Поддержка протоколов tls по госту mac os

Работа с КриптоПро CSP в MacOS.

Настройка MacOS для работы на Федеральной налоговой службы.

Сейчас будет приведена общая информация. Настройка для работы на портале nalog.ru и портале Госуслуг описана ниже.

Рассматриваемая конфигурация:

— macOS 10.15 Catalina (в других поддерживаемых версиях macOS настройки аналогичны),

— КриптоПро CSP 5.0 (Сертифицированные версии доступны после регистрации)

— КриптоПро ЭЦП Browser plug-in 2.0.(страница загрузки)

Страница настроек КриптоПро ЭЦП Browser plug-in 2.0 /etc/opt/cprocsp/trusted_sites.html

Замечания:

Чтобы открыть программу от несертифицированного разработчика в обход защиты Gatekeeper, нажмите на ярлыке правой клавишей мыши (либо левой клавишей мыши в сочетании с клавишей Control, либо тапнув двумя пальцами по трекпаду), и выберите опцию Открыть. Gatekeeper предупредит, что приложение может содержать вирусы, но позволит его запустить.

Что бы отключить проверку Gatekeeper полностью можно воспользоваться инструкцией.

Поддерживаемые ключевые носители:

• Флеш-накопитель;
• Жесткий диск компьютера, так же HDIMAGE которые хранятся в /var/opt/cprocsp/keys/’whoami’ (возможно еще по этому пути /opt/cprocsp/keys/’whoami’ где whoami это имя пользователя);
• Рутокен (для Рутокен S необходима установка драйвера (для Mojave и Catalina, для High Sierra и старше) и перезагрузка компьютера, при использовании Рутокен S возможны проблемы);
• ESMART Token;
• Другие менее распространенные виды токенов;

Внимание: в КриптоПро CSP 4.0 ключевые носители eToken и JaCarta не поддерживаются (JaCarta поддерживается в КриптоПро CSP 5.0).

Возможность работы на MacOS с ЭЦП на порталах нужно уточнять в технической поддержке порталов.

Если в требованиях к рабочему месту при работе на портале с ЭЦП только наличие КриптоПро CSP и КриптоПро ЭЦП Browser plug-in, то, вероятнее всего, на этом портале есть возможность работы под MacOS.

• Если Вы не можете вспомнить имя учетной записи, откройте окно Finder и выберите «Переход» > «Личное». Ваше имя учетной записи отображается рядом со значком домика в верхней части окна Finder.
• В Терминале выполнить команду

Процесс установки программы КриптоПро CSP 5.0 в Apple MacOS:

Установка КриптоПро ЭЦП Browser plug-in в Apple MacOS:

Для работы на портале nalog.ru необходимо:

иметь в наличии квалифицированный сертификат электронной подписи и соответствующий ему ключ,

— при использовании сертификата по ГОСТ Р 34.10-2012 выполнить команды ( скопировать не меня текст ) :

При установке КриптоПро CSP должен был установить сертификат Головного Удостоверяющего Центра и сертификат удостоверяющего центра Минкомсвязи в хранилище сертификатов «Доверенные корневые центры». Если это не произошло и Вы это проверили, то их можно скачать по указанным ссылкам и выполнить приведенные команды.

При появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter.

— использовать браузер с поддержкой TLS сертификатов по ГОСТ Р 34.10-2012 (например, Chromium GOST),

Перед переходом по ссылке устанавливаем сертификаты в хранилище личные следующей командой:

— входить в личный кабинет по прямой ссылке:

https://lkul.nalog.ru — для юридических лиц,

https://lkipgost2.nalog.ru/lk — для индивидуальных предпринимателей. (раньше была ссылка https://lkipgost.nalog.ru/lk )

Чтобы удалить выбранный ранее сертификат электронной подписи из кеша Chromium GOST перезапустите браузер.

При входе в личный кабинет nalog.ru устанавливается двусторонний TLS, с аутентификацией клиента по сертификату в рамках TLS. Если nalog.ru в рамках TLS не получает нужный ему сертификат (идет проверка сертификата), то происходит разрыв соединения с ошибкой ERR_SSL_VERSION_OR_CIPHER_MISMATCH

При входе в личный кабинет nalog.ru устанавливается двусторонний TLS, с аутентификацией клиента по сертификату в рамках TLS.

Такая ошибка может возникнуть, если не удается воспользоваться ключом, по различным причинам, таким как пароль на контейнере.

Если пароль все же есть, попробуйте скопировать ключ без пароля и установить сертификат ключа в хранилище «Личные», как это сделать указано ниже.

При использовании в качестве ключевого носителя облачного токена или простого USB-флеш накопителя Chromium GOST необходимо запускать из Терминала с помощью команды:

Для работы на портале Госуслуг необходимо:

Если не установлен, то скачать и поставить IFCPlugin.pkg — это плагин для работы на портале государственных услуг.

Скачать файл конфигурации для IFCPlugin в директорию Загрузки.

Подключить ключевой носитель (флеш-накопитель, Рутокен, ESMART token и т.д.).

Выполнить в терминале команды (при появлении строки Password: нужно ввести пароль пользователя в операционной системе macOS и нажать клавишу Enter):

Для Chromium GOST также выполнить в терминале команду (Важно, что бы Chromium GOST был в «Программах»):

Проверить в используемом браузере (Mozilla Firefox, Google Chrome или Chromium GOST), что включено расширение — Расширение для плагина Госуслуг.

На странице входа на портал Госуслуг:

1. Выбираем «Вход с помощью электронной подписи«;
2. Если появляется ошибка «Вход с помощью электронной подписи отключен», то действуем по этой инструкции ссылка.
3. Нажимаем на кнопку «Готово»;
4. Выбрать нужный сертификат электронной подписи;
5. В окне Ввод пин-кода нажать кнопку «Продолжить»;
6. При возникновении окна CryptoPro CSP ввести пин-код для ключевого контейнера в поле Password: и нажать кнопку «OK«.

Основные команды

Указанные ниже действия выполняются в Терминале, как открыть терминал показано ниже:

Открыть приложение Терминал можно через Finder >пункт меню Переход>Утилиты>Терминал.

• Просмотр и установка сертификатов с носителя ключа в хранилище «Личные»( My ):
• Установить сертификат из файла в хранилище личные (MY):
• Установить сертификат из файла в хранилище промежуточных центров сертификации (CA):
• Установить сертификат из файла в хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля):
• Просмотр сертификатов в хранилище личные (MY):
• Просмотр сертификатов в хранилище промежуточных центров сертификации (CA):
• Просмотр сертификатов в хранилище доверенных корневых издателей (ROOT):
• Очистить хранилище личные (MY) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
• Очистить хранилище промежуточных центров сертификации (CA) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
• Очистить хранилище доверенных корневых издателей (ROOT) (команда выполняется через sudo и требует ввода пароля) (после параметра —dn пишем один из параметров вашего сертификата: CN, E и т.д.):
• Копирование контейнеров ключей (что бы просмотреть, что копировать можно выполнить /opt/cprocsp/bin/csptest -keyset -verifycontext -enum -unique или /opt/cprocsp/bin/csptestf -absorb -certs ):

  

Перечисление контейнеров пользователя:

Перечисление контейнеров компьютера:

Просмотр списка настроенных ДСЧ:

Для добавления консольного БиоДСЧ:

• Для добавления графического БиоДСЧ:

Использую sudo, при вводе пароля, символы не отображаются.

Источник

Безопасность TLS

iOS, iPadOS и macOS поддерживают протокол Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2 и TLS 1.3) и Datagram Transport Layer Security (DTLS). Протокол TLS поддерживает AES-128 и AES-256, предпочитая наборы шифров с прямой секретностью. Интернет-приложения, например Safari, Календарь и Почта, автоматически используют этот протокол для установления зашифрованного канала связи между устройством и сетевыми службами. Высокоуровневые API (такие как CFNetwork) упрощают внедрение TLS в приложениях сторонних разработчиков, а низкоуровневые API (такие как Network.framework) предоставляют детальный контроль. CFNetwork не разрешает использовать SSL 3, а приложениям, использующим WebKit (например, Safari), запрещается устанавливать подключения с использованием SSL 3.

