Според RBC и Тензор, през 2019 г. в Русия ще бъдат издадени 4,6 милиона сертификати за квалифицирани електронни подписи (CES), отговарящи на изискванията на 63-FZ. Оказва се, че от 8 милиона регистрирани индивидуални предприемачи и LLC всеки втори предприемач използва електронен подпис. В допълнение към EGAIS CEP и базираните в облак CEP за отчитане, издадени от банки и счетоводни услуги, универсалните CEP на сигурни токени са от особен интерес. Такива сертификати ви позволяват да влизате в правителствени портали и да подписвате всякакви документи, което ги прави правно значими.
Благодарение на CEP сертификата на USB токен можете дистанционно да сключите споразумение с контрагент или отдалечен служител и да изпратите документи до съда; регистрирайте онлайн касов апарат, уредете данъчни задължения и подайте декларация в личния си акаунт на nalog.ru; разберете за дългове и предстоящи проверки в държавните служби.
Ръководството по-долу ще ви помогне работа с CEP под macOS – без да изучавате форумите на CryptoPro и да инсталирате виртуална машина с Windows.
Съдържание
Какво ви трябва, за да работите с CEP под macOS:
Инсталиране и конфигуриране на CEP за macOS
Инсталиране на CryptoPro CSP
Инсталиране на драйвери за rutoken
Инсталиране на сертификати
3.1. Изтриваме всички стари GOST сертификати
3.2. Инсталиране на основни сертификати
3.3. Изтегляне на сертификати на сертифициращи органи
3.4. Инсталиране на сертификат с Rutoken
Инсталирайте специален браузър Chromium-GOST
Инсталиране на разширения на браузъра
5.1 CryptoPro EDS Browser плъгин
5.2. Плъгин за обществени услуги
5.3. Настройване на плъгин за държавни услуги
5.4. Активиране на разширения
5.5. Настройване на разширението за плъгин CryptoPro EDS Browser
Проверка дали всичко работи
6.1. Отидете на тестовата страница на CryptoPro
6.2. Отидете в личния си акаунт на nalog.ru
6.3. Отидете в Държавните служби
Какво да направите, ако спре да работи
Промяна на ПИН кода на контейнера
Намиране на името на контейнера KEP
Смяна на PIN с команда от терминала
Подписване на файлове в macOS
Намиране на хеша на CEP сертификата
Подписване на файл с команда от терминала
Инсталиране на Apple Automator Script
Проверете подписа на документа
Цялата информация по-долу е получена от реномирани източници (CryptoPro #1 и #2, Рутокен, Корус-Консултинг, Уралски федерален окръг на Министерството на телекомуникациите и масовите комуникации), и се препоръчва да изтегляте софтуер от надеждни сайтове. Авторът е независим консултант и не е свързан с никоя от споменатите компании. Следвайки тези инструкции, вие поемате пълна отговорност за всички действия и последствия.
Какво ви трябва, за да работите с CEP под macOS:
CEP на USB токен Rutoken Lite или Rutoken EDS
крипто контейнер във формат CryptoPro
с вградени лиценз за CryptoPro CSP
eToken и JaCarta медии във връзка с CryptoPro не се поддържат под macOS. Медията Rutoken Lite е най-добрият избор, струва 500..1000= рубли, работи бързо и ви позволява да съхранявате до 15 ключа.
Доставчиците на крипто VipNet, Signal-COM и LISSY не се поддържат в macOS. Няма начин за конвертиране на контейнери. CryptoPro е най-добрият избор, цената на сертификата трябва да бъде около 1300 = rub. за индивидуални предприемачи и 1600 = rub. за ЮЛ.
Обикновено годишен лиценз за CryptoPro CSP вече е включен в сертификата и се предоставя безплатно от много CA. Ако това не е така, тогава трябва да закупите и активирате постоянен лиценз за CryptoPro CSP строго версия 4, струващ 2700=. CryptoPro CSP версия 5 за macOS в момента не работи.
Инсталиране и конфигуриране на CEP за macOS
Очевидни неща
всички изтеглени файлове се изтеглят в директорията по подразбиране: ~/Downloads/;
Не променяме нищо във всички инсталатори, оставяме всичко по подразбиране;
ако macOS покаже предупреждение, че стартираният софтуер е от неидентифициран разработчик, трябва да потвърдите стартирането в системните настройки: Системни предпочитания —> Сигурност и поверителност —> Отвори въпреки това;
ако macOS поиска потребителска парола и разрешение за управление на компютъра, трябва да въведете паролата и да се съгласите с всичко.
Уебсайтът казва, че това не е задължително, но е по-добре да го инсталирате. Co страници за изтегляне изтеглете и инсталирайте на уебсайта на Rutoken Модул за поддръжка на ключодържател - изтеглите.
