Работа с КриптоПро CSP в MacOS.
Работа с электронной подписью в MacOS.
Настройка MacOS для работы на портале Госуслуги.
Сейчас будет приведена общая информация. Настройка для работы на портале nalog.ru и портале Госуслуг описана ниже.
Рассматриваемая конфигурация:
- macOS 10.15 Catalina (в других поддерживаемых версиях macOS настройки аналогичны),
- КриптоПро CSP 5.0 (Сертифицированные версии доступны после регистрации)
- КриптоПро ЭЦП Browser plug-in 2.0.(страница загрузки)
Страница настроек КриптоПро ЭЦП Browser plug-in 2.0 /etc/opt/cprocsp/trusted_sites.html
Замечания:
Чтобы открыть программу от несертифицированного разработчика в обход защиты Gatekeeper, нажмите на ярлыке правой клавишей мыши (либо левой клавишей мыши в сочетании с клавишей Control, либо тапнув двумя пальцами по трекпаду), и выберите опцию Открыть. Gatekeeper предупредит, что приложение может содержать вирусы, но позволит его запустить.
Что бы отключить проверку Gatekeeper полностью можно воспользоваться инструкцией.
Поддерживаемые ключевые носители:
- Флеш-накопитель;
- Жесткий диск компьютера, так же HDIMAGE которые хранятся в /var/opt/cprocsp/keys/'whoami' (возможно еще по этому пути /opt/cprocsp/keys/'whoami' где whoami это имя пользователя);
- Рутокен (для Рутокен S необходима установка драйвера (для Mojave и Catalina, для High Sierra и старше) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы);
- ESMART Token;
- Другие менее распространенные виды токенов;
Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).
Информация: Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.
Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.
Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы под MacOS.
Как посмотреть имя пользователя
- Если Вы не можете вспомнить имя учетной записи, откройте окно Finder и выберите «Переход» > «Личное». Ваше имя учетной записи отображается рядом со значком домика в верхней части окна Finder.
- В Терминале выполнить команду
whoami
Процесс установки программы КриптоПро CSP 5.0 в Apple MacOS:
Установка КриптоПро ЭЦП Browser plug-in в Apple MacOS:
Для работы на портале nalog.ru необходимо:
иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,
- при использовании сертификата по ГОСТ Р 34.10-2012 выполнить команды ( скопировать не меня текст ) :
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'
sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'
Установка Головного Удостоверяющего Центра и удостоверяющего центра Минкомсвязи
При установке КриптоПро CSP должен был установить сертификат Головного Удостоверяющего Центра и сертификат удостоверяющего центра Минкомсвязи в хранилище сертификатов "Доверенные корневые центры". Если это не произошло и Вы это проверили, то их можно скачать по указанным ссылкам и выполнить приведенные команды.
sudo /opt/cprocsp/bin/certmgr -inst -store root -f ~/downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store root -f ~/downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
При появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter.
- использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),
Перед переходом по ссылке устанавливаем сертификаты в хранилище личные следующей командой:
/opt/cprocsp/bin/csptestf -absorb -certs
- входить в личный кабинет по прямой ссылке:
https://lkul.nalog.ru - для юридических лиц,
https://lkipgost2.nalog.ru/lk - для индивидуальных предпринимателей. (раньше была ссылка https://lkipgost.nalog.ru/lk )
Чтобы удалить выбранный ранее сертификат электронной подписи из кеша Chromium GOST перезапустите браузер.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
При входе в личный кабинет nalog.ru устанавливается двусторонний TLS, с аутентификацией клиента по сертификату в рамках TLS. Если nalog.ru в рамках TLS не получает нужный ему сертификат (идет проверка сертификата), то происходит разрыв соединения с ошибкой ERR_SSL_VERSION_OR_CIPHER_MISMATCH
При входе в личный кабинет nalog.ru устанавливается двусторонний TLS, с аутентификацией клиента по сертификату в рамках TLS.
