Kvalifitseeritud elektrooniline allkiri macOS-i jaoks

Vastavalt RBC и Tensor, 2019. aastal antakse Venemaal välja 4,6 miljonit kvalifitseeritud elektroonilise allkirja (CES) sertifikaati, mis vastavad 63-FZ nõuetele. Selgub, et 8 miljonist registreeritud üksikettevõtjast ja OÜ-st kasutab elektroonilist allkirja iga teine ​​ettevõtja. Lisaks pankade ja raamatupidamisteenuste väljastatud EGAIS CEP-idele ja pilvepõhistele aruandluse CEP-idele pakuvad erilist huvi turvaliste žetoonide universaalsed CEP-id. Sellised sertifikaadid võimaldavad teil sisse logida riigiportaalidesse ja allkirjastada kõik dokumendid, muutes need juriidiliselt oluliseks.

Tänu USB-märgil olevale CEP-sertifikaadile saate kaugjuhtimise teel sõlmida lepingu vastaspoole või kaugtöötajaga ning saata dokumente kohtusse; registreerige online-kassa, tasuge maksuvõlad ja esitage deklaratsioon oma isiklikul kontol saidil nalog.ru; saate teada võlgade ja eelseisvate riigiteenistuste kontrollide kohta.

Allolev juhend aitab töötada CEP-iga macOS-is – ilma CryptoPro foorumeid uurimata ja Windowsiga virtuaalmasinat installimata.

Sisu

Mida on vaja macOS-is CEP-iga töötamiseks:

CEP-i installimine ja konfigureerimine macOS-i jaoks

1. CryptoPro CSP installimine
2. Rutokeni draiverite installimine
3. Sertifikaatide paigaldamine
   3.1. Kustutame kõik vanad GOST-sertifikaadid
   3.2. Juursertifikaatide installimine
   3.3. Laadige alla sertifitseerimisasutuse sertifikaadid
   3.4. Sertifikaadi installimine Rutokeniga
4. Installige spetsiaalne brauser Chromium-GOST
5. Brauseri laienduste installimine
   5.1 CryptoPro EDS-brauseri pistikprogramm
   5.2. Avalike teenuste pistikprogramm
   5.3. Riigiteenuste pistikprogrammi seadistamine
   5.4. Laienduste aktiveerimine
   5.5. CryptoPro EDS-brauseri pistikprogrammi laienduse seadistamine
6. Kontrollib, kas kõik töötab
   6.1. Minge CryptoPro testlehele
   6.2. Minge oma isiklikule kontole saidil nalog.ru
   6.3. Minge riigiteenistusse
7. Mida teha, kui see lakkab töötamast

Konteineri PIN-koodi muutmine

1. KEP konteineri nime väljaselgitamine
2. PIN-koodi muutmine terminali käsuga

Failide allkirjastamine macOS-is

1. CEP-sertifikaadi räsi väljaselgitamine
2. Faili allkirjastamine terminalist tuleva käsuga
3. Apple Automator Scripti installimine

Kontrollige allkirja dokumendil

Kogu allolev teave on saadud usaldusväärsetest allikatest (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Telekommunikatsiooni- ja massikommunikatsiooniministeeriumi Uurali föderaalringkond) ja soovitatakse tarkvara alla laadida usaldusväärsetelt saitidelt. Autor on sõltumatu konsultant ega ole seotud ühegi mainitud ettevõttega. Neid juhiseid järgides võtate endale täieliku vastutuse mis tahes tegude ja tagajärgede eest.

Mida on vaja macOS-is CEP-iga töötamiseks:

1. CEP USB-märgil Rutoken Lite või Rutoken EDS
2. krüptokonteiner CryptoPro formaadis
3. sisseehitatud CryptoPro CSP litsents

eToken ja JaCarta meediumit koos CryptoProga ei toetata macOS-is. Rutoken Lite meedium on parim valik, see maksab 500..1000= rubla, töötab kiiresti ja võimaldab salvestada kuni 15 võtit.

Krüptoteenuse pakkujaid VipNet, Signal-COM ja LISSY macOS-is ei toetata. Konteinereid ei saa kuidagi ümber ehitada. CryptoPro on parim valik, sertifikaadi maksumus peaks olema umbes 1300 = hõõruda. üksikettevõtjatele ja 1600 = hõõruda. jaoks YUL.

Tavaliselt on CryptoPro CSP aastane litsents juba sertifikaadis ja seda pakuvad paljud CA-d tasuta. Kui see nii ei ole, peate ostma ja aktiveerima CryptoPro CSP rangelt versiooni 4 püsiva litsentsi, mis maksab 2700 =. CryptoPro CSP versioon 5 macOS-i jaoks ei tööta praegu.

CEP-i installimine ja konfigureerimine macOS-i jaoks

Ilmsed asjad

• kõik allalaaditud failid laaditakse alla vaikekataloogi: ~/Allalaadimised/;
• Me ei muuda kõigis installijates midagi, jätame kõik vaikeseadeks;
• kui macOS kuvab hoiatuse, et käivitatav tarkvara on pärit tundmatust arendajast, peate käivitamise kinnitama süsteemiseadetes: Süsteemi eelistused —> Turvalisus ja privaatsus —> Ava ikkagi;
• kui macOS küsib kasutaja parooli ja luba arvuti juhtimiseks, peate sisestama parooli ja nõustuma kõigega.

1. Installige CryptoPro CSP

Registreeri veebisaidil CryptoPro ja co allalaadimislehti alla laadida ja installida versioon CryptoPro CSP 4.0 R4 eest macOS - alla laadima.

2. Installige Rutokeni draiverid

Veebisaidil öeldakse, et see on valikuline, kuid parem on see installida. Co allalaadimislehti laadige alla ja installige Rutokeni veebisaidilt Võtmehoidja tugimoodul - alla laadima.

Järgmisena ühendage usb-märk, käivitage terminal ja täitke käsk:

/opt/cprocsp/bin/csptest -card -enum -v

Vastus peaks olema:

Aktiv Rutoken…
Kaart käes…
[Veakood: 0x00000000]

3. Installige sertifikaadid

3.1. Kustutame kõik vanad GOST-sertifikaadid

Kui olete varem proovinud CEP-i käivitada macOS-is, peate kustutama kõik varem installitud sertifikaadid. Need terminalis olevad käsud kustutavad ainult CryptoPro sertifikaate ega mõjuta macOS-i võtmehoidja tavalisi sertifikaate.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Iga käsu vastus peaks sisaldama järgmist:

Kriteeriumidele vastavat sertifikaati ei ole

või

Kustutamine on lõpetatud

3.2. Juursertifikaatide installimine

Juursertifikaadid on ühised kõigile CEP-idele, mille on välja andnud mis tahes sertifitseerimisasutus. Laadige alla kohast allalaadimislehti Telekommunikatsiooni- ja massikommunikatsiooniministeeriumi Uurali föderaalringkond:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installige terminali käskudega:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Iga käsk peaks tagastama:

Paigaldamine:
...
[Veakood: 0x00000000]

3.3. Laadige alla sertifitseerimisasutuse sertifikaadid

Järgmisena peate installima selle sertifitseerimisasutuse sertifikaadid, kus CEP väljastasite. Tavaliselt asuvad iga CA juursertifikaadid selle veebisaidil allalaadimiste jaotises.

Teise võimalusena saab mis tahes CA sertifikaate alla laadida aadressilt Telekommunikatsiooni- ja massikommunikatsiooniministeeriumi Uurali föderaalringkonna veebisait. Selleks peate otsinguvormis leidma CA nime järgi, minema sertifikaatidega lehele ja alla laadima kõik näitlemine sertifikaadid – st need, millel on "Kehtib" teine ​​kohting pole veel saabunud. Laadige alla väljal olevalt lingilt "Sõrmejälg".

Screenshots

CA Corus-Consultingu näitel: peate aadressilt alla laadima 4 sertifikaati allalaadimislehti:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Installime allalaaditud CA-sertifikaadid terminali käskude abil:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

kus pärast ~/Allalaadimised/ Allalaaditud failide nimed on loetletud; need on iga CA puhul erinevad.

Iga käsk peaks tagastama:

Paigaldamine:
...
[Veakood: 0x00000000]

3.4. Sertifikaadi installimine Rutokeniga

Käsk terminalis:

/opt/cprocsp/bin/csptestf -absorb -certs

Käsk peaks tagastama:

OK.
[Veakood: 0x00000000]

4. Installige spetsiaalne brauser Chromium-GOST

Valitsusportaalidega töötamiseks vajate kroomibrauseri spetsiaalset järgu - Kroom-GOST. Projekti lähtekood on avatud, link aadressile hoidla GitHubis antakse edasi CryptoPro veebisait. Kogemuste põhjal, teised brauserid CryptoFox и Yandexi brauser Need ei sobi macOS-i all valitsusportaalidega töötamiseks. Tasub arvestada, et mõne Chromium-GOST-i järgu puhul võib nalog.ru isiklik konto külmuda või kerimine üldse lakata, nii et pakutakse vana tõestatud kontot. ehitada 71.0.3578.98 - alla laadima.


