Kwalifisearre elektroanyske hantekening foar macOS

Neffens RBK и Tensor, yn 2019, 4,6 miljoen sertifikaten fan kwalifisearre elektroanyske hantekeningen (CES) wurde útjûn yn Ruslân, foldogge oan de easken fan 63-FZ. It docht bliken dat út 8 miljoen registrearre yndividuele ûndernimmers en LLC's, elke twadde ûndernimmer in elektroanyske hantekening brûkt. Neist EGAIS CEP's en cloud-basearre CEP's foar rapportaazje útjûn troch banken en boekhâldingstsjinsten, binne universele CEP's op feilige tokens fan bysûnder belang. Sokke sertifikaten kinne jo oanmelde by regearingportalen en alle dokuminten ûndertekenje, wêrtroch se juridysk wichtich binne.

Mei tank oan it CEP-sertifikaat op in USB-token kinne jo op ôfstân in oerienkomst slute mei in tsjinpartij of meiwurker op ôfstân, en dokuminten stjoere nei de rjochtbank; registrearje in online kassa, regelje belestingskulden en yntsjinje in ferklearring yn jo persoanlike akkount op nalog.ru; útfine oer skulden en kommende ynspeksjes by Steatstsjinsten.

De hânlieding hjirûnder sil helpe wurkje mei CEP ûnder macOS - sûnder de CryptoPro-forums te studearjen en in firtuele masine te ynstallearjen mei Windows.

Ynhâld

Wat jo nedich hawwe om te wurkjen mei CEP ûnder macOS:

Ynstallearje en konfigurearje CEP foar macOS

1. Ynstallaasje fan CryptoPro CSP
2. Ynstallaasje fan Rutoken-bestjoerders
3. It ynstallearjen fan sertifikaten
   3.1. Wy wiskje alle âlde GOST-sertifikaten
   3.2. Ynstallearje root-sertifikaten
   3.3. Download sertifikaten fan sertifikaasjeautoriteit
   3.4. It ynstallearjen fan in sertifikaat mei Rutoken
4. Ynstallearje in spesjale browser Chromium-GOST
5. Ynstallearje browser tafoegings
   5.1 CryptoPro EDS Browser plug-in
   5.2. Plugin foar publike tsjinsten
   5.3. It ynstellen fan in plugin foar State Services
   5.4. Aktivearje útwreidingen
   5.5. It ynstellen fan de CryptoPro EDS Browser plug-in tafoeging
6. Kontrolearje dat alles wurket
   6.1. Gean nei de CryptoPro-testside
   6.2. Gean nei jo persoanlike akkount op nalog.ru
   6.3. Gean nei State Services
7. Wat te dwaan as it ophâldt mei wurkjen

It feroarjen fan de container PIN koade

1. De namme fan 'e KEP-kontener fine
2. PIN feroarje mei in kommando fan 'e terminal

Triemen ûndertekenje op macOS

1. De hash fan it CEP-sertifikaat fine
2. In bestân ûndertekenje mei in kommando fan 'e terminal
3. Ynstallearje Apple Automator Script

Kontrolearje de hantekening op it dokumint

Alle ynformaasje hjirûnder wurdt krigen fan renommearre boarnen (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Oeral Federal District fan it ministearje fan Telecom en Mass Communications), en it wurdt suggerearre om software te downloaden fan fertroude siden. De skriuwer is in ûnôfhinklike adviseur en is net oansletten by ien fan 'e neamde bedriuwen. Troch dizze ynstruksjes te folgjen, nimme jo folsleine ferantwurdlikens foar alle aksjes en gefolgen.

Wat jo nedich hawwe om te wurkjen mei CEP ûnder macOS:

1. CEP op in USB token Rutoken Lite of Rutoken EDS
2. krypto container yn CryptoPro-formaat
3. mei ynboude lisinsje foar CryptoPro CSP

eToken en JaCarta media yn gearhing mei CryptoPro wurde net stipe ûnder macOS. De Rutoken Lite media is de bêste kar, it kostet 500..1000= roebel, it wurket fluch en lit jo maksimaal 15 kaaien opslaan.

Krypto-oanbieders VipNet, Signal-COM en LISSY wurde net stipe op macOS. D'r is gjin manier om konteners te konvertearjen. CryptoPro is de bêste kar, de kosten fan it sertifikaat moatte sawat 1300 = rub wêze. foar yndividuele ûndernimmers en 1600 = rub. foar YUL.

Typysk is in jierlikse lisinsje foar CryptoPro CSP al opnommen yn it sertifikaat en wurdt fergees levere troch in protte CA's. As dit net it gefal is, dan moatte jo in ivige lisinsje keapje en aktivearje foar CryptoPro CSP strikt ferzje 4 kostet 2700 =. CryptoPro CSP ferzje 5 foar macOS wurket op it stuit net.

