Па дадзеных РБК и Тэнзар, у 2019 годзе ў Расіі будзе выдадзена 4,6 млн. сертыфікатаў кваліфікаваных электронных подпісаў (КЭП), якія адпавядаюць патрабаванням 63-ФЗ. Атрымліваецца, што з 8 млн. зарэгістраваных ІП і ТАА кожны другі прадпрымальнік карыстаецца электронным подпісам. Акрамя КЭП для ЕДАІС і хмарных КЭП для здачы справаздачнасці, якія выдаюцца банкамі і бухгалтарскімі сэрвісамі, асаблівую цікавасць уяўляюць універсальныя КЭП на абароненых токенах. Такія сертыфікаты дазваляюць лагініцца на дзяржпарталы і падпісваць любыя дакументы, робячы іх юрыдычна значнымі.
Дзякуючы сертыфікату КЭП на USB-токене можна выдалена заключыць дамову з контрагентам або дыстанцыйным супрацоўнікам, накіраваць дакументы ў суд; зарэгістраваць анлайн-касу, урэгуляваць запазычанасць па падатках і падаць дэкларацыю ў асабістым кабінеце на nalog.ru; даведацца аб запазычанасцях і маючых адбыцца праверках на Дзяржпаслугах.
Прадстаўлены ніжэй мануал дапаможа працаваць з КЭП пад macOS - без вывучэння форумаў КриптоПро і ўстаноўкі віртуальнай машыны з Windows.
Змест
Што трэба для працы з КЭП пад macOS:
Усталеўваны і наладжваем КЭП пад macOS
Усталёўваны КриптоПро CSP
Усталеўваны драйверы Рутокен
Усталёўваны сертыфікаты
3.1. Выдаляем усе старыя ДАСТаўскія сертыфікаты
3.2. Усталёўваны каранёвыя сертыфікаты
3.3. Спампоўваем сертыфікаты які сведчыць цэнтра
3.4. Усталеўваны сертыфікат з Рутокен
Усталёўваны адмысловы браўзэр Chromium-GOST
Усталёўваны пашырэнні для браўзэра
5.1/XNUMX КриптоПро ЭЛП Browser plug-in
5.2. Убудова для Дзяржпаслуг
5.3. Наладжваем убудову для Дзяржпаслуг
5.4. Актывуем пашырэнні
5.5. Наладжваем пашырэнне КриптоПро ЭЛП Browser plug-in
Правяраем што ўсё працуе
6.1. Заходзім на тэставую старонку Крыптопро
6.2. Заходзім у Асабісты Кабінет на nalog.ru
6.3. Заходзім на Дзяржпаслугі
Што рабіць, калі перастала працаваць
Змена PIN-кода кантэйнера
Высвятляем назву кантэйнера КЭП
Змена PIN камандай з terminal
Подпіс файлаў у macOS
Высвятляем хэш сертыфіката КЭП
Подпіс файла камандай з terminal
Устаноўка Apple Automator Script
Праверыць подпіс на дакуменце
Уся інфармацыя ніжэй атрымана з аўтарытэтных крыніц (Крыптапро. #1 и #2, Рутокен, Корус-Кансалтынг, УФА Мінкамсувязі), а спампоўваць ПА прапануецца з давераных сайтаў. Аўтар з'яўляецца незалежным кансультантам і не звязаны ні з адной са згаданых кампаній. Прытрымліваючыся дадзенай інструкцыі, усю адказнасць за любыя дзеянні і наступствы вы прымаеце на сябе.
Што трэба для працы з КЭП пад macOS:
КЭП на USB-токене Рутакен Lite або Рутокен ЭЛП
крыптакантэйнер у фармаце КрыптаПро
з убудаванай ліцэнзіяй на КриптоПро CSP
Носьбіты eToken і JaCarta у звязку з КриптоПро пад macOS не падтрымліваюцца. Носьбіт Рутокен Lite - аптымальны выбар, варта 500..1000 = руб., Хутка працуе і дазваляе захоўваць да 15 ключоў.
