Qualifizierte elektronische Signatur für macOS

Nach RBC и TensorIm Jahr 2019 werden in Russland 4,6 Millionen Zertifikate qualifizierter elektronischer Signaturen (CES) ausgestellt, die den Anforderungen von 63-FZ entsprechen. Es stellt sich heraus, dass von 8 Millionen registrierten Einzelunternehmern und GmbHs jeder zweite Unternehmer eine elektronische Signatur verwendet. Neben EGAIS-CEPs und cloudbasierten CEPs für die Berichterstattung von Banken und Buchhaltungsdiensten sind vor allem universelle CEPs auf sicheren Token von Interesse. Mit solchen Zertifikaten können Sie sich bei Regierungsportalen anmelden und beliebige Dokumente unterzeichnen, wodurch sie rechtlich bedeutsam werden.

Dank des CEP-Zertifikats auf einem USB-Token können Sie aus der Ferne einen Vertrag mit einer Gegenpartei oder einem Remote-Mitarbeiter abschließen und Dokumente an das Gericht senden; Registrieren Sie eine Online-Registrierkasse, begleichen Sie Steuerschulden und geben Sie eine Erklärung in Ihrem persönlichen Konto auf nalog.ru ab. Informieren Sie sich bei State Services über Schulden und bevorstehende Inspektionen.

Das unten stehende Handbuch hilft dabei Arbeiten Sie mit CEP unter macOS – ohne die CryptoPro-Foren zu studieren und eine virtuelle Maschine mit Windows zu installieren.

Inhalt

Was Sie benötigen, um mit CEP unter macOS zu arbeiten:

CEP für macOS installieren und konfigurieren

1. Installieren von CryptoPro CSP
2. Rutoken-Treiber installieren
3. Zertifikate installieren
   3.1. Wir löschen alle alten GOST-Zertifikate
   3.2. Root-Zertifikate installieren
   3.3. Laden Sie Zertifikate der Zertifizierungsstelle herunter
   3.4. Installieren eines Zertifikats mit Rutoken
4. Installieren Sie einen speziellen Browser Chromium-GOST
5. Browsererweiterungen installieren
   5.1 CryptoPro EDS-Browser-Plugin
   5.2. Plugin für öffentliche Dienste
   5.3. Einrichten eines Plugins für State Services
   5.4. Erweiterungen aktivieren
   5.5. Einrichten der CryptoPro EDS-Browser-Plug-in-Erweiterung
6. Überprüfen, ob alles funktioniert
   6.1. Gehen Sie zur CryptoPro-Testseite
   6.2. Gehen Sie zu Ihrem persönlichen Konto auf nalog.ru
   6.3. Gehen Sie zu Staatsdienste
7. Was tun, wenn es nicht mehr funktioniert?

Ändern des Container-PIN-Codes

1. Den Namen des KEP-Containers herausfinden
2. PIN mit einem Befehl vom Terminal ändern

Signieren von Dateien unter macOS

1. Den Hash des CEP-Zertifikats herausfinden
2. Signieren einer Datei mit einem Befehl vom Terminal
3. Installieren des Apple Automator-Skripts

Überprüfen Sie die Unterschrift auf dem Dokument

Alle folgenden Informationen stammen aus seriösen Quellen (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Föderationskreis Ural des Ministeriums für Telekommunikation und Massenkommunikation), und es wird empfohlen, Software von vertrauenswürdigen Websites herunterzuladen. Der Autor ist ein unabhängiger Berater und steht in keiner Verbindung zu den genannten Unternehmen. Wenn Sie diese Anweisungen befolgen, übernehmen Sie die volle Verantwortung für alle Handlungen und Konsequenzen.

Was Sie benötigen, um mit CEP unter macOS zu arbeiten:

1. CEP auf einem USB-Token Rutoken Lite oder Rutoken EDS
2. Krypto-Container im CryptoPro-Format
3. mit integrierter Lizenz für CryptoPro CSP

eToken- und JaCarta-Medien in Verbindung mit CryptoPro werden unter macOS nicht unterstützt. Das Rutoken Lite-Medium ist die beste Wahl, es kostet 500..1000 = Rubel, es funktioniert schnell und ermöglicht die Speicherung von bis zu 15 Schlüsseln.

