Kvalifikovaný elektronický podpis pro macOS

Podle RBC и Tenzor, v roce 2019 bude v Rusku vydáno 4,6 milionu certifikátů kvalifikovaných elektronických podpisů (CES), které splňují požadavky 63-FZ. Ukazuje se, že z 8 milionů registrovaných individuálních podnikatelů a LLC používá elektronický podpis každý druhý podnikatel. Kromě EGAIS CEP a cloudových CEP pro výkaznictví vydávané bankami a účetními službami jsou obzvláště zajímavé univerzální CEP na zabezpečených tokenech. Takové certifikáty vám umožňují přihlásit se na vládní portály a podepsat jakékoli dokumenty, což je činí právně významnými.

Díky certifikátu CEP na USB tokenu můžete na dálku uzavřít dohodu s protistranou nebo zaměstnancem na dálku a zaslat písemnosti soudu; zaregistrujte si online pokladnu, vyrovnejte daňové dluhy a podejte prohlášení na svém osobním účtu na nalog.ru; informujte se o dluzích a nadcházejících kontrolách ve Státních službách.

Níže uvedený manuál vám pomůže pracovat s CEP pod macOS – bez studování fór CryptoPro a instalace virtuálního stroje s Windows.

Obsah

Co potřebujete pro práci s CEP pod macOS:

Instalace a konfigurace CEP pro macOS

1. Instalace CryptoPro CSP
2. Instalace ovladačů Rutoken
3. Instalace certifikátů
   3.1. Odstraňujeme všechny staré certifikáty GOST
   3.2. Instalace kořenových certifikátů
   3.3. Stáhněte si certifikáty certifikační autority
   3.4. Instalace certifikátu pomocí Rutokenu
4. Nainstalujte si speciální prohlížeč Chromium-GOST
5. Instalace rozšíření prohlížeče
   5.1 Zásuvný modul CryptoPro EDS Browser
   5.2. Plugin pro veřejné služby
   5.3. Nastavení pluginu pro státní služby
   5.4. Aktivace rozšíření
   5.5. Nastavení rozšíření zásuvného modulu CryptoPro EDS Browser
6. Kontrola, zda vše funguje
   6.1. Přejděte na testovací stránku CryptoPro
   6.2. Přejděte na svůj osobní účet na nalog.ru
   6.3. Přejděte na Státní služby
7. Co dělat, když to přestane fungovat

Změna kódu PIN kontejneru

1. Zjištění názvu kontejneru KEP
2. Změna PIN příkazem z terminálu

Podepisování souborů na macOS

1. Zjištění hashe certifikátu CEP
2. Podepsání souboru příkazem z terminálu
3. Instalace skriptu Apple Automator Script

Zkontrolujte podpis na dokumentu

Všechny níže uvedené informace pocházejí z renomovaných zdrojů (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralský federální okruh ministerstva telekomunikací a hromadných komunikací) a doporučuje se stáhnout software z důvěryhodných stránek. Autor je nezávislý konzultant a není přidružen k žádné z uvedených společností. Dodržováním těchto pokynů přebíráte plnou odpovědnost za jakékoli akce a důsledky.

Co potřebujete pro práci s CEP pod macOS:

1. CEP na USB tokenu Rutoken Lite nebo Rutoken EDS
2. kryptografický kontejner ve formátu CryptoPro
3. s vestavěným licence pro CryptoPro CSP

Média eToken a JaCarta ve spojení s CryptoPro nejsou v macOS podporovány. Médium Rutoken Lite je nejlepší volbou, stojí 500..1000= rublů, pracuje rychle a umožňuje uložit až 15 klíčů.

Poskytovatelé kryptoměn VipNet, Signal-COM a LISSY nejsou na macOS podporováni. Neexistuje způsob, jak převést kontejnery. CryptoPro je nejlepší volba, cena certifikátu by měla být cca 1300 = rub. pro jednotlivé podnikatele a 1600 = rub. pro YUL.

Roční licence pro CryptoPro CSP je obvykle již zahrnuta v certifikátu a řada CA ji poskytuje zdarma. Pokud tomu tak není, musíte si zakoupit a aktivovat trvalou licenci pro CryptoPro CSP striktně verzi 4 za cenu 2700=. CryptoPro CSP verze 5 pro macOS aktuálně nefunguje.

