search

ctt-gob-es / clienteafirma

Cliente @firma
http://administracionelectronica.gob.es/ctt/clienteafirma
247 stars 120 forks source link

¿Como se exporta un certificado de AutoFirma que no aparece en el navegador? #345

Closed narcisgarcia closed 1 year ago

narcisgarcia commented 1 year ago

Usando AutoFirma 1.8.2 en Debian GNU/Linux. Un usuario se instaló su certificado digital obtenido directamente del web de la FNMT y con el «ConfiguradorFnmt», usando M.Firefox ESR 91. No dispone de copia de seguridad del certificado. AutoFirma encuentra dicho certificado y permite usarlo para firmar documentos y demás gestiones; en los portales de las AAPP, M. Firefox llama correctamente a AutoFirma para efectuar trámites con dicho certificado.

PERO: M. Firefox no muestra ese certificado concreto en la lista de certificados (solapa «Sus certificados» del administrador de certificados en los Ajustes del navegador). Sí que muestra otros de la FNMT. Con esto, no se puede usar el certificado en páginas de organismos que no necesariamente usan AutoFirma. He probado a copiar el perfil de M.Firefox (~/.mozilla) a una sesión «Live», instalando ahí AutoFirma y default-jre, y el comportamiento es el mismo: AutoFirma encuentra el certificado y M.Firefox no lo contempla. Probado con Mozilla Firefox ESR versiones 91 y 102.

Con esta prueba de traslado del perfil de M.Firefox, está claro que el certificado está almacenado ahí. Entonces ¿Cómo hacer copia de seguridad o que el navegador lo gestione?

narcisgarcia commented 1 year ago

Explico el apaño que hice para conseguir recuperar ese certificado «invisible»: Por el número de NIF encuentro que los ficheros del perfil del navegador cert9.db y key4.db tienen el certificado en cuestión registrado. Entonces, con el navegador cerrado, aparto la carpeta de perfiles de M.Firefox (renombrar .mozilla a .mozilla.bak), abro el navegador como si fuera nuevo y lo cierro, sólo para que cree una nueva carpeta de perfiles. Copio cert9.db y key4.db del perfil productivo (.mozilla.bak) y reemplazo los ficheros del perfil nuevo. Abro el navegador, y este reconoce todos los certificados registrados, incluyendo el problemático. Es así como tengo la oportunidad de exportar el certificado de interés como fichero PKCS12, a modo de copia de seguridad. Luego ya puedo cerrar el navegador, borrar la carpeta nueva/temporal de perfiles, y restaurar la original que tenía en producción (renombrar .mozilla.bak de regreso a .mozilla)