Криптопро на мак как пользоваться пошаговая инструкция

Для работы с электронной подписью (ЭП) необходимы специальные программы. Их скачивают и устанавливают на ПК, с которого будет происходить обработка цифровых документов. Для шифрования информации и генерации ЭП требуется средство криптографической защиты (СКЗИ) — криптопровайдер. Чтобы подпись работала, на веб-страницах используют соответствующий плагин.

Программы КриптоПро

КриптоПро — это популярная российская компания, которая разрабатывает средства защиты криптографической информации для работы с электронной подписью. Среди них:

• криптопровайдер КриптоПро CSP — для генерации и защиты информации ЭП;
• КриптоПро ЭЦП Browser plug-in — для взаимодействия браузера и ЭП.

Дистрибутивы работают на популярных ОС: Windows, Android, macOS и пр. Порядок их установки зависит от используемой операционной системы.

Далее подробно расскажем, где скачать программы, как установить CryptoPro для macOS и как настроить работу ЭП на макбуке.

Установочные файлы загружаются с официального сайта компании КриптоПро. Для скачивания требуется регистрация. На сайте разработчика представлены пробные версии КриптоПро CSP и КриптоПро ЭЦП Browser plug-in сроком работы 3 месяца. Чтобы пользоваться ими бессрочно, требуется купить лицензию. (КриптоПро CSP macOS скачать пробную версию).

Установка КриптоПро CSP на MacOS

Чтобы установить КриптоПро CSP на макбук, требуется выполнить следующий алгоритм действий:

1. Зарегистрироваться на сайте разработчика и нажать вкладку «Скачать»;



2. Выбрать «КриптоПро CSP»;



3. Согласиться с условиями лицензионного соглашения для загрузки;



4. Выбрать последнюю доступную версию для macOS



5. Распаковать архив и запустить файл с форматом dmg;



6. В открывшемся окне запустить файл с форматом pkg;



7. Разрешить действие запуска;



8. Нажать «Продолжить»;



9. Ещё раз «Продолжить»;



10. Принять условия лицензионного соглашения;



11. Оставить отметки без изменений и нажать «Продолжить»;



12. Нажать «Установить»;



13. Ввести пароль от ПК и нажать «Установить ПО»;



14. После данных действий начнётся установка на устройство;



15. После успешной установки нажать «Закрыть»;



16. На рабочем столе появится иконка «КриптоПро». Для проверки установки необходимо открыть программу;



17. Готово. В меню программы отразится дата установки, серийный номер, срок действия и тип лицензии.

Настройка КЭП для работы на MacOS

Не все браузеры определяют установленный КриптоПро CSP. Для взаимодействия веб-страницы, квалифицированной электронной подписи и СКЗИ используется специальный плагин.

Рассмотрим, как установить КриптоПро ЭЦП Browser plug-in и проверить КЭП. Для этого требуется:

1. Зайти на официальный сайт компании КриптоПро, загрузить требуемый файл, распаковать архив, выбрать и запустить файл с форматом pkg;



2. Нажать «Продолжить»;



3. Нажать «Продолжить»;



4. Нажать «Продолжить»;



5. Принять условия лицензионного соглашения для дальнейшей установки;



6. После успешной установки — «Закрыть»;



7. Открыть браузер Safari, перейти в «Настройки», далее открыть вкладку «Расширения» и установить напротив плагина галочку, тем самым активировать его.



8. Подтвердить действие, нажав кнопку «Включить»;

Браузер Chrome может использоваться не только в Windows, но и для операционной системы macOS. Чтобы установить плагин в браузере Chrome на макбуке, потребуется:

1. Запустить браузер;
2. Дождаться оповещения об установленном расширении «CryptoPro Extension for CAdES Browser Plug-in»;
3. Включить расширение, нажав на соответствующий значок в правом верхнем углу;
4. Перезапустить браузер.

После данных действий браузеры будут распознавать «КриптоПро CSP», а ключ электронной подписи пользователь сможет использовать в интернете.

Настройка КЭП для Госуслуг

Чтобы квалифицированная электронная подпись работала на сайте Госуслуг корректно, для браузера macOS требуется установить плагин для портала.
Для установки достаточно сделать несколько простых шагов:

1. Скачать плагин с официальной страницы портала по ссылке ;
2. Чтобы работать в браузере Chromium GOST, установить расширение из интернет-магазина Chrome по ссылке ;
3. Скачать файл ifc.cfg и скопировать в папку /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents с заменой имеющегося файла.

