Настройка КЭП для работы на MacOS | ITCOM удостоверяющий центр

Введение

Сфера информационных технологий развивается сегодня особенно стремительно. Чтобы конкурировать с большинством участников рынка, нужно грамотно распределять свое время и ресурсы. С появлением электронной подписи эта задача становится выполнимой.  В настоящее время многие услуги можно получить не отходя от своего рабочего компьютера, имея лишь доступ в интернет.

Необходимое программное обеспечение:

Минимальные требования: 

Операционная система: Mac OS X 10.9.Наличие учетной записи с правами администратора.

Ссылки на необходимое программное обеспечение:

Ввод лицензии криптопро

     1. Откройте Terminal .

Запуск приложения macOS Терминал (Terminal).

Открыть стандартное приложение macOS Терминал (Terminal) возможно одним из способов:

• Выберите Spotlight (кнопка лупы в правом верхнем углу экрана) и введите в строку поиска «Терминал».

• Сверните все запущенные приложения, в верхнем меню выбирайте вкладку «Переход», в открывшемся меню нажимаете раздел «Утилиты».

В окне Терминала необходимо будет вводить команды.

!!!ВАЖНО при вводе команд возможно придется вводить пароль «Password» как на изображении выше, при вводе символы НЕ БУДУТ отображаться. После ввода символов пароля необходимо нажать клавишу «Enter».

     2. Введите команду: sudo /opt/cprocsp/sbin/cpconfig -license -set серийный_номер_лицензии_с_дефисами.

!!!ВАЖНО: номер лицензии необходимо вводить с дефисами. Для подтверждения ввода необходимо ввести пароль администратора. Ввод пароля не отображается в окне терминала. После ввода пароля нажмите Enter.

Как можно подписывать документы на macos по госту?

На текущий момент российский рынок продуктов для работы с электронной подписью не так богат, как хотелось бы пользователям. Найти удобную и понятную программу, которая бы позволяла работать с электронной подписью и осуществлять шифрование по ГОСТ на macOS, сложно.

Однако продукт Trusted eSign ГОСТ от компании «Цифровые технологии» может исправить ситуацию. Разработчики предлагают пользователям, для которых работа на MacBook критична, установить Trusted eSign ГОСТ в качестве дополнительного программного обеспечения.

Рисунок 1. Интерфейс приложения Trusted eSign понятен и прост

Ранее мы уже делали обзор Trusted eSign, в котором описывали возможности продукта, его системные требования, преимущества и недостатки. Несомненным плюсом его является графический интерфейс, простота в установке и настройке. Стоит отметить, что продукт внесен в реестр отечественного программного обеспечения. Его функциональные возможности:

• Работа с электронной подписью: возможность подписывать многие типы документов, создавать и проверять электронную подпись стандарта CMS.
• Шифрование и расшифрование файлов: шифрование данных в адрес сертификатов получателей, архивирование файлов перед шифрованием, удаление исходных файлов после шифрования, установка ключей и сертификатов по стандартам PKCS#8 и x.509 v3.
• Работа с сертификатами: импорт новых и экспорт зарегистрированных сертификатов.

Криптопро эцп browser plug-in

     1. КриптоПро ЭЦП Browser plug-in скачиваете по данной ссылке.

     2. Запустите файл установщика cprocsp-pki-2.0.14071.pkg.

     3. Начнется установка КриптоПро ЭЦП Browser Plug-in. Нажмите Продолжить.

     4. Ознакомьтесь с информацией о продукте и нажмите Продолжить.

     5. Ознакомьтесь с Лицензионным соглашением и нажмите Продолжить.

     6. Чтобы продолжить установку, потребуется принять условия Лицензионного соглашения. Для этого в появившемся окне нажмите Принять.

     7. Для продолжения установки, нажмите Установить. Не рекомендуется изменять директорию установки КриптоПро ЭЦП Browser plug-in.

     8. Если потребуется, разрешите Установщику установить КриптоПро ЭЦП Browser plug-in. Для этого необходимо ввести пароль.

     9. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

Настройка браузера chromium-gost

     1. Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

     2. Включаем оба установленных расширения, с помощью выключателя  (включен).

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

     3. Настраиваем расширение КриптоПро ЭЦП Browser plug-in, для этого в адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

     4. На появившейся странице в список доверенных узлов по очереди добавляем сайты:

Плагин для госуслуг

     1. Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2021 по ссылке 

     2. Запустите файл установщика IFCPlugin.pkg с помощью контекстного меню (правая кнопка мыши), выбрав Открыть.

