Квалификовани електронски потпис за мацОС

Према РБЦ и Тензор, у 2019. години, у Русији ће бити издато 4,6 милиона сертификата квалификованих електронских потписа (ЦЕС), који испуњавају захтеве 63-ФЗ. Испоставило се да од 8 милиона регистрованих индивидуалних предузетника и ДОО сваки други предузетник користи електронски потпис. Поред ЕГАИС ЦЕП-ова и ЦЕП-ова заснованих на облаку за извештавање које издају банке и рачуноводствене службе, универзални ЦЕП-ови за безбедне токене су од посебног интереса. Такви сертификати вам омогућавају да се пријавите на владине портале и потпишете све документе, што их чини правно значајним.

Захваљујући ЦЕП сертификату на УСБ токену, можете даљински закључити уговор са другом страном или удаљеним запосленим и послати документе суду; региструјте онлајн касу, измирите пореске дугове и поднесите декларацију на свом личном налогу на налог.ру; сазнајте о дуговима и предстојећим инспекцијама у државним службама.

Приручник у наставку ће вам помоћи рад са ЦЕП-ом под мацОС-ом – без проучавања ЦриптоПро форума и инсталирања виртуелне машине са Виндовс-ом.

Садржина

Шта вам је потребно за рад са ЦЕП-ом под мацОС-ом:

Инсталирање и конфигурисање ЦЕП-а за мацОС

1. Инсталирање ЦриптоПро ЦСП-а
2. Инсталирање рутокен драјвера
3. Инсталирање сертификата
   3.1. Бришемо све старе ГОСТ сертификате
   3.2. Инсталирање роот сертификата
   3.3. Преузмите сертификате ауторитета за сертификацију
   3.4. Инсталирање сертификата са Рутокеном
4. Инсталирајте посебан прегледач Цхромиум-ГОСТ
5. Инсталирање проширења претраживача
   5.1 Додатак за ЦриптоПро ЕДС претраживач
   5.2. Додатак за јавне услуге
   5.3. Подешавање додатка за државне службе
   5.4. Активирање екстензија
   5.5. Подешавање додатка за ЦриптоПро ЕДС претраживач
6. Провера да ли све ради
   6.1. Идите на страницу за тестирање ЦриптоПро
   6.2. Идите на свој лични налог на налог.ру
   6.3. Идите на државне службе
7. Шта учинити ако престане да ради

Промена ПИН кода контејнера

1. Сазнавање назива КЕП контејнера
2. Промена ПИН-а командом са терминала

Потписивање датотека на мацОС-у

1. Сазнавање хеша ЦЕП сертификата
2. Потписивање датотеке командом са терминала
3. Инсталирање Аппле Аутоматор Сцрипт-а

Проверите потпис на документу

Све информације у наставку су добијене из реномираних извора (ЦриптоПро #1 и #2, Рутокен, Цорус-Цонсултинг, Уралски федерални округ Министарства телекомуникација и масовних комуникација), и предлаже се преузимање софтвера са поузданих локација. Аутор је независни консултант и није повезан ни са једном од поменутих компанија. Пратећи ова упутства, преузимате пуну одговорност за све радње и последице.

Шта вам је потребно за рад са ЦЕП-ом под мацОС-ом:

1. ЦЕП на УСБ токену Рутокен Лите или Рутокен ЕДС
2. крипто контејнер у ЦриптоПро формату
3. sa ugrađenim лиценца за ЦриптоПро ЦСП

еТокен и ЈаЦарта медији у комбинацији са ЦриптоПро нису подржани под мацОС-ом. Медијум Рутокен Лите је најбољи избор, кошта 500..1000= рубаља, ради брзо и омогућава вам да ускладиштите до 15 кључева.

Крипто провајдери ВипНет, Сигнал-ЦОМ и ЛИССИ нису подржани на мацОС-у. Не постоји начин за претварање контејнера. ЦриптоПро је најбољи избор, цена сертификата би требало да буде око 1300 = руб. за индивидуалне предузетнике и 1600 = руб. за ИУЛ.

Типично, годишња лиценца за ЦриптоПро ЦСП је већ укључена у сертификат и бесплатно је дају многи ЦА. Ако то није случај, онда морате да купите и активирате трајну лиценцу за ЦриптоПро ЦСП стриктно верзију 4 која кошта 2700=. ЦриптоПро ЦСП верзија 5 за мацОС тренутно не ради.