После этого КЭП будет исправно работать на сайте Госуслуг.

Как проверить правильность установки

Проверить правильность установки СКЗИ, плагина и сертификата ЭП можно на специальных сервисах. Одним из самых популярных представлен компанией КриптоПро. Рассмотрим, как это сделать на сайте разработчика:

1. Для проверки плагина, расширения и криптопровайдера необходимо перейти по данной ссылке;
2. Нажать «Ок» для подтверждения доступа;



3. Успешная проверка отмечается зелёным цветом. Если настройка будет неправильная, сервис отметит её красным.

При правильной установке КриптоПро для Макбук в ОС macOS электронная подпись будет работать на всех интернет-сервисах без ошибок.

Пользователи macOS до последнего времени были обделены вниманием в сфере электронной подписи, поскольку часто используемые ресурсы не поддерживали работу средств электронной подписи в этой операционной системе.

Пару лет назад случились небольшие подвижки в этой сфере — стали появляться программные решения, позволяющие применять квалифицированную электронную подпись на macOS.

В этой статье мы расскажем как сравнительно быстро настроить работу с электронной подписью в macOS. С этими настройками можно будет работать на многих популярных ресурсах, в том числе на популярнейших среди предпринимателей — Личном кабинете налогоплательщика и сайте Госуслуг.

Данная инструкция подходит для электронной подписи, изготовленной средствами КриптоПро CSP, в том числе полученная в Федеральной налоговой службе (ФНС) России.

Установка КриптоПро CSP на macOS

Установка КриптоПро CSP на сегодняшний день достаточно простая.
На сайте разработчика есть описание установки КриптоПро CSP, мы всего лишь визуализируем ее.

Для установки
скачиваем дистрибутив программы. Распаковываем его и запускаем установщик ru.cryptopro.csp-5.0.ХХХХХХ.pkg.

Следуя шагам мастера установки соглашаемся со всеми сообщениями. Рекомендуем на шаге «Тип установки» установить дополнительные компоненты, которые не отмечены по умолчанию:

• CPROrdcryptoki — модуль поддержки внешних носителей, работающих с PKCS#11, он находится в разделе Readers/Media. Этот модуль пригодится тем, кто использует такие носители для хранения электронной подписи, как Рутокен ЭЦП 2.0, JaCarta ГОСТ и пр.
• CPROstnl — универсальный SSL-тунель;

Продолжаем работу мастера до установки КриптоПро CSP на macOS.

Установка КриптоПро ЭЦП Browser plugin

Если Вы планируете работать с квалифицированной электронной подписью на сайтах, то с вероятностью 99,9% потребуется установка плагина для браузера.

Скачать плагин можно по ссылке
https://www.cryptopro.ru/products/cades/plugin/get_2_0

 После скачивания запускаем файл установки cprocsp-pki-2.0.ХХХХХХ.pkg.

Следуя подсказкам мастера установки, соглашаемся с сообщениями и устанавливаем плагин.

Важно! Для работы электронной подписи и плагина в браузере необходимо установить расширения для вашего браузера! После установки плагина расширение автоматически должно появиться в браузере Safari, его требуется только включить. Для включения необходимо перейти в «Настройки» — «Расширения» — поставить галочку на включение расширения.

Для других браузеров нужно выполнить аналогичные операции. Например, для браузера Google Chrome нужно будет
скачать и установить это расширение по ссылке.

Если Вы самостоятельно не можете произвести установку и настройку КриптоПро CSP и плагина на macOS, можете обратиться в нашу платную техническую поддержку в чат на сайте или по телефону +7 (342) 2700146. Обычно мы справляемся с такой настройкой за 30 минут.

Установка личного сертификата в macOS

Прежде чем начать работать с вашей квалифицированной электронной подписью, необходимо установить ваш личный сертификат в систему.

Для установки личного сертификата подключите носитель вашей электронной подписи к компьютеру. 

Внимание! В зависимости от модели вашего защищенного носителя, может потребоваться дополнительная установка драйвера в macOS. Для защищенный носителей Рутокен Лайт установка дополнительных драйверов не требуется! Порядок установки драйверов для вашго защищенного носителя — уточните у вашего поставщика порядок установки драйверов для macOS.

