Настройка КЭП для работы на MacOS | УЦ ITCOM

Основные команды

Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:

Открыть приложение Терминал можно через Finder >пункт меню Переход>Утилиты>Терминал.

• Для добавления графического БиоДСЧ:

Использую sudo, при вводе пароля, символы не отображаются.

Источник

Что нужно для работы с кэп на macos

Для правильной работы с ЭП понадобится специальная утилита под названием КриптоПро CSP.

Если планируется взаимодействие с ЭП на носителе, то целесообразней применять следующие токены:

Если в устройстве отсутствует разъем для USB-кабеля, то необходимо приобрести специальный переходной провод или же девайс с этим разъемом.

Дополнительно, перед процедурой инсталляции ЭП требуется скачивание конкретного веб-браузера. Нельзя применять электронную подпись в обычном браузере Safari.

К подходящим браузерам относятся:

Если пользователь планирует взаимодействовать с государственными порталами, то он может столкнуться с различными трудностями, так как не все сайты правильно работают с Мак ОС.

Что нужно для работы с кэп под macos:

Поддержка eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

Команда должна вывести минимум 1 контейнер и вернуть

Нужный нам контейнер имеет вид

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз. Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

Команда должна вывести минимум 1 сертификат вида:

Необходимое программное обеспечение:

Минимальные требования: 

Операционная система: Mac OS X 10.9.Наличие учетной записи с правами администратора.

Ссылки на необходимое программное обеспечение:

Смена PIN командой из terminal

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

В ответе каждой команды должно быть:

No certificate matching the criteria

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

Команда должна вернуть:

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат. Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

3. Заходим на Госуслуги

При авторизации выбираем «Вход с помощью электронной подписи». В появившемся списке «Выбор сертификата ключа проверки электронной подписи» будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Ввод лицензии криптопро

     1. Откройте Terminal (см. пункт «Запуск приложения macOS Терминал (Terminal)»).

     2. Введите команду: sudo /opt/cprocsp/sbin/cpconfig -license -set серийный_номер_лицензии_с_дефисами.

ВАЖНО: номер лицензии необходимо вводить с дефисами. Для подтверждения ввода необходимо ввести пароль администратора. Ввод пароля не отображается в окне терминала. После ввода пароля нажмите Enter.

Инструкция как установить сертификат электронной подписи на mac

Разберемся с тем, как осуществить установку сертификата (открытого ключа) ЭЦП на MacOS.

Существует несколько способов:

1. Инструмент cptools.
2. Сервис «Установочный диск».

Инструкция установки сертификата через инструмент cptools выглядит следующим образом:

1. Поиск cptools в разделе «Программы» и открытие ее.
2. Нажатие в открывшемся окошке на кнопочку «Показать расширенные».
3. Выбор из перечня в разделе «Контейнеры» необходимого контейнера.
4. Нажатие на кнопочку «Скопировать контейнер как».
5. Написание наименования контейнера.
6. Нажатие на кнопочку «Ок».
7. Выбор «Жесткого диска» в качестве места для копирования контейнера.
8. Установление пароля для усиления защиты электронной цифровой подписи.
9. Нажатие на кнопочку «Ок».
10. Готово!

Пошаговое руководство установки сертификата через сервис «Установочный диск» выглядит следующим образом:

1. Запуск сервиса.
2. Скачивание дополнительных расширений под названиями «Диаг.Плагин» и «Помощник диагностики» для таких веб-браузеров, как Firefox и Chrome.
3. Выбор необходимого элемента, в котором будем применяться электронная цифровая подпись. Параметры элемента «Экстерн» подходят для большей части пользователей.
4. Запуск проверки системы.
5. Выбор всех необходимых пунктиков настройки, предложенных программным обеспечением для выбора.
6. Нажатие на кнопочку «Начать установку и настройку».
7. Готово! Теперь плагин автоматическим образом реализует инсталляцию требуемых компонентов, а также осуществит настраивание системы для взаимодействия с электронной цифровой подписью.

Квалифицированная электронная подпись под macos

FYI. Статья написана в далеком 2022 году, но актуальна и на февраль 2021.

Криптопро эцп browser plug-in

     1. КриптоПро ЭЦП Browser plug-in скачиваете по данной ссылке.

     2. Запустите файл установщика cprocsp-pki-2.0.14071.pkg.

     3. Начнется установка КриптоПро ЭЦП Browser Plug-in. Нажмите Продолжить.

     4. Ознакомьтесь с информацией о продукте и нажмите Продолжить.

     5. Ознакомьтесь с Лицензионным соглашением и нажмите Продолжить.

     6. Чтобы продолжить установку, потребуется принять условия Лицензионного соглашения. Для этого в появившемся окне нажмите Принять.

     7. Для продолжения установки, нажмите Установить. Не рекомендуется изменять директорию установки КриптоПро ЭЦП Browser plug-in.

     8. Если потребуется, разрешите Установщику установить КриптоПро ЭЦП Browser plug-in. Для этого необходимо ввести пароль.

     9. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

Настройка браузера chromium-gost

     1. Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

     2. Включаем оба установленных расширения, с помощью выключателя  (включен).

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

     3. Настраиваем расширение КриптоПро ЭЦП Browser plug-in, для этого в адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

     4. На появившейся странице в список доверенных узлов по очереди добавляем сайты:

Плагин для госуслуг

     1. Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2022 по ссылке 

     2. Запустите файл установщика IFCPlugin.pkg с помощью контекстного меню (правая кнопка мыши), выбрав Открыть.

     3. Для начала установки нажимаете Установить.

