توقيع MacOS المؤهل

وفقًا لـ RBC و Tensor ، في عام 2019 ، سيتم إصدار 4.6 مليون شهادة من التوقيعات الإلكترونية المؤهلة (CEP) في روسيا التي تلبي متطلبات 63-FZ. اتضح أنه من بين 8 ملايين عنوان IP مسجّل وشركات ذات مسؤولية محدودة ، يستخدم كل رجل أعمال ثاني توقيعًا إلكترونيًا. بالإضافة إلى CEPs for EGAIS و CEPs المستندة إلى مجموعة النظراء لتقديم التقارير الصادرة عن البنوك والخدمات المحاسبية ، فإن CEPs العالمي مع الرموز الآمنة ذات أهمية خاصة. تسمح لك هذه الشهادات بتسجيل الدخول إلى بوابات الولاية وتوقيع أي مستندات ، مما يجعلها مهمة من الناحية القانونية.

بفضل شهادة CEP على رمز USB ، يمكنك إبرام اتفاقية مع مقاول أو موظف عن بعد وإرسال المستندات إلى المحكمة ؛ تسجيل تسجيل النقدية عبر الإنترنت ، وتسوية متأخرات الضرائب وتقديم إعلان في حسابك على nalog.ru ؛ تعرف على الديون والشيكات القادمة على الخدمات العامة.

سيساعدك الدليل أدناه في العمل مع CEP لنظام التشغيل macOS - دون دراسة منتديات CryptoPro وتثبيت جهاز افتراضي مع Windows.

يتم الحصول على جميع المعلومات الواردة أدناه من مصادر موثوقة (CryptoPro # 1 و # 2 و # 3 و Rutoken و Corus-Consulting ووزارة الاتصالات في منطقة Ural Federal ) ، ويُقترح تنزيل البرنامج من مواقع موثوق بها. المؤلف هو مستشار مستقل ولا ينتمي إلى أي من الشركات المذكورة. باتباع هذا الإرشادات ، تتحمل كل المسؤولية عن أي إجراءات ونتائج.

ما تحتاجه للعمل مع CEP لنظام التشغيل macOS:

1. CEP على USB-Rutoken لايت أو Rutoken EDS
2. cryptocontainer في شكل CryptoPro
3. مع الترخيص المدمج في CryptoPro CSP
4. يجب تخزين الشهادة العامة في حاوية المفتاح الخاص

لا يتم دعم وسائط EToken و JaCarta مع CryptoPro لنظام التشغيل macOS. يعد Carrier Rutoken Lite هو الخيار الأفضل ، حيث يكلف 500. 1000 روبل ، ويعمل بذكاء ويسمح لك بتخزين ما يصل إلى 15 مفتاحًا.

موفري تشفير VipNet و Signal-COM و LISSI غير مدعومين على نظام التشغيل macOS. تحويل الحاويات لا يعمل. CryptoPro هو الخيار الأفضل ، يجب أن تكون تكلفة الشهادة حوالي 1300 = روبل. ل SP و 1600 = فرك. ليول.

عادة ما يكون الترخيص السنوي لـ CryptoPro CSP سلكيًا بالفعل في الشهادة ويتم توفير العديد من المراجع المصدقة مجانًا. إذا لم يكن الأمر كذلك ، فأنت بحاجة إلى شراء وتفعيل ترخيص دائم ل CryptoPro CSP بدقة الإصدار 4 بقيمة 2700 =. لا يعمل CryptoPro CSP الإصدار 5 لنظام التشغيل macOS حاليًا.

عادةً ما يتم تخزين شهادة عامة في حاوية مفاتيح خاصة ، ولكن يجب توضيح ذلك عند إصدار CEP ويطلب منه القيام بذلك حسب الحاجة. إذا لم ينجح ذلك ، فيمكنك استيراد المفتاح العمومي في الحاوية المغلقة بنفسك باستخدام CryptoPro CSP for Windows.

