macOS үчүн квалификациялуу электрондук кол тамга

ылайык RBK и Тензор, 2019-жылы Россияда 4,6-ФЗ талаптарына жооп берген 63 миллион квалификациялуу электрондук кол тамгалардын (ЦЭС) сертификаттары чыгарылат. Катталган 8 миллион жеке ишкерлердин жана ЖЧКнын ичинен ар бир экинчи ишкер электрондук кол тамга колдонот экен. Банктар жана бухгалтердик кызматтар тарабынан берилген отчеттуулук үчүн EGAIS CEPs жана булут негизделген CEPs тышкары, коопсуз токендер боюнча универсалдуу CEPs өзгөчө кызыгууну жаратат. Мындай күбөлүктөр мамлекеттик порталдарга кирип, каалаган документтерге кол коюуга мүмкүндүк берет, бул аларды юридикалык жактан маанилүү кылат.

USB токениндеги CEP сертификатынын аркасында сиз контрагент же алыскы кызматкер менен аралыктан келишим түзүп, документтерди сотко жөнөтө аласыз; онлайн кассалык машинаны каттоо, салык карыздарын жөнгө салуу жана nalog.ru сайтында жеке кабинетиңизде декларация тапшырыңыз; Мамлекеттик кызматтардагы карыздар жана алдыдагы текшерүүлөр жөнүндө билип алыңыз.

Төмөнкү колдонмо жардам берет macOS астында CEP менен иштөө – CryptoPro форумдарын изилдебестен жана Windows менен виртуалдык машинаны орнотпостон.

ыраазы

MacOS астында CEP менен иштөө үчүн эмне керек:

MacOS үчүн CEP орнотуу жана конфигурациялоо

1. CryptoPro CSP орнотулууда
2. Rutoken драйверлерин орнотуу
3. Сертификаттарды орнотуу
   3.1. Биз бардык эски ГОСТ сертификаттарын жок кылабыз
   3.2. Түпкү сертификаттарды орнотуу
   3.3. Сертификаттык органдын сертификаттарын жүктөп алыңыз
   3.4. Rutoken менен сертификат орнотуу
4. Атайын Chromium-ГОСТ браузерин орнотуңуз
5. Серепчи кеңейтүүлөрүн орнотуу
   5.1 CryptoPro EDS Browser плагини
   5.2. Коомдук кызматтар үчүн плагин
   5.3. Мамлекеттик кызматтар үчүн плагинди орнотуу
   5.4. Кеңейтүүлөр жанданууда
   5.5. CryptoPro EDS Browser плагин кеңейтүүсүн орнотуу
6. Баары иштеп жатканын текшерүү
   6.1. CryptoPro сыноо барагына өтүңүз
   6.2. nalog.ru сайтындагы Жеке аккаунтуңузга өтүңүз
   6.3. Мамлекеттик кызматтарга барыңыз
7. Ал иштебей калса эмне кылуу керек

Контейнердин PIN кодун өзгөртүү

1. KEP контейнеринин атын билүү
2. Терминалдан буйрук менен PIN өзгөртүү

macOS'то файлдарга кол коюу

1. CEP сертификатынын хэштерин табуу
2. Терминалдан буйрук менен файлга кол коюу
3. Apple Automator Script орнотуу

Документтеги колду текшериңиз

Төмөндөгү бардык маалыматтар абройлуу булактардан алынган (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Урал федералдык округунун телекоммуникация жана массалык коммуникациялар министрлигинин) жана ишенимдүү сайттардан программалык камсыздоону жүктөп алуу сунушталат. Автор көз карандысыз консультант болуп саналат жана аталган компаниялар менен байланышы жок. Бул нускамаларды аткаруу менен сиз бардык аракеттер жана кесепеттер үчүн толук жоопкерчилик тартасыз.

MacOS астында CEP менен иштөө үчүн эмне керек:

1. KEP USB токенинде Rutoken Lite же Rutoken EDS
2. крипто контейнер CryptoPro форматында
3. орнотулган менен CryptoPro CSP үчүн лицензия

eToken жана JaCarta медиасы CryptoPro менен бирге macOS астында колдоого алынбайт. Rutoken Lite медиасы эң жакшы тандоо, анын баасы 500..1000= рубль, ал тез иштейт жана 15 баскычка чейин сактоого мүмкүндүк берет.

VipNet, Signal-COM жана LISSY крипто провайдерлери macOS'то колдоого алынбайт. Контейнерлерди которуунун эч кандай жолу жок. CryptoPro - мыкты тандоо, күбөлүктүн баасы болжол менен 1300 = руб болушу керек. жеке ишкерлер үчүн жана 1600 = руб. ЮЛ учун.

Адатта, CryptoPro CSP үчүн жылдык лицензия буга чейин сертификатка киргизилген жана көптөгөн CAлар тарабынан бекер берилет. Эгер андай болбосо, анда сиз CryptoPro CSP 4 версиясы үчүн 2700= баасы түбөлүккө лицензияны сатып алып, иштетишиңиз керек. MacOS үчүн CryptoPro CSP 5 версиясы учурда иштебейт.

MacOS үчүн CEP орнотуу жана конфигурациялоо

Ачык-айкын нерселер

• бардык жүктөлгөн файлдар демейки каталогго жүктөлөт: ~/Жүктөөлөр/;
• Биз бардык орнотуучуларда эч нерсени өзгөртпөйбүз, бардыгын демейки катары калтырабыз;
• эгер MacOS иштетилип жаткан программалык камсыздоо белгисиз иштеп чыгуучудан экени тууралуу эскертүү көрсөтсө, сиз системанын жөндөөлөрүнөн ишке киргизүүнү ырасташыңыз керек: Тутум артыкчылыктары -> Коопсуздук жана Купуялык -> Баары бир ачыңыз;
• MacOS колдонуучунун сырсөзүн жана компьютерди башкарууга уруксат сураса, сырсөздү киргизип, бардыгына макул болушуңуз керек.

1. CryptoPro CSP орнотуу

Каттоо сайтында CryptoPro жана co жүктөө баракчалары версиясын жүктөп алып, орнотуу CryptoPro CSP 4.0 R4 үчүн MacOS - скачать.

2. Rutoken драйверлерин орнотуу

Веб-сайтта бул милдеттүү эмес деп айтылат, бирок аны орнотуу жакшы. Co жүктөө баракчалары Rutoken сайтында жүктөп алып, орнотуңуз Ачкычты колдоо модулу - скачать.

Андан кийин, USB энбелгисин туташтырыңыз, терминалды ишке киргизиңиз жана буйрукту аткарыңыз:

/opt/cprocsp/bin/csptest -card -enum -v

Жооп мындай болушу керек:

Aktiv Rutoken…
Карта бар…
[Ката коду: 0x00000000]

3. Сертификаттарды орнотуу

3.1. Биз бардык эски ГОСТ сертификаттарын жок кылабыз

Эгер сиз мурда macOS астында CEPти ишке киргизүүгө аракет кылган болсоңуз, анда мурда орнотулган бардык сертификаттарды тазалашыңыз керек. Терминалдагы бул буйруктар CryptoPro сертификаттарын гана жок кылат жана macOS'тогу Keychain'дин кадимки сертификаттарына таасирин тийгизбейт.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Ар бир буйруктун жообу төмөнкүлөрдү камтышы керек:

Критерийлерге дал келген сертификат жок

же

Жок кылуу аяктады

3.2. Түпкү сертификаттарды орнотуу

Түпкү сертификаттар ар кандай тастыктоочу орган тарабынан берилген бардык КЭП үчүн жалпы болуп саналат. тартып жүктөп алуу жүктөө баракчалары Урал федералдык округунун телекоммуникация жана массалык коммуникациялар министрлигинин:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Терминалдагы буйруктар менен орнотуу:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Ар бир буйрук кайтып келиши керек:

Орнотуу:
...
[Ката коду: 0x00000000]

3.3. Сертификаттык органдын сертификаттарын жүктөп алыңыз

Андан кийин, сиз КЭПти берген күбөлүк берүүчү органдын сертификаттарын орнотушуңуз керек. Адатта, ар бир САнын түпкү сертификаттары анын веб-сайтында жүктөлүп алынгандар бөлүмүндө жайгашкан.

Же болбосо, каалаган САнын сертификаттарын жүктөп алса болот Байланыш жана массалык коммуникациялар министрлигинин Урал федералдык округунун сайты. Бул үчүн, издөө формасында сиз аты-жөнү боюнча CA таап, сертификаттар бар баракка өтүп, бардыгын жүктөп алышыңыз керек. ток күбөлүктөрү - бул бар 'Жарамдуу' экинчи дата али келе элек. Талаадагы шилтемеден жүктөп алыңыз 'Манжа изи'.

скриншоттору

CA Corus-Consulting мисалында: сизден 4 сертификатты жүктөп алышыңыз керек жүктөө баракчалары:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Жүктөлгөн CA сертификаттарын терминалдан буйруктарды колдонуп орнотобуз:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

кайда кийин ~/Жүктөөлөр/ Жүктөлгөн файлдардын аталыштары ар бир CA үчүн ар кандай болот;

Ар бир буйрук кайтып келиши керек:

Орнотуу:
...
[Ката коду: 0x00000000]

3.4. Rutoken менен сертификат орнотуу

Терминалдагы буйрук:

/opt/cprocsp/bin/csptestf -absorb -certs

Буйрук кайтып келиши керек:

OK.
[Ката коду: 0x00000000]

4. Атайын Chromium-ГОСТ браузерин орнотуңуз

Мамлекеттик порталдар менен иштөө үчүн сизге Chromium браузеринин атайын түзүлүшү керек болот - Chromium-ГОСТ. Долбоордун баштапкы коду ачык, шилтеме GitHubдагы репозиторий боюнча берилет CryptoPro веб-сайты. Тажрыйбадан, башка браузерлерден CryptoFox и Yandex браузери Алар macOS астында мамлекеттик порталдар менен иштөө үчүн ылайыктуу эмес. Chromium-ГОСТтун кээ бир түзүмдөрүндө nalog.ru сайтындагы жеке эсеп катып калышы мүмкүн же жылдыруу таптакыр иштебей калышы мүмкүн экенин эске алуу керек, андыктан эски далилденгени сунушталат. куруу 71.0.3578.98 - скачать.


Архивди жүктөп алып, таңгактан чыгарыңыз, браузерди көчүрүү же аны Тиркемелер каталогуна сүйрөп жана таштоо аркылуу орнотуңуз. Орнотулгандан кийин, Chromium'ду мажбурлап жабуу жана аны азырынча ачпаңыз, Safari'ден иштеңиз.

killall Chromium-Gost

5. Браузердин кеңейтүүлөрүн орнотуу

5.1 CryptoPro EDS Browser плагини

менен жүктөө баракчалары CryptoPro веб-сайтында жүктөп алып, орнотуңуз CryptoPro EDS Browser плагин версиясы 2.0 колдонуучулар үчүн - скачать.

5.2. Коомдук кызматтар үчүн плагин

менен жүктөө баракчалары Мамлекеттик кызматтар порталында жүктөп алуу жана орнотуу Мамлекеттик кызматтар порталы менен иштөө үчүн плагин (macOS үчүн версия) - скачать.

5.3. Мамлекеттик кызматтар үчүн плагинди орнотуу

CryptoPro веб-сайтынан Мамлекеттик кызматтардын кеңейтилиши үчүн туура конфигурация файлын жүктөп алыңыз - скачать.

Терминалда буйруктарды аткарыңыз:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Кеңейтүүлөр жанданууда

Chromium-Gost браузерин иштетип, дарек тилкесине териңиз:

chrome://extensions/

Орнотулган эки кеңейтүүнү тең иштетебиз:

• CAdES Browser Plug-in үчүн CryptoPro кеңейтүүсү
• Коомдук кызматтар плагини үчүн кеңейтүү

Экрандын

5.5. CryptoPro EDS Browser плагин кеңейтүүсүн орнотуу

Chromium-Gost дарек тилкесинде биз теребиз:

/etc/opt/cprocsp/trusted_sites.html

Пайда болгон баракчада төмөнкү сайттарды бирден ишенимдүү сайттардын тизмесине кошуңуз:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

"Сактоо" баскычын чыкылдатыңыз. Жашыл чекит пайда болушу керек:

Ишенимдүү түйүндөрдүн тизмеси ийгиликтүү сакталды.

Экрандын

6. Баары иштеп жатканын текшериңиз

6.1. CryptoPro сыноо барагына өтүңүз

Chromium-Gost дарек тилкесинде биз теребиз:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Плагин жүктөлдү" көрсөтүлүшү керек жана сиздин сертификатыңыз төмөндөгү тизмеде болушу керек.
Тизмеден сертификатты тандап, "Кол коюу" баскычын басыңыз. Сизден сертификаттын PIN коду суралат. Натыйжада, ал көрсөтүлүшү керек

Колтамга ийгиликтүү түзүлдү

Экрандын

6.2. nalog.ru сайтындагы Жеке аккаунтуңузга өтүңүз

Сиз nalog.ru сайтынан шилтемелерге кире албай калышыңыз мүмкүн, анткени... текшерүүлөр өтпөйт. Сиз түз шилтемелер аркылуу өтүшүңүз керек:

• Жеке бөлмө SP: https://lkipgost.nalog.ru/lk
• Жеке бөлмө ЮЛ: https://lkul.nalog.ru

Экрандын

6.3. Мамлекеттик кызматтарга барыңыз

Кирүүдө "Электрондук кол тамганы колдонуу менен кирүү" дегенди тандаңыз. Пайда болгон "Электрондук кол тамганы текшерүү ачкычынын сертификатын тандоо" тизмесинде бардык сертификаттар, анын ичинде тамыр жана CA көрсөтүлөт.

Экрандын

7. Ал иштебей калса эмне кылуу керек

1. Биз USB энбелгисин кайра туташтырабыз жана терминалдагы буйрукту колдонуу менен анын көрүнөөрүн текшеребиз:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Биз браузердин кэшин ар дайым тазалайбыз, ал үчүн Chromium-Gost дарек тилкесине теребиз:

   
chrome://settings/clearBrowserData


3. Терминалдагы буйрукту колдонуп CEP сертификатын кайра орнотуңуз:

   /opt/cprocsp/bin/csptestf -absorb -certs

Контейнердин PIN кодун өзгөртүү

Демейки боюнча Rutoken үчүн ыңгайлаштырылган PIN код 12345678, жана аны мындай калтырууга эч кандай жол жок. Rutoken PIN кодуна талаптар: максимум 16 белги, латын тамгаларын жана сандарды камтышы мүмкүн.

1. КЭП контейнеринин атын билип алыңыз

USB энбелгисинде жана башка сактагычтарда сакталган бир нече сертификаттар болушу мүмкүн жана сиз туурасын тандооңуз керек. USB энбелгиси киргизилгенден кийин, терминалдагы буйрук менен системадагы бардык контейнерлердин тизмесин алабыз:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда жок дегенде 1 контейнерди алып, кайра кайтарышы керек

[Ката коду: 0x00000000]

Бизге керек болгон контейнер окшойт

.Aktiv Rutoken liteXXXXXXXX

Эгер бир нече ушундай контейнерлер көрсөтүлсө, бул жетондо бир нече сертификаттар жазылганын билдирет жана сиз кайсынысы керек экенин билесиз. Мааниси ххххххххх слэштен кийин төмөндөгү буйрукка көчүрүп, чапташыңыз керек.

2. Терминалдан келген буйрукту колдонуп, PIN кодду өзгөртүңүз

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

кайда ххххххххх – 1-кадамда алынган контейнердин аталышы (сөзсүз тырмакчада).

Сертификатка кирүү үчүн эски PIN кодду сураган CryptoPro диалогу пайда болот, андан кийин жаңы PIN кодду киргизүү үчүн дагы бир диалог терезеси пайда болот. Даяр.

Экрандын

macOS'то файлдарга кол коюу

MacOS'то файлдарды программалык камсыздоого кирүүгө болот CryptoArm (лицензия баасы 2500 = руб.), же терминал аркылуу жөнөкөй буйрук - бекер.

1. CEP сертификатынын хэштерин табыңыз

Токенде жана башка дүкөндөрдө бир нече сертификаттар болушу мүмкүн. Эми ким менен документке кол кое турганыбызды так аныкташыбыз керек. Бир жолу жасалды.
Токен киргизилиши керек. Терминалдан буйрук менен репозиторийлердеги сертификаттардын тизмесин алабыз:

/opt/cprocsp/bin/certmgr -list

Буйрук форманын кеминде 1 сертификатын чыгарышы керек:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
күбөлүктөрдү, CRL жана дүкөндөрдү башкаруу программасы
= = = = = = = = = = = = = = = = = = =
1---
Эмитент: [электрондук почта корголгон],... CN=LLC KORUS Consulting CIS...
Subject: [электрондук почта корголгон],... CN=Захаров Сергей Анатольевич...
Сериялык: 0x0000000000000000000000000000000000
SHA1 хэш: ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ
...
Контейнер: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Ката коду: 0x00000000]

Контейнер параметринде бизге керектүү сертификат сыяктуу мааниге ээ болушу керек SCARDrutoken…. Мындай баалуулуктарга ээ бир нече сертификаттар бар болсо, анда токенде бир нече сертификаттар жазылган жана кайсынысы керек экенин билесиз. Параметрдин мааниси SHA1 Хеш (40 белги) көчүрүлүп, төмөндөгү буйрукка чапталышы керек.

2. Терминалдан буйрук менен файлга кол коюу

Терминалда кол коюу үчүн файл менен каталогго өтүңүз жана буйрукту аткарыңыз:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

кайда ХХХХ… – 1-кадамда алынган сертификаттын хэши жана ФАЙЛ – кол коюу үчүн файлдын аталышы (бардык кеңейтүүлөр менен, бирок жол жок).

Буйрук кайтып келиши керек:

Кол коюлган билдирүү түзүлдү.
[Ката коду: 0x00000000]

Электрондук колтамга файлы *.sgn кеңейтүүсү менен түзүлөт - бул DER коддоосу менен CMS форматындагы ажыратылган кол тамга.

3. Apple Automator Script орнотуу

Терминал менен ар дайым иштөөгө туура келбеши үчүн, Automator Scriptти бир жолу орнотуп, анын жардамы менен Finder контексттик менюсунан документтерге кол коюуга болот. Бул үчүн, архивди жүктөп алыңыз - скачать.

1. Архивди ачуу 'CryptoPro.zip менен кирүү'
2. Ишке киргизүү Automator
3. Пакеттен чыгарылган файлды таап, ачыңыз 'CryptoPro.workflow менен кол коюу'
4. Блокто Shell скриптин иштетүү текстти өзгөртүү ХХХХХХХХХХХХХХХХХХХХХХХХХХХХ параметр маанисине SHA1 Хеш CEP күбөлүк жогоруда алынган.
5. Скриптти сактаңыз: ⌘Command + S
6. Файлды иштетиңиз 'CryptoPro.workflow менен кол коюу' жана орнотууну ырастаңыз.
7. Системага баралы Preferences -> Extensions -> Finder жана муну текшериңиз CryptoPro менен кирүү тез чара көрүлгөн.
8. Finderде каалаган файлдын контексттик менюсуна жана бөлүмгө чалыңыз Ыкчам иш-аракеттер жана / же кызмат нерсени тандоо CryptoPro менен кирүү
9. Пайда болгон CryptoPro диалогуна ЖЭБден колдонуучунун PIN кодун киргизиңиз
10. Учурдагы каталогдо *.sgn кеңейтүүсү менен файл пайда болот - DER коддоосу менен CMS форматындагы ажыратылган кол тамга.

скриншоттору

Apple Automator терезеси:

Системанын артыкчылыктары:

Finder контексттик менюсу:

Документтеги колду текшериңиз

Эгерде документтин мазмунунда сырлар жана сырлар жок болсо, анда эң оңой жолу - Мамлекеттик кызматтар порталындагы веб-кызматты колдонуу - https://www.gosuslugi.ru/pgu/eds. Мына ушундай жол менен сиз абройлуу булактан скриншот алып, кол тамга менен баары жакшы экенине ынансаңыз болот.

скриншоттору

Source: www.habr.com