Кваліфікаваны электронны подпіс пад macOS

Па дадзеных РБК и Тэнзар, у 2019 годзе ў Расіі будзе выдадзена 4,6 млн. сертыфікатаў кваліфікаваных электронных подпісаў (КЭП), якія адпавядаюць патрабаванням 63-ФЗ. Атрымліваецца, што з 8 млн. зарэгістраваных ІП і ТАА кожны другі прадпрымальнік карыстаецца электронным подпісам. Акрамя КЭП для ЕДАІС і хмарных КЭП для здачы справаздачнасці, якія выдаюцца банкамі і бухгалтарскімі сэрвісамі, асаблівую цікавасць уяўляюць універсальныя КЭП на абароненых токенах. Такія сертыфікаты дазваляюць лагініцца на дзяржпарталы і падпісваць любыя дакументы, робячы іх юрыдычна значнымі.

Дзякуючы сертыфікату КЭП на USB-токене можна выдалена заключыць дамову з контрагентам або дыстанцыйным супрацоўнікам, накіраваць дакументы ў суд; зарэгістраваць анлайн-касу, урэгуляваць запазычанасць па падатках і падаць дэкларацыю ў асабістым кабінеце на nalog.ru; даведацца аб запазычанасцях і маючых адбыцца праверках на Дзяржпаслугах.

Прадстаўлены ніжэй мануал дапаможа працаваць з КЭП пад macOS - без вывучэння форумаў КриптоПро і ўстаноўкі віртуальнай машыны з Windows.

Змест

Што трэба для працы з КЭП пад macOS:

Усталеўваны і наладжваем КЭП пад macOS

1. Усталёўваны КриптоПро CSP
2. Усталеўваны драйверы Рутокен
3. Усталёўваны сертыфікаты
   3.1. Выдаляем усе старыя ДАСТаўскія сертыфікаты
   3.2. Усталёўваны каранёвыя сертыфікаты
   3.3. Спампоўваем сертыфікаты які сведчыць цэнтра
   3.4. Усталеўваны сертыфікат з Рутокен
4. Усталёўваны адмысловы браўзэр Chromium-GOST
5. Усталёўваны пашырэнні для браўзэра
   5.1/XNUMX КриптоПро ЭЛП Browser plug-in
   5.2. Убудова для Дзяржпаслуг
   5.3. Наладжваем убудову для Дзяржпаслуг
   5.4. Актывуем пашырэнні
   5.5. Наладжваем пашырэнне КриптоПро ЭЛП Browser plug-in
6. Правяраем што ўсё працуе
   6.1. Заходзім на тэставую старонку Крыптопро
   6.2. Заходзім у Асабісты Кабінет на nalog.ru
   6.3. Заходзім на Дзяржпаслугі
7. Што рабіць, калі перастала працаваць

Змена PIN-кода кантэйнера

1. Высвятляем назву кантэйнера КЭП
2. Змена PIN камандай з terminal

Подпіс файлаў у macOS

1. Высвятляем хэш сертыфіката КЭП
2. Подпіс файла камандай з terminal
3. Устаноўка Apple Automator Script

Праверыць подпіс на дакуменце

Уся інфармацыя ніжэй атрымана з аўтарытэтных крыніц (Крыптапро. #1 и #2, Рутокен, Корус-Кансалтынг, УФА Мінкамсувязі), а спампоўваць ПА прапануецца з давераных сайтаў. Аўтар з'яўляецца незалежным кансультантам і не звязаны ні з адной са згаданых кампаній. Прытрымліваючыся дадзенай інструкцыі, усю адказнасць за любыя дзеянні і наступствы вы прымаеце на сябе.

Што трэба для працы з КЭП пад macOS:

1. КЭП на USB-токене Рутакен Lite або Рутокен ЭЛП
2. крыптакантэйнер у фармаце КрыптаПро
3. з убудаванай ліцэнзіяй на КриптоПро CSP

Носьбіты eToken і JaCarta у звязку з КриптоПро пад macOS не падтрымліваюцца. Носьбіт Рутокен Lite - аптымальны выбар, варта 500..1000 = руб., Хутка працуе і дазваляе захоўваць да 15 ключоў.

Криптопровайдеры VipNet, Signal-COM і ЛИССИ у macOS не падтрымліваюцца. Пераўтварыць кантэйнеры ніяк не атрымаецца. КриптоПро - аптымальны выбар, кошт сертыфіката павінна быць каля 1300 = руб. для ІП і 1600 = руб. для ЮЛ.