تثبيت وتكوين CEP لنظام التشغيل MacOS

1. تثبيت CryptoPro CSP

نقوم بالتسجيل على موقع CryptoPro وتنزيل وتثبيت إصدار CryptoPro CSP 4.0 R4 لنظام التشغيل macOS من صفحة التنزيل - تنزيل .

2. تثبيت برامج تشغيل Rootoken

يقول الموقع أنه اختياري ، لكن من الأفضل تسليمه. من صفحة التنزيل على موقع Rutoken ، قم بتنزيل وتثبيت KeyChain Support Module - تنزيل .

بعد ذلك ، قم بتوصيل رمز USB ، قم بتشغيل الجهاز الطرفي وقم بتنفيذ الأمر:

/opt/cprocsp/bin/csptest -card -enum 

يجب أن يكون الجواب:

أكتيف روتوكن ...
بطاقة الحاضر ...
[ErrorCode: 0x00000000]

3. تثبيت الشهادات

3.1. نحذف جميع شهادات GOST القديمة

إذا كانت هناك محاولات في السابق لتشغيل CEP تحت نظام macOS ، فيجب عليك تنظيف جميع الشهادات المثبتة مسبقًا. ستؤدي هذه الأوامر في الجهاز الطرفي إلى إزالة شهادات CryptoPro فقط ولن تؤثر على الشهادات العادية من Keychain على macOS.

 sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot 

 sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot 

 /opt/cprocsp/bin/certmgr -delete -all 

يجب أن تكون استجابة كل أمر:

لا شهادة مطابقة للمعايير

أو

حذف كاملة

3.2. تثبيت شهادات الجذر

شهادات الجذر شائعة في جميع CEPs الصادرة عن أي سلطة إصدار الشهادات. قم بالتنزيل من صفحة التنزيل التابعة لوزارة الاتصالات في منطقة الأورال الفيدرالية:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert؟thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert؟thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert؟thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

قم بتثبيت الأوامر التالية في المحطة الطرفية:

 sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer 

 sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer 

 sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer 

يجب أن يعود كل فريق:

تثبيت:
...
[ErrorCode: 0x00000000]

3.3. تحميل شهادات من مركز الشهادات

بعد ذلك ، تحتاج إلى تثبيت شهادات المرجع المصدق حيث أصدرت CEP. عادة ، توجد شهادات الجذر لكل مرجع مصدق على موقع الويب الخاص به في قسم التنزيل.

بدلاً من ذلك ، يمكن تنزيل شهادات أي مرجع مصدق (CA) من موقع الويب الخاص بمقاطعة Ural Federal التابعة لوزارة الاتصالات . للقيام بذلك ، في نموذج البحث ، تحتاج إلى العثور على المرجع المصدق (CA) بالاسم ، والانتقال إلى الصفحة مع الشهادات وتنزيل جميع الشهادات الصالحة - أي الشهادات التي لم يصل تاريخها الثاني بعد إلى الحقل "صالح" . قم بتنزيل الرابط من حقل "النشر" .

على سبيل المثال CA Corus Consulting: تحتاج إلى تنزيل 4 شهادات من صفحة التنزيل :

• https://e-trust.gosuslugi.ru/Shared/DownloadCert؟thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert؟thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert؟thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert؟thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

نقوم بتثبيت شهادات المرجع المصدق (CA) التي تم تنزيلها بأوامر من الجهاز:

 sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer 

 sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer 

 sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer 

 sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer 

حيث بعد ~ / Downloads / هي أسماء الملفات التي تم تنزيلها ، ستكون لكل ملف مختلف.

