Kvalificēts elektroniskais paraksts operētājsistēmai macOS

Saskaņā ar RBC и Tenzors, 2019. gadā Krievijā tiks izsniegti 4,6 miljoni kvalificētu elektronisko parakstu (CES) sertifikātu, kas atbilst 63-FZ prasībām. Izrādās, no 8 miljoniem reģistrēto individuālo uzņēmēju un SIA katrs otrais uzņēmējs izmanto elektronisko parakstu. Papildus EGAIS CEP un mākoņdatošanas CEP ziņojumiem, ko izsniedz bankas un grāmatvedības pakalpojumi, īpaši interesē universālie CEP par drošiem marķieriem. Šādi sertifikāti ļauj pieteikties valsts portālos un parakstīt visus dokumentus, padarot tos juridiski nozīmīgus.

Pateicoties CEP sertifikātam uz USB marķiera, jūs varat attālināti noslēgt līgumu ar darījuma partneri vai attālu darbinieku un nosūtīt dokumentus tiesai; Reģistrējiet tiešsaistes kases aparātu, nokārtojiet nodokļu parādus un personīgajā kontā iesniedziet deklarāciju vietnē Nalog.ru; Uzziniet par parādiem un gaidāmajām pārbaudēm valsts dienestos.

Tālāk sniegtā rokasgrāmata palīdzēs strādāt ar CEP operētājsistēmā macOS – neizpētot CryptoPro forumus un neinstalējot virtuālo mašīnu ar Windows.

saturs

Kas jums nepieciešams, lai strādātu ar CEP operētājsistēmā MacOS:

CEP instalēšana un konfigurēšana operētājsistēmai macOS

1. CryptoPro CSP instalēšana
2. Rutoken draiveru instalēšana
3. Sertifikātu instalēšana
   3.1. Mēs dzēšam visus vecos GOST sertifikātus
   3.2. Saknes sertifikātu instalēšana
   3.3. Lejupielādēt sertifikācijas iestādes sertifikātus
   3.4. Sertifikāta instalēšana ar Rutoken
4. Instalējiet īpašu pārlūkprogrammu Chromium-GOST
5. Pārlūkprogrammas paplašinājumu instalēšana
   5.1 CryptoPro EDS pārlūkprogrammas spraudnis
   5.2. Sabiedrisko pakalpojumu spraudnis
   5.3. Spraudņa iestatīšana valsts pakalpojumiem
   5.4. Paplašinājumu aktivizēšana
   5.5. CryptoPro EDS Browser spraudņa paplašinājuma iestatīšana
6. Pārbauda, ​​vai viss darbojas
   6.1. Dodieties uz CryptoPro testa lapu
   6.2. Dodieties uz savu personīgo kontu vietnē nalog.ru
   6.3. Dodieties uz Valsts dienestu
7. Ko darīt, ja tas pārstāj darboties

Konteinera PIN koda maiņa

1. KEP konteinera nosaukuma noskaidrošana
2. PIN maiņa ar komandu no termināļa

Failu parakstīšana operētājsistēmā macOS

1. CEP sertifikāta jaucējkoda noskaidrošana
2. Faila parakstīšana ar komandu no termināļa
3. Apple Automator Script instalēšana

Pārbaudiet parakstu uz dokumenta

Visa tālāk norādītā informācija ir iegūta no cienījamiem avotiem (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Telekomunikāciju un masu komunikāciju ministrijas Urālas federālais apgabals), un ir ieteicams lejupielādēt programmatūru no uzticamām vietnēm. Autors ir neatkarīgs konsultants un nav saistīts ne ar vienu no minētajiem uzņēmumiem. Ievērojot šos norādījumus, jūs uzņematies pilnu atbildību par jebkādām darbībām un sekām.

Kas jums nepieciešams, lai strādātu ar CEP operētājsistēmā MacOS:

1. CEP uz USB marķiera Rutoken Lite vai Rutoken EDS
2. kriptovalūtu konteiners CryptoPro formātā
3. ar iebūvētu licence CryptoPro CSP

eToken un JaCarta multivide kopā ar CryptoPro netiek atbalstīta operētājsistēmā macOS. Rutoken Lite datu nesējs ir labākā izvēle, tas maksā 500..1000= rubļus, darbojas ātri un ļauj uzglabāt līdz 15 atslēgām.

Kripto pakalpojumu sniedzēji VipNet, Signal-COM un LISSY netiek atbalstīti operētājsistēmā MacOS. Nav iespējams pārveidot konteinerus. CryptoPro ir labākā izvēle, sertifikāta cenai jābūt aptuveni 1300 = rub. individuālajiem uzņēmējiem un 1600 = rub. par YUL.

Parasti CryptoPro CSP gada licence jau ir iekļauta sertifikātā, un daudzas CA to nodrošina bez maksas. Ja tas tā nav, jums ir jāiegādājas un jāaktivizē pastāvīga licence CryptoPro CSP 4. versijai, kas maksā 2700=. CryptoPro CSP versija 5 operētājsistēmai MacOS pašlaik nedarbojas.

CEP instalēšana un konfigurēšana operētājsistēmai macOS

Acīmredzamas lietas

• visi lejupielādētie faili tiek lejupielādēti noklusējuma direktorijā: ~/Downloads/;
• Mēs neko nemainām visos instalētājos, atstājam visu kā noklusējumu;
• ja macOS parāda brīdinājumu, ka programmatūra, kas tiek palaista, ir no neidentificēta izstrādātāja, jums sistēmas iestatījumos ir jāapstiprina palaišana: Sistēmas preferences —> Drošība un konfidencialitāte —> Atvērt jebkurā gadījumā;
• ja macOS prasa lietotāja paroli un atļauju kontrolēt datoru, jums ir jāievada parole un jāpiekrīt visam.

1. Instalējiet CryptoPro CSP

Reģistrēties vietnē CryptoPro un co lejupielādes lapas lejupielādējiet un instalējiet versiju CryptoPro CSP 4.0 R4 par macOS - download.

2. Instalējiet Rutoken draiverus

Vietnē teikts, ka tas nav obligāti, taču labāk to instalēt. Co lejupielādes lapas lejupielādēt un instalēt Rutoken vietnē Atslēgu piekariņu atbalsta modulis - download.

Pēc tam pievienojiet usb marķieri, palaidiet termināli un izpildiet komandu:

/opt/cprocsp/bin/csptest -card -enum -v

Atbildei jābūt šādai:

Aktiv Rutoken…
Klāt karte…
[Kļūdas kods: 0x00000000]

3. Instalējiet sertifikātus

3.1. Mēs dzēšam visus vecos GOST sertifikātus

Ja iepriekš esat mēģinājis palaist CEP operētājsistēmā macOS, jums ir jādzēš visi iepriekš instalētie sertifikāti. Šīs komandas terminālī izdzēsīs tikai CryptoPro sertifikātus un neietekmēs parastos sertifikātus no Keychain operētājsistēmā MacOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Katras komandas atbildē jāiekļauj:

Nav kritērijiem atbilstošu sertifikātu

vai

Dzēšana ir pabeigta

3.2. Saknes sertifikātu instalēšana

Saknes sertifikāti ir kopīgi visiem CEP, ko izdevusi jebkura sertifikācijas iestāde. Lejupielādēt no lejupielādes lapas Telekomunikāciju un masu komunikāciju ministrijas Urālas federālais apgabals:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instalējiet ar komandām terminālī:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Katrai komandai jāatgriež:

Instalēšana:
...
[Kļūdas kods: 0x00000000]

3.3. Lejupielādēt sertifikācijas iestādes sertifikātus

Pēc tam jums jāinstalē tās sertifikācijas iestādes sertifikāti, kurā izsniedzāt CEP. Parasti katras CA saknes sertifikāti atrodas tās tīmekļa vietnes lejupielāžu sadaļā.

Alternatīvi jebkuras CA sertifikātus var lejupielādēt no Telekomunikāciju un masu komunikāciju ministrijas Urālas federālā apgabala vietne. Lai to izdarītu, meklēšanas formā jāatrod CA pēc nosaukuma, jāiet uz lapu ar sertifikātiem un jālejupielādē viss aktiermāksla sertifikāti – tas ir, tie ar 'derīgs' otrais randiņš vēl nav pienācis. Lejupielādējiet no laukā esošās saites "Pirkstu nospiedums".

Ekrānšāviņi

Izmantojot CA Corus-Consulting piemēru: jums ir jālejupielādē 4 sertifikāti no lejupielādes lapas:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Mēs instalējam lejupielādētos CA sertifikātus, izmantojot komandas no termināļa:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

kur pēc ~/Lejupielādes/ Lejupielādēto failu nosaukumi ir norādīti sarakstā; katrai CA tie būs atšķirīgi.

Katrai komandai jāatgriež:

Instalēšana:
...
[Kļūdas kods: 0x00000000]

3.4. Sertifikāta instalēšana ar Rutoken

Komanda terminālī:

/opt/cprocsp/bin/csptestf -absorb -certs

Komandai jāatgriežas:

Labi.
[Kļūdas kods: 0x00000000]

4. Instalējiet īpašu pārlūkprogrammu Chromium-GOST

Lai strādātu ar valdības portāliem, jums būs nepieciešama īpaša Chromium pārlūkprogrammas versija - Chromium-GOST. Projekta pirmkods ir atvērts, saite uz krātuve vietnē GitHub ir dots CryptoPro vietne. Pēc pieredzes, citas pārlūkprogrammas CryptoFox и Yandex pārlūks Tie nav piemēroti darbam ar valdības portāliem operētājsistēmā MacOS. Ir vērts padomāt, ka dažās Chromium-GOST versijās personīgais konts vietnē nalog.ru var iesaldēties vai ritināšana var pārstāt darboties, tāpēc tiek piedāvāts vecais pārbaudītais. būvēt 71.0.3578.98 - download.


Lejupielādējiet un izpakojiet arhīvu, instalējiet pārlūkprogrammu, kopējot vai velciet un nometiet to lietojumprogrammu direktorijā. Pēc instalēšanas piespiedu kārtā aizveriet Chromium un vēl neatveriet to, strādājiet no Safari.

killall Chromium-Gost

5. Instalējiet pārlūkprogrammas paplašinājumus

5.1 CryptoPro EDS pārlūkprogrammas spraudnis

Ar lejupielādes lapas lejupielādējiet un instalējiet CryptoPro vietnē CryptoPro EDS Browser spraudņa versija 2.0 lietotājiem - download.

5.2. Sabiedrisko pakalpojumu spraudnis

Ar lejupielādes lapas lejupielādēt un instalēt Valsts dienestu portālā Spraudnis darbam ar valdības pakalpojumu portālu (versija operētājsistēmai macOS) - download.

5.3. Spraudņa iestatīšana valsts pakalpojumiem

Lejupielādējiet pareizo valsts pakalpojumu paplašinājuma konfigurācijas failu no CryptoPro vietnes - download.

Izpildiet komandas terminālī:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Paplašinājumu aktivizēšana

Palaidiet pārlūkprogrammu Chromium-Gost un ierakstiet adreses joslā:

chrome://extensions/

Mēs iespējojam abus instalētos paplašinājumus:

• CryptoPro paplašinājums CAdES pārlūkprogrammas spraudnim
• Valsts pakalpojumu spraudņa paplašinājums

Ekrānuzņēmums

5.5. CryptoPro EDS Browser spraudņa paplašinājuma iestatīšana

Chromium-Gost adreses joslā mēs ierakstām:

/etc/opt/cprocsp/trusted_sites.html

Parādītajā lapā pa vienam pievienojiet šādas vietnes uzticamo vietņu sarakstam:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Noklikšķiniet uz "Saglabāt". Jāparādās zaļam punktam:

Uzticamo mezglu saraksts ir veiksmīgi saglabāts.

Ekrānuzņēmums

6. Pārbaudiet, vai viss darbojas

6.1. Dodieties uz CryptoPro testa lapu

Chromium-Gost adreses joslā mēs ierakstām:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Jātiek parādītam “Plugin loaded”, un tālāk esošajā sarakstā ir jābūt jūsu sertifikātam.
Sarakstā atlasiet sertifikātu un noklikšķiniet uz "Parakstīt". Jums tiks lūgts ievadīt sertifikāta PIN. Rezultātā tam vajadzētu parādīties

Paraksts veiksmīgi ģenerēts

Ekrānuzņēmums

6.2. Dodieties uz savu personīgo kontu vietnē nalog.ru

Iespējams, nevarēsit piekļūt saitēm no vietnes nalog.ru, jo... pārbaudes neizturēs. Jums jāiet caur tiešajām saitēm:

• Kabinets FE: https://lkipgost.nalog.ru/lk
• Kabinets ЮЛ: https://lkul.nalog.ru

Ekrānuzņēmums

6.3. Dodieties uz Valsts dienestu

Piesakoties, atlasiet “Pieteikties, izmantojot elektronisko parakstu”. Parādītajā sarakstā “Atlasīt elektroniskā paraksta verifikācijas atslēgas sertifikātu” tiks parādīti visi sertifikāti, tostarp saknes un CA; jums ir jāizvēlas savējais no USB marķiera un jāievada PIN.

Ekrānuzņēmums

7. Ko darīt, ja tas pārstāj darboties

1. Mēs atkārtoti savienojam usb marķieri un pārbaudām, vai tas ir redzams, izmantojot komandu terminālī:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Mēs visu laiku notīrām pārlūkprogrammas kešatmiņu, un Chromium-Gost adreses joslā ierakstām:

   
chrome://settings/clearBrowserData


3. Pārinstalējiet CEP sertifikātu, izmantojot komandu terminālī:

   /opt/cprocsp/bin/csptestf -absorb -certs

Konteinera PIN koda maiņa

Rutoken pielāgots PIN kods pēc noklusējuma 12345678, un to nevar atstāt šādi. Prasības Rutoken PIN kodam: ne vairāk kā 16 rakstzīmes, var saturēt latīņu burtus un ciparus.

1. Uzziniet KEP konteinera nosaukumu

USB pilnvarā un citās krātuvēs var būt saglabāti vairāki sertifikāti, un jums ir jāizvēlas pareizais. Kad ir ievietots usb marķieris, mēs saņemam visu sistēmas konteineru sarakstu ar komandu terminālī:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Komandai jāizņem vismaz 1 konteiners un jāatgriežas

[Kļūdas kods: 0x00000000]

Mums vajadzīgais konteiners izskatās

.Aktiv Rutoken liteXXXXXXXX

Ja tiek parādīti vairāki šādi konteineri, tas nozīmē, ka uz marķiera ir ierakstīti vairāki sertifikāti, un jūs zināt, kurš jums ir nepieciešams. Nozīme XXXXXXXX pēc slīpsvītras jums ir jākopē un jāielīmē tālāk esošajā komandā.

2. Mainiet PIN, izmantojot komandu no termināļa

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

kur XXXXXXXX – 1. darbībā iegūtā konteinera nosaukums (obligāti pēdiņās).

Parādīsies CryptoPro dialoglodziņš, kurā tiks prasīts vecais PIN kods, lai piekļūtu sertifikātam, un pēc tam vēl viens dialoglodziņš, lai ievadītu jauno PIN kodu. Gatavs.

Ekrānuzņēmums

Failu parakstīšana operētājsistēmā macOS

Operētājsistēmā MacOS failus var pierakstīties programmatūrā CryptoArm (licences cena 2500 = rub.), vai vienkārša komanda caur termināli - bez maksas.

1. Noskaidrojiet CEP sertifikāta jaucējkodu

Uz marķiera un citos veikalos var būt vairāki sertifikāti. Mums ir skaidri jānosaka tas, ar kuru mēs turpmāk parakstīsim dokumentus. Izdarīts vienreiz.
Token ir jāievieto. Mēs saņemam krātuvēs esošo sertifikātu sarakstu ar komandu no termināļa:

/opt/cprocsp/bin/certmgr -list

Komandai ir jāizvada vismaz 1 formas sertifikāts:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programma sertifikātu, CRL un veikalu pārvaldībai
= = = = = = = = = = = = = = = = = = = = =
1---
Emitents: [e-pasts aizsargāts],... CN=LLC KORUS Consulting CIS...
Temats: [e-pasts aizsargāts],... CN=Zaharovs Sergejs Anatoljevičs...
Sērijas numurs: 0x0000000000000000000000000000000000
SHA1 jaukšana: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Konteiners: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Kļūdas kods: 0x00000000]

Mums vajadzīgajam sertifikātam parametrā Container ir jābūt tādai vērtībai kā SCARDrutoken…. Ja ir vairāki sertifikāti ar šādām vērtībām, tad tokenā ir ierakstīti vairāki sertifikāti, un jūs zināt, kurš jums ir nepieciešams. Parametra vērtība SHA1 Hash (40 rakstzīmes) ir jākopē un jāielīmē tālāk esošajā komandā.

2. Faila parakstīšana ar komandu no termināļa

Terminālī dodieties uz direktoriju ar failu, lai parakstītu un izpildītu komandu:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

kur XXXX… – 1. solī iegūtais sertifikāta jaukums un FILE – parakstāmā faila nosaukums (ar visiem paplašinājumiem, bet bez ceļa).

Komandai jāatgriežas:

Parakstīts ziņojums ir izveidots.
[Kļūdas kods: 0x00000000]

Tiks izveidots elektroniskā paraksta fails ar paplašinājumu *.sgn – tas ir atdalīts paraksts CMS formātā ar DER kodējumu.

3. Instalējiet Apple Automator Script

Lai katru reizi nebūtu jāstrādā ar termināli, vienreiz varat instalēt Automator Script, ar kuru varat parakstīt dokumentus no Finder konteksta izvēlnes. Lai to izdarītu, lejupielādējiet arhīvu - download.

1. Arhīva izpakošana "Parakstīties ar CryptoPro.zip"
2. Palaist Automātors
3. Atrodiet un atveriet neizsaiņoto failu "Parakstīties ar CryptoPro.workflow"
4. Blokā Palaidiet Shell skriptu mainīt tekstu XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX uz parametra vērtību SHA1 Hash Iepriekš iegūts CEP sertifikāts.
5. Saglabājiet skriptu: ⌘Command+S
6. Palaidiet failu "Parakstīties ar CryptoPro.workflow" un apstipriniet instalēšanu.
7. Dosimies uz sistēmu Preferences -> Paplašinājumi -> Finder un pārbaudiet to Parakstieties ar CryptoPro atzīmēta ātra darbība.
8. Programmā Finder izsauciet jebkura faila konteksta izvēlni un sadaļā Ātrās darbības un / vai Pakalpojumi atlasiet vienumu Parakstieties ar CryptoPro
9. Parādītajā dialoglodziņā CryptoPro ievadiet lietotāja PIN kodu no CEP
10. Pašreizējā direktorijā parādīsies fails ar paplašinājumu *.sgn - atdalīts paraksts CMS formātā ar DER kodējumu.

Ekrānšāviņi

Apple Automator logs:

Sistēmas preferences:

Finder konteksta izvēlne:

Pārbaudiet parakstu uz dokumenta

Ja dokumenta saturs nesatur noslēpumus un noslēpumus, tad vienkāršākais veids ir izmantot tīmekļa pakalpojumu Valsts dienestu portālā - https://www.gosuslugi.ru/pgu/eds. Tādā veidā varat uzņemt ekrānuzņēmumu no cienījama resursa un būt pārliecināts, ka ar parakstu viss ir kārtībā.

Ekrānšāviņi

Avots: www.habr.com