Problemas de Autofirma con el navegador web.

AutoFirma es una aplicación ideal e intuitiva para firmar digitalmente documentos. Hay veces en que no se usa de forma interactiva por el usuario, sino que se lanza desde una página web para firmar un documento o petición generada al vuelo. Es lo que sucede, por poner un ejemplo cercano, con la pagina web de Registro de la Junta de Extremadura.

El problema que se presenta a veces es que directamente AutoFirma en esta página web no funciona. Hay muchos motivos para que no funcione, ya que los procesos de firma y manejo de certificados digitales dependen de muchos factores y servicios web externos y cuando falla la versión y/o la comunicación con alguno, falla todo. El mensaje de error que obtenía era este:

Cuando me sucede esto, lo que suelo hacer es, con el mismo ordenador, probar en servicios de conocida robustez que usan el certificado digital, y asi descartar que sea un problema local de la página donde estoy trabajando. Para probar el certificado digital, la página de la Carpeta Ciudadana es ideal. Para probar AutoFirma, la página de test de autofirma de los Registradores de la Propiedad es también muy buena. Si fallan estas páginas al probarlas podemos estar casi seguros de que el problema es de la configuración de nuestras máquinas.

Descartando que tenemos AutoFirma actualizado, la versión correcta de Java (a día de hoy openjdk 11.X) y nuestro certificado digital en regla lo único que nos queda es confirmar que AutoFirma está correctamente configurado en nuestro ordenador.

Uno de los motivos más frecuentes es que el certificado raíz de AutoFirma_ROOT.cer no ha quedado bien instalado (o se ha desinstalado) en el navegador web. Pasa mas de lo que debiera. Este certificado está en la ruta /usr/lib/AutoFirma/AutoFirma_ROOT.cer y hay que proceder a instarlo dentro del perfil del navegador del usuario.

Hay 3 formas de hacerlo:

• Desde la propia aplicación de AutoFirma: abrimos la aplicación y vamos a Herramientas-Restaurar Instalación. Esta opción, por algún motivo que se me escapa, nos pedirá la contraseña de root para instalar el certificado localmente, pero solucionará el problema.
  
• A mano en el navegador: añadir el fichero /usr/lib/AutoFirma/AutoFirma_ROOT.cer dentro de la opción de "Autoridades/Entidades Emisoras" de la configuración de certificados de los navegadores, marcando todas las opciones de configuración que nos ofrecen.
• Mediante línea de comando, con este script tan majo:

  # cat configura-cert-autofima.sh 
  #!/bin/bash
  certificado="/usr/lib/AutoFirma/AutoFirma_ROOT.cer"
  
  echo "Instalando $certificado en Chrome y Firefox"
  
  if ! test -e "$certificado" 
  then
     echo "No encuentro $certificado"
     exit 0
  fi
  
  #Cerramos chrome
  pkill --oldest chrome
  echo "Instalando certificado $certificado en Chrome"
  certutil -A -n "AutoFirmaRoot" -t "CT,C,C" -i "$certificado" -d $HOME/.pki/nssdb
  echo ""
  echo "Instalado. Puede verificar que  está correcto haciendo:"
  echo '     certutil -L -d sql:$HOME/.pki/nssdb'
  
  #Cerramos firefox
  pkill --oldest firefox
  
  echo "Instalando certificado $certificado en Firefox"
  perfiles=$(ls $HOME/.mozilla/firefox/ | grep .default)
  for i in $perfiles
  do
       certutil -A -n "AutoFirmaRoot" -t "CT,C,C" -i  "$certificado" -d $HOME/.mozilla/firefox/$i
  done
  echo "Instalado. Puede verificar que está instalado mirando en la configuración de Certificados (Servidores/Autorizados) en su Firefox."
  
  exit 0
  

Una vez hecho esto vamos a la página de Test de Autofirma de Registradores y vemos si ya funciona la firma digital:

Si funciona aquí, ya podemos probarlo en el Registro de la Junta a ver si hay suerte. Adjunto esta guía, díficil de encontrar y algo obsoleta, con los problemas más frecuentes del Registro Telemático.