امضای الکترونیکی واجد شرایط برای macOS

طبق RBC и تنزور، در سال 2019، 4,6 میلیون گواهی امضای الکترونیکی واجد شرایط (CES) در روسیه صادر می شود که الزامات 63-FZ را برآورده می کند. به نظر می رسد که از 8 میلیون کارآفرین فردی و LLC ثبت شده، هر دومین کارآفرین از یک امضای الکترونیکی استفاده می کند. علاوه بر EGAIS CEP ها و CEP های مبتنی بر ابر برای گزارش های صادر شده توسط بانک ها و خدمات حسابداری، CEP های جهانی در توکن های ایمن از اهمیت ویژه ای برخوردار هستند. چنین گواهی‌هایی به شما امکان می‌دهد به پورتال‌های دولتی وارد شوید و هر گونه سندی را امضا کنید، که از نظر قانونی اهمیت پیدا می‌کند.

با تشکر از گواهی CEP در یک توکن USB، می توانید از راه دور با طرف مقابل یا کارمند از راه دور قرارداد ببندید و اسناد را به دادگاه ارسال کنید. یک صندوق نقدی آنلاین را ثبت کنید ، بدهی های مالیاتی را تسویه کنید و در حساب شخصی خود در nalog.ru اظهارنامه ارسال کنید. از بدهی ها و بازرسی های آتی در خدمات دولتی مطلع شوید.

راهنمای زیر کمک خواهد کرد با CEP تحت macOS کار کنید – بدون مطالعه انجمن های CryptoPro و نصب ماشین مجازی با ویندوز.

مقدار

آنچه برای کار با CEP در macOS نیاز دارید:

نصب و پیکربندی CEP برای macOS

1. نصب CryptoPro CSP
2. نصب درایورهای روتوکن
3. نصب گواهینامه ها
   3.1. ما تمام گواهی های قدیمی GOST را حذف می کنیم
   3.2. نصب گواهی های ریشه
   3.3. دانلود گواهینامه های مرجع صدور گواهینامه
   3.4. نصب گواهی با روتوکن
4. یک مرورگر ویژه Chromium-GOST نصب کنید
5. نصب افزونه های مرورگر
   5.1 پلاگین CryptoPro EDS Browser
   5.2. پلاگین برای خدمات عمومی
   5.3. راه اندازی یک افزونه برای خدمات دولتی
   5.4. فعال سازی افزونه ها
   5.5. راه اندازی افزونه افزونه CryptoPro EDS Browser
6. بررسی اینکه همه چیز کار می کند
   6.1. به صفحه تست CryptoPro بروید
   6.2. به حساب شخصی خود در nalog.ru بروید
   6.3. به خدمات دولتی بروید
7. اگر از کار افتاد چه باید کرد

تغییر کد پین ظرف

1. پیدا کردن نام کانتینر KEP
2. تغییر پین با دستور از ترمینال

امضای فایل ها در macOS

1. پیدا کردن هش گواهی CEP
2. امضای فایل با دستوری از ترمینال
3. نصب Apple Automator Script

امضای روی سند را بررسی کنید

تمام اطلاعات زیر از منابع معتبر (CryptoPro) به دست آمده است #1 и #2, روتوکن, کوروس-مشاوره, منطقه فدرال اورال وزارت مخابرات و ارتباطات جمعی) و پیشنهاد می شود نرم افزار را از سایت های معتبر دانلود کنید. نویسنده یک مشاور مستقل است و به هیچ یک از شرکت های ذکر شده وابسته نیست. با پیروی از این دستورالعمل ها، مسئولیت کامل هرگونه اقدام و عواقب را بر عهده می گیرید.

آنچه برای کار با CEP در macOS نیاز دارید:

1. CEP روی یک توکن USB Rutoken Lite یا روتوکن EDS
2. کانتینر کریپتو در قالب CryptoPro
3. با توکار مجوز برای CryptoPro CSP

رسانه‌های eToken و JaCarta در ارتباط با CryptoPro تحت macOS پشتیبانی نمی‌شوند. رسانه Rutoken Lite بهترین انتخاب است، قیمت آن 500..1000 = روبل است، به سرعت کار می کند و به شما امکان می دهد تا 15 کلید را ذخیره کنید.

