Ifølge и , i 2019 vil 4,6 millioner certifikater for kvalificerede elektroniske signaturer (CES) blive udstedt i Rusland, der opfylder kravene i 63-FZ. Det viser sig, at ud af 8 millioner registrerede individuelle iværksættere og LLC'er, bruger hver anden iværksætter en elektronisk signatur. Ud over EGAIS CEP'er og cloud-baserede CEP'er til rapportering udstedt af banker og regnskabstjenester, er universelle CEP'er på sikre tokens af særlig interesse. Sådanne certifikater giver dig mulighed for at logge ind på offentlige portaler og underskrive alle dokumenter, hvilket gør dem juridisk vigtige.
Takket være CEP-certifikatet på et USB-token kan du på afstand indgå en aftale med en modpart eller fjernmedarbejder og sende dokumenter til retten; registrer et online kasseapparat, afgør skattegæld og indsend en erklæring på din personlige konto på nalog.ru; finde ud af om gæld og kommende tilsyn hos Statstjenesten.
Manualen nedenfor vil hjælpe arbejde med CEP under macOS – uden at studere CryptoPro-fora og installere en virtuel maskine med Windows.
Indhold
Hvad du skal bruge for at arbejde med CEP under macOS:
Installation og konfiguration af CEP til macOS
- Installation af CryptoPro CSP
- Installation af Rutoken-drivere
- Installation af certifikater
3.1. Vi sletter alle gamle GOST-certifikater
3.2. Installation af rodcertifikater
3.3. Download certificeringsmyndighedscertifikater
3.4. Installation af et certifikat med Rutoken - Installer en speciel browser Chromium-GOST
- Installation af browserudvidelser
5.1 CryptoPro EDS Browser plug-in
5.2. Plugin til offentlige tjenester
5.3. Opsætning af et plugin til statslige tjenester
5.4. Aktivering af udvidelser
5.5. Opsætning af CryptoPro EDS Browser plug-in-udvidelsen - Tjek at alt virker
6.1. Gå til CryptoPro-testsiden
6.2. Gå til din personlige konto på nalog.ru
6.3. Gå til statens tjenester - Hvad skal man gøre, hvis det holder op med at virke
Ændring af containerens pinkode
- Find ud af navnet på KEP-beholderen
- Ændring af PIN-kode med en kommando fra terminalen
Signering af filer på macOS
- At finde ud af CEP-certifikatets hash
- Signering af en fil med en kommando fra terminalen
- Installation af Apple Automator Script
Tjek underskriften på dokumentet
Alle oplysninger nedenfor er hentet fra velrenommerede kilder (CryptoPro и , , , ), og det foreslås at downloade software fra pålidelige websteder. Forfatteren er en uafhængig konsulent og er ikke tilknyttet nogen af de nævnte virksomheder. Ved at følge disse instruktioner påtager du dig det fulde ansvar for alle handlinger og konsekvenser.
Hvad du skal bruge for at arbejde med CEP under macOS:
- CEP på et USB-token Rutoken Lite eller Rutoken EDS
- kryptobeholder i CryptoPro-format
- med integreret licens til CryptoPro CSP
eToken og JaCarta-medier i forbindelse med CryptoPro understøttes ikke under macOS. Rutoken Lite-mediet er det bedste valg, det koster 500..1000= rubler, det virker hurtigt og giver dig mulighed for at gemme op til 15 nøgler.
Krypto-udbydere VipNet, Signal-COM og LISSY understøttes ikke på macOS. Der er ingen måde at konvertere containere på. CryptoPro er det bedste valg, prisen på certifikatet skal være omkring 1300 = gnid. for individuelle iværksættere og 1600 = gnid. for YUL.
Typisk er en årlig licens til CryptoPro CSP allerede inkluderet i certifikatet og leveres gratis af mange CA'er. Hvis dette ikke er tilfældet, så skal du købe og aktivere en evigvarende licens til CryptoPro CSP strengt taget version 4, der koster 2700=. CryptoPro CSP version 5 til macOS virker ikke i øjeblikket.
