Dificuldade ao usar certificado digital [RESOLVIDO]

PinkMaster
(usa Ubuntu)

Enviado em 30/09/2023 - 15:07h

Olá! Sou inciante Linux e tenho um cerficado digital da SafeSign que preciso usar a trabalho, tive um problema com o pc e tive que enviar para análise então voltou zerado. Fiz o procedimento padrão para instalar o certificado:

1 - criei um usuário no scard
2 - adicionei as dependências
3 - inclui a dependência libssl1.1_1.1.1-1ubuntu2.1~18.04.20_amd64.deb que foi removida na atualização
4 - instalei o driver do certificado
5 - adicionei o serviço na lista de carregamento do systemd
6- conectei com o Firefox.

Segui o mesmo tutorial que havia seguido anteriormente e me ajudou muito: https://guicolandia.com.br/guicowiki/peticionamento-eletronico-ubuntu-22-04/

Carreguei os certificados ICP no navegador. Até enão tudo normal, o navegador reconheceu (só funciona no Firefox Deb então tive que desisntalar o snap e instalar manualmente o deb), os certificados ICP entraram normalmente. O driver da SafeSign parece estar funcionando normalmente.

Instalei o PjeOffice seguindo outro tutorial do mesmo site alinhado com um tutorial em vídeo: https://guicolandia.com.br/guicowiki/pjeoffice-no-ubuntu/ e https://www.youtube.com/watch?v=Cf8hO3uDtEg (mesmos passos que já havia seguido e funcionaram)

Depois instalei no Java os ICP seguindo o tutorial do próprio gov https://www.gov.br/iti/pt-br/assuntos/navegadores/java/versao-linux (tenho o Java 18). As chaves foram carregadas perfeitamente.

Porém, ao tentar acessar o PJE, o PjeOffice abre, insiro o PIN, mas aparece "Não foi possível encontrar nenhum certificado diponível para o provider selecionado" - o provider é do tipo PKCS11, libaetpkss.so.
Ao acessar o TJRJ ocorre o mesmo, coloco o pin e informa não ter certificado ICP-Brasil
Testei pelo tester da SERPRO e também ocorre uma falha dizendo que não foi possível validar o certificado.

O certificado está na validade até 2026, o Firefox identifica e informa todas as especificações dele, mas não consigo usar.

Ao inciar o computador aparece a mensagem:

[ 0.620891] integrity: Problem loading x.509 certificate -65
/dev/nvme0n1p2: clean, 253257/15597568 files, 6489420/62383360 blocks

Verifiquei os logs e está tudo normal, não tem nenhuma mensagem de erro quanto ao x509, não há certificados corrompidos no diretório /etc/ssl/certs e os certificados do sistema estão okay:

~$ sudo dpkg -l | grep -i certificate
ii ca-certificates 20230311ubuntu0.22.04.1 all Common CA certificates
ii ca-certificates-java 20190909ubuntu1.2 all Common CA certificates (JKS keystore)
ii dirmngr 2.2.27-3ubuntu2.1 amd64 GNU privacy guard - network certificate management service
ii python3-certifi 2020.6.20-1 all root certificates for validating SSL certs and verifying TLS hosts (python3)
$

Realmente não sei o que fazer

alexabolada
(usa Debian)

Enviado em 30/09/2023 - 15:07h

Olá! Entendo a sua frustração e vamos tentar solucionar o problema!

Ao que parece, vários locais do sistema já reconhecem seu certificado, mas o PJeOffice e o TJRJ estão tendo problemas. Como você mencionou, o certificado que está usando é do tipo PKCS11 e está sendo provido por `libaetpkss.so`.

Sugiro verificar se o caminho para `libaetpkss.so` está corretamente configurado no Firefox e no PJeOffice. Se o arquivo não estiver no local onde a aplicação está buscando, isso pode causar o problema.

As vezes pode ocorrer problemas com as permissões, verifique se o usuário do sistema tem permissões de leitura para o arquivo `libaetpkss.so`. Execute:

[b]
$ ls -l /caminho/para/libaetpkss.so
[\/b]

Observe a saída e veja se o seu usuário tem permissões de leitura (r).

O erro que você mencionou no início do boot (`[0.620891] integrity: Problem loading x.509 certificate -65`) geralmente é relacionado com a verificação segura de boot e pode não estar diretamente relacionado com seu problema do certificado, mas vale a pena investigar.

Em relação ao problema com o PJE Office, você poder

PinkMaster
(usa Ubuntu)

Enviado em 30/09/2023 - 15:13h

@alexabolada a mensagem não foi completa. Quanto às permissões obtive:

[b]~$ sudo ls -l /usr/lib/libaetpkss.so
lrwxrwxrwx 1 root root 21 set 6 2021 /usr/lib/libaetpkss.so -> libaetpkss.so.3.8.4.2
~$

alexabolada
(usa Debian)

Enviado em 30/09/2023 - 15:13h

Olá!

A saída do comando mostra que você tem a permissão correta para o arquivo libaetpkss.so. No entanto, é um link simbólico para libaetpkss.so.3.8.4.2.

Portanto, é importante certificar-se de que o arquivo libaetpkss.so.3.8.4.2 também tem as permissões corretas. Verifique as permissões deste arquivo também:

[b]\r\n$ ls -l /usr/lib/libaetpkss.so.3.8.4.2
[\/b]

E como também mencionado na mensagem anterior, confirmar o caminho do arquivo libaetpkss.so no aplicativo Firefox e no PJeOffice é crucial para assegurar que eles estão procurando no local correto.

