Импорт сертификата в MacOS X
Для того чтобы записать персональный сертификат WM Keeper WebPro (Light) с закрытым ключом на MacOS X необходимо выполнить следующие действия:
1. Запустите приложение «Связка ключей». Перетащите файл сертификата со съемного носителя информации в приложение «Связка ключей».
Вы также можете выполнить следующие действия: Нажмите правой кнопкой мыши на сертификате, который необходимо импортировать и выберете «Открыть в программе» — «Связка ключей»
2. Введите пароль для персонального сертификата (тот, который вы задали при экспорте сертификата)
3. При успешном выполнении импорта персонального сертификата, он отобразится у Вас в «Связке ключей»
Установка электронной цифровой подписи на MacOS
Активные пользователи MacOS, которые имеют цифровую электронную подпись на USB- носителе (Rutoken и т.д.), часто сталкиваются с необходимостью установки сертификата в локальное хранилище (на жесткий диск). С этой необходимостью столкнулись и мы, но в сети не нашли достойного описания того, как это сделать. В результате родилась эта статья.
Установка КриптоПро
Для того, чтобы скачать дистрибутив КриптоПро, необходимо пройти регистрацию на официальном сайте .
После того, как вы прошли регистрацию, необходимо скачать дистрибутив КриптоПро для вашей операционной системы по ссылке .
Далее запустите скачанный файл и проследуйте инструкциям. Если ваш Мак блокирует установку, то перейдите в «Настройки» -> «Защита и безопасность» и на вкладке «Основные» нажмите кнопку «Открыть».
Установка лицензии КриптоПро
Для установки лицензии необходимо открыть приложение «Терминал». Для его открытия нажмите на значок «лупы» в правом верхнем углу и, в открывшееся поле, введите «терминал», нажмите кнопку ввода.
После того, как откроется терминал, нужно ввести в него команду (можно скопировать текст и вставить в терминал):
sudo /opt/cprocsp/sbin/cpconfig -license -view
Данная команда проверит текущее состояние лицензии. Если вы установили КриптоПро впервые, то вам, скорее всего, будет предоставлен тестовый период. Но мы рекомендуем сразу установить вашу лицензию и забыть об этом до истечения срока лицензии.
Для установки лицензии необходимо выполнить команду:
sudo /opt/cprocsp/sbin/cpconfig -license -set
Вместо вставьте текст вашей лицензии.
Установка электронной подписи в локальное хранилище MacOS
Для начала вам необходимо вставить ваш токен (USB-носитель вашей цифровой подписи) в USB привод Мака. После того, как это будет сделано в окне терминала выполните команду:
sudo /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251
Данная команда отобразит список контейнеров сертификатов, как локальные, так и USB. Все локальные контейнеры начинаются с «\\.\HDIMAGE\. ». Найдите в данном списке путь до контейнера на USB носителе, у которого вместо «HDIMAGE” будет написано, чаще всего, наименование его производителя, например, «Aktiv Rutoken».
Наконец, скопируем цифровую подпись с USB-носителя на локальный компьютер с помощью команды:
sudo /opt/cprocsp/bin/csptestf -keycopy -contsrc ‘ ‘ -contdest ‘\\.\HDIMAGE\ ‘
Далее вам будет предложено ввести пароль для локального контейнера. Придумайте его, запишите в удобное для вас место и введите его в поле.
Тестирование работоспособности
Откройте ваш любимый браузер и перейдите по ссылке (не забудьте установить CryptoPro Browser Plugin).
На открывшейся странице выберите необходимый сертификат и нажмите кнопку подписать. Если не вышла информация об ошибке, то все сработало.
Подписывайтесь на наш YaZen и Телеграм канал, чтобы расширять свой кругозор в Digital сфере.
Создание настройки сертификата в программе «Связка ключей» на Mac
Если Вы ведете переписку по электронной почте с пользователем, который использует различные сертификаты для своих адресов электронной почты, Вы можете создать настройку сертификата и тем самым указать, какой именно сертификат требуется использовать при отправке сообщения этому пользователю.
Создание новой настройки сертификата
В программе «Связка ключей» 
на Mac выберите «Вход» в списке «Связки ключей».
