Cómo usar el certificado digital en Linux: guía completa Ubuntu, Debian y más

¿Usas Linux y necesitas configurar tu certificado digital? Aunque Linux no es oficialmente soportado por muchas administraciones, sí es posible hacer funcionar tu certificado. Te mostramos cómo paso a paso.

Estado del soporte oficial en Linux

Realidad actual:

• ❌ FNMT: No ofrece soporte oficial para Linux
• ❌ DNI electrónico: Compatibilidad muy limitada
• ⚠️ Páginas oficiales: Algunas funcionan, otras no
• ✅ Certificados digitales: Compatibilidad buena en navegadores

Distribuciones compatibles

Instalación paso a paso

Método 1: Firefox (Recomendado)

# Ubuntu/Debian
sudo apt update
sudo apt install firefox

# Fedora
sudo dnf update firefox

# Arch Linux
sudo pacman -Syu firefox

# Montar partición Windows
sudo mkdir /mnt/windows
sudo mount /dev/sdXY /mnt/windows

# Buscar certificados exportados
find /mnt/windows -name "*.p12" -o -name "*.pfx"

Método 2: Chrome/Chromium

# Google Chrome (Ubuntu/Debian)
wget -q -O - https://dl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
sudo sh -c 'echo "deb [arch=amd64] http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google-chrome.list'
sudo apt update
sudo apt install google-chrome-stable

# Chromium (más ligero)
sudo apt install chromium-browser  # Ubuntu/Debian
sudo dnf install chromium         # Fedora

# Instalar herramientas NSS
sudo apt install libnss3-tools  # Ubuntu/Debian
sudo dnf install nss-tools      # Fedora

# Crear directorio para certificados
mkdir -p ~/.pki/nssdb

# Inicializar base de datos NSS
certutil -N -d ~/.pki/nssdb

# Importar certificado raíz FNMT
certutil -A -n "FNMT Clase 2 CA" -t "CT,C,C" -i fnmt_clase2_ca.crt -d ~/.pki/nssdb

# Importar tu certificado personal
pk12util -i tu_certificado.p12 -d ~/.pki/nssdb

Método 3: AutoFirma en Linux

# Descargar desde la página oficial
wget https://estaticos.redsara.es/comunes/autofirma/currentversion/AutoFirma_Linux.zip

# Extraer e instalar
unzip AutoFirma_Linux.zip
sudo dpkg -i AutoFirma_1_8_2.deb  # Ubuntu/Debian
sudo rpm -ivh AutoFirma_1_8_2.rpm # Fedora/CentOS

# Ubuntu/Debian
sudo dpkg -i AutoFirma_X_X_X_all.deb
sudo apt-get install -f  # Si hay dependencias

# Fedora/CentOS

sudo rpm -i AutoFirma-X.X.X.noarch.rpm

# Arch Linux (AUR)

yay -S autofirma

Configuración específica por distribución

Ubuntu/Debian

Instalar dependencias necesarias:

# Actualizar sistema
sudo apt update && sudo apt upgrade

# Instalar certificados CA
sudo apt install ca-certificates

# Instalar NSS para navegadores
sudo apt install libnss3-tools

# Instalar Java para AutoFirma
sudo apt install default-jre

# Instalar librerías adicionales
sudo apt install libpcsclite1 pcscd

Configurar servicios:

# Habilitar servicio de tarjetas inteligentes
sudo systemctl enable pcscd
sudo systemctl start pcscd

Fedora

Instalar dependencias:

# Actualizar sistema
sudo dnf update

# Instalar herramientas NSS
sudo dnf install nss-tools

# Instalar Java
sudo dnf install java-11-openjdk

# Instalar soporte para tarjetas
sudo dnf install pcsc-lite pcsc-lite-ccid

Configurar SELinux (si está activo):

# Verificar estado de SELinux
sestatus

# Si causa problemas, temporalmente:
sudo setenforce 0

Arch Linux

Instalar desde AUR:

