Minősített elektronikus aláírás macOS-hez

Szerint RBC и Tenzor2019-ben 4,6 millió minősített elektronikus aláírás (CES) tanúsítványt bocsátanak ki Oroszországban, amelyek megfelelnek a 63-FZ követelményeinek. Kiderült, hogy 8 millió regisztrált egyéni vállalkozó és Kft. közül minden második vállalkozó használ elektronikus aláírást. A bankok és számviteli szolgáltatások által kiadott EGAIS CEP-eken és felhőalapú CEP-eken kívül a biztonságos tokenekre vonatkozó univerzális CEP-ek különösen érdekesek. Az ilyen tanúsítványokkal be lehet jelentkezni a kormányzati portálokra, és aláírhat bármilyen dokumentumot, ami jogilag jelentőssé teszi azokat.

Az USB tokenen lévő CEP-tanúsítványnak köszönhetően távolról is megállapodást köthet partnerrel vagy távoli alkalmazottal, és dokumentumokat küldhet a bíróságnak; regisztráljon egy online pénztárgépet, rendezze az adótartozásokat és nyújtson be nyilatkozatot személyes fiókjában a nalog.ru oldalon; tájékozódjon a tartozásokról és a közelgő ellenőrzésekről az állami szolgálatoknál.

Az alábbi kézikönyv segít dolgozzon a CEP-pel macOS alatt – a CryptoPro fórumok tanulmányozása és egy virtuális gép telepítése Windows rendszerrel.

Tartalom

Amire szüksége van a CEP használatához macOS alatt:

A CEP telepítése és konfigurálása macOS-hez

1. A CryptoPro CSP telepítése
2. Rutoken illesztőprogramok telepítése
3. Tanúsítványok telepítése
   3.1. Töröljük az összes régi GOST tanúsítványt
   3.2. Gyökértanúsítványok telepítése
   3.3. Töltse le a hitelesítő hatóság tanúsítványait
   3.4. Tanúsítvány telepítése a Rutoken segítségével
4. Telepítsen egy speciális Chromium-GOST böngészőt
5. Böngészőbővítmények telepítése
   5.1 CryptoPro EDS Browser beépülő modul
   5.2. Beépülő modul a közszolgáltatásokhoz
   5.3. Beépülő modul beállítása az állami szolgáltatásokhoz
   5.4. Bővítmények aktiválása
   5.5. A CryptoPro EDS Browser bővítmény beállítása
6. Ellenőrizni, hogy minden működik-e
   6.1. Nyissa meg a CryptoPro tesztoldalát
   6.2. Lépjen a személyes fiókjába a nalog.ru oldalon
   6.3. Menjen az Állami Szolgálathoz
7. Mi a teendő, ha leáll

A tároló PIN kódjának módosítása

1. A KEP konténer nevének kiderítése
2. PIN módosítása a terminálból érkező paranccsal

Fájlok aláírása macOS rendszeren

1. A CEP tanúsítvány hashének kiderítése
2. Fájl aláírása a terminálból érkező paranccsal
3. Az Apple Automator Script telepítése

Ellenőrizze az aláírást a dokumentumon

Minden alábbi információ megbízható forrásból származik (CryptoPro #1 и #2, Rutoken, Corus-Consulting, A Távközlési és Tömegkommunikációs Minisztérium uráli szövetségi körzete), és javasolt a szoftver letöltése megbízható webhelyekről. A szerző független tanácsadó, és nem áll kapcsolatban egyik említett céggel sem. Ezen utasítások követésével Ön teljes felelősséget vállal minden cselekedetéért és következményeiért.

Amire szüksége van a CEP használatához macOS alatt:

1. CEP USB-token Rutoken Lite vagy Rutoken EDS
2. kripto konténer CryptoPro formátumban
3. beépített licenc a CryptoPro CSP-hez

Az eToken és a JaCarta adathordozók a CryptoPro-val együtt nem támogatottak a macOS alatt. A Rutoken Lite adathordozó a legjobb választás, ára 500...1000= rubel, gyorsan működik és akár 15 kulcs tárolását is lehetővé teszi.

A VipNet, a Signal-COM és a LISSY kriptográfiai szolgáltatók nem támogatottak a macOS rendszeren. Nincs mód a konténerek átalakítására. A CryptoPro a legjobb választás, a tanúsítvány költsége körülbelül 1300 = dörzsölje. egyéni vállalkozók és 1600 = dörzsölje. a YUL számára.

A tanúsítvány általában már tartalmazza a CryptoPro CSP éves licencét, amelyet számos CA ingyenesen biztosít. Ha nem ez a helyzet, akkor meg kell vásárolnia és aktiválnia kell a CryptoPro CSP szigorúan 4-es verziójának örökös licencét, amelynek költsége 2700=. A CryptoPro CSP 5-ös verziója macOS-hez jelenleg nem működik.

A CEP telepítése és konfigurálása macOS-hez

Nyilvánvaló dolgok

• minden letöltött fájl letöltődik az alapértelmezett könyvtárba: ~/Downloads/;
• Nem változtatunk semmit az összes telepítőben, mindent alapértelmezettként hagyunk;
• ha a macOS figyelmeztetést jelenít meg, hogy az indítandó szoftver egy azonosítatlan fejlesztőtől származik, meg kell erősítenie az indítást a rendszerbeállításokban: Rendszerbeállítások —> Biztonság és adatvédelem —> Megnyitás mindenképpen;
• ha a macOS felhasználói jelszót és engedélyt kér a számítógép vezérléséhez, akkor meg kell adnia a jelszót, és mindenben el kell fogadnia.

1. Telepítse a CryptoPro CSP-t

Regisztráció a CryptoPro és társai webhelyen letöltési oldalak töltse le és telepítse a verziót CryptoPro CSP 4.0 R4 a MacOS - letöltése.

2. Telepítse a Rutoken illesztőprogramokat

A webhely azt írja, hogy ez nem kötelező, de jobb, ha telepíti. Co letöltési oldalak töltse le és telepítse a Rutoken webhelyről Kulcstartó támogató modul - letöltése.

Ezután csatlakoztassa az usb tokent, indítsa el a terminált, és hajtsa végre a parancsot:

/opt/cprocsp/bin/csptest -card -enum -v

A válasz a következő legyen:

Aktiv Rutoken…
Kártya ajándék…
[Hibakód: 0x00000000]

3. Telepítse a tanúsítványokat

3.1. Töröljük az összes régi GOST tanúsítványt

Ha korábban megpróbálta elindítani a CEP-et macOS alatt, akkor törölnie kell az összes korábban telepített tanúsítványt. Ezek a parancsok a terminálban csak a CryptoPro-tanúsítványokat törlik, és nem érintik a macOS rendszeren futó Keychain rendszeres tanúsítványait.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Minden parancs válaszának tartalmaznia kell:

Nincs a kritériumoknak megfelelő tanúsítvány

vagy

A törlés befejeződött

3.2. Gyökértanúsítványok telepítése

A gyökértanúsítványok közösek minden tanúsító hatóság által kiadott CEP-re. Letöltés innen letöltési oldalak A Távközlési és Tömegkommunikációs Minisztérium uráli szövetségi körzete:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Telepítés parancsokkal a terminálban:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Minden parancsnak vissza kell adnia:

Telepítés:
...
[Hibakód: 0x00000000]

3.3. Töltse le a hitelesítő hatóság tanúsítványait

Ezután telepítenie kell annak a tanúsító hatóságnak a tanúsítványait, ahol a CEP-t kiadta. Az egyes CA-k gyökértanúsítványai általában a webhelyükön, a letöltések részben találhatók.

Alternatív megoldásként bármely CA tanúsítványa letölthető innen a Távközlési és Tömegkommunikációs Minisztérium uráli szövetségi körzetének honlapja. Ehhez a keresési űrlapon meg kell találnia egy CA-t név szerint, menjen a tanúsítványokat tartalmazó oldalra, és töltse le mindent ható bizonyítványok – vagyis azok, amelyek rendelkeznek 'Érvényes' a második randevú még nem jött el. Letöltés a mezőben található linkről 'Ujjlenyomat'.

Pillanatképek

A CA Corus-Consulting példájával: le kell töltenie 4 tanúsítványt a webhelyről letöltési oldalak:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

A letöltött CA-tanúsítványokat a terminál parancsaival telepítjük:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

hol azután ~/Letöltések/ A letöltött fájlok nevei szerepelnek a listában; ezek minden CA esetében eltérőek lesznek.

Minden parancsnak vissza kell adnia:

Telepítés:
...
[Hibakód: 0x00000000]

3.4. Tanúsítvány telepítése a Rutoken segítségével

Parancs a terminálon:

/opt/cprocsp/bin/csptestf -absorb -certs

A parancsnak vissza kell térnie:

OK.
[Hibakód: 0x00000000]

4. Telepítsen egy speciális Chromium-GOST böngészőt

A kormányzati portálokkal való együttműködéshez szüksége lesz a chromium böngésző speciális buildjére - Króm-GOST. A projekt forráskódja nyitott, link a adattár a GitHubon rá van adva CryptoPro weboldal. Tapasztalatból más böngészők CryptoFox и Yandex böngésző Nem alkalmasak kormányzati portálokkal való együttműködésre macOS alatt. Érdemes megfontolni, hogy a Chromium-GOST egyes buildjeiben a nalog.ru személyes fiókja lefagyhat, vagy a görgetés teljesen leállhat, ezért a régi, bevált verziót kínálják build 71.0.3578.98 - letöltése.


Töltse le és csomagolja ki az archívumot, telepítse a böngészőt másolással vagy húzással az Alkalmazások könyvtárba. A telepítés után kényszerítse be a Chromiumot, és még ne nyissa meg, hanem a Safariból dolgozzon.

killall Chromium-Gost

5. Telepítse a böngészőbővítményeket

5.1 CryptoPro EDS Browser beépülő modul

a letöltési oldalak töltse le és telepítse a CryptoPro webhelyről CryptoPro EDS Browser beépülő modul 2.0 verzió a felhasználók számára - letöltése.

5.2. Beépülő modul a közszolgáltatásokhoz

a letöltési oldalak töltse le és telepítse az állami szolgáltatások portálján Beépülő modul a kormányzati szolgáltatások portáljával való együttműködéshez (macOS-hez készült verzió) - letöltése.

5.3. Beépülő modul beállítása az állami szolgáltatásokhoz

Töltse le a megfelelő konfigurációs fájlt a State Services kiterjesztéshez a CryptoPro webhelyről - letöltése.

Parancsok végrehajtása a terminálban:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Bővítmények aktiválása

Indítsa el a Chromium-Gost böngészőt, és írja be a címsorba:

chrome://extensions/

Mindkét telepített bővítményt engedélyezzük:

• CryptoPro bővítmény a CAdES böngésző beépülő modulhoz
• Kiterjesztés a Public Services beépülő modulhoz

screenshot

5.5. A CryptoPro EDS Browser bővítmény beállítása

A Chromium-Gost címsorába beírjuk:

/etc/opt/cprocsp/trusted_sites.html

A megjelenő oldalon egyenként adja hozzá a következő webhelyeket a megbízható webhelyek listájához:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Kattintson a „Mentés” gombra. Egy zöld pontnak kell megjelennie:

A megbízható csomópontok listája sikeresen elmentve.

screenshot

6. Ellenőrizze, hogy minden működik-e

6.1. Nyissa meg a CryptoPro tesztoldalát

A Chromium-Gost címsorába beírjuk:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

A „Plugin loaded” üzenetnek kell megjelennie, és a tanúsítványának szerepelnie kell az alábbi listában.
Válasszon ki egy tanúsítványt a listából, és kattintson az „Aláírás” gombra. A rendszer kérni fogja a tanúsítvány PIN-kódját. Ennek eredményeként meg kell jelennie

Az aláírás sikeresen generálva

screenshot

6.2. Lépjen a személyes fiókjába a nalog.ru oldalon

Előfordulhat, hogy nem tud hozzáférni a nalog.ru webhely hivatkozásaihoz, mert... az ellenőrzések nem mennek át. A közvetlen linkeken keresztül kell mennie:

• Saját fiók SP: https://lkipgost.nalog.ru/lk
• Saját fiók ЮЛ: https://lkul.nalog.ru

screenshot

6.3. Menjen az Állami Szolgálathoz

Bejelentkezéskor válassza a „Bejelentkezés elektronikus aláírással” lehetőséget. A megjelenő „Elektronikus aláírás-ellenőrző kulcs tanúsítvány kiválasztása” listában az összes tanúsítvány megjelenik, beleértve a root és a CA-t is; ki kell választania a sajátját egy USB-tokenből, és be kell írnia a PIN-kódot.

screenshot

7. Mi a teendő, ha leáll?

1. Újra csatlakoztatjuk az usb tokent, és a terminálban található paranccsal ellenőrizzük, hogy látható-e:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Minden időre törli a böngésző gyorsítótárát, amihez beírjuk a Chromium-Gost címsorába:

   
chrome://settings/clearBrowserData


3. Telepítse újra a CEP-tanúsítványt a terminálban található paranccsal:

   /opt/cprocsp/bin/csptestf -absorb -certs

A tároló PIN kódjának módosítása

Alapértelmezés szerint egyéni PIN-kód a Rutokenhez 12345678, és nem lehet így hagyni. A Rutoken PIN kód követelményei: max. 16 karakter, tartalmazhat latin betűket és számokat.

1. Keresse meg a KEP konténer nevét

Az USB-token és más tárolók több tanúsítványt is tárolhatnak, és ki kell választania a megfelelőt. Az usb tokent beillesztve megkapjuk a rendszerben lévő összes konténer listáját a terminálban található paranccsal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

A parancsnak ki kell vennie legalább 1 tárolót, és vissza kell térnie

[Hibakód: 0x00000000]

A szükséges konténer így néz ki

.Aktiv Rutoken liteXXXXXXXX

Ha több ilyen konténer jelenik meg, az azt jelenti, hogy több tanúsítvány van ráírva a tokenre, és tudja, melyikre van szüksége. Jelentése XXXXXXXXX a perjel után ki kell másolni és be kell illeszteni az alábbi parancsba.

