Semnătură electronică calificată pentru macOS

În conformitate cu RBC и Tensor, în 2019, 4,6 milioane de certificate de semnătură electronică calificată (CES) vor fi emise în Rusia, îndeplinind cerințele 63-FZ. Se pare că din 8 milioane de antreprenori individuali și SRL-uri înregistrați, fiecare al doilea antreprenor folosește o semnătură electronică. Pe lângă CEP-urile EGAIS și CEP-urile bazate pe cloud pentru raportare emise de bănci și servicii de contabilitate, CEP-urile universale pe token-uri securizate prezintă un interes deosebit. Astfel de certificate vă permit să vă conectați la portalurile guvernamentale și să semnați orice documente, făcându-le semnificative din punct de vedere juridic.

Datorită certificatului CEP pe un token USB, puteți încheia de la distanță un acord cu o contraparte sau angajat la distanță și puteți trimite documente instanței; înregistrați o casă de marcat online, stingeți datoriile fiscale și trimiteți o declarație în contul personal pe nalog.ru; aflați despre datorii și inspecțiile viitoare la Serviciile de Stat.

Manualul de mai jos vă va ajuta lucrați cu CEP sub macOS – fără a studia forumurile CryptoPro și a instala o mașină virtuală cu Windows.

Conținut

De ce aveți nevoie pentru a lucra cu CEP sub macOS:

Instalarea și configurarea CEP pentru macOS

1. Instalarea CryptoPro CSP
2. Instalarea driverelor Rutoken
3. Instalarea certificatelor
   3.1. Ștergem toate certificatele GOST vechi
   3.2. Instalarea certificatelor rădăcină
   3.3. Descărcați certificatele autorităților de certificare
   3.4. Instalarea unui certificat cu Rutoken
4. Instalați un browser special Chromium-GOST
5. Instalarea extensiilor de browser
   5.1 Plug-in CryptoPro EDS Browser
   5.2. Plugin pentru Servicii Publice
   5.3. Configurarea unui plugin pentru serviciile de stat
   5.4. Activarea extensiilor
   5.5. Configurarea extensiei de plug-in CryptoPro EDS Browser
6. Verifică dacă totul funcționează
   6.1. Accesați pagina de testare CryptoPro
   6.2. Accesați Contul dvs. personal pe nalog.ru
   6.3. Accesați serviciile de stat
7. Ce să faci dacă nu mai funcționează

Schimbarea codului PIN al containerului

1. Aflarea numelui containerului KEP
2. Schimbarea PIN-ului cu o comandă de la terminal

Semnarea fișierelor pe macOS

1. Aflarea hash-ului certificatului CEP
2. Semnarea unui fișier cu o comandă din terminal
3. Instalarea Apple Automator Script

Verificați semnătura de pe document

Toate informațiile de mai jos sunt obținute din surse de renume (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Districtul Federal Ural al Ministerului Telecomunicațiilor și Comunicațiilor de Masă), și se recomandă descărcarea software-ului de pe site-uri de încredere. Autorul este consultant independent și nu este afiliat cu niciuna dintre companiile menționate. Urmând aceste instrucțiuni, vă asumați întreaga responsabilitate pentru orice acțiuni și consecințe.

De ce aveți nevoie pentru a lucra cu CEP sub macOS:

1. CEP pe un token USB Rutoken Lite sau Rutoken EDS
2. container criptografic în format CryptoPro
3. cu încorporat licență pentru CryptoPro CSP

Media eToken și JaCarta împreună cu CryptoPro nu sunt acceptate sub macOS. Media Rutoken Lite este cea mai bună alegere, costă 500..1000= ruble, funcționează rapid și vă permite să stocați până la 15 chei.

Furnizorii de cripto-VipNet, Signal-COM și LISSY nu sunt acceptați pe macOS. Nu există nicio modalitate de a converti containerele. CryptoPro este cea mai bună alegere, costul certificatului ar trebui să fie de aproximativ 1300 = frecare. pentru antreprenori individuali și 1600 = rub. pentru YUL.

De obicei, o licență anuală pentru CryptoPro CSP este deja inclusă în certificat și este oferită gratuit de multe CA. Dacă nu este cazul, atunci trebuie să achiziționați și să activați o licență perpetuă pentru CryptoPro CSP strict versiunea 4, care costă 2700=. CryptoPro CSP versiunea 5 pentru macOS nu funcționează în prezent.