# Instalar yay si no lo tienes
sudo pacman -S --needed base-devel git
git clone https://aur.archlinux.org/yay.git
cd yay && makepkg -si

# Instalar paquetes necesarios
yay -S firefox
yay -S chromium
yay -S jre-openjdk
yay -S autofirma  # Desde AUR

Configuración avanzada de navegadores

Firefox: Configuración detallada

Habilitar certificados de cliente:

1. Ve a about:config
2. Busca security.tls.insecure_fallback_hosts
3. Añade dominios problemáticos si es necesario
4. Reinicia Firefox

Configurar políticas empresariales:

Crea /etc/firefox/policies/policies.json:

{
  "policies": {
    "SecurityDevices": {
      "FNMT": "/usr/lib/opensc-pkcs11.so"
    },
    "Certificates": {
      "ImportEnterpriseRoots": true,
      "Install": ["/path/to/fnmt-root-cert.crt"]
    }
  }
}

Chrome: Configuración del almacén NSS

Script de configuración automática:

#!/bin/bash
# Configurar certificados para Chrome en Linux

# Crear directorio NSS si no existe
NSS_DIR="$HOME/.pki/nssdb"
mkdir -p "$NSS_DIR"

# Inicializar si es necesario
if [ ! -f "$NSS_DIR/cert9.db" ]; then
    certutil -N -d "$NSS_DIR" --empty-password
fi

# Importar certificados raíz FNMT
for cert in fnmt_*.crt; do
    if [ -f "$cert" ]; then
        certutil -A -n "FNMT-$(basename $cert .crt)" -t "CT,C,C" -i "$cert" -d "$NSS_DIR"
    fi
done

echo "Configuración completada. Reinicia Chrome."

Configuración de proxy (si es necesario)

Para redes corporativas:

# Variables de entorno
export http_proxy=http://proxy.empresa.com:8080
export https_proxy=http://proxy.empresa.com:8080
export no_proxy=localhost,127.0.0.1

# Configurar en Firefox
# about:preferences -> Network Settings
# Manual proxy configuration

# Configurar en Chrome
google-chrome --proxy-server="http://proxy.empresa.com:8080"

Pruebas y verificación

Verificar instalación de certificados

En Firefox:

1. Ve a about:preferences#privacy
2. Certificados > Ver certificados
3. Verifica que aparecen:
   • Autoridades: Certificados raíz FNMT
   • Sus certificados: Tu certificado personal

En Chrome:

# Listar certificados instalados
certutil -L -d ~/.pki/nssdb

# Verificar certificado específico
certutil -L -n "Tu Certificado" -d ~/.pki/nssdb

Probar en páginas oficiales

Páginas que funcionan bien:

• ✅ AEAT: sede.agenciatributaria.gob.es
• ✅ Seguridad Social: sede-tu.seg-social.gob.es
• ✅ SEPE: sede.sepe.gob.es
• ✅ Cl@ve: clave.gob.es

Páginas con problemas conocidos:

• ⚠️ Algunas comunidades autónomas
• ⚠️ Algunos ayuntamientos
• ⚠️ Sistemas muy antiguos

Test de funcionamiento básico:

# Verificar NSS funciona
certutil -V -n "Tu Certificado" -u V -d ~/.pki/nssdb

# Test con curl (si está configurado)
curl --cert ~/.pki/nssdb/cert.pem --key ~/.pki/nssdb/key.pem https://example.com

Solución de problemas comunes

Error: “No se encuentra el certificado”

Diagnóstico:

# Verificar que Firefox ve los certificados
ls -la ~/.mozilla/firefox/*/cert9.db

# Verificar NSS
certutil -L -d ~/.pki/nssdb

Soluciones:

1. Reimportar el certificado
2. Verificar permisos de archivos
3. Crear nuevo perfil de Firefox

Error: “Certificado no válido para autenticación”

