Ayon sa и , sa 2019, 4,6 milyong sertipiko ng mga kwalipikadong electronic signature (CES) ang ibibigay sa Russia, na nakakatugon sa mga kinakailangan ng 63-FZ. Lumalabas na sa 8 milyong rehistradong indibidwal na negosyante at LLC, bawat pangalawang negosyante ay gumagamit ng electronic signature. Bilang karagdagan sa mga EGAIS CEP at cloud-based na CEP para sa pag-uulat na ibinigay ng mga bangko at serbisyo ng accounting, partikular na interes ang mga unibersal na CEP sa mga secure na token. Ang mga naturang sertipiko ay nagbibigay-daan sa iyo na mag-log in sa mga portal ng gobyerno at pumirma sa anumang mga dokumento, na ginagawang legal ang mga ito.
Salamat sa sertipiko ng CEP sa isang USB token, maaari kang malayuang magtapos ng isang kasunduan sa isang katapat o malayong empleyado, at magpadala ng mga dokumento sa korte; magparehistro ng online na cash register, bayaran ang mga utang sa buwis at magsumite ng deklarasyon sa iyong personal na account sa nalog.ru; alamin ang tungkol sa mga utang at paparating na inspeksyon sa Mga Serbisyo ng Estado.
Makakatulong ang manual sa ibaba gumana sa CEP sa ilalim ng macOS – nang hindi pinag-aaralan ang mga forum ng CryptoPro at nag-i-install ng virtual machine na may Windows.
nilalaman
Ano ang kailangan mong magtrabaho sa CEP sa ilalim ng macOS:
Pag-install at pag-configure ng CEP para sa macOS
- Pag-install ng CryptoPro CSP
- Pag-install ng mga driver ng Rutoken
- Pag-install ng mga sertipiko
3.1. Tinatanggal namin ang lahat ng mga lumang sertipiko ng GOST
3.2. Pag-install ng mga root certificate
3.3. Mag-download ng mga sertipiko ng awtoridad sa sertipikasyon
3.4. Pag-install ng certificate gamit ang Rutoken - Mag-install ng espesyal na browser na Chromium-GOST
- Pag-install ng mga extension ng browser
5.1 CryptoPro EDS Browser plug-in
5.2. Plugin para sa Mga Serbisyong Pampubliko
5.3. Pag-set up ng isang plugin para sa Mga Serbisyo ng Estado
5.4. Pag-activate ng mga extension
5.5. Pagse-set up ng extension ng plug-in ng CryptoPro EDS Browser - Sinusuri kung gumagana ang lahat
6.1. Pumunta sa pahina ng pagsubok ng CryptoPro
6.2. Pumunta sa iyong Personal na Account sa nalog.ru
6.3. Pumunta sa Mga Serbisyo ng Estado - Ano ang gagawin kung ito ay tumigil sa paggana
Pagbabago ng PIN code ng container
- Pag-alam sa pangalan ng lalagyan ng KEP
- Pagbabago ng PIN gamit ang isang command mula sa terminal
Pag-sign ng mga file sa macOS
- Pag-alam sa hash ng sertipiko ng CEP
- Pag-sign ng isang file gamit ang isang command mula sa terminal
- Pag-install ng Apple Automator Script
Suriin ang pirma sa dokumento
Ang lahat ng impormasyon sa ibaba ay nakuha mula sa mga mapagkakatiwalaang mapagkukunan (CryptoPro и , , , ), at iminumungkahi na mag-download ng software mula sa mga pinagkakatiwalaang site. Ang may-akda ay isang independiyenteng consultant at hindi kaakibat sa alinman sa mga kumpanyang nabanggit. Sa pamamagitan ng pagsunod sa mga tagubiling ito, inaako mo ang buong responsibilidad para sa anumang mga aksyon at kahihinatnan.
Ano ang kailangan mong magtrabaho sa CEP sa ilalim ng macOS:
- CEP sa isang USB token na Rutoken Lite o Rutoken EDS
- lalagyan ng crypto sa CryptoPro format
- na may built-in lisensya para sa CryptoPro CSP
Ang eToken at JaCarta media kasabay ng CryptoPro ay hindi suportado sa ilalim ng macOS. Ang Rutoken Lite media ay ang pinakamahusay na pagpipilian, nagkakahalaga ito ng 500..1000= rubles, mabilis itong gumagana at nagbibigay-daan sa iyo na mag-imbak ng hanggang 15 na mga susi.
Ang mga Crypto provider na VipNet, Signal-COM at LISSY ay hindi suportado sa macOS. Walang paraan upang mag-convert ng mga lalagyan. Ang CryptoPro ay ang pinakamahusay na pagpipilian, ang halaga ng sertipiko ay dapat na tungkol sa 1300 = kuskusin. para sa mga indibidwal na negosyante at 1600 = kuskusin. para kay YUL.
Karaniwan, ang taunang lisensya para sa CryptoPro CSP ay kasama na sa sertipiko at ibinibigay nang walang bayad ng maraming CA. Kung hindi ito ang kaso, kailangan mong bumili at mag-activate ng walang hanggang lisensya para sa CryptoPro CSP na mahigpit na bersyon 4 na nagkakahalaga ng 2700=. Ang bersyon 5 ng CryptoPro CSP para sa macOS ay kasalukuyang hindi gumagana.
Pag-install at pag-configure ng CEP para sa macOS
Mga bagay na halata
- lahat ng na-download na file ay dina-download sa default na direktoryo: ~/Downloads/;
- Hindi namin binabago ang anumang bagay sa lahat ng mga installer, iniiwan namin ang lahat bilang default;
- kung ang macOS ay nagpapakita ng babala na ang software na inilulunsad ay mula sa isang hindi kilalang developer, kailangan mong kumpirmahin ang paglulunsad sa mga setting ng system: Mga Kagustuhan sa System —> Seguridad at Privacy —> Buksan Pa Rin;
- kung ang macOS ay humingi ng password ng user at pahintulot na kontrolin ang computer, kailangan mong ipasok ang password at sumang-ayon sa lahat.
1. I-install ang CryptoPro CSP
sa website CryptoPro and co i-download at i-install ang bersyon CryptoPro CSP 4.0 R4 para sa MacOS - .
2. I-install ang mga driver ng Rutoken
Sinasabi ng website na ito ay opsyonal, ngunit mas mahusay na i-install ito. Co i-download at i-install sa Rutoken website Module ng suporta sa keychain - .
Susunod, ikonekta ang usb token, ilunsad ang terminal at isagawa ang command:
/opt/cprocsp/bin/csptest -card -enum -vAng sagot ay dapat na:
Aktiv Rutoken…
May card…
[ErrorCode: 0x00000000]
3. Mag-install ng mga sertipiko
3.1. Tinatanggal namin ang lahat ng mga lumang sertipiko ng GOST
Kung dati mong sinubukang ilunsad ang CEP sa ilalim ng macOS, kailangan mong i-clear ang lahat ng dati nang naka-install na certificate. Ang mga command na ito sa terminal ay magtatanggal lamang ng mga CryptoPro certificate at hindi makakaapekto sa mga regular na certificate mula sa Keychain sa macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mrootsudo /opt/cprocsp/bin/certmgr -delete -all -store uroot/opt/cprocsp/bin/certmgr -delete -allAng bawat tugon ng command ay dapat kasama ang:
Walang sertipiko na tumutugma sa pamantayan
o
Kumpleto ang pagtanggal
3.2. Pag-install ng mga root certificate
Ang mga root certificate ay karaniwan sa lahat ng CEP na inisyu ng anumang awtoridad sa sertipikasyon. I-download mula sa Ural Federal District ng Ministry of Telecom at Mass Communications:
I-install gamit ang mga command sa terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cerAng bawat utos ay dapat bumalik:
Pag-install:
...
[ErrorCode: 0x00000000]
3.3. Mag-download ng mga sertipiko ng awtoridad sa sertipikasyon
Susunod, kailangan mong i-install ang mga sertipiko ng awtoridad sa sertipikasyon kung saan ka naglabas ng CEP. Karaniwan, ang mga root certificate ng bawat CA ay matatagpuan sa website nito sa seksyon ng mga pag-download.
Bilang kahalili, ang mga sertipiko ng anumang CA ay maaaring i-download mula sa . Upang gawin ito, kailangan mong maghanap ng isang CA sa pamamagitan ng pangalan sa form ng paghahanap, pumunta sa pahina na may mga sertipiko at i-download ang lahat kasalukuyang mga sertipiko - iyon ay, ang mga may 'May bisa' hindi pa dumarating ang pangalawang petsa. I-download mula sa link sa field 'Fingerprint'.
Screenshot
Gamit ang halimbawa ng CA Corus-Consulting: kailangan mong mag-download ng 4 na certificate mula sa :
Ini-install namin ang na-download na mga sertipiko ng CA gamit ang mga utos mula sa terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cersaan pagkatapos ~/Mga Download/ Nakalista ang mga pangalan ng mga na-download na file; magkakaiba ang mga ito para sa bawat CA.
Ang bawat utos ay dapat bumalik:
Pag-install:
...
[ErrorCode: 0x00000000]
3.4. Pag-install ng certificate gamit ang Rutoken
Command sa terminal:
/opt/cprocsp/bin/csptestf -absorb -certsAng utos ay dapat bumalik:
OK.
[ErrorCode: 0x00000000]
4. Mag-install ng espesyal na browser na Chromium-GOST
Upang magtrabaho sa mga portal ng gobyerno, kakailanganin mo ng isang espesyal na build ng chromium browser - Chromium-GOST. Ang source code ng proyekto ay bukas, link sa ay ibinigay sa . Mula sa karanasan, iba pang mga browser CryptoFox и Yandex browser Hindi angkop ang mga ito para sa pagtatrabaho sa mga portal ng gobyerno sa ilalim ng macOS. Ito ay nagkakahalaga ng pagsasaalang-alang na sa ilang mga build ng Chromium-GOST, ang personal na account sa nalog.ru ay maaaring mag-freeze o ang pag-scroll ay maaaring tumigil sa paggana, kaya ang lumang napatunayan ay iniaalok bumuo ng 71.0.3578.98 - .
I-download at i-unpack ang archive, i-install ang browser sa pamamagitan ng pagkopya o pag-drag at pag-drop nito sa direktoryo ng Mga Application. Pagkatapos ng pag-install, Piliting isara ang Chromium at huwag mo itong buksan, gumana mula sa Safari.
killall Chromium-Gost5. Mag-install ng mga extension ng browser
5.1 CryptoPro EDS Browser plug-in
Sa i-download at i-install sa website ng CryptoPro CryptoPro EDS Browser plug-in na bersyon 2.0 para sa mga user - .
5.2. Plugin para sa Mga Serbisyong Pampubliko
Sa i-download at i-install sa portal ng Mga Serbisyo ng Estado Plugin para sa pagtatrabaho sa portal ng mga serbisyo ng gobyerno (bersyon para sa macOS) - .
5.3. Pag-set up ng isang plugin para sa Mga Serbisyo ng Estado
I-download ang tamang configuration file para sa extension ng State Services mula sa website ng CryptoPro - .
Magsagawa ng mga utos sa terminal:
sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfgsudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts5.4. Pag-activate ng mga extension
Ilunsad ang Chromium-Gost browser at i-type ang address bar:
chrome://extensions/Pinagana namin ang parehong naka-install na extension:
- CryptoPro Extension para sa CAdES Browser Plug-in
- Extension para sa plugin ng Public Services
Screenshot
5.5. Pagse-set up ng extension ng plug-in ng CryptoPro EDS Browser
Sa address bar ng Chromium-Gost nagta-type kami:
/etc/opt/cprocsp/trusted_sites.htmlSa lalabas na pahina, idagdag ang mga sumusunod na site sa listahan ng mga pinagkakatiwalaang site nang paisa-isa:
https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ruI-click ang “I-save”. Dapat lumitaw ang isang berdeng tuldok:
Ang listahan ng mga pinagkakatiwalaang node ay matagumpay na nai-save.
Screenshot
6. Suriin kung gumagana ang lahat
6.1. Pumunta sa pahina ng pagsubok ng CryptoPro
Sa address bar ng Chromium-Gost nagta-type kami:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.htmlDapat ipakita ang "na-load na plugin," at dapat na nasa listahan sa ibaba ang iyong certificate.
Pumili ng isang sertipiko mula sa listahan at i-click ang "Mag-sign". Hihilingin sa iyo ang certificate PIN. Bilang resulta, dapat itong ipakita
Matagumpay na nabuo ang lagda
Screenshot
6.2. Pumunta sa iyong Personal na Account sa nalog.ru
Maaaring hindi mo ma-access ang mga link mula sa site nalog.ru, dahil... hindi papasa ang mga tseke. Kailangan mong dumaan sa mga direktang link:
- Pribadong opisina PI:
- Pribadong opisina ЮЛ:
Screenshot
6.3. Pumunta sa Mga Serbisyo ng Estado
Kapag nag-log in, piliin ang "Mag-log in gamit ang isang electronic signature." Sa lalabas na listahang “Pumili ng electronic signature verification key certificate,” ang lahat ng certificate, kabilang ang root at CA, ay ipapakita; kailangan mong piliin ang sa iyo mula sa isang USB token at ilagay ang PIN.
Screenshot
7. Ano ang gagawin kung ito ay tumigil sa paggana
-
Ikinonekta namin muli ang usb token at tingnan kung nakikita ito gamit ang command sa terminal:
sudo /opt/cprocsp/bin/csptest -card -enum -v -
Kino-clear namin ang cache ng browser sa lahat ng oras, kung saan nagta-type kami sa address bar ng Chromium-Gost:
chrome://settings/clearBrowserData -
I-install muli ang certificate ng CEP gamit ang command sa terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Pagbabago ng PIN code ng container
Custom na PIN code para sa Rutoken bilang default 12345678, at walang paraan upang iwanan ito nang ganito. Mga kinakailangan para sa Rutoken PIN code: 16 character max., maaaring maglaman ng mga Latin na titik at numero.
1. Alamin ang pangalan ng lalagyan ng KEP
Maaaring may ilang certificate na nakaimbak sa USB token at iba pang storage, at kailangan mong piliin ang tama. Sa pagpasok ng usb token, nakakakuha kami ng listahan ng lahat ng container sa system na may command sa terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontextAng command ay dapat mag-withdraw ng hindi bababa sa 1 container at bumalik
[ErrorCode: 0x00000000]
Ang lalagyan na kailangan natin ay kamukha
.Aktiv Rutoken liteXXXXXXXXX
Kung maraming mga ganoong lalagyan ang ipinapakita, nangangahulugan ito na mayroong ilang mga sertipiko na nakasulat sa token, at alam mo kung alin ang kailangan mo. Ibig sabihin XXXXXXXX pagkatapos ng slash kailangan mong kopyahin at i-paste sa utos sa ibaba.
2. Baguhin ang PIN gamit ang isang command mula sa terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"saan XXXXXXXX – ang pangalan ng lalagyan na nakuha sa hakbang 1 (kinakailangan sa mga quote).
Lalabas ang isang CryptoPro dialog na humihiling ng lumang PIN code para ma-access ang certificate, pagkatapos ay isa pang dialog para ilagay ang bagong PIN code. handa na.
Screenshot
Pag-sign ng mga file sa macOS
Sa macOS, maaaring ma-sign in ang mga file sa software (gastos ng lisensya 2500 = kuskusin.), O isang simpleng utos sa pamamagitan ng terminal - libre.
1. Alamin ang hash ng sertipiko ng CEP
Maaaring mayroong maraming mga sertipiko sa isang token at sa iba pang mga tindahan. Kailangan nating malinaw na tukuyin kung ano ang pipirmahan natin ng mga dokumento mula ngayon. Tapos isang beses.
Dapat ipasok ang token. Kumuha kami ng isang listahan ng mga sertipiko sa mga repositoryo na may utos mula sa terminal:
/opt/cprocsp/bin/certmgr -listAng command ay dapat maglabas ng hindi bababa sa 1 certificate ng form:
Certmgr 1.1 © "Crypto-Pro", 2007-2018.
programa para sa pamamahala ng mga sertipiko, CRL at mga tindahan
= = = = = = = = = = = = = = = = = = =
1---
Tagapag-isyu: [protektado ng email],... CN=LLC KORUS Consulting CIS...
subject: [protektado ng email],... CN=Zakharov Sergey Anatolyevich...
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Lalagyan: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]
Ang certificate na kailangan namin sa parameter ng Container ay dapat may value na katulad SCARDrutoken…. Kung mayroong ilang mga sertipiko na may ganitong mga halaga, kung gayon mayroong ilang mga sertipiko na naitala sa token, at alam mo kung alin ang kailangan mo. Halaga ng parameter SHA1 Hash (40 character) ay dapat kopyahin at i-paste sa command sa ibaba.
2. Pagpirma ng file gamit ang isang command mula sa terminal
Sa terminal, pumunta sa direktoryo na may file upang lagdaan at isagawa ang utos:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILEsaan XXXX… – certificate hash nakuha sa hakbang 1, at FILE – pangalan ng file na pipirmahan (kasama ang lahat ng extension, ngunit walang landas).
Ang utos ay dapat bumalik:
Ang nilagdaang mensahe ay nilikha.
[ErrorCode: 0x00000000]
Gagawa ng electronic signature file na may extension na *.sgn - isa itong nakahiwalay na lagda sa CMS format na may DER encoding.
3. I-install ang Apple Automator Script
Upang maiwasang magtrabaho sa terminal sa bawat oras, maaari mong i-install ang Automator Script nang isang beses, kung saan maaari kang mag-sign ng mga dokumento mula sa menu ng konteksto ng Finder. Upang gawin ito, i-download ang archive - .
- Pag-unpack ng archive 'Mag-sign gamit ang CryptoPro.zip'
- Ilunsad Automator
- Hanapin at buksan ang na-unpack na file 'Mag-sign gamit ang CryptoPro.workflow'
- Sa bloke Patakbuhin ang Shell Script baguhin ang teksto XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX sa halaga ng parameter SHA1 Hash CEP certificate na nakuha sa itaas.
- I-save ang script: ⌘Command + S
- Patakbuhin ang file 'Mag-sign gamit ang CryptoPro.workflow' at kumpirmahin ang pag-install.
- Pumunta tayo sa System Mga Kagustuhan -> Mga Extension -> Finder at suriin iyon Mag-sign gamit ang CryptoPro nabanggit ang mabilis na pagkilos.
- Sa Finder, tawagan ang menu ng konteksto ng anumang file, at sa seksyon Mga Mabilis na Pagkilos at / o Serbisyo piliin ang item Mag-sign gamit ang CryptoPro
- Sa CryptoPro dialog na lalabas, ilagay ang user PIN code mula sa CEP
- Ang isang file na may extension na *.sgn ay lalabas sa kasalukuyang direktoryo - isang nakahiwalay na lagda sa CMS na format na may DER encoding.
Screenshot
Window ng Apple Automator:
Mga Kagustuhan sa System:
Menu ng konteksto ng Finder:
Suriin ang pirma sa dokumento
Kung ang mga nilalaman ng dokumento ay hindi naglalaman ng mga lihim at lihim, kung gayon ang pinakamadaling paraan ay ang paggamit ng serbisyo sa web sa portal ng Mga Serbisyo ng Estado - . Sa ganitong paraan maaari kang kumuha ng screenshot mula sa isang kagalang-galang na mapagkukunan at siguraduhin na ang lahat ay ok sa lagda.
Screenshot
Pinagmulan: www.habr.com