- Что нужно для работы с кэп под macos:
- Что делать, если перестало работать
- Что нужно для работы с кэп на macos
- Выясняем название контейнера КЭП
- Выясняем хэш сертификата КЭП
- Подпись файла командой из terminal
- Смена PIN командой из terminal
- 1. Удаляем все старые ГОСТовские сертификаты
- 2. Устанавливаем корневые сертификаты
- 3. Скачиваем сертификаты удостоверяющего центра
- 4. Устанавливаем сертификат с Рутокен
- 4. Активируем расширения
- 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
- 1. Заходим на тестовую страницу КриптоПро
- 3. Заходим на Госуслуги
- Где купить электронную подпись на mac
- Драйвера для рутокен для mac
- Драйверы для macos
- Как установить сертификат электронной подписи на mac os
- Обратите внимание
- Поддержка keychain для macos mojave и более ранних
- Подпись файлов в macos
- Проверка корректности работы устройства рутокен в инструментах криптопро
- Проверка работоспособности
- Проверка работы устройства рутокен
- Проверка статуса лицензии криптопро csp через инструменты криптопро
- Проверка статуса лицензии криптопро csp через терминал
- Работа с криптопро csp в mac os
- Смена pin-кода контейнера
- Тестирование процесса подписания документа
- Установка доверенного корневого сертификата
- Установка драйвера для macos high sierra и старше
- Установка драйвера для macos mojave и catalina
- Установка драйвера рутокен s для macos
- Установка криптопро эцп browser plug-in
- Установка личного сертификата
- Установка рутокен на mac os
Что нужно для работы с кэп под macos:
- КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
- криптоконтейнер в формате КриптоПро
- со встроенной лицензией на КриптоПро CSP
- открытый сертификат должен храниться в контейнере закрытого ключа
Поддержка eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.
Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.
Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.
Что делать, если перестало работать
Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:
sudo /opt/cprocsp/bin/csptest -card -enum
Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:
chrome://settings/clearBrowserData
Переустанавливаем сертификат КЭП с помощью команды в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.
Что нужно для работы с кэп на macos
Работать с электронной подписью не получится без программы КриптоПро CSP определенной версии. Как установить ее на компьютер, мы расскажем ниже.
Если вы планируете работать с подписью на носителе — безопаснее использовать токены, например, Рутокен лайт, Рутокен ЭЦП 2.0 или Джакарты LT и SE. Если в макбуке нет порта для USB, то нужен будет переходник для type c или токен с таким разъемом.
Выясняем название контейнера КЭП
На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext
Команда должна вывести минимум 1 контейнер и вернуть
[ErrorCode: 0x00000000]
Нужный нам контейнер имеет вид
.Aktiv Rutoken liteXXXXXXXX
Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.
Выясняем хэш сертификата КЭП
На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:
/opt/cprocsp/bin/certmgr -list
Команда должна вывести минимум 1 сертификат вида:
Подпись файла командой из terminal
В terminal переходим в каталог с файлом для подписания и выполняем команду:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE
где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).
Команда должна вернуть:
Signed message is created.
[ErrorCode: 0x00000000]
Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.
Смена PIN командой из terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"
где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).
Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.
1. Удаляем все старые ГОСТовские сертификаты
Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all
В ответе каждой команды должно быть:
No certificate matching the criteria
или
Deleting complete
2. Устанавливаем корневые сертификаты
Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:
Устанавливаем командами в terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer
Каждая команда должна возвращать:
Installing:
…
[ErrorCode: 0x00000000]
3. Скачиваем сертификаты удостоверяющего центра
Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.
4. Устанавливаем сертификат с Рутокен
Команда в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Команда должна вернуть:
OK.
[ErrorCode: 0x00000000]
4. Активируем расширения
Запускаем браузер Chromium-Gost и в адресной строке набираем:
chrome://extensions/
Включаем оба установленных расширения:
5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
В адресной строке Chromium-Gost набираем:
/etc/opt/cprocsp/trusted_sites.html
На появившейся странице в список доверенных узлов по-очереди добавляем сайты:
1. Заходим на тестовую страницу КриптоПро
В адресной строке Chromium-Gost набираем:
3. Заходим на Госуслуги
При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.
