Nënshkrimi elektronik i kualifikuar për macOS

Sipas RBC и Tensor, në vitin 2019, 4,6 milionë certifikata të nënshkrimeve elektronike të kualifikuara (CES) do të lëshohen në Rusi, duke përmbushur kërkesat e 63-FZ. Rezulton se nga 8 milionë sipërmarrës individualë dhe SH.PK të regjistruar, çdo i dyti sipërmarrës përdor një nënshkrim elektronik. Përveç CEP-ve EGAIS dhe CEP-ve të bazuara në renë kompjuterike për raportim të lëshuar nga bankat dhe shërbimet e kontabilitetit, CEP-të universale për tokenat e sigurt janë me interes të veçantë. Certifikata të tilla ju lejojnë të identifikoheni në portalet qeveritare dhe të nënshkruani çdo dokument, duke i bërë ato ligjërisht të rëndësishme.

Falë certifikatës CEP në një shenjë USB, mund të lidhni nga distanca një marrëveshje me një palë tjetër ose punonjës të largët dhe t'i dërgoni dokumentet gjykatës; regjistroni një arkë në internet, shlyeni borxhet tatimore dhe paraqisni një deklaratë në llogarinë tuaj personale në nalog.ru; mësoni për borxhet dhe inspektimet e ardhshme në Shërbimet Shtetërore.

Manuali i mëposhtëm do të ndihmojë punoni me CEP nën macOS – pa studiuar forumet CryptoPro dhe pa instaluar një makinë virtuale me Windows.

Përmbajtje

Çfarë ju nevojitet për të punuar me CEP nën macOS:

Instalimi dhe konfigurimi i CEP për macOS

1. Instalimi i CryptoPro CSP
2. Instalimi i drejtuesve të Rutoken
3. Instalimi i certifikatave
   3.1. Ne fshijmë të gjitha certifikatat e vjetra GOST
   3.2. Instalimi i certifikatave rrënjësore
   3.3. Shkarkoni certifikatat e autoritetit të certifikimit
   3.4. Instalimi i një certifikate me Rutoken
4. Instaloni një shfletues të veçantë Chromium-GOST
5. Instalimi i shtesave të shfletuesit
   5.1 Shtojca e shfletuesit CryptoPro EDS
   5.2. Plugin për Shërbimet Publike
   5.3. Vendosja e një shtojce për Shërbimet Shtetërore
   5.4. Aktivizimi i shtesave
   5.5. Konfigurimi i shtesës shtesë të shfletuesit CryptoPro EDS
6. Kontrolloni nëse gjithçka funksionon
   6.1. Shkoni te faqja e provës CryptoPro
   6.2. Shkoni në llogarinë tuaj personale në nalog.ru
   6.3. Shkoni te Shërbimet Shtetërore
7. Çfarë duhet të bëni nëse ndalon së punuari

Ndryshimi i kodit PIN të kontejnerit

1. Gjetja e emrit të kontejnerit të KEP
2. Ndryshimi i PIN-it me një komandë nga terminali

Nënshkrimi i skedarëve në macOS

1. Gjetja e hash-it të certifikatës CEP
2. Nënshkrimi i një skedari me një komandë nga terminali
3. Instalimi i Apple Automator Script

Kontrolloni nënshkrimin në dokument

Të gjitha informacionet e mëposhtme janë marrë nga burime me reputacion (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Rrethi Federal Ural i Ministrisë së Telekomit dhe Komunikimeve Masive), dhe sugjerohet të shkarkoni softuer nga faqet e besuara. Autori është një konsulent i pavarur dhe nuk është i lidhur me asnjë nga kompanitë e përmendura. Duke ndjekur këto udhëzime, ju merrni përgjegjësinë e plotë për çdo veprim dhe pasojë.

