- Что нужно для работы с кэп под macos:
- Что делать если перестало работать
- Выясняем название контейнера КЭП
- Выясняем хэш сертификата КЭП
- Подпись файла командой из terminal
- Смена PIN командой из terminal
- 1. Удаляем все старые ГОСТовские сертификаты
- 2. Устанавливаем корневые сертификаты
- 3. Скачиваем сертификаты удостоверяющего центра
- 4. Устанавливаем сертификат с Рутокен
- 4. Активируем расширения
- 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
- 1. Заходим на тестовую страницу КриптоПро
- 3. Заходим на Госуслуги
- Автоподписание эцп при работе с ipad | статья – directum club
- Включение доверия для профилей сертификатов в ios и ipados, установленных вручную
- Как загрузить эцп на айфон
- Мобильный арм для ipad от эос работает с эцп на любой версии ios
- Подпись файлов в macos
- Смена pin-кода контейнера
- Установка s/mime сертификата на ios
Что нужно для работы с кэп под macos:
- КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
- криптоконтейнер в формате КриптоПро
- со встроенной лицензией на КриптоПро CSP
- открытый сертификат должен храниться в контейнере закрытого ключа
Носители eToken и JaCarta в связке с КриптоПро под macOS не поддерживаются. Носитель Рутокен Lite – оптимальный выбор, стоит 500..1000= руб., шустро работает и позволяет хранить до 15 ключей.
Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата должна быть порядка 1300= руб. для ИП и 1600= руб. для ЮЛ.
Обычно годовая лицензия на КриптоПро CSP уже зашита в сертификат и многими УЦ предоставляется бесплатно. Если это не так, то необходимо купить и активировать бессрочную лицензию на КриптоПро CSP строго версии 4 стоимостью 2700=. КриптоПро CSP версии 5 под macOS в данный момент не работает.
Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.
Что делать если перестало работать
Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:
sudo /opt/cprocsp/bin/csptest -card -enum
Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:
chrome://settings/clearBrowserData
Переустанавливаем сертификат КЭП с помощью команды в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Выясняем название контейнера КЭП
На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext
Команда должна вывести минимум 1 контейнер и вернуть
[ErrorCode: 0x00000000]
Нужный нам контейнер имеет вид
.Aktiv Rutoken liteXXXXXXXX
Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.
Выясняем хэш сертификата КЭП
На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:
/opt/cprocsp/bin/certmgr -list
Команда должна вывести минимум 1 сертификат вида:
Подпись файла командой из terminal
В terminal переходим в каталог с файлом для подписания и выполняем команду:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE
где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).
Команда должна вернуть:
Signed message is created.
[ErrorCode: 0x00000000]
Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.
Смена PIN командой из terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"
где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).
Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.
1. Удаляем все старые ГОСТовские сертификаты
Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all
В ответе каждой команды должно быть:
No certificate matching the criteria
или
Deleting complete
2. Устанавливаем корневые сертификаты
Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:
Устанавливаем командами в terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer
Каждая команда должна возвращать:
Installing:
…
[ErrorCode: 0x00000000]
3. Скачиваем сертификаты удостоверяющего центра
Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.
4. Устанавливаем сертификат с Рутокен
Команда в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Команда должна вернуть:
OK.
[ErrorCode: 0x00000000]
4. Активируем расширения
Запускаем браузер Chromium-Gost и в адресной строке набираем:
chrome://extensions/
Включаем оба установленных расширения:
- CryptoPro Extension for CAdES Browser Plug-in
- Расширение для плагина Госуслуг
5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
В адресной строке Chromium-Gost набираем:
/etc/opt/cprocsp/trusted_sites.html
На появившейся странице в список доверенных узлов по-очереди добавляем сайты:
1. Заходим на тестовую страницу КриптоПро
В адресной строке Chromium-Gost набираем:
3. Заходим на Госуслуги
При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.
Автоподписание эцп при работе с ipad | статья – directum club
При работе с Администрацией одного из районов Астраханской области столкнулись с такой проблемой, а точнее задачей. Глава администрации района работает на iPad и хотел бы подписывать документы ЭЦП через веб-доступ Directum. Но функция подписи документов
при работе через iPad оказалась не доступна.
Натолкнувшись на статью «Автоподписание в типовых маршрутах» (http://ecpexpert.ru/post/Avtopodpisanie-v-tipovykh-marshrutakh.aspx) возникло решение настроить автоподписание
документов на сервере.
Для решения задачи в типовом маршруте «Согласование официальных документов», который используется администрацией для отправки документов на подпись Главе, были внесены следующие изменения:
- В блоке «Подпись документа ЭЦП руководителя высшего звена» в качестве исполнителя задачи вместо секретаря был указан параметр «Руководитель высшего звена» (т.е. параметр, в котором указывается Глава администрации). Это было сделано для того, чтобы задача
подписания ЭЦП приходила непосредственно Главе администрации. - Для блока «Подпись документа ЭЦП руководителя высшего звена» добавили следующий код для события «После запроса параметров»:
// Инициализация
Параметры = Work.WorkflowParams
ДокументИнф = Параметры.ValueByName("ПисьмоИсходящее").Value
Руководитель = Work.Info.Performer
// Если результат выполнения блока - "Подписано", то проверить наличие ЭЦП
// руководителя
Результат = Work.ExecutionResult.Code
если Результат == Sender.Results.ValueByName('Подписано').Code
// Найти последнюю действующую версию документа
Документ = ДокументИнф.Document
НомерДействВерсии = GetNumVersionEDoc(Документ; EDOC_VERSION_ACTIVE_STAGE_CODE)
если НомерДействВерсии >= 0
// Если нашли подходящую версию, то проверяем подписи
Подписано = CheckUserSignOnEDoc(Документ; Руководитель.Name; НомерДействВерсии)
иначе
Сообщение = 'Должна быть хотя бы одна действующая версия документа!'
Raise(СоздатьИсключение('EDIRNoActiveVersion'; Сообщение; ecWarning))
конецесли
если не Подписано
//проверяем, осуществляется ли доступ через веб и является ли исполнителем задания - Глава
если IsWebRuntimeContext() and Руководитель.ID == 12345 // для идентификации пользователя используется его ИД
Document=Документ
VersionNumber = НомерДействВерсии - 1
SignType = stApproving
//Подписать документ
//Инициализация переменных
CertificateFound = False
CertificateForSignInfo = nil
//Получить список сертификатов
CertificateList = ServiceFactory.GetUserECertificateList(CurrentPerformerUser)
//Получить первый сертификат
CertificateList.Reset
// Пока не достигнут конец списка сертификатов или сертификат не найден
while not (CertificateList.EOF or CertificateFound)
//Получить информацию о сертификате
CertificateForSignInfo = CertificateList.Value
//Проверить тип электронного сертификата: сертификат, предназначенный
//для подписания ЭЦП (ctSignature), или сертификат, предназначенный для подписания
//ЭЦП и для шифрования (ctSignatureEncode), и, что данный сертификат используется по умолчанию
CertificateFound = ((CertificateForSignInfo.CertificateType = ctSignature) or
(CertificateForSignInfo.CertificateType = ctSignatureEncode)) and
CertificateForSignInfo.IsDefault
//Если сертификат не удовлетворяет условиям выше, присвоить переменной CertificateForSignInfo пустой указатель
if not CertificateFound
CertificateForSignInfo = nil
endif
//Перейти к следующему элементу списка сертификатов
CertificateList.Next
endwhile
//Проверить на пустой указатель: если информация о сертификате не найдена, выдать сообщение пользователю
Assert(not VarIsClear(CertificateForSignInfo); Format('У пользователя"%s" отсутствует сертификат для подписания'; CurrentPerformerUser.Name))
//Получить сертификат из БД из компоненты "Пользователи" (открытый ключ)
Certificate = CertificateForSignInfo.ECertificate
//Получить права доступа пользователей к документу
AccessRights = Document.AccessRights
//Проверить права текущего пользователя на подписание ЭД
AccessRights.CheckSign()
// Получить версию для подписания
Version = Document.Versions.Values(VersionNumber)
//Получить список ЭЦП для ЭД. Если ЭД не подписан, список пуст
ListECP=Version.Signatures
//Получить первую подпись ЭД
ListECP.Reset
//Проверить, может соответствующая версия уже подписана соответствующим пользователем соответствующим типом подписи
AlreadySign = FALSE
foreach ECP in ListECP
if ECP.Author.ID = CurrentPerformerUser.ID and ECP.SignatureType = SignType
AlreadySign = TRUE
endif
endforeach
if Not AlreadySign
//Загрузить сертификат из личного хранилища
Certificate.Thumbprint = Certificate.Thumbprint
//Подписать версию ЭД за себя
Version.Sign(Certificate; SignType)
endif
иначе // если доступ осуществляется не через веб или пользователь с ИД не равным 12345, то подписать надо документ вручную
Сообщение = 'Необходимо подписать последнюю действующую версию документа!'
Raise(СоздатьИсключение('EDIRLastVersionNoSigned'; Сообщение; ecWarning))
конецесли
конецесли
конецесли
Таким образом, из статьи «Автоподписание в типовых маршрутах» (http://ecpexpert.ru/post/Avtopodpisanie-v-tipovykh-marshrutakh.aspx) был заимствован код, из которого
были убраны некоторые строки, в т.ч. функции, открывающие диалоговые окна (в режиме веб-доступа интерактивные окна не функционируют). Также добавлена проверка, ведется ли работа через веб-доступ и от имени конкретного пользователя (Главы администрации в нашем
случае), чтобы для всех остальных пользователей блок работал в обычном режиме (когда необходимо самим ставить ЭЦП на документы).
Теперь для Главы администрации, когда он работает через iPad, приходит задание о подписании документа ЭЦП, и когда он нажимает на кнопку «Выполнить» – «Подписано», документ автоматически подписывается на сервере от его имени.
Включение доверия для профилей сертификатов в ios и ipados, установленных вручную
В iOS 10.3 и более поздних версий, а также в iPadOS при ручной установке профиля, содержащего полезную нагрузку сертификата, этот сертификат не становится доверенным для SSL автоматически.
Эта статья предназначена для системных администраторов учебных учреждений, предприятий и других организаций.
При установке профиля, полученного по электронной почте или загруженного с веб-сайта, доверие для SSL необходимо включать вручную.
Если требуется включить доверие SSL для такого сертификата, перейдите в раздел «Настройки» > «Основные» > «Об этом устройстве» > «Настройки доверия сертификатов». В разделе «Включить полное доверие для корневых сертификатов» включите доверие для сертификата.
Apple рекомендует развертывать сертификаты с помощью средств Apple Configurator или Mobile Device Management (MDM). Доверие полезных нагрузок сертификатов автоматически включается для SSL при их установке с помощью средств Configurator, MDM или в качестве части профиля регистрации MDM.
Источник
Как загрузить эцп на айфон
Как установить сертификат в Safari на Iphone iOS (для webmoney и прочего)
EGOV.KZ вход с телефона и получение адресной справки 2020 год
Установка сертификата ЭЦП. Способ 1
https://www.youtube.com/watch?v=CdaodJvoZMA
Получение адресной справки через мобильное приложение в iOS
ЭЦП для iPad. crypto mobail
Как пользоваться мобильной электронной подписью показали в Астане
Регистрация на портале госзакупок
Сертификаты в iPhone
Установка сертификата на IOS 5 iPhone 4
Использование Егов без ЭЦП через мобильный телефон
Источник
Мобильный арм для ipad от эос работает с эцп на любой версии ios
24.09.2020, Вт, 11:09, Мск
Компания «Электронные Офисные Системы» завершает тестирование новой версии iEOS – мобильного рабочего места для работы в системе документооборота с Apple iPad. Ключевой его особенностью и отличием от конкурентов стала возможность подписания документов усиленной квалифицированной электронной подписью на планшетах и смартфонах Apple, независимо от версии операционной системы iOS, установленной на них.
Как известно, любые средства защиты информации должны быть сертифицированы (в том числе и программное обеспечение для ведения юридически значимого документооборота путем использования электронной подписи). До недавнего времени единственно возможным вариантом работы с электронной подписью на планшетах Apple iPad было использование криптопровайдера «КриптоПро CSP 3.6».
Этот программный продукт сертифицирован под конкретный список версий операционной системы iOS, начиная от iOS 4.2.1 и до версии iOS 6.0.1 включительно. При выходе новой версии операционной системы (например, ожидаемой в ближайшее время iOS 7) или обновления текущей версии использование данного решения как сертифицированного средства защиты информации становится невозможным, так как оно уже не будет сертифицированным.
Варианты интеграции
Все это крайне неудобно для пользователей – приходится работать с устаревшей версией операционной системы, не допускать ее обновления. А обновления программного обеспечения содержат важнейшие компоненты для ликвидации выявленных ошибок и уязвимостей в операционных системах, и отказ от них может привести к проблемам в работе устройства и угрожать безопасности информации, хранящейся на нем.
iEOS – мобильное рабочее место для работы в системе документооборота с Apple iPad
По пути интеграции криптопровайдера компании «Крипто-ПРО» в свои мобильные решения для Apple iPad пошли почти все российские вендоры. В ЭОС решили пойти другим путем, интегрировав в свое решение iEOS (мобильное рабочее место в системе электронного документооборота для устройств Apple) разработку компании «Алладин Р.Д.», включающую смарт-карту с сертифицированной российской криптографией и соответствующий ридер.
Преимущества независимости
Ключевое преимущество такого подхода заключается в том, что средством криптографической защиты информации является сама смарт-карта, в нее вшита собственная операционная система, которая в итоге и сертифицируется ФСБ. Таким образом, смарт-карта никак не привязана к версии операционной системы самого планшета или смартфона и просто взаимодействует с ней через стандартизованный интерфейс, позволяя полноценно работать с документами, подписанными усиленной квалифицированной подписью. На данный момент ЭОС является единственной компанией на российском рынке СЭД, которая интегрировала это аппаратное решение.
Помимо независимости от версии ОС на мобильном устройстве, смарт-карта «Алладин Р.Д.» позволяет увеличить срок использование сертификатов электронной подписи по сравнению со сроком действия сертификатов, выданных для использования программными решениями, так как является средством защиты с неизвлекаемым закрытым ключом. При массовом использовании решения в организации это может дать существенную финансовую выгоду. Еще одним преимуществом ридера и смарт-карт является универсальность – их можно использовать как для работы с планшетом, так и для работы с компьютером, подключение к которому осуществляется через microUSB.
Смарт-карты позволяют сегодня подписывать документы усиленной квалифицированной электронной подписью – самым защищенным типом ЭП. Таким образом, проблему с обеспечением юридической значимости документооборота при работе на популярных Apple iPad удалось решить.
Напомним, что линейка мобильных решений ЭОС включает в себя iEOS, «АРМ Руководителя» для Windows 7, «АРМ Руководителя RT» для Windows 8 (проходит тестирование), а также более облегченный «Мобильный клиент» для любых устройств с доступом в интернет. В «АРМ Руководителя» для обеспечения безопасности используется специализированное решение ЭОС – система криптографического обеспечения «Карма», позволяющая работать с любыми отечественными и зарубежными криптопровайдерами.
Подпись файлов в macos
В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.
Смена pin-кода контейнера
Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.
Установка s/mime сертификата на ios
Сегодня я расскажу, как установить S/MIME сертификат на iOS 11 и выше.
Для начала, небольшое вступление. Что такое S/MIME сертификат , для чего он нужен и как его получить?
S/MIME – стандарт для шифрования и подписи в электронной почте с помощью открытого ключа. Подпись необходима для обеспечения целостности сообщения и гарантия сохранения авторства. Получая подписанное автором письма его цифровой подписью, можно быть уверенным в том, что информация в письме не изменена третьими лицами.
Хотя цифровые подписи обеспечивают целостность данных, они не обеспечивают конфиденциальность. Что бы защитить содержимое сообщения электронной почты, применяют его шифрование. Перед отправкой письма, его текст шифруется открытым ключом (его еще часто называют публичным) и делает этот текст нечитаемым. И только получатель данного письма, с помощью своего закрытого ключа, сможет расшифровать и прочитать текст сообщения.
Выдаются S/MIME сертификаты удостоверяющими центрами. Удостоверяющие центры выполняют роль “нотариуса”, чья честность неоспорима, а открытый ключ широко известен. Задача удостоверяющих центров — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Как правило, сертификаты шифрования и подписи стоят денег. Но существует удостоверяющий центр, который выдает бесплатные сертификаты для персональной электронной почты сроком на один год. Название этой компании Comodo .
Внимание! После переименования Comodo в Sectigo, компания перестала выдавать бесплатные сертификаты S/MIME.
Давайте приступим к практике. Получить сертификат проще чем кажется.
Важно! Необходим браузер Internet Explorer 11 или Mozilla Firefox 59. Т.к. в Chromium после версии 49 функция «Генерация ключей» больше не поддерживается. Поэтому, не используйте браузер на базе Chromium для регистрации сертификатов S/MIME.
Откройте браузер Firefox последней версии и перейдите по ссылке ,что бы попасть на страницу удостоверяющего центра Comodo, изображенную на скриншоте ниже:
Нажмите на зеленую кнопку ” Зарегистрироваться бесплатно “
Далее, вы попадаете на страницу генерации сертификата. Где необходимо указать ваши имя и фамилию, страну, а так же электронную почту, на которую вы генерируете сертификат. Не забудьте указать размер ключа, я выбираю High grade.
Revocation Password – это пароль для отзыва сертификата, на случай если у вас его украдут или вы его сами потеряете.
Ставьте галочку, с тем что вы согласны с правилами и положениями и жмите кнопку Next.
Если все прошло удачно, вы увидите сообщение о том, что сертификат отправлен вам на указанную электронную почту.
Важно! Дальнейшие действия нужно выполнять также в браузере Firefox.
Проверьте свой почтовый ящик, наверняка вы уже получили письмо от Comodo такого вида:
Необходимо нажать на кнопку “Click & Install Comodo Email Certifiacate” и дождаться сообщения что сертификат установлен
Затем нужно экспортировать сертификат и закрытый ключ. Для этого необходимо открыть настройки Firefox, затем открыть пункт Приватность и защита. Нажать на кнопку “Просмотр сертификатов”
Затем во кладке “Ваши сертификаты” необходимо выбрать сертификат, который соответствует вашей электронной почте, и нажать кнопку “Сохранить копию”
Введите пароль для резервной копии и сохраните файл экспорта закрытого ключа
Теперь отправьте себе на электронную почту этот файл резервной копии, и получите его на своем устройстве с iOS.
Нажмите на вложенный файл экспорта и нажмите кнопку “Установить”
Далее снова “Установить”, введите пин-код устройства.
Источник