يجب أن يعود كل فريق:

تثبيت:
...
[ErrorCode: 0x00000000]

3.4. تثبيت الشهادة مع Rutoken

القيادة في المحطة:

 /opt/cprocsp/bin/csptestf -absorb -certs 

يجب أن يعود الفريق:

OK.
[ErrorCode: 0x00000000]

3.5. قم بتكوين CryptoPro للعمل مع شهادات GOST R 34.10-2012

للعمل بشكل صحيح على nalog.ru مع الشهادات الصادرة منذ عام 2019 ، توصي التعليمات الموجودة على موقع CryptoPro بما يلي:

الأوامر في المحطة:

 sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit' 

 sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit' 

الفرق لا تعيد أي شيء.

4. قم بتثبيت المتصفح الخاص Chromium-GOST

للعمل مع البوابات الحكومية ، تحتاج إلى مجموعة خاصة من متصفح chromium - Chromium-GOST . الشفرة المصدرية للمشروع مفتوحة ، يتم توفير رابط للمستودع على جيثب على موقع CryptoPro . وفقًا للتجربة ، فإن المتصفحات الأخرى CryptoFox و Yandex.Browser ليست مناسبة للعمل مع البوابات الحكومية لنظام macOS. تجدر الإشارة إلى أنه في بعض مجموعات Chromium-GOST ، قد يتجمد الحساب الشخصي على nalog.ru أو يتوقف التمرير عن العمل تمامًا ، لذلك يُقترح تنزيل التجميع القديم المثبت 71.0.3578.98 - تنزيل .

قم بتنزيل الأرشيف وفك حزمه ، وقم بتثبيت المتصفح عن طريق النسخ أو السحب والإفلات إلى دليل التطبيقات. بعد التثبيت ، أغلق Chromium-Gost بقوة باستخدام أمر من المحطة الطرفية ولا تفتحه بعد (نحن نعمل من Safari):

 killall Chromium-Gost 

5. تثبيت ملحقات المتصفح

5.1 CryptoPro EDS Browser plug-in

من صفحة التنزيل على موقع CryptoPro ، قم بتنزيل الإصدار 2.0 من CryptoPro EDS Browser وتثبيته للمستخدمين - تنزيل .

5.2. البرنامج المساعد للخدمات الحكومية

من صفحة التنزيل على بوابة Gosuslug ، قم بتنزيل وتثبيت المكون الإضافي للعمل مع بوابة الخدمات الحكومية (إصدار لنظام التشغيل MacOS) - تنزيل .

5.3. إعداد مكون إضافي للخدمات العامة

قم بتنزيل ملف التكوين الصحيح لتمديد الخدمات الحكومية لدعم macOS والتوقيعات الرقمية الجديدة في GOST2012 القياسي - تنزيل .

نحن ننفذ الأوامر في المحطة:

 sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg 

 sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents 

 sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts 

5.4. تنشيط الامتدادات

نطلق متصفح Chromium-Gost وفي شريط العناوين نكتب:

 chrome://extensions/ 

نحن ندرج كل من الإضافات المثبتة:

• CryptoPro Extension for CAdES Browser Plug-in
• ملحق لمكون الخدمات العامة

5.5. نحن تكوين الملحق CryptoPro EDS Browser في المكونات الإضافية

في شريط عنوان Chromium-Gost نكتب:

 /etc/opt/cprocsp/trusted_sites.html 

على الصفحة التي تظهر ، نضيف المواقع إلى قائمة المواقع الموثوقة بدورها:

 https://*.cryptopro.ru https://*.nalog.ru https://*.gosuslugi.ru 

انقر فوق "حفظ". يجب أن تظهر يموت الأخضر:

تم حفظ قائمة المواقع الموثوقة بنجاح.

