Как установить электронную подпись на носителе на Mac

Основные понятия:

• Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически. 
• Плагин (модуль) — это программный блок, который встраивается в браузер и расширяет его возможности. В отличие от дополнений плагин, как правило, не имеет интерфейса. Плагины используются для проигрывания видео и аудио в браузере, просмотра PDF-документов, улучшения работы веб-служб, организующих совместную работу в интернете и т. д.

Что делать если перестало работать

1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum -v


2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

   
chrome://settings/clearBrowserData


3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

Что нужно для работы с кэп под macos:

1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
2. криптоконтейнер в формате КриптоПро
3. со встроенной лицензией на КриптоПро CSP

Носители 
eToken и JaCarta в связке с КриптоПро под macOS не поддерживаются. Носитель Рутокен Lite – оптимальный выбор, стоит 500..1000= руб., шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата должна быть порядка 1300= руб. для ИП и 1600= руб. для ЮЛ.

Обычно годовая лицензия на КриптоПро CSP уже зашита в сертификат и многими УЦ предоставляется бесплатно. 
Если это не так, то необходимо купить и активировать бессрочную лицензию на КриптоПро CSP строго версии 4 стоимостью 2700=. КриптоПро CSP версии 5 под macOS в данный момент не работает.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Необходимое программное обеспечение:

Минимальные требования: 

Операционная система: Mac OS X 10.9.Наличие учетной записи с правами администратора.

Ссылки на необходимое программное обеспечение:

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:
…
[ErrorCode: 0x00000000]

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

3. Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Как зайти в личный кабинет налогоплательщика на сайте фнс в macos?

В личных кабинетах налогоплательщика есть страницы диагностики настроек электронной подписи.

При выполнении ВСЕХ настроек, описанных выше, невозможно пройти эту диагностику на macOS, но это не значит, что электронная подпись работать не будет. Для входа по электронной подписи нужно перейти по прямой ссылке личных кабинетов и авторизоваться по электронной подписи через браузер Chromium GOST:

При переходе по прямой ссылке Вы увидите запрос на выбор сертификата. Выбираете Ваш сертификат и входите без проблем!

Закономерный результат – успешный вход в личный кабинет (в примере – личный кабинет юридического лица).

Если у Вас не получается выполнить вход в Личный кабинет налогоплательщика –
обратитесь в нашу платную техническую поддержку.

Криптопро эцп browser plug-in

     1. КриптоПро ЭЦП Browser plug-in скачиваете по данной ссылке.

     2. Запустите файл установщика cprocsp-pki-2.0.14071.pkg.

     3. Начнется установка КриптоПро ЭЦП Browser Plug-in. Нажмите Продолжить.

     4. Ознакомьтесь с информацией о продукте и нажмите Продолжить.

     5. Ознакомьтесь с Лицензионным соглашением и нажмите Продолжить.

     6. Чтобы продолжить установку, потребуется принять условия Лицензионного соглашения. Для этого в появившемся окне нажмите Принять.

     7. Для продолжения установки, нажмите Установить. Не рекомендуется изменять директорию установки КриптоПро ЭЦП Browser plug-in.

     8. Если потребуется, разрешите Установщику установить КриптоПро ЭЦП Browser plug-in. Для этого необходимо ввести пароль.

     9. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

Настройка браузера chromium-gost

     1. Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

     2. Включаем оба установленных расширения, с помощью выключателя  

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

     3. Настраиваем расширение КриптоПро ЭЦП Browser plug-in, для этого в адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

     4. На появившейся странице в список доверенных узлов по очереди добавляем сайты:

     5. Жмем кнопку Сохранить. Должна появиться запись на зелёном фоне: «Список доверенных узлов успешно сохранен».

Настройка электронной подписи для портала госуслуг

Если Вы планируете использовать вашу квалифицированную электронную подпись на портале Госуслуг, то кроме вышеуказанных настроек необходимо установить еще плагин портала Госуслуг.

Достаточно хорошая
инструкция по установке этого плагина есть на сайте КриптоПро.

