Kwalifikowany podpis elektroniczny dla systemu macOS

Według RBK и Napinaczw 2019 roku w Rosji zostanie wydanych 4,6 mln certyfikatów kwalifikowanych podpisów elektronicznych (CES), spełniających wymagania 63-FZ. Okazuje się, że spośród 8 milionów zarejestrowanych przedsiębiorców indywidualnych i spółek z ograniczoną odpowiedzialnością co drugi przedsiębiorca posługuje się podpisem elektronicznym. Oprócz EGAIS CEP i opartych na chmurze CEP do raportowania wydawanych przez banki i usługi księgowe, szczególnym zainteresowaniem cieszą się uniwersalne CEP na bezpiecznych tokenach. Certyfikaty takie umożliwiają logowanie się do portali rządowych i podpisywanie dowolnych dokumentów, nadając im znaczenie prawne.

Dzięki certyfikatowi CEP na tokenie USB możesz zdalnie zawrzeć umowę z kontrahentem lub zdalnym pracownikiem oraz przesłać dokumenty do sądu; zarejestruj kasę internetową, ureguluj długi podatkowe i złóż deklarację na swoim koncie osobistym na nalog.ru; dowiaduj się o długach i zbliżających się kontrolach w Służbach Państwowych.

Poniższa instrukcja będzie pomocna współpracuj z CEP pod systemem macOS – bez studiowania forów CryptoPro i instalowania maszyny wirtualnej z Windowsem.

Zawartość

Czego potrzebujesz do pracy z CEP w systemie macOS:

Instalacja i konfiguracja CEP dla systemu macOS

1. Instalowanie CryptoPro CSP
2. Instalowanie sterowników Rutoken
3. Instalowanie certyfikatów
   3.1. Usuwamy wszystkie stare certyfikaty GOST
   3.2. Instalowanie certyfikatów głównych
   3.3. Pobierz certyfikaty urzędu certyfikacji
   3.4. Instalowanie certyfikatu za pomocą Rutoken
4. Zainstaluj specjalną przeglądarkę Chromium-GOST
5. Instalowanie rozszerzeń przeglądarki
   Wtyczka do przeglądarki CryptoPro EDS 5.1
   5.2. Wtyczka do usług publicznych
   5.3. Konfigurowanie wtyczki dla usług stanowych
   5.4. Aktywacja rozszerzeń
   5.5. Konfigurowanie rozszerzenia wtyczki przeglądarki CryptoPro EDS
6. Sprawdzanie, czy wszystko działa
   6.1. Przejdź do strony testowej CryptoPro
   6.2. Przejdź do swojego konta osobistego na nalog.ru
   6.3. Przejdź do usług państwowych
7. Co zrobić, jeśli przestanie działać

Zmiana kodu PIN kontenera

1. Znalezienie nazwy kontenera KEP
2. Zmiana PIN-u komendą z terminala

Podpisywanie plików w systemie macOS

1. Znalezienie skrótu certyfikatu CEP
2. Podpisywanie pliku poleceniem z terminala
3. Instalowanie skryptu Apple Automator

Sprawdź podpis na dokumencie

Wszystkie poniższe informacje pochodzą z renomowanych źródeł (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralski Okręg Federalny Ministerstwa Telekomunikacji i Komunikacji Masowej) i sugeruje się pobieranie oprogramowania z zaufanych witryn. Autor jest niezależnym konsultantem i nie jest powiązany z żadną z wymienionych firm. Postępując zgodnie z tymi instrukcjami, przejmujesz pełną odpowiedzialność za wszelkie działania i konsekwencje.

Czego potrzebujesz do pracy z CEP w systemie macOS:

1. CEP na tokenie USB Rutoken Lite lub Rutoken EDS
2. kontener na kryptowaluty w formacie CryptoPro
3. ze zintegrowanym licencja na CryptoPro CSP

Media eToken i JaCarta w połączeniu z CryptoPro nie są obsługiwane w systemie macOS. Nośnik Rutoken Lite to najlepszy wybór, kosztuje 500..1000= rubli, działa szybko i pozwala na przechowywanie aż 15 kluczy.

Dostawcy kryptowalut VipNet, Signal-COM i LISSY nie są obsługiwani w systemie macOS. Nie ma możliwości konwersji kontenerów. CryptoPro to najlepszy wybór, koszt certyfikatu powinien wynieść około 1300 = rub. dla przedsiębiorców indywidualnych i 1600 = rub. dla YUL.

Zazwyczaj roczna licencja na CryptoPro CSP jest już zawarta w certyfikacie i jest udostępniana bezpłatnie przez wiele urzędów certyfikacji. Jeżeli tak nie jest to należy zakupić i aktywować licencję wieczystą na CryptoPro CSP w wersji stricte 4 kosztującej 2700=. CryptoPro CSP wersja 5 dla macOS obecnie nie działa.