Ynstallearje en konfigurearje CEP foar macOS

Dúdlike dingen

• alle ynladen triemmen wurde ynladen nei de standert map: ~/Downloads/;
• Wy feroarje neat yn alle ynstallearders, wy litte alles as standert;
• as macOS in warskôging toant dat de software dy't wurdt lansearre is fan in net identifisearre ûntwikkelder, moatte jo de start befêstigje yn 'e systeemynstellingen: Systeemfoarkarren -> Feiligens en privacy -> Yn alle gefallen iepenje;
• as macOS freget om in brûkerswachtwurd en tastimming om de kompjûter te kontrolearjen, moatte jo it wachtwurd ynfiere en mei alles iens wêze.

1. Ynstallearje CryptoPro CSP

Register op 'e webside CryptoPro en co download siden download en ynstallearje de ferzje CryptoPro CSP 4.0 R4 foar MacOS - скачать.

2. Ynstallearje Rutoken-bestjoerders

De webside seit dat dit opsjoneel is, mar it is better om it te ynstallearjen. Co download siden download en ynstallearje op 'e Rutoken-webside Keychain stipe module - скачать.

Ferbine dêrnei de usb-token, start it terminal en fier it kommando út:

/opt/cprocsp/bin/csptest -card -enum -v

It antwurd moat wêze:

Aktive Rutoken…
Kaart oanwêzich…
[Flaterkoade: 0x00000000]

3. Ynstallearje sertifikaten

3.1. Wy wiskje alle âlde GOST-sertifikaten

As jo ​​earder besocht hawwe CEP te starten ûnder macOS, dan moatte jo alle earder ynstalleare sertifikaten wiskje. Dizze kommando's yn 'e terminal sille allinich CryptoPro-sertifikaten wiskje en hawwe gjin ynfloed op reguliere sertifikaten fan Keychain op macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

It antwurd fan elk kommando moat befetsje:

Gjin sertifikaat dat oerienkomt mei de kritearia

of

It wiskjen kompleet

3.2. Ynstallearje root-sertifikaten

Root-sertifikaten binne mienskiplik foar alle CEP's útjûn troch elke sertifisearingsautoriteit. Download fan download siden Oeral Federal District fan it Ministearje fan Telekom en Massakommunikaasje:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Ynstallearje mei kommando's yn terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Elk kommando moat weromkomme:

Ynstallaasje:
...
[Flaterkoade: 0x00000000]

3.3. Download sertifikaten fan sertifikaasjeautoriteit

Folgjende moatte jo de sertifikaten ynstallearje fan 'e sertifisearringsautoriteit wêr't jo de CEP hawwe útjûn. Typysk lizze de rootsertifikaten fan elke CA op har webside yn 'e downloadseksje.

As alternatyf kinne sertifikaten fan elke CA wurde downloade fanút webside fan it Ural Federal District fan it Ministearje fan Telekom en Massakommunikaasje. Om dit te dwaan, moatte jo yn it sykformulier in CA fine by namme, gean nei de side mei sertifikaten en download alles aktearjen sertifikaten - dat is, dy mei 'Jildich' de twadde datum is noch net oankommen. Download fan 'e keppeling yn it fjild 'Fingerprint'.

Screenshots

Mei it foarbyld fan CA Corus-Consulting: jo moatte 4 sertifikaten downloade fan download siden:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Wy ynstallearje de ynladen CA-sertifikaten mei kommando's fan it terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

wêr nei ~/Downloads/ De nammen fan 'e ynladen bestannen wurde neamd; se sille ferskillend wêze foar elke CA.

Elk kommando moat weromkomme:

Ynstallaasje:
...
[Flaterkoade: 0x00000000]

3.4. It ynstallearjen fan in sertifikaat mei Rutoken

Kommando yn terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

It kommando moat weromkomme:

OK.
[Flaterkoade: 0x00000000]

4. Ynstallearje in spesjale browser Chromium-GOST

Om mei oerheidsportalen te wurkjen, sille jo in spesjale build fan 'e Chromium-blêder nedich wêze - Chromium-GOST. De boarnekoade fan it projekt is iepen, keppeling nei repository op GitHub wurdt jûn op CryptoPro webside. Ut ûnderfining, oare browsers CryptoFox и Yandex browser Se binne net geskikt foar wurkjen mei regearingportalen ûnder macOS. It is it wurdich te beskôgjen dat yn guon builds fan Chromium-GOST it persoanlike akkount op nalog.ru kin befrieze of it rôljen kin hielendal stopje mei wurkjen, sadat de âlde bewezen wurdt oanbean bou 71.0.3578.98 - скачать.


Download en útpakke it argyf, ynstallearje de browser troch it te kopiearjen of te slepen en te fallen yn 'e map applikaasjes. Nei ynstallaasje, Force slute Chromium en iepenje it noch net, wurkje fan Safari.

killall Chromium-Gost

5. Ynstallearje browser tafoegings

5.1 CryptoPro EDS Browser plug-in

Mei download siden download en ynstallearje op 'e CryptoPro-webside CryptoPro EDS Browser plug-in ferzje 2.0 foar brûkers - скачать.

5.2. Plugin foar publike tsjinsten

Mei download siden download en ynstallearje op it Portal fan State Services Plugin foar wurkjen mei it portal foar oerheidstsjinsten (ferzje foar macOS) - скачать.

5.3. It ynstellen fan in plugin foar State Services

Download it juste konfiguraasjetriem foar de tafoeging fan State Services fan 'e CryptoPro-webside - скачать.

Kommando's útfiere yn terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktivearje útwreidingen

Starte de Chromium-Gost-blêder en typ yn 'e adresbalke:

chrome://extensions/

Wy skeakelje beide ynstalleare tafoegings yn:

• CryptoPro Extension foar CAdES Browser Plug-in
• Utwreiding foar de plugin State Services

Skermprint

5.5. It ynstellen fan de CryptoPro EDS Browser plug-in tafoeging

Yn 'e Chromium-Gost adresbalke typen wy:

/etc/opt/cprocsp/trusted_sites.html

Op de side dy't ferskynt, foegje de folgjende siden ien foar ien ta oan 'e list mei fertroude siden:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klik op "Bewarje". In griene stip moat ferskine:

De list mei fertroude knopen is mei súkses bewarre.

Skermprint

6. Kontrolearje dat alles wurket

6.1. Gean nei de CryptoPro-testside

Yn 'e Chromium-Gost adresbalke typen wy:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Plugin laden" moat werjûn wurde, en jo sertifikaat moat oanwêzich wêze yn 'e list hjirûnder.
Selektearje in sertifikaat út 'e list en klik op "Undertekenje". Jo wurde frege om de sertifikaat PIN. As resultaat moat it werjaan

Hântekening mei súkses oanmakke

Skermprint

6.2. Gean nei jo persoanlike akkount op nalog.ru

Jo kinne miskien gjin tagong krije ta keppelings fan 'e side nalog.ru, om't ... kontrôles sille net foarby. Jo moatte troch direkte keppelings gean:

• Persoanlike akkount SP: https://lkipgost.nalog.ru/lk
• Persoanlike akkount Juridyske entiteit: https://lkul.nalog.ru

Skermprint

6.3. Gean nei State Services

As jo ​​​​ynlogge, selektearje "Oanmelde mei in elektroanyske hântekening." Yn de list "Selektearje sertifikaat foar ferifikaasje fan elektroanyske hantekening" dy't ferskynt, sille alle sertifikaten, ynklusyf root en CA, wurde werjûn; jo moatte josels selektearje fan in USB-token en de PIN ynfiere.

Skermprint

7. Wat te dwaan as it ophâldt te wurkjen

1. Wy ferbine it usb-token opnij en kontrolearje dat it sichtber is mei it kommando yn 'e terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Wy wiskje de browser-cache foar altyd, wêrfoar wy yn 'e Chromium-Gost-adresbalke ynfiere:

   
chrome://settings/clearBrowserData


3. Ynstallearje it CEP-sertifikaat opnij mei it kommando yn 'e terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

It feroarjen fan de container PIN koade

Oanpaste PIN-koade foar Rutoken standert 12345678, en der is gjin wei in ferlitte it like this. Easken foar de Rutoken PIN-koade: 16 tekens max., kin befetsje Latynske letters en sifers.

1. Fyn de namme fan 'e KEP-kontener

D'r kinne ferskate sertifikaten wurde opslein op 'e USB-token en oare opslach, en jo moatte de juste kieze. Mei de usb-token ynfoege, krije wy in list fan alle konteners yn it systeem mei it kommando yn 'e terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

It kommando moat op syn minst 1 kontener weromlûke en weromkomme

[Flaterkoade: 0x00000000]

De kontener dy't wy nedich hawwe liket

.Aktiv Rutoken liteXXXXXXXXX

As ferskate sokke konteners wurde werjûn, betsjut it dat d'r ferskate sertifikaten binne skreaun op it token, en jo witte hokker jo nedich binne. Betsjutting xxxxxxxx nei de slash moatte jo kopiearje en plakke yn it kommando hjirûnder.

