Установка электронной цифровой подписи на MacOS | by Airat Galiullin | Futureinapps | Medium

Что нужно для работы с кэп под macos:

1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
2. криптоконтейнер в формате КриптоПро
3. со встроенной лицензией на КриптоПро CSP
4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Что делать, если перестало работать

1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum

2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

   
chrome://settings/clearBrowserData


3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Основные понятия:

• Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически. 
• Плагин (модуль) — это программный блок, который встраивается в браузер и расширяет его возможности. В отличие от дополнений плагин, как правило, не имеет интерфейса. Плагины используются для проигрывания видео и аудио в браузере, просмотра PDF-документов, улучшения работы веб-служб, организующих совместную работу в интернете и т. д.

Основные команды

Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:

Открыть приложение Терминал можно через Finder Терминал.

• Для добавления графического БиоДСЧ:

  • /opt/cprocsp/sbin/cpconfig -hardware rndm -add bio_gui -level 4 -name "GUI BioRNG"

Использую sudo,  при вводе пароля, символы не отображаются.

Что делать, если не работает?

Если проблема не ушла, то можно переустановить полностью все программное обеспечение. Также клиенты могут обратиться в компанию Астрал, где можно как получить ЭЦП любого типа, так и выполнить все настройки для работы с подписью.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

1с-эдо

Необходимое программное обеспечение:

Минимальные требования: 

Операционная система: Mac OS X 10.9.Наличие учетной записи с правами администратора.

Ссылки на необходимое программное обеспечение:

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:
…
[ErrorCode: 0x00000000]

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

3. Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Как зайти в личный кабинет налогоплательщика на сайте фнс в macos?

В личных кабинетах налогоплательщика есть страницы диагностики настроек электронной подписи.

При выполнении ВСЕХ настроек, описанных выше, невозможно пройти эту диагностику на macOS, но это не значит, что электронная подпись работать не будет. Для входа по электронной подписи нужно перейти по прямой ссылке личных кабинетов и авторизоваться по электронной подписи через браузер Chromium GOST:

При переходе по прямой ссылке Вы увидите запрос на выбор сертификата. Выбираете Ваш сертификат и входите без проблем!

Закономерный результат – успешный вход в личный кабинет (в примере – личный кабинет юридического лица).

Если у Вас не получается выполнить вход в Личный кабинет налогоплательщика –
обратитесь в нашу платную техническую поддержку.

Как подписать документ в mac os

Есть два варианта. Первый предусматривает использование специального программного обеспечения КриптоАрм (лицензия обойдется в 2 500 рублей). Альтернативой станет использование терминала (здесь процедура будет бесплатной для пользователя).

Если вы остановились на втором варианте, то с помощью команды /opt/cprocsp/bin/certmgr -list нужно определить HASH код (он включает 40 символов и находится в строке SHA1 Hash). Непосредственно подпись через терминал идет командой из каталога, где находится интересующий нас документ: /opt/cprocsp/bin/cryptcp -signf -detach -cert -strict -der -thumbprint Hash-код FileName.

При корректном выполнении перечисленных выше действий на экране всплывет сообщение «Signed message is created», а на компьютере появится файл формата *.sgn. Автоматизировать процесс поможет скрипт Automator Script, позволяющий подписывать документы напрямую через контекстное меню. Для этого сохраните на жестком диске приложение и выполните следующие действия:

При возникновении проблем с использованием электронной цифровой подписи на компьютерах под управлением Mac OS обратитесь в нашу компанию. Наши сотрудники оперативно помогут вам, проконсультируют и настроят корректную работу КриптоПро со всеми необходимыми сервисами.

Криптопро эцп browser plug-in

     1. КриптоПро ЭЦП Browser plug-in скачиваете по данной ссылке.

     2. Запустите файл установщика cprocsp-pki-2.0.14071.pkg.

     3. Начнется установка КриптоПро ЭЦП Browser Plug-in. Нажмите Продолжить.

     4. Ознакомьтесь с информацией о продукте и нажмите Продолжить.

     5. Ознакомьтесь с Лицензионным соглашением и нажмите Продолжить.

     6. Чтобы продолжить установку, потребуется принять условия Лицензионного соглашения. Для этого в появившемся окне нажмите Принять.

     7. Для продолжения установки, нажмите Установить. Не рекомендуется изменять директорию установки КриптоПро ЭЦП Browser plug-in.

     8. Если потребуется, разрешите Установщику установить КриптоПро ЭЦП Browser plug-in. Для этого необходимо ввести пароль.

