Kvalificirani elektronički potpis za macOS

Prema RBC и Tenzor2019. u Rusiji će biti izdano 4,6 milijuna potvrda kvalificiranih elektroničkih potpisa (CES), u skladu sa zahtjevima 63-FZ. Pokazalo se da od 8 milijuna registriranih samostalnih poduzetnika i doo svaki drugi poduzetnik koristi elektronički potpis. Uz EGAIS CEP-ove i CEP-ove za izvještavanje u oblaku koje izdaju banke i računovodstveni servisi, posebno su zanimljivi univerzalni CEP-ovi na sigurnim tokenima. Takvi certifikati omogućuju vam da se prijavite na državne portale i potpišete sve dokumente, što ih čini pravno značajnim.

Zahvaljujući CEP certifikatu na USB tokenu možete na daljinu sklopiti ugovor s drugom ugovornom stranom ili udaljenim zaposlenikom te poslati dokumente sudu; registrirajte internetsku blagajnu, podmirite porezne dugove i podnesite deklaraciju na svom osobnom računu na nalog.ru; saznati o dugovima i nadolazećim inspekcijama u državnim službama.

Priručnik u nastavku će vam pomoći rad s CEP-om pod macOS-om – bez proučavanja CryptoPro foruma i instaliranja virtualnog stroja sa sustavom Windows.

sadržaj

Što vam je potrebno za rad s CEP-om pod macOS-om:

Instaliranje i konfiguriranje CEP-a za macOS

1. Instaliranje CryptoPro CSP
2. Instalacija Rutoken drajvera
3. Instaliranje certifikata
   3.1. Brišemo sve stare GOST certifikate
   3.2. Instaliranje root certifikata
   3.3. Preuzmite certifikate certifikacijskih tijela
   3.4. Instaliranje certifikata s Rutokenom
4. Instalirajte poseban preglednik Chromium-GOST
5. Instaliranje proširenja preglednika
   5.1 CryptoPro EDS dodatak za preglednik
   5.2. Dodatak za javne usluge
   5.3. Postavljanje dodatka za državne usluge
   5.4. Aktiviranje proširenja
   5.5. Postavljanje CryptoPro EDS Browser plug-in proširenja
6. Provjera radi li sve
   6.1. Idite na testnu stranicu CryptoPro
   6.2. Idite na svoj osobni račun na nalog.ru
   6.3. Idite u državne službe
7. Što učiniti ako prestane raditi

Promjena PIN koda spremnika

1. Saznavanje naziva spremnika KEP
2. Promjena PIN-a naredbom s terminala

Potpisivanje datoteka na macOS-u

1. Pronalaženje hasha CEP certifikata
2. Potpisivanje datoteke naredbom s terminala
3. Instaliranje Apple Automator Script

Provjerite potpis na dokumentu

Sve dolje navedene informacije dobivene su iz renomiranih izvora (CryptoPro #1 и #2, Rutoken, Corus-Savjetovanje, Uralski savezni okrug Ministarstva telekomunikacija i masovnih komunikacija), a preporučuje se preuzimanje softvera s pouzdanih stranica. Autor je neovisni konzultant i nije povezan ni s jednom od spomenutih tvrtki. Slijedeći ove upute, preuzimate punu odgovornost za sve postupke i posljedice.

Što vam je potrebno za rad s CEP-om pod macOS-om:

1. CEP na USB tokenu Rutoken Lite ili Rutoken EDS
2. kripto kontejner u CryptoPro formatu
3. s ugrađenim licenca za CryptoPro CSP

eToken i JaCarta mediji u kombinaciji s CryptoPro nisu podržani pod macOS-om. Rutoken Lite medij je najbolji izbor, košta 500..1000= rubalja, radi brzo i omogućuje pohranjivanje do 15 ključeva.

Kripto pružatelji VipNet, Signal-COM i LISSY nisu podržani na macOS-u. Ne postoji način za pretvorbu spremnika. CryptoPro je najbolji izbor, cijena certifikata trebala bi biti oko 1300 = rub. za pojedinačne poduzetnike i 1600 = rub. za YUL.

Obično je godišnja licenca za CryptoPro CSP već uključena u certifikat i mnoga CA je besplatno pružaju. Ako to nije slučaj, tada trebate kupiti i aktivirati trajnu licencu za CryptoPro CSP striktno verziju 4 koja košta 2700=. CryptoPro CSP verzija 5 za macOS trenutno ne radi.

Instaliranje i konfiguriranje CEP-a za macOS

Očigledne stvari

• sve preuzete datoteke preuzimaju se u zadani direktorij: ~/Downloads/;
• Ne mijenjamo ništa u svim instalaterima, ostavljamo sve kao zadano;
• ako macOS prikaže upozorenje da je softver koji se pokreće od neidentificiranog programera, morate potvrditi pokretanje u postavkama sustava: Postavke sustava —> Sigurnost i privatnost —> Svejedno otvori;
• ako macOS traži korisničku lozinku i dopuštenje za kontrolu računala, potrebno je unijeti lozinku i složiti se sa svime.

1. Instalirajte CryptoPro CSP

Registar na web stranici CryptoPro and co stranice za preuzimanje preuzmite i instalirajte verziju CryptoPro CSP 4.0 R4 za macOS - preuzimanje.

2. Instalirajte Rutoken upravljačke programe

Na web-mjestu piše da je to izborno, ali da je bolje instalirati ga. Co stranice za preuzimanje preuzmite i instalirajte na web stranici Rutokena Modul podrške za privjesak - preuzimanje.

Zatim spojite usb token, pokrenite terminal i izvršite naredbu:

/opt/cprocsp/bin/csptest -card -enum -v

Odgovor bi trebao biti:

Aktivan Rutoken…
Kartica prisutna…
[Kôd pogreške: 0x00000000]

3. Instalirajte certifikate

3.1. Brišemo sve stare GOST certifikate

Ako ste prethodno pokušali pokrenuti CEP pod macOS-om, morate obrisati sve prethodno instalirane certifikate. Ove naredbe u terminalu samo će izbrisati CryptoPro certifikate i neće utjecati na obične certifikate iz Keychaina na macOS-u.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Svaki odgovor na naredbu trebao bi uključivati:

Nema certifikata koji odgovara kriterijima

ili

Brisanje dovršeno

3.2. Instaliranje root certifikata

Korijenski certifikati zajednički su svim CEP-ovima koje izdaje bilo koje certifikacijsko tijelo. Preuzmi s stranice za preuzimanje Uralski savezni okrug Ministarstva telekomunikacija i masovnih komunikacija:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instaliraj s naredbama u terminalu:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Svaka naredba treba vratiti:

Ugradnja:
...
[Kôd pogreške: 0x00000000]

3.3. Preuzmite certifikate certifikacijskih tijela

Zatim trebate instalirati certifikate certifikacijske ustanove kod koje ste izdali CEP. Obično se korijenski certifikati svakog CA nalaze na njegovoj web stranici u odjeljku za preuzimanja.

Alternativno, certifikati bilo kojeg CA mogu se preuzeti s web stranica Uralskog federalnog okruga Ministarstva telekomunikacija i masovnih komunikacija. Da biste to učinili, u obrascu za pretraživanje morate pronaći CA po imenu, otići na stranicu s certifikatima i preuzeti sve glumeći certifikate – odnosno one sa 'Vrijedi' drugi datum još nije stigao. Preuzmite sa linka u polju 'Otisak prsta'.

Slike

Na primjeru CA Corus-Consultinga: trebate preuzeti 4 certifikata s stranice za preuzimanje:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Preuzete CA certifikate instaliramo pomoću naredbi s terminala:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

gdje poslije ~/Preuzimanja/ Navedeni su nazivi preuzetih datoteka; oni će biti različiti za svaki CA.

Svaka naredba treba vratiti:

Ugradnja:
...
[Kôd pogreške: 0x00000000]

3.4. Instaliranje certifikata s Rutokenom

Naredba u terminalu:

/opt/cprocsp/bin/csptestf -absorb -certs

Naredba bi trebala vratiti:

OK.
[Kôd pogreške: 0x00000000]

4. Instalirajte poseban preglednik Chromium-GOST

Za rad s državnim portalima trebat će vam posebna verzija preglednika Chromium - Krom-GOST. Izvorni kod projekta je otvoren, veza na repozitorij na GitHubu daje se na CryptoPro web mjesto. Iz iskustva, drugi preglednici CryptoFox и Preglednik Yandex Nisu prikladni za rad s državnim portalima pod macOS-om. Vrijedno je uzeti u obzir da se u nekim verzijama Chromium-GOST-a osobni račun na nalog.ru može zamrznuti ili pomicanje može potpuno prestati raditi, pa se nudi stari provjereni graditi 71.0.3578.98 - preuzimanje.


