Signature électronique qualifiée pour macOS

Selon RBC и Tensor, en 2019, 4,6 millions de certificats de signatures électroniques qualifiées (CES) seront délivrés en Russie, répondant aux exigences du 63-FZ. Il s'avère que sur 8 millions d'entrepreneurs individuels et de SARL enregistrés, un entrepreneur sur deux utilise une signature électronique. Outre les CEP EGAIS et les CEP basés sur le cloud pour les rapports émis par les banques et les services comptables, les CEP universels sur jetons sécurisés présentent un intérêt particulier. De tels certificats vous permettent de vous connecter aux portails gouvernementaux et de signer n'importe quel document, ce qui les rend juridiquement significatifs.

Grâce au certificat CEP sur clé USB, vous pouvez conclure à distance un accord avec une contrepartie ou un collaborateur distant, et transmettre des documents au tribunal ; enregistrer une caisse enregistreuse en ligne, régler les dettes fiscales et soumettre une déclaration dans votre compte personnel sur nalog.ru ; renseignez-vous sur les dettes et les contrôles à venir auprès des Services de l'Etat.

Le manuel ci-dessous vous aidera travailler avec CEP sous macOS – sans étudier les forums CryptoPro et installer une machine virtuelle avec Windows.

Teneur

Ce dont vous avez besoin pour travailler avec CEP sous macOS :

Installation et configuration de CEP pour macOS

1. Installation de CryptoPro CSP
2. Installation des pilotes Rutoken
3. Installation de certificats
   3.1. Nous supprimons tous les anciens certificats GOST
   3.2. Installation des certificats racine
   3.3. Télécharger les certificats des autorités de certification
   3.4. Installer un certificat avec Rutoken
4. Installez un navigateur spécial Chromium-GOST
5. Installation d'extensions de navigateur
   5.1 Plug-in du navigateur CryptoPro EDS
   5.2. Plugin pour les services publics
   5.3. Mise en place d'un plugin pour les Services de l'Etat
   5.4. Activation des extensions
   5.5. Configuration de l'extension du plug-in du navigateur CryptoPro EDS
6. Vérifier que tout fonctionne
   6.1. Accédez à la page de test CryptoPro
   6.2. Accédez à votre compte personnel sur nalog.ru
   6.3. Aller aux Services de l'Etat
7. Que faire s'il cesse de fonctionner

Modification du code PIN du conteneur

1. Connaître le nom du conteneur KEP
2. Changer le code PIN avec une commande du terminal

Signature de fichiers sur macOS

1. Connaître le hachage du certificat CEP
2. Signer un fichier avec une commande du terminal
3. Installation du script Apple Automator

Vérifiez la signature sur le document

Toutes les informations ci-dessous sont obtenues auprès de sources réputées (CryptoPro #1 и #2, Rutoken, Corus-Conseil, District fédéral de l'Oural du ministère des Télécommunications et des Communications de masse), et il est suggéré de télécharger des logiciels à partir de sites de confiance. L'auteur est un consultant indépendant et n'est affilié à aucune des sociétés mentionnées. En suivant ces instructions, vous assumez l'entière responsabilité de toutes actions et conséquences.

Ce dont vous avez besoin pour travailler avec CEP sous macOS :

1. CEP sur un token USB Rutoken Lite ou Rutoken EDS
2. conteneur cryptographique au format CryptoPro
3. avec intégré licence pour CryptoPro CSP

Les médias eToken et JaCarta associés à CryptoPro ne sont pas pris en charge sous macOS. Le support Rutoken Lite est le meilleur choix, il coûte 500..1000= roubles, il fonctionne rapidement et permet de stocker jusqu'à 15 clés.

Les fournisseurs de crypto VipNet, Signal-COM et LISSY ne sont pas pris en charge sur macOS. Il n'existe aucun moyen de convertir les conteneurs. CryptoPro est le meilleur choix, le coût du certificat devrait être d'environ 1300 1600 = frotter. pour les entrepreneurs individuels et XNUMX = frotter. pour YUL.

En règle générale, une licence annuelle pour CryptoPro CSP est déjà incluse dans le certificat et est fournie gratuitement par de nombreuses autorités de certification. Si ce n'est pas le cas, vous devez alors acheter et activer une licence perpétuelle pour CryptoPro CSP strictement version 4 au prix de 2700=. CryptoPro CSP version 5 pour macOS ne fonctionne pas actuellement.