Installation og konfiguration af CEP til macOS
Indlysende ting
- alle downloadede filer downloades til standardmappen: ~/Downloads/;
- Vi ændrer ikke noget i alle installatører, vi lader alt stå som standard;
- hvis macOS viser en advarsel om, at den software, der startes, er fra en uidentificeret udvikler, skal du bekræfte lanceringen i systemindstillingerne: Systemindstillinger —> Sikkerhed og privatliv —> Åbn alligevel;
- hvis macOS beder om en brugeradgangskode og tilladelse til at styre computeren, skal du indtaste adgangskoden og acceptere alt.
1. Installer CryptoPro CSP
på hjemmesiden CryptoPro og co download og installer versionen CryptoPro CSP 4.0 R4 for MacOS - .
2. Installer Rutoken-drivere
Hjemmesiden siger, at dette er valgfrit, men det er bedre at installere det. Co download og installer på Rutoken-webstedet Nøglering støtte modul - .
Tilslut derefter usb-tokenet, start terminalen og udfør kommandoen:
/opt/cprocsp/bin/csptest -card -enum -vSvaret burde være:
Aktiv Rutoken…
Kort gave…
[Fejlkode: 0x00000000]
3. Installer certifikater
3.1. Vi sletter alle gamle GOST-certifikater
Hvis du tidligere har forsøgt at starte CEP under macOS, skal du rydde alle tidligere installerede certifikater. Disse kommandoer i terminalen vil kun slette CryptoPro-certifikater og vil ikke påvirke almindelige certifikater fra nøglering på macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mrootsudo /opt/cprocsp/bin/certmgr -delete -all -store uroot/opt/cprocsp/bin/certmgr -delete -allHver kommandos svar bør omfatte:
Intet certifikat, der matcher kriterierne
eller
Sletningen er fuldført
3.2. Installation af rodcertifikater
Rodcertifikater er fælles for alle CEP'er udstedt af enhver certificeringsmyndighed. Download fra Ural føderale distrikt under ministeriet for telekommunikation og massekommunikation:
Installer med kommandoer i terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cerHver kommando skal returnere:
Installation:
...
[Fejlkode: 0x00000000]
3.3. Download certificeringsmyndighedscertifikater
Dernæst skal du installere certifikaterne fra den certificeringsmyndighed, hvor du udstedte CEP. Typisk er rodcertifikaterne for hver CA placeret på dens hjemmeside i downloadsektionen.
Alternativt kan certifikater for enhver CA downloades fra . For at gøre dette skal du i søgeformularen finde en CA ved navn, gå til siden med certifikater og downloade alt nuværende certifikater – altså dem med 'Gyldig' den anden dato er endnu ikke ankommet. Download fra linket i feltet 'Fingeraftryk'.
Skærmbilleder
Ved at bruge eksemplet med CA Corus-Consulting: du skal downloade 4 certifikater fra :
Vi installerer de downloadede CA-certifikater ved hjælp af kommandoer fra terminalen:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cerhvor efter ~/Downloads/ Navnene på de downloadede filer er angivet; de vil være forskellige for hver CA.
Hver kommando skal returnere:
Installation:
...
[Fejlkode: 0x00000000]
3.4. Installation af et certifikat med Rutoken
Kommando i terminal:
/opt/cprocsp/bin/csptestf -absorb -certsKommandoen skal returnere:
OK.
[Fejlkode: 0x00000000]
4. Installer en speciel browser Chromium-GOST
For at arbejde med offentlige portaler skal du have en speciel opbygning af Chromium-browseren - Chrom-GOST. Projektets kildekode er åben, link til er givet på . Af erfaring, andre browsere CryptoFox и Yandex browser De er ikke egnede til at arbejde med offentlige portaler under macOS. Det er værd at overveje, at i nogle builds af Chromium-GOST kan den personlige konto på nalog.ru fryse, eller rulningen kan stoppe helt med at fungere, så den gamle, gennemprøvede, tilbydes bygge 71.0.3578.98 - .
