Ifc cfg mac os

Установка плагина для работы
с порталом государственных услуг

Поддерживаемые браузеры:

• Internet Explorer версии 8.0 и выше;
• Mozilla Firefox версии 59.0 и выше;
• Google Chrome версии 29.0 и выше;
• Спутник версии 4.0.0 и выше (только для Windows);

Список криптопровайдеров и токенов, с которыми умеет работать плагин:

Для Windows

Криптопровайдеры:

• КриптоПро CSP,ViPNet CSP, Signal-COM CSP, ЛИССИ-CSP

Токены:

• Рутокен ЭЦП, Рутокен ЭЦП 2.0, eToken ГОСТ, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ

Для Linux и MacOS

Только токены:

• Рутокен ЭЦП, Рутокен ЭЦП 2.0, eToken ГОСТ, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta-2 SE, JaCarta-2 PKI/ГОСТ, JaCarta-2 PRO/ГОСТ

Для вашей системы рекомендуется следующая версия плагина. Загрузка начнется автоматически.

Операционная система	Плагин	Версия
Microsoft Windows 7/8/10, 32-bit	3.1.1.0

Если этого не произошло, нажмите на ссылку загрузки.
При появлении диалогового окна с кнопками «Выполнить» и «Сохранить» выберите «Выполнить».

Внимание! Для корректной установки плагина рекомендуется вручную удалить предыдущие версии плагина через Панель управления, предварительно закрыв все окна бразуера(ов) на компьютере.

Для следующих браузеров необходимо вручную установить расширение для работы с Плагином Госуслуг: Спутник, Mozilla Firefox

Поддерживаются следующие варианты установки:

Источник

Работа с КриптоПро CSP в MacOS.

Настройка MacOS для работы на Федеральной налоговой службы.

Сейчас будет приведена общая информация. Настройка для работы на портале nalog.ru и портале Госуслуг описана ниже.

Рассматриваемая конфигурация:

— macOS 10.15 Catalina (в других поддерживаемых версиях macOS настройки аналогичны),

— КриптоПро CSP 5.0 (Сертифицированные версии доступны после регистрации)

— КриптоПро ЭЦП Browser plug-in 2.0.(страница загрузки)

Страница настроек КриптоПро ЭЦП Browser plug-in 2.0 /etc/opt/cprocsp/trusted_sites.html

Замечания:

Чтобы открыть программу от несертифицированного разработчика в обход защиты Gatekeeper, нажмите на ярлыке правой клавишей мыши (либо левой клавишей мыши в сочетании с клавишей Control, либо тапнув двумя пальцами по трекпаду), и выберите опцию Открыть. Gatekeeper предупредит, что приложение может содержать вирусы, но позволит его запустить.

Что бы отключить проверку Gatekeeper полностью можно воспользоваться инструкцией.

Поддерживаемые ключевые носители:

• Флеш-накопитель;
• Жесткий диск компьютера, так же HDIMAGE которые хранятся в /var/opt/cprocsp/keys/’whoami’ (возможно еще по этому пути /opt/cprocsp/keys/’whoami’ где whoami это имя пользователя);
• Рутокен (для Рутокен S необходима установка драйвера (для Mojave и Catalina, для High Sierra и старше) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы);
• ESMART Token;
• Другие менее распространенные виды токенов;

Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).

Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.

Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы под MacOS.

• Если Вы не можете вспомнить имя учетной записи, откройте окно Finder и выберите «Переход» > «Личное». Ваше имя учетной записи отображается рядом со значком домика в верхней части окна Finder.
• В Терминале выполнить команду

Процесс установки программы КриптоПро CSP 5.0 в Apple MacOS:

Установка КриптоПро ЭЦП Browser plug-in в Apple MacOS:

Для работы на портале nalog.ru необходимо:

иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,

— при использовании сертификата по ГОСТ Р 34.10-2012 выполнить команды ( скопировать не меня текст ) :

При установке КриптоПро CSP должен был установить сертификат Головного Удостоверяющего Центра и сертификат удостоверяющего центра Минкомсвязи в хранилище сертификатов «Доверенные корневые центры». Если это не произошло и Вы это проверили, то их можно скачать по указанным ссылкам и выполнить приведенные команды.

При появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter.

— использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),

Перед переходом по ссылке устанавливаем сертификаты в хранилище личные следующей командой:

— входить в личный кабинет по прямой ссылке:

https://lkul.nalog.ru — для юридических лиц,

https://lkipgost2.nalog.ru/lk — для индивидуальных предпринимателей. (раньше была ссылка https://lkipgost.nalog.ru/lk )

Чтобы удалить выбранный ранее сертификат электронной подписи из кеша Chromium GOST перезапустите браузер.

При входе в личный кабинет nalog.ru устанавливается двусторонний TLS, с аутентификацией клиента по сертификату в рамках TLS. Если nalog.ru в рамках TLS не получает нужный ему сертификат (идет проверка сертификата), то происходит разрыв соединения с ошибкой ERR_SSL_VERSION_OR_CIPHER_MISMATCH

При входе в личный кабинет nalog.ru устанавливается двусторонний TLS, с аутентификацией клиента по сертификату в рамках TLS.

Такая ошибка может возникнуть, если не удается воспользоваться ключом, по различным причинам, таким как пароль на контейнере.

Если пароль все же есть, попробуйте скопировать ключ без пароля и установить сертификат ключа в хранилище «Личные», как это сделать указано ниже.

При использовании в качестве ключевого носителя облачного токена или простого USB-флеш накопителя Chromium GOST необходимо запускать из Терминала с помощью команды:

Для работы на портале Госуслуг необходимо:

Если не установлен, то скачать и поставить IFCPlugin.pkg — это плагин для работы на портале государственных услуг.

