Pull to refresh

Comments 82

UFO just landed and posted this here
Спасибо. Опыт подсказывает, что такой мануал как раз нужен самому руководству небольших компаний.
Команда absorb не импортирует сертификаты, если они хранятся отдельно от закрытого ключа

Вы правы, такое бывает, пункт и пояснение добавил в начало.

плагин Госуслуг — нужно сконфигурировать для поддержки нужных вам ГОСТ алгоритмов (ifc.cfg) там сейчас упоминание только gost2001 при подключении библиотеки

Ориентируюсь на мануал от КриптоПро: support.cryptopro.ru/index.php?/Knowledgebase/Article/View/272
В предлагаемом ими конфиге пишут:
{ name = "CryptoPro CSP";
alias = "cprocsp";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
},

вы предлагаете:
name = "CPPKCS11_2001";
alias = "CPPKCS11_2001";

Как правильнее? Вы сами проверяли?
UFO just landed and posted this here

это супер. могу вас попросить залить итоговый конфиг на форум криптопро и дать ссылку? согласитесь, людям качать с сайта криптопро как-то спокойнее, чем с моего личного dropbox.

UFO just landed and posted this here
взял ваш конфиг, добавил блоки Signal-COM CSP для 80 и 81 типов (т.к. в исходном конфиге присутствуют), проверил, работает.
Выложил в dropbox: www.dropbox.com/s/t9h0kvu2q37l2kb/ifc.cfg?dl=0
спасибо!
Всё это замечательно.
Но КЭП под макосью не работает на порталах ЕГАИС, коммерческих торговых площадок.
А никто и не говорил, что будет работать везде. Внимательно читаем инструкции к Личным кабинетам ФНС и Госуслугам, там везде упоминается mac OS: lkip.nalog.ru/certificate/requirements, lkul.nalog.ru/check.php, ds-plugin.gosuslugi.ru/plugin/upload/Index.spr. Другое дело, что сделано видимо на скорую руку и без ритуальных танцев ничего не работает, отсюда и родилась статья.
ЕГАИС, по крайней мере алко, нигде про поддержку mac OS ни слова не пишет, значит увы, надежды нет. Но даже интересно, расскажите сценарий, как и зачем вам ЕГАИС под mac OS.
Бог с ним с этим ЕГАИС, допустим найдем другую банку под виндой… Но большинство коммерческих площадок работает под виндой и IE, часть порталов. И никакие танцов с бубном не получится. ЕГАИС — утверждение декларация, сдача отчёта в ФСРАР… УТМ работает в винде… Всё печально для юзера макоси — поддержки нет несколько лет.
А еще грядет волна маркировки товара.
В ЕГАИС пробовали написать, что говорят? egais.ru/kontakty
Торговые площадки – это не массовые, а узкоспециализированные сервисы, далеко не все ими пользуются. Для работы с ними нужны специальные КЭП с зашитыми OID. У РЖД, насколько мне известно, вообще свой тип сертификатов. Но есть и такие, кто работает с обычной КЭП, например, Сбербанк-АСТ. Поэтому тут еще тот зоопарк.
Планируются поправки в ФЗ об электронной подписи с целью навести порядок на рынке ЭЦП, а по факту снизить число центров выдачи и создать гос.монополию. Вероятно, тогда и начнется процесс унификации, начнут исчезать КЭП, заточенные под конкретные площадки. Поэтому сейчас площадки не торопятся вкладываться в технологии, т.к. не понятно чего ждать на рынке завтра, возможно плагины под mac OS будут уже неактуальны. Я не оправдываю их жадность и создание искусственных технологических барьеров. Но согласитесь, имеют право, т.к. в законе изначально не предусмотрели сделать все для людей.
То о чём(КЭП, госмонополия) вы говорите это невыполнимо, всё на уровне слухов и не более. Жадность? Вы попробуйте реализуйте выпуск подписей для всего и вся по цене обычной, вот тогда и посмотрим как быстро вы станете банкротом.
Торги узкоспециализированные сервисы или уже тренд для ИП, ООО и физлиц? Я отвечу — спрос растёт и нехило, а Эпл и в ус не дуют.
Проект изменений, это проект изменений. Коммерческие УЦ не упразднят, госучреждения не выдержат потока клиентов. Capicom нужна же для нескольких торговых площадок, притом популярных, под макосью не работает.
ОИДы разные как были так и будут.
На всякий случай уточню, что начиная с «КриптоПро CSP 5.0» JaCarta на MacOS поддерживаются.
Скажите, а вам лично удалось завести КриптоПро CSP 5.0 на macOS? Пытался, не вышло.
А что у вас не получилось? В какой сборке? Ставится и работает без проблем.
На cryptopro.ru сборка только одна – 11319.
Работает это получается зайти на nalog.ru и gosuslugi.ru?
UFO just landed and posted this here

ок, перепроверю, т.к. CSPv5 уж очень интересен из-за поддержки облачной подписи КриптоПро DSS.

Хотелось бы точно такую же инструкцию, но для Windows 10.
UFO just landed and posted this here
Ну так это не инструкция, а мастер установки.
Лучше иметь под рукой по шагам расписанный человеческим языком процесс. Без заумной критографической терминологии, т.е. для нормальных предпринимателей или физиков. Чтобы было написано: включить-вставить-нажать_тут и т.п.
UFO just landed and posted this here
Качаем плагин для подписи PDF (Adobe/Foxit Reader)

Этого плагина достаточно чтобы читать эл. подпись в pdf-документах? В файлах PDF с сайта nalog.ru (выписка из ЕГРЮЛ) отметка об эл. подписи ошибку показывает.
UFO just landed and posted this here
Как попросить утилиту /opt/cprocsp/bin/csptest добавть метку времени в подпись?
У меня работает так:
/opt/cprocsp/bin/cryptcp -signf -cadest -cadesTSA http://qs.cryptopro.ru/tsp/tsp.srf -detach -cert -der -strict -thumbprint XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX FILE
где XXXX...X – Sha1 Hash сертификата, FILE – имя файла для подписи
простите, но когда я вижу кол-во консольных команд более 1, то всегда задаюсь вопросом: почему гуи не натянуть? это же мак, а не бубунту сервер без гуя?
к сожалению, получилось больше команд и буков. задачи сделать готовый продукт не стояло. было желание поделиться опытом и помочь тем кто хочет, чтобы ему помогли, но не сделали за него. GUI это только часть продукта, для работы в 1click нужно многое доработать, протестить, завести репозиторий с исходниками, подписать сертификатом в apple… тут такое дело, приложению нужно будет грантить рутовый доступ и и пин-код от токена. я не разраб, а потому мое решение на коленке не факт что будет лучше, чем просто how-to.
но все в ваших руках!
фикус в том, что интерпретация результата консольной команды для пользователя это в большинстве своем нерешаемая проблема. Если возникнет ошибка на каком-то этапе или требуется редактирование части команды, то это сразу тупик
да что вы так печетесь о пользователях, не пропадут они. Если что не так – то:
— пробуем еще раз по инструкции, возможно что-то не так сделали;
— гуглим и ищем решение, наверняка на том же форуме криптопро будет описан подобный кейс;
— заказываем услугу настройки в УЦ или привлекаем админа.
Где же тупик :) А лучше чем гадать на пустом месте, вы бы взяли проверили за мной, поправили или дополнили.
2 года назад пытался с офф поддержкой в консоли шаманить — безрезультатно. В итоге подпись стояла на виртуалке.
ок, раньше это раньше. сейчас я описал что нужно сделать четко и по шагам. по опыту моему, коллег и клиентов – все работает.
если конкретно у вас что-то не заработало – напишите плиз на каком шаге и что именно. а если вы даже не пробовали и вам лень, то держать виртуалку с windows это отличный выход на все времена!
сейчас получил подпись от банка новую. на маке через консоль ввел серийник крипто про, скачал плагин для хрома. как будет минутка еще раз попробую
удивительно, но сгенерированный в винде носитель благополучно завелся под маком в хром.
Поэкспериментировал с созданием образа диска через штатную утилиту мак (написано в инструкции, что нельзя скопировать). Создал образ, смонтировал. Первый раз ругается, что носитель не обнаружен, второй раз успешно подписывает.
UFO just landed and posted this here

уважаемый, хотите сделать такой скрипт — пожалуйста вперед. про ‘пару часов’ расскажете по итогам.
но! я как пользователь не доверил бы работу с КЭП никакому скрипту, разве что официальному от КриптоПро.

UFO just landed and posted this here
Мне оно не надо, пусть пилят те, кому за это платят.

Вот в КриптоПро видимо так же рассуждают. А вы вместо советов за то же время могли бы автоматизировать, скажем, какой-то кусок, например скачивание и установку сертификатов УЦ, самое безопасное и трудоемкое на мой взгляд.
UFO just landed and posted this here
чем мне нравится хабр, так это тем, что тут не только по делу, но и за жизнь поговорить можно.
если говорить откровенно, то асфальт у своей парадной можно и самому заделать, хотя бы на уровне купил в obi или leroy merlin камешков и насыпал. в чем проблема то? а то получается, что мы будем ничего не делать и ныть, а кто-то должен прийти и все сделать. ну так не бывает)
UFO just landed and posted this here
Ок, сдаюсь! Но думаю что вам и таким как вы всерьез стоит рассмотреть покупку Parallels + Windows + КриптоАРМ, там то уж точно все сделано людьми и для людей :)
Спасибо за статью.
Пробую еще раз.
Есть сертификаты физики и ИП от разных центров, на разных токенах.
При первой попытке
На этапе
6.1 с www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
Действителен до: 12.05.2020 08:56:26 UTC
Криптопровайдер: Crypto-Pro GOST R 34.10-2012 KC1 CSP
Алгоритм ключа: ГОСТ Р 34.10-2012
Статус: Действителен
Установлен в хранилище: Да

После нажатия 'подписать' — Не удалось создать подпись из-за ошибки: Internal error. (0x8000FFFF)

вход на госуслуги — не срабатывает (говорит не стоит плагин, реально стоит и включен и конфиг новый добавлен,).
ФНС висла.

