Квалифицированная электронная подпись под macOS

  • Tutorial

По данным РБК и Тензор, в 2019 году в России будет выдано 4,6 млн. сертификатов квалифицированных электронных подписей (КЭП), соответствующих требованиям 63-ФЗ. Получается, что из 8 млн. зарегистрированных ИП и ООО каждый второй предприниматель пользуется электронной подписью. Помимо КЭП для ЕГАИС и облачных КЭП для сдачи отчетности, выдаваемых банками и бухгалтерскими сервисами, особый интерес представляют универсальные КЭП на защищенных токенах. Такие сертификаты позволяют логиниться на гос.порталы и подписывать любые документы, делая их юридически значимыми.


Благодаря сертификату КЭП на USB-токене можно удаленно заключить договор с контрагентом или дистанционным сотрудником, направить документы в суд; зарегистрировать онлайн-кассу, урегулировать задолженность по налогам и подать декларацию в личном кабинете на nalog.ru; узнать о задолженностях и предстоящих проверках на Госуслугах.


Представленный ниже мануал поможет работать с КЭП под macOS – без изучения форумов КриптоПро и установки виртуальной машины с Windows.


Содержание

Что нужно для работы с КЭП под macOS:


Устанавливаем и настраиваем КЭП под macOS


  1. Устанавливаем КриптоПро CSP
  2. Устанавливаем драйверы Рутокен
  3. Устанавливаем сертификаты
    3.1. Удаляем все старые ГОСТовские сертификаты
    3.2. Устанавливаем корневые сертификаты
    3.3. Скачиваем сертификаты удостоверяющего центра
    3.4. Устанавливаем сертификат с Рутокен
  4. Устанавливаем специальный браузер Chromium-GOST
  5. Устанавливаем расширения для браузера
    5.1 КриптоПро ЭЦП Browser plug-in
    5.2. Плагин для Госуслуг
    5.3. Настраиваем плагин для Госуслуг
    5.4. Активируем расширения
    5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  6. Проверяем что все работает
    6.1. Заходим на тестовую страницу КриптоПро
    6.2. Заходим в Личный Кабинет на nalog.ru
    6.3. Заходим на Госуслуги
  7. Что делать если перестало работать

Смена PIN-кода контейнера


  1. Выясняем название контейнера КЭП
  2. Смена PIN командой из terminal

Подпись файлов в macOS


  1. Выясняем хэш сертификата КЭП
  2. Подпись файла командой из terminal
  3. Установка Apple Automator Script

Проверить подпись на документе


Вся информация ниже получена из авторитетных источников (КриптоПро #1, #2 и #3, Рутокен, Корус-Консалтинг, УФО Минкомсвязи), а скачивать ПО предлагается с доверенных сайтов. Автор является независимым консультантом и не связан ни с одной из упомянутых компаний. Следуя данной инструкции, всю ответственность за любые действия и последствия вы принимаете на себя.


Что нужно для работы с КЭП под macOS:


  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Носители 
eToken и JaCarta в связке с КриптоПро под macOS не поддерживаются. Носитель Рутокен Lite – оптимальный выбор, стоит 500..1000= руб., шустро работает и позволяет хранить до 15 ключей.


Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата должна быть порядка 1300= руб. для ИП и 1600= руб. для ЮЛ.


Обычно годовая лицензия на КриптоПро CSP уже зашита в сертификат и многими УЦ предоставляется бесплатно. 
Если это не так, то необходимо купить и активировать бессрочную лицензию на КриптоПро CSP строго версии 4 стоимостью 2700=. КриптоПро CSP версии 5 под macOS в данный момент не работает.


Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.


Устанавливаем и настраиваем КЭП под macOS


Очевидные вещи
  • все загружаемые файлы скачиваются в каталог по-умолчанию: ~/Downloads/;
  • во всех установщиках ничего не меняем, все оставляем по-умолчанию;
  • если macOS выводит предупреждение, что запускаемое ПО от неустановленного разработчика – нужно подтвердить запуск в системных настройках: System Preferences —> Security & Privacy —> Open Anyway;
  • если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.