     3. Для начала установки нажимаете Установить.

     4. Начнется установка, необходимо действовать, согласно сообщениям программы. 

     5. Если потребуется, разрешите Установщику установить плагин. Для этого необходимо ввести пароль.

     6. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

     7. Конфигурационный файл плагина Госуслуг ifc.cfg доступен по данной ссылке.

     8. Скачиваем и оставляем его в папке Download/Загрузки.

     9. Открываем стандартное приложение macOS Терминал (Terminal) (см. раздел Запуск приложения macOS Терминал (Terminal)).

     10. Вводим последовательно команды:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

Подпись файла командой из терминал (terminal)

     1. В Терминал (Terminal) переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

     2. Команда должна вернуть:

Signed message is created.[ErrorCode: 0x00000000]Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Руководство по настройке компьютера для работы с электронной подписью в браузере.

     1. ОСНОВНЫЕ ПОНЯТИЯ (если есть аббревиатуры, понятия и т.д.):

• Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически. 
• Плагин (модуль) — это программный блок, который встраивается в браузер и расширяет его возможности. В отличие от дополнений плагин, как правило, не имеет интерфейса. Плагины используются для проигрывания видео и аудио в браузере, просмотра PDF-документов, улучшения работы веб-служб, организующих совместную работу в интернете и т. д.

Создание самоподписанных сертификатов в связке ключей на mac

Вы можете создать самоподписанный сертификат с помощью Ассистента сертификации в приложении «Связка ключей». Самоподписанные сертификаты не обеспечивают таких гарантий, как сертификаты, подписанные бюро сертификации, но могут быть полезны, если Вы доверяете лицу, которое их подписало.

Открыть приложение «Связка ключей»

Устанавливаем сертификат с рутокен

     1. Подключаем usb-токен, переходим в  Терминал (Terminal) и выполняем команду:

/opt/cprocsp/bin/csptest -card –enum

     2. Устанавливаем сертификат КЭП с помощью команды в Терминал (Terminal):

/opt/cprocsp/bin/csptestf -absorb -certs

Конфигурируем CryptoPro для работы c сертификатами ГОСТ Р 34.10-2021

Установка apple automator script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого 

Установка trusted esign гост на macos

Процесс установки и первоначальной настройки программы Trusted eSign на операционную систему macOS не требует от пользователя каких-либо специальных знаний и состоит из нескольких простых шагов:

• Установка приложения КриптоПро CSP
• Установка приложения Trusted eSign ГОСТ
• Добавление лицензии на Trusted eSign ГОСТ
• Установка сертификата и закрытого ключа в локальное хранилище
• Установка сертификата удостоверяющего центра

Теперь рассмотрим указанные шаги более подробно. В первую очередь рекомендуется установить программное обеспечение КриптоПро CSP, так как без него программу Trusted eSign запустить не удастся. Установить КриптоПро CSP можно через графический интерфейс, либо используя ряд консольных команд с правами администратора под учетной записью root или с использованием команды sudo. Если установка КриптоПро на MacBook осуществляется впервые, пользователю доступны 3 месяца бесплатного использования.

Рисунок 2. Список пакетов, доступных при установке КриптоПро CSP

Следующим шагом идет установка Trusted eSign, тоже с административными правами, в процессе которой нужно следовать указаниям мастера, а по завершению можно запустить программу.

Рисунок 3. Установку Trusted eSign можно запускать в графическом режиме

Для выполнения операций расшифрования и подписи файлов в Trusted eSign следует добавить информацию о приобретенной лицензии. Эти действия доступны из главного меню, на вкладке «Лицензия», и сделать это можно двумя способами:

• загрузить лицензионный ключ из файла;
• ввести номер лицензии вручную.

Если сертификат и закрытый ключ уже находятся на токене, то для работы с ним нужно установить сертификат в локальное хранилище. Для этого:

• Подключаем считыватель к MacBook.
• Узнаем имя устройства с помощью команды:  /opt/cprocsp/bin/csptest -card -enum.
• Добавляем считыватель, используя имя устройства с предыдущего шага: sudo /opt/cprocsp/sbin/cpconfig -hardware reader -add “имя_устройства”.
• Выполняем команду для просмотра доступных контейнеров: /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn –verifyc.
• Копируем необходимый сертификат с токена:  /opt/cprocsp/bin/certmgr -inst -cont ‘\.”имя_устройства<контейнер>’.

