Gekwalificeerde elektronische handtekening voor macOS

Volgens RBC и TensorIn 2019 zullen in Rusland 4,6 miljoen certificaten van gekwalificeerde elektronische handtekeningen (CES) worden uitgegeven, die voldoen aan de vereisten van 63-FZ. Het blijkt dat van de 8 miljoen geregistreerde individuele ondernemers en LLC’s elke tweede ondernemer een elektronische handtekening gebruikt. Naast EGAIS CEP's en cloudgebaseerde CEP's voor rapportage uitgegeven door banken en accountantsdiensten, zijn universele CEP's op beveiligde tokens van bijzonder belang. Met dergelijke certificaten kunt u inloggen op overheidsportals en alle documenten ondertekenen, waardoor ze juridisch significant worden.

Dankzij het CEP-certificaat op een USB-token kunt u op afstand een overeenkomst sluiten met een wederpartij of medewerker op afstand en documenten naar de rechtbank sturen; een online kassa registreren, belastingschulden betalen en een aangifte indienen in uw persoonlijke account op nalog.ru; meer te weten komen over schulden en aanstaande inspecties bij Rijksdiensten.

Onderstaande handleiding helpt werk met CEP onder macOS – zonder de CryptoPro-forums te bestuderen en een virtuele machine met Windows te installeren.

Inhoud

Wat je nodig hebt om met CEP onder macOS te werken:

CEP voor macOS installeren en configureren

1. CryptoPro CSP installeren
2. Rutoken-stuurprogramma's installeren
3. Certificaten installeren
   3.1. We verwijderen alle oude GOST-certificaten
   3.2. Rootcertificaten installeren
   3.3. Certificaten van certificeringsinstanties downloaden
   3.4. Een certificaat installeren met Rutoken
4. Installeer een speciale browser Chromium-GOST
5. Browserextensies installeren
   5.1 CryptoPro EDS-browserplug-in
   5.2. Plug-in voor openbare diensten
   5.3. Het opzetten van een plugin voor Rijksdiensten
   5.4. Extensies activeren
   5.5. De CryptoPro EDS Browser plug-in-extensie instellen
6. Controleren of alles werkt
   6.1. Ga naar de CryptoPro-testpagina
   6.2. Ga naar uw persoonlijke account op nalog.ru
   6.3. Ga naar Staatsdiensten
7. Wat te doen als het niet meer werkt

Het wijzigen van de pincode van de container

1. De naam van de KEP-container achterhalen
2. PIN wijzigen met een commando van de terminal

Bestanden ondertekenen op macOS

1. Het achterhalen van de hash van het CEP-certificaat
2. Een bestand ondertekenen met een opdracht vanaf de terminal
3. Apple Automator-script installeren

Controleer de handtekening op het document

Alle onderstaande informatie is verkregen van gerenommeerde bronnen (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Federaal District Oeral van het Ministerie van Telecom en Massacommunicatie), en er wordt aangeraden om software van vertrouwde sites te downloaden. De auteur is een onafhankelijk adviseur en is niet verbonden aan een van de genoemde bedrijven. Door deze instructies te volgen, aanvaardt u de volledige verantwoordelijkheid voor eventuele acties en gevolgen.

Wat je nodig hebt om met CEP onder macOS te werken:

1. CEP op een USB-token Rutoken Lite of Rutoken EDS
2. crypto-container in CryptoPro-formaat
3. met ingebouwde licentie voor CryptoPro CSP

eToken- en JaCarta-media in combinatie met CryptoPro worden niet ondersteund onder macOS. De Rutoken Lite-media is de beste keuze, deze kost 500..1000= roebel, werkt snel en biedt ruimte voor maximaal 15 sleutels.

Cryptoproviders VipNet, Signal-COM en LISSY worden niet ondersteund op macOS. Er is geen manier om containers te converteren. CryptoPro is de beste keuze, de kosten van het certificaat zouden ongeveer 1300 = wrijven moeten zijn. voor individuele ondernemers en 1600 = wrijven. voor YUL.

Normaal gesproken is een jaarlijkse licentie voor CryptoPro CSP al inbegrepen in het certificaat en wordt deze door veel CA's gratis verstrekt. Als dit niet het geval is, moet u een eeuwigdurende licentie voor CryptoPro CSP, strikt versie 4, aanschaffen en activeren, die 2700= kost. CryptoPro CSP versie 5 voor macOS werkt momenteel niet.

CEP voor macOS installeren en configureren

Duidelijke dingen

• alle gedownloade bestanden worden gedownload naar de standaardmap: ~/Downloads/;
• We veranderen niets in alle installatieprogramma's, we laten alles op de standaard;
• als macOS een waarschuwing weergeeft dat de software die wordt gestart van een onbekende ontwikkelaar is, moet u het starten bevestigen in de systeeminstellingen: Systeemvoorkeuren -> Beveiliging en privacy -> Toch openen;
• als macOS om een ​​gebruikerswachtwoord en toestemming vraagt ​​om de computer te besturen, moet u het wachtwoord invoeren en met alles akkoord gaan.

1. Installeer CryptoPro CSP

Register op de website CryptoPro en co pagina's downloaden download en installeer de versie CryptoPro CSP 4.0 R4 voor macOS - скачать.

2. Installeer Rutoken-stuurprogramma's

De website zegt dat dit optioneel is, maar het is beter om het te installeren. Co pagina's downloaden downloaden en installeren op de Rutoken-website Ondersteuningsmodule voor sleutelhanger - скачать.

Sluit vervolgens het usb-token aan, start de terminal en voer de opdracht uit:

/opt/cprocsp/bin/csptest -card -enum -v

Het antwoord zou moeten zijn:

Actief Rutoken…
Kaart aanwezig…
[Foutcode: 0x00000000]

3. Certificaten installeren

3.1. We verwijderen alle oude GOST-certificaten

Als u eerder hebt geprobeerd CEP onder macOS te starten, moet u alle eerder geïnstalleerde certificaten wissen. Deze opdrachten in de terminal verwijderen alleen CryptoPro-certificaten en hebben geen invloed op reguliere certificaten van Keychain op macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Het antwoord van elke opdracht moet het volgende omvatten:

Geen certificaat dat voldoet aan de criteria

of

Verwijderen voltooid

3.2. Rootcertificaten installeren

Rootcertificaten zijn gemeenschappelijk voor alle CEP's die door een certificeringsinstantie zijn uitgegeven. Downloaden van pagina's downloaden Federaal District Oeral van het Ministerie van Telecom en Massacommunicatie:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installeer met opdrachten in terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Elke opdracht zou moeten retourneren:

Installeren:
...
[Foutcode: 0x00000000]

3.3. Certificaten van certificeringsinstanties downloaden

Vervolgens moet u de certificaten installeren van de certificeringsinstantie waar u het CEP heeft afgegeven. Normaal gesproken bevinden de rootcertificaten van elke CA zich op hun website in de downloadsectie.

Als alternatief kunnen certificaten van elke CA worden gedownload van website van het Federaal District Oeral van het Ministerie van Telecom en Massacommunicatie. Om dit te doen, moet u in het zoekformulier een CA op naam zoeken, naar de pagina met certificaten gaan en alles downloaden huidig certificaten – dat wil zeggen degenen met 'Geldig' de tweede date is nog niet gearriveerd. Downloaden via de link in het veld 'Vingerafdruk'.

Schermafbeeldingen

Aan de hand van het voorbeeld van CA Corus-Consulting: u moet 4 certificaten downloaden van pagina's downloaden:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

We installeren de gedownloade CA-certificaten met behulp van opdrachten van de terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

waar daarna ~/Downloaden/ De namen van de gedownloade bestanden worden vermeld; deze zullen voor elke CA verschillend zijn.

Elke opdracht zou moeten retourneren:

Installeren:
...
[Foutcode: 0x00000000]

3.4. Een certificaat installeren met Rutoken

Commando in terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Het commando zou moeten retourneren:

OK.
[Foutcode: 0x00000000]

4. Installeer een speciale browser Chromium-GOST

Als u met overheidsportals wilt werken, heeft u een speciale versie van de Chromium-browser nodig: Chroom-GOST. De broncode van het project is open, link naar opslagplaats op GitHub wordt gegeven CryptoPro-website. Uit ervaring, andere browsers CryptoFox и Yandex-browser Ze zijn niet geschikt voor het werken met overheidsportals onder macOS. Het is de moeite waard om te overwegen dat in sommige versies van Chromium-GOST het persoonlijke account op nalog.ru kan vastlopen of dat het scrollen helemaal niet meer werkt, dus wordt het oude bewezen account aangeboden bouw 71.0.3578.98 - скачать.


Download het archief en pak het uit, installeer de browser door deze naar de map Toepassingen te kopiëren of te slepen en neer te zetten. Na de installatie Chromium geforceerd afsluiten en nog niet openen, werken vanuit Safari.

killall Chromium-Gost

5. Installeer browserextensies

5.1 CryptoPro EDS-browserplug-in

Met pagina's downloaden downloaden en installeren op de CryptoPro-website CryptoPro EDS Browser plug-in versie 2.0 voor gebruikers - скачать.

5.2. Plug-in voor openbare diensten

Met pagina's downloaden downloaden en installeren op het State Services-portaal Plugin voor het werken met het overheidsdienstenportaal (versie voor macOS) - скачать.

5.3. Het opzetten van een plugin voor Rijksdiensten

Download het juiste configuratiebestand voor de State Services-extensie van de CryptoPro-website - скачать.

Voer opdrachten uit in terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Extensies activeren

Start de Chromium-Gost-browser en typ in de adresbalk:

chrome://extensions/

We schakelen beide geïnstalleerde extensies in:

• CryptoPro-extensie voor CAdES-browserplug-in
• Uitbreiding voor de plug-in State Services

Screenshot

5.5. De CryptoPro EDS Browser plug-in-extensie instellen

In de Chromium-Gost-adresbalk typen we:

/etc/opt/cprocsp/trusted_sites.html

Voeg op de pagina die verschijnt de volgende sites één voor één toe aan de lijst met vertrouwde sites:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klik op “Opslaan”. Er zou een groene stip moeten verschijnen:

De lijst met vertrouwde knooppunten is succesvol opgeslagen.

Screenshot

6. Controleer of alles werkt

6.1. Ga naar de CryptoPro-testpagina

In de Chromium-Gost-adresbalk typen we:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

“Plugin geladen” zou moeten worden weergegeven en uw certificaat zou in de onderstaande lijst aanwezig moeten zijn.
Selecteer een certificaat uit de lijst en klik op “Ondertekenen”. Er wordt om de certificaatpincode gevraagd. Als gevolg hiervan zou het moeten worden weergegeven

Handtekening succesvol gegenereerd

Screenshot

6.2. Ga naar uw persoonlijke account op nalog.ru

Mogelijk hebt u geen toegang tot links van de site nalog.ru, omdat... controles gaan niet door. U moet via directe links gaan:

• Private kantoor SP: https://lkipgost.nalog.ru/lk
• Private kantoor Juridische entiteit: https://lkul.nalog.ru

Screenshot

6.3. Ga naar Staatsdiensten

Selecteer bij het inloggen ‘Aanmelden met een elektronische handtekening’. In de lijst “Selecteer elektronische handtekeningverificatiesleutelcertificaat” die verschijnt, worden alle certificaten, inclusief root en CA, weergegeven; u moet de uwe selecteren op een USB-token en de pincode invoeren.

Screenshot

7. Wat te doen als het niet meer werkt

1. We verbinden het usb-token opnieuw en controleren of het zichtbaar is met behulp van het commando in de terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. We wissen de browsercache voor altijd, waarvoor we in de Chromium-Gost-adresbalk typen:

   
chrome://settings/clearBrowserData


3. Installeer het CEP-certificaat opnieuw met behulp van de opdracht in de terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Het wijzigen van de pincode van de container

Standaard aangepaste pincode voor Rutoken 12345678, en er is geen manier om het zo te laten. Vereisten voor de Rutoken-pincode: maximaal 16 tekens, mag Latijnse letters en cijfers bevatten.

1. Ontdek de naam van de KEP-container

Er kunnen meerdere certificaten zijn opgeslagen op het USB-token en andere opslagplaatsen, en u moet de juiste kiezen. Als het usb-token is geplaatst, krijgen we een lijst met alle containers in het systeem met de opdracht in de terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

De opdracht moet minimaal 1 container terughalen en retourneren

[Foutcode: 0x00000000]

De container die we nodig hebben, ziet er zo uit

.Aktiv Rutoken liteXXXXXXXXX

Als er meerdere van dergelijke containers worden weergegeven, betekent dit dat er meerdere certificaten op het token zijn geschreven en dat u weet welke u nodig heeft. Betekenis XXXXXXXX na de schuine streep moet je kopiëren en in de onderstaande opdracht plakken.

2. Wijzig de pincode met een commando vanaf de terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

waar XXXXXXXX – de naam van de container verkregen in stap 1 (noodzakelijkerwijs tussen aanhalingstekens).

Er verschijnt een CryptoPro-dialoogvenster waarin om de oude pincode wordt gevraagd om toegang te krijgen tot het certificaat, en vervolgens een ander dialoogvenster om de nieuwe pincode in te voeren. Klaar.

Screenshot

Bestanden ondertekenen op macOS

Op macOS kunnen bestanden in software worden ondertekend CryptoArm (licentiekosten 2500 = wrijven), of een eenvoudige opdracht via de terminal - gratis.

1. Ontdek de hash van het CEP-certificaat

Er kunnen meerdere certificaten op een token en in andere winkels staan. We moeten duidelijk degene identificeren waarmee we vanaf nu documenten zullen ondertekenen. Eén keer gedaan.
Het token moet worden ingevoegd. We krijgen een lijst met certificaten in de repositories met de opdracht van de terminal:

/opt/cprocsp/bin/certmgr -list

De opdracht moet minimaal 1 certificaat van het formulier opleveren:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programma voor het beheren van certificaten, CRL's en winkels
​
1---
emittent: [e-mail beveiligd],... CN=LLC KORUS Consulting CIS...
Onderwerp: [e-mail beveiligd],... CN=Zakharov Sergej Anatolyjevitsj...
Serieel: 0x0000000000000000000000000000000000
SHA1-hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARDrutoken_lt_00000000 000 000
...
​
[Foutcode: 0x00000000]

Het certificaat dat we nodig hebben in de containerparameter moet een waarde hebben zoals SCARDrutoken…. Als er meerdere certificaten zijn met dergelijke waarden, dan zijn er meerdere certificaten op het token vastgelegd en weet u welke u nodig heeft. Parameterwaarde SHA1-hasj (40 tekens) moet worden gekopieerd en in het onderstaande commando worden geplakt.

2. Een bestand ondertekenen met een commando vanaf de terminal

Ga in de terminal naar de map met het bestand om te ondertekenen en de opdracht uit te voeren:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

waar XXXX… – certificaathash verkregen in stap 1, en FILE – bestandsnaam om te ondertekenen (met alle extensies, maar zonder pad).

Het commando zou moeten retourneren:

Er is een ondertekend bericht gemaakt.
[Foutcode: 0x00000000]

Er wordt een elektronisch handtekeningbestand aangemaakt met de extensie *.sgn - dit is een losse handtekening in CMS-formaat met DER-codering.

3. Installeer het Apple Automator-script

Om te voorkomen dat u elke keer met de terminal moet werken, kunt u eenmalig Automator Script installeren, waarmee u documenten kunt ondertekenen vanuit het Finder-contextmenu. Download hiervoor het archief - скачать.

1. Het archief uitpakken 'Ondertekenen met CryptoPro.zip'
2. Lancering Automator
3. Zoek en open het uitgepakte bestand 'Ondertekenen met CryptoPro.workflow'
4. In het blok Shell-script uitvoeren verander de tekst XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX naar de parameterwaarde SHA1-hasj CEP-certificaat hierboven behaald.
5. Sla het script op: ⌘Command + S
6. Voer het bestand uit 'Ondertekenen met CryptoPro.workflow' en bevestig de installatie.
7. Laten we naar Systeem gaan Voorkeuren -> Extensies -> Finder en controleer dat Teken met CryptoPro snelle actie opgemerkt.
8. Roep in Finder het contextmenu van een willekeurig bestand op en in de sectie Snelle acties en / of Diensten selecteer item Teken met CryptoPro
9. Voer in het CryptoPro-dialoogvenster dat verschijnt de gebruikerspincode van de CEP in
10. In de huidige map verschijnt een bestand met de extensie *.sgn - een losse handtekening in CMS-formaat met DER-codering.

Schermafbeeldingen

Apple Automator-venster:

Systeem voorkeuren:

Contextmenu van Finder:

Controleer de handtekening op het document

Als de inhoud van het document geen geheimen en geheimen bevat, is de eenvoudigste manier om de webservice op het portaal van de staatsdiensten te gebruiken - https://www.gosuslugi.ru/pgu/eds. Op deze manier kunt u een screenshot maken van een gerenommeerde bron en er zeker van zijn dat alles in orde is met de handtekening.

Schermafbeeldingen

Bron: www.habr.com