Firma elettronica qualificata per macOS

Secondo RBC и Tenore, nel 2019 in Russia verranno emessi 4,6 milioni di certificati di firma elettronica qualificata (CES), che soddisfano i requisiti 63-FZ. Risulta che su 8 milioni di imprenditori individuali e LLC registrati, un imprenditore su due utilizza una firma elettronica. Oltre ai CEP EGAIS e ai CEP basati su cloud per il reporting emesso da banche e servizi di contabilità, di particolare interesse sono i CEP universali sui token sicuri. Tali certificati consentono di accedere ai portali governativi e di firmare qualsiasi documento, rendendoli giuridicamente significativi.

Grazie al certificato CEP su token USB, puoi concludere un accordo a distanza con una controparte o un dipendente remoto e inviare documenti al tribunale; registrare un registratore di cassa online, saldare i debiti fiscali e presentare una dichiarazione nel proprio account personale su nalog.ru; informarsi sui debiti e sulle prossime ispezioni presso i Servizi Statali.

Il manuale qui sotto ti aiuterà lavorare con CEP in macOS – senza studiare i forum di CryptoPro e installare una macchina virtuale con Windows.

contenuto

Cosa ti serve per lavorare con CEP su macOS:

Installazione e configurazione di CEP per macOS

1. Installazione del CSP CryptoPro
2. Installazione dei driver Rutoken
3. Installazione di certificati
   3.1. Eliminiamo tutti i vecchi certificati GOST
   3.2. Installazione dei certificati root
   3.3. Scarica i certificati delle autorità di certificazione
   3.4. Installazione di un certificato con Rutoken
4. Installa un browser speciale Chromium-GOST
5. Installazione delle estensioni del browser
   5.1 Plug-in del browser CryptoPro EDS
   5.2. Plugin per i servizi pubblici
   5.3. Configurazione di un plugin per i servizi statali
   5.4. Attivazione delle estensioni
   5.5. Configurazione dell'estensione plug-in del browser CryptoPro EDS
6. Controllare che tutto funzioni
   6.1. Vai alla pagina di test di CryptoPro
   6.2. Vai al tuo account personale su nalog.ru
   6.3. Vai ai Servizi statali
7. Cosa fare se smette di funzionare

Modifica del codice PIN del contenitore

1. Scoprire il nome del contenitore KEP
2. Modifica PIN con comando da terminale

Firmare file su macOS

1. Scoprire l'hash del certificato CEP
2. Firmare un file con un comando da terminale
3. Installazione dello script di Apple Automator

Controlla la firma sul documento

Tutte le informazioni di seguito sono ottenute da fonti attendibili (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Distretto Federale degli Urali del Ministero delle Telecomunicazioni e delle Comunicazioni di Massa) e si consiglia di scaricare il software da siti attendibili. L'autore è un consulente indipendente e non è affiliato con nessuna delle società menzionate. Seguendo queste istruzioni ti assumi la piena responsabilità di eventuali azioni e conseguenze.

Cosa ti serve per lavorare con CEP su macOS:

1. CEP su un token USB Rutoken Lite o Rutoken EDS
2. contenitore crittografico nel formato CryptoPro
3. con built-in licenza per CryptoPro CSP

eToken e JaCarta media insieme a CryptoPro non sono supportati in macOS. Il supporto Rutoken Lite è la scelta migliore, costa 500..1000= rubli, funziona velocemente e permette di memorizzare fino a 15 chiavi.

I fornitori di crittografia VipNet, Signal-COM e LISSY non sono supportati su macOS. Non è possibile convertire i contenitori. CryptoPro è la scelta migliore, il costo del certificato dovrebbe essere di circa 1300 = rub. per singoli imprenditori e 1600 = rub. per YUL.

In genere, una licenza annuale per CryptoPro CSP è già inclusa nel certificato e viene fornita gratuitamente da molte CA. In caso contrario è necessario acquistare e attivare una licenza perpetua per CryptoPro CSP rigorosamente versione 4 dal costo di 2700=. CryptoPro CSP versione 5 per macOS attualmente non funziona.

Installazione e configurazione di CEP per macOS

Cose ovvie

• tutti i file scaricati vengono scaricati nella directory predefinita: ~/Downloads/;
• Non cambiamo nulla in tutti i programmi di installazione, lasciamo tutto come predefinito;
• se macOS visualizza un avviso che indica che il software in fase di avvio proviene da uno sviluppatore non identificato, è necessario confermare l'avvio nelle impostazioni di sistema: Preferenze di Sistema —> Sicurezza e Privacy —> Apri comunque;
• se macOS richiede una password utente e l'autorizzazione per controllare il computer, è necessario inserire la password e accettare tutto.

1. Installa CryptoPro CSP

Registrati sul sito web CryptoPro e co pagine di download scaricare e installare la versione Crypto Pro CSP 4.0 R4 per macOS - scaricare.

2. Installa i driver Rutoken

Il sito web dice che questo è facoltativo, ma è meglio installarlo. Co pagine di download scaricare e installare sul sito Web Rutoken Modulo di supporto portachiavi - scaricare.

Successivamente, collega il token USB, avvia il terminale ed esegui il comando:

/opt/cprocsp/bin/csptest -card -enum -v

La risposta dovrebbe essere:

Gettone attivo…
Carta presente...
[Codice errore: 0x00000000]

3. Installa i certificati

3.1. Eliminiamo tutti i vecchi certificati GOST

Se in precedenza hai tentato di avviare CEP in macOS, devi cancellare tutti i certificati installati in precedenza. Questi comandi nel terminale elimineranno solo i certificati CryptoPro e non influenzeranno i certificati regolari di Portachiavi su macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

La risposta di ogni comando dovrebbe includere:

Nessun certificato corrispondente ai criteri

o

Eliminazione completata

3.2. Installazione dei certificati root

I certificati radice sono comuni a tutti i CEP emessi da qualsiasi autorità di certificazione. Scarica da pagine di download Distretto Federale degli Urali del Ministero delle Telecomunicazioni e delle Comunicazioni di Massa:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installa con i comandi nel terminale:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Ogni comando dovrebbe restituire:

Installazione:
...
[Codice errore: 0x00000000]

3.3. Scarica i certificati delle autorità di certificazione

Successivamente è necessario installare i certificati dell'autorità di certificazione presso la quale è stato rilasciato il CEP. In genere, i certificati radice di ciascuna CA si trovano sul suo sito Web nella sezione download.

In alternativa, è possibile scaricare i certificati di qualsiasi CA da sito web del Distretto Federale degli Urali del Ministero delle Telecomunicazioni e delle Comunicazioni di massa. Per fare ciò, nel modulo di ricerca è necessario trovare una CA per nome, andare alla pagina con i certificati e scaricare tutto recitazione certificati – cioè quelli con 'Valido' il secondo appuntamento non è ancora arrivato. Scaricalo dal link nel campo 'Impronta digitale'.

Screenshots

Utilizzando l'esempio di CA Corus-Consulting: è necessario scaricare 4 certificati da pagine di download:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Installiamo i certificati CA scaricati utilizzando i comandi da terminale:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

dove dopo ~/Download/ Vengono elencati i nomi dei file scaricati; saranno diversi per ciascuna CA.

Ogni comando dovrebbe restituire:

Installazione:
...
[Codice errore: 0x00000000]

3.4. Installazione di un certificato con Rutoken

Comando nel terminale:

/opt/cprocsp/bin/csptestf -absorb -certs

Il comando dovrebbe restituire:

OK.
[Codice errore: 0x00000000]

4. Installa un browser speciale Chromium-GOST

Per lavorare con i portali governativi, avrai bisogno di una build speciale del browser Chromium: Cromo-GOST. Il codice sorgente del progetto è aperto, link a archivio su GitHub viene dato Sito web di CryptoPro. Per esperienza, altri browser CryptoFox и Browser Yandex Non sono adatti per lavorare con portali governativi su macOS. Vale la pena considerare che in alcune build di Chromium-GOST, l'account personale su nalog.ru potrebbe bloccarsi o lo scorrimento potrebbe smettere di funzionare del tutto, quindi viene offerto quello vecchio e collaudato costruire 71.0.3578.98 - scaricare.


Scarica e decomprimi l'archivio, installa il browser copiandolo o trascinandolo nella directory Applicazioni. Dopo l'installazione, forza la chiusura di Chromium e non aprirlo ancora, lavora da Safari.

killall Chromium-Gost

5. Installa le estensioni del browser

5.1 Plug-in del browser CryptoPro EDS

Со pagine di download scaricare e installare sul sito Web CryptoPro Plug-in CryptoPro EDS Browser versione 2.0 per gli utenti - scaricare.

5.2. Plugin per i servizi pubblici

Со pagine di download scaricare e installare sul portale dei servizi statali Plugin per lavorare con il portale dei servizi governativi (versione per macOS) - scaricare.

5.3. Configurazione di un plugin per i servizi statali

Scarica il file di configurazione corretto per l'estensione State Services dal sito Web CryptoPro - scaricare.

Esegui i comandi nel terminale:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Attivazione delle estensioni

Avvia il browser Chromium-Gost e digita nella barra degli indirizzi:

chrome://extensions/

Abilitiamo entrambe le estensioni installate:

• Estensione CryptoPro per il plug-in del browser CAdES
• Estensione per il plug-in Servizi statali

Screenshot

5.5. Configurazione dell'estensione plug-in del browser CryptoPro EDS

Nella barra degli indirizzi di Chromium-Gost digitiamo:

/etc/opt/cprocsp/trusted_sites.html

Nella pagina visualizzata, aggiungi uno per uno i seguenti siti all'elenco dei siti attendibili:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Fare clic su "Salva". Dovrebbe apparire un punto verde:

L'elenco dei nodi attendibili è stato salvato con successo.

Screenshot

6. Controlla che tutto funzioni

6.1. Vai alla pagina di test di CryptoPro

Nella barra degli indirizzi di Chromium-Gost digitiamo:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Dovrebbe essere visualizzato "Plugin caricato" e il tuo certificato dovrebbe essere presente nell'elenco seguente.
Selezionare un certificato dall'elenco e fare clic su "Firma". Ti verrà richiesto il PIN del certificato. Di conseguenza, dovrebbe essere visualizzato

Firma generata correttamente

Screenshot

6.2. Vai al tuo account personale su nalog.ru

Potresti non essere in grado di accedere ai collegamenti dal sito nalog.ru, perché... i controlli non passeranno. È necessario passare attraverso i collegamenti diretti:

• Ufficio privato SP: https://lkipgost.nalog.ru/lk
• Ufficio privato LE: https://lkul.nalog.ru

Screenshot

6.3. Vai ai Servizi statali

Quando accedi, seleziona "Accedi utilizzando una firma elettronica". Nell'elenco “Seleziona certificato chiave di verifica firma elettronica” che appare, verranno visualizzati tutti i certificati, inclusi root e CA; dovrai selezionare il tuo da un token USB e inserire il PIN.

Screenshot

7. Cosa fare se smette di funzionare

1. Ricolleghiamo il token usb e controlliamo che sia visibile utilizzando il comando da terminale:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Svuotiamo definitivamente la cache del browser, per cui digitiamo nella barra degli indirizzi Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Reinstallare il certificato CEP utilizzando il comando nel terminale:

   /opt/cprocsp/bin/csptestf -absorb -certs

Modifica del codice PIN del contenitore

Codice PIN personalizzato per Rutoken per impostazione predefinita 12345678, e non c'è modo di lasciarlo così. Requisiti per il codice PIN Rutoken: massimo 16 caratteri, può contenere lettere e numeri latini.

1. Scopri il nome del contenitore KEP

Potrebbero esserci diversi certificati archiviati sul token USB e su altri archivi ed è necessario scegliere quello giusto. Con il token usb inserito otteniamo l'elenco di tutti i contenitori presenti nel sistema con il comando da terminale:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Il comando deve ritirare almeno 1 container e rientrare

[Codice errore: 0x00000000]

Il contenitore di cui abbiamo bisogno assomiglia

.Aktiv Rutoken liteXXXXXXXXX

Se vengono visualizzati diversi contenitori di questo tipo, significa che sul token sono scritti diversi certificati e sai quale ti serve. Senso XXXXXXXX dopo la barra devi copiare e incollare nel comando seguente.

2. Modificare il PIN utilizzando un comando da terminale

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

dove XXXXXXXX – il nome del contenitore ottenuto al passo 1 (necessariamente tra virgolette).

Apparirà una finestra di dialogo CryptoPro che richiede il vecchio codice PIN per accedere al certificato, quindi un'altra finestra di dialogo per inserire il nuovo codice PIN. Pronto.

Screenshot

Firmare file su macOS

Su macOS, i file possono essere firmati nel software CryptoArm (costo della licenza 2500 = rub.), o un semplice comando tramite il terminale - gratuito.

1. Scopri l'hash del certificato CEP

Possono esserci più certificati su un token e in altri negozi. Dobbiamo identificare chiaramente colui con cui firmeremo i documenti d'ora in poi. Fatto una volta.
Il token deve essere inserito. Otteniamo l'elenco dei certificati presenti nei repository con il comando da terminale:

/opt/cprocsp/bin/certmgr -list

Il comando deve restituire almeno 1 certificato nel formato:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programma per la gestione di certificati, CRL e negozi
= = = = = = = = = = = = = = = = = = = = = = =
1 ---
Emittente: [email protected],... CN=LLC KORUS Consulting CIS...
Oggetto: [email protected],... CN=Zakharov Sergey Anatolyevich...
Seriale: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Contenitore: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = = = =
[Codice errore: 0x00000000]

Il certificato di cui abbiamo bisogno nel parametro Container deve avere un valore simile SCARDrutoken…. Se sono presenti più certificati con tali valori, sul token sono registrati diversi certificati e sai quale ti serve. Valore del parametro hash SHA1 (40 caratteri) devono essere copiati e incollati nel comando seguente.

2. Firmare un file con un comando da terminale

Nel terminale, vai alla directory con il file da firmare ed esegui il comando:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

dove XXXX... – hash del certificato ottenuto nel passaggio 1 e RISORSE – nome del file da firmare (con tutte le estensioni, ma senza percorso).

Il comando dovrebbe restituire:

Viene creato il messaggio firmato.
[Codice errore: 0x00000000]

Verrà creato un file di firma elettronica con estensione *.sgn: si tratta di una firma separata in formato CMS con codifica DER.

3. Installa Apple Automator Script

Per evitare di dover lavorare ogni volta con il terminale, puoi installare una volta Automator Script, con il quale potrai firmare i documenti dal menu contestuale del Finder. Per fare ciò, scarica l'archivio - scaricare.

1. Disimballaggio dell'archivio "Firma con CryptoPro.zip"
2. Lanciamo Automator
3. Trova e apri il file decompresso "Firma con CryptoPro.workflow"
4. Nel blocco Esegui script shell cambiare il testo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX al valore del parametro hash SHA1 Certificato CEP ottenuto sopra.
5. Salva lo script: ⌘Command + S
6. Esegui il file "Firma con CryptoPro.workflow" e confermare l'installazione.
7. Andiamo a Sistema Preferenze -> Estensioni -> Finder e controllalo Firma con CryptoPro azione rapida notata.
8. Nel Finder, chiama il menu contestuale di qualsiasi file e nella sezione Azioni rapide e / o Servizi scegliere oggetto Firma con CryptoPro
9. Nella finestra di dialogo CryptoPro visualizzata, inserisci il codice PIN dell'utente dal CEP
10. Nella directory corrente apparirà un file con estensione *.sgn: una firma separata in formato CMS con codifica DER.

Screenshots

Finestra di Apple Automator:

Preferenze di Sistema:

Menu contestuale del Finder:

Controlla la firma sul documento

Se il contenuto del documento non contiene segreti e segreti, il modo più semplice è utilizzare il servizio web sul portale dei servizi statali: https://www.gosuslugi.ru/pgu/eds. In questo modo puoi fare uno screenshot da una risorsa affidabile ed essere sicuro che tutto sia a posto con la firma.

Screenshots

Fonte: habr.com