Laadige alla ja pakkige arhiiv lahti, installige brauser, kopeerides või pukseerides selle rakenduste kataloogi. Pärast installimist sundige Chromium ja ärge seda veel avage, töötage Safaris.

killall Chromium-Gost

5. Installige brauseri laiendused

5.1 CryptoPro EDS-brauseri pistikprogramm

Koos allalaadimislehti laadige alla ja installige CryptoPro veebisaidilt CryptoPro EDS-brauseri pistikprogrammi versioon 2.0 kasutajatele - alla laadima.

5.2. Avalike teenuste pistikprogramm

Koos allalaadimislehti laadige alla ja installige riigiteenuste portaali Pistikprogramm riigiteenuste portaaliga töötamiseks (macOS-i versioon) - alla laadima.

5.3. Riigiteenuste pistikprogrammi seadistamine

Laadige CryptoPro veebisaidilt alla riigiteenuste laienduse õige konfiguratsioonifail - alla laadima.

Käivitage terminalis käsud:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Laienduste aktiveerimine

Käivitage brauser Chromium-Gost ja tippige aadressiribale:

chrome://extensions/

Lubame mõlemad installitud laiendused:

• CryptoPro laiendus CAdES-i brauseri pistikprogrammi jaoks
• Riigiteenuste pistikprogrammi laiendus

Screenshot

5.5. CryptoPro EDS-brauseri pistikprogrammi laienduse seadistamine

Chromium-Gost aadressiribale tippime:

/etc/opt/cprocsp/trusted_sites.html

Lisage kuvataval lehel järgmised saidid ükshaaval usaldusväärsete saitide loendisse.

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klõpsake nuppu "Salvesta". Ilmuma peaks roheline täpp:

Usaldusväärsete sõlmede loend on edukalt salvestatud.

Screenshot

6. Kontrollige, kas kõik töötab

6.1. Minge CryptoPro testlehele

Chromium-Gost aadressiribale tippime:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Kuvatakse teade "Plugin laaditud" ja teie sertifikaat peaks olema allolevas loendis.
Valige loendist sertifikaat ja klõpsake nuppu "Allkirjasta". Teilt küsitakse sertifikaadi PIN-koodi. Selle tulemusena peaks see kuvama

Allkirja genereerimine õnnestus

Screenshot

6.2. Minge oma isiklikule kontole saidil nalog.ru

Võimalik, et te ei pääse saidi nalog.ru linkidele juurde, kuna... kontrollid ei lähe läbi. Peate läbima otselingid:

• Kabinet SP: https://lkipgost.nalog.ru/lk
• Kabinet ЮЛ: https://lkul.nalog.ru

Screenshot

6.3. Minge riigiteenistusse

Sisselogimisel valige "Logi sisse elektroonilise allkirjaga". Ilmuvas loendis „Vali elektroonilise allkirja kinnitusvõtme sertifikaat” kuvatakse kõik sertifikaadid, sealhulgas juur- ja CA; peate valima USB-märgist oma ja sisestama PIN-koodi.

Screenshot

7. Mida teha, kui see lakkab töötamast

1. Ühendame usb-märgi uuesti ja kontrollime, kas see on nähtav, kasutades terminalis käsku:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Tühjendame kogu aeg brauseri vahemälu, mille jaoks sisestame Chromium-Gost aadressiribale:

   
chrome://settings/clearBrowserData


3. Installige CEP-sertifikaat uuesti, kasutades terminalis käsku:

   /opt/cprocsp/bin/csptestf -absorb -certs

Konteineri PIN-koodi muutmine

Vaikimisi Rutokeni kohandatud PIN-kood 12345678, ja seda ei saa kuidagi niimoodi jätta. Nõuded Rutokeni PIN-koodile: max 16 tähemärki, võib sisaldada ladina tähti ja numbreid.

1. Uuri välja KEP konteineri nimi

USB-märgile ja muudele salvestustele võib olla salvestatud mitu sertifikaati ning peate valima õige. Kui USB-märk on sisestatud, saame loendi kõigist süsteemis olevatest konteineritest koos käsuga terminalis:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Käsk peab välja võtma vähemalt 1 konteineri ja tagasi pöörduma

[Veakood: 0x00000000]

Konteiner, mida vajame, näeb välja selline

.Aktiv Rutoken liteXXXXXXXX

Kui kuvatakse mitu sellist konteinerit, tähendab see, et märgile on kirjutatud mitu sertifikaati ja teate, millist neist vajate. Tähendus XXXXXXXX pärast kaldkriipsu peate kopeerima ja kleepima allolevasse käsku.

