Kvalificerad elektronisk signatur för macOS

Enligt RBC и Tensor2019 kommer 4,6 miljoner certifikat för kvalificerade elektroniska signaturer (CES) att utfärdas i Ryssland, vilket uppfyller kraven i 63-FZ. Det visar sig att av 8 miljoner registrerade enskilda entreprenörer och LLC, använder varannan entreprenör en elektronisk signatur. Förutom EGAIS CEP:er och molnbaserade CEP:er för rapportering utfärdade av banker och redovisningstjänster, är universella CEP:er på säkra tokens av särskilt intresse. Sådana certifikat låter dig logga in på statliga portaler och signera alla dokument, vilket gör dem juridiskt viktiga.

Tack vare CEP-certifikatet på en USB-token kan du på distans sluta ett avtal med en motpart eller fjärranställd och skicka dokument till domstolen; registrera ett onlinekassaregister, reglera skatteskulder och skicka in en deklaration på ditt personliga konto på nalog.ru; ta reda på om skulder och kommande inspektioner på Statens tjänster.

Manualen nedan kommer att hjälpa arbeta med CEP under macOS – utan att studera CryptoPro-forumen och installera en virtuell maskin med Windows.

Innehåll

Vad du behöver för att arbeta med CEP under macOS:

Installera och konfigurera CEP för macOS

1. Installerar CryptoPro CSP
2. Installera drivrutiner för Rutoken
3. Installerar certifikat
   3.1. Vi tar bort alla gamla GOST-certifikat
   3.2. Installerar rotcertifikat
   3.3. Ladda ner certifikat från certifieringsmyndigheten
   3.4. Installera ett certifikat med Rutoken
4. Installera en speciell webbläsare Chromium-GOST
5. Installerar webbläsartillägg
   5.1 CryptoPro EDS Browser plug-in
   5.2. Plugin för offentliga tjänster
   5.3. Konfigurera ett plugin för statliga tjänster
   5.4. Aktiverar tillägg
   5.5. Konfigurera plugin-tillägget CryptoPro EDS Browser
6. Kollar att allt fungerar
   6.1. Gå till CryptoPro-testsidan
   6.2. Gå till ditt personliga konto på nalog.ru
   6.3. Gå till statliga tjänster
7. Vad ska man göra om det slutar fungera

Ändra behållarens PIN-kod

1. Ta reda på namnet på KEP-behållaren
2. Ändra PIN-kod med ett kommando från terminalen

Signera filer på macOS

1. Ta reda på hashen för CEP-certifikatet
2. Signera en fil med ett kommando från terminalen
3. Installera Apple Automator Script

Kontrollera signaturen på dokumentet

All information nedan är hämtad från välrenommerade källor (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Ural Federal District av ministeriet för telekom och masskommunikation), och det rekommenderas att ladda ner programvara från betrodda webbplatser. Författaren är en oberoende konsult och är inte knuten till något av de nämnda företagen. Genom att följa dessa instruktioner tar du fullt ansvar för alla åtgärder och konsekvenser.

Vad du behöver för att arbeta med CEP under macOS:

1. CEP på en USB-token Rutoken Lite eller Rutoken EDS
2. kryptobehållare i CryptoPro-format
3. med integrerad licens för CryptoPro CSP

eToken och JaCarta media i kombination med CryptoPro stöds inte under macOS. Rutoken Lite-mediet är det bästa valet, det kostar 500..1000= rubel, det fungerar snabbt och låter dig lagra upp till 15 nycklar.

Kryptoleverantörer VipNet, Signal-COM och LISSY stöds inte på macOS. Det finns inget sätt att konvertera containrar. CryptoPro är det bästa valet, kostnaden för certifikatet bör vara cirka 1300 = gnugga. för enskilda företagare och 1600 = rub. för YUL.

Vanligtvis är en årlig licens för CryptoPro CSP redan inkluderad i certifikatet och tillhandahålls gratis av många certifikatutfärdare. Om så inte är fallet måste du köpa och aktivera en evig licens för CryptoPro CSP strikt version 4 som kostar 2700=. CryptoPro CSP version 5 för macOS fungerar inte för närvarande.

