Kwalifikowany podpis elektroniczny dla systemu macOS
Według RBK и Napinaczw 2019 roku w Rosji zostanie wydanych 4,6 mln certyfikatów kwalifikowanych podpisów elektronicznych (CES), spełniających wymagania 63-FZ. Okazuje się, że spośród 8 milionów zarejestrowanych przedsiębiorców indywidualnych i spółek z ograniczoną odpowiedzialnością co drugi przedsiębiorca posługuje się podpisem elektronicznym. Oprócz EGAIS CEP i opartych na chmurze CEP do raportowania wydawanych przez banki i usługi księgowe, szczególnym zainteresowaniem cieszą się uniwersalne CEP na bezpiecznych tokenach. Certyfikaty takie umożliwiają logowanie się do portali rządowych i podpisywanie dowolnych dokumentów, nadając im znaczenie prawne.
Dzięki certyfikatowi CEP na tokenie USB możesz zdalnie zawrzeć umowę z kontrahentem lub zdalnym pracownikiem oraz przesłać dokumenty do sądu; zarejestruj kasę internetową, ureguluj długi podatkowe i złóż deklarację na swoim koncie osobistym na nalog.ru; dowiaduj się o długach i zbliżających się kontrolach w Służbach Państwowych.
Poniższa instrukcja będzie pomocna współpracuj z CEP pod systemem macOS – bez studiowania forów CryptoPro i instalowania maszyny wirtualnej z Windowsem.
Zawartość
Czego potrzebujesz do pracy z CEP w systemie macOS:
Instalacja i konfiguracja CEP dla systemu macOS
Instalowanie CryptoPro CSP
Instalowanie sterowników Rutoken
Instalowanie certyfikatów
3.1. Usuwamy wszystkie stare certyfikaty GOST
3.2. Instalowanie certyfikatów głównych
3.3. Pobierz certyfikaty urzędu certyfikacji
3.4. Instalowanie certyfikatu za pomocą Rutoken
Zainstaluj specjalną przeglądarkę Chromium-GOST
Instalowanie rozszerzeń przeglądarki
Wtyczka do przeglądarki CryptoPro EDS 5.1
5.2. Wtyczka do usług publicznych
5.3. Konfigurowanie wtyczki dla usług stanowych
5.4. Aktywacja rozszerzeń
5.5. Konfigurowanie rozszerzenia wtyczki przeglądarki CryptoPro EDS
Sprawdzanie, czy wszystko działa
6.1. Przejdź do strony testowej CryptoPro
6.2. Przejdź do swojego konta osobistego na nalog.ru
6.3. Przejdź do usług państwowych
Co zrobić, jeśli przestanie działać
Zmiana kodu PIN kontenera
Znalezienie nazwy kontenera KEP
Zmiana PIN-u komendą z terminala
Podpisywanie plików w systemie macOS
Znalezienie skrótu certyfikatu CEP
Podpisywanie pliku poleceniem z terminala
Instalowanie skryptu Apple Automator
Sprawdź podpis na dokumencie
Wszystkie poniższe informacje pochodzą z renomowanych źródeł (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralski Okręg Federalny Ministerstwa Telekomunikacji i Komunikacji Masowej) i sugeruje się pobieranie oprogramowania z zaufanych witryn. Autor jest niezależnym konsultantem i nie jest powiązany z żadną z wymienionych firm. Postępując zgodnie z tymi instrukcjami, przejmujesz pełną odpowiedzialność za wszelkie działania i konsekwencje.
Czego potrzebujesz do pracy z CEP w systemie macOS:
CEP na tokenie USB Rutoken Lite lub Rutoken EDS
kontener na kryptowaluty w formacie CryptoPro
ze zintegrowanym licencja na CryptoPro CSP
Media eToken i JaCarta w połączeniu z CryptoPro nie są obsługiwane w systemie macOS. Nośnik Rutoken Lite to najlepszy wybór, kosztuje 500..1000= rubli, działa szybko i pozwala na przechowywanie aż 15 kluczy.
Dostawcy kryptowalut VipNet, Signal-COM i LISSY nie są obsługiwani w systemie macOS. Nie ma możliwości konwersji kontenerów. CryptoPro to najlepszy wybór, koszt certyfikatu powinien wynieść około 1300 = rub. dla przedsiębiorców indywidualnych i 1600 = rub. dla YUL.
Zazwyczaj roczna licencja na CryptoPro CSP jest już zawarta w certyfikacie i jest udostępniana bezpłatnie przez wiele urzędów certyfikacji. Jeżeli tak nie jest to należy zakupić i aktywować licencję wieczystą na CryptoPro CSP w wersji stricte 4 kosztującej 2700=. CryptoPro CSP wersja 5 dla macOS obecnie nie działa.
Instalacja i konfiguracja CEP dla systemu macOS
Rzeczy oczywiste
wszystkie pobrane pliki są pobierane do domyślnego katalogu: ~/Downloads/;
Nie zmieniamy niczego we wszystkich instalatorach, zostawiamy wszystko domyślnie;
jeśli macOS wyświetla ostrzeżenie, że uruchamiane oprogramowanie pochodzi od niezidentyfikowanego programisty, musisz potwierdzić uruchomienie w ustawieniach systemu: Preferencje systemowe —> Bezpieczeństwo i prywatność —> Otwórz mimo to;
jeśli macOS poprosi o hasło użytkownika i pozwolenie na kontrolę komputera, musisz wprowadzić hasło i zgodzić się na wszystko.
1. Zainstaluj CryptoPro CSP
Zarejestrować na stronie internetowej CryptoPro i spółka strony pobierania pobierz i zainstaluj wersję Dostawca usług kryptograficznych CryptoPro 4.0 R4 dla macOS - pobranie.
2. Zainstaluj sterowniki Rutoken
Na stronie jest napisane, że jest to opcjonalne, ale lepiej to zainstalować. Współ strony pobierania pobierz i zainstaluj na stronie Rutoken Moduł obsługi pęku kluczy - pobranie.
Następnie podłącz token USB, uruchom terminal i wykonaj polecenie:
/opt/cprocsp/bin/csptest -card -enum -v
Odpowiedź powinna brzmieć:
Aktywny Rutoken…
Karta obecna…
[Kod błędu: 0x00000000]
3. Zainstaluj certyfikaty
3.1. Usuwamy wszystkie stare certyfikaty GOST
Jeśli już wcześniej próbowałeś uruchomić CEP w systemie macOS, musisz wyczyścić wszystkie wcześniej zainstalowane certyfikaty. Te polecenia w terminalu usuną tylko certyfikaty CryptoPro i nie będą miały wpływu na zwykłe certyfikaty z pęku kluczy w systemie macOS.
Certyfikaty główne są wspólne dla wszystkich certyfikatów CEP wydanych przez dowolny urząd certyfikacji. Pobrane z strony pobierania Uralski Okręg Federalny Ministerstwa Telekomunikacji i Komunikacji Masowej:
Następnie musisz zainstalować certyfikaty urzędu certyfikacji, w którym wydałeś CEP. Zazwyczaj certyfikaty główne każdego urzędu certyfikacji znajdują się na jego stronie internetowej, w sekcji pobierania.
Alternatywnie można pobrać certyfikaty dowolnego urzędu certyfikacji strona internetowa Uralskiego Okręgu Federalnego Ministerstwa Telekomunikacji i Komunikacji Masowej. Aby to zrobić, w formularzu wyszukiwania musisz znaleźć urząd certyfikacji po nazwie, przejść do strony z certyfikatami i pobrać wszystko aktualny certyfikaty – czyli takie, które posiadają 'Ważny' drugi termin jeszcze nie nadszedł. Pobierz z linku w polu 'Odcisk palca'.
Zrzuty ekranu
Na przykładzie CA Corus-Consulting: należy pobrać 4 certyfikaty z strony pobierania:
Do pracy z portalami rządowymi potrzebna będzie specjalna wersja przeglądarki Chromium - Chrom-GOST. Kod źródłowy projektu jest otwarty, link do repozytorium na GitHubie jest podawany Strona internetowa CryptoPro. Z doświadczenia inne przeglądarki KryptoFox и Przeglądarka Yandex Nie nadają się do pracy z portalami rządowymi w systemie macOS. Warto wziąć pod uwagę, że w niektórych wersjach Chromium-GOST konto osobiste na nalog.ru może się zawiesić lub przewijanie może całkowicie przestać działać, dlatego oferowany jest stary sprawdzony kompilacja 71.0.3578.98 - pobranie.
Pobierz i rozpakuj archiwum, zainstaluj przeglądarkę, kopiując ją lub przeciągając i upuszczając do katalogu Aplikacje. Po instalacji wymuś zamknięcie Chromium i jeszcze go nie otwieraj, pracuj w przeglądarce Safari.
killall Chromium-Gost
5. Zainstaluj rozszerzenia przeglądarki
Wtyczka do przeglądarki CryptoPro EDS 5.1
Z strony pobierania pobierz i zainstaluj na stronie CryptoPro Wtyczka do przeglądarki CryptoPro EDS w wersji 2.0 dla użytkowników - pobranie.
5.2. Wtyczka do usług publicznych
Z strony pobierania pobierz i zainstaluj w portalu usług stanowych Wtyczka do pracy z portalem usług rządowych (wersja dla macOS) - pobranie.
5.3. Konfigurowanie wtyczki dla usług stanowych
Pobierz poprawny plik konfiguracyjny rozszerzenia State Services ze strony CryptoPro - pobranie.
Powinien wyświetlić się komunikat „Wtyczka załadowana”, a Twój certyfikat powinien znajdować się na poniższej liście.
Wybierz certyfikat z listy i kliknij „Podpisz”. Zostaniesz poproszony o podanie PIN-u certyfikatu. W rezultacie powinien się wyświetlić
Podpis został wygenerowany pomyślnie
Zrzut ekranu
6.2. Przejdź do swojego konta osobistego na nalog.ru
Dostęp do linków z witryny nalog.ru może być niemożliwy, ponieważ... kontrole nie przejdą. Musisz przejść przez bezpośrednie linki:
Gabinet PI: https://lkipgost.nalog.ru/lk
Gabinet ЮЛ: https://lkul.nalog.ru
Zrzut ekranu
6.3. Przejdź do usług państwowych
Podczas logowania wybierz opcję „Zaloguj się przy użyciu podpisu elektronicznego”. Na wyświetlonej liście „Wybierz certyfikat klucza weryfikacji podpisu elektronicznego” wyświetlą się wszystkie certyfikaty, w tym root i CA, należy wybrać swój z tokena USB i wprowadzić PIN.
Zrzut ekranu
7. Co zrobić, jeśli przestanie działać
Ponownie podłączamy token USB i sprawdzamy czy jest on widoczny komendą w terminalu:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Czyścimy na zawsze pamięć podręczną przeglądarki, dla której w pasku adresu Chromium-Gost wpisujemy:
chrome://settings/clearBrowserData
Zainstaluj ponownie certyfikat CEP za pomocą polecenia w terminalu:
/opt/cprocsp/bin/csptestf -absorb -certs
Zmiana kodu PIN kontenera
Domyślnie niestandardowy kod PIN dla Rutoken 12345678i nie da się tego tak zostawić. Wymagania dotyczące kodu PIN Rutoken: maksymalnie 16 znaków, może zawierać litery i cyfry łacińskie.
1. Znajdź nazwę kontenera KEP
Na tokenie USB i innych nośnikach może znajdować się kilka certyfikatów i należy wybrać ten właściwy. Po włożeniu tokena USB otrzymujemy listę wszystkich kontenerów w systemie za pomocą komendy w terminalu:
Komenda musi wycofać co najmniej 1 kontener i zwrócić
[Kod błędu: 0x00000000]
Pojemnik, którego potrzebujemy, wygląda
.Aktiv Rutoken liteXXXXXXXXX
Jeśli wyświetli się kilka takich kontenerów, oznacza to, że na tokenie zapisanych jest kilka certyfikatów i wiesz, którego potrzebujesz. Oznaczający XXXXXXXX po ukośniku musisz skopiować i wkleić do poniższego polecenia.
gdzie XXXXXXXX – nazwa kontenera uzyskana w kroku 1 (koniecznie w cudzysłowie).
Pojawi się okno dialogowe CryptoPro z prośbą o podanie starego kodu PIN w celu uzyskania dostępu do certyfikatu, a następnie kolejne okno dialogowe z prośbą o wprowadzenie nowego kodu PIN. Gotowy.
Zrzut ekranu
Podpisywanie plików w systemie macOS
W systemie macOS pliki można podpisywać w oprogramowaniu CryptoArm (koszt licencji 2500 = rub.) lub proste polecenie przez terminal - bezpłatnie.
1. Znajdź skrót certyfikatu CEP
Na tokenie i w innych sklepach może znajdować się wiele certyfikatów. Musimy jasno określić, z kim odtąd będziemy podpisywać dokumenty. Zrobione raz.
Należy wstawić token. Listę certyfikatów znajdujących się w repozytoriach otrzymujemy poleceniem z terminala:
/opt/cprocsp/bin/certmgr -list
Polecenie musi wyprowadzić co najmniej 1 certyfikat w postaci:
Certyfikat, którego potrzebujemy w parametrze Kontener, musi mieć wartość np SCARDrutoken…. Jeśli jest kilka certyfikatów o takich wartościach, to na tokenie zapisanych jest kilka certyfikatów i wiadomo, którego potrzebujesz. Wartość parametru Hash SHA1 (40 znaków) należy skopiować i wkleić do poniższego polecenia.
2. Podpisanie pliku poleceniem z terminala
W terminalu przejdź do katalogu z plikiem do podpisania i wykonaj polecenie:
gdzie XXXX… – skrót certyfikatu uzyskany w kroku 1, oraz FILE – nazwa pliku do podpisania (ze wszystkimi rozszerzeniami, ale bez ścieżki).
Komenda powinna zwrócić:
Podpisana wiadomość została utworzona.
[Kod błędu: 0x00000000]
Zostanie utworzony plik podpisu elektronicznego z rozszerzeniem *.sgn - jest to podpis odłączany w formacie CMS z kodowaniem DER.
3. Zainstaluj skrypt Apple Automator
Aby uniknąć konieczności każdorazowej pracy z terminalem, możesz jednorazowo zainstalować Automator Script, za pomocą którego możesz podpisywać dokumenty z menu kontekstowego Findera. Aby to zrobić, pobierz archiwum - pobranie.
Rozpakowywanie archiwum „Podpisz za pomocą CryptoPro.zip”
Biegnij Automator
Znajdź i otwórz rozpakowany plik „Podpisz za pomocą CryptoPro.workflow”
W bloku Uruchom skrypt powłoki zmienić tekst XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX do wartości parametru Hash SHA1 Certyfikat CEP uzyskany powyżej.
Zapisz skrypt: ⌘Command + S
Uruchom plik „Podpisz za pomocą CryptoPro.workflow” i potwierdź instalację.
Przejdźmy do Systemu Preferencje -> Rozszerzenia -> Finder i sprawdź to Podpisz z CryptoPro odnotowano szybkie działanie.
W Finderze wywołaj menu kontekstowe dowolnego pliku oraz w sekcji Szybkie działania i / lub Usługi Wybierz przedmiot Podpisz z CryptoPro
W wyświetlonym oknie dialogowym CryptoPro wprowadź kod PIN użytkownika z CEP
W bieżącym katalogu pojawi się plik z rozszerzeniem *.sgn - podpis odłączany w formacie CMS z kodowaniem DER.
Zrzuty ekranu
Okno Apple Automatora:
Preferencje systemu:
Menu kontekstowe Findera:
Sprawdź podpis na dokumencie
Jeśli treść dokumentu nie zawiera tajemnic i tajemnic, najłatwiej jest skorzystać z usługi internetowej w portalu Służb Państwowych - https://www.gosuslugi.ru/pgu/eds. W ten sposób możesz zrobić zrzut ekranu z renomowanego zasobu i mieć pewność, że z podpisem wszystko jest w porządku.