1. Устанавливаем КриптоПро CSP


Регистрируемся на сайте КриптоПро и со страницы загрузок скачиваем и устанавливаем версию КриптоПро CSP 4.0 R4 для macOSскачать.


2. Устанавливаем драйверы Рутокен


На сайте написано что это опционально, но лучше поставить. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain)скачать.


Далее подключаем usb-токен, запускаем terminal и выполняем команду:


/opt/cprocsp/bin/csptest -card -enum

В ответе должно быть:


Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

3. Устанавливаем сертификаты


3.1. Удаляем все старые ГОСТовские сертификаты


Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.


sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:


No certificate matching the criteria

или


Deleting complete

3.2. Устанавливаем корневые сертификаты


Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:



Устанавливаем командами в terminal:


sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:


Installing:

[ErrorCode: 0x00000000]

3.3. Скачиваем сертификаты удостоверяющего центра


Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.


Альтернативно, сертификаты любого УЦ можно скачать с сайта УФО Минкомсвязи. Для этого в форме поиска нужно найти УЦ по названию, перейти на страницу с сертификатами и скачать все действующие сертификаты – то есть те, у которых в поле 'Действует' вторая дата еще не наступила. Скачивать по ссылке из поля 'Отпечаток'.


Скриншоты



На примере УЦ Корус-Консалтинг: нужно скачать 4 сертификата со страницы загрузок:



Скачанные сертификаты УЦ устанавливаем командами из terminal:


sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

где после ~/Downloads/ идут имена скачанных файлов, для каждого УЦ они будут свои.


Каждая команда должна возвращать:


Installing:

[ErrorCode: 0x00000000]

3.4. Устанавливаем сертификат с Рутокен


Команда в terminal:


/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:


OK.
[ErrorCode: 0x00000000]

3.5. Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34.10-2012


Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция на сайте CryptoPro рекомендует:


Команды в terminal:


sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'

Команды ничего не возвращают.


4. Устанавливаем специальный браузер Chromium-GOST


Для работы с гос.порталами потребуется специальная сборка браузера сhromium – Chromium-GOST. Исходный код проекта открыт, ссылка на репозиторий на GitHub приводится на сайте КриптоПро. По опыту, другие браузеры CryptoFox и Яндекс.Браузер для работы с гос.порталами под macOS не годятся. Стоит учесть, что в некоторых сборках Chromium-GOST личный кабинет на nalog.ru может подвисать или вообще перестает работать скролл, поэтому предлагается старая проверенная сборка 71.0.3578.98скачать.



Скачиваем и распаковываем архив, устанавливаем браузер копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):


killall Chromium-Gost

5. Устанавливаем расширения для браузера


5.1 КриптоПро ЭЦП Browser plug-in


Со страницы загрузок на сайте КриптоПро скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in версия 2.0 для пользователейскачать.


5.2. Плагин для Госуслуг


Со страницы загрузок на портале Госуслуг скачиваем и устанавливаем Плагин для работы с порталом государственных услуг (версия для macOS)скачать.


5.3. Настраиваем плагин для Госуслуг


Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 – скачать.


Выполняем команды в terminal:


sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts

5.4. Активируем расширения


Запускаем браузер Chromium-Gost и в адресной строке набираем:


chrome://extensions/

Включаем оба установленных расширения:


  • CryptoPro Extension for CAdES Browser Plug-in
  • Расширение для плагина Госуслуг

Скриншот


5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in


В адресной строке Chromium-Gost набираем:


/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:


https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Жмем “Сохранить”. Должна появиться зеленая плашка:


Список доверенных узлов успешно сохранен.

Скриншот


6. Проверяем что все работает


6.1. Заходим на тестовую страницу КриптоПро


В адресной строке Chromium-Gost набираем:


https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.
Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться


Подпись сформирована успешно

Скриншот


6.2. Заходим в Личный Кабинет на nalog.ru


По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:



Скриншот


6.3. Заходим на Госуслуги


При авторизации выбираем "Вход с помощью электронной подписи". В появившемся списке "Выбор сертификата ключа проверки электронной подписи" будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.


Скриншот



7. Что делать если перестало работать


  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:


    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:


    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:


    /opt/cprocsp/bin/csptestf -absorb -certs


Смена PIN-кода контейнера


Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.


