Assinatura eletrônica qualificada para macOS

Conforme RBC и Tensão, em 2019, 4,6 milhões de certificados de assinaturas eletrônicas qualificadas (CES) serão emitidos na Rússia, atendendo aos requisitos do 63-FZ. Acontece que de 8 milhões de empreendedores individuais e LLCs registrados, cada segundo empreendedor usa uma assinatura eletrônica. Além dos CEPs EGAIS e dos CEPs baseados em nuvem para relatórios emitidos por bancos e serviços de contabilidade, os CEPs universais sobre tokens seguros são de particular interesse. Esses certificados permitem que você faça login em portais governamentais e assine quaisquer documentos, tornando-os juridicamente significativos.

Graças ao certificado CEP em token USB, você pode celebrar remotamente um acordo com uma contraparte ou funcionário remoto e enviar documentos ao tribunal; registrar uma caixa registradora online, liquidar dívidas fiscais e enviar uma declaração em sua conta pessoal em nalog.ru; informe-se sobre dívidas e futuras inspeções nos Serviços do Estado.

O manual abaixo ajudará trabalhar com CEP no macOS – sem estudar os fóruns do CryptoPro e instalar uma máquina virtual com Windows.

Conteúdo

O que você precisa para trabalhar com CEP no macOS:

Instalando e configurando CEP para macOS

1. Instalando o CryptoPro CSP
2. Instalando drivers Rutoken
3. Instalando certificados
   3.1. Excluímos todos os certificados GOST antigos
   3.2. Instalando certificados raiz
   3.3. Baixar certificados de autoridade de certificação
   3.4. Instalando um certificado com Rutoken
4. Instale um navegador especial Chromium-GOST
5. Instalando extensões de navegador
   5.1 Plug-in do navegador CryptoPro EDS
   5.2. Plugin para Serviços Públicos
   5.3. Configurando um plugin para Serviços do Estado
   5.4. Ativando extensões
   5.5. Configurando a extensão do plug-in do navegador CryptoPro EDS
6. Verificando se tudo está funcionando
   6.1. Vá para a página de teste do CryptoPro
   6.2. Vá para sua conta pessoal em nalog.ru
   6.3. Vá para Serviços do Estado
7. O que fazer se parar de funcionar

Alterando o código PIN do contêiner

1. Descobrindo o nome do contêiner KEP
2. Alterando o PIN com um comando do terminal

Assinando arquivos no macOS

1. Descobrindo o hash do certificado CEP
2. Assinando um arquivo com um comando do terminal
3. Instalando o script do Apple Automator

Verifique a assinatura no documento

Todas as informações abaixo foram obtidas de fontes confiáveis ​​(CryptoPro #1 и #2, Rutoken, Corus-Consultoria, Distrito Federal dos Urais do Ministério das Telecomunicações e Comunicações de Massa) e é sugerido baixar software de sites confiáveis. O autor é um consultor independente e não é afiliado a nenhuma das empresas mencionadas. Ao seguir estas instruções, você assume total responsabilidade por quaisquer ações e consequências.

O que você precisa para trabalhar com CEP no macOS:

1. CEP em um token USB Rutoken Lite ou Rutoken EDS
2. contêiner criptográfico no formato CryptoPro
3. com embutido licença para CryptoPro CSP

As mídias eToken e JaCarta em conjunto com CryptoPro não são suportadas no macOS. A mídia Rutoken Lite é a melhor escolha, custa 500..1000= rublos, funciona rapidamente e permite armazenar até 15 chaves.

Os provedores de criptografia VipNet, Signal-COM e LISSY não são compatíveis com macOS. Não há como converter contêineres. CryptoPro é a melhor escolha, o custo do certificado deve ser de cerca de 1300 = rublos. para empreendedores individuais e 1600 = esfregar. para YUL.

