Podle RBC и Tenzor, v roce 2019 bude v Rusku vydáno 4,6 milionu certifikátů kvalifikovaných elektronických podpisů (CES), které splňují požadavky 63-FZ. Ukazuje se, že z 8 milionů registrovaných individuálních podnikatelů a LLC používá elektronický podpis každý druhý podnikatel. Kromě EGAIS CEP a cloudových CEP pro výkaznictví vydávané bankami a účetními službami jsou obzvláště zajímavé univerzální CEP na zabezpečených tokenech. Takové certifikáty vám umožňují přihlásit se na vládní portály a podepsat jakékoli dokumenty, což je činí právně významnými.
Díky certifikátu CEP na USB tokenu můžete na dálku uzavřít dohodu s protistranou nebo zaměstnancem na dálku a zaslat písemnosti soudu; zaregistrujte si online pokladnu, vyrovnejte daňové dluhy a podejte prohlášení na svém osobním účtu na nalog.ru; informujte se o dluzích a nadcházejících kontrolách ve Státních službách.
Níže uvedený manuál vám pomůže pracovat s CEP pod macOS – bez studování fór CryptoPro a instalace virtuálního stroje s Windows.
Obsah
Co potřebujete pro práci s CEP pod macOS:
Instalace a konfigurace CEP pro macOS
Instalace CryptoPro CSP
Instalace ovladačů Rutoken
Instalace certifikátů
3.1. Odstraňujeme všechny staré certifikáty GOST
3.2. Instalace kořenových certifikátů
3.3. Stáhněte si certifikáty certifikační autority
3.4. Instalace certifikátu pomocí Rutokenu
Nainstalujte si speciální prohlížeč Chromium-GOST
Instalace rozšíření prohlížeče
5.1 Zásuvný modul CryptoPro EDS Browser
5.2. Plugin pro veřejné služby
5.3. Nastavení pluginu pro státní služby
5.4. Aktivace rozšíření
5.5. Nastavení rozšíření zásuvného modulu CryptoPro EDS Browser
Kontrola, zda vše funguje
6.1. Přejděte na testovací stránku CryptoPro
6.2. Přejděte na svůj osobní účet na nalog.ru
6.3. Přejděte na Státní služby
Co dělat, když to přestane fungovat
Změna kódu PIN kontejneru
Zjištění názvu kontejneru KEP
Změna PIN příkazem z terminálu
Podepisování souborů na macOS
Zjištění hashe certifikátu CEP
Podepsání souboru příkazem z terminálu
Instalace skriptu Apple Automator Script
Zkontrolujte podpis na dokumentu
Všechny níže uvedené informace pocházejí z renomovaných zdrojů (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralský federální okruh ministerstva telekomunikací a hromadných komunikací) a doporučuje se stáhnout software z důvěryhodných stránek. Autor je nezávislý konzultant a není přidružen k žádné z uvedených společností. Dodržováním těchto pokynů přebíráte plnou odpovědnost za jakékoli akce a důsledky.
Co potřebujete pro práci s CEP pod macOS:
CEP na USB tokenu Rutoken Lite nebo Rutoken EDS
kryptografický kontejner ve formátu CryptoPro
s vestavěným licence pro CryptoPro CSP
Média eToken a JaCarta ve spojení s CryptoPro nejsou v macOS podporovány. Médium Rutoken Lite je nejlepší volbou, stojí 500..1000= rublů, pracuje rychle a umožňuje uložit až 15 klíčů.
Poskytovatelé kryptoměn VipNet, Signal-COM a LISSY nejsou na macOS podporováni. Neexistuje způsob, jak převést kontejnery. CryptoPro je nejlepší volba, cena certifikátu by měla být cca 1300 = rub. pro jednotlivé podnikatele a 1600 = rub. pro YUL.
Roční licence pro CryptoPro CSP je obvykle již zahrnuta v certifikátu a řada CA ji poskytuje zdarma. Pokud tomu tak není, musíte si zakoupit a aktivovat trvalou licenci pro CryptoPro CSP striktně verzi 4 za cenu 2700=. CryptoPro CSP verze 5 pro macOS aktuálně nefunguje.
Instalace a konfigurace CEP pro macOS
Jasné věci
všechny stažené soubory se stahují do výchozího adresáře: ~/Downloads/;
Ve všech instalačních programech nic neměníme, vše necháváme jako výchozí;
pokud macOS zobrazí varování, že spouštěný software pochází od neidentifikovaného vývojáře, musíte spuštění potvrdit v nastavení systému: Předvolby systému —> Zabezpečení a soukromí —> Přesto otevřít;
pokud macOS požádá o uživatelské heslo a povolení k ovládání počítače, je potřeba zadat heslo a se vším souhlasit.
Web říká, že je to volitelné, ale je lepší si to nainstalovat. spol stránky ke stažení stáhnout a nainstalovat na webu Rutoken Modul podpory klíčenky - ke stažení.