Instalace a konfigurace CEP pro macOS

Jasné věci

• všechny stažené soubory se stahují do výchozího adresáře: ~/Downloads/;
• Ve všech instalačních programech nic neměníme, vše necháváme jako výchozí;
• pokud macOS zobrazí varování, že spouštěný software pochází od neidentifikovaného vývojáře, musíte spuštění potvrdit v nastavení systému: Předvolby systému —> Zabezpečení a soukromí —> Přesto otevřít;
• pokud macOS požádá o uživatelské heslo a povolení k ovládání počítače, je potřeba zadat heslo a se vším souhlasit.

1. Nainstalujte CryptoPro CSP

Registrovat na webu CryptoPro and co stránky ke stažení stáhnout a nainstalovat verzi CryptoPro CSP 4.0 R4 pro macOS - ke stažení.

2. Nainstalujte ovladače Rutoken

Web říká, že je to volitelné, ale je lepší si to nainstalovat. spol stránky ke stažení stáhnout a nainstalovat na webu Rutoken Modul podpory klíčenky - ke stažení.

Dále připojte usb token, spusťte terminál a proveďte příkaz:

/opt/cprocsp/bin/csptest -card -enum -v

Odpověď by měla znít:

Aktivní Rutoken…
Karta přítomna…
[Kód chyby: 0x00000000]

3. Nainstalujte certifikáty

3.1. Odstraňujeme všechny staré certifikáty GOST

Pokud jste se již dříve pokusili spustit CEP v systému macOS, musíte vymazat všechny dříve nainstalované certifikáty. Tyto příkazy v terminálu odstraní pouze certifikáty CryptoPro a neovlivní běžné certifikáty z Keychain na macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Odpověď na každý příkaz by měla obsahovat:

Žádný certifikát neodpovídá kritériím

nebo

Mazání dokončeno

3.2. Instalace kořenových certifikátů

Kořenové certifikáty jsou společné pro všechny CEP vydané jakoukoli certifikační autoritou. Stáhnout z stránky ke stažení Uralský federální okruh ministerstva telekomunikací a hromadných komunikací:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Nainstalujte pomocí příkazů v terminálu:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Každý příkaz by měl vrátit:

Instalace:
...
[Kód chyby: 0x00000000]

3.3. Stáhněte si certifikáty certifikační autority

Dále je potřeba nainstalovat certifikáty certifikační autority, kde jste vydali CEP. Kořenové certifikáty každé CA jsou obvykle umístěny na jejích webových stránkách v sekci ke stažení.

Případně lze stáhnout certifikáty libovolné CA webové stránky Uralského federálního okruhu Ministerstva telekomunikací a hromadných komunikací. Chcete-li to provést, ve vyhledávacím formuláři musíte najít CA podle jména, přejděte na stránku s certifikáty a stáhněte si vše herectví certifikáty – tedy ty s 'Platný' druhý termín ještě nedorazil. Stahujte z odkazu v poli 'otisk prstu'.

Obrázky

Na příkladu CA Corus-Consulting: potřebujete stáhnout 4 certifikáty z stránky ke stažení:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Stažené certifikáty CA nainstalujeme pomocí příkazů z terminálu:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

kde po ~/Stažení/ Názvy stažených souborů jsou uvedeny; pro každou CA se budou lišit.

Každý příkaz by měl vrátit:

Instalace:
...
[Kód chyby: 0x00000000]

3.4. Instalace certifikátu pomocí Rutokenu

Příkaz v terminálu:

/opt/cprocsp/bin/csptestf -absorb -certs

Příkaz by měl vrátit:

OK.
[Kód chyby: 0x00000000]

4. Nainstalujte speciální prohlížeč Chromium-GOST

Pro práci s vládními portály budete potřebovat speciální sestavení prohlížeče chromium - Chrom-GOST. Zdrojový kód projektu je otevřený, odkaz na úložiště na GitHubu je dáno na Web CryptoPro. Ze zkušenosti jiné prohlížeče CryptoFox и Prohlížeč Yandex Nejsou vhodné pro práci s vládními portály pod macOS. Stojí za zvážení, že v některých sestaveních Chromium-GOST může osobní účet na nalog.ru zamrznout nebo rolování může přestat fungovat úplně, takže se nabízí starý osvědčený sestavení 71.0.3578.98 - ke stažení.