В iOS 11 или новее и macOS 10.13 или новее сертификаты SHA-1 нельзя использовать для TLS-соединений, если им не доверяет пользователь. Также не разрешены сертификаты с ключами RSA короче 2048 бит. Набор симметричных шифров RC4 в iOS 10 и macOS 10.12 считается устаревшим. По умолчанию клиенты и серверы TLS, реализованные с использованием API SecureTransport, не имеют наборов шифров RC4 (их поддержка отключена) и не могут установить соединение, если единственным доступным набором шифров является RC4. Для повышения безопасности необходимо обновить службы и приложения, требующие использования RC4, чтобы в них использовались безопасные наборы шифров. В iOS 12.1 сертификаты, выпущенные после 15 октября 2018 г. от имеющего доверие в системе корневого сертификата, для установления TLS-соединений должны быть внесены в доверенный журнал прозрачности сертификатов. В iOS 12.2 стандарт TLS 1.3 по умолчанию включен для Network.framework и API NSURLSession. Клиенты TLS, использующие API SecureTransport, не могут использовать TLS 1.3.

App Transport Security

Протокол App Transport Security предоставляет используемые по умолчанию требования к подключению, чтобы приложения работали с защищенными подключениями при использовании API NSURLConnection, CFURL и NSURLSession. По умолчанию протокол App Transport Security ограничивает возможность выбора шифра только теми наборами, которые обеспечивают прямую секретность, в частности следующие:

ECDHE_ECDSA_AES и ECDHE_RSA_AES в режиме Galois/Counter Mode (GCM)

Режим поблочной передачи зашифрованного текста (CBC)

Приложения могут отключить требование обязательной прямой секретности на уровне домена; в этом случае к набору доступных шифров добавляется RSA_AES.

Серверы должны поддерживать TLS 1.2 и прямую секретность, а сертификаты должны быть действительны и подписаны с использованием шифрования SHA256 (или более надежного) с ключом уровня не ниже, чем 2048-битный ключ RSA или 256-битный ключ на основе эллиптических кривых.

Сетевые подключения, не отвечающие этим требованиям, будут прерваны, если только в приложении не предусмотрен обход протокола App Transport Security. Использование недействительных сертификатов всегда приводит к постоянному отказу и отсутствию подключения. Протокол App Transport Security автоматически применяется для приложений, скомпилированных для iOS 9 или новее и macOS 10.11 или новее.

Проверка действительности сертификата

Оценка доверенного статуса сертификата TLS выполняется в соответствии с отраслевыми стандартами, установленными в RFC 5280, и новыми стандартами, такими как RFC 6962 (прозрачность сертификатов). В iOS 11 или новее и macOS 10.13 или новее устройства Apple периодически получают актуальный список отозванных и ограниченных сертификатов. Список обобщает списки отзыва сертификатов (CRL), публикуемые всеми встроенными корневыми центрами сертификации, которым доверяет Apple, а также их подчиненными центрами сертификации. Список также может включать в себя и другие ограничения по усмотрению Apple. Эта информация используется каждый раз, когда для установления безопасного соединения используется функция сетевого API. Если было отозвано слишком много сертификатов центра сертификации, чтобы перечислять их по отдельности, вместо сертификата для оценки доверия может использоваться ответ по протоколу состояния сетевого сертификата (OCSP). Если ответ не получен, тест на оценку доверия не будет пройден.

Источник

Квалифицированная электронная подпись под macOS

FYI. Статья написана в далеком 2019 году, но актуальна и на февраль 2021.

Каждый предприниматель и руководитель ООО пользуется электронной подписью. Помимо КЭП для ЕГАИС и облачных КЭП для сдачи отчетности, выдаваемых банками и бухгалтерскими сервисами, особый интерес представляют универсальные УКЭП на защищенных токенах. Такие сертификаты позволяют только логиниться на гос.порталы и подписывать любые документы, делая их юридически значимыми.

Благодаря сертификату КЭП на USB-токене можно удаленно заключить договор с контрагентом или дистанционным сотрудником, направить документы в суд; зарегистрировать онлайн-кассу, урегулировать задолженность по налогам и подать декларацию в личном кабинете на nalog.ru; узнать о задолженностях и предстоящих проверках на Госуслугах.

Представленный ниже мануал поможет работать с КЭП под macOS – без изучения форумов КриптоПро и установки виртуальной машины с Windows.

