Chữ ký điện tử đủ tiêu chuẩn cho macOS

Theo RBC и Tenxơ, trong năm 2019, 4,6 triệu chứng chỉ chữ ký điện tử đủ tiêu chuẩn (CES) sẽ được cấp ở Nga, đáp ứng yêu cầu của 63-FZ. Hóa ra trong số 8 triệu doanh nhân cá nhân và LLC đã đăng ký, cứ mỗi giây doanh nhân lại sử dụng chữ ký điện tử. Ngoài EGAIS CEP và CEP dựa trên đám mây để báo cáo do ngân hàng và dịch vụ kế toán phát hành, CEP phổ quát về mã thông báo an toàn cũng được đặc biệt quan tâm. Những chứng chỉ như vậy cho phép bạn đăng nhập vào các cổng thông tin của chính phủ và ký bất kỳ tài liệu nào, khiến chúng có ý nghĩa pháp lý.

Nhờ chứng chỉ CEP trên mã thông báo USB, bạn có thể ký kết thỏa thuận từ xa với đối tác hoặc nhân viên từ xa và gửi tài liệu tới tòa án; đăng ký máy tính tiền trực tuyến, giải quyết các khoản nợ thuế và nộp tờ khai vào tài khoản cá nhân của bạn trên nalog.ru; tìm hiểu về các khoản nợ và các cuộc thanh tra sắp tới tại Dịch vụ Nhà nước.

Hướng dẫn dưới đây sẽ giúp làm việc với CEP trong macOS – không cần nghiên cứu diễn đàn CryptoPro và cài đặt máy ảo với Windows.

nội dung

Những gì bạn cần để làm việc với CEP trong macOS:

Cài đặt và cấu hình CEP cho macOS

1. Cài đặt CryptoPro CSP
2. Cài đặt trình điều khiển Rutoken
3. Cài đặt chứng chỉ
   3.1. Chúng tôi xóa tất cả các chứng chỉ GOST cũ
   3.2. Cài đặt chứng chỉ gốc
   3.3. Tải xuống chứng chỉ của tổ chức chứng nhận
   3.4. Cài đặt chứng chỉ với Rutoken
4. Cài đặt trình duyệt đặc biệt Chrome-GOST
5. Cài đặt tiện ích mở rộng trình duyệt
   5.1 Plug-in trình duyệt CryptoPro EDS
   5.2. Plugin cho dịch vụ công cộng
   5.3. Thiết lập plugin cho Dịch vụ Nhà nước
   5.4. Kích hoạt tiện ích mở rộng
   5.5. Thiết lập tiện ích mở rộng plug-in Trình duyệt CryptoPro EDS
6. Kiểm tra xem mọi thứ có hoạt động không
   6.1. Chuyển đến trang thử nghiệm CryptoPro
   6.2. Chuyển đến Tài khoản cá nhân của bạn trên nalog.ru
   6.3. Đi tới Dịch vụ Nhà nước
7. Phải làm gì nếu nó ngừng hoạt động

Thay đổi mã PIN vùng chứa

1. Tìm tên container KEP
2. Thay đổi mã PIN bằng lệnh từ thiết bị đầu cuối

Ký tập tin trên macOS

1. Tìm ra hàm băm của chứng chỉ CEP
2. Ký một tập tin bằng lệnh từ thiết bị đầu cuối
3. Cài đặt tập lệnh Apple Automator

Kiểm tra chữ ký trên tài liệu

Tất cả thông tin bên dưới được lấy từ các nguồn uy tín (CryptoPro #1 и #2, Rutoken, Tư vấn Corus, Quận liên bang Ural của Bộ Viễn thông và Truyền thông đại chúng) và bạn nên tải xuống phần mềm từ các trang web đáng tin cậy. Tác giả là một nhà tư vấn độc lập và không liên kết với bất kỳ công ty nào được đề cập. Bằng cách làm theo những hướng dẫn này, bạn chịu hoàn toàn trách nhiệm về mọi hành động và hậu quả.

Những gì bạn cần để làm việc với CEP trong macOS:

1. CEP trên mã thông báo USB Rutoken Lite hoặc Rutoken EDS
2. thùng chứa mật mã ở định dạng CryptoPro
3. tích hợp sẵn giấy phép cho CryptoPro CSP

Phương tiện eToken và JaCarta kết hợp với CryptoPro không được hỗ trợ trong macOS. Phương tiện Rutoken Lite là sự lựa chọn tốt nhất, nó có giá 500..1000= rúp, nó hoạt động nhanh chóng và cho phép bạn lưu trữ tối đa 15 khóa.

Các nhà cung cấp tiền điện tử VipNet, Signal-COM và LISSY không được hỗ trợ trên macOS. Không có cách nào để chuyển đổi container. CryptoPro là sự lựa chọn tốt nhất, chi phí của chứng chỉ sẽ vào khoảng 1300 = rúp. dành cho doanh nhân cá nhân và 1600 = chà. dành cho YUL.

Thông thường, giấy phép hàng năm cho CryptoPro CSP đã được bao gồm trong chứng chỉ và được nhiều CA cung cấp miễn phí. Nếu không đúng như vậy thì bạn cần mua và kích hoạt giấy phép vĩnh viễn cho CryptoPro CSP phiên bản 4 đúng với giá 2700=. CryptoPro CSP phiên bản 5 cho macOS hiện không hoạt động.

Cài đặt và cấu hình CEP cho macOS

Những điều hiển nhiên

• tất cả các tệp đã tải xuống sẽ được tải xuống thư mục mặc định: ~/Downloads/;
• Chúng tôi không thay đổi bất cứ điều gì trong tất cả các trình cài đặt, chúng tôi để mọi thứ như mặc định;
• nếu macOS hiển thị cảnh báo rằng phần mềm đang được khởi chạy là của một nhà phát triển không xác định, bạn cần xác nhận việc khởi chạy trong cài đặt hệ thống: Tùy chọn hệ thống -> Bảo mật & quyền riêng tư -> Vẫn mở;
• nếu macOS yêu cầu mật khẩu người dùng và quyền điều khiển máy tính, bạn cần nhập mật khẩu và đồng ý với mọi thứ.

1. Cài đặt CryptoPro CSP

Đăng ký trên trang web CryptoPro và đồng nghiệp tải trang tải xuống và cài đặt phiên bản CSP CryptoPro 4.0 R4 cho macOS – tải về.

2. Cài đặt trình điều khiển Rutoken

Trang web nói rằng đây là tùy chọn, nhưng tốt hơn hết bạn nên cài đặt nó. có tải trang tải xuống và cài đặt trên trang web Rutoken Mô-đun hỗ trợ móc khóa – tải về.

Tiếp theo, kết nối mã thông báo usb, khởi chạy thiết bị đầu cuối và thực hiện lệnh:

/opt/cprocsp/bin/csptest -card -enum -v

Câu trả lời nên là:

Kích hoạt Rutoken…
Tặng thẻ…
[Mã lỗi: 0x00000000]

3. Cài đặt chứng chỉ

3.1. Chúng tôi xóa tất cả các chứng chỉ GOST cũ

Nếu trước đây bạn đã thử khởi chạy CEP trong macOS thì bạn cần xóa tất cả các chứng chỉ đã cài đặt trước đó. Các lệnh này trong terminal sẽ chỉ xóa chứng chỉ CryptoPro và không ảnh hưởng đến chứng chỉ thông thường từ Chuỗi khóa trên macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

Phản hồi của mỗi lệnh phải bao gồm:

Không có chứng chỉ phù hợp với tiêu chí

hoặc

Xóa hoàn tất

3.2. Cài đặt chứng chỉ gốc

Chứng chỉ gốc là chung cho tất cả các CEP do bất kỳ cơ quan chứng nhận nào cấp. Tải xuống từ tải trang Quận liên bang Ural của Bộ Viễn thông và Truyền thông đại chúng:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Cài đặt bằng lệnh trong terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Mỗi lệnh sẽ trả về:

Cài đặt:
...
[Mã lỗi: 0x00000000]

3.3. Tải xuống chứng chỉ của tổ chức chứng nhận

Tiếp theo, bạn cần cài đặt các chứng chỉ của cơ quan chứng nhận nơi bạn đã cấp CEP. Thông thường, chứng chỉ gốc của mỗi CA nằm trên trang web của CA đó trong phần tải xuống.

Ngoài ra, có thể tải xuống chứng chỉ của bất kỳ CA nào từ trang web của Quận Liên bang Ural của Bộ Viễn thông và Truyền thông đại chúng. Để thực hiện việc này, trong biểu mẫu tìm kiếm, bạn cần tìm CA theo tên, truy cập trang có chứng chỉ và tải xuống mọi thứ diễn xuất chứng chỉ - nghĩa là những người có 'Có hiệu lực' ngày thứ hai vẫn chưa đến. Tải xuống từ liên kết trong trường 'Dấu vân tay'.

Ảnh chụp màn hình

Sử dụng ví dụ của CA Corus-Consulting: bạn cần tải xuống 4 chứng chỉ từ tải trang:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Chúng tôi cài đặt chứng chỉ CA đã tải xuống bằng các lệnh từ thiết bị đầu cuối:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

sau đó ở đâu ~ / Tải xuống / Tên của các tệp đã tải xuống được liệt kê; chúng sẽ khác nhau đối với mỗi CA.

Mỗi lệnh sẽ trả về:

Cài đặt:
...
[Mã lỗi: 0x00000000]

3.4. Cài đặt chứng chỉ với Rutoken

Lệnh trong thiết bị đầu cuối:

/opt/cprocsp/bin/csptestf -absorb -certs

Lệnh sẽ trả về:

OK.
[Mã lỗi: 0x00000000]

4. Cài đặt trình duyệt đặc biệt Chrome-GOST

Để làm việc với các cổng chính phủ, bạn sẽ cần một bản dựng đặc biệt của trình duyệt crom - Crom-GOST. Mã nguồn của dự án là mở, liên kết đến kho lưu trữ trên GitHub được đưa ra Trang web CryptoPro. Theo kinh nghiệm, các trình duyệt khác tiền điện tửFox и Trình duyệt Yandex Chúng không phù hợp để làm việc với các cổng thông tin chính phủ trên macOS. Điều đáng cân nhắc là trong một số bản dựng của Chrome-GOST, tài khoản cá nhân trên nalog.ru có thể bị đóng băng hoặc thao tác cuộn có thể ngừng hoạt động hoàn toàn, vì vậy tài khoản cũ đã được kiểm chứng sẽ được cung cấp xây dựng 71.0.3578.98 – tải về.


Tải xuống và giải nén kho lưu trữ, cài đặt trình duyệt bằng cách sao chép hoặc kéo và thả nó vào thư mục Ứng dụng. Sau khi cài đặt, Buộc đóng Chrome và chưa mở nó, hãy hoạt động từ Safari.

killall Chromium-Gost

5. Cài đặt tiện ích mở rộng trình duyệt

5.1 Plug-in trình duyệt CryptoPro EDS

Với tải trang tải xuống và cài đặt trên trang web CryptoPro Plug-in trình duyệt CryptoPro EDS phiên bản 2.0 dành cho người dùng – tải về.

5.2. Plugin cho dịch vụ công cộng

Với tải trang tải xuống và cài đặt trên cổng Dịch vụ Nhà nước Plugin để làm việc với cổng dịch vụ chính phủ (phiên bản dành cho macOS) – tải về.

5.3. Thiết lập plugin cho Dịch vụ Nhà nước

Tải xuống tệp cấu hình chính xác cho tiện ích mở rộng Dịch vụ Nhà nước từ trang web CryptoPro - tải về.

Thực hiện các lệnh trong terminal:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

5.4. Kích hoạt tiện ích mở rộng

Khởi chạy trình duyệt Chrome-Gost và nhập vào thanh địa chỉ:

chrome://extensions/

Chúng tôi kích hoạt cả hai tiện ích mở rộng đã cài đặt:

• Tiện ích mở rộng CryptoPro cho Plug-in trình duyệt CADES
• Tiện ích mở rộng cho plugin Dịch vụ Nhà nước

Ảnh chụp màn hình

5.5. Thiết lập tiện ích mở rộng plug-in Trình duyệt CryptoPro EDS

Trong thanh địa chỉ Chrome-Gost, chúng tôi gõ:

/etc/opt/cprocsp/trusted_sites.html

Trên trang xuất hiện, thêm lần lượt các trang web sau vào danh sách các trang web đáng tin cậy:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Nhấp vào để lưu". Một chấm màu xanh lá cây sẽ xuất hiện:

Danh sách các nút tin cậy đã được lưu thành công.

Ảnh chụp màn hình

6. Kiểm tra xem mọi thứ có hoạt động không

6.1. Chuyển đến trang thử nghiệm CryptoPro

Trong thanh địa chỉ Chrome-Gost, chúng tôi gõ:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

“Đã tải plugin” sẽ được hiển thị và chứng chỉ của bạn sẽ có trong danh sách bên dưới.
Chọn một chứng chỉ từ danh sách và nhấp vào “Sign”. Bạn sẽ được yêu cầu nhập mã PIN chứng chỉ. Kết quả là nó sẽ hiển thị

Chữ ký được tạo thành công

Ảnh chụp màn hình

6.2. Chuyển đến Tài khoản cá nhân của bạn trên nalog.ru

Bạn có thể không truy cập được các liên kết từ trang nalog.ru, bởi vì... kiểm tra sẽ không vượt qua. Bạn cần phải đi qua các liên kết trực tiếp:

• Văn phòng tư PI: https://lkipgost.nalog.ru/lk
• Văn phòng tư ЮЛ: https://lkul.nalog.ru

Ảnh chụp màn hình

6.3. Đi tới Dịch vụ Nhà nước

Khi đăng nhập, chọn “Đăng nhập bằng chữ ký điện tử”. Trong danh sách “Chọn chứng chỉ khóa xác minh chữ ký điện tử” xuất hiện, tất cả các chứng chỉ, bao gồm cả gốc và CA, sẽ được hiển thị; bạn cần chọn chứng chỉ của mình từ mã thông báo USB và nhập mã PIN.

Ảnh chụp màn hình

7. Phải làm gì nếu nó ngừng hoạt động

1. Chúng tôi kết nối lại mã thông báo usb và kiểm tra xem nó có hiển thị hay không bằng lệnh trong thiết bị đầu cuối:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Chúng tôi xóa bộ nhớ đệm của trình duyệt mọi lúc mà chúng tôi nhập vào thanh địa chỉ Chrome-Gost:

   
chrome://settings/clearBrowserData


3. Cài đặt lại chứng chỉ CEP bằng lệnh trong terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Thay đổi mã PIN vùng chứa

Mã PIN tùy chỉnh cho Rutoken theo mặc định 12345678, và không có cách nào để nó như thế này. Yêu cầu đối với mã PIN Rutoken: tối đa 16 ký tự, có thể chứa các chữ cái và số Latinh.

1. Tìm hiểu tên thùng chứa KEP

Có thể có một số chứng chỉ được lưu trữ trên mã thông báo USB và các kho lưu trữ khác và bạn cần chọn đúng chứng chỉ. Khi chèn mã thông báo usb, chúng tôi nhận được danh sách tất cả các vùng chứa trong hệ thống bằng lệnh trong thiết bị đầu cuối:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Lệnh phải rút ít nhất 1 container và trả lại

[Mã lỗi: 0x00000000]

Thùng chứa chúng ta cần trông giống như

.Aktiv Rutoken liteXXXXXXXXX

Nếu một số vùng chứa như vậy được hiển thị, điều đó có nghĩa là có một số chứng chỉ được ghi trên mã thông báo và bạn biết mình cần cái nào. Nghĩa XXXXXXXXX sau dấu gạch chéo bạn cần sao chép và dán vào lệnh bên dưới.

2. Thay đổi mã PIN bằng lệnh từ thiết bị đầu cuối

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

đâu XXXXXXXXX – tên của vùng chứa thu được ở bước 1 (nhất thiết phải để trong dấu ngoặc kép).

Một hộp thoại CryptoPro sẽ xuất hiện yêu cầu mã PIN cũ để truy cập chứng chỉ, sau đó là một hộp thoại khác để nhập mã PIN mới. Sẵn sàng.

Ảnh chụp màn hình

Ký tập tin trên macOS

Trên macOS, file có thể được đăng nhập bằng phần mềm CryptoArm (chi phí giấy phép 2500 = chà.) hoặc một lệnh đơn giản qua thiết bị đầu cuối - miễn phí.

1. Tìm ra hàm băm của chứng chỉ CEP

Có thể có nhiều chứng chỉ trên một mã thông báo và trong các cửa hàng khác. Chúng ta cần xác định rõ ràng người mà chúng ta sẽ ký các tài liệu kể từ bây giờ. Thực hiện một lần.
Mã thông báo phải được chèn vào. Chúng tôi nhận được danh sách các chứng chỉ trong kho bằng lệnh từ thiết bị đầu cuối:

/opt/cprocsp/bin/certmgr -list

Lệnh phải xuất ra ít nhất 1 chứng chỉ có dạng:

Chứng nhận 1.1 © "Crypto-Pro", 2007-2018.
chương trình quản lý chứng chỉ, CRL và cửa hàng
====================
1---
Nhà phát hành: [email được bảo vệ],... CN=LLC KORUS Consulting CIS...
Chủ đề: [email được bảo vệ],... CN=Zakharov Sergey Anatolyevich...
Sê-ri: 0x0000000000000000000000000000000000
Hàm băm SHA1: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Vùng chứa: SCARDrutoken_lt_00000000 000 000
...
====================
[Mã lỗi: 0x00000000]

Chứng chỉ chúng ta cần trong tham số Container phải có giá trị như SCARDrutoken…. Nếu có một số chứng chỉ có giá trị như vậy thì sẽ có một số chứng chỉ được ghi trên mã thông báo và bạn biết mình cần chứng chỉ nào. Giá trị tham số Hàm băm SHA1 (40 ký tự) phải được sao chép và dán vào lệnh bên dưới.

2. Ký một tập tin bằng lệnh từ thiết bị đầu cuối

Trong terminal, đi tới thư mục chứa file để ký và thực hiện lệnh:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

đâu XXXX… – hàm băm chứng chỉ thu được ở bước 1 và FILE – tên tệp cần ký (có tất cả các phần mở rộng nhưng không có đường dẫn).

Lệnh sẽ trả về:

Tin nhắn đã ký được tạo.
[Mã lỗi: 0x00000000]

Một file chữ ký điện tử sẽ được tạo với phần mở rộng *.sgn - đây là chữ ký tách rời ở định dạng CMS mã hóa DER.

3. Cài đặt tập lệnh Apple Automator

Để tránh phải làm việc với thiết bị đầu cuối mọi lúc, bạn có thể cài đặt Automator Script một lần để bạn có thể ký các tài liệu từ menu ngữ cảnh Finder. Để thực hiện việc này, hãy tải xuống kho lưu trữ - tải về.

1. Giải nén kho lưu trữ 'Đăng nhập bằng CryptoPro.zip'
2. Phóng Máy tự động
3. Tìm và mở file đã giải nén 'Đăng nhập bằng CryptoPro.workflow'
4. Trong khối Chạy tập lệnh Shell thay đổi văn bản XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX đến giá trị tham số Hàm băm SHA1 Giấy chứng nhận CEP đạt được ở trên.
5. Lưu tập lệnh: ⌘Command + S
6. Chạy tập tin 'Đăng nhập bằng CryptoPro.workflow' và xác nhận cài đặt.
7. Hãy đi tới Hệ thống Tùy chọn -> Tiện ích mở rộng -> Trình tìm kiếm và kiểm tra xem Đăng nhập với CryptoPro hành động nhanh chóng được ghi nhận.
8. Trong Finder, gọi menu ngữ cảnh của bất kỳ tệp nào và trong phần Hành động nhanh và / hoặc DỊCH VỤ chọn mục Đăng nhập với CryptoPro
9. Trong hộp thoại CryptoPro xuất hiện, nhập mã PIN người dùng từ CEP
10. Một tệp có phần mở rộng *.sgn sẽ xuất hiện trong thư mục hiện tại - một chữ ký tách rời ở định dạng CMS có mã hóa DER.

Ảnh chụp màn hình

Cửa sổ Apple Automator:

Tùy chọn hệ thống:

Menu ngữ cảnh của trình tìm kiếm:

Kiểm tra chữ ký trên tài liệu

Nếu nội dung tài liệu không chứa bí mật, bí mật thì cách dễ nhất là sử dụng dịch vụ web trên cổng Dịch vụ Nhà nước - https://www.gosuslugi.ru/pgu/eds. Bằng cách này, bạn có thể chụp ảnh màn hình từ một nguồn có uy tín và đảm bảo rằng mọi thứ đều ổn với chữ ký.

Ảnh chụp màn hình

Nguồn: www.habr.com