Криптопровайдеры VipNet, Signal-COM і ЛИССИ у macOS не падтрымліваюцца. Пераўтварыць кантэйнеры ніяк не атрымаецца. КриптоПро - аптымальны выбар, кошт сертыфіката павінна быць каля 1300 = руб. для ІП і 1600 = руб. для ЮЛ.
Звычайна гадавая ліцэнзія на КриптоПро CSP ужо зашытая ў сертыфікат і многімі УЦ прадастаўляецца бясплатна. Калі гэта не так, тое неабходна купіць і актываваць бестэрміновую ліцэнзію на КриптоПро CSP строга версіі 4 коштам 2700=. КриптоПро CSP версіі 5 пад macOS у дадзены момант не працуе.
Усталеўваны і наладжваем КЭП пад macOS
Відавочныя рэчы
усе загружаныя файлы спампоўваюцца ў каталог па-змаўчанні: ~/Downloads/;
ва ўсіх усталёўшчыках нічога не змяняем, усё пакідаем па змаўчанні;
калі macOS выводзіць папярэджанне, што якое запускаецца ПА ад неўсталяванага распрацоўніка – трэба пацвердзіць запуск у сістэмных наладах: System Preferences -> Security & Privacy -> Open Anyway;
калі macOS запытвае пароль карыстальніка і дазвол на кіраванне кампутарам - трэба ўвесці пароль і з усім пагадзіцца.
На сайце напісана, што гэта апцыянальна, але лепш паставіць. Са старонкі загрузак на сайце Рутокен спампоўваем і ўсталёўваны Модуль падтрымкі Звязкі Ключоў (KeyChain) - спампаваць.
Далей падлучальны usb-токен, запускаем terminal і выконваем каманду:
/opt/cprocsp/bin/csptest -card -enum -v
У адказе павінна быць:
Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]
3. Усталёўваны сертыфікаты
3.1. Выдаляем усе старыя ДАСТаўскія сертыфікаты
Калі раней былі спробы запусціць КЭП пад macOS, тое неабходна пачысціць усе раней усталяваныя сертыфікаты. Дадзеныя каманды ў terminal выдаляць толькі сертыфікаты КриптоПро і не закрануць звычайныя сертыфікаты з Keychain у macOS.
Далей трэба ўсталяваць сертыфікаты які сведчыць цэнтра, у якім вы выпускалі КЭП. Звычайна каранёвыя сертыфікаты кожнага УЦ знаходзяцца на яго сайце ў раздзеле загрузак.
Альтэрнатыўна, сертыфікаты любога УЦ можна спампаваць з сайта УФА Минкомсвязи. Для гэтага ў форме пошуку трэба знайсці УЦ па назве, перайсці на старонку з сертыфікатамі і спампаваць усё дзеючыя сертыфікаты - гэта значыць тыя, у якіх у поле 'Дзейнічае' другая дата яшчэ не наступіла. Спампоўваць па спасылцы з поля 'Адбітак'.
Скрыншоты
На прыкладзе УЦ Корус-Кансалтынг: трэба спампаваць 4 сертыфікаты са старонкі загрузак:
дзе пасля ~/Downloads/ ідуць імёны запампаваных файлаў, для кожнага УЦ яны будуць свае.
Кожная каманда павінна вяртаць:
Ўстаноўка:
...
[ErrorCode: 0x00000000]
3.4. Усталеўваны сертыфікат з Рутокен
Каманда ў terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Каманда павінна вярнуць:
ОК.
[ErrorCode: 0x00000000]
4. Усталёўваны адмысловы браўзэр Chromium-GOST
Для працы з дзярж.парталамі спатрэбіцца спецыяльная зборка браўзэра сhromium – Chromium-GOST. Зыходны код праекта адкрыты, спасылка на рэпазітар на GitHub прыводзіцца на сайце КрыптаПро. Па досведзе, іншыя браўзэры CryptoFox и Яндэкс.Браўзэр для працы з дзярж.парталамі пад macOS не падыходзяць. Варта ўлічыць, што ў некаторых зборках Chromium-GOST асабісты кабінет на nalog.ru можа падвісаць ці ўвогуле перастае працаваць скролл, таму прапануецца старая правераная. зборка 71.0.3578.98 - спампаваць.
