Firma electrónica cualificada para macOS

Según RBC и TensorEn 2019, se emitirán en Rusia 4,6 millones de certificados de firma electrónica cualificada (CES), que cumplen con los requisitos de 63-FZ. Resulta que de los 8 millones de empresarios individuales y LLC registrados, uno de cada dos empresarios utiliza una firma electrónica. Además de los CEP EGAIS y los CEP basados ​​en la nube para informes emitidos por bancos y servicios de contabilidad, son de particular interés los CEP universales sobre tokens seguros. Dichos certificados le permiten iniciar sesión en portales gubernamentales y firmar cualquier documento, lo que los hace legalmente significativos.

Gracias al certificado CEP en un token USB, puede celebrar de forma remota un acuerdo con una contraparte o un empleado remoto y enviar documentos al tribunal; registrar una caja registradora en línea, liquidar deudas tributarias y presentar una declaración en su cuenta personal en nalog.ru; infórmese sobre deudas y próximas inspecciones en Servicios del Estado.

El siguiente manual le ayudará trabajar con CEP en macOS – sin estudiar los foros de CryptoPro e instalar una máquina virtual con Windows.

contenido

Lo que necesitas para trabajar con CEP en macOS:

Instalación y configuración de CEP para macOS

1. Instalación de CryptoPro CSP
2. Instalación de controladores Rutoken
3. Instalación de certificados
   3.1. Eliminamos todos los certificados GOST antiguos.
   3.2. Instalación de certificados raíz
   3.3. Descargar certificados de autoridad certificadora
   3.4. Instalación de un certificado con Rutoken
4. Instale un navegador especial Chromium-GOST
5. Instalación de extensiones del navegador
   5.1 Complemento del navegador CryptoPro EDS
   5.2. Complemento para servicios públicos
   5.3. Configurar un complemento para servicios estatales
   5.4. Activando extensiones
   5.5. Configuración de la extensión del complemento del navegador CryptoPro EDS
6. Comprobando que todo funciona
   6.1. Vaya a la página de prueba de CryptoPro
   6.2. Vaya a su cuenta personal en nalog.ru
   6.3. Ir a Servicios Estatales
7. Qué hacer si deja de funcionar

Cambiar el código PIN del contenedor

1. Averiguar el nombre del contenedor KEP
2. Cambiar PIN con un comando desde el terminal

Firmar archivos en macOS

1. Averiguar el hash del certificado CEP
2. Firmar un archivo con un comando desde la terminal
3. Instalación del script de Apple Automator

Verificar la firma en el documento.

Toda la información a continuación se obtiene de fuentes confiables (CryptoPro #1 и #2, token, Corus-Consulting, Distrito Federal de los Urales del Ministerio de Telecomunicaciones y Comunicaciones Masivas), y se sugiere descargar el software desde sitios confiables. El autor es un consultor independiente y no está afiliado a ninguna de las empresas mencionadas. Al seguir estas instrucciones, usted asume total responsabilidad por cualquier acción y consecuencia.

Lo que necesitas para trabajar con CEP en macOS:

1. CEP en un token USB Rutoken Lite o Rutoken EDS
2. contenedor criptográfico en formato CryptoPro
3. con incorporado licencia para CryptoPro CSP

Los medios eToken y JaCarta junto con CryptoPro no son compatibles con macOS. El medio Rutoken Lite es la mejor opción, cuesta 500..1000= rublos, funciona rápidamente y permite almacenar hasta 15 claves.

Los proveedores de cifrado VipNet, Signal-COM y LISSY no son compatibles con macOS. No hay forma de convertir contenedores. CryptoPro es la mejor opción, el coste del certificado debería ser de unos 1300 = frotar. para empresarios individuales y 1600 = frotar. para YUL.

Por lo general, una licencia anual para CryptoPro CSP ya está incluida en el certificado y muchas CA la proporcionan de forma gratuita. Si este no es el caso, entonces necesita comprar y activar una licencia perpetua para CryptoPro CSP estrictamente versión 4 que cuesta 2700=. CryptoPro CSP versión 5 para macOS no funciona actualmente.

