Gekwalifiseerde elektroniese handtekening vir macOS

Volgens RBC и Tensor, in 2019 sal Rusland 4,6 miljoen sertifikate van gekwalifiseerde elektroniese handtekeninge (QES) uitreik wat aan die vereistes van 63-FZ voldoen. Dit blyk dat uit 8 miljoen geregistreerde individuele entrepreneurs en LLC's, elke tweede entrepreneur 'n elektroniese handtekening gebruik. Benewens CEP vir EGAIS en wolkgebaseerde CEP vir verslagdoening wat deur banke en rekeningkundige dienste uitgereik word, is universele CEP op veilige tokens van besondere belang. Sulke sertifikate laat jou toe om by regeringsportale aan te meld en enige dokumente te teken, wat dit wetlik betekenisvol maak.

Danksy die CEP-sertifikaat op 'n USB-token, kan jy op 'n afstand 'n ooreenkoms met 'n teenparty of 'n afgeleë werknemer sluit, dokumente aan die hof stuur; registreer 'n aanlynkas, betaal belastingskuld en dien 'n verklaring in jou persoonlike rekening op nalog.ru in; leer oor skuld en komende inspeksies by die Staatsdienste.

Die gids hieronder sal help werk met CEP onder macOS – sonder om die CryptoPro-forums te bestudeer en 'n virtuele masjien met Windows te installeer.

inhoud

Wat jy nodig het om met CEP onder macOS te werk:

Installeer en konfigureer CEP vir macOS

1. Installeer CryptoPro CSP
2. Installeer Rutoken-bestuurders
3. Installeer sertifikate
   3.1. Vee alle ou GOST-sertifikate uit
   3.2. Installeer wortelsertifikate
   3.3. Laai sertifikate van 'n sertifiseringsowerheid af
   3.4. Installeer sertifikaat met Rutoken
4. Installeer 'n spesiale blaaier Chromium-GOST
5. Installeer blaaieruitbreidings
   5.1 CryptoPro EDS-blaaier-inprop
   5.2. Inprop vir openbare dienste
   5.3. Die opstel van 'n inprop vir openbare dienste
   5.4. Aktiveer uitbreidings
   5.5. Stel die CryptoPro EDS Browser-inpropuitbreiding op
6. Kyk of alles werk
   6.1. Gaan na die CryptoPro-toetsbladsy
   6.2. Ons gaan na die persoonlike rekening op nalog.ru
   6.3. Gaan na openbare dienste
7. Wat om te doen as dit ophou werk

Verander die houer-PIN

1. Om die naam van die CEP-houer uit te vind
2. Verander die PIN met 'n opdrag vanaf die terminaal

Teken van lêers in macOS

1. Ons vind die hash van die CEP-sertifikaat uit
2. Teken van 'n lêer met 'n opdrag vanaf die terminale
3. Installeer Apple Automator Script

Gaan die handtekening op die dokument na

Alle inligting hieronder is verkry van betroubare bronne (CryptoPro #1 и #2, Rutoken, Korus-Consulting, Oeral Federale Distrik van die Ministerie van Telekommunikasie en Massakommunikasie), en dit word aangebied om die sagteware van betroubare werwe af te laai. Die skrywer is 'n onafhanklike konsultant en is nie geaffilieer met enige van die genoemde maatskappye nie. Deur hierdie instruksies te volg, aanvaar jy alle verantwoordelikheid vir enige optrede en gevolge.

Wat jy nodig het om met CEP onder macOS te werk:

1. CEP op USB-token Rutoken Lite of Rutoken EDS
2. kripto-houer in CryptoPro-formaat
3. met ingeboude lisensie vir CryptoPro CSP

eToken- en JaCarta-draers in samewerking met CryptoPro onder macOS word nie ondersteun nie. Die Rutoken Lite-draer is die beste keuse, dit kos 500..1000 = roebels, dit werk slim en laat jou toe om tot 15 sleutels te stoor.

Kripto-verskaffers VipNet, Signal-COM en LISSI word nie op macOS ondersteun nie. Daar is geen manier om houers om te skakel nie. CryptoPro is die beste keuse, die koste van die sertifikaat moet ongeveer 1300 = roebels wees. vir individuele entrepreneurs en 1600 = vryf. vir YL.

Gewoonlik is 'n jaarlikse lisensie vir CryptoPro CSP reeds by die sertifikaat ingesluit en word dit gratis deur baie CA's verskaf. As dit nie die geval is nie, moet jy 'n ewigdurende lisensie vir CryptoPro CSP streng weergawe 4 ter waarde van 2700= koop en aktiveer. CryptoPro CSP weergawe 5 onder macOS werk nie op die oomblik nie.