1. Выясняем название контейнера КЭП


На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:


/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть


[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид


\.\Aktiv Rutoken lite\XXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.


2. Смена PIN командой из terminal


/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).


Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.


Скриншот


Подпись файлов в macOS


В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.


1. Выясняем хэш сертификата КЭП


На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.
Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:


/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:


Certmgr 1.1 © "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = =
1-------
Issuer: E=help@esphere.ru,… CN=ООО КОРУС Консалтинг СНГ…
Subject: E=sergzah@gmail.com,… CN=Захаров Сергей Анатольевич…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
...
Container: SCARD\rutoken_lt_00000000\0000\0000

= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

У нужного нам сертификата в параметре Container должно быть значение вида SCARD\rutoken.... Если сертификатов с такими значениями несколько, то значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение параметра SHA1 Hash (40 символов) нужно скопировать и подставить в команду ниже.


2. Подпись файла командой из terminal


В terminal переходим в каталог с файлом для подписания и выполняем команду:


/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ... – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).


Команда должна вернуть:


Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.


3. Установка Apple Automator Script


Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого скачиваем архив – скачать.


  1. Распаковываем архив ‘Sign with CryptoPro.zip’
  2. Запускаем Automator
  3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
  4. В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.
  5. Сохраняем скрипт: ⌘Command + S
  6. Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.
  7. Идем в System Preferences —> Extensions —> Finder и проверяем, что Sign with CryptoPro quick action отмечено.
  8. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro
  9. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
  10. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Скриншоты

Окно Apple Automator:


System Preferences:


Контекстное меню Finder:



Проверить подпись на документе


Если содержимое документа не содержит секретов и тайн, то проще всего воспользоваться web-сервисом на портале Госуслуг – https://www.gosuslugi.ru/pgu/eds. Так можно сделать скриншот с авторитетного ресурса и быть уверенным что с подписью все ок.


Скриншоты


AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 73

    +1
    Статья годная, новичкам с Unix платформами полезна, особенно когда нужно настроить вход в налоговую, госуслуги или на тендерную площадку кому нибудь из руководства.
    Вы упустили несколько моментов:
    1. Грядет переход на ГОСТ 2012-256/512
    2. Команда absorb не импортирует сертификаты, если они хранятся отдельно от закрытого ключа

    И момент, плагин Госуслуг — нужно сконфигурировать для поддержки нужных вам ГОСТ алгоритмов (ifc.cfg) там сейчас упоминание только gost2001 при подключении библиотеки. Может КриптоПро к концу года в файле из базы знаний поменяет, но пока правим руками на gost2012_512.

    {
    name = "CPPKCS11_2012_512";
    alias = "CPPKCS11_2012_512";
    type = "pkcs11";
    alg = "gost2012_512";
    model = "CPPKCS 3";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
    lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
    },

    {
    name = "CPPKCS11_2012_256";
    alias = "CPPKCS11_2012_256";
    type = "pkcs11";
    alg = "gost2012_256";
    model = "CPPKCS 3";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
    lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
    },

    {
    name = "CPPKCS11_2001";
    alias = "CPPKCS11_2001";
    type = "pkcs11";
    alg = "gost2001";
    model = "CPPKCS 3";
    lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
    lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
    }


    Для сертификатов которые хранятся отдельно от контейнера с закрытым ключом библиотека pkcs11 не возвращает закрытый ключ — вход через госуслуги не возможен.

    С 1С бухгалтерией пока проблемы (ЭДКО поломали).
    Для работы с подписью можно использовать КриптоАрм-ГОСТ.
      0
      Спасибо. Опыт подсказывает, что такой мануал как раз нужен самому руководству небольших компаний.
      Команда absorb не импортирует сертификаты, если они хранятся отдельно от закрытого ключа

      Вы правы, такое бывает, пункт и пояснение добавил в начало.