6. تأكد من أن كل شيء يعمل

6.1. نذهب إلى صفحة الاختبار CryptoPro

في شريط عنوان Chromium-Gost نكتب:

 https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html 

يجب عرض "المكون الإضافي المحمّل" ، ويجب أن تكون شهادتك في القائمة أدناه.
حدد شهادة من القائمة وانقر فوق "تسجيل". سيتم طلب شهادة PIN. يجب أن يتم عرض النتيجة

تم إنشاء التوقيع بنجاح

6.2. نذهب في الحساب الشخصي على nalog.ru

قد لا يكون من الممكن متابعة الروابط من موقع nalog.ru ، لأنه لن يتم تمرير الشيكات. تحتاج إلى الانتقال إلى الروابط المباشرة:

• حساب IP الشخصي: https://lkipgost.nalog.ru/lk
• الحساب الشخصي للكيان القانوني : https://lkul.nalog.ru

6.3. نذهب إلى الخدمات العامة

أثناء التفويض ، حدد "تسجيل الدخول باستخدام توقيع إلكتروني". في القائمة التي تظهر ، "تحديد شهادة لمفتاح التحقق من التوقيع الإلكتروني" ، سيتم عرض جميع الشهادات ، بما في ذلك الجذر و CA ، تحتاج إلى تحديد شهاداتك من رمز USB وإدخال رمز PIN.

7. ماذا تفعل إذا توقف عن العمل

1. نعيد توصيل رمز USB ونتحقق من أنه مرئي باستخدام الأمر الموجود في الجهاز الطرفي:

   
   

    sudo /opt/cprocsp/bin/csptest -card -enum 

   
   

2. نقوم بمسح ذاكرة التخزين المؤقت للمتصفح طوال الوقت ، والذي نكتب من أجله في شريط العنوان في Chromium-Gost:

   
   

     chrome://settings/clearBrowserData 

   
   

3. أعد تثبيت شهادة CEP باستخدام الأمر في المحطة الطرفية:

   
   

    /opt/cprocsp/bin/csptestf -absorb -certs 

   
   

تغيير حاوية PIN

رمز PIN الافتراضي لـ Rutoken هو 12345678 ، ولا يمكنك تركه على هذا النحو. متطلبات رمز PIN الخاص بجهاز Rootoken: 16 حرفًا بحد أقصى ، قد تحتوي على أحرف وأرقام لاتينية.

1. معرفة اسم الحاوية CEP

على رمز USB وفي المخازن الأخرى ، يمكن تخزين العديد من الشهادات ، وتحتاج إلى اختيار الشهادة الصحيحة. من خلال إدخال رمز USB ، نحصل على قائمة بجميع الحاويات في النظام باستخدام الأمر في الجهاز الطرفي:

 /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext 

يجب على الفريق إخراج حاوية واحدة على الأقل والعودة

[ErrorCode: 0x00000000]

الحاوية التي نحتاجها من النموذج

\. \ Aktiv Rutoken lite \ XXXXXXXX

إذا كان هناك العديد من هذه الحاويات ، فهذا يعني أن العديد من الشهادات مكتوبة على الرمز المميز ، وأنك على علم بالشهادة التي تحتاج إليها. القيمة XXXXXXXX بعد الشرطة المائلة تحتاج إلى نسخها واستبدالها في الأمر أدناه.

2. تغيير أمر PIN من المحطة

 /opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX" 

حيث XXXXXXXX هو اسم الحاوية الذي تم الحصول عليه في الخطوة 1 (مطلوب في علامات اقتباس).

سيظهر مربع حوار CryptoPro يطلب رمز PIN القديم للوصول إلى الشهادة ، ثم مربع حوار آخر لإدخال رمز PIN جديد. القيام به.

توقيع الملفات على ماك

في نظام التشغيل MacOS ، يمكن تسجيل الملفات في برنامج CryptoArm (تكلفة الترخيص 2500 = روبل) ، أو باستخدام أمر بسيط عبر المحطة - مجانًا.