Installera och konfigurera CEP för macOS

Uppenbara saker

• alla nedladdade filer laddas ner till standardkatalogen: ~/Downloads/;
• Vi ändrar ingenting i alla installatörer, vi lämnar allt som standard;
• om macOS visar en varning om att programvaran som startas kommer från en oidentifierad utvecklare, måste du bekräfta lanseringen i systeminställningarna: Systeminställningar —> Säkerhet och sekretess —> Öppna ändå;
• om macOS ber om ett användarlösenord och behörighet att styra datorn måste du ange lösenordet och godkänna allt.

1. Installera CryptoPro CSP

Registrera på webbplatsen CryptoPro och co nedladdningssidor ladda ner och installera versionen CryptoPro CSP 4.0 R4 för MacOS - hämta.

2. Installera Rutoken-drivrutiner

Webbplatsen säger att detta är valfritt, men det är bättre att installera det. Co nedladdningssidor ladda ner och installera på Rutokens webbplats Nyckelring stödmodul - hämta.

Anslut sedan usb-token, starta terminalen och kör kommandot:

/opt/cprocsp/bin/csptest -card -enum -v

Svaret borde vara:

Aktiv Rutoken…
Presentkort...
[Felkod: 0x00000000]

3. Installera certifikat

3.1. Vi tar bort alla gamla GOST-certifikat

Om du tidigare har försökt starta CEP under macOS måste du rensa alla tidigare installerade certifikat. Dessa kommandon i terminalen kommer bara att ta bort CryptoPro-certifikat och kommer inte att påverka vanliga certifikat från Keychain på macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Varje kommandos svar bör innehålla:

Inget certifikat som matchar kriterierna

eller

Raderingen slutförd

3.2. Installerar rotcertifikat

Rotcertifikat är gemensamma för alla CEP:er som utfärdas av en certifieringsmyndighet. Ladda ner från nedladdningssidor Ural Federal District av ministeriet för telekom och masskommunikation:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Installera med kommandon i terminalen:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Varje kommando bör returnera:

Installation:
.
[Felkod: 0x00000000]

3.3. Ladda ner certifikat från certifieringsmyndigheten

Därefter måste du installera certifikaten från certifieringsmyndigheten där du utfärdade CEP. Vanligtvis finns rotcertifikaten för varje CA på dess webbplats i nedladdningssektionen.

Alternativt kan certifikat för vilken CA som helst laddas ner från webbplats för Ural Federal District av ministeriet för telekom och masskommunikation. För att göra detta måste du i sökformuläret hitta en CA med namn, gå till sidan med certifikat och ladda ner allt nuvarande certifikat – det vill säga de med 'Giltig' det andra datumet har ännu inte kommit. Ladda ner från länken i fältet 'Fingeravtryck'.

Skärmdumpar

Med exemplet med CA Corus-Consulting: du måste ladda ner 4 certifikat från nedladdningssidor:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Vi installerar de nedladdade CA-certifikaten med kommandon från terminalen:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

vart efter ~/Nedladdningar/ Namnen på de nedladdade filerna är listade, de kommer att vara olika för varje CA.

Varje kommando bör returnera:

Installation:
.
[Felkod: 0x00000000]

3.4. Installera ett certifikat med Rutoken

Kommando i terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Kommandot bör returnera:

OK.
[Felkod: 0x00000000]

4. Installera en speciell webbläsare Chromium-GOST

För att arbeta med statliga portaler behöver du en speciell version av Chromium-webbläsaren - Chromium-GOST. Källkoden för projektet är öppen, länk till repository på GitHub ges på CryptoPro webbplats. Av erfarenhet, andra webbläsare CryptoFox и Yandex webbläsare De är inte lämpliga för att arbeta med statliga portaler under macOS. Det är värt att tänka på att i vissa versioner av Chromium-GOST kan det personliga kontot på nalog.ru frysa eller rullningen kan sluta fungera helt, så det gamla beprövade erbjuds bygg 71.0.3578.98 - hämta.