Звычайна гадавая ліцэнзія на КриптоПро CSP ужо зашытая ў сертыфікат і многімі УЦ прадастаўляецца бясплатна. Калі гэта не так, тое неабходна купіць і актываваць бестэрміновую ліцэнзію на КриптоПро CSP строга версіі 4 коштам 2700=. КриптоПро CSP версіі 5 пад macOS у дадзены момант не працуе.

Усталеўваны і наладжваем КЭП пад macOS

Відавочныя рэчы

• усе загружаныя файлы спампоўваюцца ў каталог па-змаўчанні: ~/Downloads/;
• ва ўсіх усталёўшчыках нічога не змяняем, усё пакідаем па змаўчанні;
• калі macOS выводзіць папярэджанне, што якое запускаецца ПА ад неўсталяванага распрацоўніка – трэба пацвердзіць запуск у сістэмных наладах: System Preferences -> Security & Privacy -> Open Anyway;
• калі macOS запытвае пароль карыстальніка і дазвол на кіраванне кампутарам - трэба ўвесці пароль і з усім пагадзіцца.

1. Усталёўваны КриптоПро CSP

Рэгіструемся на сайце Крыптопро і са старонкі загрузак спампоўваем і ўсталёўваны версію КриптоПро CSP 4.0 R4 для Macos - спампаваць.

2. Усталёўваны драйверы Рутокен

На сайце напісана, што гэта апцыянальна, але лепш паставіць. Са старонкі загрузак на сайце Рутокен спампоўваем і ўсталёўваны Модуль падтрымкі Звязкі Ключоў (KeyChain) - спампаваць.

Далей падлучальны usb-токен, запускаем terminal і выконваем каманду:

/opt/cprocsp/bin/csptest -card -enum -v

У адказе павінна быць:

Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

3. Усталёўваны сертыфікаты

3.1. Выдаляем усе старыя ДАСТаўскія сертыфікаты

Калі раней былі спробы запусціць КЭП пад macOS, тое неабходна пачысціць усе раней усталяваныя сертыфікаты. Дадзеныя каманды ў terminal выдаляць толькі сертыфікаты КриптоПро і не закрануць звычайныя сертыфікаты з Keychain у macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

У адказе кожнай каманды павінна быць:

No certificate matching the criteria

або

Deleting complete

3.2. Усталёўваны каранёвыя сертыфікаты

Каранёвыя сертыфікаты з'яўляюцца агульнымі для ўсіх КЭП, выдадзеных любым які сведчыць цэнтрам. Спампоўваем са старонкі загрузак УФА Минкомсвязи:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Усталёўваны камандамі ў terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Кожная каманда павінна вяртаць:

Ўстаноўка:
...
[ErrorCode: 0x00000000]

3.3. Спампоўваем сертыфікаты які сведчыць цэнтра

Далей трэба ўсталяваць сертыфікаты які сведчыць цэнтра, у якім вы выпускалі КЭП. Звычайна каранёвыя сертыфікаты кожнага УЦ знаходзяцца на яго сайце ў раздзеле загрузак.

Альтэрнатыўна, сертыфікаты любога УЦ можна спампаваць з сайта УФА Минкомсвязи. Для гэтага ў форме пошуку трэба знайсці УЦ па назве, перайсці на старонку з сертыфікатамі і спампаваць усё дзеючыя сертыфікаты - гэта значыць тыя, у якіх у поле 'Дзейнічае' другая дата яшчэ не наступіла. Спампоўваць па спасылцы з поля 'Адбітак'.

Скрыншоты

На прыкладзе УЦ Корус-Кансалтынг: трэба спампаваць 4 сертыфікаты са старонкі загрузак:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Спампаваныя сертыфікаты УЦ усталёўваны камандамі з terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

дзе пасля ~/Downloads/ ідуць імёны запампаваных файлаў, для кожнага УЦ яны будуць свае.

Кожная каманда павінна вяртаць:

Ўстаноўка:
...
[ErrorCode: 0x00000000]

3.4. Усталеўваны сертыфікат з Рутокен

Каманда ў terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Каманда павінна вярнуць:

ОК.
[ErrorCode: 0x00000000]

4. Усталёўваны адмысловы браўзэр Chromium-GOST

Для працы з дзярж.парталамі спатрэбіцца спецыяльная зборка браўзэра сhromium – Chromium-GOST. Зыходны код праекта адкрыты, спасылка на рэпазітар на GitHub прыводзіцца на сайце КрыптаПро. Па досведзе, іншыя браўзэры CryptoFox и Яндэкс.Браўзэр для працы з дзярж.парталамі пад macOS не падыходзяць. Варта ўлічыць, што ў некаторых зборках Chromium-GOST асабісты кабінет на nalog.ru можа падвісаць ці ўвогуле перастае працаваць скролл, таму прапануецца старая правераная. зборка 71.0.3578.98 - спампаваць.


