🥇MacOS uchun malakali elektron imzo

muvofiq RBK и Tensor, 2019 yilda Rossiyada 4,6-FZ talablariga javob beradigan 63 million malakali elektron imzolar (CES) sertifikatlari chiqariladi. Ma’lum bo‘lishicha, ro‘yxatga olingan 8 million yakka tartibdagi tadbirkor va MChJdan har ikkinchi tadbirkor elektron imzodan foydalanadi. EGAIS CEP va banklar va buxgalteriya xizmatlari tomonidan chiqarilgan hisobot uchun bulutga asoslangan CEP-larga qo'shimcha ravishda, xavfsiz tokenlar bo'yicha universal CEPlar alohida qiziqish uyg'otadi. Bunday sertifikatlar sizga davlat portallariga kirish va har qanday hujjatlarni imzolash imkonini beradi, bu ularni qonuniy ahamiyatga ega qiladi.

USB tokenidagi CEP sertifikati tufayli siz kontragent yoki masofaviy xodim bilan masofadan turib shartnoma tuzishingiz va hujjatlarni sudga yuborishingiz mumkin; onlayn nazorat-kassa mashinasini ro'yxatdan o'tkazish, soliq qarzlarini to'lash va nalog.ru saytida shaxsiy kabinetingizga deklaratsiya topshirish; Davlat xizmatlarida qarzlar va bo'lajak tekshiruvlar haqida bilib oling.

Quyidagi qo'llanma yordam beradi macOS ostida CEP bilan ishlash - CryptoPro forumlarini o'rganmasdan va Windows bilan virtual mashinani o'rnatmasdan.

Mundarija

MacOS ostida CEP bilan ishlash uchun nima kerak:

MacOS uchun CEPni o'rnatish va sozlash

CryptoPro CSP o'rnatilmoqda
Rutoken drayverlarini o'rnatish
Sertifikatlarni o'rnatish
3.1. Biz barcha eski GOST sertifikatlarini o'chirib tashlaymiz
3.2. Ildiz sertifikatlarini o'rnatish
3.3. Sertifikatlash organi sertifikatlar yuklab olish
3.4. Rutoken bilan sertifikat o'rnatish
Maxsus Chromium-GOST brauzerini o'rnating
Brauzer kengaytmalarini o'rnatish
5.1 CryptoPro EDS brauzer plagini
5.2. Davlat xizmatlari uchun plagin
5.3. Davlat xizmatlari uchun plaginni sozlash
5.4. Kengaytmalarni faollashtirish
5.5. CryptoPro EDS Browser plagin kengaytmasini sozlash
Hamma narsa ishlayotganligini tekshirish
6.1. CryptoPro test sahifasiga o'ting
6.2. nalog.ru saytida shaxsiy hisobingizga o'ting
6.3. Davlat xizmatlariga o'ting
Agar u ishlamay qolsa, nima qilish kerak

Konteyner PIN kodini o'zgartirish

KEP konteynerining nomini aniqlash
Terminaldan buyruq bilan PIN-kodni o'zgartirish

MacOS-da fayllarni imzolash

CEP sertifikatining xeshini aniqlash
Terminaldan buyruq bilan faylni imzolash
Apple Automator skriptini o'rnatish

Hujjatdagi imzoni tekshiring

Quyidagi barcha ma'lumotlar nufuzli manbalardan olingan (CryptoPro #1 и #2, Rutoken, Corus-Consulting, Telekommunikatsiya va ommaviy kommunikatsiyalar vazirligining Ural federal okrugi), dasturiy ta'minotni ishonchli saytlardan yuklab olish tavsiya etiladi. Muallif mustaqil maslahatchi bo'lib, ko'rsatilgan kompaniyalar bilan bog'liq emas. Ushbu ko'rsatmalarga rioya qilish orqali siz har qanday harakatlar va oqibatlar uchun to'liq javobgarlikni o'z zimmangizga olasiz.

MacOS ostida CEP bilan ishlash uchun nima kerak:

CEP Rutoken Lite USB tokenida yoki Rutoken EDS
kripto konteyneri CryptoPro formatida
o'rnatilgan bilan CryptoPro CSP uchun litsenziya

eToken va JaCarta media CryptoPro bilan birgalikda macOS ostida qo'llab-quvvatlanmaydi. Rutoken Lite mediasi eng yaxshi tanlovdir, uning narxi 500..1000= rubl, u tez ishlaydi va 15 tagacha kalitni saqlash imkonini beradi.