Ladda ner och packa upp arkivet, installera webbläsaren genom att kopiera eller dra och släppa det till programkatalogen. Efter installationen tvingar du stänga Chromium och öppna det inte ännu, arbeta från Safari.

killall Chromium-Gost

5. Installera webbläsartillägg

5.1 CryptoPro EDS Browser plug-in

med nedladdningssidor ladda ner och installera på CryptoPro-webbplatsen CryptoPro EDS Browser plug-in version 2.0 för användare - hämta.

5.2. Plugin för offentliga tjänster

med nedladdningssidor ladda ner och installera på portalen för statliga tjänster Plugin för att arbeta med portalen för statliga tjänster (version för macOS) - hämta.

5.3. Konfigurera ett plugin för statliga tjänster

Ladda ner den korrekta konfigurationsfilen för State Services-tillägget från CryptoPro-webbplatsen - hämta.

Utför kommandon i terminalen:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Aktiverar tillägg

Starta webbläsaren Chromium-Gost och skriv i adressfältet:

chrome://extensions/

Vi aktiverar båda installerade tilläggen:

• CryptoPro Extension for CAdES Browser Plug-in
• Tillägg för plugin-programmet State Services

skärmdump

5.5. Konfigurera plugin-tillägget CryptoPro EDS Browser

I Chromium-Gost adressfältet skriver vi:

/etc/opt/cprocsp/trusted_sites.html

På sidan som visas lägger du till följande webbplatser i listan över betrodda webbplatser en efter en:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Klicka på "Spara". En grön prick ska visas:

Listan över betrodda noder har sparats.

skärmdump

6. Kontrollera att allt fungerar

6.1. Gå till CryptoPro-testsidan

I Chromium-Gost adressfältet skriver vi:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Plugin laddad" ska visas och ditt certifikat ska finnas i listan nedan.
Välj ett certifikat från listan och klicka på "Signera". Du kommer att bli ombedd att ange certifikatets PIN-kod. Som ett resultat bör det visas

Signaturen har skapats framgångsrikt

skärmdump

6.2. Gå till ditt personliga konto på nalog.ru

Du kanske inte kan komma åt länkar från sajten nalog.ru, eftersom... kontroller kommer inte att passera. Du måste gå via direktlänkar:

• Privat kontor SP: https://lkipgost.nalog.ru/lk
• Privat kontor Juridisk enhet: https://lkul.nalog.ru

skärmdump

6.3. Gå till statliga tjänster

När du loggar in väljer du "Logga in med en elektronisk signatur." I listan "Välj certifikat för verifieringsnyckel för elektronisk signatur" som visas kommer alla certifikat, inklusive root och CA, att visas; du måste välja ditt från en USB-token och ange PIN-koden.

skärmdump

7. Vad ska man göra om det slutar fungera

1. Vi återansluter usb-token och kontrollerar att den är synlig med kommandot i terminalen:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Vi rensar webbläsarens cache för alltid, för vilket vi skriver i Chromium-Gost adressfältet:

   
chrome://settings/clearBrowserData


3. Installera om CEP-certifikatet med kommandot i terminalen:

   /opt/cprocsp/bin/csptestf -absorb -certs

Ändra behållarens PIN-kod

Anpassad PIN-kod för Rutoken som standard 12345678, och det finns inget sätt att lämna det så här. Krav på Rutoken PIN-kod: max 16 tecken, kan innehålla latinska bokstäver och siffror.

1. Ta reda på namnet på KEP-behållaren

Det kan finnas flera certifikat lagrade på USB-token och andra lagringar, och du måste välja rätt. Med usb-token insatt får vi en lista över alla behållare i systemet med kommandot i terminalen:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Kommandot måste dra ut minst 1 behållare och returnera

[Felkod: 0x00000000]

Containern vi behöver ser ut

.Aktiv Rutoken liteXXXXXXXXX

Om flera sådana behållare visas betyder det att det finns flera certifikat skrivna på token, och du vet vilket du behöver. Menande XXXXXXXX efter snedstrecket måste du kopiera och klistra in i kommandot nedan.

2. Ändra PIN-kod med ett kommando från terminalen

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

där XXXXXXXX – Namnet på behållaren som erhölls i steg 1 (nödvändigtvis inom citattecken).

En CryptoPro-dialogruta kommer att visas som ber om den gamla PIN-koden för att komma åt certifikatet, sedan en annan dialogruta för att ange den nya PIN-koden. Redo.

skärmdump

Signera filer på macOS

På macOS kan filer loggas in i programvaran CryptoArm (licenskostnad 2500 = gnugga.), eller ett enkelt kommando via terminalen - gratis.

1. Ta reda på hashen för CEP-certifikatet

Det kan finnas flera certifikat på en token och i andra butiker. Vi måste tydligt identifiera den med vilken vi kommer att underteckna dokument från och med nu. Gjort en gång.
Token måste sättas in. Vi får en lista över certifikat i arkiven med kommandot från terminalen:

/opt/cprocsp/bin/certmgr -list

Kommandot måste mata ut minst ett certifikat av formuläret:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program för att hantera certifikat, CRL:er och butiker
= = = = = = = = = = = = = = = = = = = = =
1---
Utgivare: [e-postskyddad],... CN=LLC KORUS Consulting CIS...
Ämne: [e-postskyddad],... CN=Zakharov Sergey Anatolyevich...
Serienummer: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
.
Behållare: SCARDrutoken_lt_00000000 000 000
.
= = = = = = = = = = = = = = = = = = = = =
[Felkod: 0x00000000]

Certifikatet vi behöver i parametern Container måste ha ett värde som SCARDrutoken.... Om det finns flera certifikat med sådana värden, så finns det flera certifikat registrerade på token, och du vet vilket du behöver. Parametervärde SHA1 Hash (40 tecken) måste kopieras och klistras in i kommandot nedan.

2. Signera en fil med ett kommando från terminalen

I terminalen, gå till katalogen med filen för att signera och kör kommandot:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

där XXXX... – certifikathash erhållen i steg 1, och FIL – filnamn att signera (med alla tillägg, men utan sökväg).

Kommandot bör returnera:

Signerat meddelande skapas.
[Felkod: 0x00000000]

En elektronisk signaturfil kommer att skapas med tillägget *.sgn - detta är en fristående signatur i CMS-format med DER-kodning.

3. Installera Apple Automator Script

För att slippa arbeta med terminalen varje gång kan du installera Automator Script en gång, med vilket du kan signera dokument från Finders snabbmeny. För att göra detta, ladda ner arkivet - hämta.

1. Packar upp arkivet "Signa med CryptoPro.zip"
2. Vi lanserar Automator
3. Hitta och öppna den uppackade filen "Signa med CryptoPro.workflow"
4. I kvarteret Kör Shell Script ändra texten XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX till parametervärdet SHA1 Hash CEP-certifikat erhållet ovan.
5. Spara skriptet: ⌘Command + S
6. Kör filen "Signa med CryptoPro.workflow" och bekräfta installationen.
7. Låt oss gå till System Inställningar -> Tillägg -> Finder och kolla det Signera med CryptoPro snabb åtgärd noterad.
8. I Finder, anropa sammanhangsmenyn för valfri fil och i avsnittet Snabba åtgärder och / eller Tjänster Välj föremål Signera med CryptoPro
9. I dialogrutan CryptoPro som visas anger du användarens PIN-kod från CEP
10. En fil med tillägget *.sgn kommer att dyka upp i den aktuella katalogen - en frikopplad signatur i CMS-format med DER-kodning.

Skärmdumpar

Apple Automator-fönster:

Systeminställningar:

Finder snabbmeny:

Kontrollera signaturen på dokumentet

Om innehållet i dokumentet inte innehåller hemligheter och hemligheter, är det enklaste sättet att använda webbtjänsten på portalen för statliga tjänster - https://www.gosuslugi.ru/pgu/eds. På så sätt kan du ta en skärmdump från en ansedd resurs och vara säker på att allt är ok med signaturen.

Skärmdumpar

Källa: will.com