- Что делать если перестало работать
- Что нужно для работы с кэп под macos:
- Выясняем название контейнера КЭП
- Выясняем хэш сертификата КЭП
- Подпись файла командой из terminal
- Смена PIN командой из terminal
- 1. Удаляем все старые ГОСТовские сертификаты
- 2. Устанавливаем корневые сертификаты
- 3. Скачиваем сертификаты удостоверяющего центра
- 4. Устанавливаем сертификат с Рутокен
- 4. Активируем расширения
- 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
- 1. Заходим на тестовую страницу КриптоПро
- 3. Заходим на Госуслуги
- Недоверенные сертификаты
- Подпись файлов в macos
- Сведения о хранилище доверия и сертификатах
- Смена pin-кода контейнера
- Создание настройки сертификата в приложении «связка ключей» на mac
Что делать если перестало работать
Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:
sudo /opt/cprocsp/bin/csptest -card -enumОчищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:
chrome://settings/clearBrowserDataПереустанавливаем сертификат КЭП с помощью команды в terminal:
/opt/cprocsp/bin/csptestf -absorb -certs
Что нужно для работы с кэп под macos:
- КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
- криптоконтейнер в формате КриптоПро
- со встроенной лицензией на КриптоПро CSP
- открытый сертификат должен храниться в контейнере закрытого ключа
Поддержка eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.
Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.
Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.
Выясняем название контейнера КЭП
На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:
/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontextКоманда должна вывести минимум 1 контейнер и вернуть
[ErrorCode: 0x00000000]
Нужный нам контейнер имеет вид
.Aktiv Rutoken liteXXXXXXXX
Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.
Выясняем хэш сертификата КЭП
На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:
/opt/cprocsp/bin/certmgr -listКоманда должна вывести минимум 1 сертификат вида:
Подпись файла командой из terminal
В terminal переходим в каталог с файлом для подписания и выполняем команду:
/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILEгде ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).
Команда должна вернуть:
Signed message is created.
[ErrorCode: 0x00000000]
Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.
Смена PIN командой из terminal
/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).
Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.
1. Удаляем все старые ГОСТовские сертификаты
Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.
sudo /opt/cprocsp/bin/certmgr -delete -all -store mrootsudo /opt/cprocsp/bin/certmgr -delete -all -store uroot/opt/cprocsp/bin/certmgr -delete -allВ ответе каждой команды должно быть:
No certificate matching the criteria
или
Deleting complete
2. Устанавливаем корневые сертификаты
Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:
Устанавливаем командами в terminal:
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cersudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cerКаждая команда должна возвращать:
Installing:
…
[ErrorCode: 0x00000000]
3. Скачиваем сертификаты удостоверяющего центра
Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.
4. Устанавливаем сертификат с Рутокен
Команда в terminal:
/opt/cprocsp/bin/csptestf -absorb -certsКоманда должна вернуть:
OK.
[ErrorCode: 0x00000000]
4. Активируем расширения
Запускаем браузер Chromium-Gost и в адресной строке набираем:
chrome://extensions/Включаем оба установленных расширения:
5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
В адресной строке Chromium-Gost набираем:
/etc/opt/cprocsp/trusted_sites.htmlНа появившейся странице в список доверенных узлов по-очереди добавляем сайты:
1. Заходим на тестовую страницу КриптоПро
В адресной строке Chromium-Gost набираем:
3. Заходим на Госуслуги
При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.
Недоверенные сертификаты
| Название сертификата | Кем выдан | Введите с клавиатуры | Размер ключа | Алгоритм подписи | Серийный номер | Срок действия | Политика EV | Отпечаток пальца (SHA-256) |
|---|---|---|---|---|---|---|---|---|
| TRIAL PKIoverheid Organisatie TEST CA – G2 | TRIAL PKIoverheid TEST Root CA – G2 | RSA | 4096 бит | SHA-256 | 01 31 05 FF | 16:00:39 24.03.2020 г. | Не EV | EA 0E AA 71 08 93 CC 16 04 7B F2 1C 62 4B DC 6F 0A 7C F1 10 67 52 E9 AD AE B0 19 BB 90 D9 EB 1F |
Подпись файлов в macos
В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.
Сведения о хранилище доверия и сертификатах
В каждом хранилище доверия содержится три категории сертификатов.
Выполните следующие действия, чтобы найти версию хранилища доверия, установленного на вашем устройстве iOS.
- Перейдите в меню «Настройки» > «Основные» > «Об устройстве».
- Прокрутите список до конца.
- Выберите пункт «Настройки доверия сертификатов».
Выполните эти действия, чтобы найти версию хранилища доверия, установленного на компьютере Mac.
- В программе Finder последовательно выберите пункты Переход > Переход к папке.
- Введите или вставьте «/Система/Библиотеки/Security/Certificates.bundle/Contents/Resources/TrustStore.html» и нажмите «Перейти».
- В появившейся папке откройте TrustStore.html. Версия хранилища доверия находится в правом верхнем углу страницы.
В настоящей статье перечислены сертификаты для хранилища доверия версии 2021121000, которая является текущей для iOS 12.1.3 и более поздних версий, macOS 10.14.3 и более поздних версий, watchOS 5.1.3 и более поздних версий, а также для tvOS 12.1.2 и более поздних версий.
Смена pin-кода контейнера
Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.
Создание настройки сертификата в приложении «связка ключей» на mac

Если Вы ведете переписку по электронной почте с пользователем, который использует различные сертификаты для своих адресов электронной почты, Вы можете создать настройку сертификата и тем самым указать, какой именно сертификат требуется использовать при отправке сообщения этому пользователю.