Спампоўваем і распакоўваем архіў, усталёўваны браўзэр капіяваннем або drag&drop у каталог Applications. Пасля ўстаноўкі Прымусова закрываем Chromium і пакуль не адкрываем, працуем з Safari.
killall Chromium-Gost
5. Усталёўваны пашырэнні для браўзэра
5.1/XNUMX КриптоПро ЭЛП Browser plug-in
са старонкі загрузак на сайце КриптоПро спампоўваем і ўсталёўваны КриптоПро ЭЛП Browser plug-in версія 2.0 для карыстальнікаў - спампаваць.
5.2. Убудова для Дзяржпаслуг
са старонкі загрузак на партале Дзяржпаслуг спампоўваем і ўстанаўліваем Убудова для працы з парталам дзяржаўных паслуг (версія для macOS) - спампаваць.
5.3. Наладжваем убудову для Дзяржпаслуг
Спампоўваем карэктны канфігурацыйны файл для пашырэння Дзяржпаслуг з сайта Крыптопро спампаваць.
Павінна выводзіцца "Плагін загружаны", а ў спісе ніжэй прысутнічаць ваш сертыфікат.
Выбіраем сертыфікат са спісу і ціснем "Падпісаць". Будзе запытаны PIN-код сертыфіката. У выніку павінна адлюстравацца
Подпіс сфарміраваны паспяхова
Скрыншот
6.2. Заходзім у Асабісты Кабінет на nalog.ru
Па спасылках з сайта nalog.ru зайсці можа не атрымацца, т.я. не будуць пройдзены праверкі. Заходзіць трэба па прамых спасылках:
Асабісты кабінет ІП: https://lkipgost.nalog.ru/lk
Асабісты кабінет Ваўчкоў: https://lkul.nalog.ru
Скрыншот
6.3. Заходзім на Дзяржпаслугі
Пры аўтарызацыі выбіраем «Уваход з дапамогай электроннага подпісу». У які з'явіўся спісе «Выбар сертыфіката ключа праверкі электроннага подпісу» будуць адлюстраваны ўсе сертыфікаты, уключаючы каранёвыя і УЦ, трэба абраць ваш з usb-токена і ўвесці PIN.
Скрыншот
7. Што рабіць калі перастала працаваць
Перападключаем usb-токен і правяраем што ён бачны з дапамогай каманды ў terminal:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Чысцім кэш браўзэра за ўвесь час, для чаго ў адрасным радку Chromium-Gost набіраем:
chrome://settings/clearBrowserData
Пераўсталёўваны сертыфікат КЭП з дапамогай каманды ў terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Змена PIN-кода кантэйнера
Карыстацкі PIN-код на Рутокен па-змаўчанні 12345678, і пакідаць яго ў такім выглядзе ніяк нельга. Патрабаванні да PIN-кода Рутокен: 16 сімвалаў max., можа змяшчаць лацінскія літары і лічбы.
1. Высвятляем назву кантэйнера КЭП
На usb-токене і ў іншых сховішчах можа захоўвацца некалькі сертыфікатаў, і трэба абраць правільны. Пры ўстаўленым usb-токене атрымліваем спіс усіх кантэйнераў у сістэме камандай у terminal:
Каманда павінна вывесці мінімум 1 кантэйнер і вярнуць
[ErrorCode: 0x00000000]
Патрэбны нам кантэйнер мае выгляд
.Aktiv Rutoken liteXXXXXXXX
Калі такіх кантэйнераў выводзіцца некалькі - значыць значыць на токене запісана некалькі сертыфікатаў, і вы ў курсе які менавіта вам патрэбен. Значэнне XXXXXXXX пасля слэша трэба скапіяваць і падставіць у каманду ніжэй.