Для работы с сертификатами через программу Trusted eSign, а именно для проверки их статусов, нужно установить сертификат удостоверяющего центра (УЦ), либо цепочку сертификатов, если это требуется, а также список отозванных сертификатов. Для выполнения этих действий пользователю потребуются следующие команды:

• Для установки корневого сертификата УЦ:  /opt/cprocsp/bin/<arch>/certmgr -inst -cert -file <название файла>.cer -store uRoot.
• Для установки цепочки промежуточных сертификатов: /opt/cprocsp/bin/<arch>/certmgr -inst -cert -file <название файла>.p7b -store CA.
• Для установки списка отозванных сертификатов: /opt/cprocsp/bin/<arch>/certmgr -inst -crl -file <название файла>.crl.

Установка специального браузера chromium-gost

     1. Для работы с государственными порталами потребуется браузер – Chromium-GOST.

По ссылке скачивается определенная сборка браузера (71.0.3578.98), так как в более новых версиях не гарантируется корректная работа в ЛК ФНС.

     2. После скачивания файл браузера появится в папке Downloads (Загрузки), запускать его не требуется, просто перетаскиваем на панель уведомлений для удобства.

     3. Переходим к настройке плагинов ниже.

Устранение сбоев

     1. Переподключаем usb-токен и проверяем что он виден с помощью команды в Терминал (Terminal):

sudo /opt/cprocsp/bin/csptest -card -enum

     2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

chrome://settings/clearBrowserData

     3. Переустанавливаем сертификат КЭП с помощью команды в Терминал (Terminal):

/opt/cprocsp/bin/csptestf -absorb –certs

     4. Проверить статус лицензии КриптоПро CSP можно командой:

/opt/cprocsp/sbin/cpconfig -license –view

     5. Активировать лицензию КриптоПро CSP можно командой:

sudo /opt/cprocsp/sbin/cpconfig -license -set серийный_номер_лицензии

Шаг 1. установить криптопро на мак

КриптоПро — это такая программа, которая поможет вашему маку работать с электронной подписью. 

Пройдите по ссылке, зарегистрируйтесь и скайчайте сертифицированную версию 4.0 для macOS. 

Откройте на маке Загрузки → двойным нажатием распакуйте скачанный архив macos-uni.tgz → откройте распакованную папку macos-uni.

В папке найдите файл с расширением dmg → кликните на него 2 раза. В новом окне нажмите правой кнопкой мыши на файл с расширением mpkg → Открыть.

В предупреждающем окне тоже «Открыть».

Если мак ругается на автора программы, попробуйте открыть файл с зажатым ctrl.

→ Продолжить → Продолжить → Принять → останавливаетесь на шаге «Тип установки». На нём важно поставить галочку в поле «CPR ORSA».

Продолжить → Установить → КриптоПро установлена. 

Шаг 2. перенести сертификат с windows на мак

Например, если сертификат установлен в реестре на компьютере с Windows.

Сначала сертификат нужно оттуда «вытащить» в формате pfx.

Для этого на компьютере с Windows найдите приложение «Выполнить».

Зайдите в него и наберите в строке certmgr.msc →  OK.

Личное → Сертификаты → Находите нужный сертификат Контура → Кликните по нему 2 раза. Чтобы выбрать правильный сертификат, можете ориентироваться на дату его действия. 

В появившемся окне зайдите на вкладку Состав → Копировать в файл. 

→ Да, экспортировать закрытый ключ → Далее.

А тут отметьте галочками поля «Включить по возможности все сертификаты в путь сертификации», «Экспортировать расширенные свойства» и «Включить конфиденциальность сертификата» → Далее.

Лучше придумать пароль, пусть даже несложный → Далее.

Пароль нужен для того, чтобы безопасно перенести сертификат с Windows на мак. Вы ведь будете это делать по почте или мессенджеру, а это не самые защищенные каналы.

Назовите свой сертификат любым именем на латинском → Далее.

Если система не просит никакого пароля — замечательно. Сохранить сертификат → Готово. Вам останется перенести его по почте или телеграму на мак, например, на рабочий стол.

А если выпадет окошко с вводом пароля, то придётся вспомнить пароль, который вы устанавливали на сам сертификат ещё при его выпуске. Это не тот пароль, который вы придумывали пару шагов назад — он понадобится позже.

На маке: откройте Finder → Программы → Утилиты → Терминал → Вставьте: /opt/cprocsp/bin/certmgr -install -pfx -file путь до pfx -pin пароль от pfx

Но перед этим в местах, выделенных жирным, вставьте нужное.

Путь до pfx получается хитро — нажмите на ваш сертификат правой кнопкой → зажмите cntrl и alt одновременно → в выпадающем меню появится команда «Скопировать путь до…». Она вам и нужна, нажимайте.

Пароль — тот, что вы устанавливали пару шагов назад на Windows.

Если всё хорошо, то на экране терминала появится: «certificates imported successfully».

Работать с электронной подписью в Эльбе можно только в Сhrome, Opera или Firefox. Но перед этим нужно установить расширение и Плагин по ссылке.

После этого зайдите в Эльбу → Реквизиты → Электронная подпись для отправки отчётности → Выбрать действующий сертификат → всё должно найтись и заработать 🤞🏻

Статья актуальна на 01.02.2021

Электронная подпись trusted esign гост на macos sierra

После того как все предварительные действия выполнены, можно приступить к подписи необходимых документов. Для этого в главном меню программы нужно выбрать раздел «Электронная подпись».

Интерфейс Trusted eSign поделен на три основных рабочих области:

• Поле для выбора сертификата подписи
• Поле с настройками электронной подписи
• Поле для добавления файлов

Таким образом, чтобы подписать любой документ, пользователю достаточно последовательно заполнить каждое поле, а именно:

• Добавить сертификат электронной подписи. Если документы уже подписывались ранее в этой программе, Trusted eSign сохранит данные о сертификате и останется только проверить, верный ли выбран сертификат.
• Внести необходимые настройки подписи. Пользователю доступно изменение кодировки, а также возможность добавления времени подписи файла и сохранение подписи отдельно от документа.
• Добавить файлы для подписи. Это можно сделать как через интерфейс программы, нажав на кнопку «Добавить», так и простым переносом необходимых файлов в поле для добавления документов.
• Нажать «Подписать».

Рисунок 4. После того как добавлены файлы и внесены все изменения, можно подписать документ

Примечательно то, что во время подписи документа не требуется переключаться между окнами или вкладками одной программы. Например, полную информацию о сертификате и алгоритме подписи можно посмотреть в окне выбора сертификата. 

Рисунок 5. При выборе сертификата электронной подписи можно посмотреть информацию о сертификате и алгоритме подписи в том же окне

Когда требуется узнать информацию о сертификате подписчика имеющегося документа, пользователь в той же рабочей области добавляет полученный файл и нажимает кнопку «Проверить». При этом в левой части окна Trusted eSign будет представлено поле со сведениями о сертификате и цепочка сертификации.

Рисунок 6. Для просмотра информации о сертификате подписчика в Trusted eSign можно нажать кнопку «Проверить»

Электронная подпись в россии и ее особенности

В современных условиях необходимо тщательно защищать передаваемую информацию, которая может иметь конфиденциальный характер и включать персональные данные и коммерческую тайну. Выходит, пользователями электронной подписи в первую очередь выступают руководители бизнеса, менеджеры, а также дизайнеры и программисты.

К тому же такие сотрудники предпочитают иметь в своем пользовании мощные и производительные устройства. Как известно, лучшими ноутбуками для работы с графикой считаются продукты Apple, а руководители выбирают MacBook из-за того, что они легкие, быстрые и надежные.

Конечно, пользователи могут применять встроенные в операционную систему macOS средства шифрования и электронной подписи, однако в таком случае невозможно учитывать реалии российской системы обеспечения информационной безопасности. В нашей стране уже давно применяются собственные стандарты подписи и шифрования данных, например, криптографические стандарты ГОСТ Р 34.

11-2021, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2021, ГОСТ Р 34.10-2001, ГОСТ 28147-89. Указанные криптоалгоритмы не поддерживаются операционными системами компании Apple, что может в значительной мере усложнить работу с электронной подписью на таких устройствах.

Выводы

Устройства компании Apple чаще всего используют в своей работе руководители компаний, менеджеры, дизайнеры и программисты, для которых важным аспектом при выборе ноутбука являются надежность и производительность. Несмотря на это, не все разработчики программ для работы с электронной подписью могут предоставить удобное приложение с графическим интерфейсом.

Программа Trusted eSign является исключением. Ее простота, лаконичное и продуманное окно для работы пользователя позволяют сделать вывод о том, что вендор задумывается о своих потребителях и о том, как сократить время, необходимое для знакомства с новым продуктом.