Kvalificirani elektronski podpis za macOS

Glede na RBC и TenzorLeta 2019 bo v Rusiji izdanih 4,6 milijona potrdil o kvalificiranem elektronskem podpisu (CES), ki izpolnjujejo zahteve 63-FZ. Izkazalo se je, da od 8 milijonov registriranih samostojnih podjetnikov in LLC vsak drugi podjetnik uporablja elektronski podpis. Poleg EGAIS CEP in CEP v oblaku za poročanje, ki jih izdajajo banke in računovodski servisi, so še posebej zanimivi univerzalni CEP na varnih žetonih. Takšna potrdila vam omogočajo, da se prijavite na državne portale in podpišete vse dokumente, zaradi česar so pravno pomembni.

Zahvaljujoč certifikatu CEP na žetonu USB lahko na daljavo sklenete pogodbo z nasprotno stranko ali zaposlenim na daljavo in pošljete dokumente na sodišče; registrirajte spletno blagajno, poravnajte davčne dolgove in oddajte izjavo v svojem osebnem računu na nalog.ru; izvedeti o dolgovih in prihajajočih inšpekcijah pri državnih službah.

Spodnji priročnik vam bo pomagal delo s CEP pod macOS – brez preučevanja forumov CryptoPro in namestitve virtualnega stroja z operacijskim sistemom Windows.

Vsebina

Kaj potrebujete za delo s CEP pod macOS:

Namestitev in konfiguracija CEP za macOS

1. Namestitev CryptoPro CSP
2. Namestitev gonilnikov Rutoken
3. Namestitev certifikatov
   3.1. Izbrišemo vse stare certifikate GOST
   3.2. Namestitev korenskih potrdil
   3.3. Prenesite potrdila overitelja
   3.4. Namestitev potrdila z Rutoken
4. Namestite poseben brskalnik Chromium-GOST
5. Namestitev razširitev brskalnika
   5.1 Vtičnik brskalnika CryptoPro EDS
   5.2. Vtičnik za javne storitve
   5.3. Nastavitev vtičnika za državne storitve
   5.4. Aktiviranje razširitev
   5.5. Nastavitev razširitve vtičnika CryptoPro EDS Browser
6. Preverjanje, ali vse deluje
   6.1. Pojdite na testno stran CryptoPro
   6.2. Pojdite na svoj osebni račun na nalog.ru
   6.3. Pojdite na državne službe
7. Kaj storiti, če preneha delovati

Sprememba PIN kode vsebnika

1. Iskanje imena posode KEP
2. Spreminjanje PIN-a z ukazom iz terminala

Podpisovanje datotek v sistemu macOS

1. Iskanje zgoščene vrednosti potrdila CEP
2. Podpisovanje datoteke z ukazom iz terminala
3. Namestitev skripta Apple Automator

Preverite podpis na dokumentu

Vse spodnje informacije so pridobljene iz uglednih virov (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Uralsko zvezno okrožje Ministrstva za telekomunikacije in množične komunikacije), priporočamo pa, da programsko opremo prenesete z zaupanja vrednih mest. Avtor je neodvisni svetovalec in ni povezan z nobenim od omenjenih podjetij. Z upoštevanjem teh navodil prevzemate polno odgovornost za vsa dejanja in posledice.

Kaj potrebujete za delo s CEP pod macOS:

1. CEP na USB žeton Rutoken Lite ali Rutoken EDS
2. kripto vsebnik v formatu CryptoPro
3. z vgrajenim licenca za CryptoPro CSP

Mediji eToken in JaCarta v povezavi s CryptoPro niso podprti v sistemu macOS. Medij Rutoken Lite je najboljša izbira, stane 500..1000= rubljev, deluje hitro in omogoča shranjevanje do 15 ključev.

Ponudniki kriptovalut VipNet, Signal-COM in LISSY niso podprti v sistemu macOS. Vsebnikov ni mogoče pretvoriti. CryptoPro je najboljša izbira, stroški potrdila bi morali biti približno 1300 = rub. za samostojne podjetnike in 1600 = rub. za YUL.

Običajno je letna licenca za CryptoPro CSP že vključena v potrdilo in jo številni CA-ji zagotavljajo brezplačno. Če temu ni tako, potem morate kupiti in aktivirati trajno licenco za CryptoPro CSP strogo različico 4, ki stane 2700=. CryptoPro CSP različica 5 za macOS trenutno ne deluje.

