Добавить сертификаты mac os

MAC OS Установка сертификата

Установка сертификата вручную

Через КриптоПро CSP 5.0:

1. Откройте Finder → Программы → cptools.app

2. Если сертификат установлен в контейнер, перейдите в раздел Контейнеры → Выберите нужный Контейнер и нажмите на Установить сертификат

3. Если сертификат не установлен в контейнер:

a. В cptools откройте раздел Сертификаты и нажмите на Установить сертификаты

b. Выберите нужный сертификат и нажмите на кнопку Открыть

· Если контейнер доступен – cptools автоматически найдет подходящий и установит сертификат в хранилище личные. Однако сертификат в контейнер не установит. Чтобы установить сертификат в контейнер – воспользуйтесь способом установки через терминал.

· Если контейнер недоступен – cptools установит сертификат без ссылки на закрытый ключ в хранилище Другие пользователи.

Источник

Добавить сертификаты mac os

На macOS рекомендуется использовать последнюю доступную сборку КриптоПро CSP 5.0.

• macOS 11.4 (в других поддерживаемых версиях macOS настройки аналогичны)
• КриптоПро CSP 5.0 R2
• КриптоПро ЭЦП Browser plug-in 2.0

Порядок настройки:

1) Установка КриптоПро CSP 5.0 R2:

Скачайте дистрибутив КриптоПро CSP 5.0 R2 (загрузка доступна после предварительной регистрации на сайте) .

Распакуйте скачанный архив macos — uni . tgz .

Откройте распакованную папку macos — uni .

Запустите файл ru.cryptopro.csp-5.0.12000.dmg.

Следуйте инструкциям установщика.

2 ) Установка КриптоПро ЭЦП Browser Plug-in 2.0:

Запустите скачанный файл cprocsp-pki-2.0.pkg.

Следуйте инструкциям установщика.

Более подробная информация об установке и настройке КриптоПро ЭЦП Browser Plug-in 2.0 на macOS есть на этой странице .

Для дальнейшей настройки используйте графическую панель Инструменты КриптоПро:

3) Установка личного сертификата (при подключенном ключевом носителе):

4) Проверить правильность настройки можно на тестовой странице проверки плагина .

Если настройка произведена корректно, то в поле Сертификат появится строка, соответствующая сертификату.

После выбора сертификата и нажатия кнопки Подписать появится надпись Подпись сформирована успешно.

5) Проверка статуса лицензии КриптоПро CSP 5.0:

6) Активация лицензии КриптоПро CSP 5.0:

Примечания:

a) При необходимости отдельной установки сертификатов

корневых удостоверяющих центров (например, в случае использования неквалифицированного сертификата) или

промежуточных удостоверяющих центров (например, в случае с проблемами автоматического построения цепочки сертификатов по ссылкам из сертификатов)

эти сертификаты можно установить следующим образом:

b) Поддерживаемые ключевые носители:

• USB флеш-накопитель
• жесткий диск компьютера
• Рутокен (для Рутокен S необходима установка драйвера (для macOS 10.9 — 10.13, для macOS 10.14 — 11) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы )
• ESMART
• JaCarta (eToken не поддерживается)
• другие менее распространенные виды токенов

Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются.

c) Возможность работы на macOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.

Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы на macOS.

d) Инструкция по входу на портал gosuslugi.ru , используя сертификат электронной подписи на macOS в связке с КриптоПро CSP, доступна по ссылке .

e) Для работы на портале nalog.ru необходимо:

— иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,

— при использовании сертификата по ГОСТ Р 34.10-2012 выполнить команду:

При появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter.

— для входа в личный кабинет ИП или ЮЛ с помощью электронной подписи использовать только браузер Chromium GOST (браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012) и входить по прямой ссылке:

https://lkul.nalog.ru — для юридических лиц,

https://lkipgost2.nalog.ru/lk — для индивидуальных предпринимателей.

Чтобы удалить выбранный ранее сертификат электронной подписи из кеша Chromium GOST перезапустите браузер.

При использовании в качестве ключевого носителя облачного токена или простого USB-флеш накопителя Chromium GOST необходимо запускать из Терминала с помощью команды:

Можно также скопировать ключевой контейнер с USB флеш-накопителя на жесткий диск как описано здесь , чтобы не запускать Chromium GOST из Терминала.

Источник

Использование продления сертификатов из профиля в macOS

В текущей версии macOS поддерживается продление сертификатов из профиля конфигурации.

Продлить регистрацию сертификатов с помощью профиля конфигурации в macOS можно двумя способами.

