Nach RBC и TensorIm Jahr 2019 werden in Russland 4,6 Millionen Zertifikate qualifizierter elektronischer Signaturen (CES) ausgestellt, die den Anforderungen von 63-FZ entsprechen. Es stellt sich heraus, dass von 8 Millionen registrierten Einzelunternehmern und GmbHs jeder zweite Unternehmer eine elektronische Signatur verwendet. Neben EGAIS-CEPs und cloudbasierten CEPs für die Berichterstattung von Banken und Buchhaltungsdiensten sind vor allem universelle CEPs auf sicheren Token von Interesse. Mit solchen Zertifikaten können Sie sich bei Regierungsportalen anmelden und beliebige Dokumente unterzeichnen, wodurch sie rechtlich bedeutsam werden.
Dank des CEP-Zertifikats auf einem USB-Token können Sie aus der Ferne einen Vertrag mit einer Gegenpartei oder einem Remote-Mitarbeiter abschließen und Dokumente an das Gericht senden; Registrieren Sie eine Online-Registrierkasse, begleichen Sie Steuerschulden und geben Sie eine Erklärung in Ihrem persönlichen Konto auf nalog.ru ab. Informieren Sie sich bei State Services über Schulden und bevorstehende Inspektionen.
Das unten stehende Handbuch hilft dabei Arbeiten Sie mit CEP unter macOS – ohne die CryptoPro-Foren zu studieren und eine virtuelle Maschine mit Windows zu installieren.
Inhalt
Was Sie benötigen, um mit CEP unter macOS zu arbeiten:
CEP für macOS installieren und konfigurieren
Installieren von CryptoPro CSP
Rutoken-Treiber installieren
Zertifikate installieren
3.1. Wir löschen alle alten GOST-Zertifikate
3.2. Root-Zertifikate installieren
3.3. Laden Sie Zertifikate der Zertifizierungsstelle herunter
3.4. Installieren eines Zertifikats mit Rutoken
Installieren Sie einen speziellen Browser Chromium-GOST
Browsererweiterungen installieren
5.1 CryptoPro EDS-Browser-Plugin
5.2. Plugin für öffentliche Dienste
5.3. Einrichten eines Plugins für State Services
5.4. Erweiterungen aktivieren
5.5. Einrichten der CryptoPro EDS-Browser-Plug-in-Erweiterung
Überprüfen, ob alles funktioniert
6.1. Gehen Sie zur CryptoPro-Testseite
6.2. Gehen Sie zu Ihrem persönlichen Konto auf nalog.ru
6.3. Gehen Sie zu Staatsdienste
Was tun, wenn es nicht mehr funktioniert?
Ändern des Container-PIN-Codes
Den Namen des KEP-Containers herausfinden
PIN mit einem Befehl vom Terminal ändern
Signieren von Dateien unter macOS
Den Hash des CEP-Zertifikats herausfinden
Signieren einer Datei mit einem Befehl vom Terminal
Installieren des Apple Automator-Skripts
Überprüfen Sie die Unterschrift auf dem Dokument
Alle folgenden Informationen stammen aus seriösen Quellen (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Föderationskreis Ural des Ministeriums für Telekommunikation und Massenkommunikation), und es wird empfohlen, Software von vertrauenswürdigen Websites herunterzuladen. Der Autor ist ein unabhängiger Berater und steht in keiner Verbindung zu den genannten Unternehmen. Wenn Sie diese Anweisungen befolgen, übernehmen Sie die volle Verantwortung für alle Handlungen und Konsequenzen.
Was Sie benötigen, um mit CEP unter macOS zu arbeiten:
CEP auf einem USB-Token Rutoken Lite oder Rutoken EDS
Krypto-Container im CryptoPro-Format
mit integrierter Lizenz für CryptoPro CSP
eToken- und JaCarta-Medien in Verbindung mit CryptoPro werden unter macOS nicht unterstützt. Das Rutoken Lite-Medium ist die beste Wahl, es kostet 500..1000 = Rubel, es funktioniert schnell und ermöglicht die Speicherung von bis zu 15 Schlüsseln.
Die Krypto-Anbieter VipNet, Signal-COM und LISSY werden auf macOS nicht unterstützt. Es gibt keine Möglichkeit, Container zu konvertieren. CryptoPro ist die beste Wahl, die Kosten für das Zertifikat sollten etwa 1300 = Rubel betragen. für Einzelunternehmer und 1600 = reiben. für YUL.