2. Feroarje PIN mei help fan in kommando út de terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

wêr xxxxxxxx - de namme fan 'e kontener krigen yn stap 1 (nedich yn oanhalingstekens).

In CryptoPro-dialooch sil ferskine dy't freget om de âlde PIN-koade om tagong te krijen ta it sertifikaat, dan in oar dialooch om de nije PIN-koade yn te fieren. Klear.

Skermprint

Triemen ûndertekenje op macOS

Op macOS kinne bestannen wurde oanmeld yn software CryptoArm (lisinsje kosten 2500 = rub.), Of in ienfâldich kommando fia de terminal - fergees.

1. Fyn de hash fan it CEP-sertifikaat út

D'r kinne meardere sertifikaten wêze op in token en yn oare winkels. Wy moatte dúdlik identifisearje wa't wy fan no ôf dokuminten sille ûndertekenje. Ien kear dien.
It token moat wurde ynfoege. Wy krije in list mei sertifikaten yn 'e repositories mei it kommando fan' e terminal:

/opt/cprocsp/bin/certmgr -list

It kommando moat op syn minst 1 sertifikaat fan it formulier útfiere:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programma foar it behearen fan sertifikaten, CRL's en winkels
= = = = = = = = = = = = = = = = = = = = =
1---
Utjouwer: [e-post beskerme],... CN=LLC KORUS Consulting CIS...
Ûnderwerp: [e-post beskerme],... CN=Zakharov Sergey Anatolyevich...
Searje: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Flaterkoade: 0x00000000]

It sertifikaat dat wy nedich binne yn 'e Container-parameter moat in wearde hawwe lykas SCARDrutoken…. As d'r ferskate sertifikaten binne mei sokke wearden, dan binne d'r ferskate sertifikaten opnommen op it token, en jo witte hokker jo nedich binne. Parameter wearde SHA1 Hash (40 karakters) moatte wurde kopiearre en plakke yn it kommando hjirûnder.

2. Undertekenjen fan in triem mei in kommando fan 'e terminal

Gean yn it terminal nei de map mei it bestân om it kommando te tekenjen en út te fieren:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

wêr XXXX… - sertifikaat hash krigen yn stap 1, en MAP - triemnamme om te ûndertekenjen (mei alle tafoegings, mar sûnder paad).

It kommando moat weromkomme:

Undertekene berjocht wurdt makke.
[Flaterkoade: 0x00000000]

In elektroanyske hântekeningbestân mei de tafoeging *.sgn sil oanmakke wurde - dit is in losmakke hântekening yn CMS-formaat mei DER-kodearring.

3. Ynstallearje Apple Automator Script

Om foar te kommen dat jo elke kear mei de terminal moatte wurkje, kinne jo Automator Script ienris ynstallearje, wêrmei jo dokuminten kinne ûndertekenje fanút it kontekstmenu fan Finder. Om dit te dwaan, download it argyf - скачать.

1. It argyf útpakke 'Undertekenje mei CryptoPro.zip'
2. Launch Automator
3. Sykje en iepenje it útpakte bestân 'Undertekenje mei CryptoPro.workflow'
4. Yn it blok Rinne Shell Script feroarje de tekst XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX nei de parameter wearde SHA1 Hash CEP-sertifikaat krigen hjirboppe.
5. Bewarje it skript: ⌘Command + S
6. Run de triem 'Undertekenje mei CryptoPro.workflow' en befêstigje de ynstallaasje.
7. Litte wy nei Systeem gean Foarkarren -> Tafoegings -> Finder en kontrolearje dat Undertekenje mei CryptoPro flugge aksje notearre.
8. Yn Finder, rop it kontekstmenu fan elke triem, en yn 'e seksje Hokker aksjes en / of Tsjinsten selektearje item Undertekenje mei CryptoPro
9. Fier yn it CryptoPro-dialoochfinster dat ferskynt de brûker PIN-koade yn fan 'e CEP
10. In bestân mei de tafoeging *.sgn sil ferskine yn 'e aktuele map - in frijsteande hântekening yn CMS-formaat mei DER-kodearring.

Screenshots

Apple Automator finster:

Systeemfoarkarren:

Finder kontekstmenu:

Kontrolearje de hantekening op it dokumint

As de ynhâld fan it dokumint gjin geheimen en geheimen befettet, dan is de maklikste manier om de webtsjinst te brûken op it Portal fan State Services - https://www.gosuslugi.ru/pgu/eds. Op dizze manier kinne jo in skermôfbylding nimme fan in renommearre boarne en der wis fan wêze dat alles goed is mei de hantekening.

Screenshots

Boarne: www.habr.com