Installeer en konfigureer CEP vir macOS

Duidelike dinge

• alle afgelaaide lêers word afgelaai na die verstekgids: ~/Downloads/;
• in alle installeerders verander ons niks, ons laat alles by verstek;
• as macOS 'n waarskuwing vertoon dat die sagteware wat geloods word van 'n ongeïdentifiseerde ontwikkelaar is, moet u die bekendstelling in die stelselinstellings bevestig: Stelselvoorkeure —> Sekuriteit en privaatheid —> Maak in elk geval oop;
• as macOS vir 'n gebruikerswagwoord en toestemming vra om die rekenaar te bestuur, moet jy die wagwoord invoer en met alles saamstem.

1. Installeer CryptoPro CSP

Registreer op die CryptoPro webwerf en aflaai bladsye aflaai en installeer weergawe CryptoPro CSP 4.0 R4 vir MacOS - download.

2. Installeer Rutoken-bestuurders

Die webwerf sê dat dit opsioneel is, maar dit is beter om dit te stel. Dus aflaai bladsye aflaai en installeer op die Rutoken-webwerf Sleutelhanger-ondersteuningsmodule (KeyChain) - download.

Koppel dan die usb-token aan, begin die terminale en voer die opdrag uit:

/opt/cprocsp/bin/csptest -card -enum -v

Die antwoord moet wees:

Aktiewe Rutoken...
Kaart geskenk …
[Foutkode: 0x00000000]

3. Installeer sertifikate

3.1. Vee alle ou GOST-sertifikate uit

As daar vroeër pogings was om CEP onder macOS uit te voer, moet u alle voorheen geïnstalleerde sertifikate skoonmaak. Hierdie opdragte in die terminale sal slegs CryptoPro-sertifikate uitvee en sal nie gereelde sertifikate van Sleutelhanger in macOS beïnvloed nie.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Die reaksie van elke opdrag moet wees:

Geen sertifikaat wat by die kriteria pas nie

of

Uitvee voltooi

3.2. Installeer wortelsertifikate

Wortelsertifikate is algemeen vir alle CEP's wat deur enige sertifiseringsowerheid uitgereik word. Laai af vanaf aflaai bladsye Oeral Federale Distrik van die Ministerie van Telekommunikasie en Massakommunikasie:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installeer met opdragte in die terminale:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Elke opdrag moet terugkeer:

installering:
...
[Foutkode: 0x00000000]

3.3. Laai sertifikate van 'n sertifiseringsowerheid af

Vervolgens moet u die sertifikate installeer van die sertifiseringsowerheid waarin u die CEP uitgereik het. Tipies is die wortelsertifikate van elke CA op sy webwerf in die aflaaiafdeling geleë.

Alternatiewelik kan sertifikate van enige CA afgelaai word vanaf webwerf van die Oeral Federale Distrik van die Ministerie van Telekommunikasie en Massakommunikasie. Om dit te doen, in die soekvorm, moet u die CA op naam vind, na die bladsy met sertifikate gaan en alles aflaai toneelspel sertifikate - dit wil sê dié wat in die veld het 'Optree' die tweede datum het nog nie aangebreek nie. Laai af vanaf die skakel in die veld 'Afdruk'.

Kiekies

Op die voorbeeld van CA Korus-Consulting: jy moet 4 sertifikate van aflaai aflaai bladsye:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Installeer die afgelaaide CA-sertifikate met opdragte vanaf die terminale:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

waar daarna ~/Aflaaie/ is die name van die afgelaaide lêers, vir elke CA sal hulle anders wees.

Elke opdrag moet terugkeer:

installering:
...
[Foutkode: 0x00000000]

3.4. Installeer sertifikaat met Rutoken

Opdrag in terminaal:

/opt/cprocsp/bin/csptestf -absorb -certs

Die opdrag moet terugkeer:

OK.
[Foutkode: 0x00000000]

4. Installeer 'n spesiale blaaier Chromium-GOST

Om met staatsportale te werk, sal jy 'n spesiale samestelling van die Chromium-blaaier nodig hê - Chroom-GOST. Die bronkode van die projek is oop, skakel na bewaarplek op GitHub aangegee CryptoPro webwerf. Uit ondervinding, ander blaaiers CryptoFox и Yandex-blaaier is nie geskik om met staatsportale onder macOS te werk nie. Dit is die moeite werd om in ag te neem dat in sommige weergawes van Chromium-GOST, die persoonlike rekening op nalog.ru kan vries of die boekrol heeltemal ophou werk, sodat die ou beproefde een aangebied word bou 71.0.3578.98 - download.