Typischerweise ist eine Jahreslizenz für CryptoPro CSP bereits im Zertifikat enthalten und wird von vielen Zertifizierungsstellen kostenlos zur Verfügung gestellt. Wenn dies nicht der Fall ist, müssen Sie eine unbefristete Lizenz für CryptoPro CSP, ausschließlich Version 4, zum Preis von 2700= erwerben und aktivieren. CryptoPro CSP Version 5 für macOS funktioniert derzeit nicht.
CEP für macOS installieren und konfigurieren
Offensichtliche Dinge
Alle heruntergeladenen Dateien werden in das Standardverzeichnis heruntergeladen: ~/Downloads/;
Wir ändern nichts in allen Installationsprogrammen, wir belassen alles auf den Standardeinstellungen;
Wenn macOS eine Warnung anzeigt, dass die gestartete Software von einem unbekannten Entwickler stammt, müssen Sie den Start in den Systemeinstellungen bestätigen: Systemeinstellungen -> Sicherheit und Datenschutz -> Trotzdem öffnen;
Wenn macOS nach einem Benutzerpasswort und der Erlaubnis zur Steuerung des Computers fragt, müssen Sie das Passwort eingeben und mit allem einverstanden sein.
Auf der Website heißt es, dass dies optional ist, aber es ist besser, es zu installieren. Co Seiten herunterladen Laden Sie es auf der Rutoken-Website herunter und installieren Sie es Schlüsselanhänger-Unterstützungsmodul - скачать.
Schließen Sie als Nächstes das USB-Token an, starten Sie das Terminal und führen Sie den folgenden Befehl aus:
/opt/cprocsp/bin/csptest -card -enum -v
Die Antwort sollte lauten:
Aktiv Rutoken…
Karte vorhanden…
[Fehlercode: 0x00000000]
3. Zertifikate installieren
3.1. Wir löschen alle alten GOST-Zertifikate
Wenn Sie zuvor versucht haben, CEP unter macOS zu starten, müssen Sie alle zuvor installierten Zertifikate löschen. Diese Befehle im Terminal löschen nur CryptoPro-Zertifikate und haben keine Auswirkungen auf reguläre Zertifikate aus dem Schlüsselbund unter macOS.
Die Antwort jedes Befehls sollte Folgendes umfassen:
Kein Zertifikat, das den Kriterien entspricht
oder
Löschvorgang abgeschlossen
3.2. Root-Zertifikate installieren
Stammzertifikate sind allen CEPs gemeinsam, die von einer Zertifizierungsstelle ausgestellt werden. Herunterladen von Seiten herunterladen Föderationskreis Ural des Ministeriums für Telekommunikation und Massenkommunikation:
3.3. Laden Sie Zertifikate der Zertifizierungsstelle herunter
Als nächstes müssen Sie die Zertifikate der Zertifizierungsstelle installieren, bei der Sie das CEP ausgestellt haben. Normalerweise befinden sich die Stammzertifikate jeder Zertifizierungsstelle auf ihrer Website im Download-Bereich.
Alternativ können Zertifikate einer beliebigen CA heruntergeladen werden Website des Föderationskreises Ural des Ministeriums für Telekommunikation und Massenkommunikation. Dazu müssen Sie im Suchformular eine Zertifizierungsstelle nach Namen suchen, auf die Seite mit Zertifikaten gehen und alles herunterladen Schauspiel Zertifikate – also solche mit 'Gültig' der zweite Termin steht noch nicht fest. Laden Sie es über den Link im Feld herunter 'Fingerabdruck'.
Screenshots
Am Beispiel von CA Corus-Consulting: Sie müssen 4 Zertifikate herunterladen von Seiten herunterladen:
wo danach ~/Downloads/ Die Namen der heruntergeladenen Dateien werden aufgelistet; sie sind für jede Zertifizierungsstelle unterschiedlich.
Jeder Befehl sollte Folgendes zurückgeben:
Installieren:
...
[Fehlercode: 0x00000000]
3.4. Installieren eines Zertifikats mit Rutoken
Befehl im Terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Der Befehl sollte Folgendes zurückgeben:
OK.