Namestitev in konfiguracija CEP za macOS

Očitne stvari

• vse prenesene datoteke se prenesejo v privzeti imenik: ~/Downloads/;
• V vseh namestitvenih programih ne spreminjamo ničesar, vse pustimo privzeto;
• če macOS prikaže opozorilo, da je programska oprema, ki se zažene, neznanega razvijalca, morate potrditi zagon v sistemskih nastavitvah: Sistemske nastavitve —> Varnost in zasebnost —> Vseeno odpri;
• če macOS zahteva uporabniško geslo in dovoljenje za nadzor računalnika, morate vnesti geslo in se strinjati z vsem.

1. Namestite CryptoPro CSP

Registrirajte se na spletni strani CryptoPro and co strani za prenos prenesite in namestite različico CryptoPro CSP 4.0 R4 za macOS - prenos.

2. Namestite gonilnike Rutoken

Spletno mesto pravi, da je to neobvezno, vendar je bolje, da ga namestite. Co strani za prenos prenesite in namestite na spletni strani Rutoken Podporni modul za ključe - prenos.

Nato povežite usb žeton, zaženite terminal in izvedite ukaz:

/opt/cprocsp/bin/csptest -card -enum -v

Odgovor bi moral biti:

Aktiv Rutoken…
Kartica prisotna…
[Koda napake: 0x00000000]

3. Namestite potrdila

3.1. Izbrišemo vse stare certifikate GOST

Če ste že poskušali zagnati CEP pod macOS, morate počistiti vsa predhodno nameščena potrdila. Ti ukazi v terminalu bodo izbrisali samo potrdila CryptoPro in ne bodo vplivali na navadna potrdila iz Keychaina v macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Vsak odziv na ukaz mora vsebovati:

Noben certifikat ne ustreza kriterijem

ali

Brisanje končano

3.2. Namestitev korenskih potrdil

Korenska potrdila so skupna vsem CEP, ki jih izda kateri koli overitelj. Prenesi iz strani za prenos Uralsko zvezno okrožje Ministrstva za telekomunikacije in množične komunikacije:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Namestite z ukazi v terminalu:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Vsak ukaz mora vrniti:

Namestitev:
...
[Koda napake: 0x00000000]

3.3. Prenesite potrdila overitelja

Nato morate namestiti potrdila overitelja, kjer ste izdali CEP. Običajno se korenska potrdila vsake CA nahajajo na njenem spletnem mestu v razdelku za prenose.

Druga možnost je, da lahko prenesete potrdila katerega koli CA spletna stran Uralskega zveznega okrožja Ministrstva za telekomunikacije in množične komunikacije. Če želite to narediti, morate v iskalnem obrazcu poiskati CA po imenu, pojdite na stran s certifikati in prenesite vse trenutno potrdili – torej tiste z 'veljavno' drugi datum še ni prišel. Prenesite s povezave v polju 'prstni odtis'.

Galerija slik:

Na primeru CA Corus-Consulting: prenesti morate 4 potrdila iz strani za prenos:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Prenesena CA potrdila namestimo z ukazi iz terminala:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

kje po ~/Prenosi/ Navedena so imena prenesenih datotek; za vsako CA se razlikujejo.

Vsak ukaz mora vrniti:

Namestitev:
...
[Koda napake: 0x00000000]

3.4. Namestitev potrdila z Rutoken

Ukaz v terminalu:

/opt/cprocsp/bin/csptestf -absorb -certs

Ukaz bi moral vrniti:

OK.
[Koda napake: 0x00000000]

4. Namestite poseben brskalnik Chromium-GOST

Za delo z vladnimi portali boste potrebovali posebno različico brskalnika Chromium - Krom-GOST. Izvorna koda projekta je odprta, povezava do repozitorij na GitHubu je podano Spletno mesto CryptoPro. Po izkušnjah drugi brskalniki CryptoFox и Brskalnik Yandex Niso primerni za delo z vladnimi portali pod macOS. Upoštevati je treba, da lahko v nekaterih različicah Chromium-GOST osebni račun na nalog.ru zamrzne ali pa drsenje popolnoma preneha delovati, zato je na voljo stara preverjena izdelava 71.0.3578.98 - prenos.


Prenesite in razpakirajte arhiv, namestite brskalnik tako, da ga kopirate ali povlečete in spustite v imenik aplikacij. Po namestitvi prisilno zaprite Chromium in ga še ne odpirajte, delajte iz Safarija.

killall Chromium-Gost

5. Namestite razširitve brskalnika

5.1 Vtičnik brskalnika CryptoPro EDS

S strani za prenos prenesite in namestite na spletni strani CryptoPro CryptoPro EDS Browser vtičnik različice 2.0 za uporabnike - prenos.

5.2. Vtičnik za javne storitve

S strani za prenos prenesite in namestite na portal državnih služb Vtičnik za delo s portalom državnih storitev (različica za macOS) - prenos.

5.3. Nastavitev vtičnika za državne storitve

Prenesite pravilno konfiguracijsko datoteko za razširitev državnih storitev s spletnega mesta CryptoPro - prenos.

Izvedite ukaze v terminalu:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktiviranje razširitev

Zaženite brskalnik Chromium-Gost in v naslovno vrstico vnesite:

chrome://extensions/

Omogočimo obe nameščeni razširitvi:

• Razširitev CryptoPro za vtičnik brskalnika CAdES
• Razširitev za vtičnik državnih storitev

Posnetek zaslona

5.5. Nastavitev razširitve vtičnika CryptoPro EDS Browser

V naslovno vrstico Chromium-Gost vtipkamo:

/etc/opt/cprocsp/trusted_sites.html

Na strani, ki se prikaže, eno za drugo dodajte ta spletna mesta na seznam zaupanja vrednih mest:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Kliknite »Shrani«. Pojaviti se mora zelena pika:

Seznam zaupanja vrednih vozlišč je bil uspešno shranjen.

Posnetek zaslona

6. Preverite, ali vse deluje

6.1. Pojdite na testno stran CryptoPro

V naslovno vrstico Chromium-Gost vtipkamo:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Prikazati se mora »Plugin loaded«, vaše potrdilo pa mora biti prisotno na spodnjem seznamu.
Na seznamu izberite potrdilo in kliknite »Podpiši«. Zahtevali boste PIN potrdila. Kot rezultat bi se moral prikazati

Podpis je bil uspešno ustvarjen

Posnetek zaslona

6.2. Pojdite na svoj osebni račun na nalog.ru

Morda ne boste mogli dostopati do povezav s spletnega mesta nalog.ru, ker... pregledi ne bodo prestali. Morate iti skozi neposredne povezave:

• Kabinet PI: https://lkipgost.nalog.ru/lk
• Kabinet ЮЛ: https://lkul.nalog.ru

Posnetek zaslona

6.3. Pojdite na državne službe

Pri prijavi izberite »Prijava z elektronskim podpisom«. Na seznamu »Izberite potrdilo o ključu za preverjanje elektronskega podpisa«, ki se prikaže, bodo prikazana vsa potrdila, vključno s korenskim in CA, katerega morate izbrati iz žetona USB in vnesti PIN.

Posnetek zaslona

7. Kaj storiti, če preneha delovati

1. Ponovno priklopimo žeton usb in z ukazom v terminalu preverimo, ali je viden:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Za vse čase počistimo predpomnilnik brskalnika, za kar v naslovno vrstico Chromium-Gost vnesemo:

   
chrome://settings/clearBrowserData


3. Znova namestite potrdilo CEP z ukazom v terminalu:

   /opt/cprocsp/bin/csptestf -absorb -certs

Sprememba PIN kode vsebnika

Koda PIN po meri za Rutoken privzeto 12345678, in tega nikakor ne moremo pustiti tako. Zahteve za PIN kodo Rutoken: največ 16 znakov, lahko vsebuje latinične črke in številke.

1. Poiščite ime posode KEP

Na žetonu USB in drugih shrambah je lahko shranjenih več certifikatov in izbrati morate pravega. Z vstavljenim usb tokenom dobimo seznam vseh vsebnikov v sistemu z ukazom v terminalu:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Ukaz mora umakniti vsaj 1 kontejner in se vrniti

[Koda napake: 0x00000000]

Tako izgleda posoda, ki jo potrebujemo

.Aktiv Rutoken liteXXXXXXXX

Če je prikazanih več takšnih vsebnikov, pomeni, da je na žetonu zapisanih več certifikatov in veste katerega potrebujete. Pomen XXXXXXXX za poševnico morate kopirati in prilepiti v spodnji ukaz.

2. Spremenite PIN z ukazom iz terminala

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

če XXXXXXXX – ime vsebnika, pridobljenega v koraku 1 (obvezno v narekovajih).

Prikaže se pogovorno okno CryptoPro, ki zahteva staro kodo PIN za dostop do potrdila, nato pa še eno pogovorno okno za vnos nove kode PIN. pripravljena

Posnetek zaslona

Podpisovanje datotek v sistemu macOS

V sistemu macOS je mogoče datoteke podpisati v programski opremi CryptoArm (stroški licence 2500 = rub.), ali preprost ukaz prek terminala - brezplačno.

1. Poiščite zgoščeno vrednost potrdila CEP

Na žetonu in v drugih trgovinah je lahko več potrdil. Jasno moramo identificirati tistega, s katerim bomo odslej podpisovali dokumente. Končano enkrat.
Žeton mora biti vstavljen. Seznam certifikatov v repozitorijih dobimo z ukazom iz terminala:

/opt/cprocsp/bin/certmgr -list

Ukaz mora izpisati vsaj 1 potrdilo v obliki:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program za upravljanje s certifikati, CRL-ji in trgovinami
= = = = = = = = = = = = = = = = = = =
1---
Izdajatelj: [e-pošta zaščitena],... CN=LLC KORUS Consulting CIS...
Zadeva: [e-pošta zaščitena],... CN=Zaharov Sergej Anatolijevič...
Serijska številka: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Vsebnik: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Koda napake: 0x00000000]

Potrdilo, ki ga potrebujemo v parametru Container, mora imeti vrednost, kot je SCARDrutoken…. Če je certifikatov s takšnimi vrednostmi več, potem je na žetonu zabeleženih več certifikatov in veste katerega potrebujete. Vrednost parametra SHA1 Hash (40 znakov) je treba kopirati in prilepiti v spodnji ukaz.

2. Podpisovanje datoteke z ukazom iz terminala

V terminalu pojdite v imenik z datoteko za podpis in izvedite ukaz:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

če XXXX ... – zgoščena vrednost potrdila, pridobljena v koraku 1, in FILE – ime datoteke za podpis (z vsemi končnicami, vendar brez poti).

Ukaz bi moral vrniti:

Podpisano sporočilo je ustvarjeno.
[Koda napake: 0x00000000]

Ustvarjena bo datoteka elektronskega podpisa s končnico *.sgn - to je ločeni podpis v formatu CMS z DER kodiranjem.

3. Namestite Apple Automator Script

Da se izognete vsakič delu s terminalom, lahko enkrat namestite Automator Script, s katerim lahko podpisujete dokumente iz kontekstnega menija Finderja. Če želite to narediti, prenesite arhiv - prenos.

1. Razpakiranje arhiva 'Podpiši s CryptoPro.zip'
2. Kosilo Automator
3. Poiščite in odprite nepakirano datoteko 'Podpiši s CryptoPro.workflow'
4. V bloku Zaženite skript lupine spremenite besedilo XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX na vrednost parametra SHA1 Hash Certifikat CEP pridobljen zgoraj.
5. Shranite skript: ⌘Command + S
6. Zaženite datoteko 'Podpiši s CryptoPro.workflow' in potrdite namestitev.
7. Pojdimo na Sistem Nastavitve -> Razširitve -> Iskalnik in to preveri Podpišite s CryptoPro opaženo hitro ukrepanje.
8. V Finderju pokličite kontekstni meni katere koli datoteke in v razdelku Hitri ukrepi in / ali Storitve izberite predmet Podpišite s CryptoPro
9. V pogovornem oknu CryptoPro, ki se prikaže, vnesite kodo PIN uporabnika iz CEP
10. V trenutnem imeniku se bo pojavila datoteka s pripono *.sgn - ločen podpis v formatu CMS z DER kodiranjem.

Galerija slik:

Okno Apple Automator:

Sistemske nastavitve:

Kontekstni meni iskalnika:

Preverite podpis na dokumentu

Če vsebina dokumenta ne vsebuje skrivnosti in skrivnosti, potem je najlažji način uporaba spletne storitve na portalu državnih služb - https://www.gosuslugi.ru/pgu/eds. Tako lahko naredite posnetek zaslona iz uglednega vira in se prepričate, da je s podpisom vse v redu.

Galerija slik:

Vir: www.habr.com