Instalacja i konfiguracja CEP dla systemu macOS

Rzeczy oczywiste

• wszystkie pobrane pliki są pobierane do domyślnego katalogu: ~/Downloads/;
• Nie zmieniamy niczego we wszystkich instalatorach, zostawiamy wszystko domyślnie;
• jeśli macOS wyświetla ostrzeżenie, że uruchamiane oprogramowanie pochodzi od niezidentyfikowanego programisty, musisz potwierdzić uruchomienie w ustawieniach systemu: Preferencje systemowe —> Bezpieczeństwo i prywatność —> Otwórz mimo to;
• jeśli macOS poprosi o hasło użytkownika i pozwolenie na kontrolę komputera, musisz wprowadzić hasło i zgodzić się na wszystko.

1. Zainstaluj CryptoPro CSP

Zarejestrować na stronie internetowej CryptoPro i spółka strony pobierania pobierz i zainstaluj wersję Dostawca usług kryptograficznych CryptoPro 4.0 R4 dla macOS - pobranie.

2. Zainstaluj sterowniki Rutoken

Na stronie jest napisane, że jest to opcjonalne, ale lepiej to zainstalować. Współ strony pobierania pobierz i zainstaluj na stronie Rutoken Moduł obsługi pęku kluczy - pobranie.

Następnie podłącz token USB, uruchom terminal i wykonaj polecenie:

/opt/cprocsp/bin/csptest -card -enum -v

Odpowiedź powinna brzmieć:

Aktywny Rutoken…
Karta obecna…
[Kod błędu: 0x00000000]

3. Zainstaluj certyfikaty

3.1. Usuwamy wszystkie stare certyfikaty GOST

Jeśli już wcześniej próbowałeś uruchomić CEP w systemie macOS, musisz wyczyścić wszystkie wcześniej zainstalowane certyfikaty. Te polecenia w terminalu usuną tylko certyfikaty CryptoPro i nie będą miały wpływu na zwykłe certyfikaty z pęku kluczy w systemie macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Odpowiedź każdego polecenia powinna zawierać:

Brak certyfikatu spełniającego kryteria

lub

Usuwanie zakończone

3.2. Instalowanie certyfikatów głównych

Certyfikaty główne są wspólne dla wszystkich certyfikatów CEP wydanych przez dowolny urząd certyfikacji. Pobrane z strony pobierania Uralski Okręg Federalny Ministerstwa Telekomunikacji i Komunikacji Masowej:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Zainstaluj za pomocą poleceń w terminalu:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Każde polecenie powinno zwrócić:

Instalacja:
...
[Kod błędu: 0x00000000]

3.3. Pobierz certyfikaty urzędu certyfikacji

Następnie musisz zainstalować certyfikaty urzędu certyfikacji, w którym wydałeś CEP. Zazwyczaj certyfikaty główne każdego urzędu certyfikacji znajdują się na jego stronie internetowej, w sekcji pobierania.

Alternatywnie można pobrać certyfikaty dowolnego urzędu certyfikacji strona internetowa Uralskiego Okręgu Federalnego Ministerstwa Telekomunikacji i Komunikacji Masowej. Aby to zrobić, w formularzu wyszukiwania musisz znaleźć urząd certyfikacji po nazwie, przejść do strony z certyfikatami i pobrać wszystko aktualny certyfikaty – czyli takie, które posiadają 'Ważny' drugi termin jeszcze nie nadszedł. Pobierz z linku w polu 'Odcisk palca'.

Zrzuty ekranu

Na przykładzie CA Corus-Consulting: należy pobrać 4 certyfikaty z strony pobierania:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Instalujemy pobrane certyfikaty CA za pomocą poleceń z terminala:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

gdzie potem ~/Pobieranie/ Wyświetlone zostaną nazwy pobranych plików; będą one różne dla każdego urzędu certyfikacji.

Każde polecenie powinno zwrócić:

Instalacja:
...
[Kod błędu: 0x00000000]

3.4. Instalowanie certyfikatu za pomocą Rutoken

Polecenie w terminalu:

/opt/cprocsp/bin/csptestf -absorb -certs

Komenda powinna zwrócić:

OK.
[Kod błędu: 0x00000000]

4. Zainstaluj specjalną przeglądarkę Chromium-GOST

Do pracy z portalami rządowymi potrzebna będzie specjalna wersja przeglądarki Chromium - Chrom-GOST. Kod źródłowy projektu jest otwarty, link do repozytorium na GitHubie jest podawany Strona internetowa CryptoPro. Z doświadczenia inne przeglądarki KryptoFox и Przeglądarka Yandex Nie nadają się do pracy z portalami rządowymi w systemie macOS. Warto wziąć pod uwagę, że w niektórych wersjach Chromium-GOST konto osobiste na nalog.ru może się zawiesić lub przewijanie może całkowicie przestać działać, dlatego oferowany jest stary sprawdzony kompilacja 71.0.3578.98 - pobranie.


Pobierz i rozpakuj archiwum, zainstaluj przeglądarkę, kopiując ją lub przeciągając i upuszczając do katalogu Aplikacje. Po instalacji wymuś zamknięcie Chromium i jeszcze go nie otwieraj, pracuj w przeglądarce Safari.

killall Chromium-Gost

5. Zainstaluj rozszerzenia przeglądarki

Wtyczka do przeglądarki CryptoPro EDS 5.1

Z strony pobierania pobierz i zainstaluj na stronie CryptoPro Wtyczka do przeglądarki CryptoPro EDS w wersji 2.0 dla użytkowników - pobranie.

5.2. Wtyczka do usług publicznych

Z strony pobierania pobierz i zainstaluj w portalu usług stanowych Wtyczka do pracy z portalem usług rządowych (wersja dla macOS) - pobranie.

5.3. Konfigurowanie wtyczki dla usług stanowych

Pobierz poprawny plik konfiguracyjny rozszerzenia State Services ze strony CryptoPro - pobranie.

Wykonaj polecenia w terminalu:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktywacja rozszerzeń

Uruchom przeglądarkę Chromium-Gost i wpisz w pasku adresu:

chrome://extensions/

Włączamy oba zainstalowane rozszerzenia:

• Rozszerzenie CryptoPro dla wtyczki przeglądarki CADES
• Rozszerzenie wtyczki Public Services

Zrzut ekranu

5.5. Konfigurowanie rozszerzenia wtyczki przeglądarki CryptoPro EDS

W pasku adresu Chromium-Gost wpisujemy:

/etc/opt/cprocsp/trusted_sites.html

Na wyświetlonej stronie dodaj kolejno następujące witryny do listy zaufanych witryn:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Kliknij „Zapisz”. Powinna pojawić się zielona kropka:

Lista zaufanych węzłów została pomyślnie zapisana.

Zrzut ekranu

6. Sprawdź, czy wszystko działa

6.1. Przejdź do strony testowej CryptoPro

W pasku adresu Chromium-Gost wpisujemy:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Powinien wyświetlić się komunikat „Wtyczka załadowana”, a Twój certyfikat powinien znajdować się na poniższej liście.
Wybierz certyfikat z listy i kliknij „Podpisz”. Zostaniesz poproszony o podanie PIN-u certyfikatu. W rezultacie powinien się wyświetlić

Podpis został wygenerowany pomyślnie

Zrzut ekranu

6.2. Przejdź do swojego konta osobistego na nalog.ru

Dostęp do linków z witryny nalog.ru może być niemożliwy, ponieważ... kontrole nie przejdą. Musisz przejść przez bezpośrednie linki:

• Gabinet PI: https://lkipgost.nalog.ru/lk
• Gabinet ЮЛ: https://lkul.nalog.ru

Zrzut ekranu

6.3. Przejdź do usług państwowych

Podczas logowania wybierz opcję „Zaloguj się przy użyciu podpisu elektronicznego”. Na wyświetlonej liście „Wybierz certyfikat klucza weryfikacji podpisu elektronicznego” wyświetlą się wszystkie certyfikaty, w tym root i CA, należy wybrać swój z tokena USB i wprowadzić PIN.

Zrzut ekranu

7. Co zrobić, jeśli przestanie działać

1. Ponownie podłączamy token USB i sprawdzamy czy jest on widoczny komendą w terminalu:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Czyścimy na zawsze pamięć podręczną przeglądarki, dla której w pasku adresu Chromium-Gost wpisujemy:

   
chrome://settings/clearBrowserData


3. Zainstaluj ponownie certyfikat CEP za pomocą polecenia w terminalu:

   /opt/cprocsp/bin/csptestf -absorb -certs

Zmiana kodu PIN kontenera

Domyślnie niestandardowy kod PIN dla Rutoken 12345678i nie da się tego tak zostawić. Wymagania dotyczące kodu PIN Rutoken: maksymalnie 16 znaków, może zawierać litery i cyfry łacińskie.

1. Znajdź nazwę kontenera KEP

Na tokenie USB i innych nośnikach może znajdować się kilka certyfikatów i należy wybrać ten właściwy. Po włożeniu tokena USB otrzymujemy listę wszystkich kontenerów w systemie za pomocą komendy w terminalu:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Komenda musi wycofać co najmniej 1 kontener i zwrócić

[Kod błędu: 0x00000000]

Pojemnik, którego potrzebujemy, wygląda

.Aktiv Rutoken liteXXXXXXXXX

Jeśli wyświetli się kilka takich kontenerów, oznacza to, że na tokenie zapisanych jest kilka certyfikatów i wiesz, którego potrzebujesz. Oznaczający XXXXXXXX po ukośniku musisz skopiować i wkleić do poniższego polecenia.

2. Zmień PIN za pomocą polecenia z terminala

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

gdzie XXXXXXXX – nazwa kontenera uzyskana w kroku 1 (koniecznie w cudzysłowie).

Pojawi się okno dialogowe CryptoPro z prośbą o podanie starego kodu PIN w celu uzyskania dostępu do certyfikatu, a następnie kolejne okno dialogowe z prośbą o wprowadzenie nowego kodu PIN. Gotowy.

Zrzut ekranu

Podpisywanie plików w systemie macOS

W systemie macOS pliki można podpisywać w oprogramowaniu CryptoArm (koszt licencji 2500 = rub.) lub proste polecenie przez terminal - bezpłatnie.

1. Znajdź skrót certyfikatu CEP

Na tokenie i w innych sklepach może znajdować się wiele certyfikatów. Musimy jasno określić, z kim odtąd będziemy podpisywać dokumenty. Zrobione raz.
Należy wstawić token. Listę certyfikatów znajdujących się w repozytoriach otrzymujemy poleceniem z terminala:

/opt/cprocsp/bin/certmgr -list

Polecenie musi wyprowadzić co najmniej 1 certyfikat w postaci:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program do zarządzania certyfikatami, listami CRL i magazynami
====================
1---
Wystawca: [email chroniony],... CN=LLC KORUS Consulting CIS...
Temat: [email chroniony],... CN=Zacharow Siergiej Anatolijewicz...
Numer seryjny: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Kontener: SCARDrutoken_lt_00000000 000 000
...
====================
[Kod błędu: 0x00000000]

Certyfikat, którego potrzebujemy w parametrze Kontener, musi mieć wartość np SCARDrutoken…. Jeśli jest kilka certyfikatów o takich wartościach, to na tokenie zapisanych jest kilka certyfikatów i wiadomo, którego potrzebujesz. Wartość parametru Hash SHA1 (40 znaków) należy skopiować i wkleić do poniższego polecenia.

2. Podpisanie pliku poleceniem z terminala

W terminalu przejdź do katalogu z plikiem do podpisania i wykonaj polecenie:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

gdzie XXXX… – skrót certyfikatu uzyskany w kroku 1, oraz FILE – nazwa pliku do podpisania (ze wszystkimi rozszerzeniami, ale bez ścieżki).

Komenda powinna zwrócić:

Podpisana wiadomość została utworzona.
[Kod błędu: 0x00000000]

Zostanie utworzony plik podpisu elektronicznego z rozszerzeniem *.sgn - jest to podpis odłączany w formacie CMS z kodowaniem DER.

3. Zainstaluj skrypt Apple Automator

Aby uniknąć konieczności każdorazowej pracy z terminalem, możesz jednorazowo zainstalować Automator Script, za pomocą którego możesz podpisywać dokumenty z menu kontekstowego Findera. Aby to zrobić, pobierz archiwum - pobranie.

1. Rozpakowywanie archiwum „Podpisz za pomocą CryptoPro.zip”
2. Biegnij Automator
3. Znajdź i otwórz rozpakowany plik „Podpisz za pomocą CryptoPro.workflow”
4. W bloku Uruchom skrypt powłoki zmienić tekst XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX do wartości parametru Hash SHA1 Certyfikat CEP uzyskany powyżej.
5. Zapisz skrypt: ⌘Command + S
6. Uruchom plik „Podpisz za pomocą CryptoPro.workflow” i potwierdź instalację.
7. Przejdźmy do Systemu Preferencje -> Rozszerzenia -> Finder i sprawdź to Podpisz z CryptoPro odnotowano szybkie działanie.
8. W Finderze wywołaj menu kontekstowe dowolnego pliku oraz w sekcji Szybkie działania i / lub Usługi Wybierz przedmiot Podpisz z CryptoPro
9. W wyświetlonym oknie dialogowym CryptoPro wprowadź kod PIN użytkownika z CEP
10. W bieżącym katalogu pojawi się plik z rozszerzeniem *.sgn - podpis odłączany w formacie CMS z kodowaniem DER.

Zrzuty ekranu

Okno Apple Automatora:

Preferencje systemu:

Menu kontekstowe Findera:

Sprawdź podpis na dokumencie

Jeśli treść dokumentu nie zawiera tajemnic i tajemnic, najłatwiej jest skorzystać z usługi internetowej w portalu Służb Państwowych - https://www.gosuslugi.ru/pgu/eds. W ten sposób możesz zrobić zrzut ekranu z renomowanego zasobu i mieć pewność, że z podpisem wszystko jest w porządku.

Zrzuty ekranu

Źródło: www.habr.com