error: can't open /var/run/openct/status: No such file or directory
Readers known about:
Nr.    Driver     Name
0      pcsc       OmniKey CardMan 3121 00 00
1      openct     OpenCT reader (detached)
2      openct     OpenCT reader (detached)
3      openct     OpenCT reader (detached)
4      openct     OpenCT reader (detached)
5      openct     OpenCT reader (detached)

No hay problemas con los errores, lo importante es que nos reconoce el lector en el número 0.
IMPORTANTE: si no os reconoce el dispositivo, abrir una nueva pestaña en el terminal y lanzar el demonio de pcsc escribiendo sudo pcscd -f . Entonces, en la otra pestaña, volver a ejecutar opensc-tool -l. Si aún así no os funciona, matad el proceso pcscd y ejecutar ahora sudo pcscd -f.

Paso 4. Configurar el navegador para que utilice este dispositivo de seguridad:
En Mozilla Firefox seguimos la ruta Editar -> Preferencias -> Avanzado -> Cifrado -> Dispositivos de seguridad -> Cargar -> /usr/local/lib/libsiecap11.so.
Aceptamos el módulo cargado. Por si acaso, reiniciamos el demonio del lector de tarjetas, con la tarjeta metida en el lector y a continuación para acceder al certificado de la tarjeta, seguimos la ruta siguiente en Firefox: Editar -> Preferencias -> Avanzado -> Cifrado -> Ver certificados. Aquí nos pedirá la clave de la tarjeta para acceder al certificado.

Paso 5. Utilizar los certificados: En el caso de la Junta de Andalucía, podemos probar con la página que nos da acceso a nuestras demandas de empleo, en https://ws032.juntadeandalucia.es/sidea/. Para ello, debéis tener el plugin Java de Mozilla Firefox correctamente instalado, además de unos componentes exclusivos para esta página (parece que la Junta nos lo pone un pelín difícil).

Simplemente tenemos que descargar dos archivos y realizar un par de operaciones:

* Archivo jss33.jar: Descargar de aquí y guardarlo en cualquier sitio. Simplemente hay que copiarlo al directorio /lib/ext/ dentro del jre de Java que tenemos instalado. En mi caso:
neonigma@neonigma-desktop:~/descargas/sae$ sudo cp jss33.jar /usr/local/j2re1.4.2_03/lib/ext/

Nos movemos al directorio y le damos permisos:

neonigma@neonigma-desktop:~/descargas/sae$ cd /usr/local/j2re1.4.2_03/lib/ext
neonigma@neonigma-desktop:/usr/local/j2re1.4.2_03/lib/ext$ sudo chmod 644 jss33.jar

* Archivo libjss3.so: Descargar de aquí y guardarlo también en cualquier sitio. Copiarlo al directorio /lib/i386/client dentro del jre de Java que tenemos instalado. En mi caso:

neonigma@neonigma-desktop:~/descargas/sae$ sudo cp libjss3.so /usr/local/j2re1.4.2_03/lib/i386/client/


También le damos unos permisos específicos:

neonigma@neonigma-desktop:~/descargas/sae$ cd /usr/local/j2re1.4.2_03/lib/i386/client/
neonigma@neonigma-desktop:/usr/local/j2re1.4.2_03/lib/i386/client$ sudo chmod 755 libjss3.so


Cerramos Firefox y entramos de nuevo en https://ws032.juntadeandalucia.es/sidea/.

Al entrar de nuevo y tras pulsar en Entrar y un par de veces en Aceptar, nos pedirá el PIN de nuestra tarjeta y ya tendremos acceso a nuestros servicios:

sae

Ya sabéis el próximo día que tengo que renovar mi demanda ;). Cuando faltan un par de días o el mismo día, en el menú de la derecha te aparece la opción Renovar Demanda.Si no queréis probar el funcionamiento del lector en esta Web (porque no lo tenéis para la Junta de Andalucía, por ejemplo), entrad en esta página, en la que podréis comprobar si todo funciona correctamente: http://www.cert.fnmt.es/index.php?cha=cit&sec=verify_state&fpage=1.

Recuerda cuando termines de renovar tu demanda activar de nuevo una versión más moderna de Java, ya que estamos usando una más antigua porque la página de Oficina Virtual del SAE da problemillas. Para escoger de nuevo una versión moderna de Java, escribe:

neonigma@neonigma-desktop:~$ sudo update-alternatives --config java

Y elige el path que contenga la versión más actual.