Спампоўваем і распакоўваем архіў, усталёўваны браўзэр капіяваннем або drag&drop у каталог Applications. Пасля ўстаноўкі Прымусова закрываем Chromium і пакуль не адкрываем, працуем з Safari.

killall Chromium-Gost

5. Усталёўваны пашырэнні для браўзэра

5.1/XNUMX КриптоПро ЭЛП Browser plug-in

са старонкі загрузак на сайце КриптоПро спампоўваем і ўсталёўваны КриптоПро ЭЛП Browser plug-in версія 2.0 для карыстальнікаў - спампаваць.

5.2. Убудова для Дзяржпаслуг

са старонкі загрузак на партале Дзяржпаслуг спампоўваем і ўстанаўліваем Убудова для працы з парталам дзяржаўных паслуг (версія для macOS) - спампаваць.

5.3. Наладжваем убудову для Дзяржпаслуг

Спампоўваем карэктны канфігурацыйны файл для пашырэння Дзяржпаслуг з сайта Крыптопро спампаваць.

Выконваем каманды ў terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Актывуем пашырэнні

Запускаем браўзэр Chromium-Gost і ў адрасным радку набіраем:

chrome://extensions/

Уключаем абодва устаноўленых пашырэння:

• CryptoPro Extension для CAdES Browser Plug-in
• Пашырэнне для плагіна Дзяржпаслуг

Скрыншот

5.5. Наладжваем пашырэнне КриптоПро ЭЛП Browser plug-in

У адрасным радку Chromium-Gost набіраем:

/etc/opt/cprocsp/trusted_sites.html

На старонцы, якая з'явілася, у спіс давераных вузлоў па-чарзе дадаем сайты:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Ціснем "Захаваць". Павінна з'явіцца зялёная плашчак:

Спіс давераных вузлоў паспяхова захаваны.

Скрыншот

6. Правяраем што ўсё працуе

6.1. Заходзім на тэставую старонку Крыптопро

У адрасным радку Chromium-Gost набіраем:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Павінна выводзіцца "Плагін загружаны", а ў спісе ніжэй прысутнічаць ваш сертыфікат.
Выбіраем сертыфікат са спісу і ціснем "Падпісаць". Будзе запытаны PIN-код сертыфіката. У выніку павінна адлюстравацца

Подпіс сфарміраваны паспяхова

Скрыншот

6.2. Заходзім у Асабісты Кабінет на nalog.ru

Па спасылках з сайта nalog.ru зайсці можа не атрымацца, т.я. не будуць пройдзены праверкі. Заходзіць трэба па прамых спасылках:

• Асабісты кабінет ІП: https://lkipgost.nalog.ru/lk
• Асабісты кабінет Ваўчкоў: https://lkul.nalog.ru

Скрыншот

6.3. Заходзім на Дзяржпаслугі

Пры аўтарызацыі выбіраем «Уваход з дапамогай электроннага подпісу». У які з'явіўся спісе «Выбар сертыфіката ключа праверкі электроннага подпісу» будуць адлюстраваны ўсе сертыфікаты, уключаючы каранёвыя і УЦ, трэба абраць ваш з usb-токена і ўвесці PIN.

Скрыншот

7. Што рабіць калі перастала працаваць

1. Перападключаем usb-токен і правяраем што ён бачны з дапамогай каманды ў terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Чысцім кэш браўзэра за ўвесь час, для чаго ў адрасным радку Chromium-Gost набіраем:

   
chrome://settings/clearBrowserData


3. Пераўсталёўваны сертыфікат КЭП з дапамогай каманды ў terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Змена PIN-кода кантэйнера

Карыстацкі PIN-код на Рутокен па-змаўчанні 12345678, і пакідаць яго ў такім выглядзе ніяк нельга. Патрабаванні да PIN-кода Рутокен: 16 сімвалаў max., можа змяшчаць лацінскія літары і лічбы.

1. Высвятляем назву кантэйнера КЭП

На usb-токене і ў іншых сховішчах можа захоўвацца некалькі сертыфікатаў, і трэба абраць правільны. Пры ўстаўленым usb-токене атрымліваем спіс усіх кантэйнераў у сістэме камандай у terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Каманда павінна вывесці мінімум 1 кантэйнер і вярнуць

[ErrorCode: 0x00000000]

Патрэбны нам кантэйнер мае выгляд

.Aktiv Rutoken liteXXXXXXXX

Калі такіх кантэйнераў выводзіцца некалькі - значыць значыць на токене запісана некалькі сертыфікатаў, і вы ў курсе які менавіта вам патрэбен. Значэнне XXXXXXXX пасля слэша трэба скапіяваць і падставіць у каманду ніжэй.