Download og pak arkivet ud, installer browseren ved at kopiere eller træk og slip det ind i mappen Applications. Efter installationen skal du tvinge Chromium til at lukke og ikke åbne det endnu, arbejd fra Safari.
killall Chromium-Gost5. Installer browserudvidelser
5.1 CryptoPro EDS Browser plug-in
med download og installer på CryptoPro-webstedet CryptoPro EDS Browser plug-in version 2.0 til brugere - .
5.2. Plugin til offentlige tjenester
med download og installer på statstjenesteportalen Plugin til at arbejde med regeringstjenesteportalen (version til macOS) - .
5.3. Opsætning af et plugin til statslige tjenester
Download den korrekte konfigurationsfil til State Services-udvidelsen fra CryptoPro-webstedet - .
Udfør kommandoer i terminal:
sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfgsudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts5.4. Aktivering af udvidelser
Start Chromium-Gost-browseren, og skriv i adresselinjen:
chrome://extensions/Vi aktiverer begge installerede udvidelser:
- CryptoPro-udvidelse til CAdES Browser Plug-in
- Udvidelse til plugin'et State Services
skærmbillede
5.5. Opsætning af CryptoPro EDS Browser plug-in-udvidelsen
I Chromium-Gost adresselinjen skriver vi:
/etc/opt/cprocsp/trusted_sites.htmlPå den side, der vises, skal du føje følgende websteder til listen over pålidelige websteder én efter én:
https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ruKlik på "Gem". En grøn prik skal vises:
Listen over betroede noder er blevet gemt.
skærmbillede
6. Tjek at alt virker
6.1. Gå til CryptoPro-testsiden
I Chromium-Gost adresselinjen skriver vi:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html"Plugin indlæst" skal vises, og dit certifikat skal være til stede på listen nedenfor.
Vælg et certifikat fra listen, og klik på "Underskriv". Du bliver bedt om certifikat-PIN. Som et resultat bør det vises
Signatur blev genereret
skærmbillede
6.2. Gå til din personlige konto på nalog.ru
Du kan muligvis ikke få adgang til links fra webstedet nalog.ru, fordi... kontroller vil ikke bestå. Du skal gå gennem direkte links:
- Private kontor SP:
- Private kontor Juridisk enhed:
skærmbillede
6.3. Gå til statens tjenester
Når du logger ind, skal du vælge "Log ind med en elektronisk signatur." På listen "Vælg elektronisk signaturbekræftelsesnøglecertifikat", der vises, vil alle certifikater, inklusive root og CA, blive vist; du skal vælge dit fra et USB-token og indtaste PIN-koden.
skærmbillede
7. Hvad skal man gøre, hvis det holder op med at virke
-
Vi tilslutter usb-tokenet igen og kontrollerer, at det er synligt ved hjælp af kommandoen i terminalen:
sudo /opt/cprocsp/bin/csptest -card -enum -v -
Vi rydder browserens cache for altid, som vi indtaster i Chromium-Gost-adresselinjen:
chrome://settings/clearBrowserData -
Geninstaller CEP-certifikatet ved hjælp af kommandoen i terminalen:
/opt/cprocsp/bin/csptestf -absorb -certs
Ændring af containerens pinkode
Brugerdefineret PIN-kode til Rutoken som standard 12345678, og der er ingen måde at lade det være sådan her. Krav til Rutoken PIN-kode: maks. 16 tegn, kan indeholde latinske bogstaver og tal.
1. Find ud af navnet på KEP-beholderen
Der kan være flere certifikater gemt på USB-tokenet og andre lager, og du skal vælge det rigtige. Med usb-tokenet indsat får vi en liste over alle containere i systemet med kommandoen i terminalen:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontextKommandoen skal trække mindst 1 container tilbage og returnere
[Fejlkode: 0x00000000]
Den container, vi skal bruge, ser ud
.Aktiv Rutoken liteXXXXXXXXX
Hvis der vises flere sådanne containere, betyder det, at der er skrevet flere certifikater på tokenet, og du ved hvilken du skal bruge. Betyder XXXXXXXX efter skråstreg skal du kopiere og indsætte i kommandoen nedenfor.
