Prema RBC и Tenzor, u 2019. godini, u Rusiji će biti izdato 4,6 miliona certifikata kvalifikovanih elektronskih potpisa (CES), koji ispunjavaju zahtjeve 63-FZ. Ispostavilo se da od 8 miliona registrovanih individualnih preduzetnika i DOO svaki drugi preduzetnik koristi elektronski potpis. Pored EGAIS CEP-a i CEP-ova baziranih na oblaku za izvještavanje koje izdaju banke i računovodstvene službe, univerzalni CEP-ovi na sigurnim tokenima su od posebnog interesa. Takvi sertifikati vam omogućavaju da se prijavite na vladine portale i potpišete sve dokumente, što ih čini pravno značajnim.
Zahvaljujući CEP sertifikatu na USB tokenu, možete daljinski zaključiti ugovor sa drugom stranom ili udaljenim zaposlenikom i poslati dokumente sudu; registrirajte online kasu, izmirite porezne dugove i podnesite deklaraciju na svom ličnom računu na nalog.ru; saznajte o dugovima i predstojećim inspekcijama u državnim službama.
Priručnik u nastavku će vam pomoći rad sa CEP-om pod macOS-om – bez proučavanja CryptoPro foruma i instaliranja virtuelne mašine sa Windows-om.
Sadržaj
Šta vam je potrebno za rad sa CEP-om pod macOS-om:
Instalacija i konfiguracija CEP-a za macOS
Instalacija CryptoPro CSP-a
Instaliranje rutoken drajvera
Instaliranje certifikata
3.1. Brišemo sve stare GOST certifikate
3.2. Instaliranje root certifikata
3.3. Preuzmite certifikate certifikacijskog tijela
3.4. Instaliranje sertifikata sa Rutokenom
Instalirajte poseban preglednik Chromium-GOST
Instaliranje ekstenzija pretraživača
5.1 Dodatak za CryptoPro EDS pretraživač
5.2. Dodatak za javne usluge
5.3. Postavljanje dodatka za državne službe
5.4. Aktiviranje ekstenzija
5.5. Postavljanje dodatka za CryptoPro EDS Browser
Provjera da li sve radi
6.1. Idite na stranicu za testiranje CryptoPro
6.2. Idite na svoj lični račun na nalog.ru
6.3. Idite u državne službe
Šta učiniti ako prestane da radi
Promjena PIN koda kontejnera
Saznavanje naziva KEP kontejnera
Promjena PIN-a naredbom s terminala
Potpisivanje datoteka na macOS-u
Pronalaženje heša CEP sertifikata
Potpisivanje datoteke naredbom s terminala
Instalacija Apple Automator Script
Provjerite potpis na dokumentu
Sve informacije u nastavku su dobijene iz renomiranih izvora (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralski federalni okrug Ministarstva telekomunikacija i masovnih komunikacija), i predlaže se preuzimanje softvera sa pouzdanih lokacija. Autor je nezavisni konsultant i nije povezan ni sa jednom od pomenutih kompanija. Slijedeći ove upute, preuzimate punu odgovornost za sve radnje i posljedice.
Šta vam je potrebno za rad sa CEP-om pod macOS-om:
CEP na USB tokenu Rutoken Lite ili Rutoken EDS
kripto kontejner u CryptoPro formatu
sa ugrađenim licenca za CryptoPro CSP
eToken i JaCarta mediji u kombinaciji sa CryptoPro nisu podržani pod macOS-om. Rutoken Lite medij je najbolji izbor, košta 500..1000= rubalja, radi brzo i omogućava vam da pohranite do 15 ključeva.
Kripto provajderi VipNet, Signal-COM i LISSY nisu podržani na macOS-u. Ne postoji način za pretvaranje kontejnera. CryptoPro je najbolji izbor, cijena certifikata bi trebala biti oko 1300 = rub. za individualne poduzetnike i 1600 = rub. za YUL.
Tipično, godišnja licenca za CryptoPro CSP je već uključena u certifikat i besplatno je obezbjeđuju mnogi CA. Ako to nije slučaj, onda morate kupiti i aktivirati trajnu licencu za CryptoPro CSP striktno verziju 4 koja košta 2700=. CryptoPro CSP verzija 5 za macOS trenutno ne radi.
Instalacija i konfiguracija CEP-a za macOS
Očigledne stvari
svi preuzeti fajlovi se preuzimaju u podrazumevani direktorijum: ~/Downloads/;
Ne mijenjamo ništa u svim instalaterima, sve ostavljamo kao zadano;
ako macOS prikaže upozorenje da je softver koji se pokreće od neidentifikovanog programera, morate potvrditi pokretanje u postavkama sistema: Sistemske postavke —> Sigurnost i privatnost —> Svejedno otvori;
ako macOS traži korisničku lozinku i dozvolu za kontrolu računala, morate unijeti lozinku i saglasiti se sa svime.
Na web stranici piše da je ovo opcionalno, ali bolje je instalirati. Co stranice za preuzimanje preuzmite i instalirajte na web stranici Rutoken Modul podrške za privjesak za ključeve - скачать.
Zatim povežite usb token, pokrenite terminal i izvršite naredbu:
/opt/cprocsp/bin/csptest -card -enum -v
Odgovor bi trebao biti:
Aktiv Rutoken…
Kartica prisutna…
[ErrorCode: 0x00000000]
3. Instalirajte certifikate
3.1. Brišemo sve stare GOST certifikate
Ako ste prethodno pokušali pokrenuti CEP pod macOS-om, tada morate obrisati sve prethodno instalirane certifikate. Ove naredbe u terminalu će izbrisati samo CryptoPro certifikate i neće utjecati na obične certifikate iz Keychaina na macOS-u.
Root certifikati su zajednički za sve CEP-ove koje izdaje bilo koje certifikacijsko tijelo. Preuzmite sa stranice za preuzimanje Uralski federalni okrug Ministarstva telekomunikacija i masovnih komunikacija:
3.3. Preuzmite certifikate certifikacijskog tijela
Zatim morate instalirati certifikate certifikacijskog tijela kod kojeg ste izdali CEP. Obično se korijenski certifikati svakog CA nalaze na njegovoj web stranici u odjeljku preuzimanja.
Alternativno, certifikati bilo kojeg CA mogu se preuzeti sa web stranica Uralskog federalnog okruga Ministarstva telekomunikacija i masovnih komunikacija. Da biste to učinili, morate pronaći CA po imenu u obrascu za pretragu, otići na stranicu sa certifikatima i preuzeti sve gluma sertifikati – odnosno oni sa 'Validan' drugi datum još nije stigao. Preuzmite sa linka u polju 'otisak prsta'.
Snimke ekrana
Na primjeru CA Corus-Consulting: potrebno je da preuzmete 4 certifikata sa stranice za preuzimanje:
gde posle ~/Preuzimanja/ Nazivi preuzetih datoteka su navedeni; oni će biti različiti za svaki CA.
Svaka komanda treba da vrati:
Instaliranje:
...
[ErrorCode: 0x00000000]
3.4. Instaliranje sertifikata sa Rutokenom
Naredba u terminalu:
/opt/cprocsp/bin/csptestf -absorb -certs
Naredba bi trebala vratiti:
OK.
[ErrorCode: 0x00000000]
4. Instalirajte poseban pretraživač Chromium-GOST
Za rad s vladinim portalima trebat će vam posebna verzija Chromium preglednika - Chromium-GOST. Izvorni kod projekta je otvoren, link na spremište na GitHubu se daje na CryptoPro web stranica. Iz iskustva, drugi pretraživači CryptoFox и Yandex pretraživač Nisu prikladni za rad s vladinim portalima pod macOS-om. Vrijedno je uzeti u obzir da se u nekim verzijama Chromium-GOST-a lični račun na nalog.ru može zamrznuti ili pomicanje može potpuno prestati raditi, pa se nudi stari provjereni gradnja 71.0.3578.98 - скачать.
Preuzmite i raspakujte arhivu, instalirajte pretraživač kopiranjem ili prevlačenjem i ispuštanjem u direktorijum Aplikacije. Nakon instalacije, prisilno zatvorite Chromium i ne otvarajte ga još, radite iz Safarija.
killall Chromium-Gost
5. Instalirajte ekstenzije pretraživača
5.1 Dodatak za CryptoPro EDS pretraživač
Sa stranice za preuzimanje preuzmite i instalirajte na web stranici CryptoPro CryptoPro EDS Browser plug-in verzija 2.0 za korisnike - скачать.
5.2. Dodatak za javne usluge
Sa stranice za preuzimanje preuzmite i instalirajte na portalu državnih usluga Dodatak za rad sa portalom državnih usluga (verzija za macOS) - скачать.
5.3. Postavljanje dodatka za državne službe
Preuzmite ispravnu konfiguracijsku datoteku za ekstenziju State Services sa CryptoPro web stranice - скачать.
“Plugin loaded” bi trebao biti prikazan, a vaš certifikat bi trebao biti prisutan na listi ispod.
Odaberite certifikat sa liste i kliknite na “Potpiši”. Od vas će se tražiti PIN sertifikata. Kao rezultat, trebalo bi da se prikaže
Potpis je uspješno generiran
Snimak ekrana
6.2. Idite na svoj lični račun na nalog.ru
Možda nećete moći da pristupite linkovima sa sajta nalog.ru, jer... provjere neće proći. Morate proći kroz direktne veze:
Moj račun FE: https://lkipgost.nalog.ru/lk
Moj račun ЮЛ: https://lkul.nalog.ru
Snimak ekrana
6.3. Idite u državne službe
Prilikom prijavljivanja odaberite "Prijavite se pomoću elektronskog potpisa." Na listi "Odaberite certifikat ključa za verifikaciju elektronskog potpisa" koja se pojavi, bit će prikazani svi certifikati, uključujući root i CA; potrebno je da odaberete svoj s USB tokena i unesete PIN.
Snimak ekrana
7. Šta učiniti ako prestane da radi
Ponovo povezujemo usb token i provjeravamo da li je vidljiv pomoću naredbe u terminalu:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Za sva vremena brišemo keš pretraživača, za šta upisujemo u Chromium-Gost adresnu traku:
chrome://settings/clearBrowserData
Ponovno instalirajte CEP certifikat koristeći naredbu u terminalu:
/opt/cprocsp/bin/csptestf -absorb -certs
Promjena PIN koda kontejnera
Prilagođeni PIN kod za Rutoken podrazumevano 12345678, i ne postoji način da se ostavi ovako. Zahtevi za Rutoken PIN kod: maksimalno 16 karaktera, može sadržati latinična slova i brojeve.
1. Saznajte naziv KEP kontejnera
Na USB tokenu i drugim skladištima može biti pohranjeno nekoliko certifikata, a vi morate odabrati pravi. Sa umetnutim usb tokenom, dobijamo listu svih kontejnera u sistemu sa naredbom u terminalu:
Komanda mora povući najmanje 1 kontejner i vratiti se
[ErrorCode: 0x00000000]
Kontejner koji nam treba izgleda ovako
.Aktiv Rutoken liteXXXXXXXX
Ako je prikazano nekoliko takvih kontejnera, to znači da je na tokenu upisano nekoliko certifikata, a vi znate koji vam je potreban. Značenje XXXXXXXX nakon kose crte morate kopirati i zalijepiti u naredbu ispod.
gdje XXXXXXXX – naziv kontejnera dobijenog u koraku 1 (obavezno u navodnicima).
Pojavit će se CryptoPro dijalog u kojem će se tražiti stari PIN kod za pristup certifikatu, zatim drugi dijalog za unos novog PIN koda. Spreman.
Snimak ekrana
Potpisivanje datoteka na macOS-u
Na macOS-u, datoteke se mogu prijaviti softverom CryptoArm (cijena licence 2500 = rub.), ili jednostavna komanda preko terminala - besplatno.
1. Saznajte heš CEP certifikata
Može postojati više certifikata na tokenu iu drugim trgovinama. Moramo jasno identifikovati sa kojim ćemo od sada potpisivati dokumente. Jednom urađeno.
Token mora biti umetnut. Dobijamo listu certifikata u spremištima naredbom s terminala:
/opt/cprocsp/bin/certmgr -list
Naredba mora ispisati najmanje 1 certifikat forme:
Certifikat koji nam je potreban u parametru Container mora imati vrijednost kao SCARDrutoken…. Ako postoji nekoliko certifikata s takvim vrijednostima, tada je na tokenu zabilježeno nekoliko certifikata, a vi znate koji vam je potreban. Vrijednost parametra SHA1 Hash (40 znakova) se mora kopirati i zalijepiti u naredbu ispod.
2. Potpisivanje datoteke naredbom s terminala
U terminalu idite u direktorij s datotekom da potpišete i izvršite naredbu:
gdje XXXX... – heš certifikata dobiven u koraku 1, i SLIKA – naziv datoteke za potpisivanje (sa svim ekstenzijama, ali bez putanje).
Naredba bi trebala vratiti:
Potpisana poruka je kreirana.
[ErrorCode: 0x00000000]
Biće kreirana datoteka elektronskog potpisa sa ekstenzijom *.sgn - ovo je odvojeni potpis u CMS formatu sa DER kodiranjem.
3. Instalirajte Apple Automator Script
Kako biste izbjegli svaki put da radite s terminalom, možete jednom instalirati Automator Script, pomoću kojeg možete potpisivati dokumente iz Finder kontekstnog izbornika. Da biste to učinili, preuzmite arhivu - скачать.
Raspakivanje arhive 'Potpiši sa CryptoPro.zip'
Pokreni Automator
Pronađite i otvorite raspakovani fajl 'Potpiši sa CryptoPro.workflow'
U bloku Pokrenite Shell Script promenite tekst XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na vrijednost parametra SHA1 Hash CEP sertifikat dobijen gore.
Sačuvajte skriptu: ⌘Command + S
Pokrenite datoteku 'Potpiši sa CryptoPro.workflow' i potvrdite instalaciju.
Idemo na Sistem Postavke -> Ekstenzije -> Finder i provjeri to Potpišite sa CryptoPro brza akcija zapažena.
U Finderu pozovite kontekstni meni bilo koje datoteke iu odjeljku Brze akcije i / ili usluge odaberite stavku Potpišite sa CryptoPro
U dijalogu CryptoPro koji se pojavi unesite korisnički PIN kod iz CEP-a
U trenutnom direktoriju će se pojaviti datoteka s ekstenzijom *.sgn - odvojeni potpis u CMS formatu sa DER kodiranjem.
Snimke ekrana
Prozor Apple Automatora:
Sistemske postavke:
Kontekstni meni Findera:
Provjerite potpis na dokumentu
Ako sadržaj dokumenta ne sadrži tajne i tajne, onda je najlakši način da koristite web servis na portalu državnih službi - https://www.gosuslugi.ru/pgu/eds. Na ovaj način možete napraviti snimak ekrana sa renomiranih izvora i biti sigurni da je sve u redu sa potpisom.