System administration
Legislation in IT
Software
Finance in IT
Comments 37
+1
Статья годная, новичкам с Unix платформами полезна, особенно когда нужно настроить вход в налоговую, госуслуги или на тендерную площадку кому нибудь из руководства.
Вы упустили несколько моментов:
  1. Грядет переход на ГОСТ 2012-256/512
  2. Команда absorb не импортирует сертификаты, если они хранятся отдельно от закрытого ключа

И момент, плагин Госуслуг — нужно сконфигурировать для поддержки нужных вам ГОСТ алгоритмов (ifc.cfg) там сейчас упоминание только gost2001 при подключении библиотеки. Может КриптоПро к концу года в файле из базы знаний поменяет, но пока правим руками на gost2012_512.

{
name = "CPPKCS11_2012_512";
alias = "CPPKCS11_2012_512";
type = "pkcs11";
alg = "gost2012_512";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
},

{
name = "CPPKCS11_2012_256";
alias = "CPPKCS11_2012_256";
type = "pkcs11";
alg = "gost2012_256";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
},

{
name = "CPPKCS11_2001";
alias = "CPPKCS11_2001";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_linux = "/opt/cprocsp/lib/amd64/libcppkcs11.so";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
}


Для сертификатов которые хранятся отдельно от контейнера с закрытым ключом библиотека pkcs11 не возвращает закрытый ключ — вход через госуслуги не возможен.

С 1С бухгалтерией пока проблемы (ЭДКО поломали).
Для работы с подписью можно использовать КриптоАрм-ГОСТ.
0
Спасибо. Опыт подсказывает, что такой мануал как раз нужен самому руководству небольших компаний.
Команда absorb не импортирует сертификаты, если они хранятся отдельно от закрытого ключа

Вы правы, такое бывает, пункт и пояснение добавил в начало.

плагин Госуслуг — нужно сконфигурировать для поддержки нужных вам ГОСТ алгоритмов (ifc.cfg) там сейчас упоминание только gost2001 при подключении библиотеки

Ориентируюсь на мануал от КриптоПро: support.cryptopro.ru/index.php?/Knowledgebase/Article/View/272
В предлагаемом ими конфиге пишут:
{ name = "CryptoPro CSP";
alias = "cprocsp";
type = "pkcs11";
alg = "gost2001";
model = "CPPKCS 3";
lib_mac = "/opt/cprocsp/lib/libcppkcs11.dylib";
},

вы предлагаете:
name = "CPPKCS11_2001";
alias = "CPPKCS11_2001";

Как правильнее? Вы сами проверяли?
0
Без разницы :) Если вы обратили внимание, то автор темы по работе плагина Госуслуг в Linux/Mac на форуме Крипто-Про я, и большую часть инструкции формировали именно совместными действиями, как и первичный патч библиотеки, как и патч для МакОси (многое через личку с сотрудниками КриптоПро).
Так что пользуйтесь, вопросы лучше задавать в тематической ветке форума КриптоПро.
0

это супер. могу вас попросить залить итоговый конфиг на форум криптопро и дать ссылку? согласитесь, людям качать с сайта криптопро как-то спокойнее, чем с моего личного dropbox.

0
Всё это замечательно.
Но КЭП под макосью не работает на порталах ЕГАИС, коммерческих торговых площадок.
0
А никто и не говорил, что будет работать везде. Внимательно читаем инструкции к Личным кабинетам ФНС и Госуслугам, там везде упоминается mac OS: lkip.nalog.ru/certificate/requirements, lkul.nalog.ru/check.php, ds-plugin.gosuslugi.ru/plugin/upload/Index.spr. Другое дело, что сделано видимо на скорую руку и без ритуальных танцев ничего не работает, отсюда и родилась статья.
ЕГАИС, по крайней мере алко, нигде про поддержку mac OS ни слова не пишет, значит увы, надежды нет. Но даже интересно, расскажите сценарий, как и зачем вам ЕГАИС под mac OS.
0
Бог с ним с этим ЕГАИС, допустим найдем другую банку под виндой… Но большинство коммерческих площадок работает под виндой и IE, часть порталов. И никакие танцов с бубном не получится. ЕГАИС — утверждение декларация, сдача отчёта в ФСРАР… УТМ работает в винде… Всё печально для юзера макоси — поддержки нет несколько лет.
А еще грядет волна маркировки товара.
0
В ЕГАИС пробовали написать, что говорят? egais.ru/kontakty
Торговые площадки – это не массовые, а узкоспециализированные сервисы, далеко не все ими пользуются. Для работы с ними нужны специальные КЭП с зашитыми OID. У РЖД, насколько мне известно, вообще свой тип сертификатов. Но есть и такие, кто работает с обычной КЭП, например, Сбербанк-АСТ. Поэтому тут еще тот зоопарк.
Планируются поправки в ФЗ об электронной подписи с целью навести порядок на рынке ЭЦП, а по факту снизить число центров выдачи и создать гос.монополию. Вероятно, тогда и начнется процесс унификации, начнут исчезать КЭП, заточенные под конкретные площадки. Поэтому сейчас площадки не торопятся вкладываться в технологии, т.к. не понятно чего ждать на рынке завтра, возможно плагины под mac OS будут уже неактуальны. Я не оправдываю их жадность и создание искусственных технологических барьеров. Но согласитесь, имеют право, т.к. в законе изначально не предусмотрели сделать все для людей.
0
То о чём(КЭП, госмонополия) вы говорите это невыполнимо, всё на уровне слухов и не более. Жадность? Вы попробуйте реализуйте выпуск подписей для всего и вся по цене обычной, вот тогда и посмотрим как быстро вы станете банкротом.
Торги узкоспециализированные сервисы или уже тренд для ИП, ООО и физлиц? Я отвечу — спрос растёт и нехило, а Эпл и в ус не дуют.
0
Проект изменений, это проект изменений. Коммерческие УЦ не упразднят, госучреждения не выдержат потока клиентов. Capicom нужна же для нескольких торговых площадок, притом популярных, под макосью не работает.
ОИДы разные как были так и будут.
0
На всякий случай уточню, что начиная с «КриптоПро CSP 5.0» JaCarta на MacOS поддерживаются.
0
Скажите, а вам лично удалось завести КриптоПро CSP 5.0 на macOS? Пытался, не вышло.
0
А что у вас не получилось? В какой сборке? Ставится и работает без проблем.
0
На cryptopro.ru сборка только одна – 11319.
Работает это получается зайти на nalog.ru и gosuslugi.ru?
0
11319 — это их последняя сборка, с патчами libpkcs11, проверено, работает.
Работает — это управление сертификатами, пинкодами, облачными токенами, Госуслуги, лк. налоговой (юл, фл, ип), центр занятости, ЕЭТП.
0

ок, перепроверю, т.к. CSPv5 уж очень интересен из-за поддержки облачной подписи КриптоПро DSS.

0
Ну так это не инструкция, а мастер установки.
Лучше иметь под рукой по шагам расписанный человеческим языком процесс. Без заумной критографической терминологии, т.е. для нормальных предпринимателей или физиков. Чтобы было написано: включить-вставить-нажать_тут и т.п.
0
Тогда все несколько проще:
1. Качаем КриптоПро 4.0 R4. (https://www.cryptopro.ru/sites/default/files/private/csp/40/9963/CSPSetup.exe)
2. Качаем Browser Plugin: www.cryptopro.ru/products/cades/plugin/get_2_0
3. Качаем плагин для подписи PDF (Adobe/Foxit Reader): www.cryptopro.ru/sites/default/files/products/pdf/files/788/cppdfsetup.exe
4. Ставим все последовательно
5. Втыкаем токен/USB Flash с контейнером.
6. Открываем оснастку КриптоПро, просмотреть сведения о сертификатах в контейнере — импортируем сертфикаты.
7. Если у вас прокси-сервер, и нужен портал налоговой — качаем Хромиум-ГОСТ: update.cryptopro.ru/chromium-gost
8. Установка плагинов в Хромиум/Файерфокс — аналогично статье.
9. При необходимости в IE добавить сайты в доверенные узлы.
10. Пользуемся.
0
Качаем плагин для подписи PDF (Adobe/Foxit Reader)

Этого плагина достаточно чтобы читать эл. подпись в pdf-документах? В файлах PDF с сайта nalog.ru (выписка из ЕГРЮЛ) отметка об эл. подписи ошибку показывает.
0
Достаточно. Если плагин ставится после установки ридера — то все нормально. Если до — в настройках ридера выставить провайдер по умолчанию — CryptoPro PDF.
0
Как попросить утилиту /opt/cprocsp/bin/csptest добавть метку времени в подпись?
0
У меня работает так:
/opt/cprocsp/bin/cryptcp -signf -cadest -cadesTSA http://qs.cryptopro.ru/tsp/tsp.srf -detach -cert -der -strict -thumbprint XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX FILE
где XXXX...X – Sha1 Hash сертификата, FILE – имя файла для подписи
0
простите, но когда я вижу кол-во консольных команд более 1, то всегда задаюсь вопросом: почему гуи не натянуть? это же мак, а не бубунту сервер без гуя?
+1
к сожалению, получилось больше команд и буков. задачи сделать готовый продукт не стояло. было желание поделиться опытом и помочь тем кто хочет, чтобы ему помогли, но не сделали за него. GUI это только часть продукта, для работы в 1click нужно многое доработать, протестить, завести репозиторий с исходниками, подписать сертификатом в apple… тут такое дело, приложению нужно будет грантить рутовый доступ и и пин-код от токена. я не разраб, а потому мое решение на коленке не факт что будет лучше, чем просто how-to.
но все в ваших руках!
0
фикус в том, что интерпретация результата консольной команды для пользователя это в большинстве своем нерешаемая проблема. Если возникнет ошибка на каком-то этапе или требуется редактирование части команды, то это сразу тупик
0
да что вы так печетесь о пользователях, не пропадут они. Если что не так – то:
— пробуем еще раз по инструкции, возможно что-то не так сделали;
— гуглим и ищем решение, наверняка на том же форуме криптопро будет описан подобный кейс;
— заказываем услугу настройки в УЦ или привлекаем админа.
Где же тупик :) А лучше чем гадать на пустом месте, вы бы взяли проверили за мной, поправили или дополнили.
0
2 года назад пытался с офф поддержкой в консоли шаманить — безрезультатно. В итоге подпись стояла на виртуалке.
0
ок, раньше это раньше. сейчас я описал что нужно сделать четко и по шагам. по опыту моему, коллег и клиентов – все работает.
если конкретно у вас что-то не заработало – напишите плиз на каком шаге и что именно. а если вы даже не пробовали и вам лень, то держать виртуалку с windows это отличный выход на все времена!
0
сейчас получил подпись от банка новую. на маке через консоль ввел серийник крипто про, скачал плагин для хрома. как будет минутка еще раз попробую
0
удивительно, но сгенерированный в винде носитель благополучно завелся под маком в хром.
Поэкспериментировал с созданием образа диска через штатную утилиту мак (написано в инструкции, что нельзя скопировать). Создал образ, смонтировал. Первый раз ругается, что носитель не обнаружен, второй раз успешно подписывает.
0
Спасибо за статью.
Пробую еще раз.
Есть сертификаты физики и ИП от разных центров, на разных токенах.
При первой попытке
На этапе
6.1 с www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
Действителен до: 12.05.2020 08:56:26 UTC
Криптопровайдер: Crypto-Pro GOST R 34.10-2012 KC1 CSP
Алгоритм ключа: ГОСТ Р 34.10-2012
Статус: Действителен
Установлен в хранилище: Да

После нажатия 'подписать' — Не удалось создать подпись из-за ошибки: Internal error. (0x8000FFFF)

вход на госуслуги — не срабатывает (говорит не стоит плагин, реально стоит и включен и конфиг новый добавлен,).
ФНС висла.

Подпись руками не работала тоже.

После удаления сертификатов и установки заново:
www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
работает с обоими сертификатами
— ФНС работает
— подпись с командной строки работает
— sign with automator работает
— госуслуги говорят про то что нет плагина хотя реально есть.

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext выдавала для одного из сертификатов текст в неправильной кодировке (решено копированием на второй токен под именем без русских букв).

способ проверки подписи без загрузки на сайт (и без КриптоАРМ) тоже конечно интересно (в командной строке я вижу много асть (похоже /opt/cprocsp/bin/cryptcp -verify -verall -detached не делает преобразование из cp1251 в utf8?))
Only those users with full accounts are able to leave comments. , please.