Выберите пункт «Сертификаты» в списке под названием «Категория».
Для этого выполните следующее:
Выберите сертификат, который хотите использовать, а затем перейдите в пункт меню «Файл» > «Новая настройка сертификата».
Перейдите в пункт меню «Файл» > «Новая настройка сертификата», нажмите всплывающее меню «Сертификат», а затем выберите сертификат, который требуется использовать.
В строке «Размещение или адрес e‑mail» введите размещение (URL) или адрес e‑mail, для которого необходим сертификат.
Чтобы просмотреть созданные настройки сертификатов, нажмите на заголовок столбца «Тип» в окне просмотра сертификатов, а затем найдите вхождения «настройка сертификата» в столбце «Тип».
Удаление настройки сертификата
В программе «Связка ключей» на Mac выберите «Вход» в списке «Связки ключей».
Выберите «Все объекты» в списке под названием «Категория».
Нажмите на заголовок столбца «Тип», чтобы отсортировать все объекты столбца по типу, а затем прокручивайте вниз, пока не увидите заданные Вами настройки сертификатов.
Выберите настройку сертификата и нажмите клавишу Delete, затем нажмите кнопку «Удалить».
Списки доступных доверенных корневых сертификатов в macOS
Хранилище доверия macOS содержит надежные корневые сертификаты, предустановленные с операционной системой macOS.
Блокировка доверия для сертификата WoSign CA Free SSL Certificate G2
Центр сертификации (ЦС) WoSign несколько раз допускал ошибки, связанные с управлением, при выдаче сертификатов через промежуточный ЦС WoSign CA Free SSL Certificate G2. Хотя корневой сертификат WoSign находится в списке доверенных сертификатов Apple, этот промежуточный центр сертификации использовался для связей сертификатов с перекрестной подписью с StartCom и Comodo, чтобы установить отношение доверия с продуктами Apple.
В свете этих обстоятельств мы принимаем меры по защите пользователей в рамках обновления безопасности. Продукты Apple больше не доверяют промежуточному центру сертификации WoSign CA Free SSL Certificate G2.
Чтобы предотвратить прекращение обслуживания держателей сертификатов WoSign и обеспечить для них переход на доверенные корневые сертификаты, продукты Apple доверяют индивидуальным существующим сертификатам, выданным этим промежуточным центром сертификации и опубликованным на общедоступных серверах журналов Certificate Transparency до 19 сентября 2016 года. Эти сертификаты будут считаться доверенными до тех пор, пока не истечет их срок действия, они не будут отозваны или не будут признаны недоверенными компанией Apple.
По мере изучения проблемы и обнаружении дополнительных уязвимостей, появляющихся из-за использования точек доверия WoSign/StartCom в продуктах Apple, мы будем принимать необходимые меры для защиты пользователей.
Дальнейшие действия для WoSign
В ходе дальнейшего исследования мы пришли к выводу, что помимо многочисленных ошибок управления в работе центра сертификации WoSign (CA), организация WoSign не сообщила о приобретении StartCom.
Мы продолжаем принимать меры для защиты пользователей в предстоящем обновлении безопасности. Продукты Apple будут блокировать сертификаты, выданные корневыми центрами сертификации WoSign и StartCom, если их дата Not Before (Не раньше) выпадает на 1 декабря 2016 г. 00:00:00 GMT/UTC или позже.
Сведения о хранилище доверия и сертификатах
В каждом перечисленном ниже хранилище доверия macOS содержится три категории сертификатов:
- Доверенные сертификаты устанавливают цепочку доверия для проверки других сертификатов, подписанных доверенными корнями (например, для установки безопасного соединения с веб-сервером). Когда ИТ-администраторы создают профили конфигурации для ОС macOS, нет необходимости включать эти доверенные корневые сертификаты.
- Недоверенные сертификаты ненадежны, но они не блокируются. Если используется один из таких сертификатов, пользователю будет предложено выбрать, доверять ему или нет.
- Заблокированные сертификаты считаются опасными и никогда не будут доверенными.
Хранилище доверия macOS
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Работа с КриптоПро CSP в MacOS.
Настройка MacOS для работы на Федеральной налоговой службы.
Рассматриваемая конфигурация:
— macOS 10.15 Catalina (в других поддерживаемых версиях macOS настройки аналогичны),
— КриптоПро CSP 5.0 (Сертифицированные версии доступны после регистрации)
— КриптоПро ЭЦП Browser plug-in 2.0.(страница загрузки)
Страница настроек КриптоПро ЭЦП Browser plug-in 2.0 /etc/opt/cprocsp/trusted_sites.html
Замечания:
Чтобы открыть программу от несертифицированного разработчика в обход защиты Gatekeeper, нажмите на ярлыке правой клавишей мыши (либо левой клавишей мыши в сочетании с клавишей Control, либо тапнув двумя пальцами по трекпаду), и выберите опцию Открыть. Gatekeeper предупредит, что приложение может содержать вирусы, но позволит его запустить.
Что бы отключить проверку Gatekeeper полностью можно воспользоваться инструкцией.
Поддерживаемые ключевые носители:
- Флеш-накопитель;
- Жесткий диск компьютера, так же HDIMAGE которые хранятся в /var/opt/cprocsp/keys/имя_пользователя (возможно еще по этому пути /opt/cprocsp/keys/
); - Рутокен (для Рутокен S необходима установка драйвера (для Mojave и Catalina, для High Sierra и старше) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы);
- ESMART Token;
- Другие менее распространенные виды токенов;
Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).
Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.
Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы под MacOS.
- Если Вы не можете вспомнить имя учетной записи, откройте окно Finder и выберите «Переход» > «Личное». Ваше имя учетной записи отображается рядом со значком домика в верхней части окна Finder.
- В Терминале выполнить команду
Процесс установки программы КриптоПро CSP 5.0 в Apple MacOS:
Установка КриптоПро ЭЦП Browser plug-in в Apple MacOS:
Для работы на портале nalog.ru необходимо:
иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,
— при использовании сертификата по ГОСТ Р 34.10-2012 выполнить команды:
При появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter.
— использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),
— входить в личный кабинет по прямой ссылке:
https://lkul.nalog.ru — для юридических лиц,
https://lkipgost.nalog.ru/lk — для индивидуальных предпринимателей.
Чтобы удалить выбранный ранее сертификат электронной подписи из кеша Chromium GOST перезапустите браузер.
Для работы на портале Госуслуг необходимо:
Скачать файл конфигурации для IFCPlugin в директорию Загрузки.
Подключить ключевой носитель (флеш-накопитель, Рутокен, ESMART token и т.д.).
Выполнить в терминале команды (при появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter):
Для Chromium GOST также выполнить в терминале команду:
Проверить в используемом браузере (Mozilla Firefox, Google Chrome или Chromium GOST), что включено расширение — Расширение для плагина Госуслуг.
На странице входа на портал Госуслуг:
- Выбираем «Вход с помощью электронной подписи«;
- Нажимаем на кнопку «Готово»;
- Выбрать нужный сертификат электронной подписи;
- В окне Ввод пин-кода нажать кнопку «Продолжить»;
- При возникновении окна CryptoPro CSP ввести пин-код для ключевого контейнера в поле Password: и нажать кнопку «OK«.
Основные команды
Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:
Открыть приложение Терминал можно через Finder >пункт меню Переход>Утилиты>Терминал.
- Просмотр и установка сертификатов с носителя ключа в хранилище «Личные»( My ):
- Установить сертификат из файла в хранилище личные (MY):
- Установить сертификат из файла в хранилище промежуточных центров сертификации (CA):
- Установить сертификат из файла в хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля):
- Просмотр сертификатов в хранилище личные (MY):
- Просмотр сертификатов в хранилище промежуточных центров сертификации (CA):
- Просмотр сертификатов в хранилище доверенных корневых издателей (ROOT):
- Очистить хранилище личные (MY) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
- Очистить хранилище промежуточных центров сертификации (CA) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
- Очистить хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
- Копирование контейнеров ключей (что бы просмотреть, что копировать можно выполнить /opt/cprocsp/bin/csptest -keyset -verifycontext -enum -unique или /opt/cprocsp/bin/csptestf -absorb -certs ):
Использую sudo, при вводе пароля, символы не отображаются.