Sobre o completamento da mensagem anterior, será que você poderia confirmar quais são os erros que está recebendo quando tenta usar o PJeOffice? Isso nos ajudará a entender melhor o problema e a pensar numa solução mais direcionada.

Eu agradeço sua cooperação e paciência para resolvermos este problema juntos.

PinkMaster
(usa Ubuntu)

Enviado em 30/09/2023 - 15:17h

@alexabolada sim, claro. O comando resultou em:

[b]~$ sudo ls -l /usr/lib/libaetpkss.so.3.8.4.2
-rw-r--r-- 1 root root 1488928 set 6 2021 /usr/lib/libaetpkss.so.3.8.4.2
j~$

O PjeOficce informa: Library: /lib/libaetpkss.so, Slot: 52481

Quanto ao Firefox não sei como identificar

alexabolada
(usa Debian)

Enviado em 30/09/2023 - 15:18h

Olá!

Pelos resultados enviados, o arquivo libaetpkss.so.3.8.4.2 possui as permissões corretas. O arquivo é legível e gravável pelo root e apenas legível por outros usuários, o que é esperado.

Para identificar o caminho do arquivo libaetpkss.so no Firefox, siga os passos abaixo:

1. Abra o Firefox
2. Na barra de endereços, digite about:config e pressione Enter
3. Você verá uma tela de aviso, clique no botão de confirmação (ex: "Aceito o risco!"), para continuar
4. No campo de pesquisa, pesquise por "security.library"
5. O resultado deve ser algo como "security.device_manager.pkcs11.enabled", o valor ao lado é o caminho onde o Firefox irá procurar a biblioteca.

Se o caminho fornecido no Firefox e PJeOffice não for o mesmo que /usr/lib/libaetpkss.so ou /usr/lib/libaetpkss.so.3.8.4.2, então eles não estão procurando no local correto.

Nesse caso, você precisa indicar o caminho correto.

Qualquer outra dúvida, fico à disposição.

PinkMaster
(usa Ubuntu)

Enviado em 30/09/2023 - 15:22h

@alexabolada ao pesquisar na barra de pesquisa do about:config apenas aparece:

security.library () Boolean () Number () String +

Sendo os parênteses um item clicável para selecionar e o + igualmente clicável

alexabolada
(usa Debian)

Enviado em 30/09/2023 - 15:22h

Olá!

Isto está ocorrendo pois o termo "security.library" não foi encontrado nas configurações do Firefox. Na versão atual do Firefox, o termo correto a ser pesquisado no about:config é security.enterprise_roots.enabled.

Se o valor desta chave for false, você deve alterá-lo para true para o Firefox aceitar autoridades de certificação instaladas pelo usuário.

1. Digite about:configna barra de endereços do Firefox e pressione Enter.
2. Aperte no botão de confirmação, para continuar.
3. No campo de pesquisa, pesquise por security.enterprise_roots.enabled e clique em Modificar.
4. Altere o valor de false para true.

Se a chave security.enterprise_roots.enabled não existir, você precisará criar:

1. Clique com o botão direito em qualquer lugar da lista de configurações.
2. Selecione Novo > Boolean.
3. No campo que aparece, digite security.enterprise_roots.enabled.
4. Selecione [

PinkMaster
(usa Ubuntu)

Enviado em 30/09/2023 - 15:23h

@alexabolada feito. Cliquei em modificar e o valor aparece como true.

alexabolada
(usa Debian)

Enviado em 30/09/2023 - 15:24h

Olá!

Ótimo! Se o valor já aparece como true, o Firefox deveria estar aceitando as autoridades de certificação instaladas pelo usuário.

Então, suas configurações no Firefox estão corretas. Se o problema persistir, provavelmente é algo relacionado ao certificado em si e não à configuração do Firefox. Verifique o certificado que está tentando usar.

Lembre-se que, em alguns casos, você pode precisar reiniciar o Firefox para que as alterações entrem em vigor.

Espero ter ajudado! Se tiver mais alguma dúvida, estou à disposição!

PinkMaster
(usa Ubuntu)

Enviado em 30/09/2023 - 15:29h

@alexabolada infelizmente testei os sites e os mesmos erros persistem, o token está okay e funciona em outra máquina já configurada

alexabolada
(usa Debian)

Enviado em 30/09/2023 - 15:29h

Olá,

Entendo que esteja com problemas persistentes apesar de ter seguido os passos corretamente. Aqui estão algumas sugestões a serem consideradas:

- Pode ser que os certificados na máquina com o problema estejam corrompidos ou faltando algum. Tente comparar a pasta de certificados da máquina problemática com a que está funcionando e certifique-se de que os mesmos arquivos estão presentes nas duas.

- É possível que haja outro software de terceiros interferindo na conexão SSL/TLS. Desative temporariamente qualquer softwares de segurança que possa estar executando (como firewalls, antivírus, etc.) e veja se isso resolve o problem.

- Tente criar um novo perfil no Firefox na máquina problemática e veja se isso resolve o problema. Firefox permite que você crie um novo perfil sem afetar os existentes e isso pode ajudar a isolar o problema.

Para criar um novo perfil no Firefox, siga os passos abaixo:

[b]# firefox -P[\/b]

Aqui, você terá a opção de criar um novo perfil. Após criá-lo, tente acessar os sites problemáticos novamente.

Espero que isso ajude. Não esqueça de reiniciar o Firefox após cada tentativa para garantir que