E trust gosuslugi проверить сертификат и российские ээ для самых маленьких

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ ЭЦП

Содержание
  1. Подпись недействительна. ( Подпись математически неверна).
  2. Немного про корневые и промежуточные сертификаты
  3. Смена PIN-кода контейнера
  4. 1. Выясняем название контейнера КЭП
  5. 2. Смена PIN командой из terminal
  6. Глава вторая
  7. Подпись файлов в macOS
  8. 1. Выясняем хэш сертификата КЭП
  9. 2. Подпись файла командой из terminal
  10. 3. Установка Apple Automator Script
  11. Сертификат недействителен. Сертификат отозван.
  12. Как мы можем помочь?
  13. Не удалось полностью проверить один или несколько сертификатов в цепочке.
  14. Устанавливаем и настраиваем КЭП под macOS
  15. 1. Устанавливаем КриптоПро CSP
  16. 2. Устанавливаем драйверы Рутокен
  17. 3. Устанавливаем сертификаты
  18. 3.1. Удаляем все старые ГОСТовские сертификаты
  19. 3.2. Устанавливаем корневые сертификаты
  20. 3.3. Скачиваем сертификаты удостоверяющего центра
  21. 3.4. Устанавливаем сертификат с Рутокен
  22. 3.5. Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34.10-2012
  23. 4. Устанавливаем специальный браузер Chromium-GOST
  24. 5. Устанавливаем расширения для браузера
  25. 5.1 КриптоПро ЭЦП Browser plug-in
  26. 5.2. Плагин для Госуслуг
  27. 5.3. Настраиваем плагин для Госуслуг
  28. 5.4. Активируем расширения
  29. 5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  30. 6. Проверяем что все работает
  31. 6.1. Заходим на тестовую страницу КриптоПро
  32. 6.2. Заходим в Личный Кабинет на nalog.ru
  33. 6.3. Заходим на Госуслуги
  34. 7. Что делать, если перестало работать
  35. Сертификат недействителен. Срок действия истек или еще не наступил.

Подпись недействительна. ( Подпись математически неверна).

Пример ошибки на картинке ниже:

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Причина возникновения данной проблемы: файл был изменен или поврежден, после подписания.

Файл может быть изменен в следствии воздействия антивирусного ПО. Или в результате изменений внесенным в структуру файла почтовым сервисом, при отправке по электронной почте.

Файл необходимо повторно подписать, предварительно отключив антивирус (при его наличии, и при повышенном уровне защиты файловой системы).

Перед отправкой по электронной почте, файл необходимо заархивировать.

Так же если Вы используете при подписании сервис КриптоДок
, у Вас должна быть активирована лицензия Крипто Про CSP, как проверить действительность лицензии Вы можете узнать по ссылке

Так же, если для подписания используется программа КриптоАРМ, перед подписанием обратите внимание, чтобы был отключен режим Квалифицированная подпись в КриптоАРМ.

Проверить это можно нажав правой кнопкой мыши, по иконке в области уведомлений.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Немного про корневые и промежуточные сертификаты

Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.

Однако просто списка недостаточно, нужны хотя бы ссылки на сайты этих УЦ, а также надо найти корневые сертификаты непосредственно от первоисточника, Минкомсвязи. Следующий точкой в поиске этой информации стал портал pravo.gov.ru
, где перечислены ссылки на некоторые корневые сертификаты. Страница доступна только по http протоколу, контрольных сумм опять нет.

Приглядевшись, можно заметить, что первые 4 ссылки ведут на портал https://e-trust.gosuslugi.ru
. Не совсем понятно, почему именно поддомен сайта госуслуг стал центральным в системе корневых сертификатов, но, кажется, тут приведена вся актуальная информация по корневым и промежуточным сертификатам.

На странице головного УЦ https://e-trust.gosuslugi.ru/MainCA
приведены 10 корневых сертификатов от Минкомсвязи, для разных ГОСТ алгоритмов и с разными сроками действия. Тут же доступны слепки ключей, можно проверить, что скачанный сертификат никто не подменил. Сам сайт имеет сертификат от Thawte
.

У сертификатов есть поле точки распространения списка отзывов (CRL), в котором прописан путь получения списка отозванных сертификатов. При проверке ЭП на каком-то документе кроме установки промежуточного и корневых сертификатов нужно также установить и последний список отозванных и обновлять его перед каждой проверкой (данная процедура автоматизируется специализированным софтом, но штатные средства вроде бы так не умеют). На портале e-trust у каждого сертификата указан путь к такому списку и он может отличаться от того, что написано в самом сертификате. Чему верить? Не совсем понятно.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

В заключение статьи хочется отметить, что проверка ЭП на электронных документах по силам каждому, однако это не совсем тривиальный процесс, требующий некоторых знаний. Возможно, что в будущем этот процесс упростится. Кроме этого остается открытым вопрос проверки ЭП на мобильных устройствах, а ведь они сейчас стали основным инструментом пользователей, давно опередив персональные компьютеры.

