Menurut RBC dan Tensor , pada 2019 di Rusia, 4,6 juta sertifikat tanda tangan elektronik yang memenuhi syarat (CEP) akan dikeluarkan yang memenuhi persyaratan 63-FZ. Ternyata dari 8 juta IP terdaftar dan LLC, setiap pengusaha detik menggunakan tanda tangan elektronik. Selain CEP untuk EGAIS dan CEP berbasis cloud untuk mengirimkan laporan yang dikeluarkan oleh bank dan layanan akuntansi, CEP universal dengan token aman menjadi perhatian khusus. Sertifikat tersebut memungkinkan Anda untuk masuk ke portal negara bagian dan menandatangani dokumen apa pun, menjadikannya signifikan secara hukum.
Berkat sertifikat CEP pada token USB, Anda dapat menyimpulkan kontrak dengan rekanan atau karyawan jarak jauh, mengirim dokumen ke pengadilan; daftar kasir online, setel tunggakan pajak, dan kirimkan deklarasi di akun Anda di nalog.ru; cari tahu tentang utang dan cek yang akan datang pada layanan publik.
Manual di bawah ini akan membantu Anda bekerja dengan CEP untuk macOS - tanpa mempelajari forum CryptoPro dan menginstal mesin virtual dengan Windows.
IsiApa yang Anda perlukan untuk bekerja dengan CEP untuk macOS:
Instal dan konfigurasikan CEP untuk macOS
- Instal CryptoPro CSP
- Instal driver Rootoken
- Pasang sertifikat
3.1. Kami menghapus semua sertifikat GOST lama
3.2. Instal sertifikat root
3.3. Unduh sertifikat pusat sertifikasi
3.4. Instal sertifikat dengan Rutoken - Instal browser khusus Chromium-GOST
- Pasang ekstensi peramban
5.1 CryptoPro EDS Browser plug-in
5.2. Plugin untuk layanan pemerintah
5.3. Siapkan plugin untuk layanan publik
5.4. Aktifkan ekstensi
5.5. Kami mengkonfigurasi ekstensi CryptoPro EDS Browser plug-in - Periksa apakah semuanya berfungsi.
6.1. Kami pergi ke halaman pengujian CryptoPro
6.2. Kami masuk ke Akun Pribadi di nalog.ru
6.3. Kami pergi ke layanan publik - Apa yang harus dilakukan jika berhenti bekerja
Ubah PIN kontainer
- Kami mengetahui nama wadah CEP
- Ubah perintah PIN dari terminal
Menandatangani file di macOS
- Cari tahu hash sertifikat CEP
- Menandatangani file dengan perintah dari terminal
- Instal Skrip Automator Apple
Verifikasi tanda tangan pada dokumen
Semua informasi di bawah ini diperoleh dari sumber yang memiliki reputasi (CryptoPro # 1 , # 2 dan # 3 , Rutoken , Corus-Consulting , Kementerian Komunikasi Distrik Federal Ural ), dan diusulkan untuk mengunduh perangkat lunak dari situs tepercaya. Penulis adalah konsultan independen dan tidak berafiliasi dengan salah satu perusahaan yang disebutkan. Mengikuti instruksi ini, Anda memikul semua tanggung jawab atas tindakan dan konsekuensi apa pun.
Apa yang Anda perlukan untuk bekerja dengan CEP untuk macOS:
- CEP pada USB-token Rutoken Lite atau Rutoken EDS
- cryptocontainer dalam format CryptoPro
- dengan lisensi bawaan untuk CryptoPro CSP
- sertifikat publik harus disimpan dalam wadah kunci pribadi
EToken dan JaCarta media dalam hubungannya dengan CryptoPro untuk macOS tidak didukung. Carrier Rutoken Lite adalah pilihan terbaik, biayanya 500..1000 = rubel, ini berfungsi dengan cerdas dan memungkinkan Anda menyimpan hingga 15 kunci.
Penyedia kriptografi VipNet, Signal-COM, dan LISSI tidak didukung pada macOS. Konversi kontainer tidak berfungsi. CryptoPro adalah pilihan terbaik, biaya sertifikat harus sekitar 1.300 = rubel. untuk SP dan 1600 = gosok. untuk Yul.
Biasanya lisensi tahunan untuk CryptoPro CSP sudah ditransfer ke sertifikat dan banyak CA disediakan secara gratis. Jika tidak demikian, maka Anda perlu membeli dan mengaktifkan lisensi abadi untuk CryptoPro CSP versi 4 senilai 2700 =. CryptoPro CSP versi 5 untuk macOS saat ini tidak berfungsi.
