Theo RBC и Tenxơ, trong năm 2019, 4,6 triệu chứng chỉ chữ ký điện tử đủ tiêu chuẩn (CES) sẽ được cấp ở Nga, đáp ứng yêu cầu của 63-FZ. Hóa ra trong số 8 triệu doanh nhân cá nhân và LLC đã đăng ký, cứ mỗi giây doanh nhân lại sử dụng chữ ký điện tử. Ngoài EGAIS CEP và CEP dựa trên đám mây để báo cáo do ngân hàng và dịch vụ kế toán phát hành, CEP phổ quát về mã thông báo an toàn cũng được đặc biệt quan tâm. Những chứng chỉ như vậy cho phép bạn đăng nhập vào các cổng thông tin của chính phủ và ký bất kỳ tài liệu nào, khiến chúng có ý nghĩa pháp lý.
Nhờ chứng chỉ CEP trên mã thông báo USB, bạn có thể ký kết thỏa thuận từ xa với đối tác hoặc nhân viên từ xa và gửi tài liệu tới tòa án; đăng ký máy tính tiền trực tuyến, giải quyết các khoản nợ thuế và nộp tờ khai vào tài khoản cá nhân của bạn trên nalog.ru; tìm hiểu về các khoản nợ và các cuộc thanh tra sắp tới tại Dịch vụ Nhà nước.
Hướng dẫn dưới đây sẽ giúp làm việc với CEP trong macOS – không cần nghiên cứu diễn đàn CryptoPro và cài đặt máy ảo với Windows.
nội dung
Những gì bạn cần để làm việc với CEP trong macOS:
Cài đặt và cấu hình CEP cho macOS
Cài đặt CryptoPro CSP
Cài đặt trình điều khiển Rutoken
Cài đặt chứng chỉ
3.1. Chúng tôi xóa tất cả các chứng chỉ GOST cũ
3.2. Cài đặt chứng chỉ gốc
3.3. Tải xuống chứng chỉ của tổ chức chứng nhận
3.4. Cài đặt chứng chỉ với Rutoken
Cài đặt trình duyệt đặc biệt Chrome-GOST
Cài đặt tiện ích mở rộng trình duyệt
5.1 Plug-in trình duyệt CryptoPro EDS
5.2. Plugin cho dịch vụ công cộng
5.3. Thiết lập plugin cho Dịch vụ Nhà nước
5.4. Kích hoạt tiện ích mở rộng
5.5. Thiết lập tiện ích mở rộng plug-in Trình duyệt CryptoPro EDS
Kiểm tra xem mọi thứ có hoạt động không
6.1. Chuyển đến trang thử nghiệm CryptoPro
6.2. Chuyển đến Tài khoản cá nhân của bạn trên nalog.ru
6.3. Đi tới Dịch vụ Nhà nước
Phải làm gì nếu nó ngừng hoạt động
Thay đổi mã PIN vùng chứa
Tìm tên container KEP
Thay đổi mã PIN bằng lệnh từ thiết bị đầu cuối
Ký tập tin trên macOS
Tìm ra hàm băm của chứng chỉ CEP
Ký một tập tin bằng lệnh từ thiết bị đầu cuối
Cài đặt tập lệnh Apple Automator
Kiểm tra chữ ký trên tài liệu
Tất cả thông tin bên dưới được lấy từ các nguồn uy tín (CryptoPro #1 и #2, Rutoken, Tư vấn Corus, Quận liên bang Ural của Bộ Viễn thông và Truyền thông đại chúng) và bạn nên tải xuống phần mềm từ các trang web đáng tin cậy. Tác giả là một nhà tư vấn độc lập và không liên kết với bất kỳ công ty nào được đề cập. Bằng cách làm theo những hướng dẫn này, bạn chịu hoàn toàn trách nhiệm về mọi hành động và hậu quả.
Những gì bạn cần để làm việc với CEP trong macOS:
CEP trên mã thông báo USB Rutoken Lite hoặc Rutoken EDS
thùng chứa mật mã ở định dạng CryptoPro
tích hợp sẵn giấy phép cho CryptoPro CSP
Phương tiện eToken và JaCarta kết hợp với CryptoPro không được hỗ trợ trong macOS. Phương tiện Rutoken Lite là sự lựa chọn tốt nhất, nó có giá 500..1000= rúp, nó hoạt động nhanh chóng và cho phép bạn lưu trữ tối đa 15 khóa.
Các nhà cung cấp tiền điện tử VipNet, Signal-COM và LISSY không được hỗ trợ trên macOS. Không có cách nào để chuyển đổi container. CryptoPro là sự lựa chọn tốt nhất, chi phí của chứng chỉ sẽ vào khoảng 1300 = rúp. dành cho doanh nhân cá nhân và 1600 = chà. dành cho YUL.
Thông thường, giấy phép hàng năm cho CryptoPro CSP đã được bao gồm trong chứng chỉ và được nhiều CA cung cấp miễn phí. Nếu không đúng như vậy thì bạn cần mua và kích hoạt giấy phép vĩnh viễn cho CryptoPro CSP phiên bản 4 đúng với giá 2700=. CryptoPro CSP phiên bản 5 cho macOS hiện không hoạt động.
Cài đặt và cấu hình CEP cho macOS
Những điều hiển nhiên
tất cả các tệp đã tải xuống sẽ được tải xuống thư mục mặc định: ~/Downloads/;
Chúng tôi không thay đổi bất cứ điều gì trong tất cả các trình cài đặt, chúng tôi để mọi thứ như mặc định;
nếu macOS hiển thị cảnh báo rằng phần mềm đang được khởi chạy là của một nhà phát triển không xác định, bạn cần xác nhận việc khởi chạy trong cài đặt hệ thống: Tùy chọn hệ thống -> Bảo mật & quyền riêng tư -> Vẫn mở;
nếu macOS yêu cầu mật khẩu người dùng và quyền điều khiển máy tính, bạn cần nhập mật khẩu và đồng ý với mọi thứ.
1. Cài đặt CryptoPro CSP
Đăng ký trên trang web CryptoPro và đồng nghiệp tải trang tải xuống và cài đặt phiên bản CSP CryptoPro 4.0 R4 cho macOS – tải về.
2. Cài đặt trình điều khiển Rutoken
Trang web nói rằng đây là tùy chọn, nhưng tốt hơn hết bạn nên cài đặt nó. có tải trang tải xuống và cài đặt trên trang web Rutoken Mô-đun hỗ trợ móc khóa – tải về.
Tiếp theo, kết nối mã thông báo usb, khởi chạy thiết bị đầu cuối và thực hiện lệnh:
/opt/cprocsp/bin/csptest -card -enum -v
Câu trả lời nên là:
Kích hoạt Rutoken…
Tặng thẻ…
[Mã lỗi: 0x00000000]
3. Cài đặt chứng chỉ
3.1. Chúng tôi xóa tất cả các chứng chỉ GOST cũ
Nếu trước đây bạn đã thử khởi chạy CEP trong macOS thì bạn cần xóa tất cả các chứng chỉ đã cài đặt trước đó. Các lệnh này trong terminal sẽ chỉ xóa chứng chỉ CryptoPro và không ảnh hưởng đến chứng chỉ thông thường từ Chuỗi khóa trên macOS.
Chứng chỉ gốc là chung cho tất cả các CEP do bất kỳ cơ quan chứng nhận nào cấp. Tải xuống từ tải trang Quận liên bang Ural của Bộ Viễn thông và Truyền thông đại chúng:
Tiếp theo, bạn cần cài đặt các chứng chỉ của cơ quan chứng nhận nơi bạn đã cấp CEP. Thông thường, chứng chỉ gốc của mỗi CA nằm trên trang web của CA đó trong phần tải xuống.
Ngoài ra, có thể tải xuống chứng chỉ của bất kỳ CA nào từ trang web của Quận Liên bang Ural của Bộ Viễn thông và Truyền thông đại chúng. Để thực hiện việc này, trong biểu mẫu tìm kiếm, bạn cần tìm CA theo tên, truy cập trang có chứng chỉ và tải xuống mọi thứ diễn xuất chứng chỉ - nghĩa là những người có 'Có hiệu lực' ngày thứ hai vẫn chưa đến. Tải xuống từ liên kết trong trường 'Dấu vân tay'.
Ảnh chụp màn hình
Sử dụng ví dụ của CA Corus-Consulting: bạn cần tải xuống 4 chứng chỉ từ tải trang:
sau đó ở đâu ~ / Tải xuống / Tên của các tệp đã tải xuống được liệt kê; chúng sẽ khác nhau đối với mỗi CA.
Mỗi lệnh sẽ trả về:
Cài đặt:
...
[Mã lỗi: 0x00000000]
3.4. Cài đặt chứng chỉ với Rutoken
Lệnh trong thiết bị đầu cuối:
/opt/cprocsp/bin/csptestf -absorb -certs
Lệnh sẽ trả về:
OK.
[Mã lỗi: 0x00000000]
4. Cài đặt trình duyệt đặc biệt Chrome-GOST
Để làm việc với các cổng chính phủ, bạn sẽ cần một bản dựng đặc biệt của trình duyệt crom - Crom-GOST. Mã nguồn của dự án là mở, liên kết đến kho lưu trữ trên GitHub được đưa ra Trang web CryptoPro. Theo kinh nghiệm, các trình duyệt khác tiền điện tửFox и Trình duyệt Yandex Chúng không phù hợp để làm việc với các cổng thông tin chính phủ trên macOS. Điều đáng cân nhắc là trong một số bản dựng của Chrome-GOST, tài khoản cá nhân trên nalog.ru có thể bị đóng băng hoặc thao tác cuộn có thể ngừng hoạt động hoàn toàn, vì vậy tài khoản cũ đã được kiểm chứng sẽ được cung cấp xây dựng 71.0.3578.98 – tải về.
Tải xuống và giải nén kho lưu trữ, cài đặt trình duyệt bằng cách sao chép hoặc kéo và thả nó vào thư mục Ứng dụng. Sau khi cài đặt, Buộc đóng Chrome và chưa mở nó, hãy hoạt động từ Safari.
killall Chromium-Gost
5. Cài đặt tiện ích mở rộng trình duyệt
5.1 Plug-in trình duyệt CryptoPro EDS
Với tải trang tải xuống và cài đặt trên trang web CryptoPro Plug-in trình duyệt CryptoPro EDS phiên bản 2.0 dành cho người dùng – tải về.
5.2. Plugin cho dịch vụ công cộng
Với tải trang tải xuống và cài đặt trên cổng Dịch vụ Nhà nước Plugin để làm việc với cổng dịch vụ chính phủ (phiên bản dành cho macOS) – tải về.
5.3. Thiết lập plugin cho Dịch vụ Nhà nước
Tải xuống tệp cấu hình chính xác cho tiện ích mở rộng Dịch vụ Nhà nước từ trang web CryptoPro - tải về.
“Đã tải plugin” sẽ được hiển thị và chứng chỉ của bạn sẽ có trong danh sách bên dưới.
Chọn một chứng chỉ từ danh sách và nhấp vào “Sign”. Bạn sẽ được yêu cầu nhập mã PIN chứng chỉ. Kết quả là nó sẽ hiển thị
Chữ ký được tạo thành công
Ảnh chụp màn hình
6.2. Chuyển đến Tài khoản cá nhân của bạn trên nalog.ru
Bạn có thể không truy cập được các liên kết từ trang nalog.ru, bởi vì... kiểm tra sẽ không vượt qua. Bạn cần phải đi qua các liên kết trực tiếp:
Văn phòng tư PI: https://lkipgost.nalog.ru/lk
Văn phòng tư ЮЛ: https://lkul.nalog.ru
Ảnh chụp màn hình
6.3. Đi tới Dịch vụ Nhà nước
Khi đăng nhập, chọn “Đăng nhập bằng chữ ký điện tử”. Trong danh sách “Chọn chứng chỉ khóa xác minh chữ ký điện tử” xuất hiện, tất cả các chứng chỉ, bao gồm cả gốc và CA, sẽ được hiển thị; bạn cần chọn chứng chỉ của mình từ mã thông báo USB và nhập mã PIN.
Ảnh chụp màn hình
7. Phải làm gì nếu nó ngừng hoạt động
Chúng tôi kết nối lại mã thông báo usb và kiểm tra xem nó có hiển thị hay không bằng lệnh trong thiết bị đầu cuối:
sudo /opt/cprocsp/bin/csptest -card -enum -v
Chúng tôi xóa bộ nhớ đệm của trình duyệt mọi lúc mà chúng tôi nhập vào thanh địa chỉ Chrome-Gost:
chrome://settings/clearBrowserData
Cài đặt lại chứng chỉ CEP bằng lệnh trong terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Thay đổi mã PIN vùng chứa
Mã PIN tùy chỉnh cho Rutoken theo mặc định 12345678, và không có cách nào để nó như thế này. Yêu cầu đối với mã PIN Rutoken: tối đa 16 ký tự, có thể chứa các chữ cái và số Latinh.
1. Tìm hiểu tên thùng chứa KEP
Có thể có một số chứng chỉ được lưu trữ trên mã thông báo USB và các kho lưu trữ khác và bạn cần chọn đúng chứng chỉ. Khi chèn mã thông báo usb, chúng tôi nhận được danh sách tất cả các vùng chứa trong hệ thống bằng lệnh trong thiết bị đầu cuối:
Nếu một số vùng chứa như vậy được hiển thị, điều đó có nghĩa là có một số chứng chỉ được ghi trên mã thông báo và bạn biết mình cần cái nào. Nghĩa XXXXXXXXX sau dấu gạch chéo bạn cần sao chép và dán vào lệnh bên dưới.
đâu XXXXXXXXX – tên của vùng chứa thu được ở bước 1 (nhất thiết phải để trong dấu ngoặc kép).
Một hộp thoại CryptoPro sẽ xuất hiện yêu cầu mã PIN cũ để truy cập chứng chỉ, sau đó là một hộp thoại khác để nhập mã PIN mới. Sẵn sàng.
Ảnh chụp màn hình
Ký tập tin trên macOS
Trên macOS, file có thể được đăng nhập bằng phần mềm CryptoArm (chi phí giấy phép 2500 = chà.) hoặc một lệnh đơn giản qua thiết bị đầu cuối - miễn phí.
1. Tìm ra hàm băm của chứng chỉ CEP
Có thể có nhiều chứng chỉ trên một mã thông báo và trong các cửa hàng khác. Chúng ta cần xác định rõ ràng người mà chúng ta sẽ ký các tài liệu kể từ bây giờ. Thực hiện một lần.
Mã thông báo phải được chèn vào. Chúng tôi nhận được danh sách các chứng chỉ trong kho bằng lệnh từ thiết bị đầu cuối:
Chứng chỉ chúng ta cần trong tham số Container phải có giá trị như SCARDrutoken…. Nếu có một số chứng chỉ có giá trị như vậy thì sẽ có một số chứng chỉ được ghi trên mã thông báo và bạn biết mình cần chứng chỉ nào. Giá trị tham số Hàm băm SHA1 (40 ký tự) phải được sao chép và dán vào lệnh bên dưới.
2. Ký một tập tin bằng lệnh từ thiết bị đầu cuối
Trong terminal, đi tới thư mục chứa file để ký và thực hiện lệnh:
đâu XXXX… – hàm băm chứng chỉ thu được ở bước 1 và FILE – tên tệp cần ký (có tất cả các phần mở rộng nhưng không có đường dẫn).
Lệnh sẽ trả về:
Tin nhắn đã ký được tạo.
[Mã lỗi: 0x00000000]
Một file chữ ký điện tử sẽ được tạo với phần mở rộng *.sgn - đây là chữ ký tách rời ở định dạng CMS mã hóa DER.
3. Cài đặt tập lệnh Apple Automator
Để tránh phải làm việc với thiết bị đầu cuối mọi lúc, bạn có thể cài đặt Automator Script một lần để bạn có thể ký các tài liệu từ menu ngữ cảnh Finder. Để thực hiện việc này, hãy tải xuống kho lưu trữ - tải về.
Giải nén kho lưu trữ 'Đăng nhập bằng CryptoPro.zip'
Phóng Máy tự động
Tìm và mở file đã giải nén 'Đăng nhập bằng CryptoPro.workflow'
Trong khối Chạy tập lệnh Shell thay đổi văn bản XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX đến giá trị tham số Hàm băm SHA1 Giấy chứng nhận CEP đạt được ở trên.
Lưu tập lệnh: ⌘Command + S
Chạy tập tin 'Đăng nhập bằng CryptoPro.workflow' và xác nhận cài đặt.
Hãy đi tới Hệ thống Tùy chọn -> Tiện ích mở rộng -> Trình tìm kiếm và kiểm tra xem Đăng nhập với CryptoPro hành động nhanh chóng được ghi nhận.
Trong Finder, gọi menu ngữ cảnh của bất kỳ tệp nào và trong phần Hành động nhanh và / hoặc DỊCH VỤ chọn mục Đăng nhập với CryptoPro
Trong hộp thoại CryptoPro xuất hiện, nhập mã PIN người dùng từ CEP
Một tệp có phần mở rộng *.sgn sẽ xuất hiện trong thư mục hiện tại - một chữ ký tách rời ở định dạng CMS có mã hóa DER.
Ảnh chụp màn hình
Cửa sổ Apple Automator:
Tùy chọn hệ thống:
Menu ngữ cảnh của trình tìm kiếm:
Kiểm tra chữ ký trên tài liệu
Nếu nội dung tài liệu không chứa bí mật, bí mật thì cách dễ nhất là sử dụng dịch vụ web trên cổng Dịch vụ Nhà nước - https://www.gosuslugi.ru/pgu/eds. Bằng cách này, bạn có thể chụp ảnh màn hình từ một nguồn có uy tín và đảm bảo rằng mọi thứ đều ổn với chữ ký.