Laai die argief af en pak dit uit, installeer die blaaier deur te kopieer of sleep en laat val na die toepassingsgids. Na installasie Dwing Chromium toe en moet dit nog nie oopmaak nie, ons werk vanaf Safari.

killall Chromium-Gost

5. Installeer blaaieruitbreidings

5.1 CryptoPro EDS-blaaier-inprop

met aflaai bladsye aflaai en installeer op die CryptoPro-webwerf CryptoPro EDS Browser plug-in weergawe 2.0 vir gebruikers - download.

5.2. Inprop vir openbare dienste

met aflaai bladsye aflaai en installeer op die Staatsdienste-portaal Inprop om met die openbare dienste-portaal te werk (macOS-weergawe) - download.

5.3. Die opstel van 'n inprop vir openbare dienste

Ons laai die korrekte konfigurasielêer af vir die uitbreiding van die Staatsdienste vanaf die CryptoPro-webwerf - download.

Voer opdragte in terminaal uit:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktiveer uitbreidings

Begin die Chromium-Gost-blaaier en tik in die adresbalk:

chrome://extensions/

Aktiveer beide geïnstalleerde uitbreidings:

• CryptoPro-uitbreiding vir CAdES-blaaierinprop
• Uitbreiding vir die openbare dienste-inprop

kiekie

5.5. Stel die CryptoPro EDS Browser-inpropuitbreiding op

In die adresbalk van Chromium-Gost tik ons:

/etc/opt/cprocsp/trusted_sites.html

Op die bladsy wat verskyn, voeg werwe om die beurt by die lys van vertroude gashere:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klik op "Stoor". 'n Groen blokkie moet verskyn:

Die lys van vertroude gashere is suksesvol gestoor.

kiekie

6. Kyk of alles werk

6.1. Gaan na die CryptoPro-toetsbladsy

In die adresbalk van Chromium-Gost tik ons:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Dit moet sê "Plugin gelaai" en jou sertifikaat moet hieronder gelys word.
Kies 'n sertifikaat uit die lys en klik Teken. Die sertifikaat-PIN sal aangevra word. As gevolg hiervan moet dit vertoon word

Handtekening suksesvol gegenereer

kiekie

6.2. Ons gaan na die persoonlike rekening op nalog.ru

Jy kan dalk nie toegang tot skakels vanaf die nalog.ru-werf kry nie, omdat tjeks sal nie geslaag word nie. Jy moet na die direkte skakels gaan:

• Private kantoor SP: https://lkipgost.nalog.ru/lk
• Private kantoor Regspersoon: https://lkul.nalog.ru

kiekie

6.3. Gaan na openbare dienste

Wanneer jy magtig, kies "Teken aan met 'n elektroniese handtekening." Alle sertifikate, insluitend root en CA, sal vertoon word in die "Kies 'n sertifikaat van die elektroniese handtekening-verifikasiesleutelsertifikaat"-lys wat verskyn, jy moet joune van die usb-token kies en die PIN invoer.

kiekie

7. Wat om te doen as dit ophou werk

1. Ons koppel die usb-token weer aan en kyk of dit sigbaar is met die opdrag in die terminaal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Ons maak die blaaierkas vir altyd skoon, waarvoor ons in die adresbalk van Chromium-Gost tik:

   
chrome://settings/clearBrowserData


3. Herinstalleer die CEP-sertifikaat deur die opdrag in die terminaal te gebruik:

   /opt/cprocsp/bin/csptestf -absorb -certs

Verander die houer-PIN

Verstek gebruiker PIN-kode vir Rutoken 12345678en jy kan dit nie so los nie. Rutoken PIN-kode vereistes: 16 karakters maksimum, kan Latynse letters en syfers bevat.

1. Vind die naam van die CEP-houer uit

Veelvuldige sertifikate kan op die usb-token en ander winkels gestoor word, en jy moet die regte een kies. Met die usb-token ingevoeg, kry ons 'n lys van alle houers in die stelsel met die opdrag in die terminaal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Die opdrag moet ten minste 1 houer uitvoer en terugkeer

[Foutkode: 0x00000000]

Die houer wat ons nodig het lyk soos

.Aktiewe Rutoken liteXXXXXXXXX

As verskeie sulke houers vertoon word, beteken dit dat verskeie sertifikate op die teken aangeteken is, en jy is bewus van watter een jy benodig. Betekenis XXXXXXXXX na die skuinsstreep, moet jy kopieer en plak in die opdrag hieronder.