2. Змена PIN камандай з terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

дзе XXXXXXXX - назва кантэйнера, атрыманае на кроку 1 (абавязкова ў двукоссі).

З'явіцца дыялог КриптоПро з запытам старога PIN-кода для доступу да сертыфіката, затым яшчэ адзін дыялог для ўводу новага PIN-кода. Гатова.

Скрыншот

Подпіс файлаў у macOS

У macOS файлы можна падпісваць у ПЗ КрыптаАрм (кошт ліцэнзіі 2500 = руб.), Або нескладанай камандай праз terminal - бясплатна.

1. Высвятляем хэш сертыфіката КЭП

На токене і ў іншых сховішчах можа быць некалькі сертыфікатаў. Трэба адназначна ідэнтыфікаваць той, якім будзем надалей падпісваць дакументы. Робіцца адзін раз.
Токен павінен быць устаўлены. Атрымліваем спіс сертыфікатаў у сховішчах камандай з terminal:

/opt/cprocsp/bin/certmgr -list

Каманда павінна вывесці мінімум 1 сертыфікат выгляду:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = = =
1——-
Эмітэнт: [электронная пошта абаронена],… CN=ТАА КОРУС Кансалтынг СНД…
тэма: [электронная пошта абаронена],… CN=Захараў Сяргей Анатольевіч…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

У патрэбнага нам сертыфіката ў параметры Container павінна быць значэнне выгляду SCARDrutoken…. Калі сертыфікатаў з такімі значэннямі некалькі, то значыць на токене запісана некалькі сертыфікатаў, і вы ў курсе які менавіта вам патрэбен. Значэнне параметра SHA1 Hash (40 сімвалаў) трэба скапіяваць і падставіць у каманду ніжэй.

2. Подпіс файла камандай з terminal

У terminal пераходзім у каталог з файлам для падпісання і выконваем каманду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

дзе ХХХХ… - хэш сертыфіката, атрыманы на кроку 1, а FILE - імя файла для падпісання (з усімі пашырэннямі, але без шляху).

Каманда павінна вярнуць:

Запісаны ліст is created.
[ErrorCode: 0x00000000]

Будзе створаны файл электроннага подпісу з пашырэннем *.sgn - гэта адлучаны подпіс у фармаце CMS з кадоўкай DER.

3. Устаноўка Apple Automator Script

Каб кожны раз не працаваць з тэрміналам, можна адзін раз устанавіць Automator Script, з дапамогай якога падпісваць дакументы можна будзе з кантэкстнага меню Finder. Для гэтага спампоўваем архіў – спампаваць.

1. Распакоўваем архіў 'Sign with CryptoPro.zip'
2. Запускаем Automator
3. Знаходзім і адчыняны распакаваны файл 'Sign with CryptoPro.workflow'
4. У блоку Запусціце Shell Script мяняем тэкст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значэнне параметра SHA1 Hash сертыфіката КЭП, атрыманае вышэй.
5. Захоўваем скрыпт: ⌘Command + S
6. Запускаем файл 'Sign with CryptoPro.workflow' і пацвярджаем усталёўку.
7. Ідзем у System Preferences -> Extensions -> Finder і правяраем, што Sign with CryptoPro quick action адзначана.
8. У Finder выклікаем кантэкстнае меню любога файла, і ў раздзеле хуткія дзеянні і / або Паслугі выбраць пункт Sign with CryptoPro
9. У дыялогу КриптоПро, які з'явіўся, увесці PIN-код карыстальніка ад КЭП
10. У бягучым каталогу з'явіцца файл з пашырэннем *.sgn - адлучаны подпіс у фармаце CMS з кадоўкай DER.

Скрыншоты

Акно Apple Automator:

Сістэмныя налады:

Кантэкстнае меню Finder:

Праверыць подпіс на дакуменце

Калі змест дакумента не змяшчае сакрэтаў і таямніц, то прасцей за ўсё скарыстацца web-сэрвісам на партале Дзяржпаслуг – https://www.gosuslugi.ru/pgu/eds. Так можна зрабіць скрыншот з аўтарытэтнага рэсурсу і быць упэўненым, што з подпісам усё ок.

Скрыншоты

Крыніца: habr.com