
Laut und , im Jahr 2019 werden in Russland 4,6 Millionen qualifizierte elektronische Signaturzertifikate (KEP) ausgegeben, die den Anforderungen des Gesetzes 63-FZ entsprechen. Das bedeutet, dass jeder zweite Unternehmer von den 8 Millionen registrierten Einzelunternehmern und GmbHs eine elektronische Signatur nutzt. Neben den KEP für das EGAIS und den Cloud-KEP für die Einreichung von Berichten, die von Banken und Buchhaltungsdiensten ausgestellt werden, sind universelle KEP auf sicheren Token von besonderem Interesse. Solche Zertifikate ermöglichen die Anmeldung bei staatlichen Portalen und das Unterzeichnen beliebiger Dokumente, wodurch sie rechtlich verbindlich werden.
Dank des KEP-Zertifikats auf einem USB-Token können Sie aus der Ferne Verträge mit Geschäftspartnern oder entfernten Mitarbeitern abschließen, Dokumente an das Gericht senden; ein Online-Kassensystem registrieren, Steuerverbindlichkeiten regeln und Erklärungen in Ihrem persönlichen Bereich auf nalog.ru einreichen; Informationen über Verbindlichkeiten und bevorstehende Prüfungen auf den Staatsdiensten abrufen.
Das folgende Handbuch hilft dabei, mit KEP unter macOS zu arbeiten – ohne Foren von CryptoPro zu studieren und eine virtuelle Maschine mit Windows zu installieren.
Inhalt
Was Sie für die Arbeit mit KEP unter macOS benötigen:
Installieren und konfigurieren Sie KEP unter macOS.
- Installation von KryptoPro CSP
- Installation von Rutoken-Treibern
- Zertifikate installieren
3.1. Entfernen Sie alle alten GOST-Zertifikate
3.2. Installieren der Stammzertifikate
3.3. Zertifikate der Zertifizierungsstelle herunterladen
3.4. Zertifikat mit Rutoken installieren - Spezialbrowser Chromium-GOST installieren
- Erweiterungen für den Browser installieren
5.1 KryptoPro EDS Browser-Plugin
5.2. Plugin für staatliche Dienstleistungen
5.3. Plugin für staatliche Dienstleistungen konfigurieren
5.4. Erweiterungen aktivieren
5.5. KryptoPro EDS Browser-Plugin konfigurieren - Überprüfen, ob alles funktioniert
6.1. Auf die Testseite von KryptoPro gehen
6.2. In das persönliche Konto auf nalog.ru einloggen
6.3. Zu den staatlichen Dienstleistungen gehen - Was zu tun ist, wenn es nicht mehr funktioniert
Ändern des PIN-Codes des Containers
- Den Namen des KEP-Containers herausfinden
- PIN über das Terminal ändern
Dateien unter macOS signieren
- Den Hash des KEP-Zertifikats herausfinden
- Datei über das Terminal signieren
- Apple Automator-Skript installieren
Unterschrift auf dem Dokument überprüfen
Alle Informationen unten stammen aus vertrauenswürdigen Quellen (KryptoPro, und , , , ), und die Software wird von vertrauenswürdigen Websites heruntergeladen. Der Autor ist ein unabhängiger Berater und hat keine Verbindung zu den genannten Unternehmen. Durch die Befolgung dieser Anleitung übernehmen Sie die volle Verantwortung für alle Handlungen und deren Folgen.
Was Sie für die Arbeit mit KEP unter macOS benötigen:
- KÄP auf einem USB-Token RUTOKEN Lite oder RUTOKEN eID
- Kryptocontainer im Format CryptoPro
- mit integrierter Lizenz für CryptoPro CSP
Die eToken- und JaCarta-Träger in Verbindung mit CryptoPro werden unter macOS nicht unterstützt. Der RUTOKEN Lite-Träger ist die optimale Wahl, kostet zwischen 500 und 1000 Rubel, arbeitet schnell und ermöglicht die Speicherung von bis zu 15 Schlüsseln.