Die Krypto-Anbieter VipNet, Signal-COM und LISSY werden auf macOS nicht unterstützt. Es gibt keine Möglichkeit, Container zu konvertieren. CryptoPro ist die beste Wahl, die Kosten für das Zertifikat sollten etwa 1300 = Rubel betragen. für Einzelunternehmer und 1600 = reiben. für YUL.

Typischerweise ist eine Jahreslizenz für CryptoPro CSP bereits im Zertifikat enthalten und wird von vielen Zertifizierungsstellen kostenlos zur Verfügung gestellt. Wenn dies nicht der Fall ist, müssen Sie eine unbefristete Lizenz für CryptoPro CSP, ausschließlich Version 4, zum Preis von 2700= erwerben und aktivieren. CryptoPro CSP Version 5 für macOS funktioniert derzeit nicht.

CEP für macOS installieren und konfigurieren

Offensichtliche Dinge

• Alle heruntergeladenen Dateien werden in das Standardverzeichnis heruntergeladen: ~/Downloads/;
• Wir ändern nichts in allen Installationsprogrammen, wir belassen alles auf den Standardeinstellungen;
• Wenn macOS eine Warnung anzeigt, dass die gestartete Software von einem unbekannten Entwickler stammt, müssen Sie den Start in den Systemeinstellungen bestätigen: Systemeinstellungen -> Sicherheit und Datenschutz -> Trotzdem öffnen;
• Wenn macOS nach einem Benutzerpasswort und der Erlaubnis zur Steuerung des Computers fragt, müssen Sie das Passwort eingeben und mit allem einverstanden sein.

1. Installieren Sie CryptoPro CSP

Registrieren Sie sich auf der Website CryptoPro und Co Seiten herunterladen Laden Sie die Version herunter und installieren Sie sie CryptoPro-CSP 4.0 R4 für macOS - скачать.

2. Installieren Sie Rutoken-Treiber

Auf der Website heißt es, dass dies optional ist, aber es ist besser, es zu installieren. Co Seiten herunterladen Laden Sie es auf der Rutoken-Website herunter und installieren Sie es Schlüsselanhänger-Unterstützungsmodul - скачать.

Schließen Sie als Nächstes das USB-Token an, starten Sie das Terminal und führen Sie den folgenden Befehl aus:

/opt/cprocsp/bin/csptest -card -enum -v

Die Antwort sollte lauten:

Aktiv Rutoken…
Karte vorhanden…
[Fehlercode: 0x00000000]

3. Zertifikate installieren

3.1. Wir löschen alle alten GOST-Zertifikate

Wenn Sie zuvor versucht haben, CEP unter macOS zu starten, müssen Sie alle zuvor installierten Zertifikate löschen. Diese Befehle im Terminal löschen nur CryptoPro-Zertifikate und haben keine Auswirkungen auf reguläre Zertifikate aus dem Schlüsselbund unter macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Die Antwort jedes Befehls sollte Folgendes umfassen:

Kein Zertifikat, das den Kriterien entspricht

oder

Löschvorgang abgeschlossen

3.2. Root-Zertifikate installieren

Stammzertifikate sind allen CEPs gemeinsam, die von einer Zertifizierungsstelle ausgestellt werden. Herunterladen von Seiten herunterladen Föderationskreis Ural des Ministeriums für Telekommunikation und Massenkommunikation:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Mit Befehlen im Terminal installieren:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Jeder Befehl sollte Folgendes zurückgeben:

Installieren:
...
[Fehlercode: 0x00000000]

3.3. Laden Sie Zertifikate der Zertifizierungsstelle herunter

Als nächstes müssen Sie die Zertifikate der Zertifizierungsstelle installieren, bei der Sie das CEP ausgestellt haben. Normalerweise befinden sich die Stammzertifikate jeder Zertifizierungsstelle auf ihrer Website im Download-Bereich.

