Квалифициран електронен подпис за macOS

Според RBC и Тензор, през 2019 г. в Русия ще бъдат издадени 4,6 милиона сертификати за квалифицирани електронни подписи (CES), отговарящи на изискванията на 63-FZ. Оказва се, че от 8 милиона регистрирани индивидуални предприемачи и LLC всеки втори предприемач използва електронен подпис. В допълнение към EGAIS CEP и базираните в облак CEP за отчитане, издадени от банки и счетоводни услуги, универсалните CEP на сигурни токени са от особен интерес. Такива сертификати ви позволяват да влизате в правителствени портали и да подписвате всякакви документи, което ги прави правно значими.

Благодарение на CEP сертификата на USB токен можете дистанционно да сключите споразумение с контрагент или отдалечен служител и да изпратите документи до съда; регистрирайте онлайн касов апарат, уредете данъчни задължения и подайте декларация в личния си акаунт на nalog.ru; разберете за дългове и предстоящи проверки в държавните служби.

Ръководството по-долу ще ви помогне работа с CEP под macOS – без да изучавате форумите на CryptoPro и да инсталирате виртуална машина с Windows.

Съдържание

Какво ви трябва, за да работите с CEP под macOS:

Инсталиране и конфигуриране на CEP за macOS

1. Инсталиране на CryptoPro CSP
2. Инсталиране на драйвери за rutoken
3. Инсталиране на сертификати
   3.1. Изтриваме всички стари GOST сертификати
   3.2. Инсталиране на основни сертификати
   3.3. Изтегляне на сертификати на сертифициращи органи
   3.4. Инсталиране на сертификат с Rutoken
4. Инсталирайте специален браузър Chromium-GOST
5. Инсталиране на разширения на браузъра
   5.1 CryptoPro EDS Browser плъгин
   5.2. Плъгин за обществени услуги
   5.3. Настройване на плъгин за държавни услуги
   5.4. Активиране на разширения
   5.5. Настройване на разширението за плъгин CryptoPro EDS Browser
6. Проверка дали всичко работи
   6.1. Отидете на тестовата страница на CryptoPro
   6.2. Отидете в личния си акаунт на nalog.ru
   6.3. Отидете в Държавните служби
7. Какво да направите, ако спре да работи

Промяна на ПИН кода на контейнера

1. Намиране на името на контейнера KEP
2. Смяна на PIN с команда от терминала

Подписване на файлове в macOS

1. Намиране на хеша на CEP сертификата
2. Подписване на файл с команда от терминала
3. Инсталиране на Apple Automator Script

Проверете подписа на документа

Цялата информация по-долу е получена от реномирани източници (CryptoPro #1 и #2, Рутокен, Корус-Консултинг, Уралски федерален окръг на Министерството на телекомуникациите и масовите комуникации), и се препоръчва да изтегляте софтуер от надеждни сайтове. Авторът е независим консултант и не е свързан с никоя от споменатите компании. Следвайки тези инструкции, вие поемате пълна отговорност за всички действия и последствия.

Какво ви трябва, за да работите с CEP под macOS:

1. CEP на USB токен Rutoken Lite или Rutoken EDS
2. крипто контейнер във формат CryptoPro
3. с вградени лиценз за CryptoPro CSP

eToken и JaCarta медии във връзка с CryptoPro не се поддържат под macOS. Медията Rutoken Lite е най-добрият избор, струва 500..1000= рубли, работи бързо и ви позволява да съхранявате до 15 ключа.

Доставчиците на крипто VipNet, Signal-COM и LISSY не се поддържат в macOS. Няма начин за конвертиране на контейнери. CryptoPro е най-добрият избор, цената на сертификата трябва да бъде около 1300 = rub. за индивидуални предприемачи и 1600 = rub. за ЮЛ.

Обикновено годишен лиценз за CryptoPro CSP вече е включен в сертификата и се предоставя безплатно от много CA. Ако това не е така, тогава трябва да закупите и активирате постоянен лиценз за CryptoPro CSP строго версия 4, струващ 2700=. CryptoPro CSP версия 5 за macOS в момента не работи.

Инсталиране и конфигуриране на CEP за macOS

Очевидни неща

• всички изтеглени файлове се изтеглят в директорията по подразбиране: ~/Downloads/;
• Не променяме нищо във всички инсталатори, оставяме всичко по подразбиране;
• ако macOS покаже предупреждение, че стартираният софтуер е от неидентифициран разработчик, трябва да потвърдите стартирането в системните настройки: Системни предпочитания —> Сигурност и поверителност —> Отвори въпреки това;
• ако macOS поиска потребителска парола и разрешение за управление на компютъра, трябва да въведете паролата и да се съгласите с всичко.

1. Инсталирайте CryptoPro CSP

Регистрирам на уебсайта CryptoPro and co страници за изтегляне изтеглете и инсталирайте версията CryptoPro CSP 4.0 R4 за macOS - изтеглите.

2. Инсталирайте драйвери на Rutoken

Уебсайтът казва, че това не е задължително, но е по-добре да го инсталирате. Co страници за изтегляне изтеглете и инсталирайте на уебсайта на Rutoken Модул за поддръжка на ключодържател - изтеглите.

След това свържете usb токена, стартирайте терминала и изпълнете командата:

/opt/cprocsp/bin/csptest -card -enum -v

Отговорът трябва да бъде:

Актив Рутокен…
Карта присъства…
[Код на грешка: 0x00000000]

3. Инсталирайте сертификати

3.1. Изтриваме всички стари GOST сертификати

Ако преди това сте опитвали да стартирате CEP под macOS, трябва да изчистите всички предварително инсталирани сертификати. Тези команди в терминала ще изтрият само сертификати на CryptoPro и няма да засегнат обикновените сертификати от Keychain на macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Отговорът на всяка команда трябва да включва:

Няма сертификат, отговарящ на критериите

или

Изтриването завърши

3.2. Инсталиране на основни сертификати

Основните сертификати са общи за всички CEP, издадени от всеки сертифициращ орган. Изтеглите от страници за изтегляне Уралски федерален окръг на Министерството на телекомуникациите и масовите комуникации:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Инсталирайте с команди в терминала:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Всяка команда трябва да върне:

Инсталиране:
...
[Код на грешка: 0x00000000]

3.3. Изтегляне на сертификати на сертифициращи органи

След това трябва да инсталирате сертификатите на сертифициращия орган, където сте издали CEP. Обикновено главните сертификати на всеки CA се намират на неговия уебсайт в секцията за изтегляне.

Като алтернатива сертификатите на всеки CA могат да бъдат изтеглени от уебсайт на Уралския федерален окръг на Министерството на телекомуникациите и масовите комуникации. За да направите това, трябва да намерите CA по име във формата за търсене, да отидете на страницата със сертификати и да изтеглите всичко текущ удостоверения – тоест тези с „Валиден“ втората дата още не е дошла. Изтеглете от линка в полето „пръстов отпечатък“.

Снимки на екрана

Използвайки примера на CA Corus-Consulting: трябва да изтеглите 4 сертификата от страници за изтегляне:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Инсталираме изтеглените CA сертификати с помощта на команди от терминала:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

къде след ~/Изтегляния/ Имената на изтеглените файлове са изброени; те ще бъдат различни за всеки CA.

Всяка команда трябва да върне:

Инсталиране:
...
[Код на грешка: 0x00000000]

3.4. Инсталиране на сертификат с Rutoken

Команда в терминала:

/opt/cprocsp/bin/csptestf -absorb -certs

Командата трябва да върне:

OK.
[Код на грешка: 0x00000000]

4. Инсталирайте специален браузър Chromium-GOST

За да работите с правителствени портали, ще ви е необходима специална компилация на браузъра Chromium - Хром-GOST. Изходният код на проекта е отворен, връзка към хранилище в GitHub се дава на Уеб сайт на CryptoPro. От опит, други браузъри CryptoFox и Браузър Yandex Те не са подходящи за работа с правителствени портали под macOS. Струва си да се има предвид, че в някои компилации на Chromium-GOST личният акаунт на nalog.ru може да замръзне или превъртането може да спре да работи напълно, така че се предлага старата доказана компилация 71.0.3578.98 - изтеглите.


Изтеглете и разопаковайте архива, инсталирайте браузъра, като го копирате или плъзнете и пуснете в директорията с приложения. След инсталирането принудително затворете Chromium и не го отваряйте още, работете от Safari.

killall Chromium-Gost

5. Инсталирайте разширения на браузъра

5.1 CryptoPro EDS Browser плъгин

Co страници за изтегляне изтеглете и инсталирайте на уебсайта на CryptoPro CryptoPro EDS Browser plug-in версия 2.0 за потребители - изтеглите.

5.2. Плъгин за обществени услуги

Co страници за изтегляне изтеглете и инсталирайте на портала за държавни услуги Плъгин за работа с портала за държавни услуги (версия за macOS) - изтеглите.

5.3. Настройване на плъгин за държавни услуги

Изтеглете правилния конфигурационен файл за разширението за държавни услуги от уебсайта на CryptoPro - изтеглите.

Изпълнете команди в терминала:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Активиране на разширения

Стартирайте браузъра Chromium-Gost и въведете в адресната лента:

chrome://extensions/

Активираме и двете инсталирани разширения:

• CryptoPro разширение за CAdES Browser Plug-in
• Разширение за приставката за държавни услуги

снимки

5.5. Настройване на разширението за плъгин CryptoPro EDS Browser

В адресната лента на Chromium-Gost въвеждаме:

/etc/opt/cprocsp/trusted_sites.html

На страницата, която се показва, добавете следните сайтове към списъка с надеждни сайтове един по един:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Кликнете върху „Запазване“. Трябва да се появи зелена точка:

Списъкът с надеждни възли е запазен успешно.

снимки

6. Проверете дали всичко работи

6.1. Отидете на тестовата страница на CryptoPro

В адресната лента на Chromium-Gost въвеждаме:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Трябва да се покаже „Plugin loaded“ и вашият сертификат трябва да присъства в списъка по-долу.
Изберете сертификат от списъка и щракнете върху „Подписване“. Ще бъдете попитани за ПИН кода на сертификата. В резултат на това трябва да се покаже

Подписът е генериран успешно

снимки

6.2. Отидете в личния си акаунт на nalog.ru

Възможно е да нямате достъп до връзки от сайта nalog.ru, защото... проверките няма да минат. Трябва да преминете през директни връзки:

• Частни офис SP: https://lkipgost.nalog.ru/lk
• Частни офис ЮЛ: https://lkul.nalog.ru

снимки

6.3. Отидете в Държавните служби

Когато влизате, изберете „Вход с електронен подпис“. В появилия се списък „Избор на сертификат за ключ за проверка на електронен подпис“ ще се покажат всички сертификати, включително root и CA; трябва да изберете своя от USB токен и да въведете ПИН кода.

снимки

7. Какво да направите, ако спре да работи

1. Свързваме отново usb токена и проверяваме дали е видим с помощта на командата в терминала:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Изчистваме кеша на браузъра за всички времена, за което въвеждаме в адресната лента на Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Преинсталирайте CEP сертификата, като използвате командата в терминала:

   /opt/cprocsp/bin/csptestf -absorb -certs

Промяна на ПИН кода на контейнера

Персонализиран ПИН код за Rutoken по подразбиране 12345678, и няма как да го оставя така. Изисквания към ПИН кода на Rutoken: максимум 16 знака, може да съдържа латински букви и цифри.

1. Разберете името на контейнера KEP

Може да има няколко сертификата, съхранени в USB токена и други хранилища и трябва да изберете правилния. С поставен usb токен получаваме списък на всички контейнери в системата с командата в терминала:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Командата трябва да изтегли поне 1 контейнер и да се върне

[Код на грешка: 0x00000000]

Контейнерът, от който се нуждаем, изглежда така

.Aktiv Rutoken liteXXXXXXXX

Ако се показват няколко такива контейнера, това означава, че има няколко сертификата, написани на токена, и вие знаете кой ви трябва. Значение XXXXXXXXX след наклонената черта трябва да копирате и поставите в командата по-долу.

2. Променете PIN чрез команда от терминала

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

където XXXXXXXXX – името на контейнера, получен в стъпка 1 (задължително в кавички).

Ще се появи диалогов прозорец на CryptoPro с искане за стария ПИН код за достъп до сертификата, след което друг диалогов прозорец за въвеждане на новия ПИН код. Готов.

снимки

Подписване на файлове в macOS

В macOS файловете могат да се подписват в софтуер CryptoArm (цена на лиценза 2500 = rub.), Или проста команда през терминала - безплатно.

1. Разберете хеша на CEP сертификата

Може да има множество сертификати на токен и в други магазини. Трябва ясно да определим този, с когото ще подписваме документи оттук нататък. Правено веднъж.
Токенът трябва да бъде вмъкнат. Получаваме списък със сертификати в хранилищата с командата от терминала:

/opt/cprocsp/bin/certmgr -list

Командата трябва да изведе поне 1 сертификат от формата:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
програма за управление на сертификати, CRL и магазини
= = = = = = = = = = = = = = = = = = =
1---
Емитент: [имейл защитен],... CN=LLC KORUS Consulting CIS...
Относно: [имейл защитен],... CN=Захаров Сергей Анатолиевич...
Сериен номер: 0x0000000000000000000000000000000000
SHA1 Хеш: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Контейнер: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Код на грешка: 0x00000000]

Сертификатът, от който се нуждаем в параметъра Container, трябва да има стойност като SCARDrutoken…. Ако има няколко сертификата с такива стойности, значи има няколко сертификата, записани в токена и вие знаете кой ви трябва. Стойност на параметъра SHA1 Хеш (40 знака) трябва да се копират и поставят в командата по-долу.

2. Подписване на файл с команда от терминала

В терминала отидете в директорията с файла за подписване и изпълнете командата:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

където XXXX... – хеш сертификат, получен в стъпка 1, и ФАЙЛ – име на файл за подписване (с всички разширения, но без път).

Командата трябва да върне:

Създава се подписано съобщение.
[Код на грешка: 0x00000000]

Ще бъде създаден файл за електронен подпис с разширение *.sgn - това е отделен подпис в CMS формат с DER кодиране.

3. Инсталирайте Apple Automator Script

За да не се налага да работите с терминала всеки път, можете да инсталирате Automator Script веднъж, с който можете да подписвате документи от контекстното меню на Finder. За да направите това, изтеглете архива - изтеглите.

1. Разопаковане на архива „Подпишете с CryptoPro.zip“
2. Стартиране Automator
3. Намерете и отворете разопакования файл „Подпишете с CryptoPro.workflow“
4. В блока Стартирайте Shell Script промени текста XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX към стойността на параметъра SHA1 Хеш CEP сертификат, получен по-горе.
5. Запазете скрипта: ⌘Command + S
6. Стартирайте файла „Подпишете с CryptoPro.workflow“ и потвърдете инсталацията.
7. Да отидем на Система Предпочитания -> Разширения -> Търсене и проверете това Подпишете с CryptoPro отбелязано бързо действие.
8. Във Finder извикайте контекстното меню на всеки файл и в секцията Бързи действия и / или Услуги Избери предмет Подпишете с CryptoPro
9. В диалоговия прозорец на CryptoPro, който се появява, въведете ПИН кода на потребителя от CEP
10. В текущата директория ще се появи файл с разширение *.sgn - отделен подпис в CMS формат с DER кодиране.

Снимки на екрана

Прозорец на Apple Automator:

Системни предпочитания:

Контекстно меню на Finder:

Проверете подписа на документа

Ако съдържанието на документа не съдържа тайни и тайни, тогава най-лесният начин е да използвате уеб услугата на портала за държавни услуги - https://www.gosuslugi.ru/pgu/eds. По този начин можете да направите екранна снимка от реномиран ресурс и да сте сигурни, че всичко е наред с подписа.

Снимки на екрана

Източник: www.habr.com