• Протокол Simple Certificate Enrollment Protocol (SCEP), в котором часто используется служба Network Device Enrollment Service (NDES) центра сертификации Microsoft.
• Протокол DCOM/RPC (ADCertificate), который зависит от центра сертификации Microsoft Windows Server.

Сведения о сертификатах

В macOS можно получить сертификат и продлить его с помощью одного и того же профиля. macOS предупреждает о приближающейся дате истечения срока действия.

• Когда до неё останется 15 дней, вы получите напоминание.
• Когда до истечения срока действия сертификата останется менее 15 дней, в центре уведомлений отобразится баннер. Такое уведомление появляется раз в день, пока срок действия сертификата не истечет или вы не удалите его.

Чтобы обновить сертификат, перейдите в область «Профили» меню «Системные настройки» и нажмите кнопку «Обновить».

Продление сертификата с помощью протокола ADCertificate

В области «Профили» меню «Системные настройки» нажмите кнопку «Обновить», чтобы создать закрытый ключ. Этот закрытый ключ используется для подписи запроса в отношении сертификата, который отправляется в центр сертификации. Новый сертификат из центра сертификации сопрягается с новым закрытым ключом.

Исходный сертификат и закрытый ключ, которые были созданы при установке профиля, остаются в связке ключей.

Возобновление действия с помощью протокола SCEP

В области «Профили» меню «Системные настройки» нажмите кнопку «Обновить». Текущий закрытый ключ используется для подписи запроса в отношении сертификата, который отправляется в центр сертификации. Когда центр сертификации продлевает сертификат, он объединяет его в пару с исходным закрытым ключом.

Исходный сертификат, созданный при установке профиля, остается в связке ключей.

Продление сертификата с помощью командной строки

В macOS 10.12 Sierra и более поздних версий действие сертификатов, созданных из профиля с помощью протоколов ADCertificate и SCEP можно продлить с помощью команды /usr/bin/profiles . Используйте следующий синтаксис в командной строке.

для профилей -W и -p

Значение profileIdentifier можно найти, просмотрев список установленных профилей с помощью аргумента команды -L.

Настройка уведомлений о продлении

В Yosemite и более поздних версиях macOS уведомление отображается раз в день, когда до истечения срока действия сертификата остается менее 14 дней.

Время ежедневного уведомления можно изменить с помощью двух параметров конфигурации: CertificateRenewalTimeInterval и CertificateRenewalTimePercent.

Параметр	Способ применения	Допустимые значения	Тип значения
CertificateRenewalTimeInterval	Профиль конфигурации в менеджере профилей (ADCert или SCEP)	Более 14 дней или менее максимального срока действия сертификата в днях	Дни (целое число)
CertificateRenewalTimePercent	/usr/sbin/defaults	От 1 до 50	Доля в процентах (целое число)

Параметр CertificateRenewalTimePercent можно применить с помощью следующего синтаксиса.

Эти два параметра можно использовать вместе.

• Если в профиле задан параметр CertificateRenewalTimeInterval, используйте это значение.
• Если параметр CertificateRenewalTimeInterval задан не в профиле, а в клиенте, используйте значение CertificateRenewalTimePercent.

Если не задано ни одно из значений, временной интервал составляет 14 дней.

Дополнительная информация

Профиль, использовавшийся для создания сертификата из протокола ADCert или SCEP, можно удалить. Если используется Mavericks или более поздняя версия macOS, наиболее недавний сертификат и закрытый ключ удаляются из связки ключей, а исходный сертификат необходимо удалять вручную.

Использовавшийся для получения сертификата профиль может иметь другие полезные нагрузки, привязанные к сертификату. Примеры нагрузок включают следующие способы идентификации на основе сертификатов: EAP-TLS (для обычной сети) и OnDemand (для сети VPN). Когда сертификат продлевается, для него обновляются зависимые конфигурации.

После продления сертификата установленный профиль связывается с новым сертификатом. А также не устанавливаются и не создаются никакие дополнительные профили.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Источник

Установка электронной цифровой подписи на MacOS

Активные пользователи MacOS, которые имеют цифровую электронную подпись на USB- носителе (Rutoken и т.д.), часто сталкиваются с необходимостью установки сертификата в локальное хранилище (на жесткий диск). С этой необходимостью столкнулись и мы, но в сети не нашли достойного описания того, как это сделать. В результате родилась эта статья.

Установка КриптоПро

Для того, чтобы скачать дистрибутив КриптоПро, необходимо пройти регистрацию на официальном сайте .

После того, как вы прошли регистрацию, необходимо скачать дистрибутив КриптоПро для вашей операционной системы по ссылке .

Далее запустите скачанный файл и проследуйте инструкциям. Если ваш Мак блокирует установку, то перейдите в «Настройки» -> «Защита и безопасность» и на вкладке «Основные» нажмите кнопку «Открыть».

Установка лицензии КриптоПро

Для установки лицензии необходимо открыть приложение «Терминал». Для его открытия нажмите на значок «лупы» в правом верхнем углу и, в открывшееся поле, введите «терминал», нажмите кнопку ввода.

После того, как откроется терминал, нужно ввести в него команду (можно скопировать текст и вставить в терминал):

sudo /opt/cprocsp/sbin/cpconfig -license -view

Данная команда проверит текущее состояние лицензии. Если вы установили КриптоПро впервые, то вам, скорее всего, будет предоставлен тестовый период. Но мы рекомендуем сразу установить вашу лицензию и забыть об этом до истечения срока лицензии.

Для установки лицензии необходимо выполнить команду:

sudo /opt/cprocsp/sbin/cpconfig -license -set

Вместо вставьте текст вашей лицензии.

Установка электронной подписи в локальное хранилище MacOS

Для начала вам необходимо вставить ваш токен (USB-носитель вашей цифровой подписи) в USB привод Мака. После того, как это будет сделано в окне терминала выполните команду:

sudo /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

Данная команда отобразит список контейнеров сертификатов, как локальные, так и USB. Все локальные контейнеры начинаются с «\\.\HDIMAGE\. ». Найдите в данном списке путь до контейнера на USB носителе, у которого вместо «HDIMAGE” будет написано, чаще всего, наименование его производителя, например, «Aktiv Rutoken».

Наконец, скопируем цифровую подпись с USB-носителя на локальный компьютер с помощью команды:

sudo /opt/cprocsp/bin/csptestf -keycopy -contsrc ‘ ‘ -contdest ‘\\.\HDIMAGE\ ‘

Далее вам будет предложено ввести пароль для локального контейнера. Придумайте его, запишите в удобное для вас место и введите его в поле.

Тестирование работоспособности

Откройте ваш любимый браузер и перейдите по ссылке (не забудьте установить CryptoPro Browser Plugin).

На открывшейся странице выберите необходимый сертификат и нажмите кнопку подписать. Если не вышла информация об ошибке, то все сработало.

Подписывайтесь на наш YaZen и Телеграм канал, чтобы расширять свой кругозор в Digital сфере.

Источник

Как настроить работу Рутокена для использования на Mac OS

В России выдано 5 миллионов квалифицированных электронных подписей (КЭП), которые можно использовать для отправки документов в госорганы.

Это 60% от всех зарегистрированных предприятий и ИП. Кроме КЭП популярны универсальные электронные подписи, позволяющие заходить под собственным аккаунтом на государственные порталы, отправлять через них документы.

Сертификат КЭП на флешке позволяет:

• подписать договор с удаленным сотрудником/контрагентом;
• отправить документы в судебные органы;
• подать заполненную декларацию в налоговые службы;
• определить наличие задолженности по различным платежам и грядущим проверкам;
• зарегистрировать новую онлайн-кассу и так далее.

КЭП была выпущена для Windows, но настроить её можно и для OS X.

• действительная ЭЦП на Рутокен либо USB-токене облегченной версии Рутокен Lite;
• криптографический контейнер КриптоПро;
• лицензированная версия КриптоПро CSP;
• сертификат открытого типа (он расположен в контейнере вместе с комплектом закрытых ключей).

Обратим внимание, что в связке непосредственно с КриптоПро на компьютере под управлением Mac OS не работают носители типа JaCarta, eToken. На практике оптимальным вариантом будет носитель Рутокен Lite. Он хранит в себе до 15 ключей, быстро работает и стоит 500-1000 рублей.

Также в Mac OS не будет работать ряд криптографических провайдеров (Лисси, VipNet и некоторые другие), поэтому выбирайте классический КриптоПро. Стоимость подобного сертификата для юридических лиц составит 1 600 рублей, а для ИП она будет на 300 рублей меньше.

Пакет КриптоПром CSP обычно зашит в сертификат и предоставляется удостоверяющими центрами бесплатно. В противном случае ее необходимо купить отдельно. Для использования ЭЦП на Mac OS необходима строго версия 4, а стоимость бессрочной лицензии обойдется в 2 700 рублей.

Открытый ключ обычно находится в контейнере закрытого ключа. Для предотвращения проблем при оформлении ЭЦП сообщите это сотруднику УЦ. В противном случае импорт можно выполнить самостоятельно на компьютере под управлением Windows с помощью встроенных средств КриптоПро CSP.

все скачиваемые из интернета файлы помещаются по умолчанию в каталог

/Downloads/;

при установке оставляем все параметры «по умолчанию» без внесения изменений;

если компьютер выдает предупреждение о попытке установки ПО от неизвестного источника, то подтвердите эту возможность в настройках, перейдя по следующему пути: System -> Preferences -> Security&Privacy -> Open Anyway;

при необходимости ввести пользовательский пароль и дать разрешение на внесение изменений в компьютере с последующим подтверждением.

Установка ЭЦП на компьютере под Mac OS. Основные этапы

Установка КриптоПро CSP

Предварительно проходим регистрацию на сайте криптопровайдера и со страницы загружаем на жесткий диск приложение КриптоПро CSP 4.0 R4, которое разработано специально для компьютеров под управлением Mac OS.

Устанавливаем комплект драйверов для накопителя Рутокен

Достаточно предварительно скачать и установить Модуль поддержки для использования связки ключей (сделать это можно со страницы «Загрузки»).

Запустите на компьютере терминал и для подключения USB-токена введите /opt/cprocsp/bin/csptest -card -enum. Если все прошло правильно, то будет выдан ответ с подтверждением активации Рутокена без ошибок.

Установка сертификатов

Если ранее вы уже пытались установить ЭЦП на этот компьютер под управлением Mac OS, то сначала важно удалить все имеющиеся уже сертификаты. Для этого в терминале выполните по очереди 3 команды (они удалят лишь сертификаты из КриптоПро и обойдут стороны иные, находящиеся в KeyChain):

• sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot;
• sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot;
• sudo /opt/cprocsp/bin/certmgr -delete -all.

Ответом на каждую из команд будет сообщение про успешное удаление либо отсутствие подходящих под требования сертификатов, которые находились в определенных папках.

Теперь можно установить заново корневые сертификаты, которые выступают в качестве общих для каждой квалифицированной электронной подписи, выдаваемых УЦ. Загрузить их можно с сайта УФО Министерства коммуникаций и связи. Для их установки выполните в терминале команды типа sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f pathSertif, где pathSertif – путь и имя конкретного скачанного сертификата (их 3). Ответом на каждую команду будет системное сообщение об установке и отсутствии ошибок.

Теперь можно установить на компьютер сертификаты конкретного удостоверяющего центра, где была выпущена КЭП любой категории. Их можно найти на официальном интернет-сайте в разделе с файлами для установки либо на диске, выданном при оформлении ЭЦП. Получить их можно и на сайте Минкомсвязи, где представлен весь перечень УЦ и сертификатов для последующей работы (там вам необходимы только действующие файлы). Их также надо установить, выполнив в терминале компьютера команду типа sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f pathSertificatName, где pathSertificatName – путь к загруженному сертификату вашего УЦ. Ответом на команду должно быть сообщение об успешной операции и отсутствии ошибок при ее выполнении.

Следующим этапом здесь будет непосредственно установка сертификата с Рутокен. Сделать это можно командой /opt/cprocsp/bin/csptestf -absorb -certs, которая должна быть выполнена успешно и без ошибок.

Завершающей стадией установки станет настройка конфигурация КриптоПро для работы с сертификатами. Здесь в соответствии с рекомендациями на сайте разработчика выполните 2 операции (они не возвращают каких-либо сообщений): sudo /opt/cprocsp/sbin/cpconfig -ini ‘\cryptography\OID\1.2.643.7.1.1.1.1!3’ -add string ‘Name’ ‘GOST R 34.10-2012 256 bit’. Во второй команде кусок кода 256 bit поменяйте на 512 bit.

Установка и настройка для работы интернет-браузера

Для корректной работы с российскими официальными порталами с компьютера под управлением Mac OS необходима особая сборка браузера Chromium-GOST. Его исходный код находится в открытом доступе на официальном репозитории КриптоПро, расположенном в репозитории GitHub. Идеальной на сегодня остается довольно старая версия сборки 71.0.3578.98, так как на более поздних иногда подвисает личный кабинет пользователя на сайте nalog.ru. Для установки браузера выполните следующие действия:

• скачайте и распакуйте архив;
• установите в каталог Applications браузер методом копирования либо drag&drop;
• принудительно закройте новый браузер командой killall Chromium-Gost (открывать повторно не нужно).

Дальнейшие действия пока выполняем через браузер Safari. Для корректной стабильной работы Chromium-Gost загрузите и установите ряд плагинов:

• КриптоПро ЭЦП Browser plug-in0 (его можно загрузить с сайта криптографического провайдера);
• плагин для работы с официальным порталом Госуслуг (он находится в соответствующем разделе портала, версия должна поддерживать Mac OS);
• файл конфигурации для поддержки системы Mac OS, новых ЭП в соответствии со стандартом ГОСТ2012 (он также находится на портале Госуслуг в разделе «Скачать»).

Теперь надо выполнить команды для активации плагинов и конфигурационного файла:

• sudo rm /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents/ifc.cfg;
• sudo cp

/Downloads/ifc.cfg /Library/Internet\ Plug-Ins/IFCPlugin.plugin/Contents;

sudo cp /Library/Google/Chrome/NativeMessagingHosts/ru.rtlabs.ifcplugin.json;

/Library/Application\ Support/Chromium/NativeMessagingHosts.

Теперь можно запустить установленный нами браузер и после набора в адресной строке последнего команды chrome://extensions/ активируем расширения CryptoPro и специальное приложение для Госуслуг.

Настройте КриптоПро ЭЦП Browser:

• наберите команду в терминале: /etc/opt/cprocsp/trusted_sites.html;
• добавьте в перечень доверенных пользователю узлов поочередно три сайта: https://*.cryptopro.ru, https://*.nalog.ru, https://*.gosuslugi.ru;
• сохраните изменения, которые должны быть подтверждены соответствующим сообщением.

Проверка правильности настройки ЭЦП для работы на Mac OS

• Перейдите на интернет-адрес https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html, где перед вами должно появиться сообщение «Плагин загружен», а в перечне сертификатов присутствовать ваш. Теперь достаточно выбрать вашу ЭЦП и нажать кнопку «Подписать», введя затем Pin-код вашего сертификата. Если все в порядке, то появится на мониторе сообщение «Подпись сформирована».
• Зайдите в ЛК пользователя на сайте nalog.ru (желательно перейти по прямым интернет-ссылкам).
• Зайдите на сайт Госуслуги и авторизуйтесь на нем с помощью вашей ЭЦП.

Что делать, если не работает?

• Подключите повторно ваш токен и проверьте его видимость через терминал командой типа sudo /opt/cprocsp/bin/csptest -card -enum.
• Очистите кэш браузера вашей специальной сборки Chromium-Gost стандартной командой: chrome://settings/clearBrowserData.
• Установите заново сертификат вашей квалифицированной ЭЦП через терминал командой /opt/cprocsp/bin/csptestf -absorb -certs.

Если проблема не ушла, то можно переустановить полностью все программное обеспечение. Также клиенты могут обратиться в компанию Астрал, где можно как получить ЭЦП любого типа, так и выполнить все настройки для работы с подписью.

Как подписать документ в Mac OS

Есть два варианта. Первый предусматривает использование специального программного обеспечения КриптоАрм (лицензия обойдется в 2 500 рублей). Альтернативой станет использование терминала (здесь процедура будет бесплатной для пользователя).

Если вы остановились на втором варианте, то с помощью команды /opt/cprocsp/bin/certmgr -list нужно определить HASH код (он включает 40 символов и находится в строке SHA1 Hash). Непосредственно подпись через терминал идет командой из каталога, где находится интересующий нас документ: /opt/cprocsp/bin/cryptcp -signf -detach -cert -strict -der -thumbprint Hash-код FileName.

При корректном выполнении перечисленных выше действий на экране всплывет сообщение «Signed message is created», а на компьютере появится файл формата *.sgn. Автоматизировать процесс поможет скрипт Automator Script, позволяющий подписывать документы напрямую через контекстное меню. Для этого сохраните на жестком диске приложение и выполните следующие действия:

• распакуйте архив;
• запустите исполняемый файл;
• откройте файл под названием Sign with CryptoPro.workflow;
• найдите блок под именем Run Shell Script и строку XXXXXXXXXX замените на Hash-код вашего сертификата (как его найти мы описали выше);
• сохраните скрипт;
• запустите повторно Sign with CryptoPro и установите его;
• вызовите в Finder контекстное меню какого-либо файла и в подразделе Servises выберите пункт под названием Sign with CryptoPro;
• в диалоговом окне введите Pin-код владельца ЭЦП.

При возникновении проблем с использованием электронной цифровой подписи на компьютерах под управлением Mac OS обратитесь в нашу компанию. Наши сотрудники оперативно помогут вам, проконсультируют и настроят корректную работу КриптоПро со всеми необходимыми сервисами.

Источник