NOTA IMPORTANTE: El desarrollo de esta guía ha sido posible gracias a Vradick y BelRuBo del foro de Ubuntu, concretamente en este hilo: http://www.ubuntu-es.org/index.php?q=node/49892.

Neonigma.

* PROBLEMAS COMUNES

  • La página del SAE me dice que encuentra el entorno java pero no los ficheros de firma libjss3.so y jss33.jar con Firefox 3

    • En este caso yo realicé los siguientes pasos:

    • Abrir el navegador Firefox y escribir about:plugins en la barra de direcciones.
    • Buscar la palabra libjavaplugin_oji.so
    • Una vez localizada la zona del plugin de Java, revisar que sea la versión Java(TM) Plug-in 1.4.2_03 y NINGUNA OTRA. Si hay alguna versión más del plug-in, Firefox 3 se equivoca y elige la más reciente, que no funciona con la firma electrónica de la Junta de Andalucía. Para resolver este problema, mirar en este mismo post, zona PROBLEMAS COMUNES, problema Firefox no ejecuta la versión correcta (la antigua) de Java
    • Si con esto no queda resuelto este error, es muy importante revisar que el directorio donde linkamos el plugin libjavaplugin_oji.so sea el directorio del nuevo Firefox 3. En mi caso ocurrió que estaba realizando este comando: 
      neonigma@neonigma-desktop:~$ sudo ln -s /usr/local/j2re1.4.2_03/plugin/i386/ns610-gcc32/libjavaplugin_oji.so /usr/lib/firefox/plugins/

      cuando en realidad, Firefox 3 se me había instalado por no se qué razón en /usr/lib/firefox-3.0.1/, por lo que el comando a ejecutar es:

      neonigma@neonigma-desktop:~$ sudo ln -s /usr/local/j2re1.4.2_03/plugin/i386/ns610-gcc32/libjavaplugin_oji.so /usr/lib/firefox-3.0.1/plugins/

  • Firefox no ejecuta la versión correcta (la antigua) de Java

    • Para este problema me sucedió que tenía muchas versiones de Java JRE y, a pesar de seleccionar la correcta como la versión por defecto (la antigua), Firefox obviaba este hecho. En concreto este era el escenario:

    neonigma@neonigma-desktop:~$ sudo update-alternatives --config java

Hay 5 alternativas que proveen `java'.

  Selección     Alternativa
-----------------------------------------------
          1    /usr/bin/gij-4.2
 +        2    /usr/lib/jvm/java-gcj/jre/bin/java
          3    /usr/lib/jvm/java-6-sun/jre/bin/java
*         4    /usr/local/j2re1.4.2_03/bin/java

    La solución fue eliminar el JRE número 3, que es el más susceptible de causar conflictos. Eliminé este JRE con el siguiente comando:

    sudo update-alternatives --remove java /usr/lib/jvm/java-6-sun/jre/bin/java

    Y luego sólo queda eliminarlo físicamente del disco duro, para que Firefox 3 entienda que no deseamos tomar esta versión para la firma electrónica:

    sudo rm -rf /usr/lib/jvm/java-6-sun
  • Al insertar el cable del lector en un puerto USB, la luz se enciende un momento y luego se apaga.

    • Para arreglar este problema, simplemente quita el cable y vuelve a conectarlo.

  • En un momento dado, la tarjeta queda bloqueada

    • Si tenéis la tarjeta bloqueada en algún paso, podéis desbloquearla ejecutando siecapin -u (gracias a Charly por el aviso).

Sé el primero en valorar positivamente

83 pensamientos en “Instalación y uso de lector criptográfico del SAE (Junta de Andalucía) en UBUNTU

  1. yo trabajo con xp,y desafortunadamente he perdido el cd de instalacion que me dieron y no lo puedo encontrar por ningun lao,alguien podria colgarlo en un programa P2P o en algun lao?
    gracias por adelantao

  2. Pingback: Cómo utilizar el DNI electrónico con Ubuntu Hardy | El blog de neonigma

  3. Qué tal neonigma.

    Al final el driver hipath se ha quedado fuera del CD de la recién lanzada guadalinex v5 (www.guadalinex.org) por cuestión de copyright: El fabricante no da permiso para distribuir libremente dicho driver.