ارائه دهندگان کریپتو VipNet، Signal-COM و LISSY در macOS پشتیبانی نمی شوند. هیچ راهی برای تبدیل کانتینرها وجود ندارد. CryptoPro بهترین انتخاب است، هزینه گواهی باید حدود 1300 = مالش باشد. برای کارآفرینان فردی و 1600 = مالش. برای YUL.

به طور معمول، مجوز سالانه برای CryptoPro CSP قبلاً در گواهی گنجانده شده است و توسط بسیاری از CA به صورت رایگان ارائه می شود. اگر اینطور نیست، باید یک مجوز دائمی برای CryptoPro CSP دقیقاً نسخه 4 با هزینه 2700= خریداری و فعال کنید. CryptoPro CSP نسخه 5 برای macOS در حال حاضر کار نمی کند.

نصب و پیکربندی CEP برای macOS

چیزهای بدیهی

• همه فایل های دانلود شده در دایرکتوری پیش فرض دانلود می شوند: ~/Downloads/;
• ما در همه نصب کننده ها چیزی را تغییر نمی دهیم، همه چیز را به عنوان پیش فرض رها می کنیم.
• اگر macOS هشداری نشان می‌دهد که نرم‌افزار در حال راه‌اندازی از سوی یک توسعه‌دهنده ناشناس است، باید راه‌اندازی را در تنظیمات سیستم تأیید کنید: تنظیمات سیستم —> امنیت و حریم خصوصی —> به هر حال باز شود;
• اگر macOS رمز عبور کاربر و اجازه کنترل رایانه را درخواست کرد، باید رمز عبور را وارد کنید و با همه چیز موافقت کنید.

1. CryptoPro CSP را نصب کنید

ثبت نام در وب سایت CryptoPro and co صفحات دانلود نسخه را دانلود و نصب کنید CryptoPro CSP 4.0 R4 برای از MacOS - دانلود.

2. درایورهای روتوکن را نصب کنید

وب سایت می گوید که این اختیاری است، اما بهتر است آن را نصب کنید. شرکت صفحات دانلود دانلود و در وب سایت روتوکن نصب کنید ماژول پشتیبانی زنجیره کلید - دانلود.

سپس، توکن usb را وصل کنید، ترمینال را راه اندازی کنید و دستور را اجرا کنید:

/opt/cprocsp/bin/csptest -card -enum -v

پاسخ باید این باشد:

اکتیو روتوکن…
کارت هدیه…
[کد خطا: 0x00000000]

3. گواهی ها را نصب کنید

3.1. ما تمام گواهی های قدیمی GOST را حذف می کنیم

اگر قبلاً سعی کرده اید CEP را تحت macOS راه اندازی کنید، باید تمام گواهی های نصب شده قبلی را پاک کنید. این دستورات در ترمینال فقط گواهی‌های CryptoPro را حذف می‌کنند و بر گواهی‌های معمولی از Keychain در macOS تأثیری نمی‌گذارند.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

پاسخ هر فرمان باید شامل موارد زیر باشد:

گواهی مطابق با معیارها وجود ندارد

یا

حذف کامل شد

3.2. نصب گواهی های ریشه

گواهی های ریشه برای همه CEP های صادر شده توسط هر مرجع صدور گواهی مشترک است. دانلود از صفحات دانلود منطقه فدرال اورال وزارت مخابرات و ارتباطات جمعی:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

با دستورات در ترمینال نصب کنید:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

هر دستور باید برگردد:

نصب و راه اندازی:
...
[کد خطا: 0x00000000]

3.3. دانلود گواهینامه های مرجع صدور گواهینامه

در مرحله بعد، باید گواهی های مرجع صدور گواهی را که در آن CEP صادر کرده اید، نصب کنید. به طور معمول، گواهی های ریشه هر CA در وب سایت آن در بخش دانلودها قرار دارد.

همچنین، گواهی‌های هر CA را می‌توان از آن دانلود کرد وب سایت منطقه فدرال اورال وزارت مخابرات و ارتباطات جمعی. برای انجام این کار، در فرم جستجو باید یک CA را با نام پیدا کنید، به صفحه دارای گواهینامه بروید و همه چیز را دانلود کنید. بازیگری گواهینامه ها – یعنی آنهایی که دارند 'معتبر' تاریخ دوم هنوز نرسیده است از لینک موجود در فیلد دانلود کنید 'اثر انگشت'.

تصاویر

با استفاده از مثال CA Corus-Consulting: باید 4 گواهی را از آن دانلود کنید صفحات دانلود:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

ما گواهینامه های CA دانلود شده را با استفاده از دستورات ترمینال نصب می کنیم:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

کجا بعد از ~/دانلودها/ نام فایل های دانلود شده لیست شده است؛ آنها برای هر CA متفاوت خواهند بود.

هر دستور باید برگردد:

نصب و راه اندازی:
...
[کد خطا: 0x00000000]

3.4. نصب گواهی با روتوکن

دستور در ترمینال:

/opt/cprocsp/bin/csptestf -absorb -certs

دستور باید برگردد:

OK را بزنید.
[کد خطا: 0x00000000]

4. یک مرورگر ویژه Chromium-GOST نصب کنید

برای کار با پورتال های دولتی، به یک ساخت خاص از مرورگر Chromium نیاز دارید - Chromium-GOST. کد منبع پروژه باز است، لینک به مخزن در GitHub داده می شود وب سایت CryptoPro. از تجربه، مرورگرهای دیگر CryptoFox и مرورگر Yandex آنها برای کار با پورتال های دولتی تحت macOS مناسب نیستند. شایان ذکر است که در برخی از ساخت‌های Chromium-GOST، حساب شخصی در nalog.ru ممکن است مسدود شود یا اسکرول به طور کلی از کار بیفتد، بنابراین نسخه ثابت قدیمی ارائه می‌شود. ساخت 71.0.3578.98 - دانلود.


بایگانی را دانلود و باز کنید، مرورگر را با کپی کردن یا کشیدن و رها کردن آن در فهرست برنامه ها نصب کنید. پس از نصب، Chromium را به اجبار ببندید و هنوز آن را باز نکنید، از Safari کار کنید.

killall Chromium-Gost

5. افزونه های مرورگر را نصب کنید

5.1 پلاگین CryptoPro EDS Browser

با صفحات دانلود دانلود و در وب سایت CryptoPro نصب کنید پلاگین CryptoPro EDS Browser نسخه 2.0 برای کاربران - دانلود.

5.2. پلاگین برای خدمات عمومی

با صفحات دانلود دانلود و در پورتال خدمات دولتی نصب کنید پلاگین برای کار با پورتال خدمات دولتی (نسخه برای macOS) - دانلود.

5.3. راه اندازی یک افزونه برای خدمات دولتی

فایل پیکربندی صحیح پسوند خدمات دولتی را از وب سایت CryptoPro دانلود کنید - دانلود.

اجرای دستورات در ترمینال:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. فعال سازی افزونه ها

مرورگر Chromium-Gost را راه اندازی کنید و در نوار آدرس تایپ کنید:

chrome://extensions/

ما هر دو پسوند نصب شده را فعال می کنیم:

• افزونه CryptoPro برای مرورگر CAdES
• برنامه افزودنی برای افزونه خدمات دولتی

عکس صفحه

5.5. راه اندازی افزونه افزونه CryptoPro EDS Browser

در نوار آدرس Chromium-Gost تایپ می کنیم:

/etc/opt/cprocsp/trusted_sites.html

در صفحه ای که ظاهر می شود، سایت های زیر را یکی یکی به لیست سایت های مورد اعتماد اضافه کنید:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

روی «ذخیره» کلیک کنید. یک نقطه سبز باید ظاهر شود:

لیست گره های قابل اعتماد با موفقیت ذخیره شد.

عکس صفحه

6. بررسی کنید که همه چیز کار می کند

6.1. به صفحه تست CryptoPro بروید

در نوار آدرس Chromium-Gost تایپ می کنیم:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Plugin loaded" باید نمایش داده شود و گواهی شما باید در لیست زیر وجود داشته باشد.
یک گواهی را از لیست انتخاب کنید و روی "Sign" کلیک کنید. از شما پین گواهی خواسته می شود. در نتیجه باید نمایش داده شود

امضا با موفقیت ایجاد شد

عکس صفحه

6.2. به حساب شخصی خود در nalog.ru بروید

ممکن است نتوانید به لینک های سایت nalog.ru دسترسی پیدا کنید، زیرا... چک ها پاس نمی شوند شما باید از طریق لینک های مستقیم بروید:

• دفتر خصوصی PI: https://lkipgost.nalog.ru/lk
• دفتر خصوصی نهاد قانونی: https://lkul.nalog.ru

عکس صفحه

6.3. به خدمات دولتی بروید

هنگام ورود به سیستم، "ورود با استفاده از امضای الکترونیکی" را انتخاب کنید. در لیست «انتخاب گواهینامه کلید تأیید امضای الکترونیکی» که ظاهر می‌شود، همه گواهی‌ها، از جمله روت و CA، نمایش داده می‌شوند؛ باید گواهینامه خود را از یک رمز USB انتخاب کرده و پین را وارد کنید.

عکس صفحه

7. اگر از کار افتاد چه باید کرد

1. ما توکن usb را دوباره وصل می کنیم و با استفاده از دستور موجود در ترمینال بررسی می کنیم که قابل مشاهده باشد:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. ما کش مرورگر را برای همیشه پاک می کنیم، که برای آن در نوار آدرس Chromium-Gost تایپ می کنیم:

   
chrome://settings/clearBrowserData


3. با استفاده از دستور موجود در ترمینال، گواهی CEP را دوباره نصب کنید:

   /opt/cprocsp/bin/csptestf -absorb -certs

تغییر کد پین ظرف

کد پین سفارشی برای روتوکن به طور پیش فرض 12345678، و هیچ راهی برای ترک آن به این صورت وجود ندارد. الزامات کد پین روتوکن: حداکثر 16 کاراکتر، می تواند شامل حروف و اعداد لاتین باشد.

1. نام کانتینر KEP را بیابید

ممکن است چندین گواهی در توکن USB و سایر حافظه‌های ذخیره‌سازی ذخیره شده باشد و شما باید گواهی مناسب را انتخاب کنید. با درج توکن usb، لیستی از تمام کانتینرهای سیستم را با دستور در ترمینال دریافت می کنیم:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

دستور باید حداقل 1 کانتینر را برداشته و برگردد

[کد خطا: 0x00000000]

ظرف مورد نیاز ما شبیه است

.Aktiv Rutoken liteXXXXXXXXX

اگر چندین چنین کانتینر نمایش داده شود، به این معنی است که چندین گواهینامه روی توکن نوشته شده است و شما می دانید که به کدام یک نیاز دارید. معنی XXXXXXXXX بعد از اسلش باید دستور زیر را کپی و پیست کنید.

2. پین را با استفاده از دستوری از ترمینال تغییر دهید

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

جایی که XXXXXXXXX - نام ظرف به دست آمده در مرحله 1 (الزام در نقل قول).

یک گفتگوی CryptoPro ظاهر می شود که از کد پین قدیمی برای دسترسی به گواهی، سپس گفتگوی دیگری برای وارد کردن کد پین جدید درخواست می کند. آماده.

عکس صفحه

امضای فایل ها در macOS

در macOS، فایل‌ها را می‌توان به نرم‌افزار وارد کرد CryptoArm (هزینه مجوز 2500 = مالش)، یا یک دستور ساده از طریق ترمینال - رایگان.