     9. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

Настройка браузера chromium-gost

     1. Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

     2. Включаем оба установленных расширения, с помощью выключателя  

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

     3. Настраиваем расширение КриптоПро ЭЦП Browser plug-in, для этого в адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

     4. На появившейся странице в список доверенных узлов по очереди добавляем сайты:

     5. Жмем кнопку Сохранить. Должна появиться запись на зелёном фоне: «Список доверенных узлов успешно сохранен».

Настройка электронной подписи для портала госуслуг

Если Вы планируете использовать вашу квалифицированную электронную подпись на портале Госуслуг, то кроме вышеуказанных настроек необходимо установить еще плагин портала Госуслуг.

Достаточно хорошая
инструкция по установке этого плагина есть на сайте КриптоПро.

Для настройки плагина Госуслуг на macOS необходимо выполнить простые действия:

На этом настройка плагина Госуслуг окончена – электронная подпись готова к работе на Госуслугах.

Плагин для госуслуг

     1. Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2021 по ссылке 

     2. Запустите файл установщика IFCPlugin.pkg с помощью контекстного меню (правая кнопка мыши), выбрав Открыть.

     3. Для начала установки нажимаете Установить.

     4. Начнется установка, необходимо действовать, согласно сообщениям программы. 

     5. Если потребуется, разрешите Установщику установить плагин. Для этого необходимо ввести пароль.

     6. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

     7. Конфигурационный файл плагина Госуслуг ifc.cfg доступен по данной ссылке.

     8. Скачиваем и оставляем его в папке Download/Загрузки.

     9. Открываем стандартное приложение macOS Терминал (Terminal) (см. раздел Запуск приложения macOS Терминал (Terminal)).

     10. Вводим последовательно команды:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

Поддерживаемые ключевые носители:

Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Проверка установки электронной подписи.

Для проверки настройки электронной подписи можно перейти на
страницу диагностики работы КриптоПро CSP и плагина на сайте разработчика.

При переходе на страницу проверки работы плагина выйдет сообщение (запрос на разрешение запуска плагина), необходимо разрешить запуск плагина кнопкой “ОК”. Такое сообщение Вы будете получать на любой странице, где будете работать с электронной подписью.

Нас странице должна появиться версия установленного плагина. Выбираем наш установленный сертификат и нажимаем “Подписать”.

Если все настроено корректно – Вы увидите результат в качестве данных base64.

Если Вы увидели такой результат – ваш компьютер корректно настроен для работы с подписью. 

Если у Вас не получается корректно настроить macOS для работы с электронной подписью – можете
обратиться в нашу платную техническую поддержку.

Для некоторых ресурсов (например, для Личного кабинета налогоплательщика или Единый реестр участников закупок) требуется особая настройка – защищенного TLS-соединения. Для macOS такое защищенное соединение возможно только в специальном браузере – Chomium GOST.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Тестирование работоспособности

Откройте ваш любимый браузер и перейдите по ссылке (не забудьте установить CryptoPro Browser Plugin).

На открывшейся странице выберите необходимый сертификат и нажмите кнопку подписать. Если не вышла информация об ошибке, то все сработало.

Установка apple automator script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого 

Установка chromium gost для macos

Компанией КриптоПро был разработан программный продукт – Интернет-браузер, адаптированный под работу с отечественной криптографией. Называется этот браузер
Chromium GOST. Подробнее о браузере можно почитать
на сайте разработчика.

Установка криптопро csp

Предварительно проходим регистрацию на сайте криптопровайдера и со страницы загружаем на жесткий диск приложение КриптоПро CSP 4.0 R4, которое разработано специально для компьютеров под управлением Mac OS.

Установка криптопро csp на macos

Установка КриптоПро CSP на сегодняшний день достаточно простая.
На сайте разработчика есть описание установки КриптоПро CSP, мы всего лишь визуализируем ее.

Для установки
скачиваем дистрибутив программы. Распаковываем его и запускаем установщик ru.cryptopro.csp-5.0.ХХХХХХ.pkg.

Следуя шагам мастера установки соглашаемся со всеми сообщениями. Рекомендуем на шаге “Тип установки” установить дополнительные компоненты, которые не отмечены по умолчанию:

• CPROrdcryptoki – модуль поддержки внешних носителей, работающих с PKCS#11, он находится в разделе Readers/Media. Этот модуль пригодится тем, кто использует такие носители для хранения электронной подписи, как Рутокен ЭЦП 2.0, JaCarta ГОСТ и пр.
• CPROstnl – универсальный SSL-тунель;

Продолжаем работу мастера до установки КриптоПро CSP на macOS.

Установка лицензии криптопро

Для установки лицензии необходимо открыть приложение «Терминал». Для его открытия нажмите на значок «лупы» в правом верхнем углу и, в открывшееся поле, введите «терминал», нажмите кнопку ввода.