Что нужно для работы с КЭП под macOS:

Устанавливаем и настраиваем КЭП под macOS

1. Устанавливаем КриптоПро CSP
2. Устанавливаем драйверы Рутокен
3. Устанавливаем сертификаты
   3.1. Удаляем все старые ГОСТовские сертификаты
   3.2. Устанавливаем корневые сертификаты
   3.3. Скачиваем сертификаты удостоверяющего центра
   3.4. Устанавливаем сертификат с Рутокен
4. Устанавливаем специальный браузер Chromium-GOST
5. Устанавливаем расширения для браузера
   5.1 КриптоПро ЭЦП Browser plug-in
   5.2. Плагин для Госуслуг
   5.3. Настраиваем плагин для Госуслуг
   5.4. Активируем расширения
   5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
6. Проверяем что все работает
   6.1. Заходим на тестовую страницу КриптоПро
   6.2. Заходим в Личный Кабинет на nalog.ru
   6.3. Заходим на Госуслуги
7. Что делать если перестало работать

Смена PIN-кода контейнера

1. Выясняем название контейнера КЭП
2. Смена PIN командой из terminal

Подпись файлов в macOS

1. Выясняем хэш сертификата КЭП
2. Подпись файла командой из terminal
3. Установка Apple Automator Script

Проверить подпись на документе

Вся информация ниже получена из авторитетных источников (КриптоПро #1, #2 и #3, Рутокен, Корус-Консалтинг, УФО Минкомсвязи), а скачивать ПО предлагается с доверенных сайтов. Автор является независимым консультантом и не связан ни с одной из упомянутых компаний. Следуя данной инструкции, всю ответственность за любые действия и последствия вы принимаете на себя.

Что нужно для работы с КЭП под macOS:

Поддержка eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Устанавливаем и настраиваем КЭП под macOS

• все загружаемые файлы скачиваются в каталог по-умолчанию:

/Downloads/;

во всех установщиках ничего не меняем, все оставляем по-умолчанию;

если macOS выводит предупреждение, что запускаемое ПО от неустановленного разработчика – нужно подтвердить запуск в системных настройках: System Preferences —> Security & Privacy —> Open Anyway;

если macOS запрашивает пароль пользователя и разрешение на управление компьютером – нужно ввести пароль и со всем согласиться.

1. Устанавливаем КриптоПро CSP

Регистрируемся на сайте КриптоПро и со страницы загрузок скачиваем и устанавливаем версию КриптоПро CSP 4.0 R4 для macOS – скачать.

2. Устанавливаем драйверы Рутокен

На сайте написано что это опционально, но лучше поставить. Со страницы загрузок на сайте Рутокен скачиваем и устанавливаем Модуль поддержки Связки Ключей (KeyChain) – скачать.

Далее подключаем usb-токен, запускаем terminal и выполняем команду:

В ответе должно быть:

Aktiv Rutoken…
Card present…
[ErrorCode: 0x00000000]

3. Устанавливаем сертификаты

3.1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

В ответе каждой команды должно быть:

No certificate matching the criteria

3.2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

Каждая команда должна возвращать:

3.3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

Альтернативно, сертификаты любого УЦ можно скачать с сайта УФО Минкомсвязи. Для этого в форме поиска нужно найти УЦ по названию, перейти на страницу с сертификатами и скачать все действующие сертификаты – то есть те, у которых в поле ‘Действует’ вторая дата еще не наступила. Скачивать по ссылке из поля ‘Отпечаток’.

На примере УЦ Корус-Консалтинг: нужно скачать 4 сертификата со страницы загрузок:

Скачанные сертификаты УЦ устанавливаем командами из terminal:

/Downloads/ идут имена скачанных файлов, для каждого УЦ они будут свои.

Каждая команда должна возвращать:

3.4. Устанавливаем сертификат с Рутокен

Команда в terminal:

Команда должна вернуть:

3.5. Конфигурируем CryptoPro для работы ссертификатами ГОСТ Р 34.10-2012

Для корректной работы на nalog.ru с сертификатами, выдаваемыми с 2019 года, инструкция на сайте CryptoPro рекомендует:

Команды в terminal:

Команды ничего не возвращают.

4. Устанавливаем специальный браузер Chromium-GOST

Для работы с гос.порталами потребуется специальная сборка браузера сhromium – Chromium-GOST скачать.
Исходный код проекта открыт, ссылка на репозиторий на GitHub приводится на сайте КриптоПро. По опыту, другие браузеры CryptoFox и Яндекс.Браузер для работы с гос.порталами под macOS не годятся.