Для настройки плагина Госуслуг на macOS необходимо выполнить простые действия:

На этом настройка плагина Госуслуг окончена – электронная подпись готова к работе на Госуслугах.

Плагин для госуслуг

     1. Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2022 по ссылке 

     2. Запустите файл установщика IFCPlugin.pkg с помощью контекстного меню (правая кнопка мыши), выбрав Открыть.

     3. Для начала установки нажимаете Установить.

     4. Начнется установка, необходимо действовать, согласно сообщениям программы. 

     5. Если потребуется, разрешите Установщику установить плагин. Для этого необходимо ввести пароль.

     6. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

     7. Конфигурационный файл плагина Госуслуг ifc.cfg доступен по данной ссылке.

     8. Скачиваем и оставляем его в папке Download/Загрузки.

     9. Открываем стандартное приложение macOS Терминал (Terminal) (см. раздел Запуск приложения macOS Терминал (Terminal)).

     10. Вводим последовательно команды:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

Подпись файла командой из терминал (terminal)

     1. В Терминал (Terminal) переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

     2. Команда должна вернуть:

Signed message is created.[ErrorCode: 0x00000000]Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Проверка установки электронной подписи.

Для проверки настройки электронной подписи можно перейти на
страницу диагностики работы КриптоПро CSP и плагина на сайте разработчика.

При переходе на страницу проверки работы плагина выйдет сообщение (запрос на разрешение запуска плагина), необходимо разрешить запуск плагина кнопкой “ОК”. Такое сообщение Вы будете получать на любой странице, где будете работать с электронной подписью.

Нас странице должна появиться версия установленного плагина. Выбираем наш установленный сертификат и нажимаем “Подписать”.

Если все настроено корректно – Вы увидите результат в качестве данных base64.

Если Вы увидели такой результат – ваш компьютер корректно настроен для работы с подписью. 

Если у Вас не получается корректно настроить macOS для работы с электронной подписью – можете
обратиться в нашу платную техническую поддержку.

Для некоторых ресурсов (например, для Личного кабинета налогоплательщика или Единый реестр участников закупок) требуется особая настройка – защищенного TLS-соединения. Для macOS такое защищенное соединение возможно только в специальном браузере – Chomium GOST.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Тестирование работоспособности

Откройте ваш любимый браузер и перейдите по ссылке (не забудьте установить CryptoPro Browser Plugin).

На открывшейся странице выберите необходимый сертификат и нажмите кнопку подписать. Если не вышла информация об ошибке, то все сработало.

Установка apple automator script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого 

Установка chromium gost для macos

Компанией КриптоПро был разработан программный продукт – Интернет-браузер, адаптированный под работу с отечественной криптографией. Называется этот браузер
Chromium GOST. Подробнее о браузере можно почитать
на сайте разработчика.

Установка криптопро csp на macos

Установка КриптоПро CSP на сегодняшний день достаточно простая.
На сайте разработчика есть описание установки КриптоПро CSP, мы всего лишь визуализируем ее.

Для установки
скачиваем дистрибутив программы. Распаковываем его и запускаем установщик ru.cryptopro.csp-5.0.ХХХХХХ.pkg.

Следуя шагам мастера установки соглашаемся со всеми сообщениями. Рекомендуем на шаге “Тип установки” установить дополнительные компоненты, которые не отмечены по умолчанию:

• CPROrdcryptoki – модуль поддержки внешних носителей, работающих с PKCS#11, он находится в разделе Readers/Media. Этот модуль пригодится тем, кто использует такие носители для хранения электронной подписи, как Рутокен ЭЦП 2.0, JaCarta ГОСТ и пр.
• CPROstnl – универсальный SSL-тунель;

Продолжаем работу мастера до установки КриптоПро CSP на macOS.

Установка лицензии криптопро

Для установки лицензии необходимо открыть приложение «Терминал». Для его открытия нажмите на значок «лупы» в правом верхнем углу и, в открывшееся поле, введите «терминал», нажмите кнопку ввода.

После того, как откроется терминал, нужно ввести в него команду (можно скопировать текст и вставить в терминал):

sudo /opt/cprocsp/sbin/cpconfig -license -view

Данная команда проверит текущее состояние лицензии. Если вы установили КриптоПро впервые, то вам, скорее всего, будет предоставлен тестовый период. Но мы рекомендуем сразу установить вашу лицензию и забыть об этом до истечения срока лицензии.

Для установки лицензии необходимо выполнить команду:

sudo /opt/cprocsp/sbin/cpconfig -license -set <серийный номер>

Вместо <серийный номер> вставьте текст вашей лицензии.

Установка личного сертификата в macos

Прежде чем начать работать с вашей квалифицированной электронной подписью, необходимо установить ваш личный сертификат в систему.

Для установки личного сертификата подключите носитель вашей электронной подписи к компьютеру. 

Внимание! В зависимости от модели вашего защищенного носителя, может потребоваться дополнительная установка драйвера в macOS. Для защищенный носителей Рутокен Лайт установка дополнительных драйверов не требуется! Порядок установки драйверов для вашго защищенного носителя – уточните у вашего поставщика порядок установки драйверов для macOS.

Запускаем установленный компонент Инструменты КриптоПро.

В разделе “Контейнеры” выбираем контейнер с вашей электронной подписью и нажимаем кнопку “Установить сертификат”.

После этой процедуры ваша система macOS знает о существовании сертификата и знает на каком защищенном носителе. Можно приступать к работе.

Если Вы не можете справится с установкой личного сертификата – можете обратиться в нашу платную техническую поддержку в чат на сайте или по телефону 7 (342) 2700146. 

Установка специального браузера chromium-gost

     1. Для работы с государственными порталами потребуется браузер – Chromium-GOST.

По ссылке скачивается определенная сборка браузера (71.0.3578.98), так как в более новых версиях не гарантируется корректная работа в ЛК ФНС.

     2. После скачивания файл браузера появится в папке Downloads (Загрузки), запускать его не требуется, просто перетаскиваем на панель уведомлений для удобства.

     3. Переходим к настройке плагинов ниже.

Установка электронной подписи в локальное хранилище macos

Для начала вам необходимо вставить ваш токен (USB-носитель вашей цифровой подписи) в USB привод Мака. После того, как это будет сделано в окне терминала выполните команду:

sudo /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

Данная команда отобразит список контейнеров сертификатов, как локальные, так и USB. Все локальные контейнеры начинаются с «\.HDIMAGE…». Найдите в данном списке путь до контейнера на USB носителе, у которого вместо «HDIMAGE” будет написано, чаще всего, наименование его производителя, например, «Aktiv Rutoken».

Наконец, скопируем цифровую подпись с USB-носителя на локальный компьютер с помощью команды:

sudo /opt/cprocsp/bin/csptestf -keycopy -contsrc ‘<путь до вашего контейнера на USB носителе>’ -contdest ‘\.HDIMAGE<любое удобное название контейнера на локальном носителе латинскими буквами> ‘

Далее вам будет предложено ввести пароль для локального контейнера. Придумайте его, запишите в удобное для вас место и введите его в поле.

Установка электронной цифровой подписи на macos

Активные пользователи MacOS, которые имеют цифровую электронную подпись на USB- носителе (Rutoken и т.д.), часто сталкиваются с необходимостью установки сертификата в локальное хранилище (на жесткий диск). С этой необходимостью столкнулись и мы, но в сети не нашли достойного описания того, как это сделать. В результате родилась эта статья.

Шаг 1. установить расширение «помощник диагностики»

Сразу предупредим, что в Safari с подписью работать не получится, поэтому зайдите по этой ссылке через Хром, Оперу, Яндекс браузер или Мозиллу.

Шаг 2. установить плагин диагностики

Плагин поможет сервисам Контура быстро находить подпись на вашем маке. 

Процесс его установки — стандартный, нажимаете: Продолжить → Установить → вводите пароль → успех.

Шаг 3. установить криптопро, ещё одно расширение и компонент к нему

Возвращаемся на установочный диск, там нас ждёт ещё одна установка. 

Нажимаем Далее → Установить → Перейти к расширению.

Оно снова установится в вашем браузере.