дзе XXXXXXXX - назва кантэйнера, атрыманае на кроку 1 (абавязкова ў двукоссі).
З'явіцца дыялог КриптоПро з запытам старога PIN-кода для доступу да сертыфіката, затым яшчэ адзін дыялог для ўводу новага PIN-кода. Гатова.
Скрыншот
Подпіс файлаў у macOS
У macOS файлы можна падпісваць у ПЗ КрыптаАрм (кошт ліцэнзіі 2500 = руб.), Або нескладанай камандай праз terminal - бясплатна.
1. Высвятляем хэш сертыфіката КЭП
На токене і ў іншых сховішчах можа быць некалькі сертыфікатаў. Трэба адназначна ідэнтыфікаваць той, якім будзем надалей падпісваць дакументы. Робіцца адзін раз.
Токен павінен быць устаўлены. Атрымліваем спіс сертыфікатаў у сховішчах камандай з terminal:
/opt/cprocsp/bin/certmgr -list
Каманда павінна вывесці мінімум 1 сертыфікат выгляду:
У патрэбнага нам сертыфіката ў параметры Container павінна быць значэнне выгляду SCARDrutoken…. Калі сертыфікатаў з такімі значэннямі некалькі, то значыць на токене запісана некалькі сертыфікатаў, і вы ў курсе які менавіта вам патрэбен. Значэнне параметра SHA1 Hash (40 сімвалаў) трэба скапіяваць і падставіць у каманду ніжэй.
2. Подпіс файла камандай з terminal
У terminal пераходзім у каталог з файлам для падпісання і выконваем каманду:
дзе ХХХХ… - хэш сертыфіката, атрыманы на кроку 1, а FILE - імя файла для падпісання (з усімі пашырэннямі, але без шляху).
Каманда павінна вярнуць:
Запісаны ліст is created.
[ErrorCode: 0x00000000]
Будзе створаны файл электроннага подпісу з пашырэннем *.sgn - гэта адлучаны подпіс у фармаце CMS з кадоўкай DER.
3. Устаноўка Apple Automator Script
Каб кожны раз не працаваць з тэрміналам, можна адзін раз устанавіць Automator Script, з дапамогай якога падпісваць дакументы можна будзе з кантэкстнага меню Finder. Для гэтага спампоўваем архіў – спампаваць.
Распакоўваем архіў 'Sign with CryptoPro.zip'
Запускаем Automator
Знаходзім і адчыняны распакаваны файл 'Sign with CryptoPro.workflow'
У блоку Запусціце Shell Script мяняем тэкст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значэнне параметра SHA1 Hash сертыфіката КЭП, атрыманае вышэй.
Захоўваем скрыпт: ⌘Command + S
Запускаем файл 'Sign with CryptoPro.workflow' і пацвярджаем усталёўку.
Ідзем у System Preferences -> Extensions -> Finder і правяраем, што Sign with CryptoPro quick action адзначана.
У Finder выклікаем кантэкстнае меню любога файла, і ў раздзеле хуткія дзеянні і / або Паслугі выбраць пункт Sign with CryptoPro
У дыялогу КриптоПро, які з'явіўся, увесці PIN-код карыстальніка ад КЭП
У бягучым каталогу з'явіцца файл з пашырэннем *.sgn - адлучаны подпіс у фармаце CMS з кадоўкай DER.
Скрыншоты
Акно Apple Automator:
Сістэмныя налады:
Кантэкстнае меню Finder:
Праверыць подпіс на дакуменце
Калі змест дакумента не змяшчае сакрэтаў і таямніц, то прасцей за ўсё скарыстацца web-сэрвісам на партале Дзяржпаслуг – https://www.gosuslugi.ru/pgu/eds. Так можна зрабіць скрыншот з аўтарытэтнага рэсурсу і быць упэўненым, што з подпісам усё ок.