根据RBC和Tensor的说法,2019年俄罗斯将发行460万份符合63-FZ要求的合格电子签名(CEP)证书。 事实证明,在800万个注册的IP和LLC中,第二个企业家使用电子签名。 除了用于EGAIS的CEP和用于提交银行和会计服务发布的报告的基于云的CEP外,带有安全令牌的通用CEP也特别受关注。 此类证书使您可以登录状态门户网站并签署任何文档,从而使它们具有法律意义。
借助USB令牌上的CEP证书,您可以远程与交易对手或远程员工签订合同,将文件发送给法院; 在在线收银机上注册,结清欠款并在nalog.ru上的帐户中提交声明; 了解债务和即将进行的公共服务检查。
以下手册将帮助您使用macOS的CEP-无需学习CryptoPro论坛和使用Windows安装虚拟机。
目录内容您需要使用CEP for macOS进行以下操作:
为macOS安装和配置CEP
- 安装CryptoPro CSP
- 安装Rootoken驱动程序
- 安装证书
3.1。 我们删除所有旧的GOST证书
3.2。 安装根证书
3.3。 下载认证中心证书
3.4。 使用Rutoken安装证书 - 安装特殊的浏览器Chromium-GOST
- 安装浏览器扩展
5.1 CryptoPro EDS浏览器插件
5.2。 政府服务插件
5.3。 设置公共服务插件
5.4。 激活扩展
5.5。 我们配置扩展CryptoPro EDS Browser插件 - 检查一切正常。
6.1。 我们转到测试页面CryptoPro
6.2。 我们进入nalog.ru上的个人帐户
6.3。 我们去公共服务 - 如果停止工作该怎么办
更改容器PIN
- 我们找出容器CEP的名称
- 从终端更改PIN命令
在macOS上签名文件
- 找出CEP证书的哈希值
- 使用终端命令签名文件
- 安装Apple Automator脚本
验证文件上的签名
以下所有信息均来自信誉良好的来源(CryptoPro #1 , #2和#3 , Rutoken , Corus-Consulting , 乌拉尔联邦地区通信部 ),并建议从受信任的站点下载软件。 作者是独立顾问,与任何上述公司都不隶属。 按照此说明,您对任何操作和后果承担全部责任。
您需要使用CEP for macOS进行以下操作:
- USB令牌Rutoken Lite或Rutoken EDS 上的 CEP
- CryptoPro格式的cryptocontainer
- 具有CryptoPro CSP的内置许可证
- 公共证书必须存储在私钥容器中
不支持将EToken和JaCarta媒体与CryptoPro for macOS结合使用。 运营商Rutoken Lite是最好的选择,它的价格为500..1000 =卢布,它运行智能,最多可以存储15个密钥。
macOS不支持VipNet,Signal-COM和LISSI密码提供程序。 转换容器不起作用。 CryptoPro是最佳选择,证书的费用应约为1300 =卢布。 对于SP和1600 =擦。 为Yul。
通常,CryptoPro CSP的年度许可证已连接到证书中,并且许多CA是免费提供的。 如果不是这样,则您需要购买并激活价值2700 =的CryptoPro CSP严格版本4的永久许可证。 适用于macOS的CryptoPro CSP版本5当前不起作用。
通常,公共证书存储在私钥容器中,但是在颁发CEP时需要对此进行澄清,并要求根据需要进行操作。 如果不起作用,则可以使用Windows的CryptoPro CSP自己将公共密钥导入封闭的容器中。
为macOS安装和配置CEP
明显的事情- 所有下载的文件都下载到默认目录:〜/ Downloads /;
- 我们不会在所有安装程序中进行任何更改,而是默认保留所有内容;
- 如果macOS显示警告,提示正在启动的软件来自已卸载的开发人员,则需要在系统设置中确认启动: 系统偏好设置->安全和隐私->仍然打开 ;
- 如果macOS要求输入用户密码和控制计算机的权限,则需要输入密码并同意一切。
1.安装CryptoPro CSP
我们在CryptoPro网站上注册 ,并从下载页面 下载并下载并安装macOS的CryptoPro CSP 4.0 R4版本。
2.安装Rootoken驱动程序
该网站说它是可选的,但最好交付。 在Rutoken网站上的下载页面上,下载并安装KeyChain支持模块 -download。
接下来,连接usb令牌,运行终端并执行以下命令:
/opt/cprocsp/bin/csptest -card -enum
答案应该是:
Aktiv Rutoken ...
卡存在...