След това свържете usb токена, стартирайте терминала и изпълнете командата:
/opt/cprocsp/bin/csptest -card -enum -v
Отговорът трябва да бъде:
Актив Рутокен…
Карта присъства…
[Код на грешка: 0x00000000]
3. Инсталирайте сертификати
3.1. Изтриваме всички стари GOST сертификати
Ако преди това сте опитвали да стартирате CEP под macOS, трябва да изчистите всички предварително инсталирани сертификати. Тези команди в терминала ще изтрият само сертификати на CryptoPro и няма да засегнат обикновените сертификати от Keychain на macOS.
Основните сертификати са общи за всички CEP, издадени от всеки сертифициращ орган. Изтеглите от страници за изтегляне Уралски федерален окръг на Министерството на телекомуникациите и масовите комуникации:
3.3. Изтегляне на сертификати на сертифициращи органи
След това трябва да инсталирате сертификатите на сертифициращия орган, където сте издали CEP. Обикновено главните сертификати на всеки CA се намират на неговия уебсайт в секцията за изтегляне.
Като алтернатива сертификатите на всеки CA могат да бъдат изтеглени от уебсайт на Уралския федерален окръг на Министерството на телекомуникациите и масовите комуникации. За да направите това, трябва да намерите CA по име във формата за търсене, да отидете на страницата със сертификати и да изтеглите всичко текущ удостоверения – тоест тези с „Валиден“ втората дата още не е дошла. Изтеглете от линка в полето „пръстов отпечатък“.
Снимки на екрана
Използвайки примера на CA Corus-Consulting: трябва да изтеглите 4 сертификата от страници за изтегляне:
къде след ~/Изтегляния/ Имената на изтеглените файлове са изброени; те ще бъдат различни за всеки CA.
Всяка команда трябва да върне:
Инсталиране:
...
[Код на грешка: 0x00000000]
3.4. Инсталиране на сертификат с Rutoken
Команда в терминала:
/opt/cprocsp/bin/csptestf -absorb -certs
Командата трябва да върне:
OK.
[Код на грешка: 0x00000000]
4. Инсталирайте специален браузър Chromium-GOST
За да работите с правителствени портали, ще ви е необходима специална компилация на браузъра Chromium - Хром-GOST. Изходният код на проекта е отворен, връзка към хранилище в GitHub се дава на Уеб сайт на CryptoPro. От опит, други браузъри CryptoFox и Браузър Yandex Те не са подходящи за работа с правителствени портали под macOS. Струва си да се има предвид, че в някои компилации на Chromium-GOST личният акаунт на nalog.ru може да замръзне или превъртането може да спре да работи напълно, така че се предлага старата доказана компилация 71.0.3578.98 - изтеглите.
Изтеглете и разопаковайте архива, инсталирайте браузъра, като го копирате или плъзнете и пуснете в директорията с приложения. След инсталирането принудително затворете Chromium и не го отваряйте още, работете от Safari.
killall Chromium-Gost
5. Инсталирайте разширения на браузъра
5.1 CryptoPro EDS Browser плъгин
Co страници за изтегляне изтеглете и инсталирайте на уебсайта на CryptoPro CryptoPro EDS Browser plug-in версия 2.0 за потребители - изтеглите.
5.2. Плъгин за обществени услуги
Co страници за изтегляне изтеглете и инсталирайте на портала за държавни услуги Плъгин за работа с портала за държавни услуги (версия за macOS) - изтеглите.
5.3. Настройване на плъгин за държавни услуги
Изтеглете правилния конфигурационен файл за разширението за държавни услуги от уебсайта на CryptoPro - изтеглите.
Трябва да се покаже „Plugin loaded“ и вашият сертификат трябва да присъства в списъка по-долу.
Изберете сертификат от списъка и щракнете върху „Подписване“. Ще бъдете попитани за ПИН кода на сертификата. В резултат на това трябва да се покаже
Подписът е генериран успешно
снимки
6.2. Отидете в личния си акаунт на nalog.ru
Възможно е да нямате достъп до връзки от сайта nalog.ru, защото... проверките няма да минат. Трябва да преминете през директни връзки:
Частни офис SP: https://lkipgost.nalog.ru/lk
Частни офис ЮЛ: https://lkul.nalog.ru
снимки
6.3. Отидете в Държавните служби
Когато влизате, изберете „Вход с електронен подпис“. В появилия се списък „Избор на сертификат за ключ за проверка на електронен подпис“ ще се покажат всички сертификати, включително root и CA; трябва да изберете своя от USB токен и да въведете ПИН кода.
