você está aqui: Home  → Arquivo de Mensagens

Usando certificado digital GOV.BR no Firefox em Debian GNU/Linux

Colaboração: Bruno Buys

Data de Publicação: 15 de janeiro de 2014

Se você é Servidor Público Federal e seu órgão de lotação pede o uso de um token criptográfico USB com certificado digital para acessos aos sistemas de trabalho, esse tutorial pode ajudar. Aqui mostro o que fiz para o certificado e o token funcionar em meu Debian GNU/Linux.

O token usado é o StarSign Giesecke e Devrient Crypto USB.

Mão na massa

Certifique-se de que as dependências estão instaladas:

  • libjbig0
  • libtiff4
  • fontconfig-config
  • libfontconfig1
  • libwxbase2.8-0
  • libwxgtk2.8-0
  • libpcsclite1
  • libccid
  • pcscd

Obs - Estou usando Debian wheezy, e instalei as versões disponíveis nos repos comuns, para essa versão.

Instale o programa SafeSign:

(são pacotes para Ubuntu, mas instalam sem erros no Debian)

Agora, no seu menu de Sistema existe o item "``Tokenadmin", que te dá diversas opções de visualização e gerenciamento dos dados contidos no token USB e no certificado digital.

Integração com o Firefox

É no Firefox que o certificado vai desempenhar o seu papel principal, de autenticar você durante a sua navegação.

Para integrar no Firefox, existe uma opção no menu "Integração" do Tokenadmin que deveria fazer isso automaticamente. No meu computador ela não funcionou, falhando com a mensagem: "``Failed to install on Firefox".

Se for o seu caso, faça assim:

Primeiramente verifique se os dados do seu certificado aparecem corretamente no Tokenadmin. Menu "IDs Digitais" > Mostrar IDs Digitais".

Vá no Firefox, Preferências > Avançado > Certificados > Dispositivos de Segurança > Novo Módulo PKCS#11. Escolha a opção "Carregar". É necessário informar o caminho da biblioteca que foi instalada junto com o SafeSign: /usr/lib/libaetpkss.so.3.0.2528. Obs: não sei se a numeração no fim do nome pode mudar. Via de dúvidas, pesquise:

  ls -lh /usr/lib/libaetpkss*

Descubra o caminho certo para a sua lib instalada e informe ao firefox.

Obs - essa lib pertence ao pacote safesign, repare:

  bruno@oswaldo:~$ dpkg -S /usr/lib/libaetpkss.so.3.0.2528
  safesignidentityclient: /usr/lib/libaetpkss.so.3.0.2528

Feito isso, deve aparecer o certificado digital no Firefox, com seus dados. Veja essa captura de como ficou no meu (firefox_token.jpg)

Você pode ainda definir se o Firefox deve enviar seu certificado automaticamente quando um site requisitar, ou se deve perguntar a você o que fazer. Isso está disponível na aba "Avançado > Certificados" das Preferências.

Agora, quando você tentar acessar um site, a senha do certificado será pedida, em vez do login e senha do próprio site. E nessa tela anterior da figura deverá constar "logado" junto ao seu certificado.



Veja a relação completa dos artigos de Bruno Buys

 

 

Opinião dos Leitores

Bruno Buys
22 Ago 2017, 12:16
Pessoal, a instalação do safesign conforme relatada acima não vai funcionar corretamente no Debian Jessie ou no Stretch.
Se você usa o Wheezy, ok, faça como manda na dica original.
Para o Jessie ou Stretch faça assim:

1. Baixe o safesign (32bit ou 64bit) de acordo com sua arquitetura.

2. Tente instalar:

Vá para a pasta onde o safesign está gravado.

dpkg -i safesign*deb

Ele vai instalar algumas dependências (provavelmente libccid e o pcscd), mas vai pedir pra remover o safesign. Isso porque existem versões de software que tanto Jessie quanto Stretch não usam mais (libwxbase2.8 e o libwxgtk2.8). Sim, o safesign está sem manutenção.

Dê ok, o safesign será removido.

Agora, descompacte o pacote deb do safesign manualmente. Isso vai criar o diretorio "safesignidentityclient_3.0.77-Ubuntu_amd64". Entre nele, mude para 'usr', e depois 'lib'. Você verá que aí existem algumas libs. Copie-as manualmente para /usr/lib, seja pelo gerenciador de arquivos ou pelo terminal. Pelo terminal fica:

cp * /usr/lib

Isso necessita de acesso root.

Feito isso, agora siga a dica original para integrar no firefox. O tokenadmin não vai funcionar por este método, e voce fica sem as funções de alterar senhas do token. Mas a integração no firefox deve funcionar, e você conseguirá navegar autenticado, que é o que importa.

Após integrar no Firefox, instale a cadeia de certificados da autoridade certificadora do seu certificado digital.

Observações:

Essa gambiarra só é necessária porque o pacote safesign está abandonado, e sem atualização. É um dos problemas do software proprietário.

Por este método, o que você instalou em /usr/lib manualmente fica de fora do gerenciamento do apt-get.

O ideal mesmo seria o Governo Federal não depender de software proprietário para autenticar seus servidores.

Se alguém souber fazer a mesma coisa através do gerenciamento do apt-get, eu estaria muito interessado em saber. Provavelmente mantendo em 'hold' as dependências? Escreva um tutorial para isso!
Rene Pinto
17 Mai 2016, 09:25
Aqui não funcionou... Sempre retorna erro "Não foi possível adicionar o módulo". Fazemos uma configuração automática de proxy página inicial e bloqueio de algumas funções via arquivo de configurações do firefox...
Jose Marcio
06 Mai 2016, 14:02
Muito bom.
Funciona perfeitamente no meu ubuntu 14.04.
Vou atualizar para a versão 16.04 espero que funcione também.
Se der alguma zebra, posto aqui.
Este post está ajudando muitos linuxers, parabéns!
bruno
24 Nov 2015, 10:24
marcus, o artigo já é o passo a passo. Você só tem que se certificar se existem os pacotes e dependências para opensuse, ou arrumar uma forma de convertê-los.
Marcus
24 Nov 2015, 09:58
Bruno, sou iniciante no linux. Uso opensuse, poderia ensinar o passo a passo? Desde a instalação daquelas dependências que você citou? Obrigado
Wagner Pedroso
07 Out 2014, 11:59
Excelente dica, deu certinho. Já havia pesquisado, ligado no Serpro, e nada... Valeu mesmo!
bruno buys
11 Jul 2014, 10:28
Oi Fabio,
Cara, não sei. Existe pouca informação sobre isso, infelizmente. O Serpro não foi de muita ajuda pra mim.
Por exemplo, o certificado A3 no banco do brasil dá erro, porque o site espera que seja fornecido por aquela leitora de cartões, e não o token usb.
Mas se o seu certificado já está funcional no chrome, não deve ser dificil instalar no firefox.
Talvez o erro no e-cac seja por navegador.




Fábio Santos Almeida
11 Jul 2014, 09:38
Bruno.

Você soube de alguêm que já usou um certificado padrão A1 no Debian? Eu instalei no Google Chrome porém ele não é reconhecido nos site do e-cac e em outros.
Flávio Inácio
02 Jul 2014, 17:35
Mto bom o post Bruno! Efetuei os processos e tudo funcionou mto bem! Obrigado pela ajuda! []'s
bruno buys
17 Abr 2014, 10:25
Se o seu firefox ainda der erros de 'certificado não encontrado' mesmo depois de o token aparecer como 'logado' e tudo certinho, vá nas Preferências > Avançado > Certificados e na opção "Quando um servidor me pedir o certificado", em vez de informar um automaticamente, escolha "perguntar a cada vez".
Isso cria uma janela a mais para dar Enter, a cada acesso, mas na minha máquina aqui resolveu o erro.
William Mendes
25 Fev 2014, 13:45
Não reconhece no Tokenadmin. VOcê sabe o que pode ser? Fiz todos os procedimentos.
Leonardo Rocco
23 Jan 2014, 10:13
Opa!! Valeu mesmo! Ainda nao precisei instalar no Linux, mas de antemão sua dica já ajuda muito!
Elton Sommer
15 Jan 2014, 06:23
Ótima dica, instalei em computadores com windows, agora vou testar nas minhas máquinas linux. Abraço
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script