    No obstante creo haberme currado lo suficiente el nuevo asistente de e-admin de guadalinex como para que, si alguien acaba instalándose el driver hipath, las tarjetas Siemens puedan ser utilizadas con dicho asistente al igual que lo haría con el DNIe o tarjeta Ceres.

    Si te da por probarlo ya me cuentas.

    Saludos y gracias por tu magnífico artículo.

  5. Buenas neonigma :

    Resulta que sigo los paso pero me sigue diciendo que no encuentra el fichero jss33.jar.
    Realizo about:plugins y hago la búsqueda de libjavaplugin_oji.so y no aparece.
    De todas formas, he verificado que los enlaces simbólicos estén en su sitio (utilizo la version 3.0.10 de firefox) y nasti de plasti.

    ¿Alguna sugerencia? Gracias.

  6. Muchisimas gracias!

    Acabo de conseguirlo con la Ubuntu Jaunty (9.04) siguiendo tus pasos y borrando /usr/lib/jvm/java-6-sun/jre/bin/java tal y como comentas en «problemas comunes». Es raro que a firefox no le baste con cambiar la máquina virtual que quieres ejecutar.

    Yo no he usado el lector de tarjetas, sólo la firma electronica y llevaba 3 tardes con ello. Tu tutorial debería estar enlazado en la web de la Junta. La información que ellos dan es pésima y obsoleta. De hecho les he mandado un mail al buzón que tienen para ello y me ha sido devuelto porque está lleno (!!)

    Como conclusión general el problema creo que radica en que debes instalar la versión de java «antigua» que hay en la página de la junta (la 4.2_03) y no la última versión que se obtendría de la página de sun.

    Pues eso, muchísimas gracias una vez más. Eres un crack

  7. No sabes cuánto me alegran tus palabras 🙂
    Lo de la versión de java antigua es algo que comprobé, pero que nos implica otro problema: la instalación del DNI electrónico en Ubuntu, tal y como explico en este post. El DNI electrónico lo instalé con la última, pero no aseguro que funcione con la versión de Java antigua que utiliza la Junta.
    ¿Por qué diablos utilizan una versión antigua de Java? Eso es algo que no comprendo y habrá que esperar a que actualicen, pq sería bueno para tener las dos tarjetas funcionado.

    Gracias por el apoyo fennan 😉

  8. Hola
    ¿Donde puedo conseguir el fichero HiPath_… que viene con el CD?. No tengo el CD. He visto un enlace pero no es válido.

    Muchas gracias de antemano

  10. He perdido el CD, podrías subir el contenido a algún servidor?

    o por lo menos mandarme el driver de la tarjeta para windows vista…

    gracias!

  13. Buenas!!
    Ante todo, muchsisisisisiismas gracias, pues, hoy mismo era el dia para renovar, y….. en windows ( si, para q vea como son las cosas… xD ) no detectaba mi certificado ( en el JOptionPane que te da a elegir el certificado ) mio, por lo que……………….. me he ido a linux, RECIEN INSTALADO ( version 8.10 ) y… he seguido dicho y perfecto!!

    Vamos, estoy ha sido una cuenta atras………..ya que creo recordar, a las 20.00 el servicio está fuera de horario…y… renovaba hoy, o tendria que ir a hacer colas para darme de alta de nuevo!!

    Resumiendo, que…. tras una instalacion limpia de ubuntu 8.10 ( sin ni siquiera actualizar nada, a pelo, recien instalao ) he seguido todos los pasos, y perfecto!! ( matizando, con que donde pone / firefox yo ponia mi version de firefox, es decir /firefox3.03 ).

    De nuevo, muchas gracias,me has salvado machote!!

  14. Vaya, no sabes cuánto me alegra leer eso. Significa, además de que he conseguido ayudarte, que el tutorial sigue a día de hoy bien actualizado, excepto el inciso que me comentas.

    Muchas gracias por dejar este comentario tan positivo.

    Un saludo.

  15. Pingback: Instalar DNI electrónico en Ubuntu Karmic « Bitciosos!

  16. Mi sistema operativo es Ubuntu 9.04 y mi navegador es Shiretoko (Firefox 3.5.6pre).
    Tengo un problema con la instalación de J2RE 1.4.2 me da el error que aparece al principio +424…
    Incluso haciendo el export que mencionais.
    Sabéis que puede estar pasando? Me urge usar la web del SAS.