2. Módosítsa a PIN-kódot a terminál parancsával

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

ahol XXXXXXXXX – az 1. lépésben kapott konténer neve (szükségszerűen idézőjelben).

Megjelenik egy CryptoPro párbeszédpanel, amely a régi PIN-kódot kéri a tanúsítvány eléréséhez, majd egy másik párbeszédpanel az új PIN-kód megadásához. Kész.

screenshot

Fájlok aláírása macOS rendszeren

A macOS rendszeren a fájlok szoftveresen bejelentkeztethetők CryptoArm (licenc ára 2500 = dörzsölje.), vagy egy egyszerű parancs a terminálon keresztül - ingyenes.

1. Ismerje meg a CEP-tanúsítvány hash-jét

Egy tokenen és más üzletekben több tanúsítvány is lehet. Világosan meg kell határoznunk azt, amellyel ezentúl aláírjuk a dokumentumokat. Egyszer elkészült.
A tokent be kell helyezni. A terminál parancsával megkapjuk a lerakatokban lévő tanúsítványok listáját:

/opt/cprocsp/bin/certmgr -list

A parancsnak legalább 1 tanúsítványt kell kiadnia a következő űrlapból:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program tanúsítványok, CRL-ek és tárolók kezelésére
= = = = = = = = = = = = = = = = = = = = =
1---
Kibocsátó: [e-mail védett],... CN=LLC KORUS Consulting CIS...
Tárgy: [e-mail védett],... CN=Zakharov Szergej Anatoljevics...
Sorozatszám: 0x0000000000000000000000000000000000
SHA1 hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Tároló: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Hibakód: 0x00000000]

A Container paraméterben szükséges tanúsítványnak ehhez hasonló értékkel kell rendelkeznie SCARDrutoken…. Ha több ilyen értékű tanúsítvány van, akkor több tanúsítvány is szerepel a tokenben, és tudja, melyikre van szüksége. Paraméter értéke SHA1 Hash (40 karakter) ki kell másolni és beilleszteni az alábbi parancsba.

2. Fájl aláírása a terminálból érkező paranccsal

A terminálban lépjen a fájlt tartalmazó könyvtárba az aláíráshoz, és hajtsa végre a parancsot:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

ahol XXXX… – az 1. lépésben kapott tanúsítványkivonat, és FILE – aláírandó fájlnév (minden kiterjesztéssel, de elérési út nélkül).

A parancsnak vissza kell térnie:

Az aláírt üzenet létrejön.
[Hibakód: 0x00000000]

Egy elektronikus aláírási fájl jön létre *.sgn kiterjesztéssel - ez egy leválasztott aláírás CMS formátumban, DER kódolással.

3. Telepítse az Apple Automator Scriptet

Annak érdekében, hogy ne kelljen minden alkalommal dolgozni a terminállal, egyszer telepítheti az Automator Scriptet, amellyel a Finder helyi menüjéből írhat alá dokumentumokat. Ehhez töltse le az archívumot - letöltése.

1. Az archívum kicsomagolása "Sign with CryptoPro.zip"
2. Dob Automator
3. Keresse meg és nyissa meg a kicsomagolt fájlt "Sign with CryptoPro.workflow"
4. A blokkban Futtassa a Shell Script programot módosítsa a szöveget XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX a paraméter értékéhez SHA1 Hash A fentiekben szerzett CEP tanúsítvány.
5. Mentse el a szkriptet: ⌘Command + S
6. Futtassa a fájlt "Sign with CryptoPro.workflow" és erősítse meg a telepítést.
7. Menjünk a Rendszerbe Beállítások -> Bővítmények -> Finder és ellenőrizze azt Jelentkezzen be a CryptoPro-val gyors intézkedés megjegyezte.
8. A Finderben hívja meg bármelyik fájl helyi menüjét és a szakaszt Gyors cselekvések и / или Szolgáltatások tárgy kiválasztása Jelentkezzen be a CryptoPro-val
9. A megjelenő CryptoPro párbeszédpanelen adja meg a felhasználói PIN kódot a CEP-ből
10. Az aktuális könyvtárban megjelenik egy *.sgn kiterjesztésű fájl – egy leválasztott aláírás CMS formátumban, DER kódolással.

Pillanatképek

Apple Automator ablak:

Rendszerbeállítások:

Finder helyi menü:

Ellenőrizze az aláírást a dokumentumon

Ha a dokumentum tartalma nem tartalmaz titkokat és titkokat, akkor a legegyszerűbb módja az Állami Szolgálatok portáljának webszolgáltatásának használata - https://www.gosuslugi.ru/pgu/eds. Így készíthet képernyőképet egy jó hírű forrásból, és biztos lehet benne, hogy minden rendben van az aláírással.

Pillanatképek

Forrás: will.com