После написания статьи осталось несколько открытых вопросов, которые хотелось бы обсудить с сообществом:

  1. аналоги КриптоПро, особенно opensource инструменты для создания и проверки ЭП;
  2. добавление валидации ЭП не только в Adobe Acrobat Reader DC, но и в Foxit Reader и другие;
  3. оставшиеся за пределами данной статьи проблемы, которые также важны и требуют внимания, но не проявились в моём случае.
ЭЦП:  В ФОРМАТЕ EXBULD ХРАНЕНИЕ ДАННЫХ ПОД КЛЮЧ

UPD 0
: В комментариях подсказали онлайн сервис на портале госуслуг для проверки ЭП документов: https://www.gosuslugi.ru/pgu/eds
. К сожалению, не заработало в моём случае, но может быть полезно.

UPD 1
: После написания статьи мне подсказали, что есть ещё один криптопровайдер, ViPNet CSP, который тоже может помочь с ГОСТовскими криптоалгоритмами в системе. Одновременная установка его с КриптоПро CSP под вопросом.

КДПВ: edar, Pixabay

Только зарегистрированные пользователи могут участвовать в опросе. Войдите
, пожалуйста.

Всегда-ли вы проверяете ЭЦП в полученных электронных документах?

Проголосовали 73 пользователя.

Воздержались 28 пользователей.

Смена PIN-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678
, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

1. Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

   /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext  
  

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

\.\Aktiv Rutoken lite\XXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX
после слэша нужно скопировать и подставить в команду ниже.

2. Смена PIN командой из terminal

   /opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"  
  

где XXXXXXXX
– название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Глава вторая

Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”. Да, оказывается у них есть свой УЦ, который выдает сертификаты дочерним организациям (у Сбербанка тоже есть свой УЦ, но в дочерних структурах он не используется).

По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк
. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке. Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2012”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты. Здесь уже привычный корневой сертификат от Минкомсвязи (другой, не тот, что в первом случае) и промежуточный сертификат УЦ банка.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т.к. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34.10.2001, другой для ГОСТ Р 34.10.2012. Полис был выпущен в этом году, логичнее бы его подписать уже более современным криптоалгоритмом (тем более уже есть версия ГОСТ от 2018 года, алгоритмы обновляются довольно часто), но давайте проверим старый.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т.к. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.

После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.

ЭЦП:  АСТ КЛЮЧ

Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.

Подпись файлов в macOS

В macOS файлы можно подписывать в ПО КриптоАрм
(стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

1. Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.

Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

   /opt/cprocsp/bin/certmgr -list  
  

Команда должна вывести минимум 1 сертификат вида:

Certmgr 1.1 © «Crypto-Pro», 2007-2018.

program for managing certificates, CRLs and stores

= = = = = = = = = = = = = = = = = = = =

1——-

Issuer: E=help@esphere.ru,… CN=ООО КОРУС Консалтинг СНГ…

Subject: E=sergzah@gmail.com,… CN=Захаров Сергей Анатольевич…

Serial: 0x0000000000000000000000000000000000

SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

.

Container: SCARD\rutoken_lt_00000000\0000\0000

= = = = = = = = = = = = = = = = = = = =

[ErrorCode: 0x00000000]

2. Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

   /opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE  
  

Команда должна вернуть:

Signed message is created.

[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

3. Установка Apple Automator Script

  1. Распаковываем архив ‘Sign with CryptoPro.zip’
  2. Запускаем Automator
  3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
  4. В блоке Run Shell Script
    меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ
    на значение параметра SHA1 Hash
    сертификата КЭП, полученное выше.
  5. Сохраняем скрипт: ⌘Command + S
  6. Запускаем файл ‘Sign with CryptoPro.workflow’
    и подтверждаем установку.
  7. Идем в System Preferences —> Extensions —> Finder
    и проверяем, что Sign with CryptoPro
    quick action отмечено.
  8. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions
    и/или Services
    выбрать пункт Sign with CryptoPro
  9. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
  10. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Окно Apple Automator:

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Контекстное меню Finder:

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Сертификат недействителен. Сертификат отозван.

Ошибка указана на картинке ниже:

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

При возникновении данной ошибки, если ранее вы самостоятельно не отзывали сертификат. Вам необходимо обратиться в Удостоверяющий центр, выдавший сертификат, для уточнения причины возникновения данной проблемы.

Удостоверяющий центр выдавший сертификат, обычно указан в разделе Издатель.

Как мы можем помочь?

Проверка документа подписанного электронной подписью
Как проверить на действительность документ, подписанный откреплённой подписью?

Не удалось полностью проверить один или несколько сертификатов в цепочке.

Визуально ошибка отображена на картинке ниже:

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Не установлен корневой сертификат удостоверяющего центра, выдавшего сертификат.

Не установлен корневой сертификат Минкомсвязь России

Как устранить данную проблему:

  1. Скачать корневой сертификат УЦ
  2. Открываем сертификат, далее делаем все пошагово как на скриншоте:
E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ
  1. Откроется мастер экспорта сертификата, все оставляем по умолчанию, нажимаем далее –далее – выбираем место для сохранения файла и задаем ему имя.
  2. Запоминаем куда сохранился файл, и открываем его. Нажимаем — установить сертификат (далее выполняем действия, последовательно как на скриншотах)
E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ
E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ
  1. По окончании установки перезапускаем программу КриптоАРМ, и повторно выполняем операцию, которую не удалось выполнить ранее.
  2. Если проблема не исчезла.
    • Необходимо скачать и установить сертификат Минкомсвязь России.
    • Скачиваем по ссылке — https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ufoCertificates/download/34656
    • Проделываем те же действия что показаны в пункте 4 , но в качестве хранилища выбираем Доверенные корневые центры сертификации.


E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ


Остались вопросы? Как мы можем помочь?

Устанавливаем и настраиваем КЭП под macOS

  • все загружаемые файлы скачиваются в каталог по-умолчанию: ~/Downloads/;
  • во всех установщиках ничего не меняем, все оставляем по-умолчанию;
  • если macOS выводит предупреждение, что запускаемое ПО от неустановленного разработчика – нужно подтвердить запуск в системных настройках: System Preferences —> Security & Privacy —> Open Anyway
    ;
  • если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.

1. Устанавливаем КриптоПро CSP

2. Устанавливаем драйверы Рутокен

Далее подключаем usb-токен, запускаем terminal и выполняем команду:

   /opt/cprocsp/bin/csptest -card -enum  
  

В ответе должно быть:

ЭЦП:  КАК МОЖНО ОФОРМИТЬ РАЗВОД ЧЕРЕЗ ГОСУСЛУГИ С ДЕТЬМИ

Aktiv Rutoken…

Card present…

[ErrorCode: 0x00000000]

3. Устанавливаем сертификаты

3.1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

   sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot  
  

   sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot  
  

   /opt/cprocsp/bin/certmgr -delete -all  
  

В ответе каждой команды должно быть:

No certificate matching the criteria

Deleting complete

3.2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок
УФО Минкомсвязи:

Устанавливаем командами в terminal:

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer  
  

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

3.3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

Скачанные сертификаты УЦ устанавливаем командами из terminal:

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer  
  

   sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer  
  

где после ~/Downloads/
идут имена скачанных файлов, для каждого УЦ они будут свои.

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

3.4. Устанавливаем сертификат с Рутокен

Команда в terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs  
  

Команда должна вернуть:

OK.

[ErrorCode: 0x00000000]

3.5. Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34.10-2012

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция
на сайте CryptoPro рекомендует:

Команды в terminal:

   sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'  
  

   sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'  
  

Команды ничего не возвращают.

4. Устанавливаем специальный браузер Chromium-GOST


Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):

   killall Chromium-Gost  
  

5. Устанавливаем расширения для браузера

5.1 КриптоПро ЭЦП Browser plug-in

5.2. Плагин для Госуслуг

5.3. Настраиваем плагин для Госуслуг

Выполняем команды в terminal:

   sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg  
  

   sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents
  
  

   sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts  
  

5.4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

   chrome://extensions/  
  

Включаем оба установленных расширения:

  • CryptoPro Extension for CAdES Browser Plug-in
  • Расширение для плагина Госуслуг

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

   /etc/opt/cprocsp/trusted_sites.html  
  

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

   https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru  
  

Жмем “Сохранить”. Должна появиться зеленая плашка:

Список доверенных узлов успешно сохранен.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

6. Проверяем что все работает

6.1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

   https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html  
  

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.

Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

Подпись сформирована успешно

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

6.2. Заходим в Личный Кабинет на nalog.ru

По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:

  • Личный кабинет ИП
    : https://lkipgost.nalog.ru/lk
  • Личный кабинет ЮЛ
    : https://lkul.nalog.ru

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

6.3. Заходим на Госуслуги

При авторизации выбираем «Вход с помощью электронной подписи». В появившемся списке «Выбор сертификата ключа проверки электронной подписи» будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ

7. Что делать, если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

       sudo /opt/cprocsp/bin/csptest -card -enum  
      

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

       
chrome://settings/clearBrowserData
  
      

  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

       /opt/cprocsp/bin/csptestf -absorb -certs  
      

  4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Сертификат недействителен. Срок действия истек или еще не наступил.

Визуально ошибка отображена на картинке ниже:

E TRUST GOSUSLUGI ПРОВЕРИТЬ СЕРТИФИКАТ И РОССИЙСКИЕ ЭЭ ДЛЯ САМЫХ МАЛЕНЬКИХ
  • Истек срок действия Сертификата или закрытого ключа.

Как устранить данную проблему:

  • Обратиться в удостоверяющий центр для выпуска нового сертификата(продления). Или подписать документ действующей ЭЦП (при наличии таковой).
Оцените статью
ЭЦП64
Добавить комментарий