Alternativ können Zertifikate einer beliebigen CA heruntergeladen werden Website des Föderationskreises Ural des Ministeriums für Telekommunikation und Massenkommunikation. Dazu müssen Sie im Suchformular eine Zertifizierungsstelle nach Namen suchen, auf die Seite mit Zertifikaten gehen und alles herunterladen Schauspiel Zertifikate – also solche mit 'Gültig' der zweite Termin steht noch nicht fest. Laden Sie es über den Link im Feld herunter 'Fingerabdruck'.

Screenshots

Am Beispiel von CA Corus-Consulting: Sie müssen 4 Zertifikate herunterladen von Seiten herunterladen:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Wir installieren die heruntergeladenen CA-Zertifikate mit Befehlen vom Terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

wo danach ~/Downloads/ Die Namen der heruntergeladenen Dateien werden aufgelistet; sie sind für jede Zertifizierungsstelle unterschiedlich.

Jeder Befehl sollte Folgendes zurückgeben:

Installieren:
...
[Fehlercode: 0x00000000]

3.4. Installieren eines Zertifikats mit Rutoken

Befehl im Terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Der Befehl sollte Folgendes zurückgeben:

OK.
[Fehlercode: 0x00000000]

4. Installieren Sie einen speziellen Browser Chromium-GOST

Um mit Regierungsportalen arbeiten zu können, benötigen Sie eine spezielle Version des Chromium-Browsers – Chrom-GOST. Der Quellcode des Projekts ist offen, Link zu Repository auf GitHub ist gegeben am CryptoPro-Website. Aus Erfahrung auch andere Browser CryptoFox и Yandex-Browser Für die Arbeit mit Regierungsportalen unter macOS sind sie nicht geeignet. Es ist zu bedenken, dass in einigen Builds von Chromium-GOST das persönliche Konto auf nalog.ru einfrieren kann oder das Scrollen überhaupt nicht mehr funktioniert, daher wird das altbewährte angeboten bauen 71.0.3578.98 - скачать.


Laden Sie das Archiv herunter, entpacken Sie es und installieren Sie den Browser, indem Sie es kopieren oder per Drag & Drop in das Anwendungsverzeichnis ziehen. Erzwingen Sie nach der Installation das Schließen von Chromium und öffnen Sie es noch nicht. Arbeiten Sie in Safari.

killall Chromium-Gost

5. Installieren Sie Browsererweiterungen

5.1 CryptoPro EDS-Browser-Plugin

Mit Seiten herunterladen Laden Sie es auf der CryptoPro-Website herunter und installieren Sie es CryptoPro EDS-Browser-Plug-in Version 2.0 für Benutzer - скачать.

5.2. Plugin für öffentliche Dienste

Mit Seiten herunterladen Laden Sie es herunter und installieren Sie es auf dem State Services-Portal Plugin für die Arbeit mit dem Behördenportal (Version für macOS) - скачать.

5.3. Einrichten eines Plugins für State Services

Laden Sie die richtige Konfigurationsdatei für die State Services-Erweiterung von der CryptoPro-Website herunter – скачать.

Befehle im Terminal ausführen:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Erweiterungen aktivieren

Starten Sie den Chromium-Gost-Browser und geben Sie in die Adressleiste Folgendes ein:

chrome://extensions/

Wir aktivieren beide installierten Erweiterungen:

• CryptoPro-Erweiterung für CAdES-Browser-Plug-in
• Erweiterung für das Public Services-Plugin

Screenshot

5.5. Einrichten der CryptoPro EDS-Browser-Plug-in-Erweiterung

In die Adressleiste von Chromium-Gost geben wir Folgendes ein:

/etc/opt/cprocsp/trusted_sites.html

Fügen Sie auf der angezeigten Seite nacheinander die folgenden Sites zur Liste der vertrauenswürdigen Sites hinzu:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klicken Sie auf „Speichern“. Es sollte ein grüner Punkt erscheinen:

Die Liste der vertrauenswürdigen Knoten wurde erfolgreich gespeichert.