Dále připojte usb token, spusťte terminál a proveďte příkaz:
/opt/cprocsp/bin/csptest -card -enum -v
Odpověď by měla znít:
Aktivní Rutoken…
Karta přítomna…
[Kód chyby: 0x00000000]
3. Nainstalujte certifikáty
3.1. Odstraňujeme všechny staré certifikáty GOST
Pokud jste se již dříve pokusili spustit CEP v systému macOS, musíte vymazat všechny dříve nainstalované certifikáty. Tyto příkazy v terminálu odstraní pouze certifikáty CryptoPro a neovlivní běžné certifikáty z Keychain na macOS.
Kořenové certifikáty jsou společné pro všechny CEP vydané jakoukoli certifikační autoritou. Stáhnout z stránky ke stažení Uralský federální okruh ministerstva telekomunikací a hromadných komunikací:
3.3. Stáhněte si certifikáty certifikační autority
Dále je potřeba nainstalovat certifikáty certifikační autority, kde jste vydali CEP. Kořenové certifikáty každé CA jsou obvykle umístěny na jejích webových stránkách v sekci ke stažení.
Případně lze stáhnout certifikáty libovolné CA webové stránky Uralského federálního okruhu Ministerstva telekomunikací a hromadných komunikací. Chcete-li to provést, ve vyhledávacím formuláři musíte najít CA podle jména, přejděte na stránku s certifikáty a stáhněte si vše herectví certifikáty – tedy ty s 'Platný' druhý termín ještě nedorazil. Stahujte z odkazu v poli 'otisk prstu'.
Obrázky
Na příkladu CA Corus-Consulting: potřebujete stáhnout 4 certifikáty z stránky ke stažení:
kde po ~/Stažení/ Názvy stažených souborů jsou uvedeny; pro každou CA se budou lišit.
Každý příkaz by měl vrátit:
Instalace:
...
[Kód chyby: 0x00000000]
3.4. Instalace certifikátu pomocí Rutokenu
Příkaz v terminálu:
/opt/cprocsp/bin/csptestf -absorb -certs
Příkaz by měl vrátit:
OK.
[Kód chyby: 0x00000000]
4. Nainstalujte speciální prohlížeč Chromium-GOST
Pro práci s vládními portály budete potřebovat speciální sestavení prohlížeče chromium - Chrom-GOST. Zdrojový kód projektu je otevřený, odkaz na úložiště na GitHubu je dáno na Web CryptoPro. Ze zkušenosti jiné prohlížeče CryptoFox и Prohlížeč Yandex Nejsou vhodné pro práci s vládními portály pod macOS. Stojí za zvážení, že v některých sestaveních Chromium-GOST může osobní účet na nalog.ru zamrznout nebo rolování může přestat fungovat úplně, takže se nabízí starý osvědčený sestavení 71.0.3578.98 - ke stažení.
Stáhněte a rozbalte archiv, nainstalujte prohlížeč zkopírováním nebo přetažením do adresáře Aplikace. Po instalaci vynutíte zavření Chromia a zatím jej neotevírejte, pracujte ze Safari.
killall Chromium-Gost
5. Nainstalujte rozšíření prohlížeče
5.1 Zásuvný modul CryptoPro EDS Browser
S stránky ke stažení stáhnout a nainstalovat na webu CryptoPro CryptoPro EDS Browser plug-in verze 2.0 pro uživatele - ke stažení.
5.2. Plugin pro veřejné služby
S stránky ke stažení stáhnout a nainstalovat na portál Státních služeb Plugin pro práci s portálem vládních služeb (verze pro macOS) - ke stažení.
5.3. Nastavení pluginu pro státní služby
Stáhněte si správný konfigurační soubor pro rozšíření State Services z webu CryptoPro - ke stažení.
Mělo by se zobrazit „Plugin načten“ a váš certifikát by měl být přítomen v seznamu níže.
Vyberte certifikát ze seznamu a klikněte na „Podepsat“. Budete požádáni o PIN certifikátu. V důsledku toho by se měl zobrazit
Podpis byl úspěšně vygenerován
Screenshot
6.2. Přejděte na svůj osobní účet na nalog.ru
Možná nebudete mít přístup k odkazům ze stránky nalog.ru, protože... kontroly neprojdou. Musíte projít přímými odkazy:
Při přihlašování vyberte „Přihlásit se pomocí elektronického podpisu“. V zobrazeném seznamu „Vyberte certifikát klíče pro ověření elektronického podpisu“ se zobrazí všechny certifikáty včetně kořenového a CA, musíte si vybrat ten svůj z USB tokenu a zadat PIN.