После того, как откроется терминал, нужно ввести в него команду (можно скопировать текст и вставить в терминал):

sudo /opt/cprocsp/sbin/cpconfig -license -view

Данная команда проверит текущее состояние лицензии. Если вы установили КриптоПро впервые, то вам, скорее всего, будет предоставлен тестовый период. Но мы рекомендуем сразу установить вашу лицензию и забыть об этом до истечения срока лицензии.

Для установки лицензии необходимо выполнить команду:

sudo /opt/cprocsp/sbin/cpconfig -license -set <серийный номер>

Вместо <серийный номер> вставьте текст вашей лицензии.

Установка личного сертификата в macos

Прежде чем начать работать с вашей квалифицированной электронной подписью, необходимо установить ваш личный сертификат в систему.

Для установки личного сертификата подключите носитель вашей электронной подписи к компьютеру. 

Внимание! В зависимости от модели вашего защищенного носителя, может потребоваться дополнительная установка драйвера в macOS. Для защищенный носителей Рутокен Лайт установка дополнительных драйверов не требуется! Порядок установки драйверов для вашго защищенного носителя – уточните у вашего поставщика порядок установки драйверов для macOS.

Запускаем установленный компонент Инструменты КриптоПро.

В разделе “Контейнеры” выбираем контейнер с вашей электронной подписью и нажимаем кнопку “Установить сертификат”.

После этой процедуры ваша система macOS знает о существовании сертификата и знает на каком защищенном носителе. Можно приступать к работе.

Если Вы не можете справится с установкой личного сертификата – можете обратиться в нашу платную техническую поддержку в чат на сайте или по телефону 7 (342) 2700146. 

Установка сертификатов

Если ранее вы уже пытались установить ЭЦП на этот компьютер под управлением Mac OS, то сначала важно удалить все имеющиеся уже сертификаты. Для этого в терминале выполните по очереди 3 команды (они удалят лишь сертификаты из КриптоПро и обойдут стороны иные, находящиеся в KeyChain):

Ответом на каждую из команд будет сообщение про успешное удаление либо отсутствие подходящих под требования сертификатов, которые находились в определенных папках.

Теперь можно установить заново корневые сертификаты, которые выступают в качестве общих для каждой квалифицированной электронной подписи, выдаваемых УЦ. Загрузить их можно с сайта УФО Министерства коммуникаций и связи. Для их установки выполните в терминале команды типа sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f pathSertif, где pathSertif – путь и имя конкретного скачанного сертификата (их 3). Ответом на каждую команду будет системное сообщение об установке и отсутствии ошибок.

Теперь можно установить на компьютер сертификаты конкретного удостоверяющего центра, где была выпущена КЭП любой категории. Их можно найти на официальном интернет-сайте в разделе с файлами для установки либо на диске, выданном при оформлении ЭЦП. Получить их можно и на сайте Минкомсвязи, где представлен весь перечень УЦ и сертификатов для последующей работы (там вам необходимы только действующие файлы).

Их также надо установить, выполнив в терминале компьютера команду типа sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f pathSertificatName, где pathSertificatName – путь к загруженному сертификату вашего УЦ. Ответом на команду должно быть сообщение об успешной операции и отсутствии ошибок при ее выполнении.

Следующим этапом здесь будет непосредственно установка сертификата с Рутокен. Сделать это можно командой /opt/cprocsp/bin/csptestf -absorb -certs, которая должна быть выполнена успешно и без ошибок.

Завершающей стадией установки станет настройка конфигурация КриптоПро для работы с сертификатами. Здесь в соответствии с рекомендациями на сайте разработчика выполните 2 операции (они не возвращают каких-либо сообщений): sudo /opt/cprocsp/sbin/cpconfig -ini ‘cryptographyOID1.2.643.7.1.1.1.1!3’ -add string ‘Name’ ‘GOST R 34.10-2021 256 bit’. Во второй команде кусок кода 256 bit поменяйте на 512 bit.

Установка специального браузера chromium-gost

     1. Для работы с государственными порталами потребуется браузер – Chromium-GOST.

По ссылке скачивается определенная сборка браузера (71.0.3578.98), так как в более новых версиях не гарантируется корректная работа в ЛК ФНС.

     2. После скачивания файл браузера появится в папке Downloads (Загрузки), запускать его не требуется, просто перетаскиваем на панель уведомлений для удобства.

     3. Переходим к настройке плагинов ниже.

Установка электронной подписи в локальное хранилище macos

Для начала вам необходимо вставить ваш токен (USB-носитель вашей цифровой подписи) в USB привод Мака. После того, как это будет сделано в окне терминала выполните команду:

sudo /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

Данная команда отобразит список контейнеров сертификатов, как локальные, так и USB. Все локальные контейнеры начинаются с «\.HDIMAGE…». Найдите в данном списке путь до контейнера на USB носителе, у которого вместо «HDIMAGE” будет написано, чаще всего, наименование его производителя, например, «Aktiv Rutoken».