Normalmente, uma licença anual do CryptoPro CSP já está incluída no certificado e é fornecida gratuitamente por muitas CAs. Se este não for o caso, então você precisa comprar e ativar uma licença perpétua para o CryptoPro CSP estritamente versão 4 custando 2700=. O CryptoPro CSP versão 5 para macOS não funciona atualmente.

Instalando e configurando CEP para macOS

Coisas óbvias

• todos os arquivos baixados são baixados para o diretório padrão: ~/Downloads/;
• Não alteramos nada em todos os instaladores, deixamos tudo como padrão;
• se o macOS exibir um aviso de que o software que está sendo iniciado é de um desenvolvedor não identificado, você precisará confirmar o lançamento nas configurações do sistema: Preferências do Sistema -> Segurança e Privacidade -> Abrir assim mesmo;
• se o macOS solicitar uma senha de usuário e permissão para controlar o computador, você precisará inserir a senha e concordar com tudo.

1. Instale o CryptoPro CSP

Registro no site CryptoPro e co baixar páginas baixe e instale a versão CSP CryptoPro 4.0 R4 para MacOS - baixar.

2. Instale os drivers Rutoken

O site diz que isso é opcional, mas é melhor instalar. Co baixar páginas baixe e instale no site da Rutoken Módulo de suporte de chaveiro - baixar.

Em seguida, conecte o token usb, inicie o terminal e execute o comando:

/opt/cprocsp/bin/csptest -card -enum -v

A resposta deveria ser:

Ativo Rutoken…
Cartão presente…
[Código de erro: 0x00000000]

3. Instale certificados

3.1. Excluímos todos os certificados GOST antigos

Se você já tentou iniciar o CEP no macOS, será necessário limpar todos os certificados instalados anteriormente. Esses comandos no terminal excluirão apenas os certificados CryptoPro e não afetarão os certificados regulares do Keychain no macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

A resposta de cada comando deve incluir:

Nenhum certificado que corresponda aos critérios

ou

Exclusão concluída

3.2. Instalando certificados raiz

Os certificados raiz são comuns a todos os CEPs emitidos por qualquer autoridade certificadora. Baixar de baixar páginas Distrito Federal dos Urais do Ministério das Telecomunicações e Comunicações de Massa:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instale com comandos no terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Cada comando deve retornar:

Instalação:
...
[Código de erro: 0x00000000]

3.3. Baixar certificados de autoridade de certificação

Em seguida, você precisa instalar os certificados da autoridade de certificação onde emitiu o CEP. Normalmente, os certificados raiz de cada CA estão localizados em seu site, na seção de downloads.

Alternativamente, os certificados de qualquer CA podem ser baixados de site do Distrito Federal dos Urais do Ministério das Telecomunicações e Comunicações de Massa. Para isso, no formulário de busca você precisa encontrar uma CA pelo nome, ir até a página com certificados e baixar tudo agindo certificados - isto é, aqueles com 'Válido' a segunda data ainda não chegou. Baixe no link do campo 'Impressão digital'.

Screenshots

Usando o exemplo da CA Corus-Consulting: você precisa baixar 4 certificados do baixar páginas:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Instalamos os certificados CA baixados usando comandos do terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

onde depois ~ / Downloads / Os nomes dos arquivos baixados são listados; eles serão diferentes para cada CA.

Cada comando deve retornar:

Instalação:
...
[Código de erro: 0x00000000]

3.4. Instalando um certificado com Rutoken

Comando no terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

O comando deve retornar:

OK.
[Código de erro: 0x00000000]

4. Instale um navegador especial Chromium-GOST

Para trabalhar com portais governamentais, você precisará de uma versão especial do navegador Chromium - Cromo-GOST. O código fonte do projeto está aberto, link para repositório no GitHub é dado em Site CryptoPro. Por experiência, outros navegadores CriptoFox и Yandeks.Brauzer Eles não são adequados para trabalhar com portais governamentais no macOS. Vale a pena considerar que em algumas compilações do Chromium-GOST, a conta pessoal em nalog.ru pode congelar ou a rolagem pode parar de funcionar completamente, então a antiga e comprovada é oferecida construir 71.0.3578.98 - baixar.


Baixe e descompacte o arquivo, instale o navegador copiando ou arrastando e soltando-o no diretório Aplicativos. Após a instalação, force o fechamento do Chromium e não abra ainda, trabalhe no Safari.

killall Chromium-Gost

5. Instale extensões de navegador

5.1 Plug-in do navegador CryptoPro EDS

Com baixar páginas baixe e instale no site do CryptoPro Plug-in do navegador CryptoPro EDS versão 2.0 para usuários - baixar.

5.2. Plugin para Serviços Públicos

Com baixar páginas baixe e instale no portal dos Serviços do Estado Plugin para trabalhar com o portal de serviços governamentais (versão para macOS) - baixar.

5.3. Configurando um plugin para Serviços do Estado

Baixe o arquivo de configuração correto para a extensão State Services do site CryptoPro - baixar.

Execute comandos no terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Ativando extensões

Inicie o navegador Chromium-Gost e digite na barra de endereço:

chrome://extensions/

Habilitamos ambas as extensões instaladas:

• Extensão CryptoPro para plug-in de navegador CAdES
• Extensão para o plugin State Services

Capturas de tela

5.5. Configurando a extensão do plug-in do navegador CryptoPro EDS

Na barra de endereço do Chromium-Gost, digitamos:

/etc/opt/cprocsp/trusted_sites.html

Na página exibida, adicione os seguintes sites à lista de sites confiáveis, um por um:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Clique em “Salvar”. Um ponto verde deverá aparecer:

A lista de nós confiáveis ​​foi salva com sucesso.

Capturas de tela

6. Verifique se tudo funciona

6.1. Vá para a página de teste do CryptoPro

Na barra de endereço do Chromium-Gost, digitamos:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

“Plugin carregado” deverá ser exibido e seu certificado deverá estar presente na lista abaixo.
Selecione um certificado da lista e clique em “Assinar”. Será solicitado o PIN do certificado. Como resultado, ele deve exibir

Assinatura gerada com sucesso

Capturas de tela

6.2. Vá para sua conta pessoal em nalog.ru

Talvez você não consiga acessar links do site nalog.ru, porque... os cheques não serão aprovados. Você precisa passar por links diretos:

• Escritório particular PI: https://lkipgost.nalog.ru/lk
• Escritório particular Entidade legal: https://lkul.nalog.ru

Capturas de tela

6.3. Vá para Serviços do Estado

Ao fazer login, selecione “Fazer login usando uma assinatura eletrônica”. Na lista “Selecionar certificado de chave de verificação de assinatura eletrônica” que aparece, todos os certificados, incluindo raiz e CA, serão exibidos; você precisa selecionar o seu em um token USB e inserir o PIN.

Capturas de tela

7. O que fazer se parar de funcionar

1. Reconectamos o token usb e verificamos se ele está visível usando o comando no terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Limpamos o cache do navegador para sempre, para o qual digitamos na barra de endereço do Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Reinstale o certificado CEP usando o comando no terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Alterando o código PIN do contêiner

Código PIN personalizado para Rutoken por padrão 12345678, e não tem como deixar assim. Requisitos para o código PIN Rutoken: máximo de 16 caracteres, pode conter letras e números latinos.

1. Descubra o nome do contêiner KEP

Pode haver vários certificados armazenados no token USB e em outros armazenamentos, e você precisa escolher o correto. Com o token usb inserido, obtemos uma lista de todos os containers do sistema com o comando no terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

O comando deve retirar pelo menos 1 container e devolver

[Código de erro: 0x00000000]

O contêiner que precisamos se parece com

.Aktiv Rutoken liteXXXXXXXX

Se vários desses contêineres forem exibidos, significa que há vários certificados escritos no token e você sabe qual deles precisa. Significado XXXXXXXX após a barra você precisa copiar e colar no comando abaixo.

2. Altere o PIN usando um comando do terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

onde XXXXXXXX – o nome do container obtido no passo 1 (necessariamente entre aspas).

Uma caixa de diálogo do CryptoPro aparecerá solicitando o código PIN antigo para acessar o certificado e, em seguida, outra caixa de diálogo para inserir o novo código PIN. Preparar.

Capturas de tela

Assinando arquivos no macOS

No macOS, os arquivos podem ser assinados no software CryptoArm (custo da licença 2500 = rublos), ou um simples comando via terminal - grátis.

1. Descubra o hash do certificado CEP

Pode haver vários certificados em um token e em outros armazenamentos. Precisamos identificar claramente aquele com quem assinaremos os documentos a partir de agora. Feito uma vez.
O token deve ser inserido. Obtemos uma lista de certificados nos repositórios com o comando do terminal:

/opt/cprocsp/bin/certmgr -list

O comando deve gerar pelo menos 1 certificado no formato:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programa para gerenciamento de certificados, CRLs e armazenamentos
= = = = = = = = = = = = = = = = = = = = = =
1---
Emitente: [email protegido],... CN=LLC KORUS Consulting CIS...
Assunto: [email protegido],... CN = Zakharov Sergey Anatolyevich...
Série: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Contêiner: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = = =
[Código de erro: 0x00000000]

O certificado que precisamos no parâmetro Container deve ter um valor como SCARDrutoken…. Se houver vários certificados com esses valores, então existem vários certificados registrados no token e você sabe qual deles precisa. Valor do parâmetro Hash SHA1 (40 caracteres) deve ser copiado e colado no comando abaixo.

2. Assinando um arquivo com um comando do terminal

No terminal, acesse o diretório com o arquivo para assinar e execute o comando:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

onde XXXX… – hash do certificado obtido na etapa 1, e ARQUIVO – nome do arquivo a ser assinado (com todas as extensões, mas sem caminho).

O comando deve retornar:

A mensagem assinada é criada.
[Código de erro: 0x00000000]

Será criado um arquivo de assinatura eletrônica com extensão *.sgn - trata-se de uma assinatura separada em formato CMS com codificação DER.

3. Instale o script do Apple Automator

Para evitar ter que trabalhar sempre com o terminal, você pode instalar o Automator Script uma vez, com o qual você pode assinar documentos no menu de contexto do Finder. Para fazer isso, baixe o arquivo - baixar.

1. Descompactando o arquivo 'Assinar com CryptoPro.zip'
2. Lançamos Automator
3. Encontre e abra o arquivo descompactado 'Assinar com CryptoPro.workflow'
4. No bloco Executar Shell Script mude o texto XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX para o valor do parâmetro Hash SHA1 Certificado CEP obtido acima.
5. Salve o script: ⌘Command + S
6. Execute o arquivo 'Assinar com CryptoPro.workflow' e confirme a instalação.
7. Vamos para o sistema Preferências -> Extensões -> Finder e verifique isso Assine com CryptoPro ação rápida anotada.
8. No Finder, chame o menu de contexto de qualquer arquivo e na seção Ações rápidas e / ou Serviços Selecionar item Assine com CryptoPro
9. Na caixa de diálogo CryptoPro que aparece, insira o código PIN do usuário do CEP
10. Um arquivo com a extensão *.sgn aparecerá no diretório atual - uma assinatura separada no formato CMS com codificação DER.

Screenshots

Janela do Apple Automator:

Preferências do Sistema:

Menu de contexto do Finder:

Verifique a assinatura no documento

Se o conteúdo do documento não contiver segredos e segredos, a maneira mais fácil é utilizar o serviço web do portal dos Serviços do Estado - https://www.gosuslugi.ru/pgu/eds. Dessa forma, você pode fazer uma captura de tela de um recurso confiável e ter certeza de que está tudo bem com a assinatura.

Screenshots

Fonte: habr.com