Такая ошибка может возникнуть, если не удается воспользоваться ключом, по различным причинам, таким как пароль на контейнере.
Если пароль все же есть, попробуйте скопировать ключ без пароля и установить сертификат ключа в хранилище "Личные", как это сделать указано ниже.
При использовании в качестве ключевого носителя облачного токена или простого USB-флеш накопителя Chromium GOST необходимо запускать из Терминала с помощью команды:
/Applications/Chromium-Gost.app/Contents/MacOS/Chromium-Gost --no-sandbox
Для работы на портале Госуслуг необходимо:
Если не установлен, то скачать и поставить IFCPlugin.pkg - это плагин для работы на портале государственных услуг.
Скачать файл конфигурации для IFCPlugin в директорию Загрузки.
Подключить ключевой носитель (флеш-накопитель, Рутокен, ESMART token и т.д.).
Выполнить в терминале команды (при появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter):
sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg
/opt/cprocsp/bin/csptestf -absorb -certs -autoprov
Для Chromium GOST также выполнить в терминале команду (Важно, что бы Chromium GOST был в "Программах"):
sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts
Проверить в используемом браузере (Mozilla Firefox, Google Chrome или Chromium GOST), что включено расширение - Расширение для плагина Госуслуг.
Расширение для Google Chrome/Chromium GOST.
На странице входа на портал Госуслуг:
- Выбираем "Вход с помощью электронной подписи";
- Если появляется ошибка "Вход с помощью электронной подписи отключен", то действуем по этой инструкции ссылка.
- Нажимаем на кнопку "Готово";
- Выбрать нужный сертификат электронной подписи;
- В окне Ввод пин-кода нажать кнопку "Продолжить";
- При возникновении окна CryptoPro CSP ввести пин-код для ключевого контейнера в поле Password: и нажать кнопку "OK".
Основные команды
Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:
Открыть приложение Терминал можно через Finder >пункт меню Переход>Утилиты>Терминал.
- Просмотр и установка сертификатов с носителя ключа в хранилище "Личные"( My ):
- Установить сертификат из файла в хранилище личные (MY):
- Установить сертификат из файла в хранилище промежуточных центров сертификации (CA):
- Установить сертификат из файла в хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля):
- Просмотр сертификатов в хранилище личные (MY):
- Просмотр сертификатов в хранилище промежуточных центров сертификации (CA):
- Просмотр сертификатов в хранилище доверенных корневых издателей (ROOT):
- Очистить хранилище личные (MY) (после параметра -dn пишем один из параметров вашего сертификата: CN, E и т.д.):
- Очистить хранилище промежуточных центров сертификации (CA) (после параметра -dn пишем один из параметров вашего сертификата: CN, E и т.д.):
- Очистить хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля) (после параметра -dn пишем один из параметров вашего сертификата: CN, E и т.д.):
- Копирование контейнеров ключей (что бы просмотреть, что копировать можно выполнить /opt/cprocsp/bin/csptest -keyset -verifycontext -enum -unique или /opt/cprocsp/bin/csptestf -absorb -certs ):
- Удаление контейнера ключа:
- Проверка установленной лицензии КриптоПро CSP:
- Ввод лицензии КриптоПро CSP (сохраняем все "-" при вводе серийного номера):
- Какие алгоритмы установленыa (ГОСТ 2001, 2012, ...):
- Просмотреть все алгоритмы, одного типа:
- Информация о ключе:
- Экспорт сертификата в файл:
- Экспорт ключа в контейнер PFX:
- Импорт сертификата и закрытого ключа из контейнера PFX:
- Перечисление всех смарт карт
- Перечисление контейнеров пользователя:
- Перечисление контейнеров компьютера:
- Просмотр списка настроенных ДСЧ:
- Для добавления консольного БиоДСЧ:
- Для добавления графического БиоДСЧ:
Использую sudo, при вводе пароля, символы не отображаются.