Screenshot

6. Überprüfen Sie, ob alles funktioniert

6.1. Gehen Sie zur CryptoPro-Testseite

In die Adressleiste von Chromium-Gost geben wir Folgendes ein:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

„Plugin geladen“ sollte angezeigt werden und Ihr Zertifikat sollte in der Liste unten enthalten sein.
Wählen Sie ein Zertifikat aus der Liste aus und klicken Sie auf „Signieren“. Sie werden nach der Zertifikats-PIN gefragt. Als Ergebnis sollte es angezeigt werden

Signatur erfolgreich generiert

Screenshot

6.2. Gehen Sie zu Ihrem persönlichen Konto auf nalog.ru

Möglicherweise können Sie nicht auf die Links der Website nalog.ru zugreifen, weil... Schecks werden nicht angenommen. Sie müssen direkte Links durchgehen:

• Kabinett FE: https://lkipgost.nalog.ru/lk
• Kabinett Yul: https://lkul.nalog.ru

Screenshot

6.3. Gehen Sie zu Staatsdienste

Wählen Sie beim Anmelden „Anmelden mit elektronischer Signatur“. In der angezeigten Liste „Schlüsselzertifikat zur Überprüfung der elektronischen Signatur auswählen“ werden alle Zertifikate, einschließlich Root und CA, angezeigt. Sie müssen Ihr Zertifikat von einem USB-Token auswählen und die PIN eingeben.

Screenshot

7. Was tun, wenn es nicht mehr funktioniert?

1. Wir schließen den USB-Token wieder an und überprüfen, ob er sichtbar ist, indem wir den Befehl im Terminal verwenden:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Wir leeren den Browser-Cache für immer, wofür wir in der Chromium-Gost-Adressleiste Folgendes eingeben:

   
chrome://settings/clearBrowserData


3. Installieren Sie das CEP-Zertifikat mit dem folgenden Befehl im Terminal neu:

   /opt/cprocsp/bin/csptestf -absorb -certs

Ändern des Container-PIN-Codes

Standardmäßig benutzerdefinierter PIN-Code für Rutoken 12345678, und es gibt keine Möglichkeit, es so zu belassen. Anforderungen an den Rutoken-PIN-Code: maximal 16 Zeichen, kann lateinische Buchstaben und Zahlen enthalten.

1. Ermitteln Sie den Namen des KEP-Containers

Möglicherweise sind auf dem USB-Token und anderen Speichern mehrere Zertifikate gespeichert, und Sie müssen das richtige auswählen. Mit eingestecktem USB-Token erhalten wir mit dem Befehl im Terminal eine Liste aller Container im System:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Der Befehl muss mindestens 1 Container zurückziehen und zurückgeben

[Fehlercode: 0x00000000]

Der Container, den wir brauchen, sieht aus wie

.Aktiv Rutoken liteXXXXXXXX

Wenn mehrere solcher Container angezeigt werden, bedeutet das, dass auf dem Token mehrere Zertifikate geschrieben sind und Sie wissen, welches Sie benötigen. Bedeutung XXXXXXXX Nach dem Schrägstrich müssen Sie ihn kopieren und in den folgenden Befehl einfügen.

2. Ändern Sie die PIN mit einem Befehl vom Terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

wo XXXXXXXX – der Name des in Schritt 1 ermittelten Containers (unbedingt in Anführungszeichen).

Es erscheint ein CryptoPro-Dialogfeld, in dem Sie nach dem alten PIN-Code gefragt werden, um auf das Zertifikat zuzugreifen, und dann ein weiteres Dialogfeld zur Eingabe des neuen PIN-Codes. Bereit.

Screenshot

Signieren von Dateien unter macOS

Unter macOS können Dateien in Software signiert werden CryptoArm (Lizenzkosten 2500 = Rubel) oder ein einfacher Befehl über das Terminal - kostenlos.