Instalación y configuración de CEP para macOS

Cosas obvias

• todos los archivos descargados se descargan en el directorio predeterminado: ~/Descargas/;
• No cambiamos nada en todos los instaladores, dejamos todo por defecto;
• Si macOS muestra una advertencia de que el software que se está iniciando es de un desarrollador no identificado, debe confirmar el inicio en la configuración del sistema: Preferencias del sistema —> Seguridad y privacidad —> Abrir de todos modos;
• Si macOS solicita una contraseña de usuario y permiso para controlar la computadora, debe ingresar la contraseña y estar de acuerdo con todo.

1. Instale CryptoPro CSP

Registrarse en el sitio web CryptoPro y compañía descargar paginas descargar e instalar la versión CryptoPro CSP 4.0 R4 para macOS – descargar.

2. Instale los controladores Rutoken

El sitio web dice que esto es opcional, pero es mejor instalarlo. Co descargar paginas descargar e instalar en el sitio web de Rutoken Módulo de soporte de llavero – descargar.

A continuación, conecte el token USB, inicie la terminal y ejecute el comando:

/opt/cprocsp/bin/csptest -card -enum -v

La respuesta debería ser:

Actividad Rutoken…
Tarjeta presente…
[Código de error: 0x00000000]

3. Instalar certificados

3.1. Eliminamos todos los certificados GOST antiguos.

Si anteriormente intentó iniciar CEP en macOS, debe borrar todos los certificados instalados anteriormente. Estos comandos en la terminal solo eliminarán los certificados CryptoPro y no afectarán los certificados normales de Keychain en macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

La respuesta de cada comando debe incluir:

Ningún certificado cumple con los criterios

o

Eliminación completa

3.2. Instalación de certificados raíz

Los certificados raíz son comunes a todos los CEP emitidos por cualquier autoridad de certificación. Descargar desde descargar paginas Distrito Federal de los Urales del Ministerio de Telecomunicaciones y Comunicaciones Masivas:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instalar con comandos en la terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Cada comando debería devolver:

Instalación:
...
[Código de error: 0x00000000]

3.3. Descargar certificados de autoridad certificadora

A continuación, debe instalar los certificados de la autoridad de certificación donde emitió el CEP. Normalmente, los certificados raíz de cada CA se encuentran en su sitio web en la sección de descargas.

Alternativamente, los certificados de cualquier CA se pueden descargar desde sitio web del Distrito Federal de los Urales del Ministerio de Telecomunicaciones y Comunicaciones Masivas. Para hacer esto, busque una CA por nombre en el formulario de búsqueda, vaya a la página con certificados y descargue todo actuando certificados, es decir, aquellos con 'Válido' La segunda fecha aún no ha llegado. Descargar desde el enlace en el campo. 'Huella dactilar'.

Imágenes

Usando el ejemplo de CA Corus-Consulting: necesita descargar 4 certificados de descargar paginas:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Instalamos los certificados CA descargados mediante comandos desde la terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

donde después ~ / Descargas / Se enumeran los nombres de los archivos descargados; serán diferentes para cada CA.

Cada comando debería devolver:

Instalación:
...
[Código de error: 0x00000000]

3.4. Instalación de un certificado con Rutoken

Comando en terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

El comando debería devolver:

DE ACUERDO.
[Código de error: 0x00000000]

4. Instale un navegador especial Chromium-GOST

Para trabajar con portales gubernamentales, necesitará una versión especial del navegador Chromium. Cromo-GOST. El código fuente del proyecto está abierto, enlace a repositorio en GitHub se da en Sitio web de CryptoPro. Por experiencia, otros navegadores. criptozorro и Yandeks.Brauzer No son adecuados para trabajar con portales gubernamentales en macOS. Vale la pena considerar que en algunas versiones de Chromium-GOST, la cuenta personal en nalog.ru puede congelarse o el desplazamiento puede dejar de funcionar por completo, por lo que se ofrece la antigua y probada. construir 71.0.3578.98 – descargar.


Descargue y descomprima el archivo, instale el navegador copiándolo o arrastrándolo y soltándolo en el directorio de Aplicaciones. Después de la instalación, fuerce el cierre de Chromium y no lo abra todavía, trabaje desde Safari.

killall Chromium-Gost

5. Instalar extensiones del navegador

5.1 Complemento del navegador CryptoPro EDS

Con descargar paginas descargar e instalar en el sitio web de CryptoPro Complemento CryptoPro EDS Browser versión 2.0 para usuarios – descargar.

5.2. Complemento para servicios públicos

Con descargar paginas descargar e instalar en el portal de Servicios del Estado Complemento para trabajar con el portal de servicios gubernamentales (versión para macOS) – descargar.

5.3. Configurar un complemento para servicios estatales

Descargue el archivo de configuración correcto para la extensión de Servicios Estatales del sitio web de CryptoPro - descargar.

Ejecutar comandos en la terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Activando extensiones

Inicie el navegador Chromium-Gost y escriba en la barra de direcciones:

chrome://extensions/

Habilitamos ambas extensiones instaladas:

• Extensión CryptoPro para el complemento del navegador CAdES
• Extensión para el complemento de Servicios Públicos

Captura de pantalla

5.5. Configuración de la extensión del complemento del navegador CryptoPro EDS

En la barra de direcciones de Chromium-Gost escribimos:

/etc/opt/cprocsp/trusted_sites.html

En la página que aparece, agregue los siguientes sitios a la lista de sitios confiables uno por uno:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Clic en Guardar". Debería aparecer un punto verde:

La lista de nodos de confianza se ha guardado correctamente.

Captura de pantalla

6. Comprueba que todo funciona

6.1. Vaya a la página de prueba de CryptoPro

En la barra de direcciones de Chromium-Gost escribimos:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Debería mostrarse "Complemento cargado" y su certificado debería estar presente en la lista a continuación.
Seleccione un certificado de la lista y haga clic en "Firmar". Se le pedirá el PIN del certificado. Como resultado, debería mostrar

Firma generada exitosamente

Captura de pantalla

6.2. Vaya a su cuenta personal en nalog.ru

Es posible que no pueda acceder a los enlaces del sitio nalog.ru porque... Los controles no pasarán. Debes pasar por enlaces directos:

• Oficina privada PI: https://lkipgost.nalog.ru/lk
• Oficina privada Yul: https://lkul.nalog.ru

Captura de pantalla

6.3. Ir a Servicios Estatales

Al iniciar sesión, seleccione "Iniciar sesión usando una firma electrónica". En la lista "Seleccionar certificado de clave de verificación de firma electrónica" que aparece, se mostrarán todos los certificados, incluidos el raíz y el CA; deberá seleccionar el suyo desde un token USB e ingresar el PIN.

Captura de pantalla

7. Qué hacer si deja de funcionar

1. Volvemos a conectar el token usb y comprobamos que esté visible mediante el comando en la terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Limpiamos el caché del navegador para siempre, para lo cual escribimos en la barra de direcciones de Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Reinstale el certificado CEP usando el comando en la terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Cambiar el código PIN del contenedor

Código PIN personalizado para Rutoken por defecto 12345678, y no hay manera de dejarlo así. Requisitos para el código PIN de Rutoken: 16 caracteres como máximo, puede contener letras y números latinos.

1. Descubra el nombre del contenedor KEP

Es posible que haya varios certificados almacenados en el token USB y otros dispositivos de almacenamiento, y deberá elegir el correcto. Con el token USB insertado, obtenemos una lista de todos los contenedores en el sistema con el comando en la terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

El comando debe retirar al menos 1 contenedor y devolver

[Código de error: 0x00000000]

El contenedor que necesitamos se parece

.Activo Rutoken liteXXXXXXXXX

Si se muestran varios de estos contenedores, significa que hay varios certificados escritos en el token y usted sabe cuál necesita. Significado XXXXXXXX después de la barra, debes copiar y pegar en el siguiente comando.

2. Cambiar PIN usando un comando desde la terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

donde XXXXXXXX – el nombre del contenedor obtenido en el paso 1 (necesariamente entre comillas).

Aparecerá un cuadro de diálogo de CryptoPro solicitando el código PIN anterior para acceder al certificado, luego otro cuadro de diálogo para ingresar el nuevo código PIN. Listo.

Captura de pantalla

Firmar archivos en macOS

En macOS, los archivos se pueden iniciar sesión en el software Criptobrazo (La licencia cuesta 2500 = rublos), o un simple comando a través del terminal, gratis.

1. Descubra el hash del certificado CEP

Puede haber varios certificados en un token y en otras tiendas. Necesitamos identificar claramente con quién firmaremos los documentos de ahora en adelante. Hecho una vez.
Se debe insertar el token. Obtenemos una lista de certificados en los repositorios con el comando desde la terminal:

/opt/cprocsp/bin/certmgr -list

El comando debe generar al menos 1 certificado del formulario:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programa para la gestión de certificados, CRL y tiendas
= = = = = = = = = = = = = = = = = = = = =
1---
Editor: [email protected],... CN=LLC KORUS Consulting CIS...
Título: [email protected],... CN=Zakharov Sergey Anatolyevich...
Serie: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Contenedor: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Código de error: 0x00000000]

El certificado que necesitamos en el parámetro Contenedor debe tener un valor como SCARDrutoken…. Si hay varios certificados con dichos valores, entonces hay varios certificados registrados en el token y usted sabe cuál necesita. Valor del parámetro hash SHA1 (40 caracteres) deben copiarse y pegarse en el siguiente comando.

2. Firmar un archivo con un comando desde la terminal

En la terminal, vaya al directorio con el archivo para firmar y ejecute el comando:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

donde XXX... – hash del certificado obtenido en el paso 1, y ARCHIVO – nombre del archivo a firmar (con todas las extensiones, pero sin ruta).

El comando debería devolver:

Se crea el mensaje firmado.
[Código de error: 0x00000000]

Se creará un archivo de firma electrónica con la extensión *.sgn: se trata de una firma separada en formato CMS con codificación DER.

3. Instale el script de Apple Automator

Para evitar tener que trabajar con el terminal cada vez, puedes instalar una vez Automator Script, con el que podrás firmar documentos desde el menú contextual del Finder. Para hacer esto, descargue el archivo - descargar.

1. Descomprimiendo el archivo 'Firmar con CryptoPro.zip'
2. Lanzamos Automator
3. Busque y abra el archivo descomprimido 'Firmar con CryptoPro.workflow'
4. En el bloque Ejecutar secuencia de comandos de Shell cambiar el texto XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX al valor del parámetro hash SHA1 Certificado CEP obtenido anteriormente.
5. Guarde el script: ⌘Comando + S
6. Ejecutar el archivo 'Firmar con CryptoPro.workflow' y confirme la instalación.
7. vamos al sistema Preferencias -> Extensiones -> Buscador y comprueba eso Firmar con CryptoPro Se tomó nota de la acción rápida.
8. En Finder, llame al menú contextual de cualquier archivo y en la sección Acciones rápidas y / o Servicios seleccione un artículo Firmar con CryptoPro
9. En el cuadro de diálogo CryptoPro que aparece, ingrese el código PIN de usuario del CEP
10. En el directorio actual aparecerá un archivo con la extensión *.sgn: una firma separada en formato CMS con codificación DER.

Imágenes

Ventana de Apple Automator:

Preferencias del Sistema:

Menú contextual del buscador:

Verificar la firma en el documento.

Si el contenido del documento no contiene secretos ni secretos, la forma más sencilla es utilizar el servicio web en el portal de Servicios del Estado: https://www.gosuslugi.ru/pgu/eds. De esta manera, puede tomar una captura de pantalla de un recurso confiable y asegurarse de que todo esté bien con la firma.

Imágenes

Fuente: habr.com