Kvalifikuotas elektroninis parašas, skirtas macOS

Pagal RBC и Tenzoras2019 m. Rusijoje bus išduota 4,6 milijono kvalifikuoto elektroninio parašo (CES) sertifikatų, atitinkančių 63-FZ reikalavimus. Pasirodo, iš 8 milijonų registruotų individualių verslininkų ir UAB kas antras verslininkas naudoja elektroninį parašą. Be EGAIS CEP ir debesyje pagrįstų CEP, skirtų bankų ir apskaitos tarnybų ataskaitoms teikti, ypač domina universalūs saugių žetonų CEP. Tokie sertifikatai leidžia prisijungti prie valstybinių portalų ir pasirašyti bet kokius dokumentus, todėl jie yra teisiškai reikšmingi.

Dėl CEP sertifikato USB žetonu galite nuotoliniu būdu sudaryti sutartį su sandorio šalimi ar nuotoliniu darbuotoju ir siųsti dokumentus teismui; užregistruoti internetinį kasos aparatą, apmokėti mokesčių skolas ir pateikti deklaraciją asmeninėje paskyroje nalog.ru; sužinoti apie skolas ir artėjančius patikrinimus Valstybės tarnybose.

Žemiau pateiktas vadovas padės dirbti su CEP naudojant macOS – nestudijavus CryptoPro forumų ir neįdiegiant virtualios mašinos su Windows.

Turinys

Ko reikia norint dirbti su CEP sistemoje „MacOS“:

„MacOS“ skirto CEP diegimas ir konfigūravimas

1. CryptoPro CSP diegimas
2. Rutoken tvarkyklių diegimas
3. Sertifikatų diegimas
   3.1. Ištriname visus senus GOST sertifikatus
   3.2. Įdiegti šakninius sertifikatus
   3.3. Atsisiųskite sertifikavimo institucijos sertifikatus
   3.4. Sertifikato įdiegimas su Rutoken
4. Įdiekite specialią naršyklę Chromium-GOST
5. Naršyklės plėtinių diegimas
   5.1 CryptoPro EDS naršyklės papildinys
   5.2. Papildinys viešosioms paslaugoms
   5.3. Valstybės tarnybų papildinio nustatymas
   5.4. Suaktyvinami plėtiniai
   5.5. „CryptoPro EDS Browser“ papildinio plėtinio nustatymas
6. Tikrinama, ar viskas veikia
   6.1. Eikite į „CryptoPro“ bandomąjį puslapį
   6.2. Eikite į savo asmeninę paskyrą nalog.ru
   6.3. Eikite į Valstybės tarnybą
7. Ką daryti, jei nustoja veikti

Talpyklos PIN kodo keitimas

1. KEP konteinerio pavadinimo išsiaiškinimas
2. PIN keitimas komanda iš terminalo

Failų pasirašymas „MacOS“.

1. CEP sertifikato maišos išsiaiškinimas
2. Failo pasirašymas komanda iš terminalo
3. „Apple Automator Script“ diegimas

Patikrinkite parašą ant dokumento

Visa toliau pateikta informacija yra gauta iš patikimų šaltinių (CryptoPro #1 и #2, Rutokenas, Corus-Consulting, Telekomunikacijų ir masinių ryšių ministerijos Uralo federalinė apygarda), rekomenduojama atsisiųsti programinę įrangą iš patikimų svetainių. Autorius yra nepriklausomas konsultantas ir nėra susijęs su nė viena iš paminėtų įmonių. Vykdydami šias instrukcijas prisiimate visą atsakomybę už bet kokius veiksmus ir pasekmes.

Ko reikia norint dirbti su CEP sistemoje „MacOS“:

1. CEP USB prieigos raktu Rutoken Lite arba Rutoken EDS
2. kriptovaliutų konteineris CryptoPro formatu
3. su įmontuotu CryptoPro CSP licencija

„eToken“ ir „JaCarta“ laikmenos kartu su „CryptoPro“ nepalaikomos naudojant „macOS“. Rutoken Lite laikmena yra geriausias pasirinkimas, kainuoja 500..1000= rub., veikia greitai ir leidžia saugoti iki 15 raktų.

Kripto paslaugų teikėjai VipNet, Signal-COM ir LISSY nepalaikomi „macOS“. Konteinerių konvertuoti nėra galimybės. CryptoPro yra geriausias pasirinkimas, sertifikato kaina turėtų būti apie 1300 = RUB. individualiems verslininkams ir 1600 = rub. už YUL.

Paprastai metinė CryptoPro CSP licencija jau yra įtraukta į sertifikatą ir daugelis CA suteikia ją nemokamai. Jei taip nėra, tuomet turite įsigyti ir suaktyvinti nuolatinę CryptoPro CSP 4 versijos licenciją, kainuojančią 2700=. CryptoPro CSP 5 versija, skirta macOS, šiuo metu neveikia.

„MacOS“ skirto CEP diegimas ir konfigūravimas

Akivaizdūs dalykai

• visi atsisiųsti failai atsisiunčiami į numatytąjį katalogą: ~/Downloads/;
• Visuose diegimo programose nieko nekeičiame, paliekame viską kaip numatytuosius;
• jei macOS rodo įspėjimą, kad paleidžiama programinė įranga yra iš nenustatyto kūrėjo, turite patvirtinti paleidimą sistemos nustatymuose: Sistemos nuostatos —> Sauga ir privatumas —> Atidaryti vis tiek;
• jei macOS prašo vartotojo slaptažodžio ir leidimo valdyti kompiuterį, reikia įvesti slaptažodį ir su viskuo sutikti.

1. Įdiekite CryptoPro CSP

Registruotis svetainėje CryptoPro and co atsisiuntimo puslapiai atsisiųskite ir įdiekite versiją CryptoPro CSP 4.0 R4 už macOS - atsisiųsti.

2. Įdiekite Rutoken tvarkykles

Svetainėje rašoma, kad tai neprivaloma, bet geriau ją įdiegti. Co atsisiuntimo puslapiai atsisiųskite ir įdiekite Rutoken svetainėje Raktų pakabuko palaikymo modulis - atsisiųsti.

Tada prijunkite usb prieigos raktą, paleiskite terminalą ir vykdykite komandą:

/opt/cprocsp/bin/csptest -card -enum -v

Atsakymas turėtų būti toks:

„Active Rutoken“…
Dovanokite kortelę…
[Klaidos kodas: 0x00000000]

3. Įdiekite sertifikatus

3.1. Ištriname visus senus GOST sertifikatus

Jei anksčiau bandėte paleisti CEP naudodami „macOS“, turite išvalyti visus anksčiau įdiegtus sertifikatus. Šios komandos terminale ištrins tik „CryptoPro“ sertifikatus ir neturės įtakos įprastiems sertifikatams iš „Keychain“ sistemoje „MacOS“.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Kiekvienos komandos atsakymas turėtų apimti:

Nėra kriterijus atitinkančio sertifikato

arba

Ištrynimas baigtas

3.2. Įdiegti šakninius sertifikatus

Pagrindiniai sertifikatai yra bendri visiems CEP, išduotiems bet kurios sertifikavimo institucijos. Atsisiųsti iš atsisiuntimo puslapiai Telekomunikacijų ir masinių ryšių ministerijos Uralo federalinė apygarda:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Įdiekite su komandomis terminale:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Kiekviena komanda turi grąžinti:

Diegimas:
...
[Klaidos kodas: 0x00000000]

3.3. Atsisiųskite sertifikavimo institucijos sertifikatus

Tada turite įdiegti sertifikavimo institucijos, kurioje išdavėte CEP, sertifikatus. Paprastai kiekvienos CA šakniniai sertifikatai yra jos svetainės atsisiuntimų skiltyje.

Arba bet kurios CA sertifikatus galima atsisiųsti iš Telekomunikacijų ir masinių ryšių ministerijos Uralo federalinės apygardos svetainė. Norėdami tai padaryti, paieškos formoje turite rasti CA pagal pavadinimą, eiti į puslapį su sertifikatais ir atsisiųsti viską vaidyba pažymėjimus – tai yra turinčius "Galioja" antras pasimatymas dar neatėjo. Atsisiųskite iš lauke esančios nuorodos "Piršto atspaudas".

Ekrano nuotraukos

Naudojant CA Corus-Consulting pavyzdį: reikia atsisiųsti 4 sertifikatus iš atsisiuntimo puslapiai:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Atsisiųstus CA sertifikatus įdiegiame naudodami komandas iš terminalo:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

kur po ~/Atsisiuntimai/ Pateikiami atsisiųstų failų pavadinimai; kiekvienai CA jie skirsis.

Kiekviena komanda turi grąžinti:

Diegimas:
...
[Klaidos kodas: 0x00000000]

3.4. Sertifikato įdiegimas su Rutoken

Komanda terminale:

/opt/cprocsp/bin/csptestf -absorb -certs

Komanda turėtų grįžti:

Gerai.
[Klaidos kodas: 0x00000000]

4. Įdiekite specialią naršyklę Chromium-GOST

Norėdami dirbti su vyriausybiniais portalais, jums reikės specialios chromo naršyklės versijos - Chromas-GOST. Projekto šaltinio kodas yra atviras, nuoroda į „GitHub“ saugykla yra duodamas CryptoPro svetainė. Iš patirties – kitos naršyklės CryptoFox и „Yandex“ naršyklė Jie netinka darbui su vyriausybiniais portalais naudojant „MacOS“. Verta manyti, kad kai kuriose Chromium-GOST versijose asmeninė paskyra nalog.ru gali užšalti arba slinkimas gali visiškai nustoti veikti, todėl siūloma sena patikrinta. statyti 71.0.3578.98 - atsisiųsti.


Atsisiųskite ir išpakuokite archyvą, įdiekite naršyklę nukopijuodami arba nuvilkite jį į programų katalogą. Įdiegę priverstinai uždarykite „Chromium“ ir dar neatidarykite, dirbkite naudodami „Safari“.

killall Chromium-Gost

5. Įdiekite naršyklės plėtinius

5.1 CryptoPro EDS naršyklės papildinys

Su atsisiuntimo puslapiai atsisiųskite ir įdiekite „CryptoPro“ svetainėje „CryptoPro EDS Browser“ papildinio versija 2.0 vartotojams - atsisiųsti.

5.2. Papildinys viešosioms paslaugoms

Su atsisiuntimo puslapiai atsisiųsti ir įdiegti Valstybės paslaugų portale Papildinys darbui su vyriausybinių paslaugų portalu (macOS versija) - atsisiųsti.

5.3. Valstybės tarnybų papildinio nustatymas

Atsisiųskite teisingą valstybinių paslaugų plėtinio konfigūracijos failą iš CryptoPro svetainės - atsisiųsti.

Vykdykite komandas terminale:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Suaktyvinami plėtiniai

Paleiskite „Chromium-Gost“ naršyklę ir adreso juostoje įveskite:

chrome://extensions/

Įgaliname abu įdiegtus plėtinius:

• „CryptoPro“ plėtinys, skirtas CAdES naršyklės papildiniui
• Valstybės paslaugų papildinio plėtinys

Ekrano kopija

5.5. „CryptoPro EDS Browser“ papildinio plėtinio nustatymas

Chromium-Gost adreso juostoje įvedame:

/etc/opt/cprocsp/trusted_sites.html

Pasirodžiusiame puslapyje po vieną pridėkite šias svetaines į patikimų svetainių sąrašą:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Spustelėkite „Išsaugoti“. Turėtų pasirodyti žalias taškas:

Patikimų mazgų sąrašas sėkmingai išsaugotas.

Ekrano kopija

6. Patikrinkite, ar viskas veikia

6.1. Eikite į „CryptoPro“ bandomąjį puslapį

Chromium-Gost adreso juostoje įvedame:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Turėtų būti rodoma „Papildinys įkeltas“, o jūsų sertifikatas turi būti pateiktas toliau pateiktame sąraše.
Iš sąrašo pasirinkite sertifikatą ir spustelėkite „Pasirašyti“. Jūsų bus paprašyta įvesti sertifikato PIN kodą. Dėl to jis turėtų būti rodomas

Parašas sėkmingai sugeneruotas

Ekrano kopija

6.2. Eikite į savo asmeninę paskyrą nalog.ru

Galbūt negalėsite pasiekti nuorodų iš svetainės nalog.ru, nes... patikrinimai nepraeis. Turite eiti per tiesiogines nuorodas:

• Asmeninis kabinetas FE: https://lkipgost.nalog.ru/lk
• Asmeninis kabinetas ЮЛ: https://lkul.nalog.ru

Ekrano kopija

6.3. Eikite į Valstybės tarnybą

Prisijungdami pasirinkite „Prisijungti naudojant elektroninį parašą“. Pasirodžiusiame sąraše „Pasirinkite elektroninio parašo patvirtinimo rakto sertifikatą“ bus rodomi visi sertifikatai, įskaitant šakninį ir CA; turite pasirinkti savo iš USB prieigos rakto ir įvesti PIN kodą.

Ekrano kopija

7. Ką daryti, jei nustoja veikti

1. Iš naujo prijungiame USB prieigos raktą ir patikriname, ar jis matomas, naudodami komandą terminale:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Visą laiką išvalome naršyklės talpyklą, kurią įvedame Chromium-Gost adreso juostoje:

   
chrome://settings/clearBrowserData


3. Iš naujo įdiekite CEP sertifikatą naudodami komandą terminale:

   /opt/cprocsp/bin/csptestf -absorb -certs

Talpyklos PIN kodo keitimas

Pagal numatytuosius nustatymus tinkintas „Rutoken“ PIN kodas 12345678, ir jokiu būdu negalima to palikti. Reikalavimai Rutoken PIN kodui: ne daugiau kaip 16 simbolių, gali būti lotyniškų raidžių ir skaičių.

1. Išsiaiškinkite KEP konteinerio pavadinimą

USB prieigos rakte ir kitose saugyklose gali būti saugomi keli sertifikatai, todėl reikia pasirinkti tinkamą. Įdėjus usb prieigos raktą, gauname visų sistemos konteinerių sąrašą su komanda terminale:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Komanda turi išimti bent 1 konteinerį ir grįžti atgal

[Klaidos kodas: 0x00000000]

Mums reikalingas konteineris atrodo taip

.Aktiv Rutoken liteXXXXXXXX

Jei rodomi keli tokie konteineriai, tai reiškia, kad ant žetono yra parašyti keli sertifikatai ir jūs žinote, kurio jums reikia. Reikšmė XXXXXXXXX po pasvirojo brūkšnio reikia nukopijuoti ir įklijuoti į žemiau esančią komandą.

2. Pakeiskite PIN naudodami komandą iš terminalo

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

kur XXXXXXXXX – konteinerio pavadinimas, gautas atliekant 1 veiksmą (būtinai kabutėse).

Pasirodys „CryptoPro“ dialogo langas, kuriame bus prašoma įvesti seną PIN kodą, kad būtų galima pasiekti sertifikatą, tada kitas dialogo langas, kuriame bus įvestas naujas PIN kodas. Paruošta.

Ekrano kopija

Failų pasirašymas „MacOS“.

„MacOS“ prie failų galima prisijungti naudojant programinę įrangą CryptoArm (licencija kainavo 2500 = rub.), arba paprasta komanda per terminalą – nemokama.

1. Išsiaiškinkite CEP sertifikato maišą

Ant žetono ir kitose parduotuvėse gali būti keli sertifikatai. Turime aiškiai nustatyti tą, su kuriuo nuo šiol pasirašysime dokumentus. Padaryta vieną kartą.
Žetonas turi būti įdėtas. Mes gauname sertifikatų sąrašą saugyklose su komanda iš terminalo:

/opt/cprocsp/bin/certmgr -list

Komanda turi išvesti bent 1 formos sertifikatą:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programa, skirta sertifikatams, CRL ir parduotuvėms tvarkyti
= = = = = = = = = = = = = = = = = = = = =
1---
Išdavėjas: [apsaugotas el. paštu],... CN=LLC KORUS Consulting NVS...
Tema: [apsaugotas el. paštu],... CN=Zacharovas Sergejus Anatoljevičius...
Serijos: 0x0000000000000000000000000000000000
SHA1 maiša: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Konteineris: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Klaidos kodas: 0x00000000]

Sertifikatas, kurio mums reikia parametre Container, turi turėti tokią reikšmę kaip SCARDrutoken…. Jei yra keli sertifikatai su tokiomis reikšmėmis, tada tokene yra įrašyti keli sertifikatai ir jūs žinote, kurio jums reikia. Parametrų reikšmė SHA1 maiša (40 simbolių) turi būti nukopijuotas ir įklijuotas į toliau pateiktą komandą.

2. Failo pasirašymas komanda iš terminalo

Terminale eikite į katalogą su failu, kad pasirašytumėte ir vykdytumėte komandą:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

kur XXXX… – sertifikato maiša, gauta 1 veiksme, ir NUOTRAUKOS – failo pavadinimas, kurį reikia pasirašyti (su visais plėtiniais, bet be kelio).

Komanda turėtų grįžti:

Sukuriamas pasirašytas pranešimas.
[Klaidos kodas: 0x00000000]

Bus sukurtas elektroninio parašo failas su plėtiniu *.sgn – tai atskirtas parašas CMS formatu su DER koduote.

3. Įdiekite Apple Automator Script

Kad nereikėtų kiekvieną kartą dirbti su terminalu, vieną kartą galite įdiegti Automator Script, su kuriuo galite pasirašyti dokumentus iš Finder kontekstinio meniu. Norėdami tai padaryti, atsisiųskite archyvą - atsisiųsti.

1. Archyvo išpakavimas „Pasirašyk su CryptoPro.zip“
2. Paleisti Automator
3. Raskite ir atidarykite išpakuotą failą „Sign with CryptoPro.workflow“
4. Bloke Paleiskite „Shell Script“ pakeisti tekstą XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX iki parametro vertės SHA1 maiša CEP sertifikatas gautas aukščiau.
5. Išsaugokite scenarijų: ⌘Command + S
6. Paleiskite failą „Sign with CryptoPro.workflow“ ir patvirtinkite diegimą.
7. Eikime į sistemą Preferences -> Extensions -> Finder ir tai patikrink Pasirašykite su CryptoPro pastebėtas greitas veiksmas.
8. „Finder“ iškvieskite bet kurio failo kontekstinį meniu ir skiltyje Greiti veiksmai ir (arba) Paslaugos pasirinkite elementą Pasirašykite su CryptoPro
9. Pasirodžiusiame „CryptoPro“ dialogo lange įveskite vartotojo PIN kodą iš CEP
10. Dabartiniame kataloge atsiras failas su plėtiniu *.sgn – atskirtas parašas CMS formatu su DER koduote.

Ekrano nuotraukos

Apple Automator langas:

Sistemos nuostatos:

Finder kontekstinis meniu:

Patikrinkite parašą ant dokumento

Jei dokumento turinyje nėra paslapčių ir paslapčių, paprasčiausias būdas yra naudotis žiniatinklio paslauga Valstybės tarnybų portale - https://www.gosuslugi.ru/pgu/eds. Tokiu būdu galite padaryti ekrano kopiją iš patikimo šaltinio ir būti tikri, kad su parašu viskas gerai.

Ekrano nuotraukos

Šaltinis: www.habr.com