Causas comunes:

• Certificado importado solo para cifrado
• Problemas con la cadena de certificados
• Fecha/hora del sistema incorrecta

Soluciones:

# Sincronizar fecha
sudo ntpdate -s time.nist.gov

# Verificar propósito del certificado
openssl x509 -in certificado.crt -text -noout | grep -A 5 "Key Usage"

Error: “PKCS#11 device error”

Para Firefox:

1. Ve a about:preferences#privacy
2. Certificados > Dispositivos de seguridad
3. Cargar módulo si es necesario:
   • Nombre: OpenSC PKCS#11
   • Archivo: /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so

Error: Java en AutoFirma

Instalar Java correcto:

# Ubuntu/Debian
sudo apt install default-jre default-jdk

# Verificar versión
java -version

# Configurar JAVA_HOME si es necesario
export JAVA_HOME=/usr/lib/jvm/default-java

Problemas con páginas específicas

User Agent no reconocido:

Algunas páginas bloquean Linux. Solución temporal:

# Firefox: about:config
# Modificar: general.useragent.override
# Valor: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0

Falta de plugins:

# Instalar plugins multimedia si son necesarios
sudo apt install ubuntu-restricted-extras  # Ubuntu
sudo dnf install gstreamer1-plugins-ugly   # Fedora

Automatización y scripts útiles

Script de instalación automática

#!/bin/bash
# install-cert-linux.sh - Instalación automática certificado digital

set -e

echo "🐧 Configurando certificado digital en Linux"

# Detectar distribución
if [ -f /etc/os-release ]; then
    . /etc/os-release
    OS=$NAME
fi

# Instalar dependencias según distribución
case $OS in
    "Ubuntu"*|"Debian"*)
        sudo apt update
        sudo apt install -y firefox libnss3-tools ca-certificates default-jre
        ;;
    "Fedora"*)
        sudo dnf install -y firefox nss-tools ca-certificates java-11-openjdk
        ;;
    *)
        echo "⚠️ Distribución no reconocida. Instalación manual necesaria."
        exit 1
        ;;
esac

# Crear directorio NSS
mkdir -p ~/.pki/nssdb
certutil -N -d ~/.pki/nssdb --empty-password

# Descargar certificados raíz FNMT
echo "📥 Descargando certificados raíz FNMT..."
wget -q -O fnmt-root.crt "https://www.sede.fnmt.gob.es/documents/11614/157504/AC_RAIZ_FNMT-RCM.crt"
wget -q -O fnmt-usuarios.crt "https://www.sede.fnmt.gob.es/documents/11614/156776/AC_FNMT_Usuarios.crt"

# Importar en NSS
certutil -A -n "FNMT-RCM" -t "CT,C,C" -i fnmt-root.crt -d ~/.pki/nssdb
certutil -A -n "FNMT-Usuarios" -t "CT,C,C" -i fnmt-usuarios.crt -d ~/.pki/nssdb

echo "✅ Configuración base completada"
echo "📋 Próximos pasos:"
echo "   1. Importa tu certificado personal (.p12/.pfx)"
echo "   2. Reinicia Firefox"
echo "   3. Prueba en: https://sede.agenciatributaria.gob.es"

Script de diagnóstico

#!/bin/bash
# diagnostic-cert-linux.sh - Diagnóstico de certificados

echo "🔍 Diagnóstico de certificados digitales en Linux"
echo "================================================="

# Verificar Firefox
if command -v firefox &> /dev/null; then
    echo "✅ Firefox instalado: $(firefox --version)"
else
    echo "❌ Firefox no encontrado"
fi

# Verificar Chrome
if command -v google-chrome &> /dev/null; then
    echo "✅ Chrome instalado: $(google-chrome --version)"
elif command -v chromium &> /dev/null; then
    echo "✅ Chromium instalado: $(chromium --version)"
else
    echo "❌ Chrome/Chromium no encontrado"
fi