Çfarë ju nevojitet për të punuar me CEP nën macOS:

1. CEP në një kod USB Rutoken Lite ose Rutoken EDS
2. enë kripto në formatin CryptoPro
3. me të integruar licencë për CryptoPro CSP

Mediat eToken dhe JaCarta në lidhje me CryptoPro nuk mbështeten nën macOS. Media Rutoken Lite është zgjidhja më e mirë, kushton 500..1000= rubla, funksionon shpejt dhe ju lejon të ruani deri në 15 çelësa.

Ofruesit e kriptove VipNet, Signal-COM dhe LISSY nuk mbështeten në macOS. Nuk ka asnjë mënyrë për të kthyer kontejnerët. CryptoPro është zgjidhja më e mirë, kostoja e certifikatës duhet të jetë rreth 1300 = fshij. për sipërmarrësit individualë dhe 1600 = fshij. për YUL.

Në mënyrë tipike, një licencë vjetore për CryptoPro CSP është përfshirë tashmë në certifikatë dhe ofrohet falas nga shumë CA. Nëse nuk është kështu, atëherë duhet të blini dhe aktivizoni një licencë të përhershme për CryptoPro CSP në mënyrë rigoroze versionin 4 që kushton 2700=. CryptoPro CSP version 5 për macOS aktualisht nuk funksionon.

Instalimi dhe konfigurimi i CEP për macOS

Gjëra të dukshme

• të gjithë skedarët e shkarkuar shkarkohen në drejtorinë e paracaktuar: ~/Shkarkime/;
• Ne nuk ndryshojmë asgjë në të gjithë instaluesit, ne lëmë gjithçka si parazgjedhje;
• nëse macOS shfaq një paralajmërim se softueri që po lëshohet është nga një zhvillues i paidentifikuar, duhet të konfirmoni nisjen në cilësimet e sistemit: Preferencat e sistemit —> Siguria dhe privatësia —> Hape gjithsesi;
• nëse macOS kërkon një fjalëkalim përdoruesi dhe leje për të kontrolluar kompjuterin, duhet të futni fjalëkalimin dhe të pajtoheni me gjithçka.

1. Instaloni CryptoPro CSP

Regjistrohu në faqen e internetit CryptoPro dhe bashkë faqet e shkarkimit shkarkoni dhe instaloni versionin CryptoPro CSP 4.0 R4 për MacOS - shkarko.

2. Instaloni drejtuesit e Rutoken

Faqja e internetit thotë se kjo është opsionale, por është më mirë ta instaloni. Co faqet e shkarkimit shkarkoni dhe instaloni në faqen e internetit të Rutoken Moduli mbështetës i zinxhirit të çelësave - shkarko.

Tjetra, lidhni tokenin usb, hapni terminalin dhe ekzekutoni komandën:

/opt/cprocsp/bin/csptest -card -enum -v

Përgjigja duhet të jetë:

Aktiv Rutoken…
Dhurata e kartës…
[Kodi i gabimit: 0x00000000]

3. Instaloni certifikatat

3.1. Ne fshijmë të gjitha certifikatat e vjetra GOST

Nëse më parë keni tentuar të nisni CEP nën macOS, atëherë duhet të pastroni të gjitha certifikatat e instaluara më parë. Këto komanda në terminal do të fshijnë vetëm certifikatat CryptoPro dhe nuk do të ndikojnë në certifikatat e rregullta nga Keychain në macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Përgjigja e çdo komande duhet të përfshijë:

Asnjë certifikatë që përputhet me kriteret

ose

Fshirja përfundoi

3.2. Instalimi i certifikatave rrënjësore

Certifikatat rrënjësore janë të zakonshme për të gjitha CEP-të e lëshuara nga çdo autoritet certifikues. Shkarkoni nga faqet e shkarkimit Rrethi Federal Ural i Ministrisë së Telekomit dhe Komunikimeve Masive:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Instaloni me komanda në terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Çdo komandë duhet të kthehet:

Instalimi:
...
[Kodi i gabimit: 0x00000000]

3.3. Shkarkoni certifikatat e autoritetit të certifikimit

Më pas, duhet të instaloni certifikatat e autoritetit të certifikimit ku keni lëshuar CEP. Në mënyrë tipike, certifikatat rrënjësore të çdo CA ndodhen në faqen e saj të internetit në seksionin e shkarkimeve.

Përndryshe, certifikatat e çdo CA mund të shkarkohen nga uebfaqja e Rrethit Federal Ural të Ministrisë së Telekomit dhe Komunikimeve Masive. Për ta bërë këtë, në formularin e kërkimit ju duhet të gjeni një CA me emër, shkoni në faqen me certifikata dhe shkarkoni gjithçka aktuale certifikatat – pra ato me 'e vlefshme' data e dytë nuk ka ardhur ende. Shkarkoni nga lidhja në fushë 'Gjurmë gishtash'.

Fotografitë

Duke përdorur shembullin e CA Corus-Consulting: duhet të shkarkoni 4 certifikata nga faqet e shkarkimit:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Ne instalojmë certifikatat CA të shkarkuara duke përdorur komandat nga terminali:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

ku pas ~/Shkarkime/ Emrat e skedarëve të shkarkuar janë renditur; ata do të jenë të ndryshëm për secilën CA.

Çdo komandë duhet të kthehet:

Instalimi:
...
[Kodi i gabimit: 0x00000000]

3.4. Instalimi i një certifikate me Rutoken

Komanda në terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Komanda duhet të kthehet:

OK.
[Kodi i gabimit: 0x00000000]

4. Instaloni një shfletues të veçantë Chromium-GOST

Për të punuar me portalet qeveritare, do t'ju duhet një ndërtim i veçantë i shfletuesit chromium - Krom-GOST. Kodi burimor i projektit është i hapur, lidhja me depo në GitHub jepet në Faqja e internetit CryptoPro. Nga përvoja, shfletues të tjerë CryptoFox и Shfletuesi Yandex Ato nuk janë të përshtatshme për të punuar me portalet qeveritare nën macOS. Vlen të merret në konsideratë që në disa ndërtime të Chromium-GOST, llogaria personale në nalog.ru mund të ngrijë ose lëvizja mund të ndalojë së punuari fare, kështu që ofrohet ajo e vjetër e provuar ndertimi 71.0.3578.98 - shkarko.


Shkarkoni dhe shpaketoni arkivin, instaloni shfletuesin duke e kopjuar ose zvarritur atë në drejtorinë e aplikacioneve. Pas instalimit, mbyllni me forcë Chromium dhe mos e hapni akoma, punoni nga Safari.

killall Chromium-Gost

5. Instaloni shtesat e shfletuesit

5.1 Shtojca e shfletuesit CryptoPro EDS

Me faqet e shkarkimit shkarkoni dhe instaloni në faqen e internetit të CryptoPro CryptoPro EDS Browser plug-in version 2.0 për përdoruesit - shkarko.

5.2. Plugin për Shërbimet Publike

Me faqet e shkarkimit shkarkoni dhe instaloni në portalin e Shërbimeve Shtetërore Shtojca për të punuar me portalin e shërbimeve qeveritare (versioni për macOS) - shkarko.

5.3. Vendosja e një shtojce për Shërbimet Shtetërore

Shkarkoni skedarin e saktë të konfigurimit për shtesën e Shërbimeve Shtetërore nga faqja e internetit CryptoPro - shkarko.

Ekzekutoni komandat në terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktivizimi i shtesave

Hapni shfletuesin Chromium-Gost dhe shkruani në shiritin e adresave:

chrome://extensions/

Ne aktivizojmë të dy shtesat e instaluara:

• Shtesa CryptoPro për Plug-in e shfletuesit CAdES
• Zgjerim për shtojcën e Shërbimeve Shtetërore

screenshot

5.5. Konfigurimi i shtesës shtesë të shfletuesit CryptoPro EDS

Në shiritin e adresave Chromium-Gost ne shkruajmë:

/etc/opt/cprocsp/trusted_sites.html

Në faqen që shfaqet, shtoni faqet e mëposhtme në listën e sajteve të besuara një nga një:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klikoni "Ruaj". Duhet të shfaqet një pikë e gjelbër:

Lista e nyjeve të besuara është ruajtur me sukses.

screenshot

6. Kontrollo që gjithçka funksionon

6.1. Shkoni te faqja e provës CryptoPro

Në shiritin e adresave Chromium-Gost ne shkruajmë:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Duhet të shfaqet "Plugin loaded" dhe certifikata juaj duhet të jetë e pranishme në listën e mëposhtme.
Zgjidhni një certifikatë nga lista dhe klikoni "Sign". Do t'ju kërkohet PIN-i i certifikatës. Si rezultat, duhet të shfaqet

Nënshkrimi u krijua me sukses

screenshot

6.2. Shkoni në llogarinë tuaj personale në nalog.ru

Ju mund të mos jeni në gjendje të përdorni lidhjet nga faqja nalog.ru, sepse... kontrollet nuk do të kalojnë. Ju duhet të kaloni përmes lidhjeve të drejtpërdrejta:

• Llogaria personale SP: https://lkipgost.nalog.ru/lk
• Llogaria personale ЮЛ: https://lkul.nalog.ru

screenshot

6.3. Shkoni te Shërbimet Shtetërore

Kur regjistroheni, zgjidhni "Identifikohu duke përdorur një nënshkrim elektronik". Në listën "Zgjidh certifikatën e çelësit të verifikimit të nënshkrimit elektronik" që shfaqet, do të shfaqen të gjitha certifikatat, duke përfshirë root dhe CA; duhet të zgjidhni tuajën nga një kod USB dhe të futni PIN-in.

screenshot

7. Çfarë duhet të bëni nëse ndalon së punuari

1. Ne e lidhim përsëri tokenin usb dhe kontrollojmë nëse është i dukshëm duke përdorur komandën në terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Ne pastrojmë cache-in e shfletuesit gjatë gjithë kohës, për të cilin shkruajmë në shiritin e adresave Chromium-Gost:

   
chrome://settings/clearBrowserData


3. Riinstaloni certifikatën CEP duke përdorur komandën në terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Ndryshimi i kodit PIN të kontejnerit

Kodi PIN i personalizuar për Rutoken si parazgjedhje 12345678, dhe nuk ka si ta lëmë kështu. Kërkesat për kodin PIN Rutoken: maksimumi 16 karaktere, mund të përmbajë shkronja dhe numra latinë.

1. Gjeni emrin e kontejnerit të KEP

Mund të ketë disa certifikata të ruajtura në kodin USB dhe në depo të tjera, dhe ju duhet të zgjidhni atë të duhurin. Me futjen e tokenit usb, marrim një listë të të gjithë kontejnerëve në sistem me komandën në terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Komanda duhet të tërheqë të paktën 1 kontejner dhe të kthehet

[Kodi i gabimit: 0x00000000]

Kontejneri që na nevojitet duket si

.Aktiv Rutoken liteXXXXXXXXX

Nëse shfaqen disa kontejnerë të tillë, do të thotë se ka disa certifikata të shkruara në token dhe ju e dini se cila ju nevojitet. Kuptimi XXXXXXXXXX pas prerjes, duhet të kopjoni dhe ngjitni në komandën e mëposhtme.

2. Ndryshoni kodin PIN duke përdorur një komandë nga terminali

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

ku XXXXXXXXXX – emri i kontejnerit të marrë në hapin 1 (domosdoshmërisht në thonjëza).

Do të shfaqet një dialog CryptoPro që kërkon kodin e vjetër PIN për të hyrë në certifikatë, më pas një dialog tjetër për të futur kodin e ri PIN. Gati.

screenshot

Nënshkrimi i skedarëve në macOS

Në macOS, skedarët mund të regjistrohen në softuer CryptoArm (kostoja e licencës 2500 = fshij.), ose një komandë e thjeshtë përmes terminalit - falas.

1. Gjeni hash-in e certifikatës CEP

Mund të ketë certifikata të shumta në një shenjë dhe në dyqane të tjera. Duhet të identifikojmë qartë atë me të cilin do të nënshkruajmë dokumentet tani e tutje. Bërë një herë.
Shenja duhet të futet. Ne marrim një listë të certifikatave në depo me komandën nga terminali:

/opt/cprocsp/bin/certmgr -list

Komanda duhet të nxjerrë të paktën 1 certifikatë të formularit:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program për menaxhimin e certifikatave, CRL-ve dhe dyqaneve
= = = = = = = = = = = = = = = = = = = =
1 ---
Lëshuesi: [email mbrojtur],... CN=LLC KORUS Consulting CIS...
Subject: [email mbrojtur],... CN=Zaharov Sergej Anatolyeviç...
Seriali: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Kontejneri: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = = =
[Kodi i gabimit: 0x00000000]

Certifikata që na nevojitet në parametrin Container duhet të ketë një vlerë të ngjashme SCARDrutoken…. Nëse ka disa certifikata me vlera të tilla, atëherë ka disa certifikata të regjistruara në token dhe ju e dini se cila ju nevojitet. Vlera e parametrit SHA1 Hash (40 karaktere) duhet të kopjohen dhe ngjiten në komandën e mëposhtme.

2. Nënshkrimi i një skedari me një komandë nga terminali

Në terminal, shkoni te drejtoria me skedarin për të nënshkruar dhe ekzekutoni komandën:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

ku XXXX… – hash certifikata e marrë në hapin 1, dhe Foto – emri i skedarit për të nënshkruar (me të gjitha shtesat, por pa shteg).

Komanda duhet të kthehet:

Mesazhi i nënshkruar është krijuar.
[Kodi i gabimit: 0x00000000]

Do të krijohet një skedar nënshkrimi elektronik me shtesën *.sgn - ky është një nënshkrim i shkëputur në formatin CMS me kodim DER.

3. Instaloni Apple Automator Script

Për të shmangur nevojën për të punuar me terminalin çdo herë, mund të instaloni Automator Script një herë, me të cilin mund të nënshkruani dokumente nga menyja e kontekstit Finder. Për ta bërë këtë, shkarkoni arkivin - shkarko.

1. Shpaketimi i arkivit 'Regjistrohu me CryptoPro.zip'
2. Nisja Automator
3. Gjeni dhe hapni skedarin e papaketuar 'Regjistrohu me CryptoPro.workflow'
4. Në bllok Drejtoni Skenarin Shell ndryshoni tekstin XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX te vlera e parametrit SHA1 Hash Certifikata CEP e marrë më sipër.
5. Ruani skriptin: ⌘Command + S
6. Ekzekutoni skedarin 'Regjistrohu me CryptoPro.workflow' dhe konfirmoni instalimin.
7. Le të shkojmë te Sistemi Preferencat -> Zgjerimet -> Gjetësi dhe kontrollojeni atë Nënshkruani me CryptoPro vërehet veprim i shpejtë.
8. Në Finder, thirrni menunë e kontekstit të çdo skedari dhe në seksion Veprime të shpejta dhe / ose Sherbimet zgjidhni artikullin Nënshkruani me CryptoPro
9. Në dialogun CryptoPro që shfaqet, futni kodin PIN të përdoruesit nga CEP
10. Një skedar me shtesën *.sgn do të shfaqet në drejtorinë aktuale - një nënshkrim i shkëputur në formatin CMS me kodim DER.

Fotografitë

Dritarja e Apple Automator:

Preferencat e sistemit:

Menyja e kontekstit të gjetësit:

Kontrolloni nënshkrimin në dokument

Nëse përmbajtja e dokumentit nuk përmban sekrete dhe sekrete, atëherë mënyra më e lehtë është të përdorni shërbimin në internet në portalin e Shërbimeve Shtetërore - https://www.gosuslugi.ru/pgu/eds. Në këtë mënyrë mund të bëni një pamje nga një burim me reputacion dhe të jeni të sigurt që gjithçka është në rregull me nënshkrimin.

Fotografitë

Burimi: www.habr.com