Preuzmite i raspakirajte arhivu, instalirajte preglednik kopiranjem ili povlačenjem i ispuštanjem u direktorij Applications. Nakon instalacije prisilno zatvorite Chromium i nemojte ga još otvarati, radite iz Safarija.

killall Chromium-Gost

5. Instalirajte proširenja preglednika

5.1 CryptoPro EDS dodatak za preglednik

S stranice za preuzimanje preuzmite i instalirajte na web stranici CryptoPro CryptoPro EDS Browser plug-in verzija 2.0 za korisnike - preuzimanje.

5.2. Dodatak za javne usluge

S stranice za preuzimanje preuzmite i instalirajte na portal državnih službi Dodatak za rad s portalom državnih usluga (verzija za macOS) - preuzimanje.

5.3. Postavljanje dodatka za državne usluge

Preuzmite ispravnu konfiguracijsku datoteku za proširenje državnih usluga s web stranice CryptoPro - preuzimanje.

Izvršite naredbe u terminalu:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktiviranje proširenja

Pokrenite Chromium-Gost preglednik i upišite u adresnu traku:

chrome://extensions/

Omogućujemo oba instalirana proširenja:

• CryptoPro proširenje za CAdES dodatak za preglednik
• Proširenje za dodatak državnih usluga

zaslona

5.5. Postavljanje CryptoPro EDS Browser plug-in proširenja

U adresnu traku Chromium-Gost upisujemo:

/etc/opt/cprocsp/trusted_sites.html

Na stranici koja se pojavi, jednu po jednu dodajte sljedeće stranice na popis pouzdanih stranica:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Pritisnite "Spremi". Trebala bi se pojaviti zelena točka:

Popis pouzdanih čvorova je uspješno spremljen.

zaslona

6. Provjerite radi li sve

6.1. Idite na testnu stranicu CryptoPro

U adresnu traku Chromium-Gost upisujemo:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Trebalo bi se prikazati "Dodatak je učitan", a vaš bi certifikat trebao biti prisutan na donjem popisu.
Odaberite certifikat s popisa i kliknite na “Potpiši”. Od vas će se tražiti PIN certifikata. Kao rezultat, trebao bi se prikazati

Potpis je uspješno generiran

zaslona

6.2. Idite na svoj osobni račun na nalog.ru

Možda nećete moći pristupiti vezama sa stranice nalog.ru jer... provjere neće proći. Morate proći kroz izravne veze:

• Privatni ured SP: https://lkipgost.nalog.ru/lk
• Privatni ured ЮЛ: https://lkul.nalog.ru

zaslona

6.3. Idite u državne službe

Prilikom prijave odaberite “Prijava elektroničkim potpisom”. Na popisu “Odaberite certifikat ključa za provjeru elektroničkog potpisa” koji se pojavi prikazat će se svi certifikati, uključujući root i CA; morate odabrati svoj s USB tokena i unijeti PIN.

zaslona

7. Što učiniti ako prestane raditi

1. Ponovno spajamo usb token i provjeravamo je li vidljiv pomoću naredbe u terminalu:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Brišemo predmemoriju preglednika za sva vremena, za što upisujemo u adresnu traku Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Ponovno instalirajte CEP certifikat pomoću naredbe u terminalu:

   /opt/cprocsp/bin/csptestf -absorb -certs

Promjena PIN koda spremnika

Prilagođeni PIN kod za Rutoken prema zadanim postavkama 12345678, i nema šanse da to ostavimo ovako. Zahtjevi za Rutoken PIN kod: maksimalno 16 znakova, može sadržavati latinična slova i brojke.

1. Saznajte naziv KEP spremnika

Na USB tokenu i drugim pohranama može biti pohranjeno nekoliko certifikata i trebate odabrati onaj pravi. S umetnutim usb tokenom dobivamo popis svih spremnika u sustavu s naredbom u terminalu:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Naredba mora povući najmanje 1 kontejner i vratiti se

[Kôd pogreške: 0x00000000]

Spremnik koji nam treba izgleda ovako

.Aktiv Rutoken liteXXXXXXXX

Ako je prikazano više takvih spremnika, to znači da je na tokenu ispisano nekoliko certifikata, a vi znate koji vam je potreban. Značenje XXXXXXXXX nakon kose crte trebate kopirati i zalijepiti u naredbu ispod.

2. Promijenite PIN pomoću naredbe s terminala

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

gdje XXXXXXXXX – naziv spremnika dobiven u koraku 1 (obavezno u navodnicima).

Pojavit će se dijaloški okvir CryptoPro koji će tražiti stari PIN kod za pristup certifikatu, zatim drugi dijaloški okvir za unos novog PIN koda. Spreman.

zaslona

Potpisivanje datoteka na macOS-u

U sustavu macOS datoteke se mogu softverski potpisati CryptoArm (trošak licence 2500 = rub.), Ili jednostavna naredba putem terminala - besplatno.

1. Saznajte hash CEP certifikata

Može postojati više certifikata na tokenu iu drugim trgovinama. Moramo jasno identificirati onoga s kojim ćemo od sada potpisivati ​​dokumente. Gotovo jednom.
Token mora biti umetnut. Popis certifikata u repozitoriju dobivamo naredbom s terminala:

/opt/cprocsp/bin/certmgr -list

Naredba mora ispisati barem 1 certifikat oblika:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program za upravljanje certifikatima, CRL-ovima i trgovinama
= = = = = = = = = = = = = = = = = = =
1---
Izdavatelj: [e-pošta zaštićena],... CN=LLC KORUS Consulting CIS...
Subject: [e-pošta zaštićena],... CN=Zaharov Sergej Anatoljevič...
Serijski: 0x0000000000000000000000000000000000
SHA1 hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Spremnik: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Kôd pogreške: 0x00000000]

Certifikat koji nam je potreban u parametru Spremnik mora imati vrijednost poput SCARDrutoken…. Ako postoji više certifikata s takvim vrijednostima, onda je na tokenu zabilježeno nekoliko certifikata, a vi znate koji vam treba. Vrijednost parametra SHA1 Hash (40 znakova) morate kopirati i zalijepiti u naredbu ispod.

2. Potpisivanje datoteke naredbom s terminala

U terminalu idite u direktorij s datotekom koju želite potpisati i izvršite naredbu:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

gdje XXXX… – hash certifikata dobiven u koraku 1, i SLIKA – naziv datoteke za potpisivanje (sa svim ekstenzijama, ali bez putanje).

Naredba bi trebala vratiti:

Potpisana poruka je stvorena.
[Kôd pogreške: 0x00000000]

Stvorit će se datoteka elektroničkog potpisa s ekstenzijom *.sgn - to je odvojeni potpis u CMS formatu s DER kodiranjem.

3. Instalirajte Apple Automator Script

Kako ne biste morali svaki put raditi s terminalom, možete jednom instalirati Automator Script s kojim možete potpisivati ​​dokumente iz kontekstnog izbornika Findera. Da biste to učinili, preuzmite arhivu - preuzimanje.

1. Raspakiranje arhive 'Potpiši s CryptoPro.zip'
2. Pokreni automatizator
3. Pronađite i otvorite otpakiranu datoteku 'Potpiši s CryptoPro.workflow'
4. U bloku Pokrenite Shell Script promijeniti tekst XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na vrijednost parametra SHA1 Hash Gore dobiven CEP certifikat.
5. Spremite skriptu: ⌘Command + S
6. Pokrenite datoteku 'Potpiši s CryptoPro.workflow' i potvrdite instalaciju.
7. Idemo na Sustav Postavke -> Proširenja -> Tražilica i provjeri to Prijavite se s CryptoPro primijećena brza akcija.
8. U Finderu pozovite kontekstni izbornik bilo koje datoteke i u odjeljku Brze radnje i / ili Usluge odaberite stavku Prijavite se s CryptoPro
9. U dijaloškom okviru CryptoPro koji se pojavi unesite korisnički PIN kod iz CEP-a
10. Datoteka s nastavkom *.sgn pojavit će se u trenutnom direktoriju - odvojeni potpis u CMS formatu s DER kodiranjem.

Slike

Prozor Apple Automatora:

Postavke sustava:

Kontekstni izbornik Findera:

Provjerite potpis na dokumentu

Ako sadržaj dokumenta ne sadrži tajne i tajne, onda je najlakši način koristiti web uslugu na portalu državnih službi - https://www.gosuslugi.ru/pgu/eds. Na taj način možete napraviti snimku zaslona s uglednog izvora i biti sigurni da je sve u redu s potpisom.

Slike

Izvor: www.habr.com