# Verificar NSS
if command -v certutil &> /dev/null; then
    echo "✅ NSS tools instalado"
    echo "📊 Certificados en NSS:"
    certutil -L -d ~/.pki/nssdb 2>/dev/null || echo "   Base de datos NSS no inicializada"
else
    echo "❌ NSS tools no instalado"
fi

# Verificar Java
if command -v java &> /dev/null; then
    echo "✅ Java instalado: $(java -version 2>&1 | head -1)"
else
    echo "❌ Java no encontrado"
fi

# Verificar AutoFirma
if command -v AutoFirma &> /dev/null; then
    echo "✅ AutoFirma instalado"
else
    echo "⚠️ AutoFirma no encontrado"
fi

echo "================================================="

Alternativas y workarounds

Máquina virtual Windows

Para páginas muy problemáticas:

# Instalar VirtualBox
sudo apt install virtualbox

# O usar QEMU/KVM
sudo apt install qemu-kvm virt-manager

# Windows 10 en VM con certificado instalado
# Solo para trámites críticos que no funcionen

Wine para aplicaciones Windows

# Instalar Wine
sudo apt install wine

# Configurar Wine
winecfg

# Instalar Internet Explorer en Wine (para emergencias)
# No recomendado para uso regular

Dual boot como opción

Para usuarios que necesitan Windows ocasionalmente:

• Mantener partición Linux como principal
• Windows solo para trámites específicos
• Sincronizar archivos entre sistemas

Mejores prácticas en Linux

Seguridad del certificado

# Permisos seguros para archivos de certificados
chmod 600 ~/.pki/nssdb/*
chmod 700 ~/.pki/nssdb/

# Backup cifrado
tar -czf certificados-backup.tar.gz ~/.pki/nssdb/
gpg -c certificados-backup.tar.gz

Automatización de renovación

# Script para verificar caducidad
#!/bin/bash
certutil -L -d ~/.pki/nssdb | while read line; do
    name=$(echo $line | awk '{print $1}')
    if [[ $name != "Certificate"* ]]; then
        expiry=$(certutil -L -n "$name" -d ~/.pki/nssdb 2>/dev/null | grep "Not After")
        echo "$name: $expiry"
    fi
done

Monitorización

# Añadir a crontab para verificación semanal
# 0 9 * * 1 /home/usuario/scripts/check-certificates.sh

Integración con herramientas Linux

LibreOffice

LibreOffice puede firmar documentos con certificados digitales:

1. Herramientas > Opciones > Seguridad
2. Ruta de certificados > Configurar NSS
3. Archivo > Firmas digitales > Firmar documento

Evolution (cliente email)

# Configurar firma de emails
# Preferencias > Cuentas de correo > Seguridad
# Certificado de firma: Seleccionar de NSS

Thunderbird

Similar a Firefox, usa el mismo almacén NSS:

1. Preferencias > Privacidad y seguridad
2. Certificados > Ver certificados
3. Importar igual que en Firefox

Conclusión

Usar certificados digitales en Linux es posible y funciona bien una vez configurado correctamente. Aunque no hay soporte oficial, la compatibilidad es buena para la mayoría de trámites.

Resumen de compatibilidad:

• Firefox: Excelente (recomendado)
• Chrome: Buena (con configuración)
• AutoFirma: Funciona correctamente
• Trámites básicos: AEAT, Seguridad Social, etc.
• Algunas webs: Pueden requerir workarounds

Recomendaciones finales:

1. Usa Firefox como navegador principal
2. Configura NSS correctamente para Chrome
3. Haz backups regulares de tus certificados
4. Prueba siempre en entornos de test primero
5. Ten alternativas para páginas problemáticas

¿Problemas específicos con tu distribución? Consulta nuestras otras guías o contacta para ayuda personalizada con tu configuración de Linux.