Instalarea și configurarea CEP pentru macOS

Lucruri evidente

• toate fișierele descărcate sunt descărcate în directorul implicit: ~/Downloads/;
• Nu schimbăm nimic în toate instalatorii, lăsăm totul implicit;
• dacă macOS afișează un avertisment că software-ul lansat este de la un dezvoltator neidentificat, trebuie să confirmați lansarea în setările sistemului: Preferințe de sistem —> Securitate și confidențialitate —> Deschide oricum;
• dacă macOS solicită o parolă de utilizator și permisiunea de a controla computerul, trebuie să introduceți parola și să fiți de acord cu totul.

1. Instalați CryptoPro CSP

Inregistreaza-te pe site-ul web CryptoPro and co pagini de descărcare descărcați și instalați versiunea CSP CryptoPro 4.0 R4 pentru MACOS - descărca.

2. Instalați driverele Rutoken

Site-ul web spune că acest lucru este opțional, dar este mai bine să îl instalați. Co pagini de descărcare descărcați și instalați pe site-ul web Rutoken Modul suport pentru breloc - descărca.

Apoi, conectați jetonul USB, lansați terminalul și executați comanda:

/opt/cprocsp/bin/csptest -card -enum -v

Raspunsul ar trebui sa fie:

Aktiv Rutoken...
Card prezent...
[Cod eroare: 0x00000000]

3. Instalați certificate

3.1. Ștergem toate certificatele GOST vechi

Dacă ați încercat anterior să lansați CEP sub macOS, atunci trebuie să ștergeți toate certificatele instalate anterior. Aceste comenzi din terminal vor șterge doar certificatele CryptoPro și nu vor afecta certificatele obișnuite din Keychain pe macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Răspunsul fiecărei comenzi ar trebui să includă:

Niciun certificat care să corespundă criteriilor

sau

Ștergerea completă

3.2. Instalarea certificatelor rădăcină

Certificatele rădăcină sunt comune tuturor CEP-urilor emise de orice autoritate de certificare. Descărcați de la pagini de descărcare Districtul Federal Ural al Ministerului Telecomunicațiilor și Comunicațiilor de Masă:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instalați cu comenzi în terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Fiecare comandă ar trebui să returneze:

Instalarea:
...
[Cod eroare: 0x00000000]

3.3. Descărcați certificatele autorităților de certificare

În continuare, trebuie să instalați certificatele autorității de certificare la care ați emis CEP. De obicei, certificatele rădăcină ale fiecărei CA se află pe site-ul său, în secțiunea de descărcări.

Ca alternativă, certificatele oricărei CA pot fi descărcate de la site-ul web al Districtului Federal Ural al Ministerului Telecomunicațiilor și Comunicațiilor de Masă. Pentru a face acest lucru, în formularul de căutare trebuie să găsiți un CA după nume, să mergeți la pagina cu certificate și să descărcați totul actorie certificate – adică cele cu 'Valabil' a doua întâlnire nu a sosit încă. Descărcați din linkul din câmp „Amprenta”.

Capturi de ecran

Folosind exemplul CA Corus-Consulting: trebuie să descărcați 4 certificate de la pagini de descărcare:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Instalăm certificatele CA descărcate folosind comenzi de la terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

unde dupa ~/Descărcări/ Sunt enumerate numele fișierelor descărcate; acestea vor fi diferite pentru fiecare CA.

Fiecare comandă ar trebui să returneze:

Instalarea:
...
[Cod eroare: 0x00000000]

3.4. Instalarea unui certificat cu Rutoken

Comanda in terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Comanda ar trebui să returneze:

OK.
[Cod eroare: 0x00000000]

4. Instalați un browser special Chromium-GOST

Pentru a lucra cu portaluri guvernamentale, veți avea nevoie de o versiune specială a browserului Chrome - Crom-GOST. Codul sursă al proiectului este deschis, link către depozit pe GitHub este dat pe Site-ul web CryptoPro. Din experiență, alte browsere CryptoFox и Yandex browser Nu sunt potrivite pentru lucrul cu portaluri guvernamentale sub macOS. Merită să luați în considerare faptul că, în unele versiuni ale Chromium-GOST, contul personal de pe nalog.ru se poate îngheța sau defilarea poate înceta să funcționeze, așa că este oferit cel vechi dovedit. construi 71.0.3578.98 - descărca.


Descărcați și despachetați arhiva, instalați browserul prin copierea sau tragerea și plasarea acestuia în directorul Aplicații. După instalare, închideți forțat Chromium și nu îl deschideți încă, lucrați din Safari.

killall Chromium-Gost

5. Instalați extensii de browser

5.1 Plug-in CryptoPro EDS Browser

cu pagini de descărcare descărcați și instalați pe site-ul web CryptoPro Plug-in CryptoPro EDS Browser versiunea 2.0 pentru utilizatori - descărca.

5.2. Plugin pentru Servicii Publice

cu pagini de descărcare descărcați și instalați pe portalul serviciilor de stat Plugin pentru lucrul cu portalul serviciilor guvernamentale (versiunea pentru macOS) - descărca.

5.3. Configurarea unui plugin pentru serviciile de stat

Descărcați fișierul de configurare corect pentru extensia State Services de pe site-ul web CryptoPro - descărca.

Executați comenzi în terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Activarea extensiilor

Lansați browserul Chromium-Gost și introduceți în bara de adrese:

chrome://extensions/

Activem ambele extensii instalate:

• Extensie CryptoPro pentru pluginul de browser CAdES
• Extensie pentru pluginul State Services

Screenshot

5.5. Configurarea extensiei de plug-in CryptoPro EDS Browser

În bara de adrese Chromium-Gost introducem:

/etc/opt/cprocsp/trusted_sites.html

Pe pagina care apare, adăugați următoarele site-uri la lista de site-uri de încredere unul câte unul:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Faceți clic pe „Salvare”. Ar trebui să apară un punct verde:

Lista nodurilor de încredere a fost salvată cu succes.

Screenshot

6. Verificați dacă totul funcționează

6.1. Accesați pagina de testare CryptoPro

În bara de adrese Chromium-Gost introducem:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

„Plugin încărcat” ar trebui să fie afișat, iar certificatul dvs. ar trebui să fie prezent în lista de mai jos.
Selectați un certificat din listă și faceți clic pe „Semnați”. Vi se va cere codul PIN al certificatului. Ca rezultat, ar trebui să se afișeze

Semnătura generată cu succes

Screenshot

6.2. Accesați Contul dvs. personal pe nalog.ru

Este posibil să nu puteți accesa link-uri de pe site-ul nalog.ru, deoarece... controalele nu vor trece. Trebuie să accesați linkurile directe:

• Birou privat SP: https://lkipgost.nalog.ru/lk
• Birou privat ЮЛ: https://lkul.nalog.ru

Screenshot

6.3. Accesați serviciile de stat

Când vă conectați, selectați „Conectați-vă folosind o semnătură electronică”. În lista „Selectați certificatul cheii de verificare a semnăturii electronice” care apare, vor fi afișate toate certificatele, inclusiv rădăcina și CA; trebuie să-l selectați de pe un token USB și să introduceți codul PIN.

Screenshot

7. Ce să faci dacă nu mai funcționează

1. Reconectam jetonul usb și verificăm dacă este vizibil folosind comanda din terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Golim memoria cache a browserului pentru tot timpul, pentru care introducem în bara de adrese Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Reinstalați certificatul CEP utilizând comanda din terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Schimbarea codului PIN al containerului

Cod PIN personalizat pentru Rutoken în mod implicit 12345678, și nu există nicio modalitate de a o lăsa așa. Cerințe pentru codul PIN Rutoken: maximum 16 caractere, poate conține litere și cifre latine.

1. Aflați numele containerului KEP

Este posibil să existe mai multe certificate stocate pe token-ul USB și alte stocări și trebuie să îl alegeți pe cel potrivit. Cu tokenul usb introdus, obținem o listă cu toate containerele din sistem cu comanda din terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Comanda trebuie să retragă cel puțin 1 container și să se întoarcă

[Cod eroare: 0x00000000]

Recipientul de care avem nevoie arată ca

.Aktiv Rutoken liteXXXXXXX

Dacă sunt afișate mai multe astfel de containere, înseamnă că pe token sunt scrise mai multe certificate și știi de care ai nevoie. Sens XXXXXXXX după bară oblică trebuie să copiați și să lipiți în comanda de mai jos.

2. Schimbați PIN-ul utilizând o comandă de la terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

unde XXXXXXXX – numele containerului obtinut la pasul 1 (neaparat intre ghilimele).

Va apărea un dialog CryptoPro care cere vechiul cod PIN pentru a accesa certificatul, apoi un alt dialog pentru a introduce noul cod PIN. Gata.

Screenshot

Semnarea fișierelor pe macOS

Pe macOS, fișierele pot fi conectate în software CryptoArm (costul licenței 2500 = rub.), sau o simplă comandă prin terminal - gratuit.

1. Aflați hash-ul certificatului CEP

Pot exista mai multe certificate pe un token și în alte magazine. Trebuie să identificăm clar pe cel cu care vom semna documente de acum înainte. Făcut o dată.
Jetonul trebuie introdus. Obținem o listă de certificate în depozite cu comanda din terminal:

/opt/cprocsp/bin/certmgr -list

Comanda trebuie să scoată cel puțin 1 certificat de forma:

Certmgr 1.1 © „Crypto-Pro”, 2007-2018.
program pentru gestionarea certificatelor, CRL-urilor și magazinelor
= = = = = = = = = = = = = = = = = = = = = =
1---
Emitent: [e-mail protejat],... CN=LLC KORUS Consulting CIS...
Subiect: [e-mail protejat],... CN=Zakharov Serghei Anatolevici...
Serial: 0x0000000000000000000000000000000000
Hash SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = = = =
[Cod eroare: 0x00000000]

Certificatul de care avem nevoie în parametrul Container trebuie să aibă o valoare asemănătoare SCARDrutoken.... Dacă există mai multe certificate cu astfel de valori, atunci există mai multe certificate înregistrate pe token și știi de care ai nevoie. Valoarea parametrului SHA1 Hash (40 de caractere) trebuie copiate și lipite în comanda de mai jos.

2. Semnarea unui fișier cu o comandă din terminal

În terminal, mergeți la directorul cu fișierul pentru a semna și executați comanda:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

unde XXXX… – hash certificat obținut la pasul 1, și FILE – numele fișierului de semnat (cu toate extensiile, dar fără cale).

Comanda ar trebui să returneze:

Mesajul semnat este creat.
[Cod eroare: 0x00000000]

Se va crea un fișier de semnătură electronică cu extensia *.sgn - aceasta este o semnătură detașată în format CMS cu codificare DER.

3. Instalați Apple Automator Script

Pentru a evita de fiecare dată să lucrezi cu terminalul, poți instala o singură dată Automator Script, cu care poți semna documente din meniul contextual Finder. Pentru a face acest lucru, descărcați arhiva - descărca.

1. Despachetarea arhivei „Semnați cu CryptoPro.zip”
2. Lansa Automator
3. Găsiți și deschideți fișierul despachetat „Semnați cu CryptoPro.workflow”
4. În bloc Rulați Shell Script schimba textul XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX la valoarea parametrului SHA1 Hash Certificat CEP obținut mai sus.
5. Salvați scriptul: ⌘Command + S
6. Rulați fișierul „Semnați cu CryptoPro.workflow” și confirmați instalarea.
7. Să mergem la System Preferințe -> Extensii -> Finder si verifica asta Semnează cu CryptoPro acțiune rapidă observată.
8. În Finder, apelați meniul contextual al oricărui fișier și în secțiune Acțiuni rapide și / sau Servicii selectați elementul Semnează cu CryptoPro
9. În dialogul CryptoPro care apare, introduceți codul PIN al utilizatorului din CEP
10. În directorul curent va apărea un fișier cu extensia *.sgn - o semnătură detașată în format CMS cu codificare DER.

Capturi de ecran

Fereastra Apple Automator:

Preferințe de sistem:

Meniul contextual Finder:

Verificați semnătura de pe document

Dacă conținutul documentului nu conține secrete și secrete, atunci cea mai ușoară modalitate este să utilizați serviciul web pe portalul Serviciilor de Stat - https://www.gosuslugi.ru/pgu/eds. În acest fel, puteți face o captură de ecran dintr-o resursă de renume și puteți fi sigur că totul este în regulă cu semnătura.

Capturi de ecran

Sursa: www.habr.com