Podľa RBC и Tenzor, v roku 2019 bude v Rusku vydaných 4,6 milióna certifikátov kvalifikovaných elektronických podpisov (CES), ktoré spĺňajú požiadavky 63-FZ. Ukazuje sa, že z 8 miliónov registrovaných individuálnych podnikateľov a LLC používa elektronický podpis každý druhý podnikateľ. Okrem EGAIS CEPs a cloudových CEPs na podávanie správ vydávaných bankami a účtovnými službami sú mimoriadne zaujímavé aj univerzálne CEPs na bezpečných tokenoch. Takéto certifikáty vám umožňujú prihlásiť sa na vládne portály a podpísať akékoľvek dokumenty, vďaka čomu sú právne významné.
Vďaka certifikátu CEP na USB tokene môžete na diaľku uzavrieť dohodu s protistranou alebo vzdialeným zamestnancom a posielať dokumenty súdu; zaregistrujte si online registračnú pokladnicu, vyrovnajte daňové dlhy a podajte vyhlásenie vo svojom osobnom účte na nalog.ru; informujte sa o dlhoch a pripravovaných kontrolách v Štátnych službách.
Nižšie uvedená príručka vám pomôže pracovať s CEP pod macOS – bez študovania fór CryptoPro a inštalácie virtuálneho stroja s Windows.
Obsah
Čo potrebujete na prácu s CEP v systéme macOS:
Inštalácia a konfigurácia CEP pre macOS
Inštalácia CryptoPro CSP
Inštalácia ovládačov Rutoken
Inštalácia certifikátov
3.1. Vymažeme všetky staré certifikáty GOST
3.2. Inštalácia koreňových certifikátov
3.3. Stiahnite si certifikáty certifikačnej autority
3.4. Inštalácia certifikátu s Rutokenom
Nainštalujte špeciálny prehliadač Chromium-GOST
Inštalácia rozšírení prehliadača
5.1 Doplnok prehliadača CryptoPro EDS
5.2. Plugin pre verejné služby
5.3. Nastavenie doplnku pre štátne služby
5.4. Aktivácia rozšírení
5.5. Nastavenie rozšírenia zásuvného modulu CryptoPro EDS Browser
Kontrola, či všetko funguje
6.1. Prejdite na testovaciu stránku CryptoPro
6.2. Prejdite na svoj osobný účet na nalog.ru
6.3. Prejdite na Štátne služby
Čo robiť, ak prestane fungovať
Zmena kódu PIN kontajnera
Zistenie názvu kontajnera KEP
Zmena PIN pomocou príkazu z terminálu
Podpisovanie súborov v systéme macOS
Zistenie hashu certifikátu CEP
Podpísanie súboru príkazom z terminálu
Inštalácia skriptu Apple Automator Script
Skontrolujte podpis na dokumente
Všetky informácie uvedené nižšie pochádzajú z renomovaných zdrojov (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralský federálny obvod ministerstva telekomunikácií a masových komunikácií) a odporúča sa stiahnuť softvér z dôveryhodných stránok. Autor je nezávislý konzultant a nie je prepojený so žiadnou z uvedených spoločností. Dodržiavaním týchto pokynov preberáte plnú zodpovednosť za akékoľvek činy a dôsledky.
Čo potrebujete na prácu s CEP v systéme macOS:
CEP na USB tokene Rutoken Lite alebo Rutoken EDS
krypto kontajner vo formáte CryptoPro
so vstavaným licencia pre CryptoPro CSP
Médiá eToken a JaCarta v spojení s CryptoPro nie sú podporované v systéme macOS. Médium Rutoken Lite je najlepšou voľbou, stojí 500..1000= rubľov, pracuje rýchlo a umožňuje uložiť až 15 kľúčov.
Poskytovatelia kryptomien VipNet, Signal-COM a LISSY nie sú podporovaní v systéme macOS. Neexistuje spôsob, ako previesť kontajnery. CryptoPro je najlepšou voľbou, cena certifikátu by mala byť približne 1300 = rub. pre individuálnych podnikateľov a 1600 = rub. pre YUL.
Ročná licencia pre CryptoPro CSP je zvyčajne už zahrnutá v certifikáte a mnohé CA ju poskytujú bezplatne. Ak tomu tak nie je, musíte si zakúpiť a aktivovať trvalú licenciu pre CryptoPro CSP striktne verziu 4 v cene 2700=. CryptoPro CSP verzia 5 pre macOS momentálne nefunguje.
Inštalácia a konfigurácia CEP pre macOS
Samozrejmé veci
všetky stiahnuté súbory sa stiahnu do predvoleného adresára: ~/Downloads/;
Vo všetkých inštalátoroch nič nemeníme, všetko nechávame ako predvolené;
ak macOS zobrazí varovanie, že spúšťaný softvér pochádza od neidentifikovaného vývojára, musíte potvrdiť spustenie v systémových nastaveniach: Systémové predvoľby —> Zabezpečenie a súkromie —> Napriek tomu otvoriť;
ak macOS požaduje heslo používateľa a povolenie ovládať počítač, musíte zadať heslo a so všetkým súhlasiť.
Web hovorí, že je to voliteľné, ale je lepšie si to nainštalovať. Co stránky na stiahnutie stiahnuť a nainštalovať na webovej stránke Rutoken Modul podpory kľúčenky - k stiahnutiu.
Potom pripojte usb token, spustite terminál a vykonajte príkaz:
/opt/cprocsp/bin/csptest -card -enum -v
Odpoveď by mala byť:
Aktiv Rutoken…
Karta prítomná…
[Kód chyby: 0x00000000]
3. Nainštalujte certifikáty
3.1. Vymažeme všetky staré certifikáty GOST
Ak ste sa predtým pokúsili spustiť CEP v systéme macOS, musíte vymazať všetky predtým nainštalované certifikáty. Tieto príkazy v termináli odstránia iba certifikáty CryptoPro a neovplyvnia bežné certifikáty z Keychain na macOS.
Koreňové certifikáty sú spoločné pre všetky CEP vydané akoukoľvek certifikačnou autoritou. Stiahnuť z stránky na stiahnutie Uralský federálny obvod ministerstva telekomunikácií a masových komunikácií:
3.3. Stiahnite si certifikáty certifikačnej autority
Ďalej je potrebné nainštalovať certifikáty certifikačnej autority, kde ste vydali CEP. Zvyčajne sa koreňové certifikáty každej CA nachádzajú na jej webovej lokalite v sekcii na stiahnutie.
Alternatívne je možné stiahnuť certifikáty ľubovoľnej CA webová stránka Uralského federálneho okruhu Ministerstva telekomunikácií a masových komunikácií. Ak to chcete urobiť, vo vyhľadávacom formulári musíte nájsť CA podľa názvu, prejsť na stránku s certifikátmi a stiahnuť všetko prúd certifikáty – teda tie s 'platný' druhý termín ešte neprišiel. Stiahnite si z odkazu v poli 'odtlačok prsta'.
Obrázky
Na príklade CA Corus-Consulting: musíte si stiahnuť 4 certifikáty z stránky na stiahnutie:
Na prácu s vládnymi portálmi budete potrebovať špeciálnu zostavu prehliadača Chromium – Chromium-GOST. Zdrojový kód projektu je otvorený, odkaz na úložisko na GitHub je daný na Web CryptoPro. Zo skúseností iné prehliadače CryptoFox и Prehliadač Yandex Nie sú vhodné na prácu s vládnymi portálmi v systéme macOS. Stojí za zváženie, že v niektorých zostavách Chromium-GOST môže osobný účet na nalog.ru zamrznúť alebo rolovanie môže prestať fungovať úplne, takže sa ponúka starý osvedčený stavať 71.0.3578.98 - k stiahnutiu.
Stiahnite si a rozbaľte archív, nainštalujte prehliadač skopírovaním alebo presunutím do adresára Applications. Po inštalácii vynútene zatvorte Chromium a zatiaľ ho neotvárajte, pracujte zo Safari.
killall Chromium-Gost
5. Nainštalujte rozšírenia prehliadača
5.1 Doplnok prehliadača CryptoPro EDS
s stránky na stiahnutie stiahnuť a nainštalovať na webovej stránke CryptoPro Zásuvný modul CryptoPro EDS Browser verzie 2.0 pre používateľov - k stiahnutiu.
5.2. Plugin pre verejné služby
s stránky na stiahnutie stiahnuť a nainštalovať na portál Štátnych služieb Plugin pre prácu s portálom vládnych služieb (verzia pre macOS) - k stiahnutiu.
5.3. Nastavenie doplnku pre štátne služby
Stiahnite si správny konfiguračný súbor pre rozšírenie State Services z webovej stránky CryptoPro - k stiahnutiu.
Malo by sa zobraziť „Plugin load“ a váš certifikát by sa mal nachádzať v zozname nižšie.
Vyberte certifikát zo zoznamu a kliknite na „Podpísať“. Budete vyzvaní na zadanie PIN certifikátu. V dôsledku toho by sa mal zobraziť
Podpis bol úspešne vygenerovaný
screenshot
6.2. Prejdite na svoj osobný účet na nalog.ru
Možno nebudete mať prístup k odkazom zo stránky nalog.ru, pretože... kontroly neprejdú. Musíte prejsť cez priame odkazy:
Pri prihlasovaní vyberte možnosť „Prihlásiť sa pomocou elektronického podpisu“. V zobrazenom zozname „Vybrať certifikát kľúča na overenie elektronického podpisu“ sa zobrazia všetky certifikáty vrátane koreňového a CA, musíte si vybrať ten svoj z USB tokenu a zadať PIN.
screenshot
7. Čo robiť, ak prestane fungovať
Znova pripojíme token usb a pomocou príkazu v termináli skontrolujeme, či je viditeľný:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Navždy vymažeme vyrovnávaciu pamäť prehliadača, pre ktorú napíšeme do panela s adresou prehliadača Chromium-Gost:
chrome://settings/clearBrowserData
Preinštalujte certifikát CEP pomocou príkazu v termináli:
/opt/cprocsp/bin/csptestf -absorb -certs
Zmena kódu PIN kontajnera
Vlastný PIN kód pre Rutoken v predvolenom nastavení 12345678, a neexistuje spôsob, ako to nechať takto. Požiadavky na Rutoken PIN kód: maximálne 16 znakov, môže obsahovať latinské písmená a čísla.
1. Zistite názov kontajnera KEP
Na USB tokene a iných úložiskách môže byť uložených viacero certifikátov a je potrebné si vybrať ten správny. S vloženým usb tokenom dostaneme zoznam všetkých kontajnerov v systéme pomocou príkazu v termináli:
Ak je zobrazených niekoľko takýchto kontajnerov, znamená to, že na tokene je napísaných niekoľko certifikátov a vy viete, ktorý z nich potrebujete. Význam XXXXXXXXX za lomkou musíte skopírovať a vložiť do príkazu nižšie.
kde XXXXXXXXX – názov kontajnera získaný v kroku 1 (nevyhnutne v úvodzovkách).
Zobrazí sa dialógové okno CryptoPro so žiadosťou o zadanie starého PIN kódu na prístup k certifikátu, potom ďalšie dialógové okno na zadanie nového PIN kódu. Pripravený.
screenshot
Podpisovanie súborov v systéme macOS
V systéme macOS je možné súbory prihlásiť pomocou softvéru CryptoArm (cena licencie 2500 = rub.), alebo jednoduchý príkaz cez terminál - zadarmo.
1. Zistite hash certifikátu CEP
Na tokene a v iných obchodoch môže byť viacero certifikátov. Musíme jasne identifikovať ten, s ktorým budeme odteraz podpisovať dokumenty. Hotovo raz.
Token musí byť vložený. Príkazom z terminálu získame zoznam certifikátov v úložiskách:
Certifikát, ktorý potrebujeme v parametri Container, musí mať hodnotu ako SCARDrutoken…. Ak existuje niekoľko certifikátov s takýmito hodnotami, potom je na tokene zaznamenaných niekoľko certifikátov a vy viete, ktorý z nich potrebujete. Hodnota parametra SHA1 Hash (40 znakov) je potrebné skopírovať a vložiť do príkazu nižšie.
2. Podpísanie súboru príkazom z terminálu
V termináli prejdite do adresára so súborom na podpísanie a vykonanie príkazu:
kde XXXX… – hash certifikátu získaný v kroku 1 a OBRÁZOK – názov súboru, ktorý sa má podpísať (so všetkými príponami, ale bez cesty).
Príkaz by mal vrátiť:
Podpísaná správa je vytvorená.
[Kód chyby: 0x00000000]
Vytvorí sa súbor elektronického podpisu s príponou *.sgn - ide o samostatný podpis vo formáte CMS s kódovaním DER.
3. Nainštalujte Apple Automator Script
Aby ste nemuseli zakaždým pracovať s terminálom, môžete si raz nainštalovať Automator Script, pomocou ktorého môžete podpisovať dokumenty z kontextového menu Finder. Ak to chcete urobiť, stiahnite si archív - k stiahnutiu.
Rozbaľovanie archívu 'Podpísať s CryptoPro.zip'
Spustiť Automator
Nájdite a otvorte rozbalený súbor 'Podpísať s CryptoPro.workflow'
V bloku Spustite skript Shell zmeniť text XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na hodnotu parametra SHA1 Hash Certifikát CEP získaný vyššie.
Uložte skript: ⌘Command + S
Spustite súbor 'Podpísať s CryptoPro.workflow' a potvrďte inštaláciu.
Poďme na Systém Predvoľby -> Rozšírenia -> Vyhľadávač a skontrolujte to Prihláste sa pomocou CryptoPro rýchla akcia zaznamenaná.
Vo Finderi zavolajte kontextovú ponuku ľubovoľného súboru a v sekcii Rýchle akcie a / alebo Služby vybrať položku Prihláste sa pomocou CryptoPro
V zobrazenom dialógovom okne CryptoPro zadajte užívateľský PIN kód z CEP
V aktuálnom adresári sa objaví súbor s príponou *.sgn - oddelený podpis vo formáte CMS s kódovaním DER.
Obrázky
Okno Apple Automator:
Systémové preferencie:
Kontextová ponuka vyhľadávača:
Skontrolujte podpis na dokumente
Ak obsah dokumentu neobsahuje tajomstvá a tajomstvá, najjednoduchším spôsobom je použiť webovú službu na portáli Štátnych služieb - https://www.gosuslugi.ru/pgu/eds. Týmto spôsobom môžete urobiť snímku obrazovky z renomovaného zdroja a uistiť sa, že s podpisom je všetko v poriadku.