Signatura electrònica qualificada per a macOS

Segons RBC и Tensor, el 2019, s'emetran 4,6 milions de certificats de signatures electròniques qualificades (CES) a Rússia, complint els requisits de 63-FZ. Resulta que dels 8 milions d'empresaris individuals i LLC registrats, cada segon empresari utilitza una signatura electrònica. A més dels CEP EGAIS i els CEP basats en núvol per als informes emesos per bancs i serveis de comptabilitat, són d'especial interès els CEP universals sobre fitxes segures. Aquests certificats us permeten iniciar sessió als portals governamentals i signar qualsevol document, cosa que els fa significatius legalment.

Gràcies al certificat CEP en un testimoni USB, podeu concloure un acord de forma remota amb una contrapart o un empleat a distància, i enviar documents al tribunal; registreu una caixa registradora en línia, saldeu els deutes fiscals i envieu una declaració al vostre compte personal a nalog.ru; informa't sobre els deutes i les properes inspeccions als Serveis Estatals.

El manual següent us ajudarà treballar amb CEP sota macOS – sense estudiar els fòrums de CryptoPro i instal·lar una màquina virtual amb Windows.

Contingut

Què necessiteu per treballar amb CEP a macOS:

Instal·lació i configuració de CEP per a macOS

1. Instal·lació de CryptoPro CSP
2. Instal·lació dels controladors Rutoken
3. Instal·lació de certificats
   3.1. Suprimim tots els certificats GOST antics
   3.2. Instal·lació de certificats arrel
   3.3. Baixeu els certificats de l'autoritat de certificació
   3.4. Instal·lació d'un certificat amb Rutoken
4. Instal·leu un navegador especial Chromium-GOST
5. Instal·lació d'extensions de navegador
   5.1 Complement del navegador CryptoPro EDS
   5.2. Connector per a Serveis Públics
   5.3. Configuració d'un connector per als serveis estatals
   5.4. Activació d'extensions
   5.5. Configuració de l'extensió del connector del navegador CryptoPro EDS
6. Comprovant que tot funciona
   6.1. Aneu a la pàgina de prova de CryptoPro
   6.2. Aneu al vostre compte personal a nalog.ru
   6.3. Aneu a Serveis de l'Estat
7. Què fer si deixa de funcionar

Canviar el codi PIN del contenidor

1. Esbrinar el nom del contenidor KEP
2. Canviar el PIN amb una ordre des del terminal

Signar fitxers a macOS

1. Conèixer el hash del certificat CEP
2. Signar un fitxer amb una ordre des del terminal
3. Instal·lació d'Apple Automator Script

Comproveu la signatura del document

Tota la informació següent s'obté de fonts acreditades (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Districte Federal de l'Ural del Ministeri de Telecomunicacions i Comunicacions de masses), i es recomana descarregar programari de llocs de confiança. L'autor és un consultor independent i no està afiliat a cap de les empreses esmentades. Seguint aquestes instruccions, assumeix tota la responsabilitat de qualsevol acció i conseqüència.

Què necessiteu per treballar amb CEP a macOS:

1. CEP en un testimoni USB Rutoken Lite o Rutoken EDS
2. contenidor criptogràfic en format CryptoPro
3. amb incorporat llicència per a CryptoPro CSP

Els mitjans eToken i JaCarta juntament amb CryptoPro no són compatibles amb macOS. El suport Rutoken Lite és la millor opció, costa 500..1000= rubles, funciona ràpidament i permet emmagatzemar fins a 15 claus.

Els proveïdors de criptografia VipNet, Signal-COM i LISSY no són compatibles amb macOS. No hi ha manera de convertir contenidors. CryptoPro és la millor opció, el cost del certificat hauria de ser d'uns 1300 = fregar. per a empresaris individuals i 1600 = fregar. per YUL.

Normalment, una llicència anual per a CryptoPro CSP ja s'inclou al certificat i moltes CA la proporcionen gratuïtament. Si aquest no és el cas, haureu de comprar i activar una llicència perpètua per a CryptoPro CSP estrictament la versió 4 amb un cost de 2700 =. CryptoPro CSP versió 5 per a macOS no funciona actualment.

Instal·lació i configuració de CEP per a macOS

Coses evidents

• tots els fitxers descarregats es descarreguen al directori predeterminat: ~/Downloads/;
• No canviem res a tots els instal·ladors, ho deixem tot per defecte;
• si macOS mostra un avís que indica que el programari que s'està llançant prové d'un desenvolupador no identificat, heu de confirmar el llançament a la configuració del sistema: Preferències del sistema —> Seguretat i privadesa —> Obre de totes maneres;
• si macOS demana una contrasenya d'usuari i permís per controlar l'ordinador, cal que introduïu la contrasenya i estigui d'acord amb tot.

1. Instal·leu CryptoPro CSP

Registra't al lloc web CryptoPro and co pàgines de descàrrega descarregar i instal·lar la versió CSP CryptoPro 4.0 R4 per macOS - descarregar.

2. Instal·leu els controladors Rutoken

El lloc web diu que això és opcional, però és millor instal·lar-lo. Co pàgines de descàrrega descarregar i instal·lar al lloc web de Rutoken Mòdul de suport de clauers - descarregar.

A continuació, connecteu el testimoni USB, inicieu el terminal i executeu l'ordre:

/opt/cprocsp/bin/csptest -card -enum -v

La resposta hauria de ser:

Aktiv Rutoken...
Targeta present...
[Codi d'error: 0x00000000]

3. Instal·leu certificats

3.1. Suprimim tots els certificats GOST antics

Si anteriorment heu intentat iniciar CEP amb macOS, haureu d'esborrar tots els certificats instal·lats anteriorment. Aquestes ordres del terminal només suprimiran els certificats CryptoPro i no afectaran els certificats habituals de Keychain a macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

La resposta de cada comanda hauria d'incloure:

Cap certificat que coincideixi amb els criteris

o

S'ha completat la supressió

3.2. Instal·lació de certificats arrel

Els certificats arrel són comuns a tots els CEP emesos per qualsevol autoritat de certificació. Descarrega des de pàgines de descàrrega Districte Federal de l'Ural del Ministeri de Telecomunicacions i Comunicacions de Massa:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instal·leu amb ordres al terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Cada comanda hauria de tornar:

Instal·lació:
...
[Codi d'error: 0x00000000]

3.3. Baixeu els certificats de l'autoritat de certificació

A continuació, cal instal·lar els certificats de l'autoritat de certificació on vau emetre el CEP. Normalment, els certificats arrel de cada CA es troben al seu lloc web a la secció de descàrregues.

Alternativament, els certificats de qualsevol CA es poden descarregar des lloc web del Districte Federal de l'Ural del Ministeri de Telecomunicacions i Comunicacions de masses. Per fer-ho, heu de trobar una CA per nom al formulari de cerca, anar a la pàgina amb certificats i descarregar-ho tot actuació certificats, és a dir, aquells amb "Vàlid" la segona data encara no ha arribat. Descarrega des de l'enllaç al camp 'empremta digital'.

Captures de pantalla

Utilitzant l'exemple de CA Corus-Consulting: cal descarregar 4 certificats de pàgines de descàrrega:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Instal·lem els certificats CA descarregats mitjançant ordres del terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

on després ~/Descàrregues/ S'enumeren els noms dels fitxers baixats; seran diferents per a cada CA.

Cada comanda hauria de tornar:

Instal·lació:
...
[Codi d'error: 0x00000000]

3.4. Instal·lació d'un certificat amb Rutoken

Comandament al terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

L'ordre hauria de tornar:

OK.
[Codi d'error: 0x00000000]

4. Instal·leu un navegador especial Chromium-GOST

Per treballar amb portals governamentals, necessitareu una versió especial del navegador Chromium: Chromium-GOST. El codi font del projecte és obert, enllaç a repositori a GitHub està donat Lloc web de CryptoPro. Per experiència, altres navegadors CryptoFox и Navegador Yandex No són adequats per treballar amb portals governamentals amb macOS. Val la pena tenir en compte que en algunes versions de Chromium-GOST, el compte personal de nalog.ru es pot congelar o el desplaçament pot deixar de funcionar per complet, de manera que s'ofereix l'antic provat. construcció 71.0.3578.98 - descarregar.


Baixeu i desempaqueteu l'arxiu, instal·leu el navegador copiant-lo o arrossegant-lo al directori d'aplicacions. Després de la instal·lació, força el tancament de Chromium i encara no l'obres, treballa des de Safari.

killall Chromium-Gost

5. Instal·leu les extensions del navegador

5.1 Complement del navegador CryptoPro EDS

Amb pàgines de descàrrega descarregar i instal·lar al lloc web de CryptoPro Complement del navegador CryptoPro EDS versió 2.0 per als usuaris - descarregar.

5.2. Connector per a Serveis Públics

Amb pàgines de descàrrega descarregar i instal·lar al portal de Serveis Estatals Connector per treballar amb el portal de serveis governamentals (versió per a macOS) - descarregar.

5.3. Configuració d'un connector per als serveis estatals

Baixeu el fitxer de configuració correcte per a l'extensió de serveis estatals des del lloc web de CryptoPro - descarregar.

Executeu ordres al terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Activació d'extensions

Inicieu el navegador Chromium-Gost i escriviu a la barra d'adreces:

chrome://extensions/

Habilitam les dues extensions instal·lades:

• Extensió CryptoPro per al connector del navegador CAdES
• Extensió per al connector de Serveis Estatals

Captura de pantalla

5.5. Configuració de l'extensió del connector del navegador CryptoPro EDS

A la barra d'adreces de Chromium-Gost escrivim:

/etc/opt/cprocsp/trusted_sites.html

A la pàgina que apareix, afegiu els llocs següents a la llista de llocs de confiança un per un:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Feu clic a "Desa". Ha d'aparèixer un punt verd:

La llista de nodes de confiança s'ha desat correctament.

Captura de pantalla

6. Comprova que tot funciona

6.1. Aneu a la pàgina de prova de CryptoPro

A la barra d'adreces de Chromium-Gost escrivim:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

S'hauria de mostrar "Plugin loaded" i el vostre certificat hauria d'estar present a la llista següent.
Seleccioneu un certificat de la llista i feu clic a "Significar". Se us demanarà el PIN del certificat. Com a resultat, hauria de mostrar-se

Signatura generada correctament

Captura de pantalla

6.2. Aneu al vostre compte personal a nalog.ru

És possible que no pugueu accedir als enllaços des del lloc nalog.ru, perquè... els controls no passaran. Heu de passar pels enllaços directes:

• Oficina privada PI: https://lkipgost.nalog.ru/lk
• Oficina privada Persona jurídica: https://lkul.nalog.ru

Captura de pantalla

6.3. Aneu a Serveis de l'Estat

Quan inicieu la sessió, seleccioneu "Iniciar sessió mitjançant una signatura electrònica". A la llista "Seleccioneu el certificat de clau de verificació de signatura electrònica" que apareix, es mostraran tots els certificats, inclòs l'arrel i la CA; heu de seleccionar el vostre d'un testimoni USB i introduir el PIN.

Captura de pantalla

7. Què fer si deixa de funcionar

1. Tornem a connectar el testimoni usb i comprovem que és visible mitjançant l'ordre del terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Netegem la memòria cau del navegador per sempre, per a això escrivim a la barra d'adreces de Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Torneu a instal·lar el certificat CEP mitjançant l'ordre del terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Canviar el codi PIN del contenidor

Codi PIN personalitzat per a Rutoken de manera predeterminada 12345678, i no hi ha manera de deixar-ho així. Requisits per al codi PIN Rutoken: 16 caràcters com a màxim, poden contenir lletres i números llatins.

1. Esbrineu el nom del contenidor KEP

És possible que hi hagi diversos certificats emmagatzemats al testimoni USB i altres emmagatzematges, i cal que escolliu el correcte. Amb el testimoni usb inserit, obtenim una llista de tots els contenidors del sistema amb l'ordre al terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

L'ordre ha de retirar almenys 1 contenidor i tornar

[Codi d'error: 0x00000000]

S'assembla al contenidor que necessitem

.Aktiv Rutoken liteXXXXXXX

Si es mostren diversos contenidors d'aquest tipus, vol dir que hi ha diversos certificats escrits al testimoni i ja sabeu quin necessiteu. Significat XXXXXXXX després de la barra, heu de copiar i enganxar a l'ordre següent.

2. Canvieu el PIN mitjançant una ordre des del terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

on XXXXXXXX – el nom del contenidor obtingut al pas 1 (necessàriament entre cometes).

Apareixerà un diàleg CryptoPro demanant el codi PIN antic per accedir al certificat, i després un altre diàleg per introduir el codi PIN nou. A punt.

Captura de pantalla

Signar fitxers a macOS

A macOS, els fitxers es poden iniciar amb el programari CryptoArm (cost de llicència 2500 = fregar.), o una simple comanda a través del terminal - gratuït.

1. Esbrineu el hash del certificat CEP

Hi pot haver diversos certificats en un testimoni i en altres botigues. Hem d'identificar clarament amb qui signarem els documents a partir d'ara. Fet una vegada.
S'ha d'introduir el testimoni. Obtenim una llista de certificats als repositoris amb l'ordre del terminal:

/opt/cprocsp/bin/certmgr -list

L'ordre ha de generar almenys 1 certificat de la forma:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programa per a la gestió de certificats, CRL i botigues
= = = = = = = = = = = = = = = = = = =
1---
Emissor: [protegit per correu electrònic],... CN=LLC KORUS Consulting CIS...
Assumpte: [protegit per correu electrònic],... CN=Zakharov Sergey Anatolyevich...
Sèrie: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Contenidor: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Codi d'error: 0x00000000]

El certificat que necessitem al paràmetre Contenidor ha de tenir un valor com SCARDrutoken.... Si hi ha diversos certificats amb aquests valors, hi ha diversos certificats registrats al testimoni i ja sabeu quin necessiteu. Valor del paràmetre SHA1 Hash (40 caràcters) s'han de copiar i enganxar a l'ordre següent.

2. Signar un fitxer amb una ordre des del terminal

Al terminal, aneu al directori amb el fitxer per signar i executar l'ordre:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

on XXXX... – certificat hash obtingut al pas 1, i ARXIU – nom del fitxer per signar (amb totes les extensions, però sense camí).

L'ordre hauria de tornar:

Es crea un missatge signat.
[Codi d'error: 0x00000000]

Es crearà un fitxer de signatura electrònica amb l'extensió *.sgn: aquesta és una signatura separada en format CMS amb codificació DER.

3. Instal·leu Apple Automator Script

Per evitar haver de treballar amb el terminal cada vegada, podeu instal·lar Automator Script una vegada, amb el qual podeu signar documents des del menú contextual del Finder. Per fer-ho, descarregueu l'arxiu - descarregar.

1. Descomprimint l'arxiu "Sign amb CryptoPro.zip"
2. Llançament Automator
3. Cerqueu i obriu el fitxer descomprimit "Sign amb CryptoPro.workflow"
4. Al bloc Executeu Shell Script canviar el text XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX al valor del paràmetre SHA1 Hash Certificat CEP obtingut anteriorment.
5. Deseu l'script: ⌘Command + S
6. Executeu el fitxer "Sign amb CryptoPro.workflow" i confirmeu la instal·lació.
7. Anem a Sistema Preferències -> Extensions -> Cercador i comproveu-ho Signa amb CryptoPro acció ràpida assenyalada.
8. Al Finder, truqueu al menú contextual de qualsevol fitxer i a la secció Accions ràpides i / o Serveis seleccioneu l'element Signa amb CryptoPro
9. Al diàleg CryptoPro que apareix, introduïu el codi PIN de l'usuari del CEP
10. Apareixerà un fitxer amb l'extensió *.sgn al directori actual: una signatura separada en format CMS amb codificació DER.

Captures de pantalla

Finestra d'Apple Automator:

Preferències del sistema:

Menú contextual del Finder:

Comproveu la signatura del document

Si el contingut del document no conté secrets ni secrets, la manera més senzilla és utilitzar el servei web al portal de Serveis Estatals: https://www.gosuslugi.ru/pgu/eds. D'aquesta manera, podeu fer una captura de pantalla d'un recurs de bona reputació i assegurar-vos que tot està bé amb la signatura.

Captures de pantalla

Font: www.habr.com