1. هش گواهی CEP را پیدا کنید

ممکن است چندین گواهی در یک توکن و در فروشگاه های دیگر وجود داشته باشد. ما باید به وضوح مشخص کنیم که از این به بعد اسناد را با آن امضا می کنیم. یکبار انجام شد
توکن باید درج شود. ما لیستی از گواهینامه ها را در مخازن با دستور ترمینال دریافت می کنیم:

/opt/cprocsp/bin/certmgr -list

دستور باید حداقل 1 گواهی از فرم را خروجی دهد:

Certmgr 1.1 © "Crypto-Pro"، 2007-2018.
برنامه ای برای مدیریت گواهی ها، CRL ها و فروشگاه ها
= = = = = = = = = = = = = = = = = = = = = =
1---
صادرکننده: [ایمیل محافظت شده],... CN=LLC KORUS Consulting CIS...
موضوع: [ایمیل محافظت شده],... CN=زاخاروف سرگئی آناتولیویچ...
سریال: 0x0000000000000000000000000000000000
هش SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
ظرف: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = = =
[کد خطا: 0x00000000]

گواهی مورد نیاز ما در پارامتر Container باید مقداری مانند داشته باشد SCARDrutoken…. اگر چندین گواهی با چنین مقادیری وجود داشته باشد، چندین گواهینامه روی توکن ثبت شده است و شما می دانید که به کدام یک نیاز دارید. مقدار پارامتر SHA1 هش (40 کاراکتر) باید در دستور زیر کپی و جایگذاری شود.

2. امضای یک فایل با دستوری از ترمینال

در ترمینال، برای امضا به دایرکتوری حاوی فایل بروید و دستور را اجرا کنید:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

جایی که XXXX… - هش گواهی به دست آمده در مرحله 1، و فایل – نام فایل برای امضا (با همه پسوندها، اما بدون مسیر).

دستور باید برگردد:

پیام امضا شده ایجاد می شود.
[کد خطا: 0x00000000]

یک فایل امضای الکترونیکی با پسوند *.sgn ایجاد خواهد شد - این یک امضای جدا شده در قالب CMS با رمزگذاری DER است.

3. Apple Automator Script را نصب کنید

برای اینکه مجبور نباشید هر بار با ترمینال کار کنید، می‌توانید Automator Script را یک بار نصب کنید، که با آن می‌توانید اسناد را از منوی زمینه Finder امضا کنید. برای انجام این کار، آرشیو را دانلود کنید - دانلود.

1. باز کردن آرشیو با CryptoPro.zip امضا کنید
2. راه اندازی Automator است
3. فایل بدون بسته بندی را پیدا کرده و باز کنید با CryptoPro.workflow امضا کنید
4. در بلوک Shell Script را اجرا کنید متن را تغییر دهید خخخخخخخخخخخخخخخخخخخخخخخخخخخخخخخخخ به مقدار پارامتر SHA1 هش گواهی CEP به دست آمده در بالا.
5. اسکریپت را ذخیره کنید: ⌘Command + S
6. فایل را اجرا کنید با CryptoPro.workflow امضا کنید و نصب را تایید کنید.
7. بریم سراغ System تنظیمات -> برنامه های افزودنی -> Finder و آن را بررسی کنید با CryptoPro امضا کنید اقدام سریع ذکر شده است.
8. در Finder، منوی زمینه هر فایل را فراخوانی کنید و در بخش اقدامات سریع و یا خدمات مورد را انتخاب کنید با CryptoPro امضا کنید
9. در گفتگوی CryptoPro که ظاهر می شود، کد پین کاربر را از CEP وارد کنید
10. یک فایل با پسوند *.sgn در فهرست فعلی ظاهر می شود - یک امضای جدا شده در قالب CMS با رمزگذاری DER.

تصاویر

پنجره Apple Automator:

تنظیمات سیستم:

منوی زمینه یاب:

امضای روی سند را بررسی کنید

اگر محتویات سند حاوی اسرار و اسرار نباشد، ساده ترین راه استفاده از سرویس وب در پورتال خدمات دولتی است - https://www.gosuslugi.ru/pgu/eds. به این ترتیب می توانید از یک منبع معتبر اسکرین شات بگیرید و مطمئن شوید که همه چیز با امضا درست است.

تصاویر

منبع: www.habr.com