Qualifizéiert elektronesch Ënnerschrëft fir macOS

Nëmmen RBK и Tensor, am Joer 2019, 4,6 Millioune Certificaten vun qualifizéierten elektroneschen Ënnerschrëften (CES) ginn a Russland ausgestallt, déi den Ufuerderunge vum 63-FZ entspriechen. Et stellt sech eraus datt vun 8 Milliounen registréierten individuellen Entrepreneuren an LLCs, all zweeten Entrepreneur eng elektronesch Ënnerschrëft benotzt. Zousätzlech zu EGAIS CEPs a Cloud-baséiert CEPs fir Berichterstattung vu Banken a Comptabilitéitsservicer, universell CEPs op sécher Tokens si besonnesch interessant. Esou Certificaten erlaaben Iech op Regierungsportaler aloggen an all Dokumenter z'ënnerschreiwen, sou datt se gesetzlech bedeitend sinn.

Dank dem CEP Zertifikat op engem USB Token, kënnt Dir op Distanz en Accord mat enger Géigepartei oder Remote Employé ofschléissen, an Dokumenter un d'Geriicht schécken; registréiert en Online Keesseberäich, setzt Steierscholden a gitt eng Deklaratioun an Ärem perséinleche Kont op nalog.ru; gewuer iwwer Scholden an zukünfteg Inspektiounen um Staat Services.

D'Handbuch hei ënnen hëlleft schafft mat CEP ënner macOS - ouni d'CryptoPro Foren ze studéieren an eng virtuell Maschinn mat Windows z'installéieren.

Inhalt

Wat Dir braucht fir mat CEP ënner macOS ze schaffen:

CEP fir macOS installéieren an konfiguréieren

1. CryptoPro CSP installéieren
2. Installéiere vun Rutoken Treiber
3. Installatioun vun Certificaten
   3.1. Mir läschen all al GOST Certificaten
   3.2. Installatioun vun root Certificaten
   3.3. Download Zertifizéierungsautoritéitszertifikater
   3.4. Installéiere vun engem Certificat mat Rutoken
4. Installéiert e spezielle Browser Chromium-GOST
5. Installatioun vun Browser Extensiounen
   5.1 CryptoPro EDS Browser Plug-in
   5.2. Plugin fir ëffentlech Servicer
   5.3. Astelle vun engem Plugin fir Staat Services
   5.4. Aktivéierung vun Extensiounen
   5.5. Astellung vun der CryptoPro EDS Browser Plug-in Extensioun
6. Kontrolléieren datt alles funktionnéiert
   6.1. Gitt op d'CryptoPro Test Säit
   6.2. Gitt op Äre perséinleche Kont op nalog.ru
   6.3. Gitt op Staatsservicer
7. Wat maache wann et ophält ze schaffen

Änneren de Container PIN Code

1. Fannt den Numm vum KEP Container eraus
2. Änneren PIN mat engem Kommando vum Terminal

Ënnerschreiwe Dateien op macOS

1. Fannt den Hash vum CEP Zertifika eraus
2. Ënnerschreiwe vun enger Datei mat engem Kommando vum Terminal
3. Installéiert Apple Automator Script

Kuckt d'Ënnerschrëft op dem Dokument

All Informatioun hei drënner gëtt aus unerkannten Quellen kritt (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Ural Federal District vum Ministère fir Telekom a Massekommunikatioun), an et gëtt proposéiert Software vu vertrauenswürdege Siten erofzelueden. Den Auteur ass en onofhängege Beroder an ass net mat enger vun de genannte Firmen verbonnen. Andeems Dir dës Instruktioune befollegt, iwwerhëlt Dir d'ganz Verantwortung fir all Handlungen a Konsequenzen.

Wat Dir braucht fir mat CEP ënner macOS ze schaffen:

1. CEP op engem USB Token Rutoken Lite oder Rutoken EDS
2. Krypto Container am CryptoPro Format
3. mat agebaute Lizenz fir CryptoPro CSP

eToken an JaCarta Medien a Verbindung mat CryptoPro ginn net ënner MacOS ënnerstëtzt. De Rutoken Lite Medien ass déi bescht Wiel, et kascht 500..1000 = Rubelen, et funktionnéiert séier an erlaabt Iech bis zu 15 Schlësselen ze späicheren.

Crypto Ubidder VipNet, Signal-COM a LISSY ginn net op macOS ënnerstëtzt. Et gëtt kee Wee fir Container ze konvertéieren. CryptoPro ass déi bescht Wiel, d'Käschte vum Zertifika sollten ongeféier 1300 = reiwen. fir eenzel Entrepreneuren an 1600 = reiwen. fir YUL.

Typesch ass eng jährlech Lizenz fir CryptoPro CSP schonn am Zertifika abegraff a gëtt vu ville CAs gratis zur Verfügung gestallt. Wann dat net de Fall ass, da musst Dir eng éiweg Lizenz fir CryptoPro CSP strikt Versioun 4 kafen an aktivéieren, déi 2700 = kascht. CryptoPro CSP Versioun 5 fir macOS funktionnéiert am Moment net.

CEP fir macOS installéieren an konfiguréieren

Offensichtlech Saachen

• all erofgeluede Dateien ginn an de Standardverzeechnes erofgelueden: ~/Downloads/;
• Mir änneren näischt an all Installateuren, mir loossen alles als Standard;
• wann macOS eng Warnung weist datt d'Software déi gestart gëtt vun engem onidentifizéierten Entwéckler ass, musst Dir de Start an de Systemastellungen bestätegen: Systemvirstellungen —> Sécherheet & Privatsphär —> Op alle Fall opmaachen;
• wann macOS fir e Benotzer Passwuert an Erlaabnis freet de Computer ze kontrolléieren, musst Dir d'Passwuert aginn an mat alles averstanen.

1. Installéiert CryptoPro CSP

Registréiert op der Websäit CryptoPro a Co download Säiten download an installéiert der Versioun CryptoPro CSP 4.0 R4 fir macOS - скачать.

2. Installéiert Rutoken Chauffeuren

D'Websäit seet datt dëst fakultativ ass, awer et ass besser et ze installéieren. Co download Säiten eroflueden an installéieren op der Rutoken Websäit Keychain Ënnerstëtzung Modul - скачать.

Als nächst verbënnt den Usb Token, start den Terminal an fuert de Kommando aus:

/opt/cprocsp/bin/csptest -card -enum -v

D'Äntwert soll sinn:

Aktiv Rutoken…
Kaart presentéieren…
[ErrorCode: 0x00000000]

3. Installéieren Certificaten

3.1. Mir läschen all al GOST Certificaten

Wann Dir virdru probéiert hutt CEP ënner macOS ze starten, da musst Dir all virdrun installéiert Zertifikater läschen. Dës Kommandoen am Terminal läschen nëmmen CryptoPro Certificaten a beaflossen net regelméisseg Certificaten vu Keychain op macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

D'Äntwert vun all Kommando soll enthalen:

Keen Zertifika deen de Critèren entsprécht

oder

Läschen fäerdeg

3.2. Installatioun vun root Certificaten

Root Zertifikater si gemeinsam fir all CEPs, déi vun all Zertifizéierungsautoritéit ausgestallt ginn. Download vun download Säiten Ural Federal District vum Ministère fir Telekom a Massekommunikatioun:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installéiere mat Kommandoen am Terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

All Kommando soll zréckkommen:

Installatioun:
...
[ErrorCode: 0x00000000]

3.3. Download Zertifizéierungsautoritéitszertifikater

Als nächst musst Dir d'Zertifikater vun der Zertifizéierungsautoritéit installéieren wou Dir de CEP erausginn hutt. Typesch sinn d'Rootzertifikater vun all CA op senger Websäit an der Downloads Sektioun.

Alternativ kënnen Certificaten vun all CA erofgeluede ginn Websäit vum Ural Federal District vum Ministère fir Telekom a Massekommunikatioun. Fir dëst ze maachen, an der Sichformular musst Dir e CA mam Numm fannen, gitt op d'Säit mat Certificaten an download alles handelen Certificaten - dat ass, déi mat 'gülteg' den zweeten Datum ass nach net ukomm. Download vum Link am Feld 'Fangerofdrock'.

Screenshots

Benotzen d'Beispill vun CA Corus-Consulting: Dir musst download 4 Certificaten aus download Säiten:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Mir installéieren déi erofgeluede CA Zertifikater mat Kommandoen vum Terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

wou no ~/Downloads/ D'Nimm vun den erofgeluede Fichieren sinn opgezielt; si wäerten anescht fir all CA sinn.

All Kommando soll zréckkommen:

Installatioun:
...
[ErrorCode: 0x00000000]

3.4. Installéiere vun engem Certificat mat Rutoken

Kommando am Terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

De Kommando soll zréckkommen:

OK.
[ErrorCode: 0x00000000]

4. Installéiert e spezielle Browser Chromium-GOST

Fir mat Regierungsportaler ze schaffen, braucht Dir e spezielle Bau vum Chromium Browser - Chromium-GOST. De Quellcode vum Projet ass op, Link op Repository op GitHub gëtt op CryptoPro Websäit. Aus Erfahrung, aner Browser CryptoFox и Yandex Browser Si sinn net gëeegent fir mat Regierungsportaler ënner MacOS ze schaffen. Et ass derwäert ze berécksiichtegen datt an e puer Builds vu Chromium-GOST de perséinleche Kont op nalog.ru ka afréieren oder d'Scrollen komplett ophalen ze schaffen, sou datt den alen bewisenen ugebuede gëtt bauen 71.0.3578.98 - скачать.


Luet den Archiv erof an packt den Archiv aus, installéiert de Browser andeems Dir et kopéiert oder dréckt & drop an d'Applikatiounsverzeichnis. No der Installatioun, Force Chromium zoumaachen an et nach net opmaachen, schafft vu Safari.

killall Chromium-Gost

5. Installéiert Browser Extensiounen

5.1 CryptoPro EDS Browser Plug-in

Co download Säiten eroflueden an installéieren op der CryptoPro Websäit CryptoPro EDS Browser Plug-in Versioun 2.0 fir Benotzer - скачать.

5.2. Plugin fir ëffentlech Servicer

Co download Säiten eroflueden an installéieren op de Staat Services Portal Plugin fir mam Regierungsserviceportal ze schaffen (Versioun fir macOS) - скачать.

5.3. Astelle vun engem Plugin fir Staat Services

Luet déi richteg Konfiguratiounsdatei fir d'State Services Extensioun vun der CryptoPro Websäit erof - скачать.

Kommandoen am Terminal ausféieren:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktivéierung vun Extensiounen

Start de Chromium-Gost Browser a gitt an der Adressbar:

chrome://extensions/

Mir aktivéieren béid installéiert Extensiounen:

• CryptoPro Extensioun fir CAdES Browser Plug-in
• Erweiderung fir de Staatsservicer Plugin

Screenshot

5.5. Astellung vun der CryptoPro EDS Browser Plug-in Extensioun

An der Chromium-Gost Adressbar tippe mir:

/etc/opt/cprocsp/trusted_sites.html

Op der Säit déi erschéngt, füügt déi folgend Säiten un d'Lëscht vun vertrauenswürdege Siten een nom aneren:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klickt op "Späicheren". E grénge Punkt soll erschéngen:

D'Lëscht vun vertrauenswürdege Knäppercher gouf erfollegräich gespäichert.

Screenshot

6. Kontrolléieren, datt alles Wierker

6.1. Gitt op d'CryptoPro Test Säit

An der Chromium-Gost Adressbar tippe mir:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Plugin gelueden" soll ugewisen ginn, an Ären Zertifika soll an der Lëscht hei drënner sinn.
Wielt e Certificat aus der Lëscht a klickt op "Ënnerschreiwe". Dir wäert fir den Zertifika PIN gefrot ginn. Als Resultat sollt et ugewise ginn

Ënnerschrëft erfollegräich generéiert

Screenshot

6.2. Gitt op Äre perséinleche Kont op nalog.ru

Dir kënnt vläicht net Zougang zu Linken vum Site nalog.ru kréien, well ... Schecken wäert net Passe. Dir musst duerch direkt Links goen:

• private Büro IP: https://lkipgost.nalog.ru/lk
• private Büro Juristesch Entitéit: https://lkul.nalog.ru

Screenshot

6.3. Gitt op Staatsservicer

Wann Dir Iech aloggen, wielt "Aloggen mat enger elektronescher Ënnerschrëft." An der Lëscht "Wielt elektronesch Ënnerschrëft Verifizéierungsschlëssel Zertifikat" déi erschéngt, ginn all Certificaten, inklusiv Root a CA, ugewisen; Dir musst Är aus engem USB Token auswielen an de PIN aginn.

Screenshot

7. Wat maache wann et ophält ze schaffen

1. Mir konnektéieren den Usb Token erëm a kontrolléieren ob et sichtbar ass mam Kommando am Terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Mir läschen de Browser Cache fir all Zäit, fir déi mir an der Chromium-Gost Adressbar aginn:

   
chrome://settings/clearBrowserData


3. Installéiert de CEP Zertifikat mam Kommando am Terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Änneren de Container PIN Code

Benotzerdefinéiert PIN Code fir Rutoken Par défaut 12345678, an et gëtt kee Wee et esou ze verloossen. Viraussetzunge fir de Rutoken PIN Code: 16 Zeechen max., kann Latäin Buschtawen an Zuelen enthalen.

1. Fannt den Numm vum KEP Container eraus

Et kann e puer Certificaten op der USB Token an aner Stockage gespäichert ginn, an Dir musst déi richteg wielen. Mat dem usb Token agebaut, kréie mir eng Lëscht vun all Container am System mam Kommando am Terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

De Kommando muss op d'mannst 1 Container zréckzéien an zréck

[ErrorCode: 0x00000000]

De Container dee mir brauchen gesäit aus

.Aktiv Rutoken liteXXXXXXXXX

Wann e puer esou Behälter ugewisen sinn, heescht et datt et e puer Certificaten op der Token geschriwwen sinn, an Dir wësst wat Dir braucht. Sinn XXXXXXXXX nom Slash musst Dir kopéieren a pechen an de Kommando hei drënner.

2. Änneren PIN mat engem Kommando vum Terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

wou XXXXXXXXX - den Numm vum Container, deen am Schrëtt 1 kritt gëtt (noutwendeg an Zitaten).

E CryptoPro Dialog erschéngt deen den alen PIN Code freet fir Zougang zum Zertifika ze kréien, dann en aneren Dialog fir den neie PIN Code anzeginn. Fäerdeg.

Screenshot

Ënnerschreiwe Dateien op macOS

Op macOS kënnen Dateien a Software ënnerschriwwe ginn CryptoArm (Lizenz kascht 2500 = reift.), Oder en einfachen Kommando iwwer den Terminal - gratis.

1. Fannt den Hash vum CEP Zertifika eraus

Et kënne verschidde Certificaten op engem Token an an anere Geschäfter sinn. Mir musse kloer identifizéieren, mat deem mir Dokumenter vun elo un ënnerschreiwen. Eemol gemaach.
Den Token muss agefouert ginn. Mir kréien eng Lëscht vun Certificaten an de Repositories mam Kommando vum Terminal:

/opt/cprocsp/bin/certmgr -list

De Kommando muss mindestens 1 Zertifika vun der Form erausginn:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
Programm fir Certificaten, CRLs a Geschäfter ze managen
= = = = = = = = = = = = = = = = = = ==
1---
Emittent: [Email geschützt],... CN=LLC KORUS Consulting CIS...
Betreff: [Email geschützt],... CN=Zakharov Sergey Anatolyevich...
Serie: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = ==
[ErrorCode: 0x00000000]

De Certificat dee mir am Container Parameter brauchen muss e Wäert hunn wéi SCARDrutoken…. Wann et e puer Certificaten mat esou Wäerter sinn, da ginn et e puer Certificaten op der Token opgeholl, an Dir wësst wat Dir braucht. Parameter Wäert SHA1 Hash (40 Zeeche) musse kopéiert an an de Kommando hei drënner gepecht ginn.

2. Ënnerschreiwe vun enger Datei mat engem Kommando vum Terminal

Am Terminal gitt an de Verzeichnis mat der Datei fir de Kommando z'ënnerschreiwen an auszeféieren:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

wou XXXX… - Zertifikat Hash kritt am Schrëtt 1, an FILE - Dateinumm fir z'ënnerschreiwen (mat all Extensiounen, awer ouni Wee).

De Kommando soll zréckkommen:

Ënnerschriwwen Message gëtt erstallt.
[ErrorCode: 0x00000000]

Eng elektronesch Ënnerschrëftdatei gëtt mat der Extensioun *.sgn erstallt - dëst ass eng ofgebauter Ënnerschrëft am CMS-Format mat DER Kodéierung.

3. Installéiert Apple Automator Script

Fir ze vermeiden all Kéier mam Terminal ze schaffen, kënnt Dir Automator Script eemol installéieren, mat deem Dir Dokumenter aus dem Finder Kontextmenü ënnerschreiwe kënnt. Fir dëst ze maachen, luet den Archiv erof - скачать.

1. Auspacken vum Archiv 'Umellen mat CryptoPro.zip'
2. Lancéiere Automator
3. Fannt an öffnen déi ausgepackt Datei 'Zeechnen mat CryptoPro.workflow'
4. Am Block Run Shell Skript änneren den Text XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX op de Parameterwäert SHA1 Hash CEP Zertifikat uewen kritt.
5. Späichert de Skript: ⌘Command + S
6. Run der Datei 'Zeechnen mat CryptoPro.workflow' a confirméiert d'Installatioun.
7. Loosst eis op System goen Preferences -> Extensions -> Finder a kontrolléiert dat Zeechen mat CryptoPro séier Aktioun bemierkt.
8. Am Finder rufft de Kontextmenü vun all Datei un, an an der Rubrik Quick Aktiounen an / oder Servicer wielt Element Zeechen mat CryptoPro
9. Am CryptoPro Dialog deen erschéngt, gitt de Benotzer PIN Code vum CEP
10. E Fichier mat der Extensioun *.sgn erschéngt am aktuellen Verzeechnes - eng ofgebauter Ënnerschrëft am CMS-Format mat DER Kodéierung.

Screenshots

Apple Automator Fënster:

System Preferenzen:

Finder Kontextmenü:

Kuckt d'Ënnerschrëft op dem Dokument

Wann d'Inhalter vum Dokument keng Geheimnisser a Geheimnisser enthalen, dann ass de einfachste Wee fir de Webservice um Portal vum Staatsservicer ze benotzen - https://www.gosuslugi.ru/pgu/eds. Op dës Manéier kënnt Dir e Screenshot vun enger renomméierter Ressource huelen a sécher sinn datt alles ok ass mat der Ënnerschrëft.

Screenshots

Source: will.com