¿Como puedo instalar el certificado digital para el DNI electrónico de España?.
He entrado en la página de descargas del DNIe Área de Descargas
y me he descargado los paquetes lipkcs-dnie_1.68 en formato .deb y .rpm y en Manjaro no se me han instalado como es lógico. Desde el repositorio AUR he instalado libpkcs11-dnie (PKCS11 library for DNIe), y no encuentro el certificado digital correspondiente, ni en Google Chrome ni en Opera Browser, que son los navegadores que tengo instalados. ¿Alguien me puede ayudar?. Desde la página web, Instalación de Firma Electrónica siguiendo instrucciones, he probado ha instalar desde konsole los comandos, pamac install base-devel y pamac build sac-core. Se ha instalado con éxito, pero no veo resultados.
En la wiki de Archlinux tienes un apartado de “Smartcards” pero no me deja ponerlo.
Si no te apañas mucho con el inglés ya te echo una mano que para eso estamos. Yo lo uso en Firefox y ningún problema, eso si, uso el certificado digital del DNIe. No es que lo tenga descargado en el navegador, cada vez hay que conectar el lector y meter el DNIe.
Yo tengo instalados 4 paquetes de los repos y uno de AUR.
-pamac install opensc ccid pcsc-tools ca-certificates-dnie
Una vez instalados:
-systemctl enable --now pcscd.service
Con esto podrás comprobar en la terminal si tu lector funciona correctamente y lee el DNIe. Solo tienes que conectar todo y ejecutar el comando:
-pcsc_scan
Uso Firefox y nunca he tenido problemas así que te voy a explicar como lo termino de configurar.
-Pincha en las tres barras horizontales de arriba a la derecha.
-Pincha en “ajustes”.
-A la izquierda tienes un apartado con un candado que pone “Privacidad & Seguridad”, pincha.
-Desplázate hasta debajo del todo y pincha en “Dispositivos de seguridad…”.
-Pincha en “cargar”
Te aparecerán dos recuadros, en el primero elige un nombre para el módulo. Por ejemplo: “DNIe modulo PKCS # 11”
En el segundo recuadro pega esta ruta /usr/lib/opensc-pkcs11.so y ya le puedes dar a cargar.
Con esto ya lo deberías tener listo, si algo no sale bien, tienes alguna duda o lo que sea, aquí estoy. Yo hago todos mis tramites con el DNIe y no veas la de tiempo perdido para aprender a configurar todo. Tienes también el paquete “autofirma” en AUR e “icedtea-web” en los repos. Este segundo es para los “.jnlp” y poder firmar trámites online desde el navegador.
1 Like
La pagina mencionada por @Requiem:
https://wiki.archlinux.org/title/Smartcards
Gracias por tu información, si que me apaño bastante bien con el inglés.
He seguido las instrucciones:
pamac install opensc ccid pcsc-tools ca-certificates-dnie
systemctl enable --now pcscd.service
pcsc_scan
En Firefox → ajustes → privacidad y seguridad → certificados
y salen AC DNIE 001 /AC DNIE 002 / AC DNIE 003 / AC DNIE 004 /AC DNIE 005 / AC DNIE 006 / AC RAIZ DNIE
Todo correcto, funciona.
Una vez instalados los certificados en el navegador Firefox, vemos cual nos interesa, porque varian las fechas de caducidad. Exportamos los archivos con extensión .crt a una carpeta que hemos creado en nuestro disco duro auxiliar que podemos llamarle certificados DNIe. Tambien podemos posteriormente importarlos a otro navegador, en mi caso a Google Chrome. Tenemos que disponer del DNI electrónico de última generación y un lector para el mismo.