Наконец, скопируем цифровую подпись с USB-носителя на локальный компьютер с помощью команды:

sudo /opt/cprocsp/bin/csptestf -keycopy -contsrc ‘<путь до вашего контейнера на USB носителе>’ -contdest ‘\.HDIMAGE<любое удобное название контейнера на локальном носителе латинскими буквами> ‘

Далее вам будет предложено ввести пароль для локального контейнера. Придумайте его, запишите в удобное для вас место и введите его в поле.

Шаг 1. установить криптопро на мак

КриптоПро — это такая программа, которая поможет вашему маку работать с электронной подписью. 

Пройдите по ссылке, зарегистрируйтесь и скайчайте сертифицированную версию 4.0 для macOS. 

Откройте на маке Загрузки → двойным нажатием распакуйте скачанный архив macos-uni.tgz → откройте распакованную папку macos-uni.

В папке найдите файл с расширением dmg → кликните на него 2 раза. В новом окне нажмите правой кнопкой мыши на файл с расширением mpkg → Открыть.

В предупреждающем окне тоже «Открыть».

Если мак ругается на автора программы, попробуйте открыть файл с зажатым ctrl.

→ Продолжить → Продолжить → Принять → останавливаетесь на шаге «Тип установки». На нём важно поставить галочку в поле «CPR ORSA».

Продолжить → Установить → КриптоПро установлена. 

Шаг 1. установить расширение «помощник диагностики»

Сразу предупредим, что в Safari с подписью работать не получится, поэтому зайдите по этой ссылке через Хром, Оперу, Яндекс браузер или Мозиллу.

Шаг 2. перенести сертификат с windows на мак

Например, если сертификат установлен в реестре на компьютере с Windows.

Сначала сертификат нужно оттуда «вытащить» в формате pfx.

Для этого на компьютере с Windows найдите приложение «Выполнить».

Зайдите в него и наберите в строке certmgr.msc →  OK.

Личное → Сертификаты → Находите нужный сертификат Контура → Кликните по нему 2 раза. Чтобы выбрать правильный сертификат, можете ориентироваться на дату его действия. 

В появившемся окне зайдите на вкладку Состав → Копировать в файл. 

→ Да, экспортировать закрытый ключ → Далее.

А тут отметьте галочками поля «Включить по возможности все сертификаты в путь сертификации», «Экспортировать расширенные свойства» и «Включить конфиденциальность сертификата» → Далее.

Лучше придумать пароль, пусть даже несложный → Далее.

Пароль нужен для того, чтобы безопасно перенести сертификат с Windows на мак. Вы ведь будете это делать по почте или мессенджеру, а это не самые защищенные каналы.

Назовите свой сертификат любым именем на латинском → Далее.

Если система не просит никакого пароля — замечательно. Сохранить сертификат → Готово. Вам останется перенести его по почте или телеграму на мак, например, на рабочий стол.

А если выпадет окошко с вводом пароля, то придётся вспомнить пароль, который вы устанавливали на сам сертификат ещё при его выпуске. Это не тот пароль, который вы придумывали пару шагов назад — он понадобится позже.

На маке: откройте Finder → Программы → Утилиты → Терминал → Вставьте: /opt/cprocsp/bin/certmgr -install -pfx -file путь до pfx -pin пароль от pfx

Но перед этим в местах, выделенных жирным, вставьте нужное.

Путь до pfx получается хитро — нажмите на ваш сертификат правой кнопкой → зажмите cntrl и alt одновременно → в выпадающем меню появится команда «Скопировать путь до…». Она вам и нужна, нажимайте.

Пароль — тот, что вы устанавливали пару шагов назад на Windows.

Если всё хорошо, то на экране терминала появится: «certificates imported successfully».

Работать с электронной подписью в Эльбе можно только в Сhrome, Opera или Firefox. Но перед этим нужно установить расширение и Плагин по ссылке.

После этого зайдите в Эльбу → Реквизиты → Электронная подпись для отправки отчётности → Выбрать действующий сертификат → всё должно найтись и заработать 🤞🏻

Статья актуальна на 01.02.2021

Шаг 2. установить плагин диагностики

Плагин поможет сервисам Контура быстро находить подпись на вашем маке. 

Процесс его установки — стандартный, нажимаете: Продолжить → Установить → вводите пароль → успех.

Шаг 3. установить криптопро, ещё одно расширение и компонент к нему

Возвращаемся на установочный диск, там нас ждёт ещё одна установка. 

Нажимаем Далее → Установить → Перейти к расширению.

Оно снова установится в вашем браузере.