Configurando o Certificado Digital A3 no Chromium/Chrome

Dicas de como habilitar o Token GD Burti no Chormium ou Chrome.

Recentemente fui supreendido pelo assinador WebSigner da Softplan que parou de funcionar no Firefox, me obrigado a usar o Chrome, o incômodo ocorria quando para assinar documentos da Justiça do Trabalho tinha de usar o Firefox, pois não conseguia habilitar o certificado no Chrome, e quando tinha de assinar documentos para o Tribunal de Justiça de São Paulo, tinha de sair do Firefox e ir para o Chrome.

Mas a dificuldade em habilitar o certificado digital no Chrome, ocorre regularmente porque as orientações disponíveis são apontadas para o menu de configurações daquele navegador, pedindo para habilitar em Privacidade Segurança → Segurança → Gerenciar Certificados → HTTPS/SSL.

Toda vez que se tenta carregar o Certificado no formato p12, ele dá erro desconhecido.

A solução é a seguinte, se lembrarmos dos procedimentos do Firefox, ele vai pedir para primeiro habilitarmos o Dispositivo, sendo necessário nesse passo, indicar a biblioteca, no meu caso a libaetpkss.so, assim, o erro desconhecido que ocorre no Chrome acontece por falta dessa habilitação de dispositivo, antes de se habilitar o arquivo certificado .p12.

Graças a ao artigo publicado por Kamarada[1] em setembro de 2019, para usuários do Susi, consegui superar essa dificuldade ao qual reproduzo os passos a seguir:

Lembro aos internautas que os passos a seguir consideram que o dispositivo já foi instalado no Computador com todas as bibliotecas, e está funcionando normalmente em outro navegador, como o Firefox por exemplo.

Passo 1: Instale a biblioteca libnss3-tools

sudo apt-get install libnss3-tools

Passo 2: Vá para o diretório Home de sua Workstation

Passo 3: No terminal, no diretório Home digite o seguinte comando:

modutil -dbdir sql:.pki/nssdb/ -add “nome_do_token” -libfile /caminho/para/a biblioteca

Por exemplo no meu caso ficou assim:

modutil -dbdir sql:.pki/nssdb/ -add “GD_burti” -libfile /usr/lib/libaetpkss.so.3.5.4256

O programa modutil abrirá uma pequena janela de alerta informando que é necessário fechar o navegador, basta constatar se está fechado e clicar Enter:

Passo 4: Ainda dentro do diretório Home, é possível checar o carregamento do dispositivo com o seguinte comando:

modutil -dbdir sql:.pki/nssdb/ -list.

Passo 5: Agora sim, entre nas configurações do Chromium (preferível para o Linux) ou Chrome e você conseguirá carregar teu certificado.

Referencias:

1 – KAMARADA: Configurando certificado digital no navegador Google Chrome / Chromium Disponível em https://kamarada.github.io/pt/2019/09/26/configurando-certificado-digital-no-navegador-google-chrome-chromium/#.YB0zWnWE6Tc. Acesso em 05 fev. 2021.

Assuntos relacionados:

Assuntos Relacionados:

Usando o shodo e PJE no Centos 8

Usando o Shodo e PjeOffice no Centos 8

O presente artigo relata uma experiência para a assinatura digital dos sistemas PJeOffice e Shodo nos gerenciadores PJE do CNJ.

Como sou adepto do Software Livre há mais de 10 anos, 10 anos de Ubuntu e agora meu primeiro ano com o CentOS, atualmente na versão 8, compartilho aqui a minha experiência no uso do PJE (Processo Judicial Eletrônico) de como usar o Shodo (Justiça do Trabalho) e PJEOffice (Justiça Federal – CNJ).

O propósito deste artigo e colaborar ao máximo com os juristas que se valem do PJE e Shodo sob a plataforma Linux, por isso, apresentaremos abaixo dois sistemas que vou chamar um de ideal e o outro de padrão, mas sem qualquer objetivo de fazer merchandisign de algum deles.

Vou começar falando do ideal, porque nos últimos 5 anos trabalhamos sempre dentro do padrão proposto pela OAB que é a Autoridade Certsign e o Token G&D (Safesign), no entanto, a ineficácia da extensão CertiPlugin, deles e, também a limitação daquela extensão somente ao navegador Chrome, nos fez decidir migrar para a Autoridade Serasa e o Token Safenet, que acabamos considerar como ideal porque para o PJEOffice e Shodo se mostrou muito eficaz.