Screenshot
7. Co dělat, když přestane fungovat
Znovu připojíme usb token a pomocí příkazu v terminálu zkontrolujeme, zda je viditelný:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Po celou dobu vymažeme mezipaměť prohlížeče, pro kterou zadáme do adresního řádku Chromium-Gost:
chrome://settings/clearBrowserData
Znovu nainstalujte certifikát CEP pomocí příkazu v terminálu:
/opt/cprocsp/bin/csptestf -absorb -certs
Změna kódu PIN kontejneru
Vlastní PIN kód pro Rutoken ve výchozím nastavení 12345678a neexistuje způsob, jak to takhle nechat. Požadavky na Rutoken PIN kód: max. 16 znaků, může obsahovat latinská písmena a číslice.
1. Zjistěte název kontejneru KEP
Na USB tokenu a dalších úložištích může být uloženo několik certifikátů a musíte si vybrat ten správný. S vloženým usb tokenem získáme seznam všech kontejnerů v systému příkazem v terminálu:
Příkaz musí stáhnout alespoň 1 kontejner a vrátit se
[Kód chyby: 0x00000000]
Nádoba, kterou potřebujeme, vypadá
.Aktiv Rutoken liteXXXXXXXX
Pokud je zobrazeno několik takových kontejnerů, znamená to, že na tokenu je zapsáno několik certifikátů a vy víte, který potřebujete. Význam XXXXXXXX za lomítkem musíte zkopírovat a vložit do příkazu níže.
kde XXXXXXXX – název kontejneru získaný v kroku 1 (nezbytně v uvozovkách).
Objeví se dialog CryptoPro s dotazem na starý PIN kód pro přístup k certifikátu, poté další dialog pro zadání nového PIN kódu. Připraven.
Screenshot
Podepisování souborů na macOS
V systému macOS lze soubory přihlásit pomocí softwaru CryptoArm (cena licence 2500 = rub.), nebo jednoduchý příkaz přes terminál - zdarma.
1. Zjistěte hash certifikátu CEP
Na tokenu a v jiných úložištích může být více certifikátů. Musíme jasně identifikovat toho, se kterým budeme od této chvíle podepisovat dokumenty. Jednou hotovo.
Token musí být vložen. Seznam certifikátů v úložištích získáme příkazem z terminálu:
/opt/cprocsp/bin/certmgr -list
Příkaz musí vydat alespoň 1 certifikát ve formuláři:
Certifikát, který potřebujeme v parametru Container, musí mít hodnotu jako SCARDrutoken…. Pokud existuje několik certifikátů s takovými hodnotami, pak je na tokenu zaznamenáno několik certifikátů a vy víte, který z nich potřebujete. Hodnota parametru SHA1 Hash (40 znaků) je nutné zkopírovat a vložit do příkazu níže.
2. Podepsání souboru příkazem z terminálu
V terminálu přejděte do adresáře se souborem pro podepsání a provedení příkazu:
kde XXXX… – hash certifikátu získaný v kroku 1 a FILE – název souboru, který se má podepsat (se všemi příponami, ale bez cesty).
Příkaz by měl vrátit:
Podepsaná zpráva je vytvořena.
[Kód chyby: 0x00000000]
Vytvoří se soubor elektronického podpisu s příponou *.sgn - jedná se o oddělený podpis ve formátu CMS s kódováním DER.
3. Nainstalujte Apple Automator Script
Abyste nemuseli pokaždé pracovat s terminálem, můžete si jednou nainstalovat Automator Script, pomocí kterého můžete podepisovat dokumenty z kontextové nabídky Finderu. Chcete-li to provést, stáhněte si archiv - ke stažení.
Rozbalení archivu "Podepište pomocí CryptoPro.zip"
Běh Automator
Najděte a otevřete rozbalený soubor 'Podepište se pomocí CryptoPro.workflow'
V bloku Spusťte skript Shell změnit text XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na hodnotu parametru SHA1 Hash Certifikát CEP získaný výše.
Uložte skript: ⌘Command + S
Spusťte soubor 'Podepište se pomocí CryptoPro.workflow' a potvrďte instalaci.
Pojďme do System Předvolby -> Rozšíření -> Finder a zkontrolujte to Podepište se s CryptoPro rychlé jednání zaznamenáno.
Ve Finderu zavolejte kontextovou nabídku libovolného souboru a v sekci Rychlé akce и / nebo Služby vybrat předmět Podepište se s CryptoPro
V zobrazeném dialogovém okně CryptoPro zadejte uživatelský PIN kód z CEP
V aktuálním adresáři se objeví soubor s příponou *.sgn - oddělený podpis ve formátu CMS s kódováním DER.
Obrázky
Okno Apple Automator:
Systémové preference:
Kontextová nabídka Finderu:
Zkontrolujte podpis na dokumentu
Pokud obsah dokumentu neobsahuje tajemství a tajemství, pak je nejjednodušší použít webovou službu na portálu Státní služby - https://www.gosuslugi.ru/pgu/eds. Tímto způsobem můžete pořídit snímek obrazovky z renomovaného zdroje a mít jistotu, že je s podpisem vše v pořádku.