Запускаем установленный компонент Инструменты КриптоПро.

В разделе «Контейнеры» выбираем контейнер с вашей электронной подписью и нажимаем кнопку «Установить сертификат».

После этой процедуры ваша система macOS знает о существовании сертификата и знает на каком защищенном носителе. Можно приступать к работе.

Если Вы не можете справится с установкой личного сертификата — можете обратиться в нашу платную техническую поддержку в чат на сайте или по телефону +7 (342) 2700146. 

Проверка установки электронной подписи.

Для проверки настройки электронной подписи можно перейти на
страницу диагностики работы КриптоПро CSP и плагина на сайте разработчика.

При переходе на страницу проверки работы плагина выйдет сообщение (запрос на разрешение запуска плагина), необходимо разрешить запуск плагина кнопкой «ОК». Такое сообщение Вы будете получать на любой странице, где будете работать с электронной подписью.

Нас странице должна появиться версия установленного плагина. Выбираем наш установленный сертификат и нажимаем «Подписать».

Если все настроено корректно — Вы увидите результат в качестве данных base64.

Если Вы увидели такой результат — ваш компьютер корректно настроен для работы с подписью. 

Если у Вас не получается корректно настроить macOS для работы с электронной подписью — можете
обратиться в нашу платную техническую поддержку.

Для некоторых ресурсов (например, для Личного кабинета налогоплательщика или Единый реестр участников закупок) требуется особая настройка — защищенного TLS-соединения. Для macOS такое защищенное соединение возможно только в специальном браузере — Chomium GOST.

Установка Chromium GOST для macOS

Компанией КриптоПро был разработан программный продукт — Интернет-браузер, адаптированный под работу с отечественной криптографией. Называется этот браузер
Chromium GOST. Подробнее о браузере можно почитать
на сайте разработчика.

Скачать браузер можно на странице разработчика. 

Установка крайне простая — скачать, распаковать, запустить. Готово!

При первом запуске Вы увидите сообщение об ошибке… Но это не ошибка

Просто расширение для браузера просит подтверждения для установки. Нажимаем на сообщение и разрешаем установку и запуск расширения.

Как зайти в Личный кабинет налогоплательщика на сайте ФНС в macOS?

В личных кабинетах налогоплательщика есть страницы диагностики настроек электронной подписи.

При выполнении ВСЕХ настроек, описанных выше, невозможно пройти эту диагностику на macOS, но это не значит, что электронная подпись работать не будет. Для входа по электронной подписи нужно перейти по прямой ссылке личных кабинетов и авторизоваться по электронной подписи через браузер Chromium GOST:

• Для личного кабинета индивидуального предпринимателя — 
  https://lkipgost2.nalog.ru/lk
• Для юридического лица — 
  https://lkul.nalog.ru/

При переходе по прямой ссылке Вы увидите запрос на выбор сертификата. Выбираете Ваш сертификат и входите без проблем!

Закономерный результат — успешный вход в личный кабинет (в примере — личный кабинет юридического лица).

Если у Вас не получается выполнить вход в Личный кабинет налогоплательщика —
обратитесь в нашу платную техническую поддержку.

Настройка электронной подписи для портала Госуслуг

Если Вы планируете использовать вашу квалифицированную электронную подпись на портале Госуслуг, то кроме вышеуказанных настроек необходимо установить еще плагин портала Госуслуг.

Достаточно хорошая
инструкция по установке этого плагина есть на сайте КриптоПро.

Для настройки плагина Госуслуг на macOS необходимо выполнить простые действия:

• скачиваем и устанавливаем сам плагин с официальной страницы плагина;
• Для работы плагина в браузере Chromium GOST устанавливаем
  расширение для браузера;
• Скачиваем файл
  ifc.cfg и копируем его в папку /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents с заменой имеющегося файла.

На этом настройка плагина Госуслуг окончена — электронная подпись готова к работе на Госуслугах.

Общая информация

КриптоПро CSP — это средство криптографической защиты информации. Он предназначен для защиты открытой информации в системах общего пользования и защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.