Eficaz no sentido de que não precisamos ter os serviços limitados como está nos procedimentos que apresentamos abaixo para o Safesign, que no PJE da Justiça Federal nos obriga primeiro fazer um login pelo CPF, para só depois de logado conseguir assinar o documento, pois, o assinador PJEOficce no Safesing sempre dá erro de assinatura.

Assim, nesta experiência, a Autoridade Serasa ao oferecer aos juristas o E-Jurídico, pelo Safenet, veio atenter de forma mais satisfatórias as necessidades do Escritório Digital, por isso, no momento consideramos ser a ideal para o usuário Linux, porque acreditamos que o token G&D, aqui no Brasil ao trabalhar nos Sistemas Linux com bibliotecas obsoletas, isto é sem atualização adequada, acaba por limitar a performance obrigando o consumidor a fazer certas mágicas para usá-los.

Para a instalação do sistema deixamos o link para os usuários do Fedora que não está listado na página de Downloads que apresenta somente para os usuários do Debian/Ubuntu: Safenet, lembrando que caso já tinha instalado o Safesign, é necessário atualizar as pasta do “.pje” no diretório Home direcionando para o drive do token que encontra-se na pasta padrão corforme a seguir: /usr/lib64/libeTPkcs11.so, e remover a pasta “.shodo”, para que o sistema abra as novas configurações.

Acredito que pela Autoridade Certsign até há o Safenet, mas o serviço deles de suporte com o Plugin CertiPlugin para mim foi ineficiente e horroroso, mas, para aqueles que são adeptos do convencional e não desejam alterar o Token G&D, nem a Autoridade, segue as dicas abaixo

a) Para configurar o sistema, deve-se instalar as bibliotecas indicadas no tutorial da Valid Certificadora no seguinte endereço: https://www.validcertificadora.com.br/index.aspx?DID=73.

Instalação do Safesign na versão rpm.

Neste Link http://safesign.gdamericadosul.com.br/ é possível baixa todas as versões do safesign, para o .rpm, deve-se clicar na janela de versões na frente de Download Safesign, ele instalará normalmente, porque este artigo foi produzido originalmente antes da atualização.

Atualmente está na versão 3.5.2, que gera incompatbilidade com uma das bibliotecas do Safesign libgdm.so.4(64) [obsoleta] que conflita com o gbdm atual do Centos 8, assim para corrigir faça um downgrade (regressão) do pacote gdbm para a versão do Centos 7, a partir do seguinte compando: sudo rpm -ivh –force http://mirror.centos.org/centos/7/os/x86_64/Packages/gdbm-1.10-8.el7.x86_64.rpm

Antes de instalar o pacote acima, foi instalado os pacotes compat-gdbm, openssl, para que deixar apenas como pendência a biblioteca libgdbm.so.4, feito isso de o seguinte comando

sudo rpm -ivh --force --nodeps gdbm-1.10-8.el7.x86_64.rpm

Se ainda assim, manter incompatibilidade, ou problema, deixo a sugestão do procedimento abaixo.

Caso haja conflito no CentOS 8, ai a solução será forçar a instalação seguindo a dica do Keep Linux Blogspot da seguinte forma pelo terminal:

1) acesse o diretório onde foi baixado o SafeSign.

2) baixe o pacote para o diretorio de downloads do teu pc

3) Pelo terminal, entre no diretorio em que foi baixado o arquivo e proceda os seguintes comandos:

cd /tmp (caso tenha sido o /tmp).
sudo rpm -ivh --force --nodeps SafeSign baixado.rpm

Usando o Java Oracle

b) Nesta experiência só funcionou com o Oracle Java, a opção foi pela versão Jre 8 (mais estável), mas, como o CentOS tem aplicativos que preferem o OpenJdk (nativo), é recomendável não desinstalá-lo, basta apenas, depois de instalado o Java Oracle, selecionar o Java pelo comando:

sudo update-alternatives --config java.