снимки
7. Какво да направите, ако спре да работи
Свързваме отново usb токена и проверяваме дали е видим с помощта на командата в терминала:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Изчистваме кеша на браузъра за всички времена, за което въвеждаме в адресната лента на Chromium-Gost:
chrome://settings/clearBrowserData
Преинсталирайте CEP сертификата, като използвате командата в терминала:
/opt/cprocsp/bin/csptestf -absorb -certs
Промяна на ПИН кода на контейнера
Персонализиран ПИН код за Rutoken по подразбиране 12345678, и няма как да го оставя така. Изисквания към ПИН кода на Rutoken: максимум 16 знака, може да съдържа латински букви и цифри.
1. Разберете името на контейнера KEP
Може да има няколко сертификата, съхранени в USB токена и други хранилища и трябва да изберете правилния. С поставен usb токен получаваме списък на всички контейнери в системата с командата в терминала:
Командата трябва да изтегли поне 1 контейнер и да се върне
[Код на грешка: 0x00000000]
Контейнерът, от който се нуждаем, изглежда така
.Aktiv Rutoken liteXXXXXXXX
Ако се показват няколко такива контейнера, това означава, че има няколко сертификата, написани на токена, и вие знаете кой ви трябва. Значение XXXXXXXXX след наклонената черта трябва да копирате и поставите в командата по-долу.
където XXXXXXXXX – името на контейнера, получен в стъпка 1 (задължително в кавички).
Ще се появи диалогов прозорец на CryptoPro с искане за стария ПИН код за достъп до сертификата, след което друг диалогов прозорец за въвеждане на новия ПИН код. Готов.
снимки
Подписване на файлове в macOS
В macOS файловете могат да се подписват в софтуер CryptoArm (цена на лиценза 2500 = rub.), Или проста команда през терминала - безплатно.
1. Разберете хеша на CEP сертификата
Може да има множество сертификати на токен и в други магазини. Трябва ясно да определим този, с когото ще подписваме документи оттук нататък. Правено веднъж.
Токенът трябва да бъде вмъкнат. Получаваме списък със сертификати в хранилищата с командата от терминала:
/opt/cprocsp/bin/certmgr -list
Командата трябва да изведе поне 1 сертификат от формата:
Сертификатът, от който се нуждаем в параметъра Container, трябва да има стойност като SCARDrutoken…. Ако има няколко сертификата с такива стойности, значи има няколко сертификата, записани в токена и вие знаете кой ви трябва. Стойност на параметъра SHA1 Хеш (40 знака) трябва да се копират и поставят в командата по-долу.
2. Подписване на файл с команда от терминала
В терминала отидете в директорията с файла за подписване и изпълнете командата:
където XXXX... – хеш сертификат, получен в стъпка 1, и ФАЙЛ – име на файл за подписване (с всички разширения, но без път).
Командата трябва да върне:
Създава се подписано съобщение.
[Код на грешка: 0x00000000]
Ще бъде създаден файл за електронен подпис с разширение *.sgn - това е отделен подпис в CMS формат с DER кодиране.
3. Инсталирайте Apple Automator Script
За да не се налага да работите с терминала всеки път, можете да инсталирате Automator Script веднъж, с който можете да подписвате документи от контекстното меню на Finder. За да направите това, изтеглете архива - изтеглите.
Разопаковане на архива „Подпишете с CryptoPro.zip“
Стартиране Automator
Намерете и отворете разопакования файл „Подпишете с CryptoPro.workflow“
В блока Стартирайте Shell Script промени текста XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX към стойността на параметъра SHA1 Хеш CEP сертификат, получен по-горе.
Запазете скрипта: ⌘Command + S
Стартирайте файла „Подпишете с CryptoPro.workflow“ и потвърдете инсталацията.
Да отидем на Система Предпочитания -> Разширения -> Търсене и проверете това Подпишете с CryptoPro отбелязано бързо действие.
Във Finder извикайте контекстното меню на всеки файл и в секцията Бързи действия и / или Услуги Избери предмет Подпишете с CryptoPro
В диалоговия прозорец на CryptoPro, който се появява, въведете ПИН кода на потребителя от CEP
В текущата директория ще се появи файл с разширение *.sgn - отделен подпис в CMS формат с DER кодиране.
Снимки на екрана
Прозорец на Apple Automator:
Системни предпочитания:
Контекстно меню на Finder:
Проверете подписа на документа
Ако съдържанието на документа не съдържа тайни и тайни, тогава най-лесният начин е да използвате уеб услугата на портала за държавни услуги - https://www.gosuslugi.ru/pgu/eds. По този начин можете да направите екранна снимка от реномиран ресурс и да сте сигурни, че всичко е наред с подписа.