1. معرفة تجزئة شهادة CEP

يمكن أن يكون هناك عدة شهادات على الرمز وفي المخازن الأخرى. من الضروري تحديد هوية الشخص الذي سنستمر في توقيع المستندات معه. يتم ذلك مرة واحدة.
يجب إدخال الرمز. نحصل على قائمة الشهادات في المستودعات باستخدام الأمر من المحطة الطرفية:

 /opt/cprocsp/bin/certmgr -list 

يجب على الفريق عرض شهادة واحدة على الأقل من النموذج:

Certmgr 1.1 © "Crypto-Pro" ، 2007-2018.
برنامج لإدارة الشهادات ، CRLs والمخازن
= = = = = = = = = = = = = = = = = = = =
1 -------
المُصدر: E = help @ esphere.ru ، ... CN = KORUS Consulting CIS LLC ...
الموضوع: E = sergzah @ gmail.com ، ... CN = Zakharov Sergey Anatolyevich ...
المسلسل: 0x000000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
الحاوية: SCARD \ rutoken_lt_00000000 \ 0000 \ 0000
...
= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

يجب أن يكون للشهادة التي نحتاجها في المعلمة Container قيمة النموذج SCARD \ rutoken .... إذا كان هناك العديد من الشهادات مع هذه القيم ، فهذا يعني أن العديد من الشهادات مكتوبة على الرمز المميز ، وأنك على علم بالشهادة التي تحتاج إليها. يجب نسخ قيمة معلمة هاش SHA1 (40 حرفًا) واستبدالها في الأمر أدناه.

2. توقيع ملف مع أمر من المحطة

في المحطة ، انتقل إلى الدليل مع الملف للتوقيع وتشغيل الأمر:

 /opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint  FILE 

حيث ... هي تجزئة الشهادة التي تم الحصول عليها في الخطوة 1 ، و FILE هو اسم الملف الذي سيتم توقيعه (مع كل الامتدادات ، ولكن بدون مسار).

يجب أن يعود الفريق:

يتم إنشاء رسالة موقعة.
[ErrorCode: 0x00000000]

سيتم إنشاء ملف توقيع إلكتروني بالملحق * .sgn - وهذا توقيع غير متصل بتنسيق CMS مع تشفير DER.

3. تثبيت البرنامج النصي Apple Automator

لكي لا تعمل مع الجهاز الطرفي في كل مرة ، يمكنك تثبيت Automator Script مرة واحدة ، والتي يمكنك من خلالها توقيع المستندات من قائمة سياق Finder. للقيام بذلك ، قم بتنزيل الأرشيف - تنزيل .

1. فك الأرشيف "Sign with CryptoPro.zip"
2. تشغيل الأوتوماتيكي
3. ابحث عن الملف الذي تم فك حزمه وافتحه "تسجيل باستخدام CryptoPro.workflow"
4. في كتلة Run Shell Script ، نقوم بتغيير النص إلى قيمة المعلمة SHA1 Hash لشهادة CEP التي تم الحصول عليها أعلاه.
5. احفظ البرنامج النصي: ommCommand + S
6. قم بتشغيل الملف "تسجيل باستخدام CryptoPro.workflow" وتأكيد التثبيت.
7. انتقل إلى تفضيلات النظام -> ملحقات -> الباحث وتحقق من أن الإجراء السريع للتوقيع باستخدام CryptoPro محدد .
8. في Finder ، اتصل بقائمة السياق لأي ملف ، وفي قسم الإجراءات السريعة و / أو الخدمات ، حدد تسجيل باستخدام CryptoPro
9. في مربع الحوار CryptoPro الظاهر ، أدخل رقم التعريف الشخصي للمستخدم من CEP
10. سيظهر ملف بالملحق * .sgn في الدليل الحالي - توقيع غير متصل بتنسيق CMS مع تشفير DER.

تحقق من التوقيع على المستند

إذا كان محتوى المستند لا يحتوي على أسرار وأسرار ، فإن أسهل طريقة هي استخدام خدمة الويب على بوابة خدمة الدولة - https://www.gosuslugi.ru/pgu/eds . بحيث يمكنك التقاط لقطة شاشة من مورد موثوق وتأكد من أن كل شيء على ما يرام مع توقيع.