Biasanya, sertifikat publik disimpan dalam wadah kunci pribadi, tetapi ini perlu diklarifikasi ketika mengeluarkan CEP dan diminta untuk melakukan apa yang diperlukan. Jika tidak berhasil, maka Anda dapat mengimpor sendiri kunci publik ke dalam wadah tertutup menggunakan CryptoPro CSP untuk Windows.
Instal dan konfigurasikan CEP untuk macOS
Hal-hal yang jelas- semua file yang diunduh diunduh ke direktori default: ~ / Downloads /;
- kami tidak mengubah apa pun di semua installer, kami membiarkan semuanya secara default;
- jika macOS menampilkan peringatan bahwa perangkat lunak yang diluncurkan berasal dari pengembang yang dihapus instalasinya, Anda perlu mengonfirmasi peluncuran dalam pengaturan sistem: System Preferences -> Security & Privacy -> Open Anyway ;
- jika macOS meminta kata sandi pengguna dan izin untuk mengontrol komputer, Anda harus memasukkan kata sandi dan setuju dengan semuanya.
1. Instal CryptoPro CSP
Kami mendaftar di situs web CryptoPro dan mengunduh serta menginstal versi CryptoPro CSP 4.0 R4 untuk macOS dari halaman unduh - unduh .
2. Instal driver Rootoken
Situs tersebut mengatakan bahwa itu opsional, tetapi lebih baik dikirim. Dari halaman unduh di situs web Rutoken, unduh dan instal Modul Dukungan KeyChain - unduh .
Selanjutnya, hubungkan token usb, jalankan terminal dan jalankan perintah:
/opt/cprocsp/bin/csptest -card -enum
Jawabannya harus:
Aktiv Rutoken ...
Kartu hadir ...
[ErrorCode: 0x00000000]
3. Pasang sertifikat
3.1. Kami menghapus semua sertifikat GOST lama
Jika sebelumnya ada upaya untuk menjalankan CEP di bawah macOS, maka Anda harus membersihkan semua sertifikat yang diinstal sebelumnya. Perintah-perintah ini di terminal hanya akan menghapus sertifikat CryptoPro dan tidak akan mempengaruhi sertifikat biasa dari Keychain di macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all
Respons setiap perintah harus:
Tidak ada sertifikat yang cocok dengan kriteria
atau
Penghapusan selesai
3.2. Instal sertifikat root
Sertifikat root adalah umum untuk semua CEP yang dikeluarkan oleh otoritas sertifikasi apa pun. Unduh dari halaman unduhan Kementerian Komunikasi Distrik Federal Ural :
Instal perintah berikut di terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer
Setiap tim harus kembali:
Menginstal:
...
[ErrorCode: 0x00000000]
3.3. Unduh sertifikat pusat sertifikasi
Selanjutnya, Anda perlu menginstal sertifikat otoritas sertifikasi tempat Anda mengeluarkan CEP. Biasanya, sertifikat root dari masing-masing CA terletak di situs webnya di bagian unduhan.
Atau, sertifikat CA apa pun dapat diunduh dari situs web Distrik Federal Ural, Kementerian Komunikasi . Untuk melakukan ini, dalam formulir pencarian, Anda perlu menemukan CA dengan nama, pergi ke halaman dengan sertifikat dan unduh semua sertifikat yang valid - yaitu, mereka yang kencan keduanya belum tiba di bidang 'Valid' . Unduh tautan dari bidang 'Lini Cetak' .
Pada contoh CA Corus Consulting: Anda harus mengunduh 4 sertifikat dari halaman unduhan :
Kami memasang sertifikat CA yang diunduh dengan perintah dari terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer
di mana after ~ / Downloads / adalah nama-nama file yang diunduh, untuk setiap CA mereka akan berbeda.
Setiap tim harus kembali:
Menginstal:
...
[ErrorCode: 0x00000000]
3.4. Instal sertifikat dengan Rutoken
Perintah di terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Tim harus kembali:
Oke
[ErrorCode: 0x00000000]
3.5. Konfigurasikan CryptoPro untuk bekerja dengan sertifikat GOST R 34.10-2012
Untuk bekerja dengan benar di nalog.ru dengan sertifikat yang dikeluarkan sejak 2019, instruksi di situs web CryptoPro merekomendasikan:
Perintah di terminal:
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'
Tim tidak mengembalikan apa pun.
4. Instal browser khusus Chromium-GOST
Untuk bekerja dengan portal pemerintah, Anda memerlukan perakitan khusus peramban kromium - Chromium-GOST . Kode sumber proyek terbuka, tautan ke repositori di GitHub disediakan di situs web CryptoPro . Menurut pengalaman, browser lain CryptoFox dan Yandex.Browser tidak cocok untuk bekerja dengan portal pemerintah untuk macOS. Perlu dipertimbangkan bahwa dalam beberapa majelis Chromium-GOST akun pribadi di nalog.ru mungkin macet atau gulir berhenti bekerja sama sekali, oleh karena itu perakitan lama yang telah terbukti 71.0.3578.98 diusulkan - unduh .
Unduh dan buka arsipnya, instal peramban dengan menyalin atau menyeret & jatuhkan ke direktori Aplikasi. Setelah instalasi, tutup paksa Chromium-Gost dengan perintah dari terminal dan jangan membukanya (kami bekerja dari Safari):
killall Chromium-Gost
5. Instal ekstensi browser
5.1 CryptoPro EDS Browser plug-in
Dari halaman unduhan di situs web CryptoPro, unduh dan instal plug-in Browser EDS CryptoPro versi 2.0 untuk pengguna - unduh .
5.2. Plugin untuk layanan pemerintah
Dari halaman unduhan di portal Gosuslug, unduh dan instal Plugin untuk bekerja dengan portal layanan pemerintah (versi untuk macOS) - unduh .
5.3. Siapkan plugin untuk layanan publik
Unduh file konfigurasi yang benar untuk ekstensi layanan pemerintah untuk mendukung macOS dan tanda tangan digital baru di GOST2012 standar - unduh .
Kami menjalankan perintah di terminal:
sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg
sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts
5.4. Aktifkan ekstensi
Kami meluncurkan browser Chromium-Gost dan di bilah alamat kami ketik:
chrome://extensions/
Kami menyertakan kedua ekstensi yang dipasang:
- Ekstensi CryptoPro untuk CAdES Browser Plug-in
- Ekstensi untuk plugin layanan publik
5.5. Kami mengkonfigurasi ekstensi CryptoPro EDS Browser plug-in
Di bilah alamat Chromium-Gost kami ketik:
/etc/opt/cprocsp/trusted_sites.html
Pada halaman yang muncul, kami menambahkan situs ke daftar situs tepercaya pada gilirannya:
https://*.cryptopro.ru https://*.nalog.ru https://*.gosuslugi.ru
Klik "Simpan." Cetakan hijau akan muncul:
Daftar situs tepercaya telah berhasil disimpan.
6. Periksa apakah semuanya berfungsi
6.1. Kami pergi ke halaman pengujian CryptoPro
Di bilah alamat Chromium-Gost kami ketik:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
"Plugin dimuat" harus ditampilkan, dan sertifikat Anda harus ada dalam daftar di bawah ini.
Pilih sertifikat dari daftar dan klik "Masuk". PIN sertifikat akan diminta. Hasilnya harus ditampilkan
Tanda tangan berhasil dibuat
6.2. Kami masuk ke Akun Pribadi di nalog.ru
Mungkin tidak dapat mengikuti tautan dari situs nalog.ru, karena cek tidak akan diteruskan. Anda harus membuka tautan langsung:
6.3. Kami pergi ke layanan publik
Selama otorisasi, pilih "Masuk menggunakan tanda tangan elektronik." Dalam daftar yang muncul, "Pilih sertifikat untuk kunci verifikasi tanda tangan elektronik," semua sertifikat akan ditampilkan, termasuk root dan CA, Anda harus memilih milik Anda dari token usb dan masukkan PIN.
7. Apa yang harus dilakukan jika berhenti bekerja
Kami menyambung kembali token usb dan memverifikasi bahwa itu terlihat menggunakan perintah di terminal:
sudo /opt/cprocsp/bin/csptest -card -enum
Kami menghapus cache browser sepanjang waktu, yang kami ketik di bilah alamat Chromium-Gost:
chrome://settings/clearBrowserData
Instal ulang sertifikat CEP menggunakan perintah di terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Ubah PIN kontainer
Kode PIN default untuk Rutoken adalah 12345678 , dan Anda tidak dapat membiarkannya begitu saja. Persyaratan untuk kode PIN Rootoken: maks. 16 karakter, Dapat berisi huruf dan angka latin.
1. Cari tahu nama wadah CEP
Pada token usb dan penyimpanan lain, beberapa sertifikat dapat disimpan, dan Anda harus memilih yang benar. Dengan token usb yang dimasukkan, kami mendapatkan daftar semua kontainer di sistem dengan perintah di terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext
Tim harus mengeluarkan setidaknya 1 kontainer dan kembali
[ErrorCode: 0x00000000]
Wadah yang kita butuhkan adalah dari bentuk
\. \ Aktiv Rutoken lite \ XXXXXXXX
Jika ada beberapa wadah seperti itu, itu berarti bahwa beberapa sertifikat tertulis di token, dan Anda mengetahui yang mana yang Anda butuhkan. Nilai XXXXXXXX setelah slash perlu disalin dan diganti menjadi perintah di bawah ini.
