Установка электронной цифровой подписи на MacOS | by Airat Galiullin | Futureinapps | Medium

Установка электронной цифровой подписи на MacOS | by Airat Galiullin | Futureinapps | Medium Электронная цифровая подпись
На чтение 11 мин. Просмотров 91 Опубликовано
Содержание
  1. Что делать, если перестало работать
  2. Что нужно для работы с кэп под macos:
  3. Выясняем хэш сертификата КЭП
  4. Подпись файла командой из terminal
  5. Смена PIN командой из terminal
  6. 1. Удаляем все старые ГОСТовские сертификаты
  7. 2. Устанавливаем корневые сертификаты
  8. 3. Скачиваем сертификаты удостоверяющего центра
  9. 4. Устанавливаем сертификат с Рутокен
  10. 4. Активируем расширения
  11. 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  12. 1. Заходим на тестовую страницу КриптоПро
  13. 3. Заходим на Госуслуги
  14. Как зайти в личный кабинет налогоплательщика на сайте фнс в macos?
  15. Настройка электронной подписи для портала госуслуг
  16. Подпись файлов в macos
  17. Проверка установки электронной подписи.
  18. Смена pin-кода контейнера
  19. Тестирование работоспособности
  20. Установка chromium gost для macos
  21. Установка криптопро csp на macos
  22. Установка лицензии криптопро
  23. Установка личного сертификата в macos
  24. Установка электронной подписи в локальное хранилище macos
  25. Установка электронной цифровой подписи на macos
  26. Шаг 1. установить расширение «помощник диагностики»
  27. Шаг 2. установить плагин диагностики
  28. Шаг 3. установить криптопро, ещё одно расширение и компонент к нему

Что делать, если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

    /opt/cprocsp/bin/csptestf -absorb -certs

  4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Что нужно для работы с кэп под macos:

  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем: 

chrome://extensions/

Включаем оба установленных расширения:

5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

3. Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Как зайти в личный кабинет налогоплательщика на сайте фнс в macos?

В личных кабинетах налогоплательщика есть страницы диагностики настроек электронной подписи.

При выполнении ВСЕХ настроек, описанных выше, невозможно пройти эту диагностику на macOS, но это не значит, что электронная подпись работать не будет. Для входа по электронной подписи нужно перейти по прямой ссылке личных кабинетов и авторизоваться по электронной подписи через браузер Chromium GOST:

При переходе по прямой ссылке Вы увидите запрос на выбор сертификата. Выбираете Ваш сертификат и входите без проблем!

Закономерный результат – успешный вход в личный кабинет (в примере – личный кабинет юридического лица).

Если у Вас не получается выполнить вход в Личный кабинет налогоплательщика –
обратитесь в нашу платную техническую поддержку.

Настройка электронной подписи для портала госуслуг


Если Вы планируете использовать вашу квалифицированную электронную подпись на портале Госуслуг, то кроме вышеуказанных настроек необходимо установить еще плагин портала Госуслуг.

Достаточно хорошая
инструкция по установке этого плагина есть на сайте КриптоПро.

Для настройки плагина Госуслуг на macOS необходимо выполнить простые действия:

На этом настройка плагина Госуслуг окончена – электронная подпись готова к работе на Госуслугах.

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Проверка установки электронной подписи.

Для проверки настройки электронной подписи можно перейти на
страницу диагностики работы КриптоПро CSP и плагина на сайте разработчика.

При переходе на страницу проверки работы плагина выйдет сообщение (запрос на разрешение запуска плагина), необходимо разрешить запуск плагина кнопкой “ОК”. Такое сообщение Вы будете получать на любой странице, где будете работать с электронной подписью.


Нас странице должна появиться версия установленного плагина. Выбираем наш установленный сертификат и нажимаем “Подписать”.

Если все настроено корректно – Вы увидите результат в качестве данных base64.

Если Вы увидели такой результат – ваш компьютер корректно настроен для работы с подписью. 

Если у Вас не получается корректно настроить macOS для работы с электронной подписью – можете
обратиться в нашу платную техническую поддержку.

Для некоторых ресурсов (например, для Личного кабинета налогоплательщика или Единый реестр участников закупок) требуется особая настройка – защищенного TLS-соединения. Для macOS такое защищенное соединение возможно только в специальном браузере – Chomium GOST.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Тестирование работоспособности

Откройте ваш любимый браузер и перейдите по ссылке (не забудьте установить CryptoPro Browser Plugin).

На открывшейся странице выберите необходимый сертификат и нажмите кнопку подписать. Если не вышла информация об ошибке, то все сработало.

Установка chromium gost для macos

Компанией КриптоПро был разработан программный продукт – Интернет-браузер, адаптированный под работу с отечественной криптографией. Называется этот браузер
Chromium GOST. Подробнее о браузере можно почитать
на сайте разработчика.

Установка криптопро csp на macos

Установка КриптоПро CSP на сегодняшний день достаточно простая.
На сайте разработчика есть описание установки КриптоПро CSP, мы всего лишь визуализируем ее.

Для установки
скачиваем дистрибутив программы. Распаковываем его и запускаем установщик ru.cryptopro.csp-5.0.ХХХХХХ.pkg.


Следуя шагам мастера установки соглашаемся со всеми сообщениями. Рекомендуем на шаге “Тип установки” установить дополнительные компоненты, которые не отмечены по умолчанию:

  • CPROrdcryptoki – модуль поддержки внешних носителей, работающих с PKCS#11, он находится в разделе Readers/Media. Этот модуль пригодится тем, кто использует такие носители для хранения электронной подписи, как Рутокен ЭЦП 2.0, JaCarta ГОСТ и пр.
  • CPROstnl – универсальный SSL-тунель;

Продолжаем работу мастера до установки КриптоПро CSP на macOS.

Установка лицензии криптопро

Для установки лицензии необходимо открыть приложение «Терминал». Для его открытия нажмите на значок «лупы» в правом верхнем углу и, в открывшееся поле, введите «терминал», нажмите кнопку ввода.

После того, как откроется терминал, нужно ввести в него команду (можно скопировать текст и вставить в терминал):

sudo /opt/cprocsp/sbin/cpconfig -license -view

Данная команда проверит текущее состояние лицензии. Если вы установили КриптоПро впервые, то вам, скорее всего, будет предоставлен тестовый период. Но мы рекомендуем сразу установить вашу лицензию и забыть об этом до истечения срока лицензии.

Для установки лицензии необходимо выполнить команду:

sudo /opt/cprocsp/sbin/cpconfig -license -set <серийный номер>

Вместо <серийный номер> вставьте текст вашей лицензии.

Установка личного сертификата в macos


Прежде чем начать работать с вашей квалифицированной электронной подписью, необходимо установить ваш личный сертификат в систему.

Для установки личного сертификата подключите носитель вашей электронной подписи к компьютеру. 

Внимание! В зависимости от модели вашего защищенного носителя, может потребоваться дополнительная установка драйвера в macOS. Для защищенный носителей Рутокен Лайт установка дополнительных драйверов не требуется! Порядок установки драйверов для вашго защищенного носителя – уточните у вашего поставщика порядок установки драйверов для macOS.


Запускаем установленный компонент Инструменты КриптоПро.

В разделе “Контейнеры” выбираем контейнер с вашей электронной подписью и нажимаем кнопку “Установить сертификат”.

После этой процедуры ваша система macOS знает о существовании сертификата и знает на каком защищенном носителе. Можно приступать к работе.

Если Вы не можете справится с установкой личного сертификата – можете обратиться в нашу платную техническую поддержку в чат на сайте или по телефону 7 (342) 2700146. 

Установка электронной подписи в локальное хранилище macos

Для начала вам необходимо вставить ваш токен (USB-носитель вашей цифровой подписи) в USB привод Мака. После того, как это будет сделано в окне терминала выполните команду:

sudo /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

Данная команда отобразит список контейнеров сертификатов, как локальные, так и USB. Все локальные контейнеры начинаются с «\.HDIMAGE…». Найдите в данном списке путь до контейнера на USB носителе, у которого вместо «HDIMAGE” будет написано, чаще всего, наименование его производителя, например, «Aktiv Rutoken».

Наконец, скопируем цифровую подпись с USB-носителя на локальный компьютер с помощью команды:

sudo /opt/cprocsp/bin/csptestf -keycopy -contsrc ‘<путь до вашего контейнера на USB носителе>’ -contdest ‘\.HDIMAGE<любое удобное название контейнера на локальном носителе латинскими буквами> ‘

Далее вам будет предложено ввести пароль для локального контейнера. Придумайте его, запишите в удобное для вас место и введите его в поле.

Установка электронной цифровой подписи на macos

Активные пользователи MacOS, которые имеют цифровую электронную подпись на USB- носителе (Rutoken и т.д.), часто сталкиваются с необходимостью установки сертификата в локальное хранилище (на жесткий диск). С этой необходимостью столкнулись и мы, но в сети не нашли достойного описания того, как это сделать. В результате родилась эта статья.

Шаг 1. установить расширение «помощник диагностики»

Сразу предупредим, что в Safari с подписью работать не получится, поэтому зайдите по этой ссылке через Хром, Оперу, Яндекс браузер или Мозиллу.

Шаг 2. установить плагин диагностики

Плагин поможет сервисам Контура быстро находить подпись на вашем маке. 

Процесс его установки — стандартный, нажимаете: Продолжить → Установить → вводите пароль → успех.

Шаг 3. установить криптопро, ещё одно расширение и компонент к нему

Возвращаемся на установочный диск, там нас ждёт ещё одна установка. 

Нажимаем Далее → Установить → Перейти к расширению.

Оно снова установится в вашем браузере. 

Читайте также:  Проверка электронной подписи на сайте Госуслуг
28147 3410 3410-94 3411 3411-94 authority CA certificate certification certification authority CRL crypto cryptoapi csp digest digital signature e-commerce ecommerce encryption hash itu-t LDAP pkcs pki public key infrastructure RA registraction authotity registration rfc2459 rsa s/mime secure socket layer signarure smime SSL TLS vpn X.509 x509 безопасность гост закрытый ключ защита защита информации защита персональных данных защищенная почта защищенный документооборот защищенный электронный документооборот интернет информация инфраструктура ИСПДн конфиденциальность крипто крипто-про криптография криптозащита криптопро мккт несанкционированный доступ НСД открытый ключ персональные данные почта программное обеспечение программы регистрация секретный ключ сертификат сертификат ключа подписи сертификат открытого ключа сертификат ФСБ сертификация СКЗИ средства электронной цифровой подписи Средства ЭЦП удостоверяющий центр удостоверяющий центр ключей подписи центр регистрации центр сертификации цифровая подпись шифрование электронная подпись электронная цифровая подписи электронный документ ЭЦП юридическая значимость юридическая значимость электронного документооборота
Оцените статью
ЭЦП Эксперт
Добавить комментарий

© 2023 ЭЦП Эксперт