Подпись руками не работала тоже.

После удаления сертификатов и установки заново:
www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
работает с обоими сертификатами
— ФНС работает
— подпись с командной строки работает
— sign with automator работает
— госуслуги говорят про то что нет плагина хотя реально есть.

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext выдавала для одного из сертификатов текст в неправильной кодировке (решено копированием на второй токен под именем без русских букв).

способ проверки подписи без загрузки на сайт (и без КриптоАРМ) тоже конечно интересно (в командной строке я вижу много асть (похоже /opt/cprocsp/bin/cryptcp -verify -verall -detached не делает преобразование из cp1251 в utf8?))
Перестаньте ломать защиту людям «System Preferences —> Security & Privacy —> Open Anyway;»

Просто кликаем по файлу правой кнопкой, кликаем на «открыть» с зажатым альтом и вуаля, кнопка «открыть» появляется в окне с установкой файла.
глупости. рекомендую почитать мануал от apple. а вам уважаемый стоило бы давать проверенные советы, а то ищу тут на своих маках клавишу альт и найти никак не могу…
Так в чем проблема? Ок, не альт (я думал тут нет проблем с пониманием, точнее с сопоставлением очевидных вещей), а OPTION, или значок прислать? окей: "⌥"

Вы пробовали использовать через option или считаете, чтобы открыть одну программку необходимо разрешать открывать ВСЕ непроверенные? Попробуйте. Как попробуете, отпишитесь обязательно.
через Option это тоже не работает. и вообще никак не работает, кроме как (а) через System Preferences, либо (б) через контекстное меню, а далее Open. Это суть одно и тоже. Отличие в том, что в случае с контекстным меню – это магия, а в случае с System Preferences – это понятное осмысленное действие.
При этом никакая защита не отключается и уж точно ничего не ломается. Permission на запуск дается только для конкретного приложения (точнее даже файла с определенным hash), а не всем подряд.
В чем там ваша проблема, у меня нет желания разбираться. Главное – не морочьте головы другим.
А вы всегда такой агрессивный?))
Для вас открыть контекстное меню «it's a magic»?) Ну тогда да, тут ничего не поделаешь, только делать «осмысленное действие», залазить в настройки и разрешать устанавливать всё подряд, Эппл же дебилы, сделали какую-то бессмысленное ограничение. А на андройде, вы наверное людям сразу советуете даже рутнуть всё и сразу))

Ладно, умываю руки, похоже тут чьё-то эго больше чем у Македонского и инакомыслие запрещено), можете еще воткнуть свой минус, если уж того душа желает, ведь магия запрещена вне Хогвартса, только хардкор))
UFO just landed and posted this here
Да никто и не спорит, что так можно, просто комментатор выше выдвинул серьезное и необоснованное обвинение, зато долго путался в комбинациях клавиш, ну и был словесно наказан.
Я на правах автора статьи считаю, что пользователь должен быть в курсе, что приложение не просто открывается, а оно ставится на свой страх и риск, без сертификата apple, добавляется в список исключений. Мне непонятно, почему в Apple решили, что по комбинации «Control + Click» должно появляться просто «Open», а не «Add exception and Open».
Считаю вопрос исчерпанным.
Что-то у меня идет не так. При проверке подписи в личном кабинете ФНС проверка повисает с ошибкой: failed to sign hash: invalid algorithm specified. (0x80090008)

У кого-нибудь было такое? В чем может быть проблема?

Спасибо, но перед тем как спросить я погугли по теме :). Этого кода там больше нет. И в другой ветке форума написано, что то, ссылку на что вы дали, уже исправили. И исправленного кода тоже в js на сайте я не нашел.


Также видел предположение, что дело в старом криптопро. Поставить пятую версию тоже не помогает.

у меня Рутокен Lite, подпись ГОСТ-2001, Chromium v.71.0.3578.98, ЭЦП browser plugin v.2 – все работает:
скриншоты




какая конфигурация у вас?
на gosuslugi полулось?
сайт налоговой часто under maintenance. пробовали в разное время?
У меня ГОСТ 2012-256 и Chromium GOST 76.0.3809.132, плагин тоже версии 2
Пробовал в разное время, не помогает
ок.
1) что выдает тестовая страница криптопро?
www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
на госуслуги получается зайти?
2) поставьте старый Chromium как у меня
3) пройдите п.7 в статье, названия контейнеров случайно не на русском языке?
На тестовой странице КриптоПро подписание проходит удачно.
В госуслуги не заходит.
Установка Chromium более старой версии не помогает.
По поводу п.7 не понял – там описано как переустановить сертификаты, если перестало работать.
Спасибо вам! на своем старом сертификате проверил – хуже не стало. Добавил п.3.5 в статью.
Добавьте ещё, пожалуйста, что если в качестве ключа используется простая флешка, то Chromium-GOST нужно запускать командой «/Applications/Chromium-Gost.app/Contents/MacOS/Chromium-Gost --no-sandbox» — у меня без этого вход обрывается с ошибкой ERR_FAILED. Это тоже из пункта е).

И спасибо большущее за инструкцию! На сайте ФНС для MacOS указан только Яндекс.Браузер — но он не поддерживает шифрование по ГОСТ вообще. Зачем сайт ФНС вводит в заблуждение — непонятно!
если в качестве ключа используется простая флешка

т.е. как? вы храните файл подписи незащищенным или используете какой-то шифрованный контейнер отличный от гост-овского?
UFO just landed and posted this here
Коллеги, правильно понимаю, что профит только в экономии на носителе (1K RUB)? или есть иные плюсы? Каков % пользователей идет по этому кейсу?
Я к тому, что если для 99% это избыточная информация, то сорян, не добавлю. Но за уточнение, разумеется, большое спасибо.
UFO just landed and posted this here
UFO just landed and posted this here
Дурацкий вопрос: а как экспортировать подпись, и перенести ее на rutoken или бэкап сделать?
Сейчас она в хранилище, на жестком диске ее вижу по:
/opt/cprocsp/bin/certmgr -list
UFO just landed and posted this here
Спасибо, разобрался! Но есть еще вопрос: может быть есть идеи, почему на тех же Госуслгах показывается на выбор три сертификата при логине? У меня точно на токене 1 и вообще 1.
UFO just landed and posted this here

А я правильно понимаю, что список сертификатов, которыми я могу логиниться в ФНС определяется настройками IFC плагина?

Я просто скопировал сертификат на жесткий диск, но при этом почему-то сайт Налоговой позволяет выбрать только сертификат на токене - в какую сторону копать?

UFO just landed and posted this here

Криптопровайдер на маке висит постоянно в памяти? Жрет батарейку?
Есть какой то наиболее эффективный вариант установки, чтобы работало по запросу и не висело в памяти ненужных сервисов 90% времени?

На Маке наоборот нет варианта, при котором провайдер работает в службе - только в памяти приложения. Закрываете приложение - выгружается провайдер.

Для тех, кто будет искать.

Если после перезагрузки (или просто по воле случая) у вас все бинарники cryptopro превратились в corrupted, достаточно просто переустановить сам cryptopro.

Способа предотвратить это и даже найти причину не удалось.

Тем не менее, все работает с версией 5.0 на MacOS Monterey на M1

Я так понял, что инструкция на криптопро сайте кривая?

Да, у меня на монтерей не взлетело. Для начала я не нашел в магазине яблака нихрена. Мне пришлось крипто про скачивать с сайта крипто про. Сертификат уставился с рутокеналайт легко и без проблем. Далее пришлось скачивать хром и в него с сайта госуслуг плагин, который в рписании почему то содержит древние версии макоси.. В общем расширение поставилось. При попытке авторизоваться с ЭЦП плагин пишет что сертификат недоступен. Но к токену обращается .. мигает недолго. Что не делал, это не копировал какой то мутный файл -конфиг с сайта криптопро с заменой в каком то каталоге. Че за костыль не понял. В общем не взлетело. Еще больше зауважал свою винду.

Есть там ещё одна неочевидная штука (дисклеймер: macOS 12.6.6 CSP 5.0.12500). Со временем, порядка раз в месяц, CSP начинает выдавать ошибку "Ошибка 0x800B010E: Процесс отмены не может быть продолжен - проверка сертификатов недоступна.". Это вызвано тем, что CSP 5.0 не обновляет автоматически CRL по прописанным URL (из трех URL списков отзыва в моем случае один с ошибкой, возможно в этом причина). Для того чтобы вернуть статус кво, нужно скачать по цепочке свежий CRL. URL для него берется из свойств сертификата личного. Добавить в "Расширенные" > Списки отзыва > Промежуточные центры сертификации кнопкой "Установить CRL". Через месяц если вылетает опять эта ошибка — повторить.

Вот теперь раздумываю, а стоит ли при таких качествах CSP обновляться до macOS 13? Ведь сборка R3 которая по заявлению производителя "лучше работает" - несертифицированная до сих пор.

Sign up to leave a comment.

Articles