     4. Начнется установка, необходимо действовать, согласно сообщениям программы. 

     5. Если потребуется, разрешите Установщику установить плагин. Для этого необходимо ввести пароль.

     6. Дождитесь окончания установки. После ее завершения нажмите Закрыть, чтобы выйти из программы установки.

     7. Конфигурационный файл плагина Госуслуг ifc.cfg доступен по данной ссылке.

     8. Скачиваем и оставляем его в папке Download/Загрузки.

     9. Открываем стандартное приложение macOS Терминал (Terminal) (см. раздел Запуск приложения macOS Терминал (Terminal)).

     10. Вводим последовательно команды:

sudo rm /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application Support/Chromium/NativeMessagingHosts

Поддерживаемые ключевые носители:

• Флеш-накопитель;
• Жесткий диск компьютера, так же HDIMAGE которые хранятся в /var/opt/cprocsp/keys/’whoami’ (возможно еще по этому пути /opt/cprocsp/keys/’whoami’ где whoami это имя пользователя);
• Рутокен (для Рутокен S необходима установка драйвера (для Mojave и Catalina, для High Sierra и старше) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы);
• ESMART Token;
• Другие менее распространенные виды токенов;

Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCartaне поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).

Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.

Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы под MacOS.

• Если Вы не можете вспомнить имя учетной записи, откройте окно Finder и выберите «Переход» > «Личное». Ваше имя учетной записи отображается рядом со значком домика в верхней части окна Finder.
• В Терминале выполнить команду

Подпись файла командой из терминал (terminal)

     1. В Терминал (Terminal) переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

     2. Команда должна вернуть:

Signed message is created.[ErrorCode: 0x00000000]Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Руководство по настройке компьютера для работы с электронной подписью в браузере.

     1. ОСНОВНЫЕ ПОНЯТИЯ (если есть аббревиатуры, понятия и т.д.):

• Криптопровайдер – средство защиты криптографической защиты информации. Программа с помощью которой генерируется закрытая часть электронной подписи и которая позволяет производить работу с электронной подписью. Данная галочка проставляется автоматически. 
• Плагин (модуль) — это программный блок, который встраивается в браузер и расширяет его возможности. В отличие от дополнений плагин, как правило, не имеет интерфейса. Плагины используются для проигрывания видео и аудио в браузере, просмотра PDF-документов, улучшения работы веб-служб, организующих совместную работу в интернете и т. д.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Тестирование работоспособности

Откройте ваш любимый браузер и перейдите по ссылке (не забудьте установить CryptoPro Browser Plugin).

На открывшейся странице выберите необходимый сертификат и нажмите кнопку подписать. Если не вышла информация об ошибке, то все сработало.

Устанавливаем и настраиваем кэп под macos

• все загружаемые файлы скачиваются в каталог по-умолчанию:

/Downloads/;

Устанавливаем сертификат с рутокен

     1. Подключаем usb-токен, переходим в  Терминал (Terminal) и выполняем команду:

/opt/cprocsp/bin/csptest -card –enum

     2. Устанавливаем сертификат КЭП с помощью команды в Терминал (Terminal):

/opt/cprocsp/bin/csptestf -absorb -certs

Конфигурируем CryptoPro для работы c сертификатами ГОСТ Р 34.10-2022

Установка apple automator script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого 

Установка лицензии криптопро

Для установки лицензии необходимо открыть приложение «Терминал». Для его открытия нажмите на значок «лупы» в правом верхнем углу и, в открывшееся поле, введите «терминал», нажмите кнопку ввода.

После того, как откроется терминал, нужно ввести в него команду (можно скопировать текст и вставить в терминал):

sudo /opt/cprocsp/sbin/cpconfig -license -view

Данная команда проверит текущее состояние лицензии. Если вы установили КриптоПро впервые, то вам, скорее всего, будет предоставлен тестовый период. Но мы рекомендуем сразу установить вашу лицензию и забыть об этом до истечения срока лицензии.

Для установки лицензии необходимо выполнить команду:

sudo /opt/cprocsp/sbin/cpconfig -license -set <серийный номер>

Вместо <серийный номер> вставьте текст вашей лицензии.

Установка электронной подписи в локальное хранилище macos

Для начала вам необходимо вставить ваш токен (USB-носитель вашей цифровой подписи) в USB привод Мака. После того, как это будет сделано в окне терминала выполните команду:

sudo /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

Данная команда отобразит список контейнеров сертификатов, как локальные, так и USB. Все локальные контейнеры начинаются с «\.HDIMAGE…». Найдите в данном списке путь до контейнера на USB носителе, у которого вместо «HDIMAGE” будет написано, чаще всего, наименование его производителя, например, «Aktiv Rutoken».

Наконец, скопируем цифровую подпись с USB-носителя на локальный компьютер с помощью команды:

sudo /opt/cprocsp/bin/csptestf -keycopy -contsrc ‘<путь до вашего контейнера на USB носителе>’ -contdest ‘\.HDIMAGE<любое удобное название контейнера на локальном носителе латинскими буквами> ‘

Далее вам будет предложено ввести пароль для локального контейнера. Придумайте его, запишите в удобное для вас место и введите его в поле.

Установка электронной цифровой подписи на macos

Активные пользователи MacOS, которые имеют цифровую электронную подпись на USB- носителе (Rutoken и т.д.), часто сталкиваются с необходимостью установки сертификата в локальное хранилище (на жесткий диск). С этой необходимостью столкнулись и мы, но в сети не нашли достойного описания того, как это сделать. В результате родилась эта статья.