Comments 82
Команда absorb не импортирует сертификаты, если они хранятся отдельно от закрытого ключа
Вы правы, такое бывает, пункт и пояснение добавил в начало.
плагин Госуслуг — нужно сконфигурировать для поддержки нужных вам ГОСТ алгоритмов (ifc.cfg) там сейчас упоминание только gost2001 при подключении библиотеки
Ориентируюсь на мануал от КриптоПро: support.cryptopro.ru/index.php?/Knowledgebase/Article/View/272
В предлагаемом ими конфиге пишут:
{ name = "CryptoPro CSP";
alias = "cprocsp";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
},
вы предлагаете:
name = "CPPKCS11_2001";
alias = "CPPKCS11_2001";
Как правильнее? Вы сами проверяли?
это супер. могу вас попросить залить итоговый конфиг на форум криптопро и дать ссылку? согласитесь, людям качать с сайта криптопро как-то спокойнее, чем с моего личного dropbox.
Выложил в dropbox: www.dropbox.com/s/t9h0kvu2q37l2kb/ifc.cfg?dl=0
спасибо!
Но КЭП под макосью не работает на порталах ЕГАИС, коммерческих торговых площадок.
ЕГАИС, по крайней мере алко, нигде про поддержку mac OS ни слова не пишет, значит увы, надежды нет. Но даже интересно, расскажите сценарий, как и зачем вам ЕГАИС под mac OS.
А еще грядет волна маркировки товара.
Торговые площадки – это не массовые, а узкоспециализированные сервисы, далеко не все ими пользуются. Для работы с ними нужны специальные КЭП с зашитыми OID. У РЖД, насколько мне известно, вообще свой тип сертификатов. Но есть и такие, кто работает с обычной КЭП, например, Сбербанк-АСТ. Поэтому тут еще тот зоопарк.
Планируются поправки в ФЗ об электронной подписи с целью навести порядок на рынке ЭЦП, а по факту снизить число центров выдачи и создать гос.монополию. Вероятно, тогда и начнется процесс унификации, начнут исчезать КЭП, заточенные под конкретные площадки. Поэтому сейчас площадки не торопятся вкладываться в технологии, т.к. не понятно чего ждать на рынке завтра, возможно плагины под mac OS будут уже неактуальны. Я не оправдываю их жадность и создание искусственных технологических барьеров. Но согласитесь, имеют право, т.к. в законе изначально не предусмотрели сделать все для людей.
Торги узкоспециализированные сервисы или уже тренд для ИП, ООО и физлиц? Я отвечу — спрос растёт и нехило, а Эпл и в ус не дуют.
Лучше иметь под рукой по шагам расписанный человеческим языком процесс. Без заумной критографической терминологии, т.е. для нормальных предпринимателей или физиков. Чтобы было написано: включить-вставить-нажать_тут и т.п.
но все в ваших руках!
— пробуем еще раз по инструкции, возможно что-то не так сделали;
— гуглим и ищем решение, наверняка на том же форуме криптопро будет описан подобный кейс;
— заказываем услугу настройки в УЦ или привлекаем админа.
Где же тупик :) А лучше чем гадать на пустом месте, вы бы взяли проверили за мной, поправили или дополнили.
если конкретно у вас что-то не заработало – напишите плиз на каком шаге и что именно. а если вы даже не пробовали и вам лень, то держать виртуалку с windows это отличный выход на все времена!
Поэкспериментировал с созданием образа диска через штатную утилиту мак (написано в инструкции, что нельзя скопировать). Создал образ, смонтировал. Первый раз ругается, что носитель не обнаружен, второй раз успешно подписывает.
уважаемый, хотите сделать такой скрипт — пожалуйста вперед. про ‘пару часов’ расскажете по итогам.
но! я как пользователь не доверил бы работу с КЭП никакому скрипту, разве что официальному от КриптоПро.
Мне оно не надо, пусть пилят те, кому за это платят.
Вот в КриптоПро видимо так же рассуждают. А вы вместо советов за то же время могли бы автоматизировать, скажем, какой-то кусок, например скачивание и установку сертификатов УЦ, самое безопасное и трудоемкое на мой взгляд.
если говорить откровенно, то асфальт у своей парадной можно и самому заделать, хотя бы на уровне купил в obi или leroy merlin камешков и насыпал. в чем проблема то? а то получается, что мы будем ничего не делать и ныть, а кто-то должен прийти и все сделать. ну так не бывает)
Пробую еще раз.
Есть сертификаты физики и ИП от разных центров, на разных токенах.
При первой попытке
На этапе
6.1 с www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
Действителен до: 12.05.2020 08:56:26 UTC
Криптопровайдер: Crypto-Pro GOST R 34.10-2012 KC1 CSP
Алгоритм ключа: ГОСТ Р 34.10-2012
Статус: Действителен
Установлен в хранилище: Да
После нажатия 'подписать' — Не удалось создать подпись из-за ошибки: Internal error. (0x8000FFFF)
вход на госуслуги — не срабатывает (говорит не стоит плагин, реально стоит и включен и конфиг новый добавлен,).
ФНС висла.
Подпись руками не работала тоже.
После удаления сертификатов и установки заново:
— www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
работает с обоими сертификатами
— ФНС работает
— подпись с командной строки работает
— sign with automator работает
— госуслуги говорят про то что нет плагина хотя реально есть.
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext выдавала для одного из сертификатов текст в неправильной кодировке (решено копированием на второй токен под именем без русских букв).
способ проверки подписи без загрузки на сайт (и без КриптоАРМ) тоже конечно интересно (в командной строке я вижу много асть (похоже /opt/cprocsp/bin/cryptcp -verify -verall -detached не делает преобразование из cp1251 в utf8?))
Просто кликаем по файлу правой кнопкой, кликаем на «открыть» с зажатым альтом и вуаля, кнопка «открыть» появляется в окне с установкой файла.
Вы пробовали использовать через option или считаете, чтобы открыть одну программку необходимо разрешать открывать ВСЕ непроверенные? Попробуйте. Как попробуете, отпишитесь обязательно.
При этом никакая защита не отключается и уж точно ничего не ломается. Permission на запуск дается только для конкретного приложения (точнее даже файла с определенным hash), а не всем подряд.
В чем там ваша проблема, у меня нет желания разбираться. Главное – не морочьте головы другим.
Для вас открыть контекстное меню «it's a magic»?) Ну тогда да, тут ничего не поделаешь, только делать «осмысленное действие», залазить в настройки и разрешать устанавливать всё подряд, Эппл же дебилы, сделали какую-то бессмысленное ограничение. А на андройде, вы наверное людям сразу советуете даже рутнуть всё и сразу))
Ладно, умываю руки, похоже тут чьё-то эго больше чем у Македонского и инакомыслие запрещено), можете еще воткнуть свой минус, если уж того душа желает, ведь магия запрещена вне Хогвартса, только хардкор))
Я на правах автора статьи считаю, что пользователь должен быть в курсе, что приложение не просто открывается, а оно ставится на свой страх и риск, без сертификата apple, добавляется в список исключений. Мне непонятно, почему в Apple решили, что по комбинации «Control + Click» должно появляться просто «Open», а не «Add exception and Open».
Считаю вопрос исчерпанным.
У кого-нибудь было такое? В чем может быть проблема?
Спасибо, но перед тем как спросить я погугли по теме :). Этого кода там больше нет. И в другой ветке форума написано, что то, ссылку на что вы дали, уже исправили. И исправленного кода тоже в js на сайте я не нашел.
Также видел предположение, что дело в старом криптопро. Поставить пятую версию тоже не помогает.
какая конфигурация у вас?
на gosuslugi полулось?
сайт налоговой часто under maintenance. пробовали в разное время?
Пробовал в разное время, не помогает
1) что выдает тестовая страница криптопро?
www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
на госуслуги получается зайти?
2) поставьте старый Chromium как у меня
3) пройдите п.7 в статье, названия контейнеров случайно не на русском языке?
А конкретно, пункт e)
И спасибо большущее за инструкцию! На сайте ФНС для MacOS указан только Яндекс.Браузер — но он не поддерживает шифрование по ГОСТ вообще. Зачем сайт ФНС вводит в заблуждение — непонятно!
если в качестве ключа используется простая флешка
т.е. как? вы храните файл подписи незащищенным или используете какой-то шифрованный контейнер отличный от гост-овского?
Я к тому, что если для 99% это избыточная информация, то сорян, не добавлю. Но за уточнение, разумеется, большое спасибо.
Сейчас она в хранилище, на жестком диске ее вижу по:
/opt/cprocsp/bin/certmgr -list
А я правильно понимаю, что список сертификатов, которыми я могу логиниться в ФНС определяется настройками IFC плагина?
Я просто скопировал сертификат на жесткий диск, но при этом почему-то сайт Налоговой позволяет выбрать только сертификат на токене - в какую сторону копать?
Криптопровайдер на маке висит постоянно в памяти? Жрет батарейку?
Есть какой то наиболее эффективный вариант установки, чтобы работало по запросу и не висело в памяти ненужных сервисов 90% времени?
Для тех, кто будет искать.
Если после перезагрузки (или просто по воле случая) у вас все бинарники cryptopro превратились в corrupted, достаточно просто переустановить сам cryptopro.
Способа предотвратить это и даже найти причину не удалось.
Тем не менее, все работает с версией 5.0 на MacOS Monterey на M1
Я так понял, что инструкция на криптопро сайте кривая?
Да, у меня на монтерей не взлетело. Для начала я не нашел в магазине яблака нихрена. Мне пришлось крипто про скачивать с сайта крипто про. Сертификат уставился с рутокеналайт легко и без проблем. Далее пришлось скачивать хром и в него с сайта госуслуг плагин, который в рписании почему то содержит древние версии макоси.. В общем расширение поставилось. При попытке авторизоваться с ЭЦП плагин пишет что сертификат недоступен. Но к токену обращается .. мигает недолго. Что не делал, это не копировал какой то мутный файл -конфиг с сайта криптопро с заменой в каком то каталоге. Че за костыль не понял. В общем не взлетело. Еще больше зауважал свою винду.
Есть там ещё одна неочевидная штука (дисклеймер: macOS 12.6.6 CSP 5.0.12500). Со временем, порядка раз в месяц, CSP начинает выдавать ошибку "Ошибка 0x800B010E: Процесс отмены не может быть продолжен - проверка сертификатов недоступна.". Это вызвано тем, что CSP 5.0 не обновляет автоматически CRL по прописанным URL (из трех URL списков отзыва в моем случае один с ошибкой, возможно в этом причина). Для того чтобы вернуть статус кво, нужно скачать по цепочке свежий CRL. URL для него берется из свойств сертификата личного. Добавить в "Расширенные" > Списки отзыва > Промежуточные центры сертификации кнопкой "Установить CRL". Через месяц если вылетает опять эта ошибка — повторить.
Вот теперь раздумываю, а стоит ли при таких качествах CSP обновляться до macOS 13? Ведь сборка R3 которая по заявлению производителя "лучше работает" - несертифицированная до сих пор.
Квалифицированная электронная подпись под macOS