Как настроить работу Рутокена для использования на Mac OS

В статье подробно рассмотрим, как правильно установить и настроить Рутокен в системе macOS для бесперебойной работы с электронной подписью. Разберём весь процесс пошагово, начиная с установки необходимых компонентов и заканчивая проверкой работоспособности устройства в браузере.

Что нужно для работы с ЭЦП под macOS

Для успешной работы ЭЦП с Рутокеном на macOS вам необходимо подготовить компьютер и установить следующее программное обеспечение и компоненты:

• КриптоПро CSP
• Драйвер Рутокен для macOS
• Плагин и расширение для браузера
• Личный сертификат ЭЦП, выданный удостоверяющим центром.

Наличие этих компонентов — залог успешной настройки и работы с ЭЦП на вашем макбуке.

Основные этапы установки сертификата ЭЦП на macOS

Установка и настройка сертификата ЭЦП на macOS включает в себя несколько важных этапов, которые нельзя пропускать. Внимательно следуйте каждому шагу, чтобы избежать ошибок.

Установка КриптоПро CSP

Вы можете не устанавливать КриптоПро CSP, если используете токен со встроенной лицензией, например, Рутокен ЭЦП 3.0, и только для одного сертификата.

В настоящее время компания «КриптоПро» находится под санкциями. Их приложения заблокированы в AppStore, а сертификаты подписи кода для macOS отозваны. Несмотря на возникшие ограничения, мы подготовили для вас инструкцию по установке этого криптопровайдера. Она поможет продолжить работу с ЭЦП на макбуке.

Пошаговая инструкция:

1. Скачайте дистрибутив КриптоПро CSP версии R3 (5.0.13000). В его состав уже входит КриптоПро ЭЦП Browser plug-in. Пробную версию можно скачать с сайта разработчика. По истечении девяноста дней потребуется купить лицензию.

   Выбрать подходящую лицензию КриптоПро CSP для электронной подписи рекомендуем в нашем интернет-магазине. Оставьте короткую заявку для бесплатной консультации специалиста.
2. Найдите скачанный дистрибутив в папке «Загрузки» или в той папке, куда вы сохранили файл.

3. Кликните правой кнопкой мыши по файлу с именем, похожим на «ru.cryptopro.csp-cades-5.0.13000.dmg» и в контекстном меню выберите пункт «Открыть».

   
4. После открытия .dmg файла, вы увидите новое окно. Найдите файл с расширением «.pkg». Например, «ru.cryptopro.csp-cades-5.0.13000.pkg».

5. Кликните по нему правой кнопкой мыши или используйте сочетание клавиш Ctrl+клик и выберите пункт «Открыть».

   

6. Для macOS Sequoia версии 15 и новее вам потребуется выполнить следующие шаги:

   • Перейдите в «Системные настройки» (System Preferences), нажав на значок Apple в левом верхнем углу экрана.
   • Выберите раздел «Конфиденциальность и безопасность» (Privacy & Security).
   • В правой части окна, в разделе «Безопасность», найдите сообщение о заблокированном приложении и нажмите кнопку «Все равно открыть» (Open Anyway) рядом с названием «ru.cryptopro.csp-cades-5.0.13000.pkg».
7. Далее вы увидите предупреждение системы о неподтверждённом разработчике: «macOS не удаётся проверить разработчика ru.cryptopro.csp-cades-5.0.13000.pkg. Вы действительно хотите открыть этот файл?».

8. Необходимо подтвердить свои намерения, нажав кнопку «Открыть».

   

9. В следующем диалоговом окне система запросит дополнительное разрешение на запуск неподписанного приложения. Подтвердите действие, нажав «Разрешить».

   

10. Если на вашем компьютере уже была установлена более старая версия КриптоПро CSP, вы увидите соответствующее предупреждение. Нажмите кнопку «Продолжить».

    

11. В следующем окне ещё раз нажмите «Продолжить».

    

12. Ознакомьтесь с условиями Лицензионного соглашения на выбранном языке. Если вы согласны с ними, нажмите кнопку «Продолжить».

    

13. Система ещё раз предупредит вас о необходимости принять условия лицензионного соглашения. Если вы согласны, нажмите кнопку «Принять».

    

14. В большинстве случаев нет необходимости изменять предлагаемые параметры. Нажмите кнопку «Продолжить».

    

15. Нажмите кнопку «Установить».

    

16. По завершении установки вы увидите окно с сообщением «Установка прошла успешно». Нажмите «Закрыть» и перезагрузите компьютер.

    

Чтобы убедиться, что установка прошла успешно