2. Muutke PIN-koodi terminali käsuga

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

kus XXXXXXXX – 1. etapis saadud konteineri nimi (tingimata jutumärkides).

Ilmub CryptoPro dialoog, milles küsitakse sertifikaadile juurdepääsu saamiseks vana PIN-koodi, seejärel uus dialoog uue PIN-koodi sisestamiseks. Valmis.

Screenshot

Failide allkirjastamine macOS-is

MacOS-is saab faile tarkvara sisse logida CryptoArm (litsentsi hind 2500 = hõõruda.) või lihtne käsk terminali kaudu - tasuta.

1. Uurige välja CEP-sertifikaadi räsi

Ühel märgil ja teistes poodides võib olla mitu sertifikaati. Peame selgelt määratlema selle, kellega me nüüdsest dokumente allkirjastame. Üks kord tehtud.
Token tuleb sisestada. Saame hoidlates olevate sertifikaatide loendi terminali käsuga:

/opt/cprocsp/bin/certmgr -list

Käsk peab väljastama vähemalt 1 vormi sertifikaadi:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programm sertifikaatide, CRL-ide ja kaupluste haldamiseks
= = = = = = = = = = = = = = = = = = = = =
1---
Väljaandja: [meiliga kaitstud],... CN=LLC KORUS Consulting CIS...
Teema: [meiliga kaitstud],... CN=Zahharov Sergei Anatoljevitš...
Seerianumber: 0x0000000000000000000000000000000000
SHA1 räsi: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Konteiner: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Veakood: 0x00000000]

Sertifikaadil, mida me parameetris Container vajame, peab olema väärtus nagu SCARDrutoken…. Kui selliste väärtustega sertifikaate on mitu, siis on märgil mitu sertifikaati ja teate, millist neist vajate. Parameetri väärtus SHA1 räsi (40 tähemärki) tuleb kopeerida ja kleepida allolevasse käsku.

2. Faili allkirjastamine terminalist tuleva käsuga

Minge terminalis allkirjastamiseks failiga kataloogi ja käivitage käsk:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

kus XXXX… – 1. etapis saadud sertifikaadi räsi ja FAIL – allkirjastatava faili nimi (kõigi laienditega, kuid ilma teeta).

Käsk peaks tagastama:

Allkirjastatud sõnum on loodud.
[Veakood: 0x00000000]

Luuakse elektroonilise allkirja fail laiendiga *.sgn – see on DER-kodeeringuga CMS-vormingus eraldatud allkiri.

3. Installige Apple Automator Script

Vältimaks iga kord terminaliga töötamist, saate ühe korra installida Automator Scripti, millega saate Finderi kontekstimenüüst dokumente allkirjastada. Selleks laadige alla arhiiv - alla laadima.

1. Arhiivi lahti pakkimine "Allkirjasta CryptoPro.zip'iga"
2. Käivitamine Automator
3. Otsige üles ja avage pakkimata fail "Allkirjasta CryptoPro.workflow'ga"
4. Plokis Käivitage Shelli skript muuda teksti XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX parameetri väärtusele SHA1 räsi Eespool saadud CEP-sertifikaat.
5. Salvestage skript: ⌘Command + S
6. Käivitage fail "Allkirjasta CryptoPro.workflow'ga" ja kinnitage installimine.
7. Läheme süsteemi juurde Eelistused -> Laiendused -> Finder ja kontrollige seda Logige alla CryptoPro-ga kiire tegevus märgitud.
8. Avage Finderis mis tahes faili kontekstimenüü ja jaotises Kiire tegevused ja / või Teenused valige üksus Logige alla CryptoPro-ga
9. Ilmuvas CryptoPro dialoogiaknas sisestage kasutaja PIN-kood CEP-st
10. Praeguses kataloogis kuvatakse fail laiendiga *.sgn – eraldatud signatuur CMS-vormingus DER-kodeeringuga.

Screenshots

Apple Automatori aken:

Süsteemi eelistused:

Finderi kontekstimenüü:

Kontrollige allkirja dokumendil

Kui dokumendi sisu ei sisalda saladusi ja saladusi, on lihtsaim viis kasutada riigiteenuste portaali veebiteenust - https://www.gosuslugi.ru/pgu/eds. Nii saate teha ekraanipildi usaldusväärsest ressursist ja olla kindel, et allkirjaga on kõik korras.

Screenshots

Allikas: www.habr.com