Скачать файл конфигурации для IFCPlugin в директорию Загрузки.

Подключить ключевой носитель (флеш-накопитель, Рутокен, ESMART token и т.д.).

Выполнить в терминале команды (при появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter):

Для Chromium GOST также выполнить в терминале команду (Важно, что бы Chromium GOST был в «Программах»):

Проверить в используемом браузере (Mozilla Firefox, Google Chrome или Chromium GOST), что включено расширение — Расширение для плагина Госуслуг.

На странице входа на портал Госуслуг:

1. Выбираем «Вход с помощью электронной подписи«;
2. Если появляется ошибка «Вход с помощью электронной подписи отключен», то действуем по этой инструкции ссылка.
3. Нажимаем на кнопку «Готово»;
4. Выбрать нужный сертификат электронной подписи;
5. В окне Ввод пин-кода нажать кнопку «Продолжить»;
6. При возникновении окна CryptoPro CSP ввести пин-код для ключевого контейнера в поле Password: и нажать кнопку «OK«.

Основные команды

Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:

Открыть приложение Терминал можно через Finder >пункт меню Переход>Утилиты>Терминал.

• Просмотр и установка сертификатов с носителя ключа в хранилище «Личные»( My ):
• Установить сертификат из файла в хранилище личные (MY):
• Установить сертификат из файла в хранилище промежуточных центров сертификации (CA):
• Установить сертификат из файла в хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля):
• Просмотр сертификатов в хранилище личные (MY):
• Просмотр сертификатов в хранилище промежуточных центров сертификации (CA):
• Просмотр сертификатов в хранилище доверенных корневых издателей (ROOT):
• Очистить хранилище личные (MY) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
• Очистить хранилище промежуточных центров сертификации (CA) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
• Очистить хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
• Копирование контейнеров ключей (что бы просмотреть, что копировать можно выполнить /opt/cprocsp/bin/csptest -keyset -verifycontext -enum -unique или /opt/cprocsp/bin/csptestf -absorb -certs ):

  

Перечисление контейнеров пользователя:

Перечисление контейнеров компьютера:

Просмотр списка настроенных ДСЧ:

Для добавления консольного БиоДСЧ:

• Для добавления графического БиоДСЧ:

Использую sudo, при вводе пароля, символы не отображаются.

Источник

Заставляем плагин госуслуг работать для всех пользователей в терминальной среде

Уже более года все наши сотрудники работают только в опубликованных приложениях, а централизуем мы всё это через Parallels RAS. Есть у нас и автоматический механизм публикации ЭЦП: если авторизованный пользователь запускает сайт, допустим таможни, то предварительно в его HKCU пишется ЭЦП компании и запускается нужный плагин. Это отлично работает с КОНТУР, СБИС, КРИПТО-ПРО, но плагин от госуслуг (IFCPlugin) пришлось допиливать напильником, а к разработчикам остались вопросы…

Когда поступила заявка на установку очередного плагина, читающего ЭЦП, я не ожидал ничего сложного. Для работы с ЭЦП у нас выделен отдельный RDS-хост на котором уже стояло несколько плагинов и всё отлично работало. Я скачал плагин госуслуг с официального сайта и не мудрствуя лукаво запустил установку в машинном контексте из привилегированного шелла:

На первый взгляд, установка прошла успешно. В списке установленных программ на этом хосте появился «Плагин пользователя систем электронного правительства», под своей учетной записью я смог авторизоваться с помощью ЭЦП. Но у других пользователей плагин так и не заработал, будто и не был установлен.

Куда же ты запропастился?

Плагин госуслуг, в отличие от других аналогичных решений, никак не сообщает о своем присутствии пользователю. Нет иконки в трее, нет группы в стартовом меню, не нашел я его и в «Program Files». Т.к. под моей учеткой работала авторизация в Chrome, а она работает с помощью браузерного плагина, который, в свою очередь, должен иметь MessagingHost, я решил поискать этот процесс.

Каково же было мое удивление, когда я обнаружил этот процесс ( ifc_chrome_host.exe ) в собственной $Env:APPDATA ! Иными словами, инсталлятор плагина, полностью игнорируя машинный контекст, поставил приложение внутрь моего профиля. Причем даже не в $Env:LOCALAPPDATA , а в подлежащую роумингу часть профиля. У нас включен роуминг аппдаты (на эту тему можно долго холливорить, но мы считаем, что в нашем случае — это правильно). Т.е. IFCPlugin установился в мой профиль, хранящийся на файловом сервере, куда только я имею доступ, но зарегистрировал себя и свои классы в машинном контексте на RDS-хосте. Вполне логично, что у пользователей плагина, по сути, не было.

Достаем напильник

Открываем старую добрую orca и смотрим на структуру директорий установщика IFCPlugin.msi :

TARGETDIR = AppDataFolder. Чем руководствовались разработчики я понять не смог. Заменяем на ProgramFiles64Folder или ProgramFilesFolder по вкусу.

Смотрим что с реестром:

Как видим, всё, кроме классов, прописывается в HKCU. Т.к. меня волновало функционирование лишь плагина для Google Chrome, то я изменил ветку только трем отмеченным параметрам на 2, что соответствует HKLM. Подозреваю, что для Firefox сработает аналогично.

Еще один напильник

Устанавливаю заново. Плагин ожидаемо появляется в $Env:ProgramFiles , но у пользователей, почему-то сразу падает процесс ifc_chrome_host.exe , хотя он уже запускается. Берем procmon и смотрим что ему не хватает.

Выясняется, что он пытается писать логи вот сюда:

Пользователи, по умолчанию, разумеется, не имеют там доступа на запись. Исправляем.

Заключение

Работает. Что курили разработчики и зачем это было сделано именно так, осталось для меня загадкой.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник