Kvalifisert elektronisk signatur for macOS

Ifølge RBC и Tensor, i 2019 vil 4,6 millioner sertifikater for kvalifiserte elektroniske signaturer (CES) bli utstedt i Russland, som oppfyller kravene i 63-FZ. Det viser seg at av 8 millioner registrerte individuelle gründere og LLCer, bruker annenhver gründer en elektronisk signatur. I tillegg til EGAIS CEP-er og skybaserte CEP-er for rapportering utstedt av banker og regnskapstjenester, er universelle CEP-er på sikre tokens av spesiell interesse. Slike sertifikater lar deg logge inn på offentlige portaler og signere alle dokumenter, noe som gjør dem juridisk viktige.

Takket være CEP-sertifikatet på et USB-token kan du eksternt inngå en avtale med en motpart eller ekstern ansatt, og sende dokumenter til retten; registrer et elektronisk kassaapparat, gjør opp skattegjeld og send inn en erklæring på din personlige konto på nalog.ru; finne ut om gjeld og kommende tilsyn hos Statens tjenester.

Håndboken nedenfor vil hjelpe arbeid med CEP under macOS – uten å studere CryptoPro-foraene og installere en virtuell maskin med Windows.

Innhold

Dette trenger du for å jobbe med CEP under macOS:

Installere og konfigurere CEP for macOS

1. Installerer CryptoPro CSP
2. Installere Rutoken-drivere
3. Installerer sertifikater
   3.1. Vi sletter alle gamle GOST-sertifikater
   3.2. Installerer rotsertifikater
   3.3. Last ned sertifikater fra sertifiseringsinstanser
   3.4. Installere et sertifikat med Rutoken
4. Installer en spesiell nettleser Chromium-GOST
5. Installerer nettleserutvidelser
   5.1 CryptoPro EDS-nettleserplugin
   5.2. Plugin for offentlige tjenester
   5.3. Sette opp en plugin for statlige tjenester
   5.4. Aktivering av utvidelser
   5.5. Sette opp CryptoPro EDS Browser plug-in-utvidelsen
6. Sjekker at alt fungerer
   6.1. Gå til CryptoPro-testsiden
   6.2. Gå til din personlige konto på nalog.ru
   6.3. Gå til Statens tjenester
7. Hva du skal gjøre hvis den slutter å fungere

Endring av beholder-PIN-koden

1. Finne ut navnet på KEP-beholderen
2. Endring av PIN-kode med en kommando fra terminalen

Signering av filer på macOS

1. Finne ut hashen til CEP-sertifikatet
2. Signering av en fil med en kommando fra terminalen
3. Installere Apple Automator Script

Sjekk signaturen på dokumentet

All informasjon nedenfor er hentet fra anerkjente kilder (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Ural føderale distrikt i departementet for telekom og massekommunikasjon), og det anbefales å laste ned programvare fra pålitelige nettsteder. Forfatteren er en uavhengig konsulent og er ikke tilknyttet noen av de nevnte selskapene. Ved å følge disse instruksjonene påtar du deg det fulle ansvar for alle handlinger og konsekvenser.

Dette trenger du for å jobbe med CEP under macOS:

1. CEP på et USB-token Rutoken Lite eller Rutoken EDS
2. kryptobeholder i CryptoPro-format
3. med innebygd lisens for CryptoPro CSP

eToken og JaCarta media i forbindelse med CryptoPro støttes ikke under macOS. Rutoken Lite-mediet er det beste valget, det koster 500..1000= rubler, det fungerer raskt og lar deg lagre opptil 15 nøkler.

Krypto-leverandører VipNet, Signal-COM og LISSY støttes ikke på macOS. Det er ingen måte å konvertere containere på. CryptoPro er det beste valget, kostnaden for sertifikatet bør være ca 1300 = gni. for individuelle gründere og 1600 = gni. for YUL.

Vanligvis er en årlig lisens for CryptoPro CSP allerede inkludert i sertifikatet og leveres gratis av mange CAer. Hvis dette ikke er tilfelle, må du kjøpe og aktivere en evigvarende lisens for CryptoPro CSP strengt tatt versjon 4 som koster 2700=. CryptoPro CSP versjon 5 for macOS fungerer ikke for øyeblikket.

Installere og konfigurere CEP for macOS

Åpenbare ting

• alle nedlastede filer lastes ned til standardkatalogen: ~/Nedlastinger/;
• Vi endrer ikke noe i alle installatører, vi lar alt være standard;
• hvis macOS viser en advarsel om at programvaren som startes er fra en uidentifisert utvikler, må du bekrefte lanseringen i systeminnstillingene: Systemvalg —> Sikkerhet og personvern —> Åpne uansett;
• hvis macOS ber om et brukerpassord og tillatelse til å kontrollere datamaskinen, må du skrive inn passordet og godta alt.

1. Installer CryptoPro CSP

Registrere på nettstedet CryptoPro og co laste ned sider last ned og installer versjonen CryptoPro CSP 4.0 RX for macOS - скачать.

2. Installer Rutoken-drivere

Nettstedet sier at dette er valgfritt, men det er bedre å installere det. Co laste ned sider last ned og installer på Rutoken-nettstedet Nøkkelringstøttemodul - скачать.

Koble deretter til usb-tokenet, start terminalen og utfør kommandoen:

/opt/cprocsp/bin/csptest -card -enum -v

Svaret bør være:

Aktiv Rutoken…
Gavekort…
[Feilkode: 0x00000000]

3. Installer sertifikater

3.1. Vi sletter alle gamle GOST-sertifikater

Hvis du tidligere har forsøkt å starte CEP under macOS, må du slette alle tidligere installerte sertifikater. Disse kommandoene i terminalen vil bare slette CryptoPro-sertifikater og vil ikke påvirke vanlige sertifikater fra nøkkelring på macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Hver kommandos svar bør inkludere:

Ingen sertifikater som samsvarer med kriteriene

eller

Slettingen er fullført

3.2. Installerer rotsertifikater

Rotsertifikater er felles for alle CEP-er utstedt av enhver sertifiseringsmyndighet. Last ned fra laste ned sider Ural føderale distrikt til departementet for telekom og massekommunikasjon:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installer med kommandoer i terminalen:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Hver kommando skal returnere:

Installasjon:
...
[Feilkode: 0x00000000]

3.3. Last ned sertifikater fra sertifiseringsinstanser

Deretter må du installere sertifikatene til sertifiseringsmyndigheten der du utstedte CEP. Vanligvis er rotsertifikatene til hver CA plassert på nettsiden i nedlastingsdelen.

Alternativt kan sertifikater for enhver CA lastes ned fra nettstedet til Ural føderale distrikt til departementet for telekom og massekommunikasjon. For å gjøre dette, i søkeskjemaet må du finne en CA etter navn, gå til siden med sertifikater og laste ned alt skuespill sertifikater – altså de med 'Gyldig' den andre datoen har ennå ikke kommet. Last ned fra lenken i feltet 'Fingeravtrykk'.

Skjermbilder

Ved å bruke eksemplet med CA Corus-Consulting: du må laste ned 4 sertifikater fra laste ned sider:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Vi installerer de nedlastede CA-sertifikatene ved å bruke kommandoer fra terminalen:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

hvor etter ~/Nedlastinger/ Navnene på de nedlastede filene er oppført; de vil være forskjellige for hver CA.

Hver kommando skal returnere:

Installasjon:
...
[Feilkode: 0x00000000]

3.4. Installere et sertifikat med Rutoken

Kommando i terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Kommandoen skal returnere:

OK.
[Feilkode: 0x00000000]

4. Installer en spesiell nettleser Chromium-GOST

For å jobbe med offentlige portaler trenger du en spesiell versjon av Chromium-nettleseren - Chromium-GOST. Kildekoden til prosjektet er åpen, lenke til repository på GitHub er gitt på CryptoPro nettsted. Av erfaring, andre nettlesere CryptoFox и Yandex-nettleser De er ikke egnet for å jobbe med offentlige portaler under macOS. Det er verdt å vurdere at i noen versjoner av Chromium-GOST kan den personlige kontoen på nalog.ru fryse eller rullingen kan slutte å fungere helt, så den gamle, velprøvde tilbys bygge 71.0.3578.98 - скачать.


Last ned og pakk ut arkivet, installer nettleseren ved å kopiere eller dra og slippe det inn i applikasjonskatalogen. Etter installasjonen, tving lukking av Chromium og ikke åpne den ennå, arbeid fra Safari.

killall Chromium-Gost

5. Installer nettleserutvidelser

5.1 CryptoPro EDS-nettleserplugin

Co laste ned sider last ned og installer på CryptoPro-nettstedet CryptoPro EDS Browser plug-in versjon 2.0 for brukere - скачать.

5.2. Plugin for offentlige tjenester

Co laste ned sider last ned og installer på State Services-portalen Plugin for å jobbe med myndighetstjenesteportalen (versjon for macOS) - скачать.

5.3. Sette opp en plugin for statlige tjenester

Last ned den riktige konfigurasjonsfilen for State Services-utvidelsen fra CryptoPro-nettstedet - скачать.

Utfør kommandoer i terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktivering av utvidelser

Start Chromium-Gost-nettleseren og skriv inn i adressefeltet:

chrome://extensions/

Vi aktiverer begge installerte utvidelser:

• CryptoPro-utvidelse for CAdES-nettleserplugin
• Utvidelse for State Services-plugin

skjermbilde

5.5. Sette opp CryptoPro EDS Browser plug-in-utvidelsen

I Chromium-Gost-adresselinjen skriver vi:

/etc/opt/cprocsp/trusted_sites.html

På siden som vises, legg til følgende nettsteder i listen over pålitelige nettsteder én etter én:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klikk "Lagre". En grønn prikk skal vises:

Listen over klarerte noder er lagret.

skjermbilde

6. Sjekk at alt fungerer

6.1. Gå til CryptoPro-testsiden

I Chromium-Gost-adresselinjen skriver vi:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Plugin lastet" skal vises, og sertifikatet ditt skal være til stede i listen nedenfor.
Velg et sertifikat fra listen og klikk på "Sign". Du vil bli bedt om sertifikat-PIN. Som et resultat bør den vises

Signaturen ble generert

skjermbilde

6.2. Gå til din personlige konto på nalog.ru

Du kan kanskje ikke få tilgang til lenker fra nettstedet nalog.ru, fordi... sjekker vil ikke bestå. Du må gå gjennom direkte lenker:

• Kontor SP: https://lkipgost.nalog.ru/lk
• Kontor ЮЛ: https://lkul.nalog.ru

skjermbilde

6.3. Gå til Statens tjenester

Når du logger på, velger du «Logg på med elektronisk signatur». I listen "Velg elektronisk signaturverifiseringsnøkkelsertifikat" som vises, vil alle sertifikater, inkludert rot og CA, vises; du må velge ditt fra et USB-token og angi PIN-koden.

skjermbilde

7. Hva du skal gjøre hvis den slutter å fungere

1. Vi kobler til usb-tokenet igjen og kontrollerer at det er synlig ved å bruke kommandoen i terminalen:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Vi tømmer nettleserbufferen for alltid, som vi skriver inn i Chromium-Gost-adresselinjen:

   
chrome://settings/clearBrowserData


3. Installer CEP-sertifikatet på nytt ved å bruke kommandoen i terminalen:

   /opt/cprocsp/bin/csptestf -absorb -certs

Endring av beholder-PIN-koden

Egendefinert PIN-kode for Rutoken som standard 12345678, og det er ingen måte å la det være slik. Krav til Rutoken PIN-kode: maks 16 tegn, kan inneholde latinske bokstaver og tall.

1. Finn ut navnet på KEP-beholderen

Det kan være flere sertifikater lagret på USB-tokenet og andre lagringer, og du må velge riktig. Med usb-tokenet satt inn får vi en liste over alle containere i systemet med kommandoen i terminalen:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Kommandoen må trekke ut minst 1 container og returnere

[Feilkode: 0x00000000]

Beholderen vi trenger ser ut som

.Aktiv Rutoken liteXXXXXXXXX

Hvis flere slike beholdere vises, betyr det at det er skrevet flere sertifikater på token, og du vet hvilken du trenger. Betydning XXXXXXXX etter skråstreken må du kopiere og lime inn i kommandoen nedenfor.

2. Endre PIN ved hjelp av en kommando fra terminalen

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

der XXXXXXXX – navnet på beholderen oppnådd i trinn 1 (nødvendigvis i anførselstegn).

En CryptoPro-dialog vises som ber om den gamle PIN-koden for å få tilgang til sertifikatet, og deretter en annen dialogboks for å angi den nye PIN-koden. Klar.

skjermbilde

Signering av filer på macOS

På macOS kan filer logges på programvare CryptoArm (lisens koster 2500 = rub.), eller en enkel kommando via terminalen - gratis.

1. Finn ut hashen til CEP-sertifikatet

Det kan være flere sertifikater på en token og i andre butikker. Vi må tydelig identifisere den som vi skal signere dokumenter med fra nå av. Gjort en gang.
Tokenet må settes inn. Vi får en liste over sertifikater i depotene med kommandoen fra terminalen:

/opt/cprocsp/bin/certmgr -list

Kommandoen må sende ut minst 1 sertifikat av skjemaet:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program for å administrere sertifikater, CRL-er og butikker
= = = = = = = = = = = = = = = = = = = = =
1---
Utsteder: [e-postbeskyttet],... CN=LLC KORUS Consulting CIS...
emne: [e-postbeskyttet],... CN=Zakharov Sergey Anatolyevich...
Serie: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Beholder: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = =
[Feilkode: 0x00000000]

Sertifikatet vi trenger i Container-parameteren må ha en verdi som SCARDrutoken.... Hvis det er flere sertifikater med slike verdier, så er det flere sertifikater registrert på tokenet, og du vet hvilket du trenger. Parameterverdi SHA1 Hash (40 tegn) må kopieres og limes inn i kommandoen nedenfor.

2. Signere en fil med en kommando fra terminalen

I terminalen går du til katalogen med filen for å signere og utføre kommandoen:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

der XXXX... – sertifikat-hash oppnådd i trinn 1, og Filer – filnavn å signere (med alle utvidelser, men uten bane).

Kommandoen skal returnere:

Signert melding er opprettet.
[Feilkode: 0x00000000]

En elektronisk signaturfil vil bli opprettet med filtypen *.sgn - dette er en løsrevet signatur i CMS-format med DER-koding.

3. Installer Apple Automator Script

For å unngå å måtte jobbe med terminalen hver gang, kan du installere Automator Script én gang, som du kan signere dokumenter med fra Finder-kontekstmenyen. For å gjøre dette, last ned arkivet - скачать.

1. Pakker ut arkivet 'Sign med CryptoPro.zip'
2. Lansering Automator
3. Finn og åpne den utpakkede filen 'Sign med CryptoPro.workflow'
4. I blokken Kjør Shell Script endre teksten XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX til parameterverdien SHA1 Hash CEP-sertifikat oppnådd ovenfor.
5. Lagre skriptet: ⌘Command + S
6. Kjør filen 'Sign med CryptoPro.workflow' og bekreft installasjonen.
7. La oss gå til System Innstillinger -> Utvidelser -> Finder og sjekk det Signer med CryptoPro rask handling notert.
8. I Finder, kall opp kontekstmenyen til en hvilken som helst fil, og i seksjonen Raske Actions og / eller Tjenester Velg en Signer med CryptoPro
9. I CryptoPro-dialogen som vises, skriv inn brukerens PIN-kode fra CEP
10. En fil med filtypen *.sgn vil vises i gjeldende katalog - en løsrevet signatur i CMS-format med DER-koding.

Skjermbilder

Apple Automator-vindu:

Systeminnstillinger:

Finder kontekstmeny:

Sjekk signaturen på dokumentet

Hvis innholdet i dokumentet ikke inneholder hemmeligheter og hemmeligheter, er den enkleste måten å bruke nettjenesten på portalen for statlige tjenester - https://www.gosuslugi.ru/pgu/eds. På denne måten kan du ta et skjermbilde fra en anerkjent ressurs og være sikker på at alt er ok med signaturen.

Skjermbilder

Kilde: www.habr.com