Hace unas semanas decidí instalarle el DNIe a mi padre; tiene un
Mac Mini PPC G4 con Mac OS X 10.4.11 (Tiger); el navegador que usa es el Firefox (creo que 3.56 ó 3.6... la versión más "nueva" que hay para PowerPC; HAY que tener instalado FIREFOX para que esto funcione).
En su día, pedí un lector de tarjetas y me enviaron un SCR3310 V 2.0 de SMC Microsystems.
Bien,
hoy al fin he conseguido que funcione, después de mucho "estudiar" y mucha guerra, y he decidido presentar una especie de
recopilación de cómo instalar correctamente el DNIe en un Mac PPC con Tiger, ya que muchos tutoriales que he leído no tenían en cuenta si era Tiger o Leopard, o Mac con Snow Leopard, y al final resulta que uno instalaba la versión de los programas que no funcionaba bien en Tiger, y lo peor, que el sistema quedaba "sucio" con lo cual no podía instalarse la versión correcta, o no podía quitarse el dispositivo de seguridad de Firefox, etc. .
Resalto que
no es un tutorial original 100%, sino en parte un compendio de la información que he recopilado y leído en internet de tutoriales de gente que sabe mucho más que yo, compilado y pasado por el tamiz de las palizas que me he pegado hasta conseguir tenerlo todo funcional; espero que así si alguien quiere instalar el DNIe en Tiger no tenga que pasarlas "canutas" como un servidor.
Escribo de memoria, con lo cual algun nombre de ventana del MAC puede ser algo distinto en realidad (no tengo MAC, el MAC es de mi padre).
Bueno, empiezo:
PASO 1) Lector de tarjetas: en mi caso tenía el CD con los drivers, pero busqué en la web del fabricante drivers para Mac OS más actualizados, y usé esos.
http://www.identive-infrastructure.com/ ... rs/scr3310La ventaja del driver del fabricante, además de ser más moderno que el del CD, es que incorpora el script para desinstalar (desde Terminal), mientras que el del CD no lo incluye, supongo que por error puesto que en el manual del CD se indica que para desinstalar se ejecute el script en cuestión.
Bien, lo primero de todo, instalamos los drivers del lector de tarjetas (hay lectores que no necesitan drivers adicionales para Mac OS y funcionan directamente).
Una vez instalado, si queremos reiniciamos, pero en todo caso a partir de ahora dejamos conectado el lector de tarjetas a algún puerto USB del MAc (nada de hubs, al menos de momento; directamente conectado a algún USB del Mac); una vez hecho esto, seguimos.
PASO 2) Como nuestro sistema operativo es TIGER (Mac OS X 10.4.11), hemos de instalar este paquete:
sca-0.2.2.dmg
http://www.opensc-project.org/files/sca/sca-0.2.2.dmgOJO; en algunos tutoriales pone que se descargue el fichero sca-0.2.3pre2.dmg (
http://www.opensc-project.org/files/sca ... .3pre2.dmg ), pero en Tiger NO me ha funcionado, y según he leído dicho fichero es para Leopard.
Bien, como nosotros tenemos TIGER, instalamos sca-0.2.2.dmg (NOTA: en una pantalla de la instalación, veremos un botón que pone "PERSONALIZAR"; clicamos ahí antes de continuar, y marcamos la casilla "libusb"; una vez marcada, continuamos con la instalación).
PASO 3) Insertamos el Dni electrónico en el lector de tarjetas, y ahí lo dejamos (la luz verde del lector se encenderá, y tras parpadear durante unos instantes, se quedará fija).
PASO 4) Ahora vamos a instalar el driver del DNIe, y como tenemos TIGER, usamos el paquete opensc.dnie-1.4.4.4.dmg (
http://www.dnielectronico.es/descargas/ ... cOS_X.html ).
NO me ha funcionado con el paquete 1.4.8.1.dmg en Tiger; sólo me ha funcionado con el paquete 1.4.4.4 que indico en el párrafo de arriba.
Una vez instalado, automáticamente la instalación desconectará al usuario, volverá a reconectarlo, e iniciará el FIREFOX, en donde aparecerá una pantalla indicativa de que hemos de instalar manualmente el driver, y luego el certificado.
LEER lo que pone en dicha pantalla; si nos aparece en algún momento un cuadro preguntando si PERMITIMOS/TRUST, hemos de PERMITIR/TRUST.
Bien, NO cerramos esta pantalla.
PASO 5) Vamos a terminar de instalar primero el driver del DNIe; vamos a PREFERENCIAS del menú del Firefox, AVANZADO, CIFRADO, y clicamos en DISPOSITIVOS DE SEGURIDAD.
Clicamos ahora en el botón CARGA, ponemos de nombre DNIe , y clicamos el botón EXAMINAR ; se abre el Finder, y navegamos por la ruta /Library/Opensc/lib/opensc-pkcs11.so , y aceptamos; aceptamos otra vez, y en la pantalla de DISPOSITIVOS DE SEGURIDAD tras unos instantes nos debería aparecer relacionado nuestro lector de tarjetas, con la primera entrada con nombre DNIalgomás.
Bien, ahora, en la pantalla del FIREFOX que teníamos abierta, le damos a descargar el certificado raíz, el FIREFOX automáticamente se lo instalará, y nos aparecerá una pantalla en donde hemos de marcar tres casillas que básicamente dicen que confiamos totalmente en el certificado.
Dicho certificado podemos verlo como DIRECCION GENERAL DE LA POLICIA en PREFERENCIAS del menú del Firefox, AVANZADO, CIFRADO, y clicamos en VISUALIZA LOS CERTIFICADOS, AUTORIDADES.
Si por lo que sea habíamos cerrado la ventana del Firefox sin instalar el certificado, podemos descargarlo de aquí:
http://www.dnielectronico.es/ZIP/ACRAIZ-SHA2.zipDescomprimimos el contenido del ZIP, y luego vamos a PREFERENCIAS del menú del Firefox, AVANZADO, CIFRADO, y clicamos en VISUALIZA LOS CERTIFICADOS; clicamos en IMPORTA, y navegamos hasta donde lo hayamos puesto; también creo recordar que "arrojando" el certificado sobre una ventana de Firefox, éste lo instala automáticamente; como sea, hay que ir luego PREFERENCIAS del menú del Firefox, AVANZADO, CIFRADO, y clicamos en VISUALIZA LOS CERTIFICADOS, AUTORIDADES, buscar el certificado DIRECCION GENERAL DE LA POLICIA, y debajo de él AC RAIZ DNIE, clicar en él una vez, y luego clicar en el botón EDITA LA CONFIANZA, en donde hemos de marcar tres casillas que básicamente dicen que confiamos totalmente en el certificado.
Una vez hecho esto, ¡ya debería estar funcional!
Podemos comprobarlo en PREFERENCIAS del menú del Firefox, AVANZADO, CIFRADO, VISUALIZA LOS CERTIFICADOS, SUS CERTIFICADOS, donde nos pedirá nuestro PIN, y tras introducirlo debería aparecer nuestra firma y autenticación (recuerdo que hemos tenido el DNI insertado todo este tiempo).
PASO 6) Si queremos reiniciamos, y ya está todo. Ahora, a usar el DNIe, aunque descubriremos que páginas como ING DIRECT tienen un error en el applet JAVA y éste no carga correctamente (ni en mi Windows XP SP3 con Java actualizado, ni en el Mac de mi padre con Tiger).
***************
Ahora, comentar algunos
problemas que suelen surgir: que hemos instalado versiones que no funcionan bien en TIGER y resulta que luego aunque las desinstalemos se dejan "basura" que nos impide instalar las versiones correctas:
- Primeramente, para
desinstalar estos paquetes del DNIe, hemos de usar TERMINAL (está en APLICACIONES, UTILIDADES).
Una vez dentro de TERMINAL, he activado el superusuario para evitar problemas de permisos que pudieran habe (apretar ENTER al
final de cada línea de comando):
dsenableroot
Para desactivar el superusuario cuando terminemos, poner:
dsenableroot -d
IMPORTANTE: en TERMINAL no hace falta teclear las rutas a mano, si no se quiere. Si tenemos abierto el FINDER con la carpeta o el archivo que nos interese borrar a la vista, simplemente lo arrastramos a la ventana del TERMINAL, y la ruta aparecerá escrita automáticamente (lo de SUDO que pongo más abajo, eso hay que ponerlo a mano; el TERMINAL que es muy listo, completará el comando al arrastar).