Скачиваем, устанавливаем копированием или drag&drop в каталог Applications. После установки принудительно закрываем Chromium-Gost командой из terminal и пока не открываем (работаем из Safari):

5. Устанавливаем расширения для браузера

5.1 КриптоПро ЭЦП Browser plug-in

Со страницы загрузок на сайте КриптоПро скачиваем и устанавливаем КриптоПро ЭЦП Browser plug-in версия 2.0 для пользователей – скачать.

5.2. Плагин для Госуслуг

Со страницы загрузок на портале Госуслуг скачиваем и устанавливаем Плагин для работы с порталом государственных услуг (версия для macOS) – скачать.

5.3. Настраиваем плагин для Госуслуг

Скачиваем корректный конфигурационный файл для расширения Госуслуг для поддержки macOS и новых ЭЦП в стандарте ГОСТ2012 – скачать.

Выполняем команды в terminal:

5.4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

Включаем оба установленных расширения:

• CryptoPro Extension for CAdES Browser Plug-in
• Расширение для плагина Госуслуг

5.5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

Жмем “Сохранить”. Должна появиться зеленая плашка:

Список доверенных узлов успешно сохранен.

6. Проверяем что все работает

6.1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

Должно выводиться “Плагин загружен”, а в списке ниже присутствовать ваш сертификат.
Выбираем сертификат из списка и жмем “Подписать”. Будет запрошен PIN-код сертификата. В итоге должно отобразиться

6.2. Заходим в Личный Кабинет на nalog.ru

По ссылкам с сайта nalog.ru зайти может не получиться, т.к. не будут пройдены проверки. Заходить нужно по прямым ссылкам:

6.3. Заходим на Госуслуги

При авторизации выбираем «Вход с помощью электронной подписи». В появившемся списке «Выбор сертификата ключа проверки электронной подписи» будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

7. Что делать если перестало работать

Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

Переустанавливаем сертификат КЭП с помощью команды в terminal:

Смена PIN-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

1. Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

Команда должна вывести минимум 1 контейнер и вернуть

Нужный нам контейнер имеет вид

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

2. Смена PIN командой из terminal

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

Подпись файлов в macOS

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

1. Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.
Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

Команда должна вывести минимум 1 сертификат вида:

Certmgr 1.1 © «Crypto-Pro», 2007-2018.
program for managing certificates, CRLs and stores
= = = = = = = = = = = = = = = = = = = =
1——-
Issuer: E=help@esphere.ru,… CN=ООО КОРУС Консалтинг СНГ…
Subject: E=sergzah@gmail.com,… CN=Захаров Сергей Анатольевич…
Serial: 0x0000000000000000000000000000000000
SHA1 Hash: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
.
Container: SCARD\rutoken_lt_00000000\0000\0000
…
= = = = = = = = = = = = = = = = = = = =
[ErrorCode: 0x00000000]

У нужного нам сертификата в параметре Container должно быть значение вида SCARD\rutoken. . Если сертификатов с такими значениями несколько, то значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение параметра SHA1 Hash (40 символов) нужно скопировать и подставить в команду ниже.

2. Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

где ХХХХ. – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

3. Установка Apple Automator Script

Чтобы каждый раз не работать с терминалом, можно один раз установить Automator Script, с помощью которого подписывать документы можно будет из контекстного меню Finder. Для этого скачиваем архив – скачать.

1. Распаковываем архив ‘Sign with CryptoPro.zip’
2. Запускаем Automator
3. Находим и открываем распакованный файл ‘Sign with CryptoPro.workflow’
4. В блоке Run Shell Script меняем текст ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ на значение параметра SHA1 Hash сертификата КЭП, полученное выше.
5. Сохраняем скрипт: ⌘Command + S
6. Запускаем файл ‘Sign with CryptoPro.workflow’ и подтверждаем установку.
7. Идем в System Preferences —> Extensions —> Finder и проверяем, что Sign with CryptoPro quick action отмечено.
8. В Finder вызываем контекстное меню любого файла, и в разделе Quick Actions и/или Services выбрать пункт Sign with CryptoPro
9. В появившемся диалоге КриптоПро ввести PIN-код пользователя от КЭП
10. В текущем каталоге появится файл с расширением *.sgn – отсоединенная подпись в формате CMS с кодировкой DER.

Окно Apple Automator:

System Preferences:

Источник