VipNet, Signal-COM va LISSY kripto provayderlari macOS’da qo‘llab-quvvatlanmaydi. Konteynerlarni aylantirishning hech qanday usuli yo'q. CryptoPro eng yaxshi tanlovdir, sertifikatning narxi taxminan 1300 = rub bo'lishi kerak. yakka tartibdagi tadbirkorlar uchun va 1600 = rub. YUL uchun.

Odatda, CryptoPro CSP uchun yillik litsenziya allaqachon sertifikatga kiritilgan va ko'plab CAlar tomonidan bepul taqdim etiladi. Agar bunday bo'lmasa, CryptoPro CSP qat'iy 4-versiyasi uchun 2700= turadigan abadiy litsenziyani sotib olishingiz va faollashtirishingiz kerak. MacOS uchun CryptoPro CSP 5-versiyasi hozirda ishlamaydi.

MacOS uchun CEPni o'rnatish va sozlash

Aniq narsalar

barcha yuklab olingan fayllar standart katalogga yuklab olinadi: ~/Yuklashlar/;
Biz barcha o'rnatuvchilarda hech narsani o'zgartirmaymiz, biz hamma narsani sukut bo'yicha qoldiramiz;
agar macOS ishga tushirilayotgan dasturiy ta'minot noma'lum ishlab chiqaruvchidan ekanligi haqida ogohlantirishni ko'rsatsa, tizim sozlamalarida ishga tushirishni tasdiqlashingiz kerak: Tizim sozlamalari -> Xavfsizlik va maxfiylik -> Baribir oching;
agar macOS foydalanuvchi parolini va kompyuterni boshqarish uchun ruxsat so'rasa, siz parolni kiritishingiz va hamma narsaga rozi bo'lishingiz kerak.

1. CryptoPro CSP ni o'rnating

Roʻyxatdan oʻtish veb-saytida CryptoPro va boshqalar yuklab olish sahifalari versiyasini yuklab oling va o'rnating CryptoPro CSP 4.0 yil R4 uchun MacOS - скачать.

2. Rutoken drayverlarini o'rnating

Veb-saytda aytilishicha, bu ixtiyoriy, lekin uni o'rnatish yaxshiroqdir. Co yuklab olish sahifalari Rutoken veb-saytiga yuklab oling va o'rnating Keychain qo'llab-quvvatlash moduli - скачать.

Keyin, usb tokenini ulang, terminalni ishga tushiring va buyruqni bajaring:

/opt/cprocsp/bin/csptest -card -enum -v

Javob quyidagicha bo'lishi kerak:

Aktiv Rutoken…
Karta mavjud…
[Xato kodi: 0x00000000]

3. Sertifikatlarni o'rnating

3.1. Biz barcha eski GOST sertifikatlarini o'chirib tashlaymiz

Agar siz ilgari macOS ostida CEPni ishga tushirishga harakat qilgan bo'lsangiz, avval o'rnatilgan barcha sertifikatlarni tozalashingiz kerak. Terminaldagi bu buyruqlar faqat CryptoPro sertifikatlarini o‘chirib tashlaydi va macOS’dagi Keychain’ning oddiy sertifikatlariga ta’sir qilmaydi.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Har bir buyruqning javobi quyidagilarni o'z ichiga olishi kerak:

Mezonlarga mos keladigan sertifikat yo'q

yoki

Oʻchirish tugallandi

3.2. Ildiz sertifikatlarini o'rnatish

Ildiz sertifikatlari har qanday sertifikatlashtirish organi tomonidan chiqarilgan barcha CEPlar uchun umumiydir. dan yuklab oling yuklab olish sahifalari Telekommunikatsiya va ommaviy kommunikatsiyalar vazirligining Ural federal okrugi:

Terminaldagi buyruqlar bilan o'rnating:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Har bir buyruq qaytishi kerak:

O'rnatilmoqda:
...
[Xato kodi: 0x00000000]

3.3. Sertifikatlash organi sertifikatlar yuklab olish

Keyinchalik, siz CEP bergan sertifikatlashtirish organining sertifikatlarini o'rnatishingiz kerak. Odatda, har bir CAning ildiz sertifikatlari uning veb-saytida yuklab olishlar bo'limida joylashgan.

Shu bilan bir qatorda, istalgan CA sertifikatlarini yuklab olish mumkin Telekommunikatsiya va ommaviy kommunikatsiyalar vazirligining Ural federal okrugi veb-sayti. Buni amalga oshirish uchun qidiruv shaklida siz CAni nomi bilan topishingiz, sertifikatlar bilan sahifaga o'tishingiz va hamma narsani yuklab olishingiz kerak. aktyorlik sertifikatlar - ya'ni bo'lganlar 'Yaroqli' ikkinchi sana hali kelmagan. Maydondagi havoladan yuklab oling "barmoq izi".

Skrinshotlar

CA Corus-Consulting misolidan foydalanib: siz 4 ta sertifikatni yuklab olishingiz kerak yuklab olish sahifalari:

Yuklab olingan CA sertifikatlarini terminaldan buyruqlar yordamida o'rnatamiz:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

qayerdan keyin ~/Yuklashlar/ Yuklab olingan fayllarning nomlari keltirilgan; ular har bir CA uchun har xil bo'ladi.

Har bir buyruq qaytishi kerak:

O'rnatilmoqda:
...
[Xato kodi: 0x00000000]

3.4. Rutoken bilan sertifikat o'rnatish

Terminalda buyruq:

/opt/cprocsp/bin/csptestf -absorb -certs

Buyruq qaytishi kerak:

OK.
[Xato kodi: 0x00000000]

4. Chromium-GOST maxsus brauzerini o'rnating

Hukumat portallari bilan ishlash uchun sizga Chromium brauzerining maxsus tuzilishi kerak bo'ladi - Xrom-GOST. Loyihaning manba kodi ochiq, havola GitHub-dagi ombor kuni beriladi CryptoPro veb-sayti. Tajribadan, boshqa brauzerlardan CryptoFox и Yandex.Browser Ular macOS ostida hukumat portallari bilan ishlash uchun mos emas. Shuni hisobga olish kerakki, Chromium-GOST-ning ba'zi tuzilmalarida nalog.ru-dagi shaxsiy hisob muzlatib qo'yishi yoki aylantirish umuman ishlamay qolishi mumkin, shuning uchun eski isbotlangani taklif etiladi. Qurilish 71.0.3578.98 - скачать.

 Arxivni yuklab oling va oching, brauzerni nusxalash yoki Ilovalar katalogiga sudrab olib tashlash orqali o'rnating. O'rnatishdan so'ng, Chromium-ni majburan yoping va uni hali ochmang, Safari orqali ishlang.

killall Chromium-Gost

5. Brauzer kengaytmalarini o'rnating

5.1 CryptoPro EDS brauzer plagini

Ko yuklab olish sahifalari CryptoPro veb-saytiga yuklab oling va o'rnating Foydalanuvchilar uchun CryptoPro EDS brauzer plaginining 2.0 versiyasi - скачать.

5.2. Davlat xizmatlari uchun plagin

Ko yuklab olish sahifalari Davlat xizmatlari portalida yuklab oling va o'rnating Davlat xizmatlari portali bilan ishlash uchun plagin (macOS versiyasi) - скачать.

5.3. Davlat xizmatlari uchun plaginni sozlash

CryptoPro veb-saytidan Davlat xizmatlari kengaytmasi uchun to'g'ri konfiguratsiya faylini yuklab oling - скачать.

Terminalda buyruqlarni bajaring:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Kengaytmalarni faollashtirish

Chromium-Gost brauzerini ishga tushiring va manzil satriga kiriting:

chrome://extensions/

Biz ikkala o'rnatilgan kengaytmani yoqamiz:

CAdES brauzer plaginlari uchun CryptoPro kengaytmasi
Davlat xizmatlari plagini uchun kengaytma

Ekran rasmlari

5.5. CryptoPro EDS Browser plagin kengaytmasini sozlash

Chromium-Gost manzil satriga biz quyidagilarni kiritamiz:

/etc/opt/cprocsp/trusted_sites.html

Ko'rsatilgan sahifada quyidagi saytlarni ishonchli saytlar ro'yxatiga birma-bir qo'shing:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

"Saqlash" tugmasini bosing. Yashil nuqta paydo bo'lishi kerak:

Ishonchli tugunlar roʻyxati muvaffaqiyatli saqlandi.

Ekran rasmlari

6. Hamma narsa ishlayotganligini tekshiring

6.1. CryptoPro test sahifasiga o'ting

Chromium-Gost manzil satriga biz quyidagilarni kiritamiz:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

"Plagin yuklangan" ko'rsatilishi kerak va sizning sertifikatingiz quyidagi ro'yxatda bo'lishi kerak.
Ro'yxatdan sertifikatni tanlang va "Imzolash" tugmasini bosing. Sizdan sertifikat PIN-kodi so'raladi. Natijada, u ko'rsatilishi kerak

Imzo muvaffaqiyatli yaratildi

Ekran rasmlari

6.2. nalog.ru saytida shaxsiy hisobingizga o'ting

Siz nalog.ru saytidagi havolalarga kira olmasligingiz mumkin, chunki... tekshiruvlar o'tmaydi. To'g'ridan-to'g'ri havolalar orqali o'tishingiz kerak:

Shaxsiy kabinet PI: https://lkipgost.nalog.ru/lk
Shaxsiy kabinet YL: https://lkul.nalog.ru

Ekran rasmlari

6.3. Davlat xizmatlariga o'ting

Tizimga kirishda "Elektron imzo yordamida tizimga kirish" ni tanlang. Ko'rsatilgan "Elektron imzoni tekshirish kaliti sertifikatini tanlang" ro'yxatida barcha sertifikatlar, jumladan, ildiz va CA ko'rsatiladi; siz USB tokenidan o'zingiznikini tanlashingiz va PIN-kodni kiritishingiz kerak.

Ekran rasmlari

7. Agar u ishlamay qolsa, nima qilish kerak

Biz USB tokenini qayta ulaymiz va terminaldagi buyruq yordamida uning ko'rinishini tekshiramiz:
```
sudo /opt/cprocsp/bin/csptest -card -enum -v 
```
Brauzer keshini har doim tozalaymiz, buning uchun Chromium-Gost manzil satriga kiritamiz:
```
 chrome://settings/clearBrowserData 
```
Terminaldagi buyruq yordamida CEP sertifikatini qayta o'rnating:
```
/opt/cprocsp/bin/csptestf -absorb -certs
```

Konteyner PIN kodini o'zgartirish

Rutoken uchun odatiy PIN-kod 12345678, va buni shunday qoldirishning iloji yo'q. Rutoken PIN-kodiga qo'yiladigan talablar: maksimal 16 belgi, lotin harflari va raqamlarini o'z ichiga olishi mumkin.

1. KEP konteynerining nomini bilib oling

USB token va boshqa xotiralarda saqlangan bir nechta sertifikatlar bo'lishi mumkin va siz to'g'risini tanlashingiz kerak. USB token o'rnatilgan bo'lsa, biz terminaldagi buyruq bilan tizimdagi barcha konteynerlar ro'yxatini olamiz:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Buyruq kamida 1 ta konteynerni olib, qaytib kelishi kerak

[Xato kodi: 0x00000000]

Bizga kerak bo'lgan konteyner o'xshaydi

.Aktiv Rutoken liteXXXXXXXX

Agar bir nechta bunday konteynerlar ko'rsatilsa, bu tokenda bir nechta sertifikatlar yozilganligini anglatadi va siz qaysi biri kerakligini bilasiz. Ma'nosi xXXXXXXX slashdan keyin siz quyidagi buyruqqa nusxa ko'chirishingiz va joylashtirishingiz kerak.

2. Terminaldan buyruq yordamida PIN-kodni o'zgartiring

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

qayerda xXXXXXXX – 1-bosqichda olingan konteyner nomi (shartsiz tirnoq ichida).

Sertifikatga kirish uchun eski PIN-kodni so'rab CryptoPro dialog oynasi paydo bo'ladi, so'ngra yangi PIN kodni kiritish uchun boshqa dialog oynasi paydo bo'ladi. Tayyor.

Ekran rasmlari

MacOS-da fayllarni imzolash

MacOS-da fayllarni dasturiy ta'minotga kiritish mumkin CryptoArm (litsenziya narxi 2500 = rub.), yoki terminal orqali oddiy buyruq - bepul.

1. CEP sertifikatining xeshini bilib oling

Tokenda va boshqa do'konlarda bir nechta sertifikatlar bo'lishi mumkin. Biz bundan buyon qaysi hujjatga imzo chekishimizni aniq belgilashimiz kerak. Bir marta bajarildi.
Token kiritilishi kerak. Terminal buyrug'i bilan biz omborlardagi sertifikatlar ro'yxatini olamiz:

/opt/cprocsp/bin/certmgr -list

Buyruq formaning kamida 1 sertifikatini chiqarishi kerak:

Certmgr 1.1 © "Crypto-Pro", 2007-2018.
sertifikatlar, CRL va do'konlarni boshqarish uchun dastur
= = = = = = = = = = = = = = = = = = =
1---
Emitent: E=help@esphere.ru,… CN=OOO KORUS Consulting MDH…
Mavzu: E=sergzah@gmail.com,… CN=Zaxarov Sergey Anatolyevich…
Seriya: 0x0000000000000000000000000000000000
SHA1 xesh: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Konteyner: SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[Xato kodi: 0x00000000]

Konteyner parametrida bizga kerak bo'lgan sertifikat o'xshash qiymatga ega bo'lishi kerak SCARDrutoken…. Agar bunday qiymatlarga ega bo'lgan bir nechta sertifikatlar mavjud bo'lsa, u holda tokenda bir nechta sertifikatlar yozilgan va siz qaysi biri kerakligini bilasiz. Parametr qiymati SHA1 xash (40 belgidan) nusxa ko'chirish va quyidagi buyruqqa joylashtirish kerak.

2. Terminaldan buyruq bilan faylni imzolash

Terminalda buyruqni imzolash va bajarish uchun fayl bilan katalogga o'ting:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

qayerda XXXX... – 1-bosqichda olingan sertifikat xeshi va FILE – imzolanadigan fayl nomi (barcha kengaytmalar bilan, lekin yo‘lsiz).

Buyruq qaytishi kerak:

Imzolangan xabar yaratildi.
[Xato kodi: 0x00000000]

*.sgn kengaytmasi bilan elektron imzo fayli yaratiladi - bu DER kodlash bilan CMS formatidagi ajratilgan imzo.

3. Apple Automator skriptini o'rnating

Har safar terminal bilan ishlamaslik uchun Automator Script-ni bir marta o'rnatishingiz mumkin, uning yordamida Finder kontekst menyusidan hujjatlarga imzo chekishingiz mumkin. Buning uchun arxivni yuklab oling - скачать.

Arxivni ochish "CryptoPro.zip bilan tizimga kiring"
Ishga tushirish Automator
Ochilmagan faylni toping va oching "CryptoPro.workflow bilan tizimga kiring"
Blokda Shell skriptini ishga tushiring matnni o'zgartiring XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX parametr qiymatiga SHA1 xash Yuqorida olingan CEP sertifikati.
Skriptni saqlang: ⌘Buyruq + S
Faylni ishga tushiring "CryptoPro.workflow bilan tizimga kiring" va o'rnatishni tasdiqlang.
Keling, tizimga o'tamiz Afzalliklar -> Kengaytmalar -> Finder va buni tekshiring CryptoPro bilan tizimga kiring tezkor harakat qayd etildi.
Finder-da har qanday faylning kontekst menyusiga va bo'limga qo'ng'iroq qiling Tez harakat va / yoki Xizmatlar elementni tanlang CryptoPro bilan tizimga kiring
Ko'rsatilgan CryptoPro dialog oynasida CEPdan foydalanuvchi PIN kodini kiriting
Joriy katalogda *.sgn kengaytmali fayl paydo bo'ladi - DER kodlash bilan CMS formatidagi ajratilgan imzo.

Skrinshotlar

Apple Automator oynasi:

Tizim afzalliklari:

Finder kontekst menyusi:

Hujjatdagi imzoni tekshiring

Agar hujjatning mazmuni sir va sirlarni o'z ichiga olmasa, unda eng oson yo'li Davlat xizmatlari portalidagi veb-xizmatdan foydalanishdir - https://www.gosuslugi.ru/pgu/eds. Shunday qilib, siz nufuzli manbadan skrinshot olishingiz va imzo bilan hamma narsa yaxshi ekanligiga ishonch hosil qilishingiz mumkin.

Skrinshotlar