A configuração do Java (permissões para os sites com certificados incomuns, como por exemplo https://127.0.0.1:9000 do Shodo e dos tribunais mais usados pelo causídico), deve ser feita pelo terminal, pois não vem mais com a interface do panel control, no caso do java 8, com o comando no terminal (Poderes de administrador): sudo sh /usr/java/jre1.8.0_231-amd64/bin/ControlPanel.
Configuração do Shodo

A configuração do Shodo segue aquelas dada pelos tribunais, e para funcionar além das configurações normais do java eu dei permissão para a porta 9000 no firewall com o comando

sudo firewall-cmd --zone=public --add-port=9000/tcp --permanent 

[observação: as vezes o navegador substitui os dois hífens, por exemplo –zone=public em em um travessão (-zone=public) o que pode dar erro no comando, por isso, preste atenção no seu terminal quando colar]

Caso não dê certo, a única versão do Shodo que funcionou em todas as experiências realizadas tanto pelo Ubuntu quanto pelo Centos foi a do Shodo 1.0.9, por isso, ela deve ser rodada pelo computador ao invés de baixada do navegador.

Como não foi encontrado nenhum link de repositório do CSTJ desta versão, estou disponibilizando a que eu tenho neste link, lembrando que é uma colaboração, portanto sem garantia de suporte oficial, https://www.formaresaber.com.br/forum/assinadorjt-latest.jar.

Para você facilitar o acesso, movi o arquivo para a pasta opt e criei um arquivo pelo gedit (editor de texto) na pasta /usr/bin, chamado shodo.sh, cujo comando é o seguinte:

java -jar /opt/shodo/assinadorjt-latest.jar

lembrando que o comando java -jar vai funcionar assim se você instalou completamente o java no teu sistema de forma que ele reconheça automaticamente HOME

Depois, criei um lançador na pasta de usr/share/applications que me permitiu adicionar na barra (docker) do Desktop que nomei de shodo.desktop, contendo o seguinte
comando.

[Desktop Entry]
Name=ShodoJT
Comment=AssinadorCA
Exec=sh /usr/bin/shodo.sh
Icon=esc.png (este ícone é opcional, pode ser qualquer outro)
Type=Application
Categories=Utilities

Cremos ser necessário atribuir as permissões chmod +x em ambos os arquivos.

Feito issobasta clicar no ícone.
Para finalizar uma vez rodando o shodo, entre no link https://127.0.0.1:9000 para atribuir as permissões necessárias, a partir daí já é possível acessar a Justiça do Trabalho como o Shodo.

Cadeia de Certificado

Para a instalação da cadeia de certificado o ITI Brasil disponizilizou esse tutorial para o Linux https://www.iti.gov.br/navegadores/java/95-navegadores/java/452-versao-linux

Configurações do PjeOffice

Como o PjeOffice no token G&D dá erro de autenticação em qualquer versão não há preferência por alguma versão específica, basta instalar qualquer versão.

Depois de rodando, configure o PjeOffice, apontando a biblioteca libaetpkss.so.3.0.x que no caso do CentOS, está na pasta usr/lib64/, clicando a seguir na aba a esquerda em avançado sobre o certificado, vai abrir a pop up da senha do certificado, uma vez informada ele vai entrar no sistema.

O PjeOffice vai estar rodando mas não continuará a dar erro na autenticação do acesso ao Tribunal, não se preocupe com isso, faça o login no Tribunal com pelo CPF.

Depois disso, eu costumo usar o PJEOffice com o shodo rodando também, porque embora não consiga autenticar a entrada no PJE, depois eu consigo assinar os documentos dentro do PJE.

Advertência: Por segurança eu, ainda que para o PJE da Justiça Federal, costumo rodar o PJEOffice com o Shodo concomitantemente, pois, só rodando o PJEOffice, me pareceu que dê erro de acesso no PjeOffice, e se acontecer isso com você também, não insista mais de duas vezes, pois travará sua senha, sugerimos caso já tenha tentado inicializar o PjeOffice duas vezes com erro, acesse um Tribunal do Trabalho com o Shodo para evitar o risco de travamento e depois volte.

Uma vez inicializado o Sistema PjeOffice, a dica que fica é a seguinte, quando for usar o PjeOffice, por exemplo, para acessar a JFSP https://pje1g.trf3.jus.br/pje/login.seam, tendo inicializado o Shodo, depois, faça o acesso no site usando o CPF, pois, os certificados TOKENs da OAB é o G&D que no acesso ao Tribunal dá o erro sun.security.pkcs11.wrapper.pkcs11exception ckr_device_error, no entanto, com o SHODO inicalizado, se você fez o login no Tribunal com o CPF, ele aceita assinar o documento normalmente pelo PjeOffice.

Assunto relacionado:

Configurando o Certificado Digital no Chrome;