КриптоПро CSP работает в следующих версиях операционной системы macOS:

11/10.9/10.10/10.11/10.12/10.13/10.14/10.15 (x64).

В операционной системе macOS у КриптоПро CSP версии 4 нет графического интерфейса, поэтому вся настройка выполняется через Терминал.

В КриптоПро CSP версии 5 есть графическая утилита Инструменты Криптопро, поэтому для удобства использования и настройки рекомендуем установить именно эту версию.

В данной инструкции будет описан процесс работы с КриптоПро CSP как через Терминал, так и через Инструменты Криптопро.

Процесс настройки КриптоПро CSP в операционной системе macOS состоит из следующих этапов:

1. Установка драйвера Рутокен S для macOS (выполняется для устройства Рутокен S).
2. Установка КриптоПро CSP.
3. Установка КриптоПро ЭЦП Browser plug-in.
4. Проверка работы устройства Рутокен.
5. Установка личного сертификата.
6. Установка корневого сертификата.
7. Проверка статуса лицензии КриптоПро CSP.
8. Активация лицензии КриптоПро CSP.

После настройки КриптоПро CSP необходимо проверить его работу в системе. Проверка состоит из следующих шагов:

1. Проверка корректности работы устройства Рутокен.
2. Проверка наличия сертификата на устройстве Рутокен.
3. Тестирование процесса подписания документа.

Установка драйвера Рутокен S для macOS

Только для работы с Рутокен S необходимо установить «Драйвер Рутокен S для Apple macOS». Если у вас не Рутокен S, то перейдите к следующему этапу.

Процесс установки драйвера в разных версиях операционной системы отличается.

Установка драйвера для macOS High Sierra и старше

Для установки драйвера:

1. Перейдите по ссылке:
   https://www.rutoken.ru/support/download/mac/
2. В разделе Пользователям Рутокен S щелкните по ссылке «Драйвер Рутокен S для macOS High Sierra и старше».
   
3. Дождитесь окончания процесса загрузки.
4. Откройте Finder.
   
5. Откройте папку Загрузки и дважды щелкните по названию файла ifd-rutokens-1.0.4.1.pkg.
6. Для подтверждения установки нажмите ОК.
7. Откройте Системные настройки.
   
8. Щелкните два раза по названию настройки Защита и безопасность.
   
9. Нажмите Подтвердить вход.
   
10. Нажмите Открыть.
    
11. Далее следуйте инструкциям, которые отображаются в окне установки. В результате установка успешно завершится и на экране отобразится сообщение:
    
12. В окне установки нажмите Закрыть. После этого необходимо установить КриптоПро CSP (этот процесс описан в следующем разделе).

Установка драйвера для macOS Mojave и Catalina

Для установки драйвера:

1. Перейдите по ссылке:
   https://www.rutoken.ru/support/download/mac/
2. В разделе Пользователям Рутокен S щелкните по ссылке «Драйвер Рутокен S для macOS Mojave и Catalina».
   
3. Дождитесь окончания процесса загрузки.
4. Откройте Finder.
   
5. Откройте папку Загрузки и дважды щелкните по названию файла ifd-rutokens-1.0.5.pkg.
6. Для запуска процесса установки нажмите Продолжить.
7. Далее следуйте инструкциям, которые отображаются в окне установки. В результате установка успешно завершится, и на экране отобразится сообщение:
   
8. В окне установки нажмите Закрыть. После этого необходимо установить КриптоПро CSP (этот процесс описан в следующем разделе).

Установка КриптоПро CSP

Для установки КриптоПро CSP:

1. Откройте официальный сайт компании КриптоПро:
   https://www.cryptopro.ru/
2. Перейдите в меню сайта Загрузка файлов (Продукты — КриптоПро CSP — Загрузка файлов). Эта страница доступна только зарегистрированным на сайте пользователям.
   
3. Чтобы начать загрузку, в разделе Сертифицированные версии щелкните по ссылке macOS. 
   
4. Нажмите Разрешить.
5. Дождитесь окончания процесса загрузки.
6. Откройте Finder.
   
7. Откройте папку Загрузки и дважды щелкните по названию архива macos-uni.tar. В результате в окне Загрузки отобразится папка macos-uni.
   
8. Откройте папку macos-uni.
9. Два раза щелкните по образу диска с дистрибутивом (файл с расширением dmg).
   
