Prema и , u 2019. godini, u Rusiji će biti izdato 4,6 miliona certifikata kvalifikovanih elektronskih potpisa (CES), koji ispunjavaju zahtjeve 63-FZ. Ispostavilo se da od 8 miliona registrovanih individualnih preduzetnika i DOO svaki drugi preduzetnik koristi elektronski potpis. Pored EGAIS CEP-a i CEP-ova baziranih na oblaku za izvještavanje koje izdaju banke i računovodstvene službe, univerzalni CEP-ovi na sigurnim tokenima su od posebnog interesa. Takvi sertifikati vam omogućavaju da se prijavite na vladine portale i potpišete sve dokumente, što ih čini pravno značajnim.
Zahvaljujući CEP sertifikatu na USB tokenu, možete daljinski zaključiti ugovor sa drugom stranom ili udaljenim zaposlenikom i poslati dokumente sudu; registrirajte online kasu, izmirite porezne dugove i podnesite deklaraciju na svom ličnom računu na nalog.ru; saznajte o dugovima i predstojećim inspekcijama u državnim službama.
Priručnik u nastavku će vam pomoći rad sa CEP-om pod macOS-om – bez proučavanja CryptoPro foruma i instaliranja virtuelne mašine sa Windows-om.
Sadržaj
Šta vam je potrebno za rad sa CEP-om pod macOS-om:
Instalacija i konfiguracija CEP-a za macOS
- Instalacija CryptoPro CSP-a
- Instaliranje rutoken drajvera
- Instaliranje certifikata
3.1. Brišemo sve stare GOST certifikate
3.2. Instaliranje root certifikata
3.3. Preuzmite certifikate certifikacijskog tijela
3.4. Instaliranje sertifikata sa Rutokenom - Instalirajte poseban preglednik Chromium-GOST
- Instaliranje ekstenzija pretraživača
5.1 Dodatak za CryptoPro EDS pretraživač
5.2. Dodatak za javne usluge
5.3. Postavljanje dodatka za državne službe
5.4. Aktiviranje ekstenzija
5.5. Postavljanje dodatka za CryptoPro EDS Browser - Provjera da li sve radi
6.1. Idite na stranicu za testiranje CryptoPro
6.2. Idite na svoj lični račun na nalog.ru
6.3. Idite u državne službe - Šta učiniti ako prestane da radi
Promjena PIN koda kontejnera
- Saznavanje naziva KEP kontejnera
- Promjena PIN-a naredbom s terminala
Potpisivanje datoteka na macOS-u
- Pronalaženje heša CEP sertifikata
- Potpisivanje datoteke naredbom s terminala
- Instalacija Apple Automator Script
Provjerite potpis na dokumentu
Sve informacije u nastavku su dobijene iz renomiranih izvora (CryptoPro и , , , ), i predlaže se preuzimanje softvera sa pouzdanih lokacija. Autor je nezavisni konsultant i nije povezan ni sa jednom od pomenutih kompanija. Slijedeći ove upute, preuzimate punu odgovornost za sve radnje i posljedice.
Šta vam je potrebno za rad sa CEP-om pod macOS-om:
- CEP na USB tokenu Rutoken Lite ili Rutoken EDS
- kripto kontejner u CryptoPro formatu
- sa ugrađenim licenca za CryptoPro CSP
eToken i JaCarta mediji u kombinaciji sa CryptoPro nisu podržani pod macOS-om. Rutoken Lite medij je najbolji izbor, košta 500..1000= rubalja, radi brzo i omogućava vam da pohranite do 15 ključeva.
Kripto provajderi VipNet, Signal-COM i LISSY nisu podržani na macOS-u. Ne postoji način za pretvaranje kontejnera. CryptoPro je najbolji izbor, cijena certifikata bi trebala biti oko 1300 = rub. za individualne poduzetnike i 1600 = rub. za YUL.
Tipično, godišnja licenca za CryptoPro CSP je već uključena u certifikat i besplatno je obezbjeđuju mnogi CA. Ako to nije slučaj, onda morate kupiti i aktivirati trajnu licencu za CryptoPro CSP striktno verziju 4 koja košta 2700=. CryptoPro CSP verzija 5 za macOS trenutno ne radi.