Stáhněte a rozbalte archiv, nainstalujte prohlížeč zkopírováním nebo přetažením do adresáře Aplikace. Po instalaci vynutíte zavření Chromia a zatím jej neotevírejte, pracujte ze Safari.

killall Chromium-Gost

5. Nainstalujte rozšíření prohlížeče

5.1 Zásuvný modul CryptoPro EDS Browser

S stránky ke stažení stáhnout a nainstalovat na webu CryptoPro CryptoPro EDS Browser plug-in verze 2.0 pro uživatele - ke stažení.

5.2. Plugin pro veřejné služby

S stránky ke stažení stáhnout a nainstalovat na portál Státních služeb Plugin pro práci s portálem vládních služeb (verze pro macOS) - ke stažení.

5.3. Nastavení pluginu pro státní služby

Stáhněte si správný konfigurační soubor pro rozšíření State Services z webu CryptoPro - ke stažení.

Provádějte příkazy v terminálu:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktivace rozšíření

Spusťte prohlížeč Chromium-Gost a do adresního řádku zadejte:

chrome://extensions/

Povolíme obě nainstalovaná rozšíření:

• Rozšíření CryptoPro pro zásuvný modul prohlížeče CAdES
• Rozšíření pro plugin State Services

Screenshot

5.5. Nastavení rozšíření zásuvného modulu CryptoPro EDS Browser

Do adresního řádku Chromium-Gost zadáme:

/etc/opt/cprocsp/trusted_sites.html

Na stránce, která se zobrazí, přidejte postupně následující weby do seznamu důvěryhodných webů:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klikněte na „Uložit“. Měla by se objevit zelená tečka:

Seznam důvěryhodných uzlů byl úspěšně uložen.

Screenshot

6. Zkontrolujte, zda vše funguje

6.1. Přejděte na testovací stránku CryptoPro

Do adresního řádku Chromium-Gost zadáme:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Mělo by se zobrazit „Plugin načten“ a váš certifikát by měl být přítomen v seznamu níže.
Vyberte certifikát ze seznamu a klikněte na „Podepsat“. Budete požádáni o PIN certifikátu. V důsledku toho by se měl zobrazit

Podpis byl úspěšně vygenerován

Screenshot

6.2. Přejděte na svůj osobní účet na nalog.ru

Možná nebudete mít přístup k odkazům ze stránky nalog.ru, protože... kontroly neprojdou. Musíte projít přímými odkazy:

• Soukromá kancelář IP: https://lkipgost.nalog.ru/lk
• Soukromá kancelář Právnická osoba: https://lkul.nalog.ru

Screenshot

6.3. Přejděte na Státní služby

Při přihlašování vyberte „Přihlásit se pomocí elektronického podpisu“. V zobrazeném seznamu „Vyberte certifikát klíče pro ověření elektronického podpisu“ se zobrazí všechny certifikáty včetně kořenového a CA, musíte si vybrat ten svůj z USB tokenu a zadat PIN.

Screenshot

7. Co dělat, když přestane fungovat

1. Znovu připojíme usb token a pomocí příkazu v terminálu zkontrolujeme, zda je viditelný:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Po celou dobu vymažeme mezipaměť prohlížeče, pro kterou zadáme do adresního řádku Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Znovu nainstalujte certifikát CEP pomocí příkazu v terminálu:

   /opt/cprocsp/bin/csptestf -absorb -certs

Změna kódu PIN kontejneru

Vlastní PIN kód pro Rutoken ve výchozím nastavení 12345678a neexistuje způsob, jak to takhle nechat. Požadavky na Rutoken PIN kód: max. 16 znaků, může obsahovat latinská písmena a číslice.

1. Zjistěte název kontejneru KEP

Na USB tokenu a dalších úložištích může být uloženo několik certifikátů a musíte si vybrat ten správný. S vloženým usb tokenem získáme seznam všech kontejnerů v systému příkazem v terminálu:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Příkaz musí stáhnout alespoň 1 kontejner a vrátit se

[Kód chyby: 0x00000000]

Nádoba, kterou potřebujeme, vypadá

.Aktiv Rutoken liteXXXXXXXX

Pokud je zobrazeno několik takových kontejnerů, znamená to, že na tokenu je zapsáno několik certifikátů a vy víte, který potřebujete. Význam XXXXXXXX za lomítkem musíte zkopírovat a vložit do příkazu níže.

2. Změňte PIN pomocí příkazu z terminálu

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

kde XXXXXXXX – název kontejneru získaný v kroku 1 (nezbytně v uvozovkách).

Objeví se dialog CryptoPro s dotazem na starý PIN kód pro přístup k certifikátu, poté další dialog pro zadání nového PIN kódu. Připraven.

Screenshot

Podepisování souborů na macOS

V systému macOS lze soubory přihlásit pomocí softwaru CryptoArm (cena licence 2500 = rub.), nebo jednoduchý příkaz přes terminál - zdarma.

1. Zjistěte hash certifikátu CEP

Na tokenu a v jiných úložištích může být více certifikátů. Musíme jasně identifikovat toho, se kterým budeme od této chvíle podepisovat dokumenty. Jednou hotovo.
Token musí být vložen. Seznam certifikátů v úložištích získáme příkazem z terminálu:

/opt/cprocsp/bin/certmgr -list

Příkaz musí vydat alespoň 1 certifikát ve formuláři:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program pro správu certifikátů, CRL a úložišť
= = = = = = = = = = = = = = = = = = = = =
1---
Vydavatel: [chráněno e-mailem],... CN=LLC KORUS Consulting CIS...
Předmět: [chráněno e-mailem],... CN=Zacharov Sergej Anatoljevič...
Sériové číslo: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Kontejner: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Kód chyby: 0x00000000]

Certifikát, který potřebujeme v parametru Container, musí mít hodnotu jako SCARDrutoken…. Pokud existuje několik certifikátů s takovými hodnotami, pak je na tokenu zaznamenáno několik certifikátů a vy víte, který z nich potřebujete. Hodnota parametru SHA1 Hash (40 znaků) je nutné zkopírovat a vložit do příkazu níže.

2. Podepsání souboru příkazem z terminálu

V terminálu přejděte do adresáře se souborem pro podepsání a provedení příkazu:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

kde XXXX… – hash certifikátu získaný v kroku 1 a FILE – název souboru, který se má podepsat (se všemi příponami, ale bez cesty).

Příkaz by měl vrátit:

Podepsaná zpráva je vytvořena.
[Kód chyby: 0x00000000]

Vytvoří se soubor elektronického podpisu s příponou *.sgn - jedná se o oddělený podpis ve formátu CMS s kódováním DER.

3. Nainstalujte Apple Automator Script

Abyste nemuseli pokaždé pracovat s terminálem, můžete si jednou nainstalovat Automator Script, pomocí kterého můžete podepisovat dokumenty z kontextové nabídky Finderu. Chcete-li to provést, stáhněte si archiv - ke stažení.

1. Rozbalení archivu "Podepište pomocí CryptoPro.zip"
2. Běh Automator
3. Najděte a otevřete rozbalený soubor 'Podepište se pomocí CryptoPro.workflow'
4. V bloku Spusťte skript Shell změnit text XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na hodnotu parametru SHA1 Hash Certifikát CEP získaný výše.
5. Uložte skript: ⌘Command + S
6. Spusťte soubor 'Podepište se pomocí CryptoPro.workflow' a potvrďte instalaci.
7. Pojďme do System Předvolby -> Rozšíření -> Finder a zkontrolujte to Podepište se s CryptoPro rychlé jednání zaznamenáno.
8. Ve Finderu zavolejte kontextovou nabídku libovolného souboru a v sekci Rychlé akce и / nebo Služby vybrat předmět Podepište se s CryptoPro
9. V zobrazeném dialogovém okně CryptoPro zadejte uživatelský PIN kód z CEP
10. V aktuálním adresáři se objeví soubor s příponou *.sgn - oddělený podpis ve formátu CMS s kódováním DER.

Obrázky

Okno Apple Automator:

Systémové preference:

Kontextová nabídka Finderu:

Zkontrolujte podpis na dokumentu

Pokud obsah dokumentu neobsahuje tajemství a tajemství, pak je nejjednodušší použít webovou službu na portálu Státní služby - https://www.gosuslugi.ru/pgu/eds. Tímto způsobem můžete pořídit snímek obrazovky z renomovaného zdroje a mít jistotu, že je s podpisem vše v pořádku.

Obrázky

Zdroj: www.habr.com