根据 и 2019年,俄罗斯将颁发4,6万份合格电子签名(CES)证书,满足63-FZ的要求。 事实证明,在 8 万注册个体企业家和有限责任公司中,就有一半的企业家使用电子签名。 除了用于银行和会计服务发布的 EGAIS CEP 和基于云的 CEP 之外,安全令牌上的通用 CEP 也特别令人感兴趣。 此类证书允许您登录政府门户网站并签署任何文件,使其具有法律意义。
借助 USB 令牌上的 CEP 证书,您可以远程与交易对手或远程员工签订协议,并将文件发送给法院; 注册在线收银机、清偿税款并在 nalog.ru 上的个人帐户中提交声明; 了解国家服务部门的债务和即将进行的检查。
下面的手册会有所帮助 在 macOS 下使用 CEP – 无需研究 CryptoPro 论坛并安装 Windows 虚拟机。
内容
在 macOS 下使用 CEP 需要满足以下条件:
为 macOS 安装和配置 CEP
- 安装 CryptoPro CSP
- 安装 Rutoken 驱动程序
- 安装证书
3.1. 我们删除所有旧的 GOST 证书
3.2. 安装根证书
3.3. 下载认证机构证书
3.4. 使用 Rutoken 安装证书 - 安装专用浏览器Chromium-GOST
- 安装浏览器扩展
5.1 CryptoPro EDS 浏览器插件
5.2. 公共服务插件
5.3. 为状态服务设置插件
5.4. 激活扩展
5.5. 设置 CryptoPro EDS 浏览器插件扩展 - 检查一切是否正常
6.1. 前往CryptoPro测试页面
6.2. 转到 nalog.ru 上的个人帐户
6.3. 前往国家服务中心 - 如果停止工作该怎么办
更改集装箱 PIN 码
- 查找 KEP 容器的名称
- 使用终端命令更改 PIN
在 macOS 上签署文件
- 找出 CEP 证书的哈希值
- 使用终端命令对文件进行签名
- 安装 Apple Automator 脚本
检查文件上的签名
以下所有信息均来自信誉良好的来源(CryptoPro и , , , ),建议从可信站点下载软件。 作者是一名独立顾问,不隶属于任何提到的公司。 通过遵循这些说明,您对任何行为和后果承担全部责任。
在 macOS 下使用 CEP 需要满足以下条件:
- CEP 在 USB 令牌 Rutoken Lite 上 или 鲁托肯 EDS
- 加密容器 CryptoPro 格式
- 内置 CryptoPro CSP 许可证
macOS 不支持 eToken 和 JaCarta 媒体与 CryptoPro 结合使用。 Rutoken Lite 介质是最好的选择,它的价格为 500..1000= 卢布,它工作速度快,允许您存储最多 15 个密钥。
macOS 不支持加密货币提供商 VipNet、Signal-COM 和 LISSY。 没有办法转换容器。 CryptoPro是最好的选择,证书的费用应该在1300=rub左右。 对于个体企业家来说,1600 = 卢布。 对于尤尔。
通常,CryptoPro CSP 的年度许可证已包含在证书中,并且由许多 CA 免费提供。 如果不是这种情况,那么您需要购买并激活 CryptoPro CSP 严格版本 4 的永久许可证,费用为 2700=。 适用于 macOS 的 CryptoPro CSP 版本 5 目前无法运行。
为 macOS 安装和配置 CEP
明显的事情
- 所有下载的文件都下载到默认目录:~/Downloads/;
- 我们不会更改所有安装程序中的任何内容,我们将所有内容保留为默认值;
- 如果 macOS 显示正在启动的软件来自身份不明的开发者的警告,您需要在系统设置中确认启动: 系统偏好设置 —> 安全和隐私 —> 仍然打开;
- 如果 macOS 要求用户密码和控制计算机的权限,您需要输入密码并同意所有内容。
1.安装CryptoPro CSP
在 CryptoPro 和 co 网站上 下载并安装版本 CryptoPro CSP 4.0 R4 为 macos – .
2.安装Rutoken驱动
该网站说这是可选的,但最好安装它。 钴 在 Rutoken 网站上下载并安装 钥匙串支持模块 – .
接下来,连接 USB 令牌,启动终端并执行命令:
/opt/cprocsp/bin/csptest -card -enum -v答案应该是:
阿克提夫鲁托肯…
出示卡...
[错误代码:0x00000000]
3.安装证书
3.1. 我们删除所有旧的 GOST 证书
如果您之前尝试在 macOS 下启动 CEP,则需要清除所有之前安装的证书。 终端中的这些命令只会删除 CryptoPro 证书,不会影响 macOS 上钥匙串中的常规证书。
sudo /opt/cprocsp/bin/certmgr -delete -all -store mrootsudo /opt/cprocsp/bin/certmgr -delete -all -store uroot/opt/cprocsp/bin/certmgr -delete -all每个命令的响应应包括:
没有符合条件的证书
или
删除完成
3.2. 安装根证书
根证书对于任何证书颁发机构颁发的所有 CEP 都是通用的。 下载自 乌拉尔联邦区电信和大众传播部:
在终端中使用命令安装:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer每个命令应返回:
安装:
...
[错误代码:0x00000000]
3.3. 下载认证机构证书
接下来,您需要安装颁发 CEP 的证书颁发机构的证书。 通常,每个 CA 的根证书都位于其网站的下载部分。
或者,可以从以下位置下载任何 CA 的证书 。 为此,您需要在搜索表单中按名称查找 CA,转到包含证书的页面并下载所有内容 演戏 证书——即那些拥有 '有效的' 第二个日期还没有到来。 从字段中的链接下载 '指纹'.
屏幕截图
以CA Corus-Consulting为例:您需要从以下位置下载4个证书 :
我们使用终端命令安装下载的 CA 证书:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer之后在哪里 ~/下载/ 列出了下载文件的名称;每个 CA 的名称都不同。
每个命令应返回:
安装:
...
[错误代码:0x00000000]
3.4. 使用 Rutoken 安装证书
终端命令:
/opt/cprocsp/bin/csptestf -absorb -certs该命令应返回:
确定。
[错误代码:0x00000000]
4.安装专用浏览器Chromium-GOST
要使用政府门户网站,您将需要特殊版本的 chromium 浏览器 - 铬-GOST。 该项目的源代码已开放,链接为 给出于 。 根据经验,其他浏览器 加密狐狸 и Yandex浏览器 它们不适合在 macOS 下使用政府门户。 值得考虑的是,在 Chromium-GOST 的某些版本中,nalog.ru 上的个人帐户可能会冻结或滚动可能完全停止工作,因此提供了旧的经过验证的帐户 构建 71.0.3578.98 – .
下载并解压存档,通过将其复制或拖放到应用程序目录中来安装浏览器。 安装后,强制关闭 Chromium,但不要打开它,从 Safari 中工作。
killall Chromium-Gost5.安装浏览器扩展
5.1 CryptoPro EDS 浏览器插件
同 在 CryptoPro 网站上下载并安装 CryptoPro EDS 浏览器插件 2.0 版供用户使用 – .
5.2. 公共服务插件
同 在国家服务门户上下载并安装 用于使用政府服务门户的插件(macOS 版本) – .
5.3. 为状态服务设置插件
从 CryptoPro 网站下载 State Services 扩展的正确配置文件 - .
在终端中执行命令:
sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfgsudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts5.4. 激活扩展
启动 Chromium-Gost 浏览器并在地址栏中输入:
chrome://extensions/我们启用两个已安装的扩展:
- CAdES 浏览器插件的 CryptoPro 扩展
- 状态服务插件的扩展
截图
5.5. 设置 CryptoPro EDS 浏览器插件扩展
在 Chromium-Gost 地址栏中我们输入:
/etc/opt/cprocsp/trusted_sites.html在出现的页面中,将以下站点一一添加到受信任站点列表中:
https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru单击“保存”。 应该出现一个绿点:
可信节点列表已成功保存。
截图
6. 检查一切是否正常
6.1. 前往CryptoPro测试页面
在 Chromium-Gost 地址栏中我们输入:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html应显示“插件已加载”,并且您的证书应出现在下面的列表中。
从列表中选择一个证书,然后单击“签名”。 系统会要求您提供证书 PIN。 结果,它应该显示
签名生成成功
截图
6.2. 转到 nalog.ru 上的个人帐户
您可能无法访问 nalog.ru 网站的链接,因为... 检查不会通过。 您需要通过直接链接:
- 私人办公室 SP:
- 私人办公室 法人实体:
截图
6.3. 前往国家服务中心
登录时,选择“使用电子签名登录”。 在出现的“选择电子签名验证密钥证书”列表中,将显示所有证书,包括根证书和 CA;您需要从 USB 令牌中选择您的证书并输入 PIN。
截图
7. 如果停止工作怎么办
-
我们重新连接 USB 令牌并使用终端中的命令检查它是否可见:
sudo /opt/cprocsp/bin/csptest -card -enum -v -
我们会一直清除浏览器缓存,为此我们在 Chromium-Gost 地址栏中输入:
chrome://settings/clearBrowserData -
使用终端中的命令重新安装 CEP 证书:
/opt/cprocsp/bin/csptestf -absorb -certs
更改集装箱 PIN 码
默认情况下 Rutoken 的自定义 PIN 码 12345678,而且没有办法就这样放着不管。 Rutoken PIN 码要求:最多 16 个字符,可以包含拉丁字母和数字。
1.找出KEP容器的名称
USB 令牌和其他存储设备上可能存储有多个证书,您需要选择正确的一个。 插入 USB 令牌后,我们可以使用终端中的命令获取系统中所有容器的列表:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext指挥部必须撤回至少 1 个集装箱并返回
[错误代码:0x00000000]
我们需要的容器看起来像
.Aktiv Rutoken liteXXXXXXXX
如果显示多个这样的容器,则意味着令牌上写有多个证书,您知道自己需要哪一个。 意义 XXXXXXXX 在斜杠之后,您需要复制并粘贴到下面的命令中。
2. 使用终端命令更改 PIN
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"哪里 XXXXXXXX – 步骤 1 中获得的容器名称(必须用引号引起来)。
将出现一个 CryptoPro 对话框,要求输入旧的 PIN 码来访问证书,然后出现另一个对话框,要求输入新的 PIN 码。 准备好。
截图
在 macOS 上签署文件
在 macOS 上,可以在软件中对文件进行签名 (许可证费用 2500 = 卢布。),或通过终端执行简单命令 - 免费。
1.找出CEP证书的哈希值
一个令牌上和其他存储中可以有多个证书。 我们需要明确确定从现在开始将与谁签署文件。 完成一次。
必须插入令牌。 我们使用终端命令获取存储库中的证书列表:
/opt/cprocsp/bin/certmgr -list该命令必须输出至少 1 个以下形式的证书:
Certmgr 1.1 ©“Crypto-Pro”,2007-2018。
用于管理证书、CRL 和存储的程序
= = = = = = = = = = = = = = = = = = =
1————
发行人: [电子邮件保护],... CN=LLC KORUS 咨询 CIS...
主题: [电子邮件保护],... CN=扎哈罗夫·谢尔盖·阿纳托利耶维奇...
序列号:0x0000000000000000000000000000000000
SHA1 哈希:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
容器:SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[错误代码:0x00000000]
我们在 Container 参数中需要的证书必须具有如下值 SCAR德鲁托肯…。 如果有多个证书具有这样的值,那么令牌上记录了多个证书,您就知道需要哪一个。 参数值 SHA1 散列 (40 个字符)必须复制并粘贴到下面的命令中。
2. 使用终端命令对文件进行签名
在终端中,转到要签名的文件所在的目录并执行命令:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE哪里 XXXX… – 步骤 1 中获得的证书哈希值,以及 文件 – 要签名的文件名(包含所有扩展名,但不包含路径)。
该命令应返回:
签名消息已创建。
[错误代码:0x00000000]
将创建扩展名为 *.sgn 的电子签名文件 - 这是采用 DER 编码的 CMS 格式的独立签名。
3.安装Apple Automator脚本
为了避免每次都使用终端,您可以安装一次 Automator 脚本,使用它可以从 Finder 上下文菜单中签署文档。 为此,请下载存档 - .
- 解压存档 “使用 CryptoPro.zip 签名”
- 我们启动 的Automator
- 找到并打开解压后的文件 “使用 CryptoPro.workflow 签名”
- 在块 运行 Shell 脚本 更改文本 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 到参数值 SHA1 散列 以上获得的CEP证书。
- 保存脚本: ⌘Command + S
- 运行文件 “使用 CryptoPro.workflow 签名” 并确认安装。
- 我们进入系统 首选项 -> 扩展 -> Finder 并检查一下 使用 CryptoPro 签名 注意到快速行动。
- 在 Finder 中,调用任意文件的上下文菜单,然后在 快速行动 和/或 特色服务 选择物品 使用 CryptoPro 签名
- 在出现的 CryptoPro 对话框中,输入 CEP 中的用户 PIN 码
- 扩展名为 *.sgn 的文件将出现在当前目录中 - 采用 DER 编码的 CMS 格式的分离签名。
屏幕截图
Apple Automator 窗口:
系统偏好设置:
查找器上下文菜单:
检查文件上的签名
如果文件内容不包含机密和秘密,那么最简单的方法就是使用国家服务门户上的网络服务—— 。 这样您就可以从信誉良好的资源中获取屏幕截图,并确保签名一切正常。
屏幕截图
来源: habr.com