Sinatura electrónica cualificada para macOS

Conforme RBC и Tensor, en 2019, 4,6 millóns de certificados de sinaturas electrónicas cualificadas (CES) emitiranse en Rusia, cumprindo os requisitos da 63-FZ. Resulta que dos 8 millóns de empresarios individuais e LLC rexistrados, cada segundo empresario usa unha sinatura electrónica. Ademais dos CEP EGAIS e os CEP baseados na nube para informes emitidos por bancos e servizos de contabilidade, os CEP universais sobre tokens seguros son de especial interese. Estes certificados permítenche iniciar sesión nos portais gobernamentais e asinar calquera documento, o que os fai legalmente significativos.

Grazas ao certificado CEP nun token USB, podes concertar un acordo remotamente cunha contraparte ou empregado remoto e enviar documentos ao xulgado; rexistrar unha caixa rexistradora en liña, saldar débedas fiscais e enviar unha declaración na súa conta persoal en nalog.ru; infórmese sobre débedas e próximas inspeccións nos Servizos estatais.

O seguinte manual axudarache traballar con CEP baixo macOS – sen estudar os foros de CryptoPro e instalar unha máquina virtual con Windows.

Contido

O que necesitas para traballar con CEP en macOS:

Instalación e configuración de CEP para macOS

1. Instalación de CryptoPro CSP
2. Instalación de controladores Rutoken
3. Instalación de certificados
   3.1. Eliminamos todos os certificados GOST antigos
   3.2. Instalación de certificados raíz
   3.3. Descargar certificados da autoridade de certificación
   3.4. Instalando un certificado con Rutoken
4. Instala un navegador especial Chromium-GOST
5. Instalación de extensións de navegador
   5.1 Complemento do navegador CryptoPro EDS
   5.2. Plugin para Servizos Públicos
   5.3. Configurar un complemento para os servizos estatais
   5.4. Activando extensións
   5.5. Configurando a extensión do complemento do navegador CryptoPro EDS
6. Comprobando que todo funciona
   6.1. Vaia á páxina de proba de CryptoPro
   6.2. Vaia á súa conta persoal en nalog.ru
   6.3. Vaia a Servizos estatais
7. Que facer se deixa de funcionar

Cambiando o código PIN do recipiente

1. Descubrindo o nome do contedor de KEP
2. Cambiando o PIN cun comando desde o terminal

Asinando ficheiros en macOS

1. Descubrindo o hash do certificado CEP
2. Asinando un ficheiro cun comando desde o terminal
3. Instalación de Apple Automator Script

Comprobe a sinatura do documento

Toda a información a continuación obtense de fontes acreditadas (CryptoPro #1 и #2, Rutoken, Corus-Consultoría, Distrito Federal Ural do Ministerio de Telecomunicacións e Comunicacións de masas), e suxírese descargar software de sitios de confianza. O autor é un consultor independente e non está afiliado a ningunha das empresas mencionadas. Ao seguir estas instrucións, asume a total responsabilidade de calquera acción e consecuencias.

O que necesitas para traballar con CEP en macOS:

1. CEP nun token USB Rutoken Lite ou Rutoken EDS
2. contenedor criptográfico en formato CryptoPro
3. con incorporado licenza para CryptoPro CSP

eToken e JaCarta en conxunto con CryptoPro non son compatibles con macOS. O medio Rutoken Lite é a mellor opción, custa 500..1000= rublos, funciona rapidamente e permite almacenar ata 15 claves.

Os provedores de criptografía VipNet, Signal-COM e LISSY non son compatibles con macOS. Non hai forma de converter contedores. CryptoPro é a mellor opción, o custo do certificado debe ser de aproximadamente 1300 = fregar. para empresarios individuais e 1600 = fregar. para YUL.

Normalmente, unha licenza anual para CryptoPro CSP xa está incluída no certificado e moitas CA proporcionan gratuitamente. Se non é o caso, debes mercar e activar unha licenza perpetua para CryptoPro CSP estrictamente a versión 4 que custa 2700=. CryptoPro CSP versión 5 para macOS non funciona actualmente.

Instalación e configuración de CEP para macOS

Cousas obvias

• todos os ficheiros descargados descárganse no directorio predeterminado: ~/Downloads/;
• Non cambiamos nada en todos os instaladores, deixamos todo por defecto;
• se macOS mostra unha advertencia de que o software que se está a lanzar é dun programador non identificado, debes confirmar o lanzamento na configuración do sistema: Preferencias do sistema —> Seguridade e privacidade —> Abrir de todos os xeitos;
• se macOS pide un contrasinal de usuario e permiso para controlar o ordenador, debes introducir o contrasinal e estar de acordo con todo.

1. Instala CryptoPro CSP

Rexístrate no sitio web CryptoPro and co páxinas de descarga descarga e instala a versión CryptoPro CSP 4.0 R4 para MacOS - descargar.

2. Instale os controladores Rutoken

O sitio web di que isto é opcional, pero é mellor instalalo. Co páxinas de descarga descargar e instalar no sitio web de Rutoken Módulo de soporte de chaveiro - descargar.

A continuación, conecte o token USB, inicie o terminal e execute o comando:

/opt/cprocsp/bin/csptest -card -enum -v

A resposta debe ser:

Rutoken activo…
Tarxeta presente...
[Código de erro: 0x00000000]

3. Instalar certificados

3.1. Eliminamos todos os certificados GOST antigos

Se xa tentou lanzar CEP en macOS, debes borrar todos os certificados instalados previamente. Estes comandos no terminal só eliminarán os certificados de CryptoPro e non afectarán aos certificados habituais de Keychain en macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

A resposta de cada comando debe incluír:

Non hai ningún certificado que coincida cos criterios

ou

Borrado completo

3.2. Instalación de certificados raíz

Os certificados raíz son comúns a todos os CEP emitidos por calquera autoridade de certificación. Descargar desde páxinas de descarga Distrito Federal Ural do Ministerio de Telecomunicacións e Comunicacións de masas:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instalar con comandos no terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Cada comando debería devolver:

Instalación:
...
[Código de erro: 0x00000000]

3.3. Descargar certificados da autoridade de certificación

A continuación, cómpre instalar os certificados da autoridade de certificación onde emitiu o CEP. Normalmente, os certificados raíz de cada CA localízanse no seu sitio web na sección de descargas.

Como alternativa, pódense descargar certificados de calquera CA sitio web do Distrito Federal dos Urales do Ministerio de Telecomunicacións e Comunicacións de masas. Para iso, no formulario de busca cómpre atopar unha CA polo nome, ir á páxina con certificados e descargar todo interpretación certificados, é dicir, aqueles con "Válido" a segunda data aínda non chegou. Descarga desde a ligazón no campo 'Pegada dixital'.

Imaxes

Usando o exemplo de CA Corus-Consulting: necesitas descargar 4 certificados de páxinas de descarga:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Instalamos os certificados CA descargados mediante comandos do terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

onde despois ~/Descargas/ Enuméranse os nomes dos ficheiros descargados; serán diferentes para cada CA.

Cada comando debería devolver:

Instalación:
...
[Código de erro: 0x00000000]

3.4. Instalando un certificado con Rutoken

Comando no terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

O comando debería devolver:

Aceptar.
[Código de erro: 0x00000000]

4. Instala un navegador especial Chromium-GOST

Para traballar con portais gobernamentais, necesitarás unha versión especial do navegador Chromium: Chromium-GOST. O código fonte do proxecto está aberto, ligazón a repositorio en GitHub dáse Sitio web de CryptoPro. Por experiencia, outros navegadores CryptoFox и Navegador Yandex Non son axeitados para traballar con portais gobernamentais baixo macOS. Paga a pena ter en conta que nalgunhas versións de Chromium-GOST, a conta persoal en nalog.ru pode conxelarse ou o desprazamento pode deixar de funcionar por completo, polo que se ofrece a antiga probada. construción 71.0.3578.98 - descargar.


Descargue e desempaquete o arquivo, instale o navegador copiándoo ou arrastrándoo e soltándoo no directorio de Aplicacións. Despois da instalación, forza o peche de Chromium e aínda non o abras, traballa desde Safari.

killall Chromium-Gost

5. Instala extensións do navegador

5.1 Complemento do navegador CryptoPro EDS

Co páxinas de descarga descargar e instalar no sitio web de CryptoPro Complemento do navegador CryptoPro EDS versión 2.0 para usuarios - descargar.

5.2. Plugin para Servizos Públicos

Co páxinas de descarga descargar e instalar no portal de Servizos estatais Complemento para traballar co portal de servizos gobernamentais (versión para macOS) - descargar.

5.3. Configurar un complemento para os servizos estatais

Descarga o ficheiro de configuración correcto para a extensión de Servizos estatais desde o sitio web de CryptoPro - descargar.

Executar comandos no terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Activando extensións

Inicie o navegador Chromium-Gost e escriba na barra de enderezos:

chrome://extensions/

Activamos as dúas extensións instaladas:

• Extensión CryptoPro para o complemento do navegador CAdES
• Extensión para o complemento State Services

Captura de pantalla

5.5. Configurando a extensión do complemento do navegador CryptoPro EDS

Na barra de enderezos de Chromium-Gost escribimos:

/etc/opt/cprocsp/trusted_sites.html

Na páxina que aparece, engade os seguintes sitios á lista de sitios de confianza un por un:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Fai clic en "Gardar". Debería aparecer un punto verde:

A lista de nós de confianza gardouse correctamente.

Captura de pantalla

6. Comproba que todo funciona

6.1. Vaia á páxina de proba de CryptoPro

Na barra de enderezos de Chromium-Gost escribimos:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Debería mostrarse "Plugin loaded" e o seu certificado debería estar presente na lista a continuación.
Seleccione un certificado da lista e prema en "Asinar". Pediráselle o PIN do certificado. Como resultado, debería mostrarse

Sinatura xerada correctamente

Captura de pantalla

6.2. Vaia á súa conta persoal en nalog.ru

É posible que non poidas acceder ás ligazóns do sitio nalog.ru porque... os cheques non pasarán. Debes pasar polas ligazóns directas:

• Oficina particular IP: https://lkipgost.nalog.ru/lk
• Oficina particular Persoa xurídica: https://lkul.nalog.ru

Captura de pantalla

6.3. Vaia a Servizos estatais

Cando inicie sesión, seleccione "Iniciar sesión mediante unha sinatura electrónica". Na lista "Seleccionar o certificado de clave de verificación de sinatura electrónica" que aparece, mostraranse todos os certificados, incluído o root e a CA; debes seleccionar o teu desde un token USB e introducir o PIN.

Captura de pantalla

7. Que facer se deixa de funcionar

1. Volvemos a conectar o token usb e comprobamos que está visible mediante o comando do terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Borramos a caché do navegador para sempre, para o que escribimos na barra de enderezos de Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Reinstale o certificado CEP usando o comando no terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Cambiando o código PIN do recipiente

Código PIN personalizado para Rutoken por defecto 12345678, e non hai forma de deixalo así. Requisitos para o código PIN de Rutoken: 16 caracteres como máximo, poden conter letras e números latinos.

1. Descubre o nome do contedor de KEP

Pode haber varios certificados almacenados no token USB e noutros almacenamentos, e debes escoller o correcto. Co token usb inserido, obtemos unha lista de todos os contedores do sistema co comando no terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

O mando debe retirar polo menos 1 contedor e devolvelo

[Código de erro: 0x00000000]

O recipiente que necesitamos parece

.Aktiv Rutoken liteXXXXXXX

Se se amosan varios contedores deste tipo, significa que hai varios certificados escritos no token e sabes cal necesitas. Significado XXXXXXXX despois da barra, cómpre copiar e pegar no comando a continuación.

2. Cambie o PIN mediante un comando do terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

onde XXXXXXXX – o nome do recipiente obtido no paso 1 (necesariamente entre comiñas).

Aparecerá un diálogo de CryptoPro no que se solicita o código PIN antigo para acceder ao certificado e, a continuación, outro diálogo para introducir o novo código PIN. Listo.

Captura de pantalla

Asinando ficheiros en macOS

En macOS, os ficheiros pódense iniciar sesión no software CryptoArm (custo da licenza 2500 = fregar), ou un simple comando a través do terminal - gratuíto.

1. Descubra o hash do certificado CEP

Pode haber varios certificados nun token e noutras tendas. Hai que identificar claramente con quen asinaremos documentos a partir de agora. Feito unha vez.
Debe inserirse o token. Temos unha lista de certificados nos repositorios co comando do terminal:

/opt/cprocsp/bin/certmgr -list

O comando debe emitir polo menos 1 certificado do formulario:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programa para xestionar certificados, CRL e tendas
= = = = = = = = = = = = = = = = = = =
1---
Emisor: [protexido por correo electrónico],... CN=LLC KORUS Consulting CIS...
asunto: [protexido por correo electrónico],... CN=Zakharov Sergey Anatolyevich...
Serie: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Contedor: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Código de erro: 0x00000000]

O certificado que necesitamos no parámetro Container debe ter un valor como SCARDrutoken.... Se hai varios certificados con tales valores, entón hai varios certificados rexistrados no token e xa sabes cal necesitas. Valor do parámetro SHA1 Hash (40 caracteres) deben ser copiados e pegados no seguinte comando.

2. Asinar un ficheiro cun comando desde o terminal

No terminal, vai ao directorio co ficheiro para asinar e executa o comando:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

onde XXXX… – certificado hash obtido no paso 1, e FICHEIRO – nome do ficheiro para asinar (con todas as extensións, pero sen ruta).

O comando debería devolver:

Créase a mensaxe asinada.
[Código de erro: 0x00000000]

Crearase un ficheiro de sinatura electrónica coa extensión *.sgn: esta é unha sinatura separada en formato CMS con codificación DER.

3. Instala Apple Automator Script

Para evitar ter que traballar co terminal cada vez, pode instalar Automator Script unha vez, co que pode asinar documentos desde o menú contextual do Finder. Para iso, descarga o arquivo - descargar.

1. Descomprimindo o arquivo "Asinar con CryptoPro.zip"
2. Lanzamento Automator
3. Busca e abre o ficheiro desempaquetado "Asinar con CryptoPro.workflow"
4. No bloque Executa o script Shell cambiar o texto XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ao valor do parámetro SHA1 Hash Certificado CEP obtido anteriormente.
5. Garda o script: ⌘Comando + S
6. Executar o ficheiro "Asinar con CryptoPro.workflow" e confirma a instalación.
7. Imos ao Sistema Preferencias -> Extensións -> Buscador e comproba iso Asinar con CryptoPro acción rápida observada.
8. No Finder, chame ao menú contextual de calquera ficheiro e na sección Accións rápidas e / ou servizos seleccionar elemento Asinar con CryptoPro
9. No diálogo CryptoPro que aparece, introduza o código PIN do usuario do CEP
10. No directorio actual aparecerá un ficheiro coa extensión *.sgn: unha sinatura separada en formato CMS con codificación DER.

Imaxes

Ventá de Apple Automator:

Preferencias do sistema:

Menú contextual do Finder:

Comprobe a sinatura do documento

Se o contido do documento non contén segredos e segredos, entón o xeito máis sinxelo é usar o servizo web no portal de Servizos estatais - https://www.gosuslugi.ru/pgu/eds. Deste xeito, podes facer unha captura de pantalla dun recurso respectable e asegurarte de que todo está ben coa sinatura.

Imaxes

Fonte: www.habr.com