A veces uno se levanta con ganas de comerse el mundo, de terminar todos los trámites pendientes con la administración y, de paso, disfrutar de un café frente al puerto de Cartagena, viendo cómo entran los barcos. Pero claro, si eres de los que usamos Linux, la realidad suele darnos un bofetón de humildad en cuanto intentamos abrir una web oficial. No es que el sistema sea malo, al contrario, es que a veces parece que la burocracia digital española y el pingüino de Torvalds no terminan de irse de cañas juntos por la calle Mayor.
Hoy vamos a hablar de un número que, para muchos, es solo una cifra más, pero para el que está peleándose con la Sede Electrónica de la Fábrica Nacional de Moneda y Timbre (FNMT), es casi un código sagrado: el 1382. Se trata de la entrada técnica que explica cómo importar un certificado digital en Google Chrome cuando corres sobre una distribución de Linux. Y la verdad es que, aunque parezca un proceso de ingeniería aeroespacial, tiene su aquel y sus trucos para no acabar tirando el portátil por la ventana del tercer piso.
La verdad es que la FNMT ha mejorado mucho con los años. Atrás quedaron esos tiempos oscuros donde solo podías usar Internet Explorer y rezar tres avemarías para que el Java no explotara en mil pedazos. Sin embargo, Linux sigue siendo ese «invitado inesperado» en las oficinas de la administración pública. En una ciudad con tanta solera técnica como Cartagena, donde tenemos una base naval de primer nivel y una universidad politécnica que es la envidia de muchos, no son pocos los que prefieren la libertad de una terminal de comandos antes que las ventanas cerradas de otros sistemas.
El problema viene cuando necesitas el certificado para algo tan mundano como pedir una fe de vida, consultar los puntos del carnet o presentar el IVA si eres autónomo. En Windows o macOS, el sistema de gestión de certificados es bastante centralizado. En Linux, la cosa cambia porque cada navegador suele querer gestionar su propio «almacén» de llaves, o bien se apoya en librerías específicas como NSS (Network Security Services). Y ahí es donde entra en juego nuestro protagonista: Google Chrome.
Antes de meternos en harina, un pequeño aviso para navegantes: si intentas hacer esto un sábado 25 de abril (o cualquier fecha que la FNMT decida para sus labores de mantenimiento), es muy probable que te encuentres con la web caída. Lo dicen ellos mismos en sus avisos: la infraestructura a veces necesita un respiro. Así que, si ves que nada carga, no es tu conexión de fibra ni tu configuración de DNS; es que los servidores están de «descanso dominical» técnico.
Preparando el terreno: ¿Qué necesitas antes de empezar?
Para que nos entendamos, importar un certificado no es más que decirle a Chrome: «Oye, este archivo que tengo aquí soy yo, confía en él cuando una web oficial me lo pregunte». Pero para llegar a ese punto, primero tienes que tener el archivo. Normalmente, este archivo tiene una extensión .p12 o .pfx. Si lo acabas de descargar de la web de la FNMT tras haber ido a acreditar tu identidad (quizás al edificio administrativo del Ayuntamiento en la calle San Miguel, por poner un ejemplo local), asegúrate de tener a mano la contraseña que le pusiste al exportarlo.
Ojo con esto: la contraseña del certificado es el eslabón más débil. Si la pierdes, el archivo es un ladrillo digital inservible. No hay botón de «he olvidado mi contraseña» que valga aquí, porque el cifrado es local. Así que, antes de abrir Chrome, asegúrate de que el archivo está en una carpeta segura y que recuerdas perfectamente esa clave que elegiste.
El paso a paso en Google Chrome para Linux
Vamos al lío. No busques menús complicados, la ruta en Linux para Chrome es bastante directa, aunque a veces parece que la esconden un poco para que no sea demasiado fácil. La verdad es que los desarrolladores de Google tienen una forma curiosa de organizar las cosas.
- Abre Google Chrome. Nada de sorpresas aquí.
- Vete a los tres puntitos verticales de la esquina superior derecha (el menú de toda la vida) y selecciona Configuración.
- En el menú de la izquierda, haz clic en Privacidad y seguridad.
- Ahora busca la sección que dice Seguridad.
- Baja hasta el final de la página y verás una opción que dice Gestionar certificados. Al hacer clic, se abrirá una ventana emergente que es la que realmente corta el bacalao.
En Linux, esta ventana suele mostrar varias pestañas: «Tus certificados», «Personas», «Servidores» y «Autoridades». La que nos interesa es, lógicamente, Tus certificados. Es ahí donde reside tu identidad digital.
El momento de la verdad: La importación
Una vez que estás en la pestaña de «Tus certificados», verás un botón que dice Importar. Al darle, se abrirá el explorador de archivos de tu distribución (ya sea Nautilus en GNOME, Dolphin en KDE o el que uses). Busca tu archivo .p12 o .pfx.
Aquí es donde suele saltar el primer susto. Chrome te pedirá una contraseña. Pero cuidado, que aquí hay truco: a veces te pide la «Contraseña de la base de datos de certificados» (que es una clave maestra de Chrome/NSS) y otras veces te pide la «Contraseña del certificado» (la que pusiste al crearlo). Lee bien el mensaje de la ventana emergente. Si nunca has puesto una contraseña maestra a Chrome, es posible que simplemente te pida la del archivo.
Si todo va bien, verás que tu nombre aparece en la lista. ¡Victoria! Ya puedes entrar en la Sede Electrónica y pelearte con los formularios de la Agencia Tributaria. Pero, como diría un buen cartagenero, «no te fíes ni de tu sombra», porque a veces el certificado aparece pero no funciona.
¿Por qué no me reconoce el certificado si ya lo he importado?
Esta es la pregunta del millón. La respuesta corta es que Linux y Chrome a veces no se comunican bien con el lector de tarjetas o con las librerías de validación. La respuesta larga tiene que ver con algo llamado libnss3.
En muchas distribuciones de Linux, Chrome utiliza la base de datos de certificados de NSS que se encuentra en una carpeta oculta de tu $HOME (normalmente en ~/.pki/nssdb). Si por algún motivo los permisos de esa carpeta están mal, o si Chrome no tiene acceso a las librerías criptográficas del sistema, el certificado estará ahí, pero será como tener las llaves de un coche sin motor.
Para que nos entendamos, si ves que después de importar el certificado la web de la FNMT te sigue diciendo que «no se ha encontrado ningún certificado válido», prueba a cerrar Chrome por completo. Y cuando digo por completo, me refiero a que no quede ningún proceso en segundo plano. En Linux, un killall chrome suele ser mano de santo. Luego vuelve a abrirlo e inténtalo de nuevo.
Un poco de contexto histórico: ¿Por qué es tan difícil?
Si echamos la vista atrás, la administración española siempre ha tenido una relación complicada con la tecnología. Es casi como la historia de Cartagena: capas y capas de civilizaciones (o en este caso, de software) superpuestas unas sobre otras. Tenemos el sustrato romano de los formularios en papel, la muralla bizantina de los sistemas propietarios y, por encima, el intento moderno de digitalización.
El certificado de la FNMT nació con una mentalidad muy de «entorno controlado». Se pensó para que funcionara en el ordenador de una oficina con Windows XP. Adaptar eso a la diversidad del ecosistema Linux, donde cada usuario tiene una configuración distinta, es un reto. Pero vaya, que si fuimos capaces de reflotar el submarino de Isaac Peral, ¿cómo no vamos a poder importar un simple archivo en un navegador?
Diferencias entre Chrome y Firefox en Linux
Es importante mencionar esto porque muchos usuarios de Linux saltan de un navegador a otro. Firefox, a diferencia de Chrome, utiliza su propio almacén de certificados de forma totalmente independiente al sistema operativo. Chrome intenta ser un poco más «integrado», lo que a veces causa más dolores de cabeza en Linux de los que soluciona.
Si el método del «botón importar» en Chrome te falla sistemáticamente, hay una alternativa para los más valientes: la línea de comandos. Usando la herramienta pk12util, que forma parte del paquete nss-tools, puedes inyectar el certificado directamente en la base de datos que usa Chrome. Sería algo así:
pk12util -i tu_certificado.p12 -d sql:$HOME/.pki/nssdb
Vaya, que esto ya es para nota, pero la verdad es que a veces es la única forma de que el sistema se entere de quién eres. Es el equivalente digital a ir a la ventanilla y dar un golpe en la mesa para que te hagan caso.
Problemas habituales y cómo esquivarlos
A lo largo de los años, en el blog de aquinohayquienviva.es hemos visto de todo. Aquí te dejo una lista de «piedras en el camino» que podrías encontrarte:
- El formato del archivo: A veces la FNMT te da un archivo que Chrome no digiere bien. Si tienes problemas, intenta convertirlo usando OpenSSL. No es lo ideal, pero a veces el «sabor» del .p12 no es el que Chrome espera.
- La versión de Chrome: Asegúrate de estar usando la versión oficial de Google Chrome o Chromium. Las versiones empaquetadas como Flatpak o Snap a veces tienen restricciones de acceso a los archivos del sistema (sandboxing) que impiden que vean el certificado correctamente. Si usas el Chrome de «toda la vida» (.deb o .rpm), tendrás menos líos.
- El aviso de mantenimiento: Como decía al principio, si es sábado y la web no va, no toques nada. Vete a dar un paseo por el Calvario o a tomarte algo por el Ensanche y vuelve a intentarlo el lunes. La infraestructura de la FNMT es robusta, pero no es eterna.
¿Y qué pasa con el DNI electrónico?
Esa es otra guerra. Importar un certificado de archivo (software) es una cosa, pero usar el DNIe en Linux con Chrome es subir de nivel. Ahí ya necesitas instalar el opensc, configurar el módulo PKCS#11 y cruzar los dedos para que el lector de tarjetas sea compatible. La verdad es que, para la mayoría de los mortales, el certificado de archivo de la FNMT es mucho más cómodo y da menos problemas de compatibilidad en el día a día.
La importancia de la soberanía digital en el hogar
Al final del día, aprender a gestionar estas cosas en Linux es una forma de soberanía digital. No depender de un sistema operativo cerrado para relacionarte con el Estado es importante. Y sí, a veces el camino es un poco más pedregoso, pero la satisfacción de ver ese mensaje de «Autenticación aceptada» en una máquina con Linux no tiene precio.
En Cartagena sabemos mucho de resistir y de adaptarnos. Desde las invasiones antiguas hasta las transformaciones industriales, siempre hemos salido adelante. Configurar un certificado digital en Chrome es solo una pequeña batalla moderna. No dejes que un menú de configuración te gane la partida.
Resumen de pasos rápidos (para los que tienen prisa)
Si has llegado hasta aquí buscando la solución directa y no quieres leer mis digresiones sobre la historia local o la filosofía del software libre, aquí tienes el «chuletario» rápido:
- Ruta: Configuración -> Privacidad y seguridad -> Seguridad -> Gestionar certificados.
- Pestaña: Tus certificados.
- Acción: Importar -> Seleccionar .p12 -> Introducir contraseña.
- Truco: Reinicia el navegador por completo si no aparece a la primera.
- Plan B: Usa
certutilopk12utildesde la terminal si el modo gráfico falla.
La verdad es que, una vez que lo haces la primera vez, las siguientes son pan comido. Es como aprender a moverse por las calles del casco antiguo: al principio te pierdes, pero luego sabes perfectamente qué callejón te lleva directo a la plaza del Ayuntamiento.
Espero que esta guía te haya servido para poner un poco de orden en el caos de la burocracia digital. Y recuerda, si la web de la FNMT te dice que están de obras, no desesperes. Aprovecha para desconectar un poco, que la vida digital está muy bien, pero el sol de nuestra tierra está mucho mejor. ¡Nos leemos en el próximo artículo!
Deja una respuesta