Tandatangan elektronik yang layak untuk macOS

Menurut RBC и Tensor, pada 2019, 4,6 juta sijil tandatangan elektronik (CES) yang layak akan dikeluarkan di Rusia, memenuhi keperluan 63-FZ. Ternyata daripada 8 juta usahawan individu dan LLC yang berdaftar, setiap usahawan kedua menggunakan tandatangan elektronik. Sebagai tambahan kepada CEP EGAIS dan CEP berasaskan awan untuk pelaporan yang dikeluarkan oleh bank dan perkhidmatan perakaunan, CEP sejagat pada token selamat amat diminati. Sijil sedemikian membolehkan anda log masuk ke portal kerajaan dan menandatangani sebarang dokumen, menjadikannya penting di sisi undang-undang.

Terima kasih kepada sijil CEP pada token USB, anda boleh membuat perjanjian dari jauh dengan rakan niaga atau pekerja jauh, dan menghantar dokumen ke mahkamah; daftarkan daftar tunai dalam talian, selesaikan hutang cukai dan serahkan pengisytiharan dalam akaun peribadi anda di nalog.ru; mengetahui tentang hutang dan pemeriksaan akan datang di Perkhidmatan Negeri.

Manual di bawah akan membantu bekerja dengan CEP di bawah macOS – tanpa mempelajari forum CryptoPro dan memasang mesin maya dengan Windows.

Содержание

Perkara yang anda perlukan untuk bekerja dengan CEP di bawah macOS:

Memasang dan mengkonfigurasi CEP untuk macOS

1. Memasang CryptoPro CSP
2. Memasang pemacu Rutoken
3. Memasang sijil
   3.1. Kami memadam semua sijil GOST lama
   3.2. Memasang sijil akar
   3.3. Muat turun sijil pihak berkuasa pensijilan
   3.4. Memasang sijil dengan Rutoken
4. Pasang penyemak imbas khas Chromium-GOST
5. Memasang sambungan penyemak imbas
   5.1 Pemalam Penyemak Imbas CryptoPro EDS
   5.2. Plugin untuk Perkhidmatan Awam
   5.3. Menyediakan pemalam untuk Perkhidmatan Negeri
   5.4. Mengaktifkan sambungan
   5.5. Menyediakan sambungan pemalam CryptoPro EDS Browser
6. Memeriksa bahawa semuanya berfungsi
   6.1. Pergi ke halaman ujian CryptoPro
   6.2. Pergi ke Akaun Peribadi anda di nalog.ru
   6.3. Pergi ke Perkhidmatan Negeri
7. Apa yang perlu dilakukan jika ia berhenti berfungsi

Menukar kod PIN bekas

1. Mengetahui nama bekas KEP
2. Menukar PIN dengan arahan daripada terminal

Menandatangani fail pada macOS

1. Mengetahui cincangan sijil CEP
2. Menandatangani fail dengan arahan dari terminal
3. Memasang Skrip Automator Apple

Semak tandatangan pada dokumen

Semua maklumat di bawah diperoleh daripada sumber yang bereputasi (CryptoPro #1 и #2, Rutoken, Corus-Perundingan, Daerah Persekutuan Ural Kementerian Telekom dan Komunikasi Massa), dan dicadangkan untuk memuat turun perisian daripada tapak yang dipercayai. Penulis adalah perunding bebas dan tidak bergabung dengan mana-mana syarikat yang disebutkan. Dengan mengikuti arahan ini, anda bertanggungjawab sepenuhnya untuk sebarang tindakan dan akibat.

Perkara yang anda perlukan untuk bekerja dengan CEP di bawah macOS:

1. CEP pada token USB Rutoken Lite atau Rutoken EDS
2. bekas kripto dalam format CryptoPro
3. dengan terbina dalam lesen untuk CryptoPro CSP

eToken dan media JaCarta bersama CryptoPro tidak disokong di bawah macOS. Media Rutoken Lite adalah pilihan terbaik, ia berharga 500..1000= rubel, ia berfungsi dengan cepat dan membolehkan anda menyimpan sehingga 15 kekunci.

Pembekal Crypto VipNet, Signal-COM dan LISSY tidak disokong pada macOS. Tiada cara untuk menukar bekas. CryptoPro adalah pilihan terbaik, kos sijil hendaklah kira-kira 1300 = gosok. untuk usahawan individu dan 1600 = gosok. untuk YUL.

Biasanya, lesen tahunan untuk CryptoPro CSP sudah disertakan dalam sijil dan disediakan secara percuma oleh banyak CA. Jika ini tidak berlaku, maka anda perlu membeli dan mengaktifkan lesen kekal untuk CryptoPro CSP dengan ketat versi 4 berharga 2700=. CryptoPro CSP versi 5 untuk macOS tidak berfungsi pada masa ini.

Memasang dan mengkonfigurasi CEP untuk macOS

Perkara yang jelas

• semua fail yang dimuat turun dimuat turun ke direktori lalai: ~/Downloads/;
• Kami tidak mengubah apa-apa dalam semua pemasang, kami membiarkan semuanya sebagai lalai;
• jika macOS memaparkan amaran bahawa perisian yang dilancarkan adalah daripada pembangun yang tidak dikenali, anda perlu mengesahkan pelancaran dalam tetapan sistem: Keutamaan Sistem —> Keselamatan & Privasi —> Buka Bagaimanapun;
• jika macOS meminta kata laluan pengguna dan kebenaran untuk mengawal komputer, anda perlu memasukkan kata laluan dan bersetuju dengan segala-galanya.

1. Pasang CryptoPro CSP

Daftar di laman web CryptoPro and co muat turun halaman muat turun dan pasang versi CryptoPro CSP 4.0 R4 untuk MacOS - memuat turun.

2. Pasang pemacu Rutoken

Laman web mengatakan bahawa ini adalah pilihan, tetapi lebih baik untuk memasangnya. Co muat turun halaman muat turun dan pasang di tapak web Rutoken Modul sokongan rantai kunci - memuat turun.

Seterusnya, sambungkan token usb, lancarkan terminal dan laksanakan arahan:

/opt/cprocsp/bin/csptest -card -enum -v

Jawapannya sepatutnya:

Aktiv Rutoken…
Hadiah kad…
[Kod Ralat: 0x00000000]

3. Pasang sijil

3.1. Kami memadam semua sijil GOST lama

Jika anda sebelum ini cuba melancarkan CEP di bawah macOS, maka anda perlu mengosongkan semua sijil yang dipasang sebelum ini. Arahan dalam terminal ini hanya akan memadamkan sijil CryptoPro dan tidak akan menjejaskan sijil biasa daripada Rantai Kunci pada macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Setiap respons arahan hendaklah termasuk:

Tiada sijil yang sepadan dengan kriteria

atau

Pemadaman selesai

3.2. Memasang sijil akar

Sijil akar adalah perkara biasa kepada semua CEP yang dikeluarkan oleh mana-mana pihak berkuasa pensijilan. Muat turun daripada muat turun halaman Daerah Persekutuan Ural Kementerian Telekom dan Komunikasi Massa:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Pasang dengan arahan dalam terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Setiap arahan harus kembali:

Memasang:
...
[Kod Ralat: 0x00000000]

3.3. Muat turun sijil pihak berkuasa pensijilan

Seterusnya, anda perlu memasang sijil pihak berkuasa pensijilan tempat anda mengeluarkan CEP. Biasanya, sijil akar setiap CA terletak di tapak webnya dalam bahagian muat turun.

Sebagai alternatif, sijil mana-mana CA boleh dimuat turun daripada laman web Daerah Persekutuan Ural Kementerian Telekom dan Komunikasi Massa. Untuk melakukan ini, dalam borang carian anda perlu mencari CA mengikut nama, pergi ke halaman dengan sijil dan muat turun segala-galanya semasa sijil – iaitu yang mempunyai 'Sah' tarikh kedua masih belum tiba. Muat turun dari pautan di medan 'cap jari'.

Screenshot

Menggunakan contoh CA Corus-Consulting: anda perlu memuat turun 4 sijil daripada muat turun halaman:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Kami memasang sijil CA yang dimuat turun menggunakan arahan daripada terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

mana selepasnya ~/Muat turun/ Nama fail yang dimuat turun disenaraikan; mereka akan berbeza untuk setiap CA.

Setiap arahan harus kembali:

Memasang:
...
[Kod Ralat: 0x00000000]

3.4. Memasang sijil dengan Rutoken

Perintah di terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Perintah itu harus kembali:

OK.
[Kod Ralat: 0x00000000]

4. Pasang penyemak imbas khas Chromium-GOST

Untuk bekerja dengan portal kerajaan, anda memerlukan binaan khas penyemak imbas Chromium - Chromium-GOST. Kod sumber projek dibuka, pautan ke repositori di GitHub diberikan pada laman web CryptoPro. Dari pengalaman, pelayar lain CryptoFox и pelayar Yandex Mereka tidak sesuai untuk bekerja dengan portal kerajaan di bawah macOS. Perlu dipertimbangkan bahawa dalam beberapa binaan Chromium-GOST, akaun peribadi di nalog.ru mungkin membeku atau penatalan mungkin berhenti berfungsi sama sekali, jadi yang lama terbukti ditawarkan bina 71.0.3578.98 - memuat turun.


Muat turun dan bongkar arkib, pasang penyemak imbas dengan menyalin atau seret&lepaskannya ke dalam direktori Aplikasi. Selepas pemasangan, Paksa tutup Chromium dan jangan bukanya lagi, kerja dari Safari.

killall Chromium-Gost

5. Pasang sambungan penyemak imbas

5.1 Pemalam Penyemak Imbas CryptoPro EDS

Dengan muat turun halaman muat turun dan pasang di laman web CryptoPro Pemalam CryptoPro EDS Browser versi 2.0 untuk pengguna - memuat turun.

5.2. Plugin untuk Perkhidmatan Awam

Dengan muat turun halaman muat turun dan pasang pada portal Perkhidmatan Negeri Pemalam untuk bekerja dengan portal perkhidmatan kerajaan (versi untuk macOS) - memuat turun.

5.3. Menyediakan pemalam untuk Perkhidmatan Negeri

Muat turun fail konfigurasi yang betul untuk sambungan Perkhidmatan Negeri dari laman web CryptoPro - memuat turun.

Jalankan arahan dalam terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Mengaktifkan sambungan

Lancarkan penyemak imbas Chromium-Gost dan taip dalam bar alamat:

chrome://extensions/

Kami mendayakan kedua-dua sambungan yang dipasang:

• Sambungan CryptoPro untuk Pemalam Penyemak Imbas CAdES
• Sambungan untuk pemalam Perkhidmatan Negeri

Ð¡ÐºÑ € инÑоÑ,

5.5. Menyediakan sambungan pemalam CryptoPro EDS Browser

Dalam bar alamat Chromium-Gost kami menaip:

/etc/opt/cprocsp/trusted_sites.html

Pada halaman yang dipaparkan, tambahkan tapak berikut pada senarai tapak yang dipercayai satu demi satu:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klik “Simpan”. Titik hijau akan muncul:

Senarai nod yang dipercayai telah berjaya disimpan.

Ð¡ÐºÑ € инÑоÑ,

6. Periksa sama ada semuanya berfungsi

6.1. Pergi ke halaman ujian CryptoPro

Dalam bar alamat Chromium-Gost kami menaip:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Pemalam dimuatkan" harus dipaparkan dan sijil anda harus ada dalam senarai di bawah.
Pilih sijil daripada senarai dan klik "Tandatangan". Anda akan diminta untuk PIN sijil. Akibatnya, ia harus dipaparkan

Tandatangan berjaya dijana

Ð¡ÐºÑ € инÑоÑ,

6.2. Pergi ke Akaun Peribadi anda di nalog.ru

Anda mungkin tidak dapat mengakses pautan dari tapak nalog.ru, kerana... cek tidak akan lulus. Anda perlu melalui pautan terus:

• Pejabat swasta IP: https://lkipgost.nalog.ru/lk
• Pejabat swasta Entiti undang-undang: https://lkul.nalog.ru

Ð¡ÐºÑ € инÑоÑ,

6.3. Pergi ke Perkhidmatan Negeri

Apabila log masuk, pilih "Log masuk menggunakan tandatangan elektronik." Dalam senarai "Pilih sijil kunci pengesahan tandatangan elektronik" yang muncul, semua sijil, termasuk akar dan CA, akan dipaparkan; anda perlu memilih sijil anda daripada token USB dan masukkan PIN.

Ð¡ÐºÑ € инÑоÑ,

7. Apa yang perlu dilakukan jika ia berhenti berfungsi

1. Kami menyambung semula token usb dan menyemak sama ada ia boleh dilihat menggunakan arahan dalam terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Kami mengosongkan cache penyemak imbas untuk sepanjang masa, yang kami taip dalam bar alamat Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Pasang semula sijil CEP menggunakan arahan dalam terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Menukar kod PIN bekas

Kod PIN tersuai untuk Rutoken secara lalai 12345678, dan tiada cara untuk meninggalkannya seperti ini. Keperluan untuk kod PIN Rutoken: 16 aksara maks., boleh mengandungi huruf dan nombor Latin.

1. Ketahui nama bekas KEP

Mungkin terdapat beberapa sijil yang disimpan pada token USB dan storan lain, dan anda perlu memilih yang betul. Dengan token usb dimasukkan, kami mendapat senarai semua bekas dalam sistem dengan arahan dalam terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Perintah mesti menarik balik sekurang-kurangnya 1 bekas dan kembali

[Kod Ralat: 0x00000000]

Bekas yang kita perlukan kelihatan seperti

.Aktiv Rutoken liteXXXXXXXXX

Jika beberapa bekas sedemikian dipaparkan, ini bermakna terdapat beberapa sijil yang ditulis pada token, dan anda tahu yang mana satu yang anda perlukan. Maknanya XXXXXXXX selepas slash anda perlu salin dan tampal ke dalam arahan di bawah.

2. Tukar PIN menggunakan arahan daripada terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

mana XXXXXXXX – nama bekas yang diperolehi dalam langkah 1 (semestinya dalam petikan).

Dialog CryptoPro akan muncul meminta kod PIN lama untuk mengakses sijil, kemudian dialog lain untuk memasukkan kod PIN baharu. sedia.

Ð¡ÐºÑ € инÑоÑ,

Menandatangani fail pada macOS

Pada macOS, fail boleh dilog masuk perisian CryptoArm (kos lesen 2500 = gosok.), atau arahan mudah melalui terminal - percuma.

1. Ketahui cincangan sijil CEP

Terdapat berbilang sijil pada token dan di kedai lain. Kita perlu mengenal pasti dengan jelas dokumen yang akan kita tandatangani mulai sekarang. Selesai sekali.
Token mesti dimasukkan. Kami mendapat senarai sijil dalam repositori dengan arahan dari terminal:

/opt/cprocsp/bin/certmgr -list

Perintah mesti mengeluarkan sekurang-kurangnya 1 sijil borang:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program untuk menguruskan sijil, CRL dan stor
= = = = = = = = = = = = = = = = = = =
1---
Penerbit: [e-mel dilindungi],... CN=LLC KORUS Consulting CIS...
subjek: [e-mel dilindungi],... CN=Zakharov Sergey Anatolyevich...
Bersiri: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Bekas: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Kod Ralat: 0x00000000]

Sijil yang kami perlukan dalam parameter Container mesti mempunyai nilai seperti SCARDrutoken…. Jika terdapat beberapa sijil dengan nilai sedemikian, maka terdapat beberapa sijil yang direkodkan pada token, dan anda tahu yang mana satu yang anda perlukan. Nilai parameter Hash SHA1 (40 aksara) mesti disalin dan ditampal ke dalam arahan di bawah.

2. Menandatangani fail dengan arahan daripada terminal

Di terminal, pergi ke direktori dengan fail untuk menandatangani dan melaksanakan arahan:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

mana XXXX... – cincang sijil diperoleh dalam langkah 1, dan FAIL – nama fail untuk ditandatangani (dengan semua sambungan, tetapi tanpa laluan).

Perintah itu harus kembali:

Mesej yang ditandatangani dibuat.
[Kod Ralat: 0x00000000]

Fail tandatangan elektronik dengan sambungan *.sgn akan dibuat - ini ialah tandatangan terpisah dalam format CMS dengan pengekodan DER.

3. Pasang Skrip Apple Automator

Untuk mengelak daripada bekerja dengan terminal setiap kali, anda boleh memasang Skrip Automator sekali, yang dengannya anda boleh menandatangani dokumen daripada menu konteks Finder. Untuk melakukan ini, muat turun arkib - memuat turun.

1. Membongkar arkib 'Tandatangan dengan CryptoPro.zip'
2. Kami melancarkan Automator
3. Cari dan buka fail yang tidak dibungkus 'Tandatangan dengan CryptoPro.workflow'
4. Di blok Jalankan Skrip Shell menukar teks XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX kepada nilai parameter Hash SHA1 Sijil CEP diperolehi di atas.
5. Simpan skrip: ⌘Command + S
6. Jalankan fail 'Tandatangan dengan CryptoPro.workflow' dan sahkan pemasangan.
7. Mari pergi ke Sistem Keutamaan -> Sambungan -> Pencari dan semak itu Tandatangan dengan CryptoPro tindakan pantas diperhatikan.
8. Dalam Finder, panggil menu konteks mana-mana fail dan dalam bahagian Tindakan Pantas dan / atau Perkhidmatan pilih barang Tandatangan dengan CryptoPro
9. Dalam dialog CryptoPro yang muncul, masukkan kod PIN pengguna daripada CEP
10. Fail dengan sambungan *.sgn akan muncul dalam direktori semasa - tandatangan terpisah dalam format CMS dengan pengekodan DER.

Screenshot

Tetingkap Apple Automator:

Keutamaan Sistem:

Menu konteks pencari:

Semak tandatangan pada dokumen

Jika kandungan dokumen tidak mengandungi rahsia dan rahsia, maka cara paling mudah ialah menggunakan perkhidmatan web di portal Perkhidmatan Negeri - https://www.gosuslugi.ru/pgu/eds. Dengan cara ini anda boleh mengambil tangkapan skrin daripada sumber yang bereputasi dan pastikan semuanya ok dengan tandatangan.

Screenshot

Sumber: www.habr.com