Para que funciones en Chrome, Chromium y derivados una vez funcionando en Firefox se puede usar este comando:
modutil -dbdir sql:$HOME/.pki/nssdb -add “DNI-e” -libfile /usr/lib/opensc-pkcs11.so
1 Like
Buenas
Estoy tratando de instalar los paquetes necesarios para poder utilizar el DNIE. Sigo los pasos pero al tratar de instalar el paquete ca-certificates-dnie da un error. Al parecer tiene como dependencia el paquete “ca-certificates-fnmt” pero al tratar de instalar este último da error:
*Construyendo ca-certificates-fnmt…
==> Creando el paquete: ca-certificates-fnmt 20241222-1 (lun 17 mar 2025 13:18:03)
==> Comprobando dependencias mientras se ejecuta…
==> Comprobando dependencias mientras se compila…
==> Recibiendo las fuentes…
→ Descargando AC_RAIZ_FNMT-RCM_20241222.cer…
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:–:-- --:–:-- --:–:-- 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: curl - SSL CA Certificates
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the webpage mentioned above.
*
Alguna idea de cual es el problema?.. sospecho que tendrá que ver con el SHA de los archivos que intenta descargar, pero he comprobado algunos y la firma parece estar bien.
Alguna idea de lo que puede ser y como arreglarlo para poder utilizar el DNIE?
Gracias
No sé, pero quizá el problema es que estás intentando instalar una versión atrasada, ya está disponible en AUR la 20250110-1:
Si, estoy instalando el paquete actualizado, el 20250110-1, el problema viene de que requiere el paquete ca-certificates.fnmt y este por lo visto ya hace un tiempo que no se actualiza, la versión del repo es 20241222-1. El caso es que no encuentro un paquete mas actualizado. Y creo que ahí está el problema. Paso la consola con el proceso completo para que se vea mejor:
sudo pacman -Syyu ✔
:: Sincronizando las bases de datos de los paquetes...
core 139,9 KiB 576 KiB/s 00:00 [################################################] 100%
extra 8,3 MiB 27,0 MiB/s 00:00 [################################################] 100%
multilib 143,1 KiB 1233 KiB/s 00:00 [################################################] 100%
:: Iniciando actualización completa del sistema...
...el sistema ya está actualizado.
~ pamac install ca-certificates-dnie ✔
Aviso: ca-certificates-dnie solo está disponible desde AUR
Preparando...
Clonando ca-certificates-dnie archivos de compilación...
Generando ca-certificates-dnie información...
Comprobando ca-certificates-dnie dependencias...
Clonando ca-certificates-fnmt archivos de compilación...
Generando ca-certificates-fnmt información...
Comprobando ca-certificates-fnmt dependencias...
Resolviendo dependencias...
comprobando conflictos internos...
Para construir (2):
ca-certificates-fnmt 20241222-1 AUR
ca-certificates-dnie 20250110-1 AUR
Editar archivos de compilación : [e]
Aplicar transacción ? [e/s/N] s
==== AUTHENTICATING FOR org.manjaro.pamac.commit ====
Se requiere autentificación para instalar, actualizar o eliminar paquetes
Authenticating as:
Password:
==== AUTHENTICATION COMPLETE ====
Construyendo ca-certificates-fnmt...
==> Creando el paquete: ca-certificates-fnmt 20241222-1 (lun 17 mar 2025 16:24:28)
==> Comprobando dependencias mientras se ejecuta...
==> Comprobando dependencias mientras se compila...
==> Recibiendo las fuentes...
-> Descargando AC_RAIZ_FNMT-RCM_20241222.cer...
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the webpage mentioned above.
==> ERROR: Hubo fallos durante la descarga de https://www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA256.cer
Cancelando...
Error: Error al compilar ca-certificates-fnmt
1 Like
Es curioso… te da un error al descargar el certificado .cer de una web del gobierno. Si intentas entrar aquí:
¿Te da algún mensaje de error como si no reconociera el certificado?
Otra opción podría ser que directamente te descargues el certificado desde aquí (yo lo acabo de hacer sin problema):
https://www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA256.cer
Y lo instales tú haciendo doble clic + Importar. Pero sí que es raro.
1 Like
Pues no, no me da ningún error al entrar a la web… es como digo una cosa muy extraña por que todo parece en orden, y sin embargo falla. Incluso he revisado el pkgbuild y parece que está todo bien (tampoco puedo asegurarlo. La programación no es mi fuerte, yo soy mas de sistemas) Solo se me ocurre que por algún motivo que no comprendo curl no acepta el certificado SSL de la web del gobierno y por eso falla, pero claro, escapa a mis conocimientos como arreglarlo.
Respecto a descargar e instalar los certificados de forma manual como dices, la pregunta es si luego a la hora de instalar el paquete ca-certificates-dnie volverá a pedir el de fnmt como dependencia, volviendo a fallar…
Voy a probar y reporto el resultado.
1 Like
Te deja descargar el certificado con un navegador, pero si intentas hacerlo con curl da fallo porque no reconoce como autoridad de certificación a la fnmt.
curl -Iv https://www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA256.cer
* Host www.sede.fnmt.gob.es:443 was resolved.
* IPv6: (none)
* IPv4: 193.104.0.131
* Trying 193.104.0.131:443...
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* CAfile: /etc/ssl/certs/ca-certificates.crt
* CApath: none
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* closing connection #0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the webpage mentioned above.
Prueba lo que te comenté, instalar directamente el certificado a ver si a partir de ahí ya la reconoce y permite descargarlo con curl.
Si puedes modificar el script de descarga, curl tiene el parámetro -k para evitar esta comprobación, aunque no es recomendable.
1 Like
Curioso. No reconoce la autoridad de certificación de un certificado que emite una autoridad de certificación nacional. Irónico.
He probado a descargar el certificado y al hacer doble clic, la opción “importar” está deshabilitada. No se como se puede habilitar para poderlo importar. Esto ya empieza a ser surrealista. Cada paso que doy es un tropiezo.
Puedo editar el pkgbuild con la opción e antes de que se ejecute, pero dentro del script no veo ninguna línea curl. No se como lo hace para llamar a curl para la descarga y por tanto no se como pasarle el parámetro a curl para que no verifique el certificado. Supera mis conocimientos, siento no poder ayudar en eso.
1 Like
Otra opción para instalar el certificado raíz de la FNMT es descargarlo directamente de su web, es el primero de esta lista:
https://www.sede.fnmt.gob.es/descargas/certificados-raiz-de-la-fnmt
Si no lo puedes importar directamente puedes hacerlo desde dentro de cualquier navegador en opciones, seguridad, certificados e importar.
1 Like
Ok, importado desde Firefox:
Pero al intentar de nuevo instalar el paquete sigue dando el mismo error…
1 Like
Pues ya es raro… mañana monto una máquina virtual con Manjaro y pruebo a instalar ese paquete, que tengo curiosidad por ver qué pasa.
EDITO:
Ya está localizado el problema. Está en el pkgbuild:
https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=ca-certificates-fnmt
Ahí aparecen los certificados que se quiere descargar y sus sha256sum correspondientes. Hay uno que no concuerda, probablemente la Fnmt lo ha actualizado y el paquete ca-certificates-fnmt aún mantiene la versión anterior.
Se trata del OCSP_ACRAIZ_FNMTRCM, en sources figura como suma de comprobación ‘19001c4ba4846d17809b25f90a94d1cab20a86777968737ce4b34bb9d7eae078’ cuando el que te descargas tiene como suma ‘62e0bb8a663a26a3920f8b542d483e1122058bf2d83bf3f89ef21dcbc5030d9d’.
Si puedes editar el pkgbuild, cambiando la suma de comprobación incorrecta por la buena debería funcionar. No hay problema con la autenticidad del certificado porque se descarga directamente de la FNMT como todos los demás, no de ninguna web ajena.
Se lo comentaré también a los mantenedores del paquete, a ver si lo actualizan ellos antes de que le falle a más gente.
EDITO DE NUEVO: contacte con el mantenedor y lo acaba de actualizar, ya debería poder instalarse sin problema.
1 Like