Instalacija i konfiguracija CEP-a za macOS
Očigledne stvari
- svi preuzeti fajlovi se preuzimaju u podrazumevani direktorijum: ~/Downloads/;
- Ne mijenjamo ništa u svim instalaterima, sve ostavljamo kao zadano;
- ako macOS prikaže upozorenje da je softver koji se pokreće od neidentifikovanog programera, morate potvrditi pokretanje u postavkama sistema: Sistemske postavke —> Sigurnost i privatnost —> Svejedno otvori;
- ako macOS traži korisničku lozinku i dozvolu za kontrolu računala, morate unijeti lozinku i saglasiti se sa svime.
1. Instalirajte CryptoPro CSP
na web stranici CryptoPro i co preuzmite i instalirajte verziju CryptoPro CSP 4.0 R4 do MacOS - .
2. Instalirajte Rutoken drajvere
Na web stranici piše da je ovo opcionalno, ali bolje je instalirati. Co preuzmite i instalirajte na web stranici Rutoken Modul podrške za privjesak za ključeve - .
Zatim povežite usb token, pokrenite terminal i izvršite naredbu:
/opt/cprocsp/bin/csptest -card -enum -vOdgovor bi trebao biti:
Aktiv Rutoken…
Kartica prisutna…
[ErrorCode: 0x00000000]
3. Instalirajte certifikate
3.1. Brišemo sve stare GOST certifikate
Ako ste prethodno pokušali pokrenuti CEP pod macOS-om, tada morate obrisati sve prethodno instalirane certifikate. Ove naredbe u terminalu će izbrisati samo CryptoPro certifikate i neće utjecati na obične certifikate iz Keychaina na macOS-u.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mrootsudo /opt/cprocsp/bin/certmgr -delete -all -store uroot/opt/cprocsp/bin/certmgr -delete -allOdgovor svake komande treba da sadrži:
Nema certifikata koji odgovara kriterijima
ili
Brisanje je završeno
3.2. Instaliranje root certifikata
Root certifikati su zajednički za sve CEP-ove koje izdaje bilo koje certifikacijsko tijelo. Preuzmite sa Uralski federalni okrug Ministarstva telekomunikacija i masovnih komunikacija:
Instalirajte sa naredbama u terminalu:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cerSvaka komanda treba da vrati:
Instaliranje:
...
[ErrorCode: 0x00000000]
3.3. Preuzmite certifikate certifikacijskog tijela
Zatim morate instalirati certifikate certifikacijskog tijela kod kojeg ste izdali CEP. Obično se korijenski certifikati svakog CA nalaze na njegovoj web stranici u odjeljku preuzimanja.
Alternativno, certifikati bilo kojeg CA mogu se preuzeti sa . Da biste to učinili, morate pronaći CA po imenu u obrascu za pretragu, otići na stranicu sa certifikatima i preuzeti sve gluma sertifikati – odnosno oni sa 'Validan' drugi datum još nije stigao. Preuzmite sa linka u polju 'otisak prsta'.
Snimke ekrana
Na primjeru CA Corus-Consulting: potrebno je da preuzmete 4 certifikata sa :
Preuzete CA certifikate instaliramo pomoću naredbi s terminala:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cergde posle ~/Preuzimanja/ Nazivi preuzetih datoteka su navedeni; oni će biti različiti za svaki CA.
Svaka komanda treba da vrati:
Instaliranje:
...
[ErrorCode: 0x00000000]
3.4. Instaliranje sertifikata sa Rutokenom
Naredba u terminalu:
/opt/cprocsp/bin/csptestf -absorb -certsNaredba bi trebala vratiti:
OK.
[ErrorCode: 0x00000000]
4. Instalirajte poseban pretraživač Chromium-GOST
Za rad s vladinim portalima trebat će vam posebna verzija Chromium preglednika - Chromium-GOST. Izvorni kod projekta je otvoren, link na se daje na . Iz iskustva, drugi pretraživači CryptoFox и Yandex pretraživač Nisu prikladni za rad s vladinim portalima pod macOS-om. Vrijedno je uzeti u obzir da se u nekim verzijama Chromium-GOST-a lični račun na nalog.ru može zamrznuti ili pomicanje može potpuno prestati raditi, pa se nudi stari provjereni gradnja 71.0.3578.98 - .
Preuzmite i raspakujte arhivu, instalirajte pretraživač kopiranjem ili prevlačenjem i ispuštanjem u direktorijum Aplikacije. Nakon instalacije, prisilno zatvorite Chromium i ne otvarajte ga još, radite iz Safarija.
killall Chromium-Gost5. Instalirajte ekstenzije pretraživača
5.1 Dodatak za CryptoPro EDS pretraživač
Sa preuzmite i instalirajte na web stranici CryptoPro CryptoPro EDS Browser plug-in verzija 2.0 za korisnike - .
5.2. Dodatak za javne usluge
Sa preuzmite i instalirajte na portalu državnih usluga Dodatak za rad sa portalom državnih usluga (verzija za macOS) - .
5.3. Postavljanje dodatka za državne službe
Preuzmite ispravnu konfiguracijsku datoteku za ekstenziju State Services sa CryptoPro web stranice - .
Izvršite komande u terminalu:
sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfgsudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts5.4. Aktiviranje ekstenzija
Pokrenite Chromium-Gost preglednik i unesite u adresnu traku:
chrome://extensions/Omogućavamo oba instalirana proširenja:
- CryptoPro Extension za CAdES Browser Plug-in
- Ekstenzija za dodatak za javne usluge
Snimak ekrana
5.5. Postavljanje dodatka za CryptoPro EDS Browser
U Chromium-Gost adresnu traku upisujemo:
/etc/opt/cprocsp/trusted_sites.htmlNa stranici koja se pojavi dodajte sljedeće stranice jednu po jednu na popis pouzdanih web-mjesta:
https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ruKliknite na “Sačuvaj”. Trebala bi se pojaviti zelena tačka:
Lista pouzdanih čvorova je uspješno sačuvana.
Snimak ekrana
6. Provjerite da li sve radi
6.1. Idite na stranicu za testiranje CryptoPro
U Chromium-Gost adresnu traku upisujemo:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html“Plugin loaded” bi trebao biti prikazan, a vaš certifikat bi trebao biti prisutan na listi ispod.
Odaberite certifikat sa liste i kliknite na “Potpiši”. Od vas će se tražiti PIN sertifikata. Kao rezultat, trebalo bi da se prikaže
Potpis je uspješno generiran
Snimak ekrana
6.2. Idite na svoj lični račun na nalog.ru
Možda nećete moći da pristupite linkovima sa sajta nalog.ru, jer... provjere neće proći. Morate proći kroz direktne veze:
- Moj račun FE:
- Moj račun ЮЛ:
Snimak ekrana
6.3. Idite u državne službe
Prilikom prijavljivanja odaberite "Prijavite se pomoću elektronskog potpisa." Na listi "Odaberite certifikat ključa za verifikaciju elektronskog potpisa" koja se pojavi, bit će prikazani svi certifikati, uključujući root i CA; potrebno je da odaberete svoj s USB tokena i unesete PIN.
Snimak ekrana
7. Šta učiniti ako prestane da radi
-
Ponovo povezujemo usb token i provjeravamo da li je vidljiv pomoću naredbe u terminalu:
sudo /opt/cprocsp/bin/csptest -card -enum -v -
Za sva vremena brišemo keš pretraživača, za šta upisujemo u Chromium-Gost adresnu traku:
chrome://settings/clearBrowserData -
Ponovno instalirajte CEP certifikat koristeći naredbu u terminalu:
/opt/cprocsp/bin/csptestf -absorb -certs
Promjena PIN koda kontejnera
Prilagođeni PIN kod za Rutoken podrazumevano 12345678, i ne postoji način da se ostavi ovako. Zahtevi za Rutoken PIN kod: maksimalno 16 karaktera, može sadržati latinična slova i brojeve.
1. Saznajte naziv KEP kontejnera
Na USB tokenu i drugim skladištima može biti pohranjeno nekoliko certifikata, a vi morate odabrati pravi. Sa umetnutim usb tokenom, dobijamo listu svih kontejnera u sistemu sa naredbom u terminalu:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontextKomanda mora povući najmanje 1 kontejner i vratiti se
[ErrorCode: 0x00000000]
Kontejner koji nam treba izgleda ovako
.Aktiv Rutoken liteXXXXXXXX
Ako je prikazano nekoliko takvih kontejnera, to znači da je na tokenu upisano nekoliko certifikata, a vi znate koji vam je potreban. Značenje XXXXXXXX nakon kose crte morate kopirati i zalijepiti u naredbu ispod.