[错误代码:0x00000000]
3.安装证书
3.1。 我们删除所有旧的GOST证书
如果以前曾尝试在macOS下运行CEP,则必须清除所有以前安装的证书。 终端中的这些命令仅会删除CryptoPro证书,并且不会影响macOS上来自Keychain的普通证书。
sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all
每个命令的响应应为:
没有符合条件的证书
或
删除完成
3.2。 安装根证书
根证书对于任何证书颁发机构颁发的所有CEP都是通用的。 从乌拉尔联邦区交通部的下载页面下载 :
在终端中安装以下命令:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer
每个团队应返回:
安装:
...
[错误代码:0x00000000]
3.3。 下载认证中心证书
接下来,您需要在颁发CEP的位置安装证书颁发机构的证书。 通常,每个CA的根证书位于其网站的“下载”部分中。
或者,可以从交通部乌拉尔联邦区的网站下载任何CA的证书。 为此,您需要在搜索表单中按名称查找CA,转到包含证书的页面并下载所有有效的证书-即那些第二个日期尚未到达“有效”字段的证书。 从“版本说明”字段下载链接。
在CA Corus Consulting的示例中:您需要从下载页面下载4个证书:
我们使用来自终端的命令安装下载的CA证书:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer
〜/ Downloads /之后是下载文件的名称,对于每个CA,它们将有所不同。
每个团队应返回:
安装:
...
[错误代码:0x00000000]
3.4。 使用Rutoken安装证书
终端中的命令:
/opt/cprocsp/bin/csptestf -absorb -certs
团队必须返回:
好啦
[错误代码:0x00000000]
3.5。 配置CryptoPro以使用GOST R 34.10-2012证书
要使用自2019年以来发行的证书在nalog.ru上正常工作,CryptoPro网站上的说明建议:
终端中的命令:
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'
团队不返回任何东西。
4.安装特殊的浏览器Chromium-GOST
要使用政府门户网站,您需要特殊的铬浏览器组件Chromium-GOST 。 该项目的源代码是开放的, 在CryptoPro网站 上提供了 GitHub上存储库的链接。 根据经验,其他浏览器CryptoFox和Yandex.Browser不适合与macOS的政府门户一起使用。 值得考虑的是,在Chromium-GOST的某些程序集中,nalog.ru上的个人帐户可能会冻结或滚动完全停止工作,因此建议使用旧的可靠程序集71.0.3578.98- 下载 。
下载并解压缩存档,通过复制安装浏览器,或拖放到“应用程序”目录。 安装后,使用终端命令强制关闭Chromium-Gost,但尚未将其打开(我们在Safari中工作):
killall Chromium-Gost
5.安装浏览器扩展
5.1 CryptoPro EDS浏览器插件
在CryptoPro网站上的下载页面上, 为用户下载并安装CryptoPro EDS Browser插件版本2.0- 下载 。
5.2。 政府服务插件
在Gosuslug门户的下载页面上,下载并安装用于与政府服务门户(macOS的版本)配合使用的插件 - 下载 。
5.3。 设置公共服务插件
在标准GOST2012中下载正确的配置文件以扩展政府服务,以支持macOS和新的数字签名。
我们在终端中执行命令:
sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg
sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts
5.4。 激活扩展
我们启动Chromium-Gost浏览器,然后在地址栏中键入:
chrome://extensions/
我们包括两个已安装的扩展:
- 用于CAdES浏览器插件的CryptoPro扩展
- 公共服务插件扩展
5.5。 我们配置扩展CryptoPro EDS Browser插件
在Chromium-Gost的地址栏中输入:
/etc/opt/cprocsp/trusted_sites.html
在出现的页面上,我们将站点依次添加到受信任站点列表中:
https://*.cryptopro.ru https://*.nalog.ru https://*.gosuslugi.ru
点击“保存”。 一个绿色的骰子应该出现:
可信站点列表已成功保存。
6.检查一切正常
6.1。 我们转到测试页面CryptoPro
在Chromium-Gost的地址栏中输入:
https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
应该显示“已加载插件”,并且您的证书应该在下面的列表中。
从列表中选择一个证书,然后单击“签名”。 将要求证书PIN。 结果应显示
签名生成成功
6.2。 我们进入nalog.ru上的个人帐户
可能无法访问nalog.ru网站上的链接,因为 支票将无法通过。 您需要转到直接链接:
6.3。 我们去公共服务
授权期间,选择“使用电子签名登录”。 在出现的列表“选择用于电子签名验证密钥的证书”中,将显示所有证书,包括root和CA,您需要从usb令牌中选择您的证书并输入PIN。
