Kvalifikovaný elektronický podpis pre macOS

Podľa RBC и Tenzor, v roku 2019 bude v Rusku vydaných 4,6 milióna certifikátov kvalifikovaných elektronických podpisov (CES), ktoré spĺňajú požiadavky 63-FZ. Ukazuje sa, že z 8 miliónov registrovaných individuálnych podnikateľov a LLC používa elektronický podpis každý druhý podnikateľ. Okrem EGAIS CEPs a cloudových CEPs na podávanie správ vydávaných bankami a účtovnými službami sú mimoriadne zaujímavé aj univerzálne CEPs na bezpečných tokenoch. Takéto certifikáty vám umožňujú prihlásiť sa na vládne portály a podpísať akékoľvek dokumenty, vďaka čomu sú právne významné.

Vďaka certifikátu CEP na USB tokene môžete na diaľku uzavrieť dohodu s protistranou alebo vzdialeným zamestnancom a posielať dokumenty súdu; zaregistrujte si online registračnú pokladnicu, vyrovnajte daňové dlhy a podajte vyhlásenie vo svojom osobnom účte na nalog.ru; informujte sa o dlhoch a pripravovaných kontrolách v Štátnych službách.

Nižšie uvedená príručka vám pomôže pracovať s CEP pod macOS – bez študovania fór CryptoPro a inštalácie virtuálneho stroja s Windows.

Obsah

Čo potrebujete na prácu s CEP v systéme macOS:

Inštalácia a konfigurácia CEP pre macOS

1. Inštalácia CryptoPro CSP
2. Inštalácia ovládačov Rutoken
3. Inštalácia certifikátov
   3.1. Vymažeme všetky staré certifikáty GOST
   3.2. Inštalácia koreňových certifikátov
   3.3. Stiahnite si certifikáty certifikačnej autority
   3.4. Inštalácia certifikátu s Rutokenom
4. Nainštalujte špeciálny prehliadač Chromium-GOST
5. Inštalácia rozšírení prehliadača
   5.1 Doplnok prehliadača CryptoPro EDS
   5.2. Plugin pre verejné služby
   5.3. Nastavenie doplnku pre štátne služby
   5.4. Aktivácia rozšírení
   5.5. Nastavenie rozšírenia zásuvného modulu CryptoPro EDS Browser
6. Kontrola, či všetko funguje
   6.1. Prejdite na testovaciu stránku CryptoPro
   6.2. Prejdite na svoj osobný účet na nalog.ru
   6.3. Prejdite na Štátne služby
7. Čo robiť, ak prestane fungovať

Zmena kódu PIN kontajnera

1. Zistenie názvu kontajnera KEP
2. Zmena PIN pomocou príkazu z terminálu

Podpisovanie súborov v systéme macOS

1. Zistenie hashu certifikátu CEP
2. Podpísanie súboru príkazom z terminálu
3. Inštalácia skriptu Apple Automator Script

Skontrolujte podpis na dokumente

Všetky informácie uvedené nižšie pochádzajú z renomovaných zdrojov (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralský federálny obvod ministerstva telekomunikácií a masových komunikácií) a odporúča sa stiahnuť softvér z dôveryhodných stránok. Autor je nezávislý konzultant a nie je prepojený so žiadnou z uvedených spoločností. Dodržiavaním týchto pokynov preberáte plnú zodpovednosť za akékoľvek činy a dôsledky.

Čo potrebujete na prácu s CEP v systéme macOS:

1. CEP na USB tokene Rutoken Lite alebo Rutoken EDS
2. krypto kontajner vo formáte CryptoPro
3. so vstavaným licencia pre CryptoPro CSP

Médiá eToken a JaCarta v spojení s CryptoPro nie sú podporované v systéme macOS. Médium Rutoken Lite je najlepšou voľbou, stojí 500..1000= rubľov, pracuje rýchlo a umožňuje uložiť až 15 kľúčov.

Poskytovatelia kryptomien VipNet, Signal-COM a LISSY nie sú podporovaní v systéme macOS. Neexistuje spôsob, ako previesť kontajnery. CryptoPro je najlepšou voľbou, cena certifikátu by mala byť približne 1300 = rub. pre individuálnych podnikateľov a 1600 = rub. pre YUL.

Ročná licencia pre CryptoPro CSP je zvyčajne už zahrnutá v certifikáte a mnohé CA ju poskytujú bezplatne. Ak tomu tak nie je, musíte si zakúpiť a aktivovať trvalú licenciu pre CryptoPro CSP striktne verziu 4 v cene 2700=. CryptoPro CSP verzia 5 pre macOS momentálne nefunguje.