2. Verander die PIN met 'n opdrag vanaf die terminaal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

waar XXXXXXXXX – die naam van die houer wat in stap 1 verkry is (vereis tussen aanhalingstekens).

'n CryptoPro-dialoog sal verskyn wat vra vir die ou PIN om toegang tot die sertifikaat te verkry, en dan nog 'n dialoog om die nuwe PIN in te voer. Gereed.

kiekie

Teken van lêers in macOS

Op macOS kan lêers in die sagteware onderteken word CryptoArm (die koste van die lisensie is 2500 = vryf.), Of deur 'n eenvoudige opdrag deur die terminale - gratis.

1. Ons vind die hash van die CEP-sertifikaat uit

Daar kan verskeie sertifikate op die teken en in ander winkels wees. Dit is nodig om die een waarmee ons voortaan dokumente gaan onderteken uniek te identifiseer. Dit word een keer gedoen.
Die teken moet ingevoeg word. Ons kry 'n lys sertifikate in die bewaarplekke met 'n opdrag van die terminale:

/opt/cprocsp/bin/certmgr -list

Die opdrag moet ten minste 1 sertifikaat van die vorm uitvoer:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program vir die bestuur van sertifikate, CRL's en winkels
======================
1---
Uitreiker: [e-pos beskerm],... CN=LLC KORUS Consulting CIS...
Onderwerp: [e-pos beskerm],... CN=Zakharov Sergei Anatolyevich...
Reeks: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Houer: SCARDrutoken_lt_00000000 000 000
...
======================
[Foutkode: 0x00000000]

Die sertifikaat wat ons in die Container-parameter benodig, moet 'n waarde van die vorm hê SCARDrutoken.... As daar verskeie sertifikate met sulke waardes is, word verskeie sertifikate op die teken aangeteken, en jy is bewus van watter een jy nodig het. Parameterwaarde SHA1 Hash (40 karakters) moet gekopieer en in die opdrag hieronder vervang word.

2. Ondertekening van 'n lêer met 'n opdrag vanaf die terminale

Gaan in die terminale na die gids met die lêer om die opdrag te teken en uit te voer:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

waar XXXX... is die hash van die sertifikaat wat in stap 1 verkry is, en FILE - lêernaam vir ondertekening (met alle uitbreidings, maar sonder die pad).

Die opdrag moet terugkeer:

Getekende boodskap word geskep.
[Foutkode: 0x00000000]

'n Elektroniese handtekeninglêer met die *.sgn-uitbreiding sal geskep word - dit is 'n losgemaakte handtekening in CMS-formaat met DER-kodering.

3. Installeer Apple Automator Script

Om nie elke keer met die terminale te werk nie, kan jy Automator Script een keer installeer, waarmee jy dokumente vanaf die Finder-kontekskieslys kan onderteken. Om dit te doen, laai die argief af - download.

1. Pak die argief uit 'Teken met CryptoPro.zip'
2. Begin Automator
3. Soek en maak die uitgepakte lêer oop 'Teken met CryptoPro.workflow'
4. In die blok Begin Shell Script teks verander XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na die parameterwaarde SHA1 Hash CEP-sertifikaat hierbo ontvang.
5. Stoor die skrif: ⌘Command + S
6. Begin die lêer 'Teken met CryptoPro.workflow' en bevestig die installasie.
7. Gaan na System Voorkeure -> Uitbreidings -> Finder en kontroleer dit Teken met CryptoPro vinnige optrede word nagegaan.
8. In die Finder noem ons die kontekskieslys van enige lêer, en in die afdeling Vinnige aksies en / of Dienste kies item Teken met CryptoPro
9. In die CryptoPro-dialoog wat verskyn, voer die gebruiker se PIN-kode van CEP in
10. 'n Lêer met die *.sgn-uitbreiding sal in die huidige gids verskyn - 'n losgemaakte handtekening in CMS-formaat met DER-kodering.

Kiekies

Apple Automator-venster:

Stelselvoorkeure:

Finder konteks kieslys:

Gaan die handtekening op die dokument na

As die inhoud van die dokument nie geheime en raaisels bevat nie, is die maklikste manier om die webdiens op die Staatsdienste-portaal te gebruik - https://www.gosuslugi.ru/pgu/eds. So jy kan 'n skermskoot van 'n gesaghebbende hulpbron neem en seker wees dat alles in orde is met die handtekening.

Kiekies

Bron: will.com