7.如果停止工作该怎么办
我们重新连接usb令牌,并使用终端中的命令验证它是否可见:
sudo /opt/cprocsp/bin/csptest -card -enum
我们一直清除浏览器缓存,为此我们在Chromium-Gost的地址栏中输入:
chrome://settings/clearBrowserData
使用终端中的命令重新安装CEP证书:
/opt/cprocsp/bin/csptestf -absorb -certs
更改容器PIN
Rutoken的默认PIN码为12345678 ,您不能原样保留。 Rootoken PIN码的要求:最多16个字符,可以包含拉丁字母和数字。
1.找出容器CEP的名称
在USB令牌和其他存储中,可以存储多个证书,您需要选择正确的证书。 插入usb令牌后,我们可以使用终端中的命令获取系统中所有容器的列表:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext
团队必须带出至少1个容器并返回
[错误代码:0x00000000]
我们需要的容器是以下形式
\。\ Aktiv Rutoken lite \ XXXXXXXX
如果有多个这样的容器,则意味着在令牌上写入了多个证书,并且您知道需要哪一个。 需要将斜杠后的值XXXXXXXX复制并替换为以下命令。
2.从终端更改PIN命令
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"
其中XXXXXXXX是在步骤1中获得的容器名称(用引号引起)。
将出现一个CryptoPro对话框,要求输入旧的PIN码以访问证书,然后出现另一个对话框,输入新的PIN码。 做完了
在macOS上签名文件
在macOS中,可以使用CryptoArm软件(许可证费用2500 =卢布)对文件进行签名,也可以通过终端使用简单的命令进行签名-免费。
1.找出CEP证书的哈希值
令牌和其他存储中可以有多个证书。 有必要唯一标识一个我们将继续与之签名文件的人。 完成一次。
必须插入令牌。 我们使用来自终端的命令获取存储库中的证书列表:
/opt/cprocsp/bin/certmgr -list
团队必须至少显示以下格式的一张证书:
Certmgr 1.1©“ Crypto-Pro”,2007-2018。
用于管理证书,CRL和存储的程序
=====================
1 -------
发行人:E = help @ esphere.ru,... CN = KORUS Consulting CIS LLC ...
主题:E = sergzah @ gmail.com,... CN = Zakharov Sergey Anatolyevich ...
序列号:0x000000000000000000000000000000000000000000
SHA1哈希:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
容器:SCARD \ rutoken_lt_00000000 \ 0000 \ 0000
...
=====================
[错误代码:0x00000000]
我们需要在Container参数中使用的证书的值应为SCARD \ rutoken .... 如果有多个具有此类值的证书,则意味着在令牌上写入了多个证书,并且您知道需要哪一个。 必须将SHA1哈希参数的值(40个字符)复制并替换为以下命令。
2.使用来自终端的命令对文件签名
在终端中,转到包含用于签名的文件的目录,然后运行命令:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint FILE
其中...是在步骤1中获得的证书哈希,而FILE是要签名的文件的名称(带有所有扩展名,但没有路径)。
团队必须返回:
签名消息已创建。
[错误代码:0x00000000]
将创建扩展名为* .sgn的电子签名文件-这是CMS格式的,DER编码的断开签名。
3.安装Apple Automator脚本
为了每次都不能在终端上使用,可以安装一次Automator Script,使用该脚本可以从Finder上下文菜单中签名文档。 为此,请下载存档-download 。
- 解压档案“使用CryptoPro.zip签名”
- 启动自动器
- 查找并打开解压缩的文件“使用CryptoPro.workflow签名”
- 在Run Shell Script块中,将文本的文本更改为上面获得的CEP证书的SHA1哈希参数的值。
- 保存脚本:⌘Command+ S
- 运行文件“ Sign with CryptoPro.workflow”并确认安装。
- 转到系统偏好设置->扩展-> Finder,并验证是否选中了“ 使用CryptoPro签名”快速操作。
- 在Finder中,调用任何文件的上下文菜单,然后在“ 快速操作和/或服务”部分中,选择“ 使用CryptoPro签名”
- 在出现的CryptoPro对话框中,从CEP输入用户PIN
- 扩展名为* .sgn的文件将出现在当前目录中-CMS格式的,DER编码的断开签名。
屏幕截图Apple Automator窗口:
系统偏好设置:
上下文菜单查找器:
验证文件上的签名
如果文档的内容不包含秘密和秘密,那么最简单的方法是在Gosuslug门户上使用Web服务-https: //www.gosuslugi.ru/pgu/eds 。 因此,您可以从权威资源中截取屏幕截图,并确保一切正常,并带有签名。