Página de información sobre DNIe de Rafael Palacios

Esta página explica cómo instalar lectores de DNI electrónico en Windows, Mac y Linux.
Además proporciona un enlace a una página de validación para comprobar que la instalación es correcta.

Instalación del certificado raíz de DNIe

El certificado raíz del DNIe está disponible en:
También se puede instalar desde la página CERT

Para instalar el certificado en varios navegadores basta con entrar al enlace utilizando cada navegador. (En Firefox no olvidar que deben marcarse las opciones que establecen la confianza en la entidad emisora)
firefox

Instalación de lectores de DNIe

Microsoft Windows

No hacen falta drivers para detectar el lector. Windows Vista y Windows 7 incorporan los drivers para lectores compatibles con el estándar USB CCID y lo deben detectar automáticamente. En el caso de XP el fabricante del lector debería proporcionar los drivers.
Instalar el software de DNIe para Windows. Este software está disponible en http://www.dnie.es/descargas/
Después de instalar DNIe_6_0_2 se reinicia el sistema.
Módulo PKCS#11 para Firefox. Después de instalar el software de DNIe, windows se reinicia y debería arrancar Firefox automáticamente. También se puede cargar manualmente mediante:
Tools->Options->Advanced->Encryption->Security Devices-> Load
c:\windows\sysWOW\UsrPkcs11.dll

Apple Mac OS X

No hacen falta drivers para detectar el lector. Mac OS X incorporan los drivers para lectores compatibles con el estándar USB CCID.
Instalar el módulo SCA 0.2.2 (parte del proyecto OpenSC) http://www.opensc-project.org/files/sca/
El proyecto OpenSC incluye muchos módulos. Actualmente (Feb/2011) OpenSC está disponible en versión 0.12.0, y el componente SCA en versión 0.2.8. A mi me funciona bien el DNIe con SCA 0.2.2
Instalar el software de DNIe para SCA. Este software está disponible en http://www.dnie.es/descargas/
A mi me va bien con opensc.dnie-1.4.4, pero me falla con la versión 1.4.8
Módulo PKCS#11 para Firefox. Después de instalar el software de DNIe, el programa de instalación obliga a reiniciar la sesión y arranca automáticamente el programa Firefox con la dirección: /Library/OpenSC/share/web/instala_modulo.htm
Cuando este paso no funciona, o para activar el módulo PKCS#11 manualmente utilizar la opción Load:
Preferences->Advanced->Encryption->Security Devices-> Load
/Library/OpenSC/lib/opensc-pkcs11.so
Notas varias
- Instalando OpenSC completo (version 0.12.2) no me ha funcionado el DNI ni con el driver 1.4.8 ni con 1.4.4
- Instalando sólo el componente SCA 0.2.2, no me ha funcionado el DNI con el driver 1.4.8. Sólo me va bien con el 1.4.4
- MacOS X Lion (10.7). Tanto SCA 0.2.2 como DNIe 1.4.4 funcionan en Lion. Si estaban instalados los drivers antes de actualizar de Snow Leopard (10.6) a Lion (10.7), es necesario desinstalar y volver a instalar los drivers.
Desinstación o cambio de versiones. Para desinstalar abrir Aplicaciones->Terminal y utilizar los siguientes comandos para desinstalar aplicaciones:
- Para desinstalar drivers DNI (la segunda línea borra la información relativa a la versión del driver DNIe y es necesaria para poder desinstalar completamente el driver versión 1.4.8 y poder luego instalar la versión 1.4.4
  sudo /Library/OpenSC/bin/dnie-uninstall
  sudo rm /var/db/receipts/*dni*
- Para desinstalar SCA
  sudo /Library/OpenSC/bin/opensc-uninstall
- Para desinstalar OpenSC (en caso de haberlo instalado)
  sudo /usr/local/bin/opensc-uninstall

Linux

Instalar drivers para lectores USB CCID. Estos drivers no vienen por defecto con el sistema operativo, pero son parte del paquete pcscd:
Debian: aptitude install libccid pcscd
Fedora: yum install pcsc-lite ccid
OpenSUSE: zypper install pcsc-ccid
Instalar el software de DNIe. Este software está disponible en http://www.dnie.es/descargas/
Hay versiones específicas para Ubuntu_Karmic_Koala, Ubuntu_Lucid_Linx, Debian_Lenny, Feroda_Goddard, OpenSUSE...
Además hay que elegir si es Linux 32 bits o Linux 64 bits.
Nota sobre Ubuntu. Para Ubuntu 10.10 hay que instalar la versión 1.4.6 de opensc-dni ya que no funciona con las posteriores. Conviene por tanto bloquear la actualización automática de opensc y libopensc2 en Sistema > Administración > Gestor de paquetes Synaptic (más información en Bitplanet
Módulo PKCS#11 para Firefox. Después de instalar el software de DNIe comprobar que Firefox ha instalado el módulo PKCS#11 entrando en:
Tools->Options->Advanced->Encryption->Security Devices
Si el módulo no está instalado utilizar el botón Load. La ruta por defecto es:
/usr/lib/opensc-pkcs11.so

Verificación del DNIe

NOTA: El lector de DNIe debe estar conectado al ordenador antes de arrancar el navegador. En Mac y Linux sólo funciona desde Firefox. En Windows funciona desde IE ó Firefox.

La página de verificación de la web del DNIe es la siguiente:
http://www.dnie.es/como_utilizar_el_dnie/verificar.html

Mi página de validación:

Esta página tarda unos segundos en reaccionar, luego pide el PIN del DNI.
El DNI electrónico incluye un certificado para Autenticación y otro para Firma. El navegador te deja elegir cuál quieres utilizar, y debes seleccionar el de Autenticación.

ico-dnie

Validar DNIe ico-dnie

Posibles problemas

Verificación mediante Firefox

El lector de tarjetas debe estar conectado antes de arrancar Firefox. Si no está conectado, al entrar en:
Tools->Options->Advanced->Encryption->Security Devices
aparecerá una ventana como la siguiente:
sin_lector
Aunque conectemos el lector a posteriori, Firefox no lo reconocerá ya que sólo lo busca durante el arranque.

Si el lector de tarjetas está conectado pero no tiene DNIe insertardo, aparecerá una venta donde todos los smart card readers dicen "Not Present":
sin_dnie

Al insertar el DNIe, y sin necesidad de reiniciar Firefox, lo detecta automáticamente y muestra la información del mismo: con_dnie

El estado aparecerá como "Logged in" o bien "Not Logged in" dependiendo de si previamente hemos proporcionado o no el PIN. Se puede utilizar los botones "Log In" y "Log Out" para hacerlo manualmente.

Verificación mediante Comandos

En Mac y Linux es posible verificar si el lector funciona correctamente ejecutando los siguientes comandos opensc en el terminal (los ejemplos utilizan el path de Mac):

1-Comprobación del lector

Comando:

/Library/OpenSC/bin/opensc-tool -l

Con el lector enchufado se obtiene algo como:

Readers known about:
Nr. Driver Name
0 pcsc Dell smart card reader keyboard 00 00

Con el lector desconectado se obtiene:

Failed to establish context: No readers found

En Linux también se puede utilizar el comando lsusb para obtener la lista de dispositivos USB y ver si el lector ha sido detectado.

2-¿Existe tarjeta?

Comando:

/Library/OpenSC/bin/opensc-tool -an

Con tarjeta insertada se muestra el número de serie de la tarjeta:

3b:7f:38:00:00:00:6a:49:44:4e:65:20:02:13:03:4c:34:01:90:00
dnie

Con DNI insertado, pero sin haber instalado instalado el driver DNIe (solo el criver SCA) se lee la tarjeta, pero dice "Unsupported card" en lugar de "dnie".

Sin tarjeta insertada se obtiene un mensaje de error:

Card not present.

3-¿se puede leer el contenido de la tarjeta?

Comando:

/Library/OpenSC/bin/pkcs11-tool --module /Library/OpenSC/lib/opensc-pkcs11.so -L

Con tarjeta correcta este comando da muchos mensajes, pero al final muestra la información del DNIe (típicamente en slot 0):

Available slots:
Slot 0 Dell smart card reader keyboard 00 00
token label: DNI electrÃ³nico (PIN1)
token manuf: DGP-FNMT
token model: PKCS #15 SCard
token flags: rng, login required, PIN initialized, token initialized
serial num : 068F42897A0EC3
Slot 1 (empty)
Slot 2 (empty)
Slot 3 (empty)
Slot 4 (empty)
Slot 5 (empty)
Slot 6 (empty)
Slot 7 (empty)

Sin la tarjeta insertada muestra todos los Slots como "(empty)".

Servidor Web: Instituto de Investigación Tecnológica (IIT)