    Un saludo y gracias

  17. Kike, instálate el último JRE , que parece que los de la Junta han actualizado el tema y la cosa funciona sin problemas con el último.

  19. Pingback: Instalar tarjeta Siemens CardOS M4.01a (SLE66CX322P) en Firefox Linux « Informático de Guardia

  20. Existen actualmente varios problemas, en mi modesta opinión, con los lectores y tarjetas que «regaló» hace poco tiempo el SAE. Por un lado, la tecnología de la web del SAE está algo obsoleta y no va bien con las últimas versiones de los sistemas operativos y navegadores. Eso por no hablar de la «dll» que no sé por qué te deja en el escritorio, en el caso de Windows, de siempre.
    Por otro, no podemos acceder a nuevas versiones de controladores y programas para gestionar la tarjeta y el tarjetero porque hace años que finalizó el contrato entre el SAE y la empresa que los suministró. El principal problema lo tenemos con las tarjetas porque no hay forma de que te faciliten el «HiPath SIcurity Card API» de Siemens, a no ser que el SAE renueve el contrato.
    En conclusión, opino que dentro de poco todo el gasto de dinero público en sistemas de firma electrónica a la basura porque no tenemos soporte ni actualizaciones. La tarjeta criptográfica al cajón y a comprar otra porque cada vez serán más los que no puedan renovar la demanda y hacer otras gestiones por Internet con la misma.

  21. E tio!! que pasa? no se si recuerdas pero hace cosa de medio año me mandaste una imagen del CD del SAE de la junta de andalucía para instalar el driver y el programa que reconoce lo de las tarjetas criptográficas, para Windows… ¿Me lo podrías volver a mandar? gracias!!

  22. Muchas Gracias por compartir esta informacion. De verdad es muy valiosa. Gracias a ella solucione un problema que tenia hace muchos dias con un lector Omnikey.

    Nuevamente Gracias.

  24. Hola, yo tambien necesito el cd del sae, tampoco lo localizo por ningun sitio.
    Un saludo !!

  25. no consigo instalar el lector, tengo window vista y creo que ese es el problema, que hago?

  26. Al anadir la libreria libsiecap11.so en el navegador, me da el siguiente error

    No es posible cargar el modulo

    Alguna idea? Mil graciass

  28. Hola,
    Tras formatear e intentado instalar la tarjeta en windows y no encuentro el cd por ningun lado.
    Necesitaría el driver para xp del siemens hipath sicurity api que venía en el cd de la junta de andalucía. Si no es mucha molestia te agradecería que lo pusieras en algun lado y ya me encargaría de compartirlo en la mula.
    Un saludo

  29. Hola de nuevo
    Ya encontré el software de la tarjeta para windows. Lo he probado y funciona aunque lo que falla ahora es la web de la junta. Da un error java de servidor de casting de String a int con la cadena «1,0» y eso es un fallo que tendrán que arreglar los chapuceros esos.
    Para el que lo quiera:
    ed2k://|file|tarjeta%20siemens%20hipath%20sicurity%203.1%20b.zip|11700286|16307A068339E987062DC284D200D47C|h=T3WMBKJ6PCWC2FEIFI774KF3TYY22VOO|/

  31. hola, Entiendo que es muy lioso todo esto, asi que pregunto.>? tengo un lector y he ejecutado este a traves de c D que me dan en el sae. He hecho bien?.
    me pide que ponga la contraSEÑA lo hago, y me sale repetidamente. y a partir de aqui me bloqueo.
    me puedes decir algo corto y facil para hacer por favor, ah yo entro en internet explore, esta bien?.
    espero sus comentarios.

  32. Me interesa saber si este lector sigue siendo útil, es decir, si puede utilizarse con el DNIe u otras tarjetas. Hay software para comprobar? Windows 10×64 me lo detecta, pero no tengo DNIe

  33. Buenas, dudo mucho que el lector siga siendo útil después de 10 años, aunque todo es cuestión de probar. Ahora hay formas mucho más sencillas de acceso a todo lo que sea administración pública, el DNIe es una de ellas, pero también están los certificados digitales en forma de fichero que puedes instalar en el navegador y no requieren de hardware extra.

    Un saludo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *