根據 и 2019年,俄羅斯將頒發4,6萬份合格電子簽章(CES)證書,滿足63-FZ的要求。 事實證明,在 8 萬名註冊個體企業家和有限責任公司中,就有一半的企業家使用電子簽名。 除了用於銀行和會計服務發布的 EGAIS CEP 和基於雲端的 CEP 之外,安全令牌上的通用 CEP 也特別令人感興趣。 此類證書可讓您登入政府入口網站並簽署任何文件,使其具有法律意義。
借助 USB 令牌上的 CEP 證書,您可以遠端與交易對手或遠端員工簽訂協議,並將文件發送給法院; 註冊線上收銀機、清償稅款並在 nalog.ru 上的個人帳戶中提交聲明; 了解國家服務部門的債務和即將進行的檢查。
下面的手冊會有所幫助 在 macOS 下使用 CEP – 無需研究 CryptoPro 論壇並安裝 Windows 虛擬機器。
Содержание
在 macOS 下使用 CEP 需要滿足以下條件:
為 macOS 安裝和設定 CEP
- 安裝 CryptoPro CSP
- 安裝 Rutoken 驅動程式
- 安裝證書
3.1. 我們刪除所有舊的 GOST 證書
3.2. 安裝根證書
3.3. 下載認證機構證書
3.4. 使用 Rutoken 安裝憑證 - 安裝專用瀏覽器Chromium-GOST
- 安裝瀏覽器擴充功能
5.1 CryptoPro EDS 瀏覽器插件
5.2. 公共服務插件
5.3. 為狀態服務設定插件
5.4. 啟動擴充
5.5. 設定 CryptoPro EDS 瀏覽器外掛擴充 - 檢查一切是否正常
6.1. 前往CryptoPro測試頁面
6.2. 前往 nalog.ru 上的個人帳戶
6.3. 前往國家服務部門 - 如果停止工作該怎麼辦
更改貨櫃 PIN 碼
- 尋找 KEP 容器的名稱
- 使用終端命令更改 PIN
在 macOS 上簽署文件
- 求 CEP 憑證的哈希值
- 使用終端命令對檔案進行簽名
- 安裝 Apple Automator 腳本
檢查文件上的簽名
以下所有資訊均來自信譽良好的來源(CryptoPro и , , , ),建議從可信任網站下載軟體。 作者是獨立顧問,不隸屬於任何提及的公司。 遵循這些說明,您對任何行為和後果承擔全部責任。
在 macOS 下使用 CEP 需要滿足以下條件:
- CEP 在 USB 令牌 Rutoken Lite 上 或 魯托肯 EDS
- 加密容器 CryptoPro 格式
- 內置 CryptoPro CSP 許可證
macOS 不支援 eToken 和 JaCarta 媒體與 CryptoPro 結合使用。 Rutoken Lite 媒體是最好的選擇,它的價格為 500..1000= 盧布,它工作速度快,允許您儲存最多 15 個金鑰。
macOS 不支援加密貨幣供應商 VipNet、Signal-COM 和 LISSY。 沒有辦法轉換容器。 CryptoPro是最好的選擇,證書的費用應該在1300=rub左右。 對個人創業家來說,1600 = 盧布。 對於尤爾。
通常,CryptoPro CSP 的年度授權已包含在憑證中,並由許多 CA 免費提供。 如果不是這種情況,那麼您需要購買並啟動 CryptoPro CSP 嚴格版本 4 的永久許可證,費用為 2700=。 適用於 macOS 的 CryptoPro CSP 版本 5 目前無法運作。
為 macOS 安裝和設定 CEP
顯而易見的事情
- 所有下載的檔案都下載到預設目錄:~/Downloads/;
- 我們不會更改所有安裝程式中的任何內容,我們將所有內容保留為預設值;
- 如果 macOS 顯示正在啟動的軟體來自身份不明的開發者的警告,您需要在系統設定中確認啟動: 系統偏好設定 —> 安全性與隱私權 —> 仍開啟;
- 如果 macOS 要求使用者密碼和控制電腦的權限,您需要輸入密碼並同意所有內容。
1.安裝CryptoPro CSP
在 CryptoPro 和 co 網站上 下載並安裝版本 CryptoPro CSP 4.0 R4 為 MacOS - .
2.安裝Rutoken驅動
該網站說這是可選的,但最好安裝它。 鈷 在 Rutoken 網站上下載並安裝 鑰匙串支援模組 - .
接下來,連接 USB 令牌,啟動終端機並執行命令:
/opt/cprocsp/bin/csptest -card -enum -v答案應該是:
阿克提夫魯托肯…
出示卡片...
[錯誤代碼:0x00000000]
3.安裝證書
3.1. 我們刪除所有舊的 GOST 證書
如果您之前曾嘗試在 macOS 下啟動 CEP,則需要清除先前安裝的所有憑證。 終端機中的這些指令只會刪除 CryptoPro 證書,不會影響 macOS 上鑰匙圈中的常規證書。
sudo /opt/cprocsp/bin/certmgr -delete -all -store mrootsudo /opt/cprocsp/bin/certmgr -delete -all -store uroot/opt/cprocsp/bin/certmgr -delete -all每個命令的回應應包括:
沒有符合條件的證書
或
刪除完成
3.2. 安裝根證書
根證書對於任何證書頒發機構頒發的所有 CEP 都是通用的。 下載自 烏拉爾聯邦區電信與大眾傳播部:
在終端機中使用命令安裝:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer每個命令應返回:
安裝:
...
[錯誤代碼:0x00000000]
3.3. 下載認證機構證書
接下來,您需要安裝頒發 CEP 的憑證授權單位的憑證。 通常,每個 CA 的根憑證都位於其網站的下載部分。
或者,可以從以下位置下載任何 CA 的證書 。 為此,您需要在搜尋表單中按名稱尋找 CA,前往包含憑證的頁面並下載所有內容 目前的 證書——即那些擁有 '有效的' 第二個日期還沒到來。 從字段中的鏈接下載 '指紋'.
截圖
以CA Corus-Consulting為例:您需要從以下位置下載4個證書 :
我們使用終端命令安裝下載的 CA 憑證:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer之後在哪裡 〜/下載/ 列出了下載檔案的名稱;每個 CA 的名稱都不同。
每個命令應返回:
安裝:
...
[錯誤代碼:0x00000000]
3.4. 使用 Rutoken 安裝憑證
終端命令:
/opt/cprocsp/bin/csptestf -absorb -certs該命令應返回:
確定。
[錯誤代碼:0x00000000]
4.安裝專用瀏覽器Chromium-GOST
要使用政府入口網站,您將需要特殊版本的 chromium 瀏覽器 - 鉻-GOST。 該專案的源代碼已開放,連結為 給出於 。 根據經驗,其他瀏覽器 加密狐 и Yandex 瀏覽器 它們不適合在 macOS 下使用政府入口網站。 值得考慮的是,在 Chromium-GOST 的某些版本中,nalog.ru 上的個人帳戶可能會凍結或滾動可能完全停止工作,因此提供了舊的經過驗證的帳戶 構建 71.0.3578.98 - .
下載並解壓縮存檔,透過複製或拖曳到應用程式目錄中來安裝瀏覽器。 安裝後,強制關閉 Chromium,但不要打開它,從 Safari 工作。
killall Chromium-Gost5.安裝瀏覽器擴充
5.1 CryptoPro EDS 瀏覽器插件
用 在 CryptoPro 網站上下載並安裝 CryptoPro EDS 瀏覽器外掛程式 2.0 版供使用者使用 - .
5.2. 公共服務插件
用 在國家服務入口網站下載並安裝 用於使用政府服務入口網站的插件(macOS 版本) - .
5.3. 為狀態服務設定插件
從 CryptoPro 網站下載 State Services 擴充功能的正確設定檔 - .
在終端機中執行命令:
sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfgsudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts5.4. 啟動擴充
啟動 Chromium-Gost 瀏覽器並在網址列輸入:
chrome://extensions/我們啟用兩個已安裝的擴充功能:
- CAdES 瀏覽器插件的 CryptoPro 擴展
- 狀態服務插件的擴展
截圖
5.5. 設定 CryptoPro EDS 瀏覽器外掛擴充
在 Chromium-Gost 網址列輸入:
/etc/opt/cprocsp/trusted_sites.html在出現的頁面中,將下列網站一一新增至受信任網站清單:
https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru點選“儲存”。 應該會出現一個綠點:
可信任節點清單已成功保存。
截圖
6. 檢查一切是否正常
6.1. 前往CryptoPro測試頁面
在 Chromium-Gost 網址列輸入:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html應顯示“插件已載入”,並且您的憑證應出現在下面的清單中。
從清單中選擇一個證書,然後按一下「簽名」。 系統會要求您提供證書 PIN。 結果,它應該顯示
簽名生成成功
截圖
6.2. 前往 nalog.ru 上的個人帳戶
您可能無法訪問 nalog.ru 網站的鏈接,因為... 檢查不會通過。 您需要透過直接連結:
- 私人辦公室 SP:
- 私人辦公室 ЮЛ:
截圖
6.3. 前往國家服務部門
登入時,選擇「使用電子簽名登入」。 在出現的「選擇電子簽名驗證金鑰證書」清單中,將顯示所有證書,包括根證書和 CA;您需要從 USB 令牌中選擇您的證書並輸入 PIN。
截圖
7. 如果停止工作怎麼辦
-
我們重新連接 USB 令牌並使用終端機中的命令檢查它是否可見:
sudo /opt/cprocsp/bin/csptest -card -enum -v -
我們會一直清除瀏覽器緩存,為此我們在 Chromium-Gost 網址列中輸入:
chrome://settings/clearBrowserData -
使用終端機中的命令重新安裝 CEP 憑證:
/opt/cprocsp/bin/csptestf -absorb -certs
更改貨櫃 PIN 碼
預設情況下 Rutoken 的自訂 PIN 碼 12345678,而且沒有辦法就這樣放著不管。 Rutoken PIN 碼要求:最多 16 個字符,可以包含拉丁字母和數字。
1.找出KEP容器的名稱
USB 令牌和其他儲存裝置上可能儲存有多個證書,您需要選擇正確的一個。 插入 USB 令牌後,我們可以使用終端機中的命令來取得系統中所有容器的清單:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext指揮部必須撤回至少 1 個貨櫃並返回
[錯誤代碼:0x00000000]
我們需要的容器看起來像
.Aktiv Rutoken liteXXXXXXXX
如果顯示多個這樣的容器,則表示令牌上寫有多個證書,您知道自己需要哪一個。 意義 XXXXXXXXX 在斜槓之後,您需要複製並貼上到下面的命令中。
2. 使用終端機命令更改 PIN
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"哪裡 XXXXXXXXX – 步驟 1 中獲得的容器名稱(必須以引號引起來)。
將出現一個 CryptoPro 對話框,要求輸入舊的 PIN 碼來存取證書,然後出現另一個對話框,要求輸入新的 PIN 碼。 準備好。
截圖
在 macOS 上簽署文件
在 macOS 上,可以在軟體中對檔案進行簽名 (許可證費用 2500 = 盧布。),或透過終端機執行簡單命令 - 免費。
1.找出CEP憑證的哈希值
一個令牌上和其他儲存可以有多個憑證。 我們需要明確確定從現在開始將與誰簽署文件。 完成一次。
必須插入令牌。 我們使用終端命令來取得儲存庫中的憑證清單:
/opt/cprocsp/bin/certmgr -list此指令必須輸出至少 1 張以下形式的憑證:
Certmgr 1.1 ©“Crypto-Pro”,2007-2018。
用於管理憑證、CRL 和儲存的程序
= = = = = = = = = = = = = = = = = = =
1---
發行人: [電子郵件保護],... CN=LLC KORUS 諮詢 CIS...
主題: [電子郵件保護],... CN=扎哈羅夫·謝爾蓋·阿納托利耶維奇...
序號:0x0000000000000000000000000000000000
SHA1 哈希:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
容器:SCARDrutoken_lt_00000000 000 000
...
= = = = = = = = = = = = = = = = = = =
[錯誤代碼:0x00000000]
我們在 Container 參數中需要的憑證必須具有以下值 SCAR德魯托肯…。 如果有多個證書具有這樣的值,那麼令牌上記錄了多個證書,您就知道需要哪一個。 參數值 SHA1 散列 (40 個字元)必須複製並貼上到下面的命令中。
2. 使用終端命令對檔案進行簽名
在終端機中,前往要簽署的檔案所在的目錄並執行命令:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE哪裡 XXXX… – 步驟 1 中獲得的憑證雜湊值,以及 FILE – 要簽署的檔案名稱(包含所有副檔名,但不包含路徑)。
該命令應返回:
簽名訊息已建立。
[錯誤代碼:0x00000000]
將建立副檔名為 *.sgn 的電子簽名檔 - 這是採用 DER 編碼的 CMS 格式的獨立簽章。
3.安裝Apple Automator腳本
為了避免每次都使用終端,您可以安裝一次 Automator 腳本,使用它可以從 Finder 上下文選單中簽署文件。 為此,請下載存檔 - .
- 解壓縮存檔 “使用 CryptoPro.zip 簽章”
- 發射 的Automator
- 找到並開啟解壓縮後的文件 “使用 CryptoPro.workflow 簽章”
- 在街區裡 運行 Shell 腳本 更改文字 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 到參數值 SHA1 散列 以上獲得的CEP證書。
- 儲存腳本: ⌘Command + S
- 運行檔案 “使用 CryptoPro.workflow 簽章” 並確認安裝。
- 我們進入系統 首選項 -> 擴充功能 -> Finder 並檢查一下 使用 CryptoPro 簽名 注意到快速行動。
- 在 Finder 中,呼叫任意檔案的上下文選單,然後在 快速行動 和/或 服務 選擇物品 使用 CryptoPro 簽名
- 在出現的 CryptoPro 對話方塊中,輸入 CEP 中的使用者 PIN 碼
- 副檔名為 *.sgn 的檔案將出現在目前目錄中 - 採用 DER 編碼的 CMS 格式的分離簽章。
截圖
Apple Automator 視窗:
系統偏好設置:
查找器上下文選單:
檢查文件上的簽名
如果文件內容不包含機密和秘密,那麼最簡單的方法就是使用國家服務入口網站上的網路服務—— 。 這樣您就可以從信譽良好的資源中獲取螢幕截圖,並確保簽名一切正常。
截圖
來源: www.habr.com