10. Запустите установку программы. Для этого щелкните правой кнопкой мыши по файлу с расширением mpkg и выберите пункт Открыть.
    
11. Для подтверждения установки нажмите ОК.
12. Если процесс установки не запустился, то откройте Системные настройки.
    
13. Щелкните два раза по названию настройки Защита и безопасность.
    
    
14. Нажмите Подтвердить вход.
    
15. Нажмите Открыть.
16. Для запуска процесса установки нажмите Продолжить.
17. Далее следуйте инструкциям, которые отображаются в окне установки. В результате установка успешно завершится и на экране отобразится сообщение:
    
18. В окне установки нажмите Закрыть. После этого необходимо установить КриптоПро ЭЦП Browser plug-in (этот процесс описан в следующем разделе).

Установка КриптоПро ЭЦП Browser plug-in

Для установки КриптоПро ЭЦП Browser plug-in:

1. Откройте официальный сайт компании КриптоПро:
   https://www.cryptopro.ru/
2. Перейдите в меню сайта КриптоПро ЭЦП Browser plug-in (Продукты — КриптоПро ЭЦП Browser plug-in). Эта страница доступна только зарегистрированным на сайте пользователям.
   
3. Чтобы начать загрузку щелкните по ссылке версия 2.0 для пользователей.
   
4. Дождитесь окончания процесса загрузки.
5. Откройте Finder.
   
6. Откройте папку Загрузки и дважды щелкните по названию файла cprocsp-pki-2.0.0.dmg.
   
7. Запустите установку программы. Для этого щелкните правой кнопкой мыши по файлу с расширением mpkg и выберите пункт Открыть.
   
8. Для подтверждения установки нажмите ОК.
9. Если процесс установки не запустился, то откройте Системные настройки.
   
10. Щелкните два раза по названию настройки Защита и безопасность.
    
11.  Нажмите Подтвердить вход.
    
12. Нажмите на кнопку Открыть.
13. Далее следуйте инструкциям, которые отображаются в окне установки. В результате установка успешно завершится и на экране отобразится сообщение:
    
14. В окне установки нажмите Закрыть. 

15. Чтобы проверить корректность установки плагина, перейдите по ссылке:

    Не используйте для этого браузер Safari.

    https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

    Плагин установлен корректно, если в окне браузера отобразилось сообщение об этом:
    

    Если такое сообщение не отобразилось, то повторите установку.

16. После этого необходимо проверить работу устройства Рутокен (этот процесс описан в следующем разделе).

Проверка работы устройства Рутокен

Для проверки работы устройства Рутокен и определения его названия:

1. Подключите устройство Рутокен к компьютеру.
2. Откройте Терминал.
   

3. Введите команду:

   pcsctest

4. Нажмите Enter и введите цифру «1».

5. Нажмите Enter и введите цифру «1».
6. Нажмите Enter. В результате отобразится сообщение:
   
   Это сообщение означает, что устройство Рутокен работает.
   Также в результате выполнения этой команды отобразится название устройства Рутокен. В нашем примере название устройства «Aktiv Rutoken ECP».

Установка личного сертификата через Терминал

Для установки личного сертификата введите команду:

/opt/cprocsp/bin/csptestf -absorb -certs

В результате личный сертификат установится и отобразится сообщение:

Для просмотра информации об установленном сертификате введите команду:

/opt/cprocsp/bin/certmgr -list

В результате отобразится информация об установленном личном сертификате:

Установка личного сертификата через Инструменты КриптоПро

Запуск приложения осуществляется из Launchpad или из консоли с помощью команды cptools.

1) Выберите пункт Контейнеры

2) Выберите из списка Контейнеров, необходимую вам подпись

3) Нажмите кнопку Установить сертификат

В результате появится надпись Сертификат был успешно установлен.

После этого необходимо установить доверенный корневой сертификат (этот процесс описан в следующем разделе).

Установка доверенного корневого сертификата через Терминал

Выбор доверенного корневого сертификата для установки зависит от удостоверяющего центра, в котором был выписан личный сертификат. 

В предыдущем разделе в результате выполнения команды для просмотра информации об установленном сертификате, отобразилось значение параметра CN.

Это значение и является названием удостоверяющего центра, в котором был выписан личный сертификат. Зафиксируйте это название и, используя любую поисковую системы, найдите официальный сайт удостоверяющего центра и ссылку на его доверенный корневой сертификат.

Для установки доверенного корневого сертификата:

1. Загрузите необходимую версию сертификата.
2. Откройте Finder.
   
3. Откройте папку Загрузки и найдите файл с расширением cer.
   
4. Скопируйте название этого файла (Переименовать — Скопировать). В нашем примере название файла —  «8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer».
5. Введите команду:

   sudo /opt/cprocsp/bin/certmgr -inst -store root -f ~/downloads/A

   А — название файла с сертификатом, которое вы скопировали.

6. Введите пароль администратора системы и нажмите Enter. В результате в системе будет установлен доверенный корневой сертификат и отобразится сообщение:
   

7. После этого необходимо проверить статус лицензии КриптоПро CSP (этот процесс описан в следующем разделе).

Установка доверенного корневого сертификата через Инструменты Криптопро

Запуск приложения осуществляется из Launchpad или из консоли с помощью команды cptools.

Выберите пункт Сертификаты и нажмите кнопку Установить Сертификаты

В открывшемся окне выберите папку Загрузки и найдите файл с расширением cer.

Сертификат будет автоматически установлен в нужное хранилище.

В случае успешного выполнения операции перечень установленных сертификатов в соответствующих хранилищах можно развернуть по кнопке с сообщением об успешной установке внизу окна

Проверка статуса лицензии КриптоПро CSP через Терминал

Для проверки статуса лицензии введите команду:

/opt/cprocsp/sbin/cpconfig -license -view

В результате в окне Терминала отобразится сообщение с серийным номером лицензии и сроком ее действия:

Проверка статуса лицензии КриптоПро CSP через Инструменты Криптопро

Запуск приложения осуществляется из Launchpad или из консоли с помощью команды cptools.

На вкладке Общие у вас должен быть указан ваш серийный номер лицензии и срок ее действия.

Если лицензия еще не закончилась, то настройка КриптоПро CSP на этом завершена и теперь необходимо проверить работу КриптоПро CSP.

Если лицензия закончилась или заканчивается в ближайшее время, то необходимо приобрести новую. После приобретения новой лицензии, ее необходимо активировать (этот процесс описан в следующем разделе).

Активация лицензии КриптоПро CSP

Для активации лицензии КриптоПро CSP введите команду:

sudo /opt/cprocsp/sbin/cpconfig -license -set A

A — серийный номер лицензии.

После активации снова проверьте статус лицензии. Если срок действия лицензии обновился, то настройка КриптоПро CSP на этом завершена. Далее необходимо проверить работу КриптоПро CSP (этот процесс описан в следующем разделе).

Проверка работы КриптоПро CSP

Проверка корректности работы устройства Рутокен в Инструментах КриптоПро

Если в Инструментах Криптопро в разделе Контейнеры отображаются считыватели Рутокен, то это означает, что Криптопро CSP корректно настроено для работы с носителем Рутокен.

Проверка корректности работы устройства Рутокен в КриптоПро CSP через Терминал

Для проверки корректности работы устройства в КриптоПро CSP:

1. Подключите устройство Рутокен к компьютеру.
2. Откройте Терминал.
   

3. Введите команду:

   /opt/cprocsp/bin/csptest -card -enum -v

   
   В результате выполнения этой команды отобразится название устройства Рутокен. В нашем примере название устройства «Aktiv Rutoken ECP». Это означает, что устройство Рутокен в КриптоПро CSP работает корректно. После этого необходимо проверить через КриптоПро CSP наличие сертификата на устройстве Рутокен (этот процесс описан в следующем разделе).

Проверка наличия сертификата на устройстве Рутокен через КриптоПро CSP 

Для проверки наличия сертификата через КриптоПро CSP:

1. Подключите устройство Рутокен к компьютеру.
2. Откройте Терминал.
   

3. Введите команду:

   /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc

   
   В результате выполнения этой команды отобразится название контейнера c сертификатом. Это означает, что на устройстве Рутокен есть сертификат. После этого необходимо через КриптоПро CSP попробовать подписать любой документ (этот процесс описан в следующем разделе).

Тестирование процесса подписания документа через Терминал

Для начала необходимо записать сертификат в хранилище сертификатов КриптоПро. Для этого введите команду:

/opt/cprocsp/bin/csptestf -absorb -cert -pattern 'rutoken'

В результате сертификат запишется в хранилище сертификатов КриптоПро. Чтобы проверить, что это действительно произошло введите команду:

/opt/cprocsp/bin/certmgr -list -cert -store uMy

В результате выполнения этой команды отобразится информация о сертификате, записанном в хранилище сертификатов КриптоПро.

Чтобы протестировать процесс подписания документа:

1. Подключите устройство Рутокен к компьютеру.

2. Перейдите по ссылке:

   Не используйте для этого браузер Safari.

   https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

3. Нажмите Подписать. В результате на экране отобразится информация о сертификате (владелец, издатель, когда выдан и т.д) и будет сформирована электронная подпись.
   

   
   На этом проверка работы КриптоПро CSP в системе завершена.

Время на прочтение
10 мин

Количество просмотров 115K

FYI. Статья написана в далеком 2019 году, делайте поправку на изменения.

Каждый предприниматель и руководитель ООО пользуется электронной подписью. Помимо КЭП для ЕГАИС и облачных КЭП для сдачи отчетности, выдаваемых банками и бухгалтерскими сервисами, особый интерес представляют универсальные УКЭП на защищенных токенах. Такие сертификаты позволяют только логиниться на гос.порталы и подписывать любые документы, делая их юридически значимыми.

Благодаря сертификату КЭП на USB-токене можно удаленно заключить договор с контрагентом или дистанционным сотрудником, направить документы в суд; зарегистрировать онлайн-кассу, урегулировать задолженность по налогам и подать декларацию в личном кабинете на nalog.ru; узнать о задолженностях и предстоящих проверках на Госуслугах.

Представленный ниже мануал поможет работать с КЭП под macOS – без изучения форумов КриптоПро и установки виртуальной машины с Windows.

Вся информация ниже получена из авторитетных источников (КриптоПро #1, #2 и #3, Рутокен, Корус-Консалтинг, УФО Минкомсвязи), а скачивать ПО предлагается с доверенных сайтов. Автор является независимым консультантом и не связан ни с одной из упомянутых компаний. Следуя данной инструкции, всю ответственность за любые действия и последствия вы принимаете на себя.

Что нужно для работы с КЭП под macOS:

1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
2. криптоконтейнер в формате КриптоПро
3. со встроенной лицензией на КриптоПро CSP
4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Устанавливаем и настраиваем КЭП под macOS

1. Устанавливаем КриптоПро CSP

Регистрируемся на сайте КриптоПро и со страницы загрузок скачиваем и устанавливаем версию КриптоПро CSP 4.0 R4 для macOS – скачать.

2. Устанавливаем драйверы Рутокен

На сайте написано что это опционально, но лучше поставить. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain) – скачать.

Далее подключаем usb-токен, запускаем terminal и выполняем команду:

/opt/cprocsp/bin/csptest -card -enum

В ответе должно быть:

Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

3. Устанавливаем сертификаты

3.1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot

sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot

/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

3.2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=4BC6DC14D97010C41A26E058AD851F81C842415A
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=8CAE88BBFD404A7A53630864F9033606E1DC45E2
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=0408435EB90E5C8796A160E69E4BFAC453435D1D

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:
…
[ErrorCode: 0x00000000]

3.3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

Альтернативно, сертификаты любого УЦ можно скачать с сайта УФО Минкомсвязи. Для этого в форме поиска нужно найти УЦ по названию, перейти на страницу с сертификатами и скачать все действующие сертификаты – то есть те, у которых в поле ‘Действует’ вторая дата еще не наступила. Скачивать по ссылке из поля ‘Отпечаток’.

На примере УЦ Корус-Консалтинг: нужно скачать 4 сертификата со страницы загрузок:

• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=15EB064ABCB96C5AFCE22B9FEA52A1964637D101
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=B9F1D3F78971D48C34AA73786CDCD138477FEE3F
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=55EC48193B6716D38E80BD9D1D2D827BC8A07DE3
• https://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF

Скачанные сертификаты УЦ устанавливаем командами из terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/B9F1D3F78971D48C34AA73786CDCD138477FEE3F.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/A0D19D700E2A5F1CAFCE82D3EFE49A0D882559DF.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/55EC48193B6716D38E80BD9D1D2D827BC8A07DE3.cer

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/15EB064ABCB96C5AFCE22B9FEA52A1964637D101.cer

где после ~/Downloads/ идут имена скачанных файлов, для каждого УЦ они будут свои.

Каждая команда должна возвращать:

Installing:
…
[ErrorCode: 0x00000000]

3.4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

3.5. Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34.10-2012

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция на сайте CryptoPro рекомендует:

Команды в terminal:

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.1!3' -add string 'Name' 'GOST R 34.10-2012 256 bit'

sudo /opt/cprocsp/sbin/cpconfig -ini '\cryptography\OID\1.2.643.7.1.1.1.2!3' -add string 'Name' 'GOST R 34.10-2012 512 bit'

Команды ничего не возвращают.

4. Устанавливаем специальный браузер Chromium-GOST

Для работы с гос.порталами потребуется специальная сборка браузера сhromium – Chromium-GOST скачать.
Исходный код проекта открыт, ссылка на репозиторий на GitHub приводится на сайте КриптоПро. По опыту, другие браузеры CryptoFox и Яндекс.Браузер для работы с гос.порталами под macOS не годятся.


Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):

killall Chromium-Gost

5. Устанавливаем расширения для браузера

5.1 КриптоПро ЭЦП Browser plug-in

Со страницы загрузок на сайте КриптоПро скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in версия 2.0 для пользователей – скачать.

5.2. Плагин для Госуслуг

Со страницы загрузок на портале Госуслуг скачиваем и устанавливаем Плагин для работы с порталом государственных услуг (версия для macOS) – скачать.

5.3. Настраиваем плагин для Госуслуг

Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 – скачать.

Выполняем команды в terminal:

sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg

sudo cp ~/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents


sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json /Library/Application\ Support/Chromium/NativeMessagingHosts

5.4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

https://*.cryptopro.ru
https://*.nalog.ru
https://*.gosuslugi.ru

Жмем “Сохранить”. Должна появиться зеленая плашка:

Список доверенных узлов успешно сохранен.

6. Проверяем что все работает

6.1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.
Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

Подпись сформирована успешно

6.2. Заходим в Личный Кабинет на nalog.ru

По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:

• Личный кабинет ИП: https://lkipgost.nalog.ru/lk
• Личный кабинет ЮЛ: https://lkul.nalog.ru

6.3. Заходим на Госуслуги

При авторизации выбираем «Вход с помощью электронной подписи». В появившемся списке «Выбор сертификата ключа проверки электронной подписи» будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

7. Что делать, если перестало работать

1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

   sudo /opt/cprocsp/bin/csptest -card -enum

2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

   
chrome://settings/clearBrowserData


3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

   /opt/cprocsp/bin/csptestf -absorb -certs

4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Смена PIN-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

1. Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

\.\Aktiv Rutoken lite\XXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

2. Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

Подпись файлов в macOS

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

1. Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.
Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Certmgr 1.1 © «Crypto-Pro», 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = =
1——-
Issuer: E=help@esphere.ru,… CN=ООО КОРУС Консалтинг СНГ…
Subject: E=sergzah@gmail.com,… CN=Захаров Сергей Анатольевич…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
…
Container: SCARD\rutoken_lt_00000000\0000\0000
…
= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

У нужного нам сертификата в параметре Container должно быть значение вида SCARD\rutoken…. Если сертификатов с такими значениями несколько, то значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение параметра SHA1 Hash (40 символов) нужно скопировать и подставить в команду ниже.

2. Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

3. Установка Apple Automator Script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого скачиваем архив – скачать.

1. Распаковываем архив ‘Sign with CryptoPro.zip’
2. Запускаем Automator
3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
4. В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.
5. Сохраняем скрипт: ⌘Command + S
6. Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.
7. Идем в System Preferences —> Extensions —> Finder и проверяем, что Sign with CryptoPro quick action отмечено.
8. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro
9. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
10. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Проверить подпись на документе

Если содержимое документа не содержит секретов и тайн, то проще всего воспользоваться web-сервисом на портале Госуслуг – https://www.gosuslugi.ru/pgu/eds. Так можно сделать скриншот с авторитетного ресурса и быть уверенным что с подписью все ок.