2. Promijenite PIN pomoću naredbe s terminala
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"gdje XXXXXXXX – naziv kontejnera dobijenog u koraku 1 (obavezno u navodnicima).
Pojavit će se CryptoPro dijalog u kojem će se tražiti stari PIN kod za pristup certifikatu, zatim drugi dijalog za unos novog PIN koda. Spreman.
Snimak ekrana
Potpisivanje datoteka na macOS-u
Na macOS-u, datoteke se mogu prijaviti softverom (cijena licence 2500 = rub.), ili jednostavna komanda preko terminala - besplatno.
1. Saznajte heš CEP certifikata
Može postojati više certifikata na tokenu iu drugim trgovinama. Moramo jasno identifikovati sa kojim ćemo od sada potpisivati dokumente. Jednom urađeno.
Token mora biti umetnut. Dobijamo listu certifikata u spremištima naredbom s terminala:
/opt/cprocsp/bin/certmgr -listNaredba mora ispisati najmanje 1 certifikat forme:
Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program za upravljanje certifikatima, CRL-ovima i trgovinama
= = = = = = = = = = = = = = = = = = = =
1---
Izdavatelj: [email zaštićen],... CN=DOO KORUS Consulting CIS...
Naslov: [email zaštićen],... CN=Zaharov Sergey Anatolyevich...
Serijski: 0x0000000000000000000000000000000000
SHA1 hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Kontejner: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]
Certifikat koji nam je potreban u parametru Container mora imati vrijednost kao SCARDrutoken…. Ako postoji nekoliko certifikata s takvim vrijednostima, tada je na tokenu zabilježeno nekoliko certifikata, a vi znate koji vam je potreban. Vrijednost parametra SHA1 Hash (40 znakova) se mora kopirati i zalijepiti u naredbu ispod.
2. Potpisivanje datoteke naredbom s terminala
U terminalu idite u direktorij s datotekom da potpišete i izvršite naredbu:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILEgdje XXXX... – heš certifikata dobiven u koraku 1, i SLIKA – naziv datoteke za potpisivanje (sa svim ekstenzijama, ali bez putanje).
Naredba bi trebala vratiti:
Potpisana poruka je kreirana.
[ErrorCode: 0x00000000]
Biće kreirana datoteka elektronskog potpisa sa ekstenzijom *.sgn - ovo je odvojeni potpis u CMS formatu sa DER kodiranjem.
3. Instalirajte Apple Automator Script
Kako biste izbjegli svaki put da radite s terminalom, možete jednom instalirati Automator Script, pomoću kojeg možete potpisivati dokumente iz Finder kontekstnog izbornika. Da biste to učinili, preuzmite arhivu - .
- Raspakivanje arhive 'Potpiši sa CryptoPro.zip'
- Pokreni Automator
- Pronađite i otvorite raspakovani fajl 'Potpiši sa CryptoPro.workflow'
- U bloku Pokrenite Shell Script promenite tekst XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na vrijednost parametra SHA1 Hash CEP sertifikat dobijen gore.
- Sačuvajte skriptu: ⌘Command + S
- Pokrenite datoteku 'Potpiši sa CryptoPro.workflow' i potvrdite instalaciju.
- Idemo na Sistem Postavke -> Ekstenzije -> Finder i provjeri to Potpišite sa CryptoPro brza akcija zapažena.
- U Finderu pozovite kontekstni meni bilo koje datoteke iu odjeljku Brze akcije i / ili usluge odaberite stavku Potpišite sa CryptoPro
- U dijalogu CryptoPro koji se pojavi unesite korisnički PIN kod iz CEP-a
- U trenutnom direktoriju će se pojaviti datoteka s ekstenzijom *.sgn - odvojeni potpis u CMS formatu sa DER kodiranjem.
Snimke ekrana
Prozor Apple Automatora:
Sistemske postavke:
Kontekstni meni Findera:
Provjerite potpis na dokumentu
Ako sadržaj dokumenta ne sadrži tajne i tajne, onda je najlakši način da koristite web servis na portalu državnih službi - . Na ovaj način možete napraviti snimak ekrana sa renomiranih izvora i biti sigurni da je sve u redu sa potpisom.
Snimke ekrana
izvor: www.habr.com