Die Crypto-Provider VipNet, Signal-COM und LISSI werden unter macOS nicht unterstützt. Container können nicht konvertiert werden. CryptoPro ist die optimale Wahl, die Kosten für das Zertifikat sollten etwa 1300 Rubel für Einzelunternehmer und 1600 Rubel für juristische Personen betragen.
Normalerweise ist die jährliche Lizenz für CryptoPro CSP bereits im Zertifikat integriert und wird von vielen Zertifizierungsstellen kostenlos bereitgestellt. Wenn dies nicht der Fall ist, muss eine unbefristete Lizenz für CryptoPro CSP in der Version 4 zum Preis von 2700 Rubel gekauft und aktiviert werden. Die Version 5 von CryptoPro CSP funktioniert derzeit nicht unter macOS.
Installieren und konfigurieren Sie KEP unter macOS.
Offensichtliche Dinge
- Alle heruntergeladenen Dateien werden im Standardverzeichnis gespeichert: ~/Downloads/;
- Bei allen Installern ändern wir nichts, wir lassen alles auf den Standardeinstellungen;
- Wenn macOS eine Warnung anzeigt, dass die Software von einem nicht verifizierten Entwickler stammt, muss der Start in den Systemeinstellungen bestätigt werden: Systemeinstellungen → Sicherheit & Datenschutz → Doch öffnen;
- Wenn macOS nach dem Benutzerpasswort und der Erlaubnis zur Steuerung des Computers fragt, sollte das Passwort eingegeben und allem zugestimmt werden.
1. Installieren Sie KryptoPro CSP
Auf der KryptoPro-Website und von laden wir die Version KryptoPro CSP 4.0 R4 für macOS – .
2. Installieren Sie die Treiber für Rutoken
Auf der Website steht, dass dies optional ist, aber es ist besser, sie zu installieren. Von der Rutoken-Website laden wir herunter und installieren Das Modul zur Unterstützung der Schlüsselbundverwaltung (KeyChain) – .
Schließen Sie anschließend den USB-Token an, starten Sie das Terminal und führen Sie den Befehl aus:
/opt/cprocsp/bin/csptest -card -enum -vIm Antworttext sollte stehen:
Aktiv Rutoken…
Karte vorhanden…
[Fehlercode: 0x00000000]
3. Installieren Sie die Zertifikate
3.1. Entfernen Sie alle alten GOST-Zertifikate
Wenn zuvor Versuche unternommen wurden, die KEP unter macOS zu starten, müssen alle zuvor installierten Zertifikate gelöscht werden. Diese Befehle im Terminal entfernen nur die KryptoPro-Zertifikate und berühren nicht die regulären Zertifikate im Schlüsselbund von macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mrootsudo /opt/cprocsp/bin/certmgr -delete -all -store uroot/opt/cprocsp/bin/certmgr -delete -allDie Antwort auf jeden Befehl sollte sein:
Kein Zertifikat, das den Kriterien entspricht
oder
Löschen abgeschlossen
3.2. Installieren der Stammzertifikate
Root-Zertifikate sind für alle KEPs, die von einem beliebigen Zertifizierungsanbieter ausgestellt wurden, gemeinsam. Wir laden herunter von dem UFO des Ministeriums für digitale Entwicklung:
Installation erfolgt mit den Befehlen im Terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cerJeder Befehl sollte zurückgeben:
Installieren:
…
[Fehlercode: 0x00000000]
3.3. Zertifikate der Zertifizierungsstelle herunterladen
Anschließend müssen die Zertifikate der Zertifizierungsstelle installiert werden, bei der Sie die KEP beantragt haben. In der Regel befinden sich die Root-Zertifikate jeder CA auf deren Website im Download-Bereich.
Alternativ können die Zertifikate jeder CA vom Hierfür muss in der Suchform die CA nach ihrem Namen gesucht, die Seite mit den Zertifikaten aufgerufen und alle gültigen heruntergeladen werden. Zertifikate – das sind die, bei denen im Feld „Gültig“ das zweite Datum noch nicht erreicht ist. Herunterladen über den Link im Feld „Fingerprint“.
Screenshots


Am Beispiel der Zertifizierungsstelle Korus-Consulting: Es müssen 4 Zertifikate heruntergeladen werden von :
Die heruntergeladenen Zertifikate der Zertifizierungsstelle installieren wir mit den Befehlen aus dem Terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cerwobei nach ~/Downloads/ die Namen der heruntergeladenen Dateien kommen, die für jede Zertifizierungsstelle unterschiedlich sind.
Jeder Befehl sollte zurückgeben:
Installieren:
…
[Fehlercode: 0x00000000]
3.4. Zertifikat mit Rutoken installieren
Der Befehl im Terminal:
/opt/cprocsp/bin/csptestf -absorb -certsDer Befehl sollte zurückgeben:
OK.
[Fehlercode: 0x00000000]
4. Installieren Sie den speziellen Browser Chromium-GOST
Für die Arbeit mit staatlichen Portalen wird eine spezielle Version des Browsers Chromium benötigt – Chromium-GOST. Der Quellcode des Projekts ist offen, der Link zum wird auf der angegeben. Nach Erfahrung sind andere Browser CryptoFox und Yandex.Browser für die Arbeit mit staatlichen Portalen unter macOS ungeeignet. Es sollte berücksichtigt werden, dass in einigen Versionen von Chromium-GOST das persönliche Konto auf nalog.ru einfrieren oder das Scrollen ganz aufhören kann, weshalb eine alte, bewährte Version empfohlen wird. Build 71.0.3578.98 – .
Laden Sie das Archiv herunter und entpacken Sie es. Installieren Sie den Browser durch Kopieren oder per Drag & Drop in das Verzeichnis Applications. Nach der Installation schließen Sie Chromium zwangsweise und öffnen es vorerst nicht; arbeiten Sie stattdessen mit Safari.
killall Chromium-Gost5. Installieren Sie die Erweiterungen für den Browser
5.1 KryptoPro EDS Browser-Plugin
Von der KryptoPro-Website laden wir herunter und installieren KryptoPro E-Signature Browser-Plug-in Version 2.0 für Benutzer – .
5.2. Plugin für staatliche Dienstleistungen
Von auf dem Portal der öffentlichen Dienste laden wir herunter und installieren Das Plug-in zur Nutzung des Portals für staatliche Dienstleistungen (Version für macOS) – .
5.3. Plugin für staatliche Dienstleistungen konfigurieren
Laden Sie die korrekte Konfigurationsdatei für die Erweiterung der staatlichen Dienstleistungen von der KryptoPro-Website herunter – .
Führen Sie die Befehle im Terminal aus:
sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfgsudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contentssudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts5.4. Erweiterungen aktivieren
Starten Sie den Chromium-Gost-Browser und geben Sie in die Adresszeile ein:
chrome://extensions/Aktivieren Sie beide installierten Erweiterungen:
- CryptoPro-Erweiterung für das CAdES Browser-Plug-in
- Erweiterung für das Plug-in der staatlichen Dienstleistungen
Screenshot

5.5. KryptoPro EDS Browser-Plugin konfigurieren
Geben Sie in die Adresszeile von Chromium-Gost ein:
/etc/opt/cprocsp/trusted_sites.htmlFügen Sie auf der erscheinenden Seite die folgenden Dienste der Liste der vertrauenswürdigen Knoten nacheinander hinzu:
https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ruKlicken Sie auf „Speichern“. Es sollte eine grüne Benachrichtigung erscheinen:
Die Liste der vertrauenswürdigen Knoten wurde erfolgreich gespeichert.
Screenshot

6. Überprüfen, ob alles funktioniert
6.1. Auf die Testseite von KryptoPro gehen
Geben Sie in die Adresszeile von Chromium-Gost ein:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.htmlEs sollte „Plugin geladen“ angezeigt werden, und in der Liste darunter sollte Ihr Zertifikat vorhanden sein.
Wählen Sie das Zertifikat aus der Liste aus und klicken Sie auf „Signieren“. Es wird nach dem PIN-Code des Zertifikats gefragt. Am Ende sollte angezeigt werden:
Die Signatur wurde erfolgreich erstellt.
Screenshot

6.2. In das persönliche Konto auf nalog.ru einloggen
Der Zugriff über die Links von nalog.ru könnte nicht funktionieren, da die Überprüfungen nicht erfüllt sind. Sie sollten die direkten Links verwenden:
- Persönlicher Bereich Einzelunternehmer:
- Persönlicher Bereich Juristische Person:
Screenshot

6.3. Zu den staatlichen Dienstleistungen gehen
Bei der Anmeldung wählen Sie „Einloggen mit elektronischer Signatur“. In der angezeigten Liste „Zertifikatauswahl für die elektronische Signaturprüfung“ werden alle Zertifikate angezeigt, einschließlich der Root- und CA-Zertifikate. Wählen Sie Ihr Zertifikat vom USB-Token aus und geben Sie den PIN ein.
Screenshot


7. Was tun, wenn es nicht mehr funktioniert
Schließen Sie den USB-Token erneut an und überprüfen Sie, ob er mit dem folgenden Befehl im Terminal sichtbar ist:
sudo /opt/cprocsp/bin/csptest -card -enum -vLöschen Sie den Browser-Cache für den gesamten Zeitraum, indem Sie in die Adresszeile von Chromium-Gost eingeben:
chrome://settings/clearBrowserDataInstallieren Sie das KEP-Zertifikat mit dem folgenden Befehl im Terminal neu:
/opt/cprocsp/bin/csptestf -absorb -certs
Ändern des PIN-Codes des Containers
Der Benutzer-PIN-Code auf dem Rutoken ist standardmäßig festgelegt. 12345678, und man kann es auf keinen Fall in diesem Zustand belassen. Anforderungen an den PIN-Code für Rutoken: max. 16 Zeichen, können lateinische Buchstaben und Zahlen enthalten.
1. Containername des KEP ermitteln
Auf dem USB-Token und in anderen Speichern können mehrere Zertifikate gespeichert sein, und das richtige muss ausgewählt werden. Wenn der USB-Token eingesteckt ist, erhalten wir eine Liste aller Container im System mit dem Befehl im Terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontextDer Befehl sollte mindestens 1 Container ausgeben und zurückgeben
[Fehlercode: 0x00000000]
Der benötigte Container hat die Form
.Aktiv Rutoken liteXXXXXXXX
Wenn mehrere solcher Container angezeigt werden, bedeutet das, dass mehrere Zertifikate auf dem Token gespeichert sind und Sie wissen, welches Sie benötigen. Der Wert XXXXXXXX muss nach dem Schrägstrich kopiert und in den folgenden Befehl eingefügt werden.
2. Ändern des PIN mit dem Befehl im Terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"wobei XXXXXXXX – Name des Containers, der im Schritt 1 erhalten wurde (unbedingt in Anführungszeichen).
Ein CryptoPro-Dialogfeld wird angezeigt, in dem nach dem alten PIN-Code für den Zugriff auf das Zertifikat gefragt wird, gefolgt von einem weiteren Dialogfeld zur Eingabe des neuen PIN-Codes. Fertig.
Screenshot

Dateien unter macOS signieren
In macOS können Dateien mit der Software unterzeichnet werden (Lizenzkosten 2500 = Rub.), oder mit einem einfachen Befehl über das Terminal – kostenlos.
1. Hash des KEP-Zertifikats ermitteln
Auf dem Token und in anderen Speichern können mehrere Zertifikate vorhanden sein. Wir müssen eindeutig identifizieren, welches wir künftig zum Unterzeichnen von Dokumenten verwenden. Dies geschieht einmalig.
Der Token muss eingesteckt sein. Wir erhalten die Liste der Zertifikate in den Speichern über den Befehl im Terminal:
/opt/cprocsp/bin/certmgr -listDer Befehl sollte mindestens 1 Zertifikat des Typs ausgeben:
Certmgr 1.1 © „Crypto-Pro“, 2007-2018.
Programm zur Verwaltung von Zertifikaten, CRLs und Speichern
= = = = = = = = = = = = = = = = = = = =
1——-
Aussteller: E=help@esphere.ru,… CN=OOO KORUS Consulting GUS…
Betreff: E=sergzah@gmail.com,… CN=Zacharov Sergei Anatolyevich…
Seriennummer: 0x0000000000000000000000000000000000
SHA1-Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
…
Container: SCARDrutoken_lt_00000000 000 000
…
= = = = = = = = = = = = = = = = = = = =
[Fehlercode: 0x00000000]
Das erforderliche Zertifikat sollte im Parameter Container einen Wert vom Typ haben SCARDrutoken…. Wenn es mehrere Zertifikate mit solchen Werten gibt, bedeutet das, dass mehrere Zertifikate auf dem Token gespeichert sind und Sie wissen, welches Sie benötigen. Der Wert des Parameters SHA1-Hash (40 Zeichen) muss kopiert und in den untenstehenden Befehl eingefügt werden.
2. Datei mit dem Befehl im Terminal signieren
Wir wechseln im Terminal in das Verzeichnis mit der zu signierenden Datei und führen den Befehl aus:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILEwobei XXXX… – der Hash des Zertifikats, der im Schritt 1 erhalten wurde, und FILE – der Name der Datei zum Unterzeichnen (mit allen Erweiterungen, aber ohne Pfad).
Der Befehl sollte zurückgeben:
Die signierte Nachricht wurde erstellt.
[Fehlercode: 0x00000000]
Es wird eine elektronische Signaturdatei mit der Erweiterung *.sgn erstellt – dies ist eine abgetrennte Signatur im CMS-Format mit DER-Codierung.
3. Installation des Apple Automator Skripts
Um nicht jedes Mal mit dem Terminal zu arbeiten, kann einmal das Automator Skript installiert werden, mit dem Dokumente aus dem Kontextmenü des Finders signiert werden können. Dazu laden wir das Archiv herunter – .
- Entpacken des Archivs ‘Sign with CryptoPro.zip’
- Starten wir Automator
- Wir suchen und öffnen die entpackte Datei ‘Sign with CryptoPro.workflow’
- Im Block Run Shell Script ändern wir den Text XXXXXXXXXXXXXX in den Wert des Parameters SHA1-Hash des KEP-Zertifikats, das oben erhalten wurde.
- Wir speichern das Skript: ⌘Command + S
- Wir führen die Datei aus ‘Sign with CryptoPro.workflow’ und bestätigen die Installation.
- Gehen Sie zu System Einstellungen —> Erweiterungen —> Finder und überprüfen, dass Sign with CryptoPro als Schnellaktion markiert ist.
- Im Finder rufen wir das Kontextmenü einer beliebigen Datei auf, und im Abschnitt Schnellaktionen und/oder Dienste wählen wir den Punkt Sign with CryptoPro
- Im erscheinenden Dialogfeld von KryptoPro geben Sie den Benutzer-PIN-Code für das KEP ein
- Im aktuellen Verzeichnis erscheint eine Datei mit der Erweiterung *.sgn – eine abgetrennte Signatur im CMS-Format mit DER-Codierung.
Screenshots
Fenster Apple Automator:

Systemeinstellungen:

Kontextmenü Finder:

Unterschrift auf dem Dokument überprüfen
Wenn der Inhalt des Dokuments keine Geheimnisse oder mysteriösen Informationen enthält, ist es am einfachsten, den Webdienst im Portal der staatlichen Dienstleistungen zu nutzen – . Damit können Sie einen Screenshot von einer vertrauenswürdigen Quelle erstellen und sich sicher sein, dass die Unterschrift in Ordnung ist.
Screenshots


Quelle: habr.com