Inštalácia a konfigurácia CEP pre macOS

Samozrejmé veci

• všetky stiahnuté súbory sa stiahnu do predvoleného adresára: ~/Downloads/;
• Vo všetkých inštalátoroch nič nemeníme, všetko nechávame ako predvolené;
• ak macOS zobrazí varovanie, že spúšťaný softvér pochádza od neidentifikovaného vývojára, musíte potvrdiť spustenie v systémových nastaveniach: Systémové predvoľby —> Zabezpečenie a súkromie —> Napriek tomu otvoriť;
• ak macOS požaduje heslo používateľa a povolenie ovládať počítač, musíte zadať heslo a so všetkým súhlasiť.

1. Nainštalujte CryptoPro CSP

Registrovať na webovej stránke CryptoPro a spol stránky na stiahnutie stiahnuť a nainštalovať verziu CryptoPro CSP 4.0 R4 pre macOS - k stiahnutiu.

2. Nainštalujte ovládače Rutoken

Web hovorí, že je to voliteľné, ale je lepšie si to nainštalovať. Co stránky na stiahnutie stiahnuť a nainštalovať na webovej stránke Rutoken Modul podpory kľúčenky - k stiahnutiu.

Potom pripojte usb token, spustite terminál a vykonajte príkaz:

/opt/cprocsp/bin/csptest -card -enum -v

Odpoveď by mala byť:

Aktiv Rutoken…
Karta prítomná…
[Kód chyby: 0x00000000]

3. Nainštalujte certifikáty

3.1. Vymažeme všetky staré certifikáty GOST

Ak ste sa predtým pokúsili spustiť CEP v systéme macOS, musíte vymazať všetky predtým nainštalované certifikáty. Tieto príkazy v termináli odstránia iba certifikáty CryptoPro a neovplyvnia bežné certifikáty z Keychain na macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Odpoveď na každý príkaz by mala obsahovať:

Kritériám nevyhovuje žiadny certifikát

alebo

Odstránenie je dokončené

3.2. Inštalácia koreňových certifikátov

Koreňové certifikáty sú spoločné pre všetky CEP vydané akoukoľvek certifikačnou autoritou. Stiahnuť z stránky na stiahnutie Uralský federálny obvod ministerstva telekomunikácií a masových komunikácií:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Nainštalujte pomocou príkazov v termináli:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Každý príkaz by mal vrátiť:

Inštalácia:
...
[Kód chyby: 0x00000000]

3.3. Stiahnite si certifikáty certifikačnej autority

Ďalej je potrebné nainštalovať certifikáty certifikačnej autority, kde ste vydali CEP. Zvyčajne sa koreňové certifikáty každej CA nachádzajú na jej webovej lokalite v sekcii na stiahnutie.

Alternatívne je možné stiahnuť certifikáty ľubovoľnej CA webová stránka Uralského federálneho okruhu Ministerstva telekomunikácií a masových komunikácií. Ak to chcete urobiť, vo vyhľadávacom formulári musíte nájsť CA podľa názvu, prejsť na stránku s certifikátmi a stiahnuť všetko prúd certifikáty – teda tie s 'platný' druhý termín ešte neprišiel. Stiahnite si z odkazu v poli 'odtlačok prsta'.

Obrázky

Na príklade CA Corus-Consulting: musíte si stiahnuť 4 certifikáty z stránky na stiahnutie:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Stiahnuté certifikáty CA nainštalujeme pomocou príkazov z terminálu:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

kde potom ~/Na stiahnutie/ Názvy stiahnutých súborov sú uvedené; budú sa líšiť pre každú CA.

Každý príkaz by mal vrátiť:

Inštalácia:
...
[Kód chyby: 0x00000000]

3.4. Inštalácia certifikátu s Rutokenom

Príkaz v termináli:

/opt/cprocsp/bin/csptestf -absorb -certs

Príkaz by mal vrátiť:

OK.
[Kód chyby: 0x00000000]

4. Nainštalujte špeciálny prehliadač Chromium-GOST

Na prácu s vládnymi portálmi budete potrebovať špeciálnu zostavu prehliadača Chromium – Chromium-GOST. Zdrojový kód projektu je otvorený, odkaz na úložisko na GitHub je daný na Web CryptoPro. Zo skúseností iné prehliadače CryptoFox и Prehliadač Yandex Nie sú vhodné na prácu s vládnymi portálmi v systéme macOS. Stojí za zváženie, že v niektorých zostavách Chromium-GOST môže osobný účet na nalog.ru zamrznúť alebo rolovanie môže prestať fungovať úplne, takže sa ponúka starý osvedčený stavať 71.0.3578.98 - k stiahnutiu.


Stiahnite si a rozbaľte archív, nainštalujte prehliadač skopírovaním alebo presunutím do adresára Applications. Po inštalácii vynútene zatvorte Chromium a zatiaľ ho neotvárajte, pracujte zo Safari.

killall Chromium-Gost

5. Nainštalujte rozšírenia prehliadača

5.1 Doplnok prehliadača CryptoPro EDS

s stránky na stiahnutie stiahnuť a nainštalovať na webovej stránke CryptoPro Zásuvný modul CryptoPro EDS Browser verzie 2.0 pre používateľov - k stiahnutiu.

5.2. Plugin pre verejné služby

s stránky na stiahnutie stiahnuť a nainštalovať na portál Štátnych služieb Plugin pre prácu s portálom vládnych služieb (verzia pre macOS) - k stiahnutiu.

5.3. Nastavenie doplnku pre štátne služby

Stiahnite si správny konfiguračný súbor pre rozšírenie State Services z webovej stránky CryptoPro - k stiahnutiu.

Vykonajte príkazy v termináli:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktivácia rozšírení

Spustite prehliadač Chromium-Gost a do panela s adresou zadajte:

chrome://extensions/

Povolíme obe nainštalované rozšírenia:

• Rozšírenie CryptoPro pre zásuvný modul prehliadača CAdES
• Rozšírenie pre doplnok Štátne služby

screenshot

5.5. Nastavenie rozšírenia zásuvného modulu CryptoPro EDS Browser

Do panela s adresou prehliadača Chromium-Gost napíšeme:

/etc/opt/cprocsp/trusted_sites.html

Na stránke, ktorá sa zobrazí, postupne pridajte nasledujúce lokality do zoznamu dôveryhodných lokalít:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Kliknite na „Uložiť“. Mala by sa objaviť zelená bodka:

Zoznam dôveryhodných uzlov bol úspešne uložený.

screenshot

6. Skontrolujte, či všetko funguje

6.1. Prejdite na testovaciu stránku CryptoPro

Do panela s adresou prehliadača Chromium-Gost napíšeme:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Malo by sa zobraziť „Plugin load“ a váš certifikát by sa mal nachádzať v zozname nižšie.
Vyberte certifikát zo zoznamu a kliknite na „Podpísať“. Budete vyzvaní na zadanie PIN certifikátu. V dôsledku toho by sa mal zobraziť

Podpis bol úspešne vygenerovaný

screenshot

6.2. Prejdite na svoj osobný účet na nalog.ru

Možno nebudete mať prístup k odkazom zo stránky nalog.ru, pretože... kontroly neprejdú. Musíte prejsť cez priame odkazy:

• Súkromná kancelária IP: https://lkipgost.nalog.ru/lk
• Súkromná kancelária Právnická osoba: https://lkul.nalog.ru

screenshot

6.3. Prejdite na Štátne služby

Pri prihlasovaní vyberte možnosť „Prihlásiť sa pomocou elektronického podpisu“. V zobrazenom zozname „Vybrať certifikát kľúča na overenie elektronického podpisu“ sa zobrazia všetky certifikáty vrátane koreňového a CA, musíte si vybrať ten svoj z USB tokenu a zadať PIN.

screenshot

7. Čo robiť, ak prestane fungovať

1. Znova pripojíme token usb a pomocou príkazu v termináli skontrolujeme, či je viditeľný:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Navždy vymažeme vyrovnávaciu pamäť prehliadača, pre ktorú napíšeme do panela s adresou prehliadača Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Preinštalujte certifikát CEP pomocou príkazu v termináli:

   /opt/cprocsp/bin/csptestf -absorb -certs

Zmena kódu PIN kontajnera

Vlastný PIN kód pre Rutoken v predvolenom nastavení 12345678, a neexistuje spôsob, ako to nechať takto. Požiadavky na Rutoken PIN kód: maximálne 16 znakov, môže obsahovať latinské písmená a čísla.

1. Zistite názov kontajnera KEP

Na USB tokene a iných úložiskách môže byť uložených viacero certifikátov a je potrebné si vybrať ten správny. S vloženým usb tokenom dostaneme zoznam všetkých kontajnerov v systéme pomocou príkazu v termináli:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Príkaz musí odobrať aspoň 1 kontajner a vrátiť sa

[Kód chyby: 0x00000000]

Nádoba, ktorú potrebujeme, vyzerá

.Aktiv Rutoken liteXXXXXXXX

Ak je zobrazených niekoľko takýchto kontajnerov, znamená to, že na tokene je napísaných niekoľko certifikátov a vy viete, ktorý z nich potrebujete. Význam XXXXXXXXX za lomkou musíte skopírovať a vložiť do príkazu nižšie.

2. Zmeňte PIN pomocou príkazu z terminálu

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

kde XXXXXXXXX – názov kontajnera získaný v kroku 1 (nevyhnutne v úvodzovkách).

Zobrazí sa dialógové okno CryptoPro so žiadosťou o zadanie starého PIN kódu na prístup k certifikátu, potom ďalšie dialógové okno na zadanie nového PIN kódu. Pripravený.

screenshot

Podpisovanie súborov v systéme macOS

V systéme macOS je možné súbory prihlásiť pomocou softvéru CryptoArm (cena licencie 2500 = rub.), alebo jednoduchý príkaz cez terminál - zadarmo.

1. Zistite hash certifikátu CEP

Na tokene a v iných obchodoch môže byť viacero certifikátov. Musíme jasne identifikovať ten, s ktorým budeme odteraz podpisovať dokumenty. Hotovo raz.
Token musí byť vložený. Príkazom z terminálu získame zoznam certifikátov v úložiskách:

/opt/cprocsp/bin/certmgr -list

Príkaz musí vydať aspoň 1 certifikát vo forme:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program na správu certifikátov, zoznamov CRL a obchodov
= = = = = = = = = = = = = = = = = = = =
1---
Emitent: [chránené e-mailom],... CN=LLC KORUS Consulting CIS...
predmet: [chránené e-mailom],... KN=Zacharov Sergej Anatoljevič...
Sériové číslo: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Nádoba: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = =
[Kód chyby: 0x00000000]

Certifikát, ktorý potrebujeme v parametri Container, musí mať hodnotu ako SCARDrutoken…. Ak existuje niekoľko certifikátov s takýmito hodnotami, potom je na tokene zaznamenaných niekoľko certifikátov a vy viete, ktorý z nich potrebujete. Hodnota parametra SHA1 Hash (40 znakov) je potrebné skopírovať a vložiť do príkazu nižšie.

2. Podpísanie súboru príkazom z terminálu

V termináli prejdite do adresára so súborom na podpísanie a vykonanie príkazu:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

kde XXXX… – hash certifikátu získaný v kroku 1 a OBRÁZOK – názov súboru, ktorý sa má podpísať (so všetkými príponami, ale bez cesty).

Príkaz by mal vrátiť:

Podpísaná správa je vytvorená.
[Kód chyby: 0x00000000]

Vytvorí sa súbor elektronického podpisu s príponou *.sgn - ide o samostatný podpis vo formáte CMS s kódovaním DER.

3. Nainštalujte Apple Automator Script

Aby ste nemuseli zakaždým pracovať s terminálom, môžete si raz nainštalovať Automator Script, pomocou ktorého môžete podpisovať dokumenty z kontextového menu Finder. Ak to chcete urobiť, stiahnite si archív - k stiahnutiu.

1. Rozbaľovanie archívu 'Podpísať s CryptoPro.zip'
2. Spustiť Automator
3. Nájdite a otvorte rozbalený súbor 'Podpísať s CryptoPro.workflow'
4. V bloku Spustite skript Shell zmeniť text XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na hodnotu parametra SHA1 Hash Certifikát CEP získaný vyššie.
5. Uložte skript: ⌘Command + S
6. Spustite súbor 'Podpísať s CryptoPro.workflow' a potvrďte inštaláciu.
7. Poďme na Systém Predvoľby -> Rozšírenia -> Vyhľadávač a skontrolujte to Prihláste sa pomocou CryptoPro rýchla akcia zaznamenaná.
8. Vo Finderi zavolajte kontextovú ponuku ľubovoľného súboru a v sekcii Rýchle akcie a / alebo Služby vybrať položku Prihláste sa pomocou CryptoPro
9. V zobrazenom dialógovom okne CryptoPro zadajte užívateľský PIN kód z CEP
10. V aktuálnom adresári sa objaví súbor s príponou *.sgn - oddelený podpis vo formáte CMS s kódovaním DER.

Obrázky

Okno Apple Automator:

Systémové preferencie:

Kontextová ponuka vyhľadávača:

Skontrolujte podpis na dokumente

Ak obsah dokumentu neobsahuje tajomstvá a tajomstvá, najjednoduchším spôsobom je použiť webovú službu na portáli Štátnych služieb - https://www.gosuslugi.ru/pgu/eds. Týmto spôsobom môžete urobiť snímku obrazovky z renomovaného zdroja a uistiť sa, že s podpisom je všetko v poriadku.

Obrázky

Zdroj: hab.com