[Fehlercode: 0x00000000]
4. Installieren Sie einen speziellen Browser Chromium-GOST
Um mit Regierungsportalen arbeiten zu können, benötigen Sie eine spezielle Version des Chromium-Browsers – Chrom-GOST. Der Quellcode des Projekts ist offen, Link zu Repository auf GitHub ist gegeben am CryptoPro-Website. Aus Erfahrung auch andere Browser CryptoFox и Yandex-Browser Für die Arbeit mit Regierungsportalen unter macOS sind sie nicht geeignet. Es ist zu bedenken, dass in einigen Builds von Chromium-GOST das persönliche Konto auf nalog.ru einfrieren kann oder das Scrollen überhaupt nicht mehr funktioniert, daher wird das altbewährte angeboten bauen 71.0.3578.98 - скачать.
Laden Sie das Archiv herunter, entpacken Sie es und installieren Sie den Browser, indem Sie es kopieren oder per Drag & Drop in das Anwendungsverzeichnis ziehen. Erzwingen Sie nach der Installation das Schließen von Chromium und öffnen Sie es noch nicht. Arbeiten Sie in Safari.
killall Chromium-Gost
5. Installieren Sie Browsererweiterungen
5.1 CryptoPro EDS-Browser-Plugin
Mit Seiten herunterladen Laden Sie es auf der CryptoPro-Website herunter und installieren Sie es CryptoPro EDS-Browser-Plug-in Version 2.0 für Benutzer - скачать.
5.2. Plugin für öffentliche Dienste
Mit Seiten herunterladen Laden Sie es herunter und installieren Sie es auf dem State Services-Portal Plugin für die Arbeit mit dem Behördenportal (Version für macOS) - скачать.
5.3. Einrichten eines Plugins für State Services
Laden Sie die richtige Konfigurationsdatei für die State Services-Erweiterung von der CryptoPro-Website herunter – скачать.
„Plugin geladen“ sollte angezeigt werden und Ihr Zertifikat sollte in der Liste unten enthalten sein.
Wählen Sie ein Zertifikat aus der Liste aus und klicken Sie auf „Signieren“. Sie werden nach der Zertifikats-PIN gefragt. Als Ergebnis sollte es angezeigt werden
Signatur erfolgreich generiert
Screenshot
6.2. Gehen Sie zu Ihrem persönlichen Konto auf nalog.ru
Möglicherweise können Sie nicht auf die Links der Website nalog.ru zugreifen, weil... Schecks werden nicht angenommen. Sie müssen direkte Links durchgehen:
Kabinett FE: https://lkipgost.nalog.ru/lk
Kabinett Yul: https://lkul.nalog.ru
Screenshot
6.3. Gehen Sie zu Staatsdienste
Wählen Sie beim Anmelden „Anmelden mit elektronischer Signatur“. In der angezeigten Liste „Schlüsselzertifikat zur Überprüfung der elektronischen Signatur auswählen“ werden alle Zertifikate, einschließlich Root und CA, angezeigt. Sie müssen Ihr Zertifikat von einem USB-Token auswählen und die PIN eingeben.
Screenshot
7. Was tun, wenn es nicht mehr funktioniert?
Wir schließen den USB-Token wieder an und überprüfen, ob er sichtbar ist, indem wir den Befehl im Terminal verwenden:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Wir leeren den Browser-Cache für immer, wofür wir in der Chromium-Gost-Adressleiste Folgendes eingeben:
chrome://settings/clearBrowserData
Installieren Sie das CEP-Zertifikat mit dem folgenden Befehl im Terminal neu:
/opt/cprocsp/bin/csptestf -absorb -certs
Ändern des Container-PIN-Codes
Standardmäßig benutzerdefinierter PIN-Code für Rutoken 12345678, und es gibt keine Möglichkeit, es so zu belassen. Anforderungen an den Rutoken-PIN-Code: maximal 16 Zeichen, kann lateinische Buchstaben und Zahlen enthalten.
1. Ermitteln Sie den Namen des KEP-Containers
Möglicherweise sind auf dem USB-Token und anderen Speichern mehrere Zertifikate gespeichert, und Sie müssen das richtige auswählen. Mit eingestecktem USB-Token erhalten wir mit dem Befehl im Terminal eine Liste aller Container im System:
Der Befehl muss mindestens 1 Container zurückziehen und zurückgeben
[Fehlercode: 0x00000000]
Der Container, den wir brauchen, sieht aus wie
.Aktiv Rutoken liteXXXXXXXX
Wenn mehrere solcher Container angezeigt werden, bedeutet das, dass auf dem Token mehrere Zertifikate geschrieben sind und Sie wissen, welches Sie benötigen. Bedeutung XXXXXXXX Nach dem Schrägstrich müssen Sie ihn kopieren und in den folgenden Befehl einfügen.
2. Ändern Sie die PIN mit einem Befehl vom Terminal
wo XXXXXXXX – der Name des in Schritt 1 ermittelten Containers (unbedingt in Anführungszeichen).
Es erscheint ein CryptoPro-Dialogfeld, in dem Sie nach dem alten PIN-Code gefragt werden, um auf das Zertifikat zuzugreifen, und dann ein weiteres Dialogfeld zur Eingabe des neuen PIN-Codes. Bereit.
Screenshot
Signieren von Dateien unter macOS
Unter macOS können Dateien in Software signiert werden CryptoArm (Lizenzkosten 2500 = Rubel) oder ein einfacher Befehl über das Terminal - kostenlos.
1. Ermitteln Sie den Hash des CEP-Zertifikats
Es können mehrere Zertifikate auf einem Token und in anderen Stores vorhanden sein. Wir müssen klar identifizieren, mit wem wir von nun an Dokumente unterzeichnen werden. Einmal gemacht.
Der Token muss eingefügt werden. Eine Liste der Zertifikate in den Repositories erhalten wir mit dem Befehl vom Terminal:
/opt/cprocsp/bin/certmgr -list
Der Befehl muss mindestens 1 Zertifikat der Form ausgeben:
Das Zertifikat, das wir im Container-Parameter benötigen, muss einen Wert wie haben SCARDrutoken…. Wenn es mehrere Zertifikate mit solchen Werten gibt, dann sind mehrere Zertifikate auf dem Token gespeichert und Sie wissen, welches Sie benötigen. Parameterwert SHA1-Hash (40 Zeichen) müssen kopiert und in den folgenden Befehl eingefügt werden.
2. Signieren einer Datei mit einem Befehl vom Terminal
Gehen Sie im Terminal in das Verzeichnis mit der zu signierenden Datei und führen Sie den Befehl aus:
wo XXXX… – Zertifikat-Hash, der in Schritt 1 erhalten wurde, und FILE – Dateiname zum Signieren (mit allen Erweiterungen, aber ohne Pfad).
Der Befehl sollte Folgendes zurückgeben:
Die signierte Nachricht wird erstellt.
[Fehlercode: 0x00000000]
Es wird eine elektronische Signaturdatei mit der Endung *.sgn erstellt – dabei handelt es sich um eine freistehende Signatur im CMS-Format mit DER-Kodierung.
3. Installieren Sie das Apple Automator-Skript
Um nicht jedes Mal mit dem Terminal arbeiten zu müssen, können Sie einmalig Automator Script installieren, mit dem Sie Dokumente aus dem Finder-Kontextmenü signieren können. Laden Sie dazu das Archiv herunter - скачать.
Entpacken des Archivs „Mit CryptoPro.zip signieren“
Rennen Automator
Suchen und öffnen Sie die entpackte Datei „Signieren mit CryptoPro.workflow“
Im Block Shell-Skript ausführen den Text ändern XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX zum Parameterwert SHA1-Hash CEP-Zertifikat oben erhalten.
Speichern Sie das Skript: ⌘Befehl + S
Führen Sie die Datei aus „Signieren mit CryptoPro.workflow“ und bestätigen Sie die Installation.
Gehen wir zum System Einstellungen -> Erweiterungen -> Finder und überprüfe das Unterschreiben Sie mit CryptoPro schnelles Handeln notiert.
Rufen Sie im Finder das Kontextmenü einer beliebigen Datei und im Abschnitt auf Schnellzugriff und / oder Leistungen Menüpunkt wählen Unterschreiben Sie mit CryptoPro
Geben Sie im angezeigten CryptoPro-Dialogfeld den Benutzer-PIN-Code vom CEP ein
Im aktuellen Verzeichnis erscheint eine Datei mit der Erweiterung *.sgn – eine abgelöste Signatur im CMS-Format mit DER-Kodierung.
Screenshots
Apple Automator-Fenster:
Systemeinstellungen:
Finder-Kontextmenü:
Überprüfen Sie die Unterschrift auf dem Dokument
Wenn der Inhalt des Dokuments keine Geheimnisse und Geheimnisse enthält, ist es am einfachsten, den Webdienst auf dem State Services-Portal zu nutzen – https://www.gosuslugi.ru/pgu/eds. Auf diese Weise können Sie einen Screenshot von einer seriösen Ressource erstellen und sicherstellen, dass mit der Signatur alles in Ordnung ist.