Estando en TERMINAL, ponemos:
sudo Library/Opensc/bin/dnie-uninstall
Luego:
sudo Library/Opensc/bin/opensc-uninstall
Esto quitará CASI todo lo que hubiéramos instalado.
- En TIGER, ahora (creo que estaba aquí) vamos en el FINDER a LIBRARY/RECEIPTS/ y buscamos el paquete con el nombre de OPENSC, DNIE o similar, y lo tiramos a la papelera.
En LEOPARD supongo, he visto que entraban estos comandos en el terminal para limpiar lo que en TIGER he explicado arriba (OJO, esto NO es para TIGER):
rm /private/var/db/receipts/opensc.dnie.driver.bom
rm /private/var/db/receipts/opensc.dnie.driver.plist
- Vale, ahora si queremos ya podemos deshabilitar el superusuario, y poner EXIT en el terminal, y cerrarlo.
-
FIREFOX: para dejarlo limpio, vamos al FINDER, entramos en el "directorio" con nuestro nombre de usuario, y allí vamos a LIBRARY, APPLICATION SUPPORT, FIREFOX, PROFILES, XXXX.DEFAULT (las XXXX sólo indican que pone un nombre raro en realidad, y no me acuerdo de él); buscamos los ficheros:
secmod.db
cert8.db
Los borramos los dos.
Ahora iniciamos el navegador FIREFOX, y éste volverá a crear esos dos ficheros con los valores por defecto.
-
El driver del lector de tarjetas: seguir las instrucciones que acompañen al driver. En mi caso, el paquete del driver llevaba un script de desinstalación, que desde TERMINAL (poniendo su ruta) se puede ejecutar.
- No ha sido el caso de TIGER, como he comprobado, pero por si para otra versión de MAC OS X fuera necesario, echar un vistazo a un post muy interesante del usuario solerjes de Macuarium sobre el archivo
opensc.conf :
http://www.macuarium.com/foro/index.php ... 5552&st=25"Si has instalado el dnie después del opensc, verás en la carpeta /Librería->OpenSC->etc, entre otros, dos archivos:
- opensc.conf.original.dnie, que es la copia de seguridad del original opensc.conf que realiza el dnie y,
- opensc.conf modificado por dnie
Dentro de este último busca lo siguiente:
" card_drivers = dnie;
card_driver dnie {
#The location of the driver library
module = ;
}"
y cámbialo por esto:
" card_drivers = dnie;
card_driver dnie {
#The location of the driver library
module = /Library/OpenSC/lib/libopensc-dnie.1.0.3.dylib;
}"
(sin las comillas claro) (busca la palabra dnie, te saldrá lo primero)"
-
Vulnerabilidad SSL: si al intentar entrar en una web con DNIe nos da error (leí que pasaba a partir de Firefox 4 (incluído); con el Firefox 3.X aún no he podido probarlo), podemos probar lo siguiente:
En el Firefox ponemos:
about:config
Accedemos a las opciones de configuración que saldrán; buscamos en ellas una que empieza así:
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref
Veremos que su valor es "false"; hacemos doble click en dicho valor y éste cambiará a "true".
A partir de ahora, ya deberíamos poder acceder a al web problemática con el DNIe.
OJO: el problema en cuestión se debe a una vulnerabilidad detectada en páginas SSL y Firefox; al poner el valor en "true", digamos que permitimos dicha vulnerabilidad a fin de que funcione el DNIe en esas páginas problemáticas.
La alternativa para que el DNIe funcione con esas páginas sin dejar abierta la vulnerabilidad para todos los sitios web, seria:
En el Firefox ponemos:
about:config
Accedemos a las opciones de configuración que saldrán; buscamos en ellas una que empieza así:
security.ssl.renego_unrestricted_hosts
Hacemos click con el botón derecho en la línea, y en el menú contextual escogemos:
Modifica
Saldrá una ventana con un recuadro para rellenar valores, en donde podemos escribir los hosts a permitir, separados por comas; por ejemplo:
seguro.cam.es,otraweb.com,aunotraweb.es
A partir de ahora, ya deberíamos poder acceder a la web problemática con el DNIe.
![[fumando]](/images/smilies/nuevos/fumando.gif "fumando")