Где купить электронную подпись на mac
Электронную подпись можно приобрести в удостоверяющем центре, аккредитованном Минцифры РФ. Уточните у сотрудников центра, подходит ли их подпись для работы на MacOS.
Вы можете проверить это и самостоятельно. На сайте УЦ обычно можно найти требования к рабочему месту пользователя. Обратите внимание не только на саму операционную систему, но и ее версию. Если ЭП работает только на Windows, или ваша версия MacOS устарела, возникнут проблемы. В этом случае лучше обновить систему.
Получите электронную подпись для MacOS в Удостоверяющем центре Контура. Оформите заявку, наш менеджер свяжется с вами, чтобы обсудить детали.
Драйвера для рутокен для mac
КриптоПро CSP — это средство криптографической защиты информации. Он предназначен для защиты открытой информации в системах общего пользования и защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.
КриптоПро CSP работает в следующих версиях операционной системы macOS:
В операционной системе macOS у КриптоПро CSP версии 4 нет графического интерфейса, поэтому вся настройка выполняется через Терминал.
В КриптоПро CSP версии 5 есть графическая утилита Инструменты Криптопро, поэтому для удобства использования и настройки рекомендуем установить именно эту версию.
В данной инструкции будет описан процесс работы с КриптоПро CSP как через Терминал, так и через Инструменты Криптопро.
Процесс настройки КриптоПро CSP в операционной системе macOS состоит из следующих этапов:
- Установка драйвера Рутокен S для macOS (выполняется для устройства Рутокен S).
- Установка КриптоПро CSP.
- Установка КриптоПро ЭЦП Browser plug-in.
- Проверка работы устройства Рутокен.
- Установка личного сертификата.
- Установка корневого сертификата.
- Проверка статуса лицензии КриптоПро CSP.
- Активация лицензии КриптоПро CSP.
После настройки КриптоПро CSP необходимо проверить его работу в системе. Проверка состоит из следующих шагов:
- Проверка корректности работы устройства Рутокен.
- Проверка наличия сертификата на устройстве Рутокен.
- Тестирование процесса подписания документа.
Для выполнения действий данной инструкции вам необходимо зайти в систему под учетной записью пользователя с правами администратора системы.
Драйверы для macos
С инструкциями и техническими рекомендациями по использованию продуктов и программного обеспечения Рутокен можно ознакомиться в разделе Документация .
Драйверы для Рутокен ЭЦП в современных операционных системах macOS не требуются. Пользователям устаревших версий macOS X 10.6 Snow Leopard и более ранних может потребоваться внести изменения в конфигурационный файл в соответствии с инструкцией .
Если Рутокен используется в виртуальной среде Windows, запущенной на компьютере Mac через Parallels Desktop, VmWare Fusion или Oracle VirtualBox, то настраивать Рутокен в macOS не обязательно.
Как установить сертификат электронной подписи на mac os
Установить контейнер с сертификатом ЭП на компьютер можно с помощью программы cptools. Чтобы начать копирование:
- Откройте Finder, в папке «Программы» найдите cptools и запустите ее.
- В новом окне нажмите на кнопку «Показать расширенные».
- Во вкладке «Контейнеры» выберите нужный контейнер из списка.
- Нажмите кнопку «Скопировать контейнер как».
- Придумайте название контейнера, а затем нажмите кнопку «Ок».
- Программа спросит, куда вы хотите скопировать контейнер. В списке выберите пункт «Жесткий диск».
- Чтобы защитить ЭП, вы можете установить на контейнер пароль. После этого нажмите кнопку «Ок», чтобы завершить копирование.
Еще один способ установки сертификата ЭП на компьютер — с помощью сервиса Установочный диск:
Обратите внимание
Если Рутокен используется в виртуальной среде Windows, запущенной на компьютере Mac через Parallels Desktop, VmWare Fusion или Oracle VirtualBox, то настраивать Рутокен в macOS не обязательно.
Для быстрой настройки Рутокен Lite в macOS 10.9 Maverics или более ранних установите Модуль поддержки Связки Ключей (KeyChain)
Необходимо загрузить установочный файл, запустить его и следовать указаниям установщика. После завершения процесса установки необходимо подключить Рутокен в свободный USB-порт. Если для работы с Рутокен используется виртуальная ОС Microsoft Windows, запущенная на компьютере Mac, то устанавливать Драйверы Рутокен S для Mac не обязательно.
Поддержка keychain для macos mojave и более ранних
Драйверы для Рутокен Lite в современных операционных системах macOS не требуются. Пользователям операционной системы macOS 10.9 Mavericks и более ранних версий может потребоваться внести изменения в конфигурационный файл в соответствии с инструкцией.
Подпись файлов в macos
В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.
Проверка корректности работы устройства рутокен в инструментах криптопро
Если в Инструментах Криптопро в разделе Контейнеры отображаются считыватели Рутокен, то это означает, что Криптопро CSP корректно настроено для работы с носителем Рутокен.
Проверка работоспособности
Подключите Рутокен и запустите в Терминале утилиту pcsctest (предварительно должен быть запущен сервис pcscd). В качестве номера считывателя укажите 1. Утилита выдаст длинный лог с упоминанием подключенного устройства.
Остановите сервис pcscd , если он запущен, и запустите его вручную в отладочном режиме в Терминале:
Если устройство работает, то при подключении/отключении вы заметите его упоминание в отладочном логе.
Источник
Проверка работы устройства рутокен
Для проверки работы устройства Рутокен и определения его названия:
- Подключите устройство Рутокен к компьютеру.
- Откройте Терминал.
Нажмите Enter и введите цифру “1”.
Это сообщение означает, что устройство Рутокен работает.
Также в результате выполнения этой команды отобразится название устройства Рутокен. В нашем примере название устройства “Aktiv Rutoken ECP”.
Проверка статуса лицензии криптопро csp через инструменты криптопро
Запуск приложения осуществляется из Launchpad или из консоли с помощью команды cptools.
На вкладке Общие у вас должен быть указан ваш серийный номер лицензии и срок ее действия.
Если лицензия еще не закончилась, то настройка КриптоПро CSP на этом завершена и теперь необходимо проверить работу КриптоПро CSP.
Если лицензия закончилась или заканчивается в ближайшее время, то необходимо приобрести новую. После приобретения новой лицензии, ее необходимо активировать (этот процесс описан в следующем разделе).
Проверка статуса лицензии криптопро csp через терминал
Для проверки статуса лицензии введите команду:
В результате в окне Терминала отобразится сообщение с серийным номером лицензии и сроком ее действия:
Работа с криптопро csp в mac os
Если вы устанавливали электронную подпись на компьютер с помощью Установочного диска Контура, программа автоматически установила и необходимую версию КриптоПро. В этом случае вы можете сразу приступать к работе с подписью.
Если вы устанавливали сертификат ЭП самостоятельно, чтобы установить программу КриптоПро:
Смена pin-кода контейнера
Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.
Тестирование процесса подписания документа
Для начала необходимо записать сертификат в хранилище сертификатов КриптоПро. Для этого введите команду:
В результате сертификат запишется в хранилище сертификатов КриптоПро. Чтобы проверить, что это действительно произошло введите команду:
В результате выполнения этой команды отобразится информация о сертификате, записанном в хранилище сертификатов КриптоПро.
Чтобы протестировать процесс подписания документа:
- Подключите устройство Рутокен к компьютеру.
Перейдите по ссылке:
Не используйте для этого браузер Safari.
Нажмите Подписать. В результате на экране отобразится информация о сертификате (владелец, издатель, когда выдан и т.д) и будет сформирована электронная подпись.
На этом проверка работы КриптоПро CSP в системе завершена.
Источник
Установка доверенного корневого сертификата
Выбор доверенного корневого сертификата для установки зависит от удостоверяющего центра, в котором был выписан личный сертификат.
В предыдущем разделе в результате выполнения команды для просмотра информации об установленном сертификате, отобразилось значение параметра CN.
Это значение и является названием удостоверяющего центра, в котором был выписан личный сертификат. Зафиксируйте это название и, используя любую поисковую системы, найдите официальный сайт удостоверяющего центра и ссылку на его доверенный корневой сертификат.
На сайте удостоверяющего центра выбирайте сертификат в кодировке Base64.
Для установки доверенного корневого сертификата:
- Загрузите необходимую версию сертификата.
- Откройте Finder.
- Откройте папку Загрузки и найдите файл с расширением cer.
- Скопируйте название этого файла (Переименовать — Скопировать). В нашем примере название файла — “8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer”.
- Введите команду:
А — название файла с сертификатом, которое вы скопировали.
Введите пароль администратора системы и нажмите Enter. В результате в системе будет установлен доверенный корневой сертификат и отобразится сообщение:
Установка драйвера для macos high sierra и старше
Для установки драйвера:
Установка драйвера для macos mojave и catalina
Для установки драйвера:
Установка драйвера рутокен s для macos
Только для работы с Рутокен S необходимо установить «Драйвер Рутокен S для Apple macOS». Если у вас не Рутокен S, то перейдите к следующему этапу.
Процесс установки драйвера в разных версиях операционной системы отличается.
Установка криптопро эцп browser plug-in
Не используйте браузер Safari.
Для установки КриптоПро ЭЦП Browser plug-in:
Установка личного сертификата
Для установки личного сертификата введите команду:
В результате личный сертификат установится и отобразится сообщение:
Для просмотра информации об установленном сертификате введите команду:
В результате отобразится информация об установленном личном сертификате:
После этого необходимо установить доверенный корневой сертификат (этот процесс описан в следующем разделе).
Установка рутокен на mac os
Рутокен ЭЦП, Рутокен Lite и Рутокен Magistra являются устройствами, поддерживающими стандарт CCID.
За поддержку стандарта CCID в операционных системах Apple в pcsc-lite отвечает модуль libccid . Модуль libccid имеет конфигурационный файл с описанием устройств, проверенных автором модуля на совместимость.
Если Вы используете macOS 10.7 Lion или новее, то ничего делать не нужно – Рутокен заработает автоматически.
Пользователям более ранних версий необходимо добавить в конфигурационный файл запись о Рутокен.
Открыть в любом текстовом редакторе конфигурационный файл, находящийся по адресу /usr/libexec/SmartCardServices/drivers/ifd-ccid.bundle/Contents/Info.plist , с правами суперпользователя. Это можно сделать через Терминал командой
и последующим введением пароля суперпользователя.
Используя сочетания клавиш Ctrl Y и Ctrl V и стрелки для навигации по файлу, добавить следующие строки:
Для более поздних моделей Рутокен Magistra
в массиве ifdVendorID добавить 0x0A89
в массиве ifdProductID добавить 0x0030
в массиве ifdFriendlyName добавить Aktiv Rutoken ECP
в массиве ifdVendorID добавить 0x0A89
в массиве ifdProductID добавить 0x0025
в массиве ifdFriendlyName добавить Aktiv Rutoken lite
в массиве ifdVendorID добавить 0x0A89
в массиве ifdProductID добавить 0x0060
в массиве ifdFriendlyName добавить Aktiv Rutoken Magistra
в массиве ifdVendorID добавить 0x0A89
в массиве ifdProductID добавить 0x0061
в массиве ifdFriendlyName добавить Aktiv Rutoken Magistra
Для использования нескольких моделей Рутокен необходимо добавить информацию для каждой из них.
Выйти из редактора сочетанием клавиш Ctrl Х и сохранить файл нажатием кнопки Y и затем Enter.