Installation et configuration de CEP pour macOS

Des choses évidentes

• tous les fichiers téléchargés sont téléchargés dans le répertoire par défaut : ~/Downloads/ ;
• Nous ne changeons rien dans tous les installateurs, nous laissons tout par défaut ;
• si macOS affiche un avertissement indiquant que le logiciel en cours de lancement provient d'un développeur non identifié, vous devez confirmer le lancement dans les paramètres système : Préférences Système -> Sécurité et confidentialité -> Ouvrir quand même;
• si macOS demande un mot de passe utilisateur et l'autorisation de contrôler l'ordinateur, vous devez saisir le mot de passe et accepter tout.

1. Installez CryptoPro CSP

S'inscrire sur le site CryptoPro et co pages de téléchargement téléchargez et installez la version CSP CryptoPro 4.0 R4 pour macOS - скачать.

2. Installez les pilotes Rutoken

Le site Web indique que c’est facultatif, mais il est préférable de l’installer. Co pages de téléchargement télécharger et installer sur le site Rutoken Module de prise en charge du trousseau - скачать.

Ensuite, connectez le token USB, lancez le terminal et exécutez la commande :

/opt/cprocsp/bin/csptest -card -enum -v

La réponse devrait être :

Actif Rutoken…
Carte présente…
[Code d'erreur : 0x00000000]

3. Installer les certificats

3.1. Nous supprimons tous les anciens certificats GOST

Si vous avez déjà tenté de lancer CEP sous macOS, vous devez effacer tous les certificats précédemment installés. Ces commandes dans le terminal supprimeront uniquement les certificats CryptoPro et n'affecteront pas les certificats standards du trousseau sur macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

La réponse de chaque commande doit inclure :

Aucun certificat correspondant aux critères

ou

Suppression terminée

3.2. Installation des certificats racine

Les certificats racines sont communs à tous les CEP émis par n'importe quelle autorité de certification. Télécharger à partir de pages de téléchargement District fédéral de l'Oural du ministère des Télécommunications et des Communications de masse :

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installez avec les commandes dans le terminal :

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Chaque commande doit renvoyer :

Installation:
...
[Code d'erreur : 0x00000000]

3.3. Télécharger les certificats des autorités de certification

Ensuite, vous devez installer les certificats de l'autorité de certification auprès de laquelle vous avez délivré le CEP. Généralement, les certificats racines de chaque autorité de certification se trouvent sur son site Web dans la section téléchargements.

Alternativement, les certificats de n'importe quelle autorité de certification peuvent être téléchargés à partir de site Internet du District fédéral de l'Oural du ministère des Télécommunications et des Communications de masse. Pour ce faire, dans le formulaire de recherche, vous devez trouver une autorité de certification par son nom, accéder à la page des certificats et tout télécharger agissant certificats – c’est-à-dire ceux avec 'Valide' le deuxième rendez-vous n'est pas encore arrivé. Télécharger à partir du lien dans le champ 'Empreinte digitale'.

Captures d'écran

En prenant l'exemple de CA Corus-Consulting : vous devez télécharger 4 certificats depuis pages de téléchargement:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Nous installons les certificats CA téléchargés à l'aide des commandes du terminal :

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

où après ~/Téléchargements/ Les noms des fichiers téléchargés sont répertoriés ; ils seront différents pour chaque AC.

Chaque commande doit renvoyer :

Installation:
...
[Code d'erreur : 0x00000000]

3.4. Installer un certificat avec Rutoken

Commande dans le terminal :

/opt/cprocsp/bin/csptestf -absorb -certs

La commande doit renvoyer :

D'ACCORD.
[Code d'erreur : 0x00000000]

4. Installez un navigateur spécial Chromium-GOST

Pour travailler avec les portails gouvernementaux, vous aurez besoin d'une version spéciale du navigateur Chrome - Chrome-GOST. Le code source du projet est ouvert, lien vers dépôt sur GitHub est donné sur Site Web CryptoPro. Par expérience, autres navigateurs CryptoFox и Navigateur Yandex Ils ne conviennent pas pour travailler avec des portails gouvernementaux sous macOS. Il convient de noter que dans certaines versions de Chromium-GOST, le compte personnel sur nalog.ru peut se bloquer ou le défilement peut cesser complètement de fonctionner, c'est pourquoi l'ancien compte éprouvé est proposé construire 71.0.3578.98 - скачать.