2. Ubah perintah PIN dari terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"
di mana XXXXXXXX adalah nama wadah yang diperoleh pada langkah 1 (diperlukan dalam tanda kutip).
Dialog CryptoPro akan muncul meminta kode PIN lama untuk mengakses sertifikat, lalu dialog lain untuk memasukkan kode PIN baru. Selesai
Menandatangani file di macOS
Dalam macOS, file dapat ditandatangani dalam perangkat lunak CryptoArm (biaya lisensi 2500 = rubel), atau dengan perintah sederhana melalui terminal - gratis.
1. Cari tahu hash sertifikat CEP
Mungkin ada beberapa sertifikat di token dan di penyimpanan lain. Kita perlu mengidentifikasi secara unik siapa yang akan kita terus menandatangani dokumen. Itu dilakukan sekali.
Token harus dimasukkan. Kami mendapatkan daftar sertifikat di repositori menggunakan perintah dari terminal:
/opt/cprocsp/bin/certmgr -list
Tim harus menampilkan setidaknya 1 sertifikat formulir:
Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program untuk mengelola sertifikat, CRL dan toko
= = = = = = = = = = = = = = = = = = =
1 -------
Penerbit: E = bantuan @ esphere.ru, ... CN = KORUS Consulting CIS LLC ...
Subjek: E = sergzah @ gmail.com, ... CN = Zakharov Sergey Anatolyevich ...
Serial: 0x00000000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Wadah: SCARD \ rutoken_lt_00000000 \ 0000 \ 0000
...
= = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]
Sertifikat yang kami butuhkan dalam parameter Container harus memiliki nilai dari bentuk SCARD \ rutoken .... Jika ada beberapa sertifikat dengan nilai seperti itu, itu berarti beberapa sertifikat ditulis di token, dan Anda mengetahui yang mana yang Anda butuhkan. Nilai parameter SHA1 Hash (40 karakter) harus disalin dan diganti menjadi perintah di bawah ini.
2. Menandatangani file dengan perintah dari terminal
Di terminal, buka direktori dengan file untuk masuk dan jalankan perintah:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint FILE
di mana ... adalah hash sertifikat yang diperoleh pada langkah 1, dan FILE adalah nama file yang akan ditandatangani (dengan semua ekstensi, tetapi tanpa jalur).
Tim harus kembali:
Pesan yang ditandatangani dibuat.
[ErrorCode: 0x00000000]
File tanda tangan elektronik dengan ekstensi * .sgn akan dibuat - ini adalah tanda tangan terputus dalam format CMS dengan penyandian DER.
3. Instal Skrip Automator Apple
Agar tidak bekerja dengan terminal setiap kali, Anda dapat menginstal Script Automator sekali, yang dengannya Anda dapat menandatangani dokumen dari menu konteks Finder. Untuk melakukan ini, unduh arsip - unduh .
- Buka paket arsip 'Sign with CryptoPro.zip'
- Luncurkan Automator
- Temukan dan buka file yang belum dibongkar 'Sign with CryptoPro.workflow'
- Dalam blok Run Shell Script kami mengubah teks ke nilai parameter SHA1 Hash dari sertifikat CEP yang diperoleh di atas.
- Simpan skrip: ommCommand + S
- Jalankan file 'Sign with CryptoPro.workflow' dan konfirmasikan penginstalan.
- Pergi ke System Preferences -> Extensions -> Finder dan verifikasi bahwa Sign with CryptoPro action cepat dicentang.
- Di Finder, panggil menu konteks file apa pun, dan di bagian Tindakan Cepat dan / atau Layanan , pilih Masuk dengan CryptoPro
- Dalam dialog CryptoPro yang muncul, masukkan PIN pengguna dari CEP
- File dengan ekstensi * .sgn akan muncul di direktori saat ini - tanda tangan terputus dalam format CMS dengan penyandian DER.
Tangkapan layarJendela Automator Apple:
Preferensi Sistem:
Pencari menu konteks:
Verifikasi tanda tangan pada dokumen
Jika konten dokumen tidak mengandung rahasia dan rahasia, maka cara termudah adalah dengan menggunakan layanan web di portal Gosuslug - https://www.gosuslugi.ru/pgu/eds . Jadi, Anda dapat mengambil tangkapan layar dari sumber yang resmi dan pastikan semuanya baik-baik saja dengan tanda tangan.