      плагин Госуслуг — нужно сконфигурировать для поддержки нужных вам ГОСТ алгоритмов (ifc.cfg) там сейчас упоминание только gost2001 при подключении библиотеки

      Ориентируюсь на мануал от КриптоПро: support.cryptopro.ru/index.php?/Knowledgebase/Article/View/272
      В предлагаемом ими конфиге пишут:
      { name = "CryptoPro CSP";
      alias = "cprocsp";
      type = "pkcs11";
      alg = "gost2001";
      model = "CPPKCS 3";
      lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
      },

      вы предлагаете:
      name = "CPPKCS11_2001";
      alias = "CPPKCS11_2001";

      Как правильнее? Вы сами проверяли?
        0
        Без разницы :) Если вы обратили внимание, то автор темы по работе плагина Госуслуг в Linux/Mac на форуме Крипто-Про я, и большую часть инструкции формировали именно совместными действиями, как и первичный патч библиотеки, как и патч для МакОси (многое через личку с сотрудниками КриптоПро).
        Так что пользуйтесь, вопросы лучше задавать в тематической ветке форума КриптоПро.
          0

          это супер. могу вас попросить залить итоговый конфиг на форум криптопро и дать ссылку? согласитесь, людям качать с сайта криптопро как-то спокойнее, чем с моего личного dropbox.

        0
        Всё это замечательно.
        Но КЭП под макосью не работает на порталах ЕГАИС, коммерческих торговых площадок.
          0
          А никто и не говорил, что будет работать везде. Внимательно читаем инструкции к Личным кабинетам ФНС и Госуслугам, там везде упоминается mac OS: lkip.nalog.ru/certificate/requirements, lkul.nalog.ru/check.php, ds-plugin.gosuslugi.ru/plugin/upload/Index.spr. Другое дело, что сделано видимо на скорую руку и без ритуальных танцев ничего не работает, отсюда и родилась статья.
          ЕГАИС, по крайней мере алко, нигде про поддержку mac OS ни слова не пишет, значит увы, надежды нет. Но даже интересно, расскажите сценарий, как и зачем вам ЕГАИС под mac OS.
            0
            Бог с ним с этим ЕГАИС, допустим найдем другую банку под виндой… Но большинство коммерческих площадок работает под виндой и IE, часть порталов. И никакие танцов с бубном не получится. ЕГАИС — утверждение декларация, сдача отчёта в ФСРАР… УТМ работает в винде… Всё печально для юзера макоси — поддержки нет несколько лет.
            А еще грядет волна маркировки товара.
              0
              В ЕГАИС пробовали написать, что говорят? egais.ru/kontakty
              Торговые площадки – это не массовые, а узкоспециализированные сервисы, далеко не все ими пользуются. Для работы с ними нужны специальные КЭП с зашитыми OID. У РЖД, насколько мне известно, вообще свой тип сертификатов. Но есть и такие, кто работает с обычной КЭП, например, Сбербанк-АСТ. Поэтому тут еще тот зоопарк.
              Планируются поправки в ФЗ об электронной подписи с целью навести порядок на рынке ЭЦП, а по факту снизить число центров выдачи и создать гос.монополию. Вероятно, тогда и начнется процесс унификации, начнут исчезать КЭП, заточенные под конкретные площадки. Поэтому сейчас площадки не торопятся вкладываться в технологии, т.к. не понятно чего ждать на рынке завтра, возможно плагины под mac OS будут уже неактуальны. Я не оправдываю их жадность и создание искусственных технологических барьеров. Но согласитесь, имеют право, т.к. в законе изначально не предусмотрели сделать все для людей.
                0
                То о чём(КЭП, госмонополия) вы говорите это невыполнимо, всё на уровне слухов и не более. Жадность? Вы попробуйте реализуйте выпуск подписей для всего и вся по цене обычной, вот тогда и посмотрим как быстро вы станете банкротом.
                Торги узкоспециализированные сервисы или уже тренд для ИП, ООО и физлиц? Я отвечу — спрос растёт и нехило, а Эпл и в ус не дуют.
                  0
                  Уважаемый, никаких слухов, проект изменений уже проходит экспертизу и на пути в правительство regulation.gov.ru/projects#npa=79636
                    0
                    Проект изменений, это проект изменений. Коммерческие УЦ не упразднят, госучреждения не выдержат потока клиентов. Capicom нужна же для нескольких торговых площадок, притом популярных, под макосью не работает.
                    ОИДы разные как были так и будут.
      0
      На всякий случай уточню, что начиная с «КриптоПро CSP 5.0» JaCarta на MacOS поддерживаются.
        0
        Скажите, а вам лично удалось завести КриптоПро CSP 5.0 на macOS? Пытался, не вышло.
          0
          А что у вас не получилось? В какой сборке? Ставится и работает без проблем.
            0
            На cryptopro.ru сборка только одна – 11319.
            Работает это получается зайти на nalog.ru и gosuslugi.ru?
              0
              11319 — это их последняя сборка, с патчами libpkcs11, проверено, работает.
              Работает — это управление сертификатами, пинкодами, облачными токенами, Госуслуги, лк. налоговой (юл, фл, ип), центр занятости, ЕЭТП.
                0