Téléchargez et décompressez l'archive, installez le navigateur en le copiant ou en le glissant-déposant dans le répertoire Applications. Après l'installation, forcez la fermeture de Chromium et ne l'ouvrez pas encore, travaillez depuis Safari.

killall Chromium-Gost

5. Installez les extensions de navigateur

5.1 Plug-in du navigateur CryptoPro EDS

Avec pages de téléchargement télécharger et installer sur le site CryptoPro Plug-in du navigateur CryptoPro EDS version 2.0 pour les utilisateurs - скачать.

5.2. Plugin pour les services publics

Avec pages de téléchargement télécharger et installer sur le portail des Services de l'Etat Plugin pour travailler avec le portail des services gouvernementaux (version pour macOS) - скачать.

5.3. Mise en place d'un plugin pour les Services de l'Etat

Téléchargez le fichier de configuration correct pour l'extension State Services depuis le site Web CryptoPro - скачать.

Exécutez les commandes dans le terminal :

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Activation des extensions

Lancez le navigateur Chromium-Gost et tapez dans la barre d'adresse :

chrome://extensions/

Nous activons les deux extensions installées :

• Extension CryptoPro pour le plug-in du navigateur CAdES
• Extension pour le plugin State Services

Capture d'écran

5.5. Configuration de l'extension du plug-in du navigateur CryptoPro EDS

Dans la barre d'adresse Chromium-Gost, nous tapons :

/etc/opt/cprocsp/trusted_sites.html

Sur la page qui apparaît, ajoutez un à un les sites suivants à la liste des sites de confiance :

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Cliquez sur « Enregistrer ». Un point vert devrait apparaître :

La liste des nœuds de confiance a été enregistrée avec succès.

Capture d'écran

6. Vérifiez que tout fonctionne

6.1. Accédez à la page de test CryptoPro

Dans la barre d'adresse Chromium-Gost, nous tapons :

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

« Plugin chargé » devrait être affiché et votre certificat doit être présent dans la liste ci-dessous.
Sélectionnez un certificat dans la liste et cliquez sur « Signer ». Le code PIN du certificat vous sera demandé. En conséquence, il devrait afficher

Signature générée avec succès

Capture d'écran

6.2. Accédez à votre compte personnel sur nalog.ru

Vous ne pourrez peut-être pas accéder aux liens du site nalog.ru, car... les chèques ne passeront pas. Il faut passer par des liens directs :

• Bureau privé FE: https://lkipgost.nalog.ru/lk
• Bureau privé Yul: https://lkul.nalog.ru

Capture d'écran

6.3. Aller aux Services de l'Etat

Lors de votre connexion, sélectionnez « Se connecter à l’aide d’une signature électronique ». Dans la liste « Sélectionner le certificat de clé de vérification de signature électronique » qui apparaît, tous les certificats, y compris racine et CA, seront affichés ; vous devez sélectionner le vôtre à partir d'un jeton USB et saisir le code PIN.

Capture d'écran

7. Que faire s'il ne fonctionne plus

1. On reconnecte le token USB et vérifie qu'il est visible à l'aide de la commande dans le terminal :

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Nous vidons définitivement le cache du navigateur, pour lequel nous tapons dans la barre d'adresse Chromium-Gost :

   
chrome://settings/clearBrowserData


3. Réinstallez le certificat CEP à l'aide de la commande dans le terminal :

   /opt/cprocsp/bin/csptestf -absorb -certs

Modification du code PIN du conteneur

Code PIN personnalisé pour Rutoken par défaut 12345678, et il n'y a aucun moyen de le laisser comme ça. Conditions requises pour le code PIN Rutoken : 16 caractères maximum, peut contenir des lettres et des chiffres latins.

1. Découvrez le nom du conteneur KEP

Il peut y avoir plusieurs certificats stockés sur le jeton USB et d'autres stockages, et vous devez choisir le bon. Avec le jeton USB inséré, nous obtenons une liste de tous les conteneurs du système avec la commande dans le terminal :

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Le commandement doit retirer au moins 1 conteneur et restituer

[Code d'erreur : 0x00000000]

Le conteneur dont nous avons besoin ressemble à

.Aktiv Rutoken liteXXXXXXXXX

Si plusieurs de ces conteneurs sont affichés, cela signifie que plusieurs certificats sont écrits sur le token et que vous savez lequel vous avez besoin. Signification XXXXXXXX après la barre oblique, vous devez copier et coller dans la commande ci-dessous.

2. Changez le code PIN à l'aide d'une commande du terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

où XXXXXXXX – le nom du conteneur obtenu à l’étape 1 (obligatoirement entre guillemets).

Une boîte de dialogue CryptoPro apparaîtra demandant l'ancien code PIN pour accéder au certificat, puis une autre boîte de dialogue pour saisir le nouveau code PIN. Prêt.

Capture d'écran

Signature de fichiers sur macOS

Sur macOS, les fichiers peuvent être signés dans un logiciel CryptoArm (coût de la licence 2500 = rub.), ou une simple commande via le terminal - gratuite.

1. Découvrez le hash du certificat CEP

Il peut y avoir plusieurs certificats sur un token et dans d'autres magasins. Nous devons désormais identifier clairement celui avec lequel nous signerons les documents. Fait une fois.
Le jeton doit être inséré. On obtient une liste des certificats dans les référentiels avec la commande du terminal :

/opt/cprocsp/bin/certmgr -list

La commande doit générer au moins 1 certificat du formulaire :

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programme de gestion des certificats, des CRL et des magasins
= = = = = = = = = = = = = = = = = = = = = =
1---
Emetteur: [email protected],... CN=LLC KORUS Consulting CIS...
Sujet: [email protected],... CN=Zakharov Sergueï Anatolyevitch...
Série : 0x0000000000000000000000000000000000
Hachage SHA1 : XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Conteneur : SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = = =
[Code d'erreur : 0x00000000]

Le certificat dont nous avons besoin dans le paramètre Container doit avoir une valeur comme SCARDrutoken…. S'il existe plusieurs certificats avec de telles valeurs, plusieurs certificats sont enregistrés sur le jeton et vous savez lequel vous avez besoin. Valeur du paramètre Hachage SHA1 (40 caractères) doivent être copiés et collés dans la commande ci-dessous.

2. Signer un fichier avec une commande du terminal

Dans le terminal, allez dans le répertoire contenant le fichier à signer et exécutez la commande :

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

où XXXXX… – le hachage du certificat obtenu à l'étape 1, et DOSSIER – nom du fichier à signer (avec toutes les extensions, mais sans chemin).

La commande doit renvoyer :

Un message signé est créé.
[Code d'erreur : 0x00000000]

Un fichier de signature électronique sera créé avec l'extension *.sgn - il s'agit d'une signature détachée au format CMS avec encodage DER.

3. Installez le script Apple Automator

Pour éviter d'avoir à travailler avec le terminal à chaque fois, vous pouvez installer une fois Automator Script, avec lequel vous pourrez signer des documents à partir du menu contextuel du Finder. Pour ce faire, téléchargez l'archive - скачать.

1. Déballage de l'archive « Signez avec CryptoPro.zip »
2. Run Automator
3. Recherchez et ouvrez le fichier décompressé « Signez avec CryptoPro.workflow »
4. Dans le bloc Exécuter le script Shell changer le texte XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX à la valeur du paramètre Hachage SHA1 Certificat CEP obtenu ci-dessus.
5. Enregistrez le script : ⌘Command + S
6. Exécutez le fichier « Signez avec CryptoPro.workflow » et confirmez l'installation.
7. Passons au système Préférences -> Extensions -> Finder et vérifie ça Signez avec CryptoPro action rapide notée.
8. Dans le Finder, appelez le menu contextuel de n'importe quel fichier, et dans la section Actions rapides et / ou Services sélectionnez l'élément Signez avec CryptoPro
9. Dans la boîte de dialogue CryptoPro qui apparaît, saisissez le code PIN utilisateur du CEP
10. Un fichier avec l'extension *.sgn apparaîtra dans le répertoire courant - une signature détachée au format CMS avec encodage DER.

Captures d'écran

Fenêtre Apple Automator :

Préférences de système:

Menu contextuel du Finder :

Vérifiez la signature sur le document

Si le contenu du document ne contient pas de secrets ni de secrets, le moyen le plus simple consiste à utiliser le service Web sur le portail des services de l'État - https://www.gosuslugi.ru/pgu/eds. De cette façon, vous pouvez prendre une capture d'écran à partir d'une ressource réputée et être sûr que tout va bien avec la signature.

Captures d'écran

Source: habr.com