2. Skift PIN ved hjælp af en kommando fra terminalen
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"где XXXXXXXX – navnet på beholderen opnået i trin 1 (nødvendigvis i anførselstegn).
Der vises en CryptoPro-dialog, der beder om den gamle PIN-kode for at få adgang til certifikatet, og derefter en anden dialog for at indtaste den nye PIN-kode. Parat.
skærmbillede
Signering af filer på macOS
På macOS kan filer logges på software (licens koster 2500 = rub.), eller en simpel kommando via terminalen - gratis.
1. Find ud af CEP-certifikatets hash
Der kan være flere certifikater på et token og i andre butikker. Vi skal klart identificere den, som vi vil underskrive dokumenter med fra nu af. Udført én gang.
Tokenet skal indsættes. Vi får en liste over certifikater i arkiverne med kommandoen fra terminalen:
/opt/cprocsp/bin/certmgr -listKommandoen skal udsende mindst 1 certifikat af formularen:
Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program til håndtering af certifikater, CRL'er og butikker
= = = = = = = = = = = = = = = = = = = = = =
1---
Udsteder: [e-mail beskyttet],... CN=LLC KORUS Consulting CIS...
Emne: [e-mail beskyttet],... CN=Zakharov Sergey Anatolyevich...
Serie: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = = =
[Fejlkode: 0x00000000]
Certifikatet vi skal bruge i parameteren Container skal have en værdi som SCARDrutoken.... Hvis der er flere certifikater med sådanne værdier, så er der flere certifikater registreret på tokenet, og du ved hvilket du skal bruge. Parameterværdi SHA1 Hash (40 tegn) skal kopieres og indsættes i kommandoen nedenfor.
2. Signering af en fil med en kommando fra terminalen
I terminalen skal du gå til mappen med filen for at signere og udføre kommandoen:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILEгде XXXX... – certifikathash opnået i trin 1, og FILE – filnavn til underskrift (med alle udvidelser, men uden sti).
Kommandoen skal returnere:
Signeret besked oprettes.
[Fejlkode: 0x00000000]
En elektronisk signaturfil vil blive oprettet med filtypen *.sgn - dette er en løsrevet signatur i CMS-format med DER-kodning.
3. Installer Apple Automator Script
For at undgå at skulle arbejde med terminalen hver gang, kan du installere Automator Script én gang, hvormed du kan signere dokumenter fra Finder kontekstmenuen. For at gøre dette skal du downloade arkivet - .
- Udpakning af arkiv 'Sign med CryptoPro.zip'
- Lad os starte Automator
- Find og åbn den udpakkede fil 'Sign med CryptoPro.workflow'
- I blokken Kør Shell Script ændre teksten XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX til parameterværdien SHA1 Hash CEP-certifikat opnået ovenfor.
- Gem scriptet: ⌘Command + S
- Kør filen 'Sign med CryptoPro.workflow' og bekræft installationen.
- Lad os gå til System Præferencer -> Udvidelser -> Finder og tjek det Signer med CryptoPro hurtig handling noteret.
- I Finder skal du kalde kontekstmenuen for enhver fil og i sektionen Hurtige handlinger og / eller Tjenester vælg element Signer med CryptoPro
- Indtast brugerens PIN-kode fra CEP'en i CryptoPro-dialogen, der vises
- En fil med filtypenavnet *.sgn vil dukke op i den aktuelle mappe - en løsrevet signatur i CMS-format med DER-kodning.
Skærmbilleder
Apple Automator vindue:
Systempræferencer:
Finder kontekstmenu:
Tjek underskriften på dokumentet
Hvis indholdet af dokumentet ikke indeholder hemmeligheder og hemmeligheder, så er den nemmeste måde at bruge webtjenesten på statstjenesteportalen - . På denne måde kan du tage et skærmbillede fra en velrenommeret ressource og være sikker på, at alt er ok med signaturen.
Skærmbilleder
Kilde: www.habr.com