                ок, перепроверю, т.к. CSPv5 уж очень интересен из-за поддержки облачной подписи КриптоПро DSS.

        0
        Хотелось бы точно такую же инструкцию, но для Windows 10.
          0
          А разве install.kontur.ru уже не работает?
            0
            Ну так это не инструкция, а мастер установки.
            Лучше иметь под рукой по шагам расписанный человеческим языком процесс. Без заумной критографической терминологии, т.е. для нормальных предпринимателей или физиков. Чтобы было написано: включить-вставить-нажать_тут и т.п.
              0
              Тогда все несколько проще:
              1. Качаем КриптоПро 4.0 R4. (https://www.cryptopro.ru/sites/default/files/private/csp/40/9963/CSPSetup.exe)
              2. Качаем Browser Plugin: www.cryptopro.ru/products/cades/plugin/get_2_0
              3. Качаем плагин для подписи PDF (Adobe/Foxit Reader): www.cryptopro.ru/sites/default/files/products/pdf/files/788/cppdfsetup.exe
              4. Ставим все последовательно
              5. Втыкаем токен/USB Flash с контейнером.
              6. Открываем оснастку КриптоПро, просмотреть сведения о сертификатах в контейнере — импортируем сертфикаты.
              7. Если у вас прокси-сервер, и нужен портал налоговой — качаем Хромиум-ГОСТ: update.cryptopro.ru/chromium-gost
              8. Установка плагинов в Хромиум/Файерфокс — аналогично статье.
              9. При необходимости в IE добавить сайты в доверенные узлы.
              10. Пользуемся.
                0
                Качаем плагин для подписи PDF (Adobe/Foxit Reader)

                Этого плагина достаточно чтобы читать эл. подпись в pdf-документах? В файлах PDF с сайта nalog.ru (выписка из ЕГРЮЛ) отметка об эл. подписи ошибку показывает.
                  0
                  Достаточно. Если плагин ставится после установки ридера — то все нормально. Если до — в настройках ридера выставить провайдер по умолчанию — CryptoPro PDF.
          0
          Как попросить утилиту /opt/cprocsp/bin/csptest добавть метку времени в подпись?
            0
            У меня работает так:
            /opt/cprocsp/bin/cryptcp -signf -cadest -cadesTSA http://qs.cryptopro.ru/tsp/tsp.srf -detach -cert -der -strict -thumbprint XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX FILE
            
            где XXXX...X – Sha1 Hash сертификата, FILE – имя файла для подписи
            0
            простите, но когда я вижу кол-во консольных команд более 1, то всегда задаюсь вопросом: почему гуи не натянуть? это же мак, а не бубунту сервер без гуя?
              +1
              к сожалению, получилось больше команд и буков. задачи сделать готовый продукт не стояло. было желание поделиться опытом и помочь тем кто хочет, чтобы ему помогли, но не сделали за него. GUI это только часть продукта, для работы в 1click нужно многое доработать, протестить, завести репозиторий с исходниками, подписать сертификатом в apple… тут такое дело, приложению нужно будет грантить рутовый доступ и и пин-код от токена. я не разраб, а потому мое решение на коленке не факт что будет лучше, чем просто how-to.
              но все в ваших руках!
                0
                фикус в том, что интерпретация результата консольной команды для пользователя это в большинстве своем нерешаемая проблема. Если возникнет ошибка на каком-то этапе или требуется редактирование части команды, то это сразу тупик
                  0
                  да что вы так печетесь о пользователях, не пропадут они. Если что не так – то:
                  — пробуем еще раз по инструкции, возможно что-то не так сделали;
                  — гуглим и ищем решение, наверняка на том же форуме криптопро будет описан подобный кейс;
                  — заказываем услугу настройки в УЦ или привлекаем админа.
                  Где же тупик :) А лучше чем гадать на пустом месте, вы бы взяли проверили за мной, поправили или дополнили.
                    0
                    2 года назад пытался с офф поддержкой в консоли шаманить — безрезультатно. В итоге подпись стояла на виртуалке.
                      0
                      ок, раньше это раньше. сейчас я описал что нужно сделать четко и по шагам. по опыту моему, коллег и клиентов – все работает.
                      если конкретно у вас что-то не заработало – напишите плиз на каком шаге и что именно. а если вы даже не пробовали и вам лень, то держать виртуалку с windows это отличный выход на все времена!
                        0
                        сейчас получил подпись от банка новую. на маке через консоль ввел серийник крипто про, скачал плагин для хрома. как будет минутка еще раз попробую
                          0
                          удивительно, но сгенерированный в винде носитель благополучно завелся под маком в хром.
                          Поэкспериментировал с созданием образа диска через штатную утилиту мак (написано в инструкции, что нельзя скопировать). Создал образ, смонтировал. Первый раз ругается, что носитель не обнаружен, второй раз успешно подписывает.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      +2

                      уважаемый, хотите сделать такой скрипт — пожалуйста вперед. про ‘пару часов’ расскажете по итогам.
                      но! я как пользователь не доверил бы работу с КЭП никакому скрипту, разве что официальному от КриптоПро.

                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Мне оно не надо, пусть пилят те, кому за это платят.

                          Вот в КриптоПро видимо так же рассуждают. А вы вместо советов за то же время могли бы автоматизировать, скажем, какой-то кусок, например скачивание и установку сертификатов УЦ, самое безопасное и трудоемкое на мой взгляд.
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              чем мне нравится хабр, так это тем, что тут не только по делу, но и за жизнь поговорить можно.
                              если говорить откровенно, то асфальт у своей парадной можно и самому заделать, хотя бы на уровне купил в obi или leroy merlin камешков и насыпал. в чем проблема то? а то получается, что мы будем ничего не делать и ныть, а кто-то должен прийти и все сделать. ну так не бывает)
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  0
                                  Ок, сдаюсь! Но думаю что вам и таким как вы всерьез стоит рассмотреть покупку Parallels + Windows + КриптоАРМ, там то уж точно все сделано людьми и для людей :)
                  0
                  Спасибо за статью.
                  Пробую еще раз.
                  Есть сертификаты физики и ИП от разных центров, на разных токенах.
                  При первой попытке
                  На этапе
                  6.1 с www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
                  Действителен до: 12.05.2020 08:56:26 UTC
                  Криптопровайдер: Crypto-Pro GOST R 34.10-2012 KC1 CSP
                  Алгоритм ключа: ГОСТ Р 34.10-2012
                  Статус: Действителен
                  Установлен в хранилище: Да

                  После нажатия 'подписать' — Не удалось создать подпись из-за ошибки: Internal error. (0x8000FFFF)

                  вход на госуслуги — не срабатывает (говорит не стоит плагин, реально стоит и включен и конфиг новый добавлен,).
                  ФНС висла.

                  Подпись руками не работала тоже.

                  После удаления сертификатов и установки заново:
                  www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
                  работает с обоими сертификатами
                  — ФНС работает
                  — подпись с командной строки работает
                  — sign with automator работает
                  — госуслуги говорят про то что нет плагина хотя реально есть.

                  /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext выдавала для одного из сертификатов текст в неправильной кодировке (решено копированием на второй токен под именем без русских букв).

                  способ проверки подписи без загрузки на сайт (и без КриптоАРМ) тоже конечно интересно (в командной строке я вижу много асть (похоже /opt/cprocsp/bin/cryptcp -verify -verall -detached не делает преобразование из cp1251 в utf8?))
                    –1
                    Проще поставить Parallels с Windows )
                      –1
                      Перестаньте ломать защиту людям «System Preferences —> Security & Privacy —> Open Anyway;»

                      Просто кликаем по файлу правой кнопкой, кликаем на «открыть» с зажатым альтом и вуаля, кнопка «открыть» появляется в окне с установкой файла.
                        0
                        глупости. рекомендую почитать мануал от apple. а вам уважаемый стоило бы давать проверенные советы, а то ищу тут на своих маках клавишу альт и найти никак не могу…
                          –1
                          Так в чем проблема? Ок, не альт (я думал тут нет проблем с пониманием, точнее с сопоставлением очевидных вещей), а OPTION, или значок прислать? окей: "⌥"

                          Вы пробовали использовать через option или считаете, чтобы открыть одну программку необходимо разрешать открывать ВСЕ непроверенные? Попробуйте. Как попробуете, отпишитесь обязательно.
                            –1
                            через Option это тоже не работает. и вообще никак не работает, кроме как (а) через System Preferences, либо (б) через контекстное меню, а далее Open. Это суть одно и тоже. Отличие в том, что в случае с контекстным меню – это магия, а в случае с System Preferences – это понятное осмысленное действие.
                            При этом никакая защита не отключается и уж точно ничего не ломается. Permission на запуск дается только для конкретного приложения (точнее даже файла с определенным hash), а не всем подряд.
                            В чем там ваша проблема, у меня нет желания разбираться. Главное – не морочьте головы другим.
                              0
                              А вы всегда такой агрессивный?))
                              Для вас открыть контекстное меню «it's a magic»?) Ну тогда да, тут ничего не поделаешь, только делать «осмысленное действие», залазить в настройки и разрешать устанавливать всё подряд, Эппл же дебилы, сделали какую-то бессмысленное ограничение. А на андройде, вы наверное людям сразу советуете даже рутнуть всё и сразу))

                              Ладно, умываю руки, похоже тут чьё-то эго больше чем у Македонского и инакомыслие запрещено), можете еще воткнуть свой минус, если уж того душа желает, ведь магия запрещена вне Хогвартса, только хардкор))
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              Да никто и не спорит, что так можно, просто комментатор выше выдвинул серьезное и необоснованное обвинение, зато долго путался в комбинациях клавиш, ну и был словесно наказан.
                              Я на правах автора статьи считаю, что пользователь должен быть в курсе, что приложение не просто открывается, а оно ставится на свой страх и риск, без сертификата apple, добавляется в список исключений. Мне непонятно, почему в Apple решили, что по комбинации «Control + Click» должно появляться просто «Open», а не «Add exception and Open».
                              Считаю вопрос исчерпанным.
                          0
                          Что-то у меня идет не так. При проверке подписи в личном кабинете ФНС проверка повисает с ошибкой: failed to sign hash: invalid algorithm specified. (0x80090008)

                          У кого-нибудь было такое? В чем может быть проблема?
                              0

                              Спасибо, но перед тем как спросить я погугли по теме :). Этого кода там больше нет. И в другой ветке форума написано, что то, ссылку на что вы дали, уже исправили. И исправленного кода тоже в js на сайте я не нашел.


                              Также видел предположение, что дело в старом криптопро. Поставить пятую версию тоже не помогает.

                                +1
                                у меня Рутокен Lite, подпись ГОСТ-2001, Chromium v.71.0.3578.98, ЭЦП browser plugin v.2 – все работает:
                                скриншоты




                                какая конфигурация у вас?
                                на gosuslugi полулось?
                                сайт налоговой часто under maintenance. пробовали в разное время?
                                  0
                                  У меня ГОСТ 2012-256 и Chromium GOST 76.0.3809.132, плагин тоже версии 2
                                  Пробовал в разное время, не помогает
                                    0
                                    ок.
                                    1) что выдает тестовая страница криптопро?
                                    www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
                                    на госуслуги получается зайти?
                                    2) поставьте старый Chromium как у меня
                                    3) пройдите п.7 в статье, названия контейнеров случайно не на русском языке?
                                      0
                                      На тестовой странице КриптоПро подписание проходит удачно.
                                      В госуслуги не заходит.
                                      Установка Chromium более старой версии не помогает.
                                      По поводу п.7 не понял – там описано как переустановить сертификаты, если перестало работать.
                                      –1
                                      Попробуйте yandex браузер
                                +1
                                В итоге, помогла инструкция с сайта КриптоПро: support.cryptopro.ru/index.php?/Knowledgebase/Article/View/232/0/rbot-s-kriptopro-csp-v-macos

                                А конкретно, пункт e)
                                  0
                                  Спасибо вам! на своем старом сертификате проверил – хуже не стало. Добавил п.3.5 в статью.
                                    +1
                                    Добавьте ещё, пожалуйста, что если в качестве ключа используется простая флешка, то Chromium-GOST нужно запускать командой «/Applications/Chromium-Gost.app/Contents/MacOS/Chromium-Gost --no-sandbox» — у меня без этого вход обрывается с ошибкой ERR_FAILED. Это тоже из пункта е).

                                    И спасибо большущее за инструкцию! На сайте ФНС для MacOS указан только Яндекс.Браузер — но он не поддерживает шифрование по ГОСТ вообще. Зачем сайт ФНС вводит в заблуждение — непонятно!
                                      0
                                      если в качестве ключа используется простая флешка

                                      т.е. как? вы храните файл подписи незащищенным или используете какой-то шифрованный контейнер отличный от гост-овского?
                                        0
                                        Имеется в виду файловый контейнер крипто-про на USB Флеш накопителе. Де факто это программная реализация контейнера на базе PCSC файловой системы и хранения в ней ключей. Данные шифрованные, тот же фрмат контейнера КриптоПро использует и на аппаратных ключах защиты (с некоторыми ньюансами).
                                        Да, это мнее безопасно, т.к. папку с ключевым контейнером можно легко скопировать целиком.
                                          0
                                          Коллеги, правильно понимаю, что профит только в экономии на носителе (1K RUB)? или есть иные плюсы? Каков % пользователей идет по этому кейсу?
                                          Я к тому, что если для 99% это избыточная информация, то сорян, не добавлю. Но за уточнение, разумеется, большое спасибо.
                                            0
                                            Ну как сказать — профит от USB флешки помимо экономии на накопителе (чем многие пользуются) — возможность скопировать контейнер на несколько флешек (например буху, директору, кадровикам), хотя это и грубое нарушение 64-ФЗ. С тем же успехом можно скопировать контейнер средствами КриптоПро, если ключ является извлекаемым (зависит от токена).

                                            В остальном — это менее безопасно, нет возможности проброса смарт-карты дальше (на виртуальную машину или терминальный сервер) и куча минусов в плане ИБ.
                                            Тем не менее это то самое дичайшее Lagacy которым многие пользуются ещё со времен сдачи отчетности на дискетах и электронных подписях на них же, тогда ещё называвшихся ЭЦП.
                                              0
                                              А в случае если ключ не извлекаемый то его сначала надо сделать экспортируемым (certfix shift+rmb) и только потом копировать.

                                              image
                                                0
                                                Ещё раз — имеется в виду аппаратный токен и неизвлекаемый ключ. Все остальное, как вы верно отметили, прекрасно извлекается. Тем более из реестра.
                                                С другой стороны я такой утилиты для мака не знаю, как и реестра :)
                                0
                                Дурацкий вопрос: а как экспортировать подпись, и перенести ее на rutoken или бэкап сделать?
                                Сейчас она в хранилище, на жестком диске ее вижу по:
                                /opt/cprocsp/bin/certmgr -list
                                  0
                                  /opt/cprocsp/bin/csptest -keycopy -help

                                  Или через графическую оснастку
                                    0
                                    Спасибо, разобрался! Но есть еще вопрос: может быть есть идеи, почему на тех же Госуслгах показывается на выбор три сертификата при логине? У меня точно на токене 1 и вообще 1.
                                      0
                                      Да какие тут идеи, все просто. IFC плагин определяет сертификаты по открытым ключам а не наличию закрытых (в нарушение стандартов между прочим), а КриптоПро PKCS11 библиотека возвращает все сертификаты и публичные ключи до версии 5.0 R2 — там отдает только сертификаты хранилища uMy/mMy (Личное).
                                      Такми образом вы видите корневые и промежуточные удостоверяющие центры.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое