Kvalifikita elektronika subskribo por macOS

Laŭ R R'Rљ и Tensoro, en 2019, 4,6 milionoj da atestiloj pri kvalifikitaj elektronikaj subskriboj (CES) estos eldonitaj en Rusio, plenumante la postulojn de 63-FZ. Montriĝas, ke el 8 milionoj registritaj individuaj entreprenistoj kaj LLCoj, ĉiu dua entreprenisto uzas elektronikan subskribon. Aldone al EGAIS CEP-oj kaj nub-bazitaj CEP-oj por raportado eldonitaj de bankoj kaj kontadaj servoj, universalaj CEP-oj pri sekuraj ĵetonoj estas aparte interesaj. Tiaj atestiloj permesas vin ensaluti al registaraj portaloj kaj subskribi ajnajn dokumentojn, igante ilin laŭleĝe signifaj.

Danke al la CEP-atestilo sur USB-ĵetono, vi povas malproksime fini interkonsenton kun kontraŭpartio aŭ fora dungito, kaj sendi dokumentojn al la tribunalo; registri enretan kason, solvi impostajn ŝuldojn kaj sendi deklaron en via persona konto ĉe nalog.ru; eksciu pri ŝuldoj kaj venontaj inspektadoj ĉe Ŝtataj Servoj.

La suba manlibro helpos labori kun CEP sub macOS – sen studi la CryptoPro-forumojn kaj instali virtualan maŝinon kun Vindozo.

Enhavo

Kion vi bezonas por labori kun CEP sub macOS:

Instalado kaj agordo de CEP por macOS

1. Instalante CryptoPro CSP
2. Instalante Rutoken-ŝoforojn
3. Instalado de atestiloj
   3.1. Ni forigas ĉiujn malnovajn GOST-atestilojn
   3.2. Instalado de radikaj atestiloj
   3.3. Elŝutu atestajn atestojn
   3.4. Instalante atestilon kun Rutoken
4. Instalu specialan retumilon Chromium-GOST
5. Instalado de retumiloj
   5.1 Kromaĵo de CryptoPro EDS-Retumilo
   5.2. Kromaĵo por Publikaj Servoj
   5.3. Agordante kromprogramon por Ŝtataj Servoj
   5.4. Aktivigo de etendaĵoj
   5.5. Agordante la kromprogramon de CryptoPro EDS-Retumilo
6. Kontrolante ke ĉio funkcias
   6.1. Iru al la CryptoPro-testpaĝo
   6.2. Iru al via Persona Konto ĉe nalog.ru
   6.3. Iru al Ŝtataj Servoj
7. Kion fari se ĝi ĉesas funkcii

Ŝanĝante la ujan PIN-kodon

1. Eltrovi la nomon de la KEP-ujo
2. Ŝanĝi PIN per komando de la terminalo

Subskribante dosierojn en macOS

1. Eltrovante la hash de la CEP-atestilo
2. Subskribante dosieron per komando de la terminalo
3. Instalante Apple Automator Script

Kontrolu la subskribon sur la dokumento

Ĉiuj informoj sube estas akiritaj de bonfamaj fontoj (CryptoPro #1 и #2, Rutoken, Corus-Konsultado, Urala Federacia Distrikto de la Ministerio de Telekomunikado kaj Amaskomunikiloj), kaj estas sugestite elŝuti programaron de fidindaj retejoj. La aŭtoro estas sendependa konsultisto kaj ne estas aligita kun iu el la menciitaj kompanioj. Sekvante ĉi tiujn instrukciojn, vi prenas plenan respondecon pri ajnaj agoj kaj sekvoj.

Kion vi bezonas por labori kun CEP sub macOS:

1. CEP sur USB-ĵetono Rutoken Lite aŭ Rutoken EDS
2. kripta ujo en CryptoPro formato
3. kun enkonstruita permesilo por CryptoPro CSP

eToken kaj JaCarta amaskomunikiloj kune kun CryptoPro ne estas subtenataj sub macOS. La Rutoken Lite amaskomunikilaro estas la plej bona elekto, ĝi kostas 500..1000= rubloj, ĝi funkcias rapide kaj permesas konservi ĝis 15 ŝlosilojn.

Kriptaj provizantoj VipNet, Signal-COM kaj LISSY ne estas subtenataj en macOS. Ne estas maniero konverti ujojn. CryptoPro estas la plej bona elekto, la kosto de la atestilo devus esti ĉirkaŭ 1300 = froti. por individuaj entreprenistoj kaj 1600 = rub. por YUL.

Tipe, ĉiujara permesilo por CryptoPro CSP jam estas inkluzivita en la atestilo kaj estas senpage liverita de multaj CAoj. Se ĉi tio ne estas la kazo, tiam vi devas aĉeti kaj aktivigi eternan permesilon por CryptoPro CSP strikte versio 4 kostanta 2700=. CryptoPro CSP-versio 5 por macOS nuntempe ne funkcias.

Instalado kaj agordo de CEP por macOS

Evidentaj aferoj

• ĉiuj elŝutitaj dosieroj estas elŝutitaj al la defaŭlta dosierujo: ~/Elŝutoj/;
• Ni ŝanĝas nenion en ĉiuj instaliloj, ni lasas ĉion defaŭlte;
• se macOS montras averton, ke la lanĉota programaro estas de neidentigita programisto, vi devas konfirmi la lanĉon en la sistemaj agordoj: Sistemaj Preferoj —> Sekureco kaj Privateco —> Malfermu Ĉiuokaze;
• se macOS petas uzantan pasvorton kaj permeson kontroli la komputilon, vi devas enigi la pasvorton kaj konsenti pri ĉio.

1. Instalu CryptoPro CSP

Registru en la retejo CryptoPro and co elŝuti paĝojn elŝutu kaj instalu la version CryptoPro CSP 4.0 R4 por MacOS - скачать.

2. Instalu Rutoken-ŝoforojn

La retejo diras, ke ĉi tio estas laŭvola, sed estas pli bone instali ĝin. Co elŝuti paĝojn elŝutu kaj instalu en la retejo de Rutoken Ŝlosilĉensubtena modulo - скачать.

Poste, konektu la usb-ĵetonon, lanĉu la terminalon kaj plenumu la komandon:

/opt/cprocsp/bin/csptest -card -enum -v

La respondo devus esti:

Aktiv Rutoken...
Karto donaco...
[Erarokodo: 0x00000000]

3. Instalu atestojn

3.1. Ni forigas ĉiujn malnovajn GOST-atestilojn

Se vi antaŭe provis lanĉi CEP sub macOS, tiam vi devas forigi ĉiujn antaŭe instalitajn atestojn. Ĉi tiuj komandoj en la terminalo nur forigos CryptoPro-atestilojn kaj ne influos regulajn atestojn de Keychain sur macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

La respondo de ĉiu komando devus inkluzivi:

Neniu atestilo kongrua kun la kriterioj

aŭ

Forigo kompleta

3.2. Instalado de radikaj atestiloj

Radikaj atestiloj estas komunaj al ĉiuj CEPoj eldonitaj de iu ajn atestadaŭtoritato. Elŝutu de elŝuti paĝojn Urala Federacia Distrikto de la Ministerio de Telekomunikado kaj Amaskomunikiloj:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instalu per komandoj en terminalo:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Ĉiu komando devus reveni:

Instalante:
...
[Erarokodo: 0x00000000]

3.3. Elŝutu atestajn atestojn

Poste, vi devas instali la atestilojn de la atestadaŭtoritato, kie vi eldonis la CEP. Tipe, la radikaj atestiloj de ĉiu CA troviĝas en ĝia retejo en la sekcio de elŝutoj.

Alternative, atestiloj de iu CA povas esti elŝutitaj de retejo de la Urala Federacia Distrikto de la Ministerio de Telekomunikado kaj Amaskomunikiloj. Por fari tion, en la serĉformularo vi devas trovi CA laŭ nomo, iru al la paĝo kun atestiloj kaj elŝutu ĉion aktorado atestiloj – tio estas tiuj kun 'Valida' la dua dato ankoraŭ ne alvenis. Elŝutu de la ligilo en la kampo 'Fingrosigno'.

Ekrankopioj

Uzante la ekzemplon de CA Corus-Consulting: vi devas elŝuti 4 atestojn de elŝuti paĝojn:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Ni instalas la elŝutitajn CA-atestojn uzante komandojn de la terminalo:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

kie poste ~/Elŝutoj/ La nomoj de la elŝutitaj dosieroj estas listigitaj; ili estos malsamaj por ĉiu CA.

Ĉiu komando devus reveni:

Instalante:
...
[Erarokodo: 0x00000000]

3.4. Instalante atestilon kun Rutoken

Komando en terminalo:

/opt/cprocsp/bin/csptestf -absorb -certs

La komando devus reveni:

OK.
[Erarokodo: 0x00000000]

4. Instalu specialan retumilon Chromium-GOST

Por labori kun registaraj portaloj, vi bezonos specialan konstruon de la retumilo Chromium - Kromo-GOST. La fontkodo de la projekto estas malfermita, ligo al deponejo sur GitHub estas donita sur CryptoPro retejo. De sperto, aliaj retumiloj CryptoFox и Yandex Retumilo Ili ne taŭgas por labori kun registaraj portaloj sub macOS. Indas konsideri, ke en iuj konstruoj de Chromium-GOST, la persona konto ĉe nalog.ru eble frostiĝos aŭ la movo povas tute ĉesi funkcii, do la malnova pruvita estas proponita. konstruo 71.0.3578.98 - скачать.


Elŝutu kaj malpaku la arkivon, instalu la retumilon kopiante aŭ trenante kaj faligante ĝin en la dosierujon de Aplikoj. Post instalado, Fortu fermi Chromium kaj ankoraŭ ne malfermi ĝin, laboru de Safaro.

killall Chromium-Gost

5. Instalu retumilajn etendojn

5.1 Kromaĵo de CryptoPro EDS-Retumilo

Co. elŝuti paĝojn elŝutu kaj instalu en la retejo de CryptoPro Kromaĵo CryptoPro EDS-Retumilo versio 2.0 por uzantoj - скачать.

5.2. Kromaĵo por Publikaj Servoj

Co. elŝuti paĝojn elŝutu kaj instalu en la portalo de Ŝtataj Servoj Kromaĵo por labori kun la portalo de registaraj servoj (versio por macOS) - скачать.

5.3. Agordante kromprogramon por Ŝtataj Servoj

Elŝutu la ĝustan agordan dosieron por la etendo de Ŝtataj Servoj el la retejo CryptoPro - скачать.

Efektivigu komandojn en terminalo:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktivigo de etendaĵoj

Lanĉu la retumilon Chromium-Gost kaj tajpu la adresbreton:

chrome://extensions/

Ni ebligas ambaŭ instalitajn etendaĵojn:

• CryptoPro-Etendaĵo por CAdES-Retumila Kromaĵo
• Etendaĵo por la Publikaj Servoj kromaĵo

Ekrankopio

5.5. Agordante la kromprogramon de CryptoPro EDS-Retumilo

En la adresbreto de Chromium-Gost ni tajpas:

/etc/opt/cprocsp/trusted_sites.html

Sur la paĝo kiu aperas, aldonu la sekvajn retejojn al la listo de fidindaj retejoj unu post la alia:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Alklaku "Konservi". Verda punkto devus aperi:

La listo de fidindaj nodoj estas sukcese konservita.

Ekrankopio

6. Kontrolu ke ĉio funkcias

6.1. Iru al la CryptoPro-testpaĝo

En la adresbreto de Chromium-Gost ni tajpas:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Aldonaĵo ŝargita" devus esti montrita, kaj via atestilo devus ĉeesti en la suba listo.
Elektu atestilon el la listo kaj alklaku "Subskribi". Oni petos vin pri la atestilo PIN. Kiel rezulto, ĝi devus montriĝi

Subskribo generita sukcese

Ekrankopio

6.2. Iru al via Persona Konto ĉe nalog.ru

Vi eble ne povos aliri ligilojn de la retejo nalog.ru, ĉar... kontroloj ne pasos. Vi devas iri tra rektaj ligiloj:

• Mia konto IP: https://lkipgost.nalog.ru/lk
• Mia konto Jura ento: https://lkul.nalog.ru

Ekrankopio

6.3. Iru al Ŝtataj Servoj

Ensalutu, elektu "Ensalutu per elektronika subskribo". En la listo "Elektu elektronikan subskriban kontrolan ŝlosilan atestilon", kiu aperas, ĉiuj atestiloj, inkluzive de radiko kaj CA, estos montrataj; vi devas elekti vian el USB-ĵetono kaj enigi la PIN.

Ekrankopio

7. Kion fari se ĝi ĉesas funkcii

1. Ni rekonektas la usb-ĵetonon kaj kontrolas, ke ĝi estas videbla per la komando en la terminalo:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Ni purigas la retumilon kaŝmemoron por ĉiam, por kiu ni tajpas en la adresbreto de Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Reinstalu la CEP-atestilon uzante la komandon en la terminalo:

   /opt/cprocsp/bin/csptestf -absorb -certs

Ŝanĝante la ujan PIN-kodon

Propra PIN-kodo por Rutoken defaŭlte 12345678, kaj ne estas maniero lasi ĝin tiel. Postuloj por la PIN-kodo Rutoken: maksimume 16 signoj, povas enhavi latinajn literojn kaj ciferojn.

1. Eltrovu la nomon de la KEP-ujo

Eble estas pluraj atestiloj stokitaj sur la USB-ĵetono kaj aliaj stokaĵoj, kaj vi devas elekti la ĝustan. Kun la usb-ĵetono enigita, ni ricevas liston de ĉiuj ujoj en la sistemo kun la komando en la terminalo:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

La komando devas retiri almenaŭ 1 ujon kaj reveni

[Erarokodo: 0x00000000]

La ujo, kiun ni bezonas, aspektas

.Aktiv Rutoken liteXXXXXXX

Se pluraj tiaj ujoj estas montrataj, tio signifas, ke estas pluraj atestiloj skribitaj sur la ĵetono, kaj vi scias, kiun vi bezonas. Signifo XXXXXXX post la oblikvo vi devas kopii kaj alglui en la komandon sube.

2. Ŝanĝu PIN per komando de la terminalo

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

kie XXXXXXX – la nomo de la ujo akirita en la paŝo 1 (nepre inter citiloj).

CryptoPro-dialogo aperos petante la malnovan PIN-kodon por aliri la atestilon, tiam alia dialogo por enigi la novan PIN-kodon. Preta.

Ekrankopio

Subskribante dosierojn en macOS

En macOS, dosieroj povas esti subskribitaj en programaro CryptoArm (kosto de permesilo 2500 = rub.), aŭ simpla komando per la terminalo - senpage.

1. Eltrovu la haŝon de la CEP-atestilo

Povas esti pluraj atestiloj sur ĵetono kaj en aliaj vendejoj. Ni devas klare identigi tiun, kun kiu ni subskribos dokumentojn ekde nun. Farita unufoje.
La ĵetono devas esti enmetita. Ni ricevas liston de atestiloj en la deponejoj kun la komando de la terminalo:

/opt/cprocsp/bin/certmgr -list

La komando devas eligi almenaŭ 1 atestilon de la formo:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programo por administri atestojn, CRL-ojn kaj vendejojn
= = = = = = = = = = = = = = = = = = =
1---
Eldonanto: [retpoŝte protektita],... CN=LLC KORUS Consulting CIS...
temo: [retpoŝte protektita],... CN=Zakharov Sergej Anatoljeviĉ...
Serio: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Ujo: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Erarokodo: 0x00000000]

La atestilo, kiun ni bezonas en la parametro Ujo, devas havi valoron kiel SCARDrutoken.... Se estas pluraj atestiloj kun tiaj valoroj, tiam estas pluraj atestiloj registritaj sur la ĵetono, kaj vi scias, kiun vi bezonas. Parametrovaloro SHA1 Hash (40 signoj) devas esti kopiitaj kaj algluitaj en la komandon sube.

2. Subskribante dosieron per komando de la terminalo

En la terminalo, iru al la dosierujo kun la dosiero por subskribi kaj ekzekuti la komandon:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

kie XXXX… – atestilo akirita en paŝo 1, kaj DOSIERO – dosiernomo por subskribi (kun ĉiuj etendoj, sed sen vojo).

La komando devus reveni:

Subskribita mesaĝo estas kreita.
[Erarokodo: 0x00000000]

Elektronika subskribodosiero estos kreita kun la etendaĵo *.sgn - ĉi tio estas disigita subskribo en CMS-formato kun DER-kodigo.

3. Instalu Apple Automator Skripto

Por eviti devi labori kun la terminalo ĉiufoje, vi povas instali Automator Script unufoje, per kiu vi povas subskribi dokumentojn el la kunteksta menuo de Finder. Por fari tion, elŝutu la arkivon - скачать.

1. Malpakante la arkivon 'Subskribi kun CryptoPro.zip'
2. Lanĉo Aŭtomatisto
3. Trovu kaj malfermu la malpakitan dosieron 'Subskribi kun CryptoPro.workflow'
4. En la bloko Rulu Ŝelan Skripton ŝanĝi la tekston XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX al la parametrovaloro SHA1 Hash CEP-atestilo akirita supre.
5. Konservu la skripton: ⌘Komando + S
6. Rulu la dosieron 'Subskribi kun CryptoPro.workflow' kaj konfirmu la instaladon.
7. Ni iru al Sistemo Preferoj -> Etendaĵoj -> Finder kaj kontrolu tion Subskribu kun CryptoPro rapida ago notita.
8. En Finder, voku la kuntekstan menuon de iu ajn dosiero, kaj en la sekcio Rapida Agoj kaj / aŭ servoj elektu objekton Subskribu kun CryptoPro
9. En la CryptoPro dialogo kiu aperas, enigu la uzantan PIN-kodon de la CEP
10. Dosiero kun la etendaĵo *.sgn aperos en la nuna dosierujo - disigita subskribo en CMS-formato kun DER-kodigo.

Ekrankopioj

Apple Automator fenestro:

Sistemaj Preferoj:

kunteksta menuo de Finder:

Kontrolu la subskribon sur la dokumento

Se la enhavo de la dokumento ne enhavas sekretojn kaj sekretojn, tiam la plej facila maniero estas uzi la retservon en la portalo de Ŝtataj Servoj - https://www.gosuslugi.ru/pgu/eds. Tiel vi povas preni ekrankopion de bonfama rimedo kaj certigi, ke ĉio estas en ordo kun la subskribo.

Ekrankopioj

fonto: www.habr.com