1. Ermitteln Sie den Hash des CEP-Zertifikats

Es können mehrere Zertifikate auf einem Token und in anderen Stores vorhanden sein. Wir müssen klar identifizieren, mit wem wir von nun an Dokumente unterzeichnen werden. Einmal gemacht.
Der Token muss eingefügt werden. Eine Liste der Zertifikate in den Repositories erhalten wir mit dem Befehl vom Terminal:

/opt/cprocsp/bin/certmgr -list

Der Befehl muss mindestens 1 Zertifikat der Form ausgeben:

Certmgr 1.1 © „Crypto-Pro“, 2007-2018.
Programm zur Verwaltung von Zertifikaten, CRLs und Stores
= = = = = = = = = = = = = = = = = = = = = =
1---
Aussteller: [E-Mail geschützt] ,... CN=LLC KORUS Consulting CIS...
Thema: [E-Mail geschützt] ,... CN=Zakharov Sergey Anatolyevich...
Seriennummer: 0x0000000000000000000000000000000000
SHA1-Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = = =
[Fehlercode: 0x00000000]

Das Zertifikat, das wir im Container-Parameter benötigen, muss einen Wert wie haben SCARDrutoken…. Wenn es mehrere Zertifikate mit solchen Werten gibt, dann sind mehrere Zertifikate auf dem Token gespeichert und Sie wissen, welches Sie benötigen. Parameterwert SHA1-Hash (40 Zeichen) müssen kopiert und in den folgenden Befehl eingefügt werden.

2. Signieren einer Datei mit einem Befehl vom Terminal

Gehen Sie im Terminal in das Verzeichnis mit der zu signierenden Datei und führen Sie den Befehl aus:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

wo XXXX… – Zertifikat-Hash, der in Schritt 1 erhalten wurde, und FILE – Dateiname zum Signieren (mit allen Erweiterungen, aber ohne Pfad).

Der Befehl sollte Folgendes zurückgeben:

Die signierte Nachricht wird erstellt.
[Fehlercode: 0x00000000]

Es wird eine elektronische Signaturdatei mit der Endung *.sgn erstellt – dabei handelt es sich um eine freistehende Signatur im CMS-Format mit DER-Kodierung.

3. Installieren Sie das Apple Automator-Skript

Um nicht jedes Mal mit dem Terminal arbeiten zu müssen, können Sie einmalig Automator Script installieren, mit dem Sie Dokumente aus dem Finder-Kontextmenü signieren können. Laden Sie dazu das Archiv herunter - скачать.

1. Entpacken des Archivs „Mit CryptoPro.zip signieren“
2. Rennen Automator
3. Suchen und öffnen Sie die entpackte Datei „Signieren mit CryptoPro.workflow“
4. Im Block Shell-Skript ausführen den Text ändern XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX zum Parameterwert SHA1-Hash CEP-Zertifikat oben erhalten.
5. Speichern Sie das Skript: ⌘Befehl + S
6. Führen Sie die Datei aus „Signieren mit CryptoPro.workflow“ und bestätigen Sie die Installation.
7. Gehen wir zum System Einstellungen -> Erweiterungen -> Finder und überprüfe das Unterschreiben Sie mit CryptoPro schnelles Handeln notiert.
8. Rufen Sie im Finder das Kontextmenü einer beliebigen Datei und im Abschnitt auf Schnellzugriff und / oder Leistungen Menüpunkt wählen Unterschreiben Sie mit CryptoPro
9. Geben Sie im angezeigten CryptoPro-Dialogfeld den Benutzer-PIN-Code vom CEP ein
10. Im aktuellen Verzeichnis erscheint eine Datei mit der Erweiterung *.sgn – eine abgelöste Signatur im CMS-Format mit DER-Kodierung.

Screenshots

Apple Automator-Fenster:

Systemeinstellungen:

Finder-Kontextmenü:

Überprüfen Sie die Unterschrift auf dem Dokument

Wenn der Inhalt des Dokuments keine Geheimnisse und Geheimnisse enthält, ist es am einfachsten, den Webdienst auf dem State Services-Portal zu nutzen – https://www.gosuslugi.ru/pgu/eds. Auf diese Weise können Sie einen Screenshot von einer seriösen Ressource erstellen und sicherstellen, dass mit der Signatur alles in Ordnung ist.

Screenshots

Source: habr.com