Инсталирање и конфигурисање ЦЕП-а за мацОС

Очигледне ствари

• све преузете датотеке се преузимају у подразумевани директоријум: ~/Довнлоадс/;
• Не мењамо ништа у свим инсталатерима, све остављамо као подразумевано;
• ако мацОС прикаже упозорење да је софтвер који се покреће од неидентификованог програмера, потребно је да потврдите покретање у системским поставкама: Системске поставке —> Безбедност и приватност —> Свеједно отвори;
• ако мацОС тражи корисничку лозинку и дозволу за контролу рачунара, потребно је да унесете лозинку и сагласите се са свиме.

1. Инсталирајте ЦриптоПро ЦСП

Регистровати на веб страници ЦриптоПро анд цо странице за преузимање преузмите и инсталирајте верзију ЦриптоПро ЦСП КСНУМКС РКСНУМКС за Мац ОС - преузети.

2. Инсталирајте Рутокен драјвере

На веб локацији пише да је ово опционо, али је боље да га инсталирате. Цо странице за преузимање преузмите и инсталирајте на веб локацији Рутокен Модул подршке за привезак за кључеве - преузети.

Затим повежите усб токен, покрените терминал и извршите наредбу:

/opt/cprocsp/bin/csptest -card -enum -v

Одговор би требао бити:

Актив Рутокен…
Картица присутна…
[ЕррорЦоде: 0к00000000]

3. Инсталирајте сертификате

3.1. Бришемо све старе ГОСТ сертификате

Ако сте претходно покушали да покренете ЦЕП под мацОС-ом, онда морате да обришете све претходно инсталиране сертификате. Ове команде у терминалу ће избрисати само ЦриптоПро сертификате и неће утицати на обичне сертификате из Кеицхаин-а на мацОС-у.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Одговор сваке команде треба да садржи:

Нема сертификата који одговара критеријумима

или

Брисање је завршено

3.2. Инсталирање роот сертификата

Роот сертификати су заједнички за све ЦЕП које издаје било које сертификационо тело. Преузми са странице за преузимање Уралски федерални округ Министарства телекомуникација и масовних комуникација:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Инсталирајте са командама у терминалу:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Свака команда треба да врати:

Инсталирање:
...
[ЕррорЦоде: 0к00000000]

3.3. Преузмите сертификате ауторитета за сертификацију

Затим морате да инсталирате сертификате сертификационог тела где сте издали ЦЕП. Обично се основни сертификати сваког ЦА налазе на његовој веб локацији у одељку за преузимање.

Алтернативно, сертификати било ког ЦА се могу преузети са веб страница Уралског федералног округа Министарства телекомуникација и масовних комуникација. Да бисте то урадили, у обрасцу за претрагу морате да пронађете ЦА по имену, идите на страницу са сертификатима и преузмете све глума сертификати – односно они са 'важеће' други датум још није стигао. Преузмите са линка у пољу 'Отисак прста'.

Снимке екрана

На примеру ЦА Цорус-Цонсултинг: потребно је да преузмете 4 сертификата са странице за преузимање:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Преузете ЦА сертификате инсталирамо помоћу команди са терминала:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

где после ~/Преузимања/ Имена преузетих датотека су наведена; они ће бити различити за сваки ЦА.

Свака команда треба да врати:

Инсталирање:
...
[ЕррорЦоде: 0к00000000]

3.4. Инсталирање сертификата са Рутокеном

Команда у терминалу:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда би требало да врати:

У реду.
[ЕррорЦоде: 0к00000000]

4. Инсталирајте посебан претраживач Цхромиум-ГОСТ

Да бисте радили са владиним порталима, биће вам потребна посебна верзија Цхромиум претраживача - Цхромиум-ГОСТ. Изворни код пројекта је отворен, линк на спремиште на ГитХуб-у се даје на ЦриптоПро веб локација. Из искуства, други претраживачи ЦриптоФок и Претраживач Иандек Нису погодни за рад са владиним порталима под мацОС-ом. Вреди узети у обзир да се у неким верзијама Цхромиум-ГОСТ-а лични налог на налог.ру може замрзнути или скроловање може потпуно престати да ради, па се нуди стари доказани градити 71.0.3578.98 - преузети.


Преузмите и распакујте архиву, инсталирајте претраживач тако што ћете је копирати или превући и отпустити у директоријум Апплицатионс. Након инсталације, присилно затворите Цхромиум и још га не отварајте, радите из Сафарија.

killall Chromium-Gost

5. Инсталирајте проширења претраживача

5.1 Додатак за ЦриптоПро ЕДС претраживач

Цо странице за преузимање преузмите и инсталирајте на веб локацији ЦриптоПро ЦриптоПро ЕДС Бровсер плуг-ин верзија 2.0 за кориснике - преузети.

5.2. Додатак за јавне услуге

Цо странице за преузимање преузмите и инсталирајте на порталу државних услуга Додатак за рад са порталом државних услуга (верзија за мацОС) - преузети.

5.3. Подешавање додатка за државне службе

Преузмите исправну конфигурациону датотеку за проширење Стате Сервицес са веб локације ЦриптоПро - преузети.

Извршите команде у терминалу:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Активирање екстензија

Покрените Цхромиум-Гост прегледач и унесите у траку за адресу:

chrome://extensions/

Омогућавамо оба инсталирана проширења:

• ЦриптоПро проширење за ЦАдЕС додатак за прегледач
• Екстензија за додатак за јавне услуге

Сцреенсхот

5.5. Подешавање додатка за ЦриптоПро ЕДС претраживач

У Цхромиум-Гост адресну траку уписујемо:

/etc/opt/cprocsp/trusted_sites.html

На страници која се појави додајте следеће сајтове једну по једну на листу поузданих сајтова:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Кликните на „Сачувај“. Требало би да се појави зелена тачка:

Листа поузданих чворова је успешно сачувана.

Сцреенсхот

6. Проверите да ли све ради

6.1. Идите на страницу за тестирање ЦриптоПро

У Цхромиум-Гост адресну траку уписујемо:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

„Плугин лоадед“ би требало да се прикаже, а ваш сертификат би требало да буде присутан на листи испод.
Изаберите сертификат са листе и кликните на „Потпиши“. Од вас ће се тражити ПИН сертификата. Као резултат, требало би да се прикаже

Потпис је успешно генерисан

Сцреенсхот

6.2. Идите на свој лични налог на налог.ру

Можда нећете моћи да приступите линковима са сајта налог.ру, јер... провере неће проћи. Морате проћи кроз директне везе:

• Приватни канцеларија ПИ: https://lkipgost.nalog.ru/lk
• Приватни канцеларија ЮЛ: https://lkul.nalog.ru

Сцреенсхот

6.3. Идите на државне службе

Када се пријавите, изаберите „Пријавите се помоћу електронског потписа“. На листи „Изаберите сертификат кључа за верификацију електронског потписа“ која се појави, биће приказани сви сертификати, укључујући роот и ЦА; потребно је да изаберете свој са УСБ токена и унесете ПИН.

Сцреенсхот

7. Шта учинити ако престане да ради

1. Поново повезујемо усб токен и проверавамо да ли је видљив помоћу команде у терминалу:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Бришемо кеш прегледача за сва времена, за шта уписујемо у Цхромиум-Гост адресну траку:

   
chrome://settings/clearBrowserData


3. Поново инсталирајте ЦЕП сертификат користећи команду у терминалу:

   /opt/cprocsp/bin/csptestf -absorb -certs

Промена ПИН кода контејнера

Прилагођени ПИН код за Рутокен подразумевано 12345678, и не постоји начин да се остави овако. Захтеви за Рутокен ПИН код: максимално 16 карактера, може да садржи латинична слова и бројеве.

1. Сазнајте назив КЕП контејнера

Можда постоји неколико сертификата ускладиштених на УСБ токену и другим складиштима, а ви морате да изаберете прави. Са уметнутим усб токеном, добијамо листу свих контејнера у систему са командом у терминалу:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда мора да повуче најмање 1 контејнер и врати се

[ЕррорЦоде: 0к00000000]

Контејнер који нам треба изгледа тако

.Актив Рутокен литеКСКСКСКСКСКСКСКС

Ако је приказано неколико таквих контејнера, то значи да на токену постоји неколико сертификата, а ви знате који вам је потребан. Значење КСКСКСКСКСКСКСКС после косе црте треба да копирате и налепите у наредбу испод.

2. Промените ПИН помоћу команде са терминала

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где КСКСКСКСКСКСКСКС – назив контејнера добијеног у кораку 1 (обавезно под наводницима).

Појавиће се дијалог ЦриптоПро у којем се тражи да стари ПИН код приступи сертификату, а затим други дијалог за унос новог ПИН кода. Спреман.

Сцреенсхот

Потписивање датотека на мацОС-у

На мацОС-у, датотеке се могу пријавити софтвером ЦриптоАрм (цена лиценце 2500 = руб.), или једноставна команда преко терминала - бесплатно.

1. Сазнајте хеш ЦЕП сертификата

На токену и у другим продавницама може бити више сертификата. Морамо јасно да идентификујемо са којим ћемо од сада потписивати документе. Урађено једном.
Токен мора бити уметнут. Добијамо листу сертификата у спремиштима командом са терминала:

/opt/cprocsp/bin/certmgr -list

Команда мора да избаци најмање 1 сертификат обрасца:

Цертмгр 1.1 © "Крипто-Про", 2007-2018.
програм за управљање сертификатима, ЦРЛ-овима и продавницама
= = = = = = = = = = = = = = = = = = =
1---
Издавалац: [емаил заштићен],... ЦН=ЛЛЦ КОРУС Цонсултинг ЦИС...
Наслов: [емаил заштићен],... ЦН=Захаров Сергеј Анатољевич...
Серијски: 0к0000000000000000000000000000000000
СХА1 хеш: КСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКС
...
Контејнер: СЦАРДрутокен_лт_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[ЕррорЦоде: 0к00000000]

Сертификат који нам је потребан у параметру Цонтаинер мора имати вредност као СЦАРДрутокен…. Ако постоји неколико сертификата са таквим вредностима, онда постоји неколико сертификата забележених на токену, а ви знате који вам је потребан. Вредност параметра СХА1 Хаш (40 знакова) се мора копирати и налепити у наредбу испод.

2. Потписивање датотеке командом са терминала

У терминалу идите у директоријум са датотеком да потпишете и извршите команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где КСКСКСКС… – хеш сертификата добијен у кораку 1, и СЛИКА – назив датотеке за потписивање (са свим екстензијама, али без путање).

Команда би требало да врати:

Потписана порука је креирана.
[ЕррорЦоде: 0к00000000]

Биће креирана датотека електронског потписа са екстензијом *.сгн - ово је одвојени потпис у ЦМС формату са ДЕР кодирањем.

3. Инсталирајте Аппле Аутоматор Сцрипт

Да бисте избегли да сваки пут морате да радите са терминалом, можете једном да инсталирате Аутоматор Сцрипт, помоћу којег можете да потписујете документе из контекстног менија Финдер-а. Да бисте то урадили, преузмите архиву - преузети.

1. Распакивање архиве 'Потпиши са ЦриптоПро.зип'
2. Лансирање Аутоматор
3. Пронађите и отворите распаковану датотеку 'Потпиши са ЦриптоПро.воркфлов'
4. У блоку Покрените Схелл Сцрипт промените текст КСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКСКС на вредност параметра СХА1 Хаш ЦЕП сертификат добијен горе.
5. Сачувајте скрипту: ⌘Цомманд + С
6. Покрените датотеку 'Потпиши са ЦриптоПро.воркфлов' и потврдите инсталацију.
7. Идемо на Систем Преференцес -> Ектенсионс -> Финдер и провери то Потпишите са ЦриптоПро брза акција забележена.
8. У Финдер-у позовите контекстни мени било које датотеке иу одељку Брзе акције и / или Usluge Одаберите ставку Потпишите са ЦриптоПро
9. У дијалогу ЦриптоПро који се појави, унесите кориснички ПИН код из ЦЕП-а
10. У тренутном директоријуму ће се појавити датотека са екстензијом *.сгн - одвојени потпис у ЦМС формату са ДЕР кодирањем.

Снимке екрана

Прозор Аппле Аутоматора:

Системске поставке:

Контекстни мени Финдер-а:

Проверите потпис на документу

Ако садржај документа не садржи тајне и тајне, онда је најлакши начин да користите веб сервис на порталу државних служби - https://www.gosuslugi.ru/pgu/eds. На овај начин можете направити снимак екрана са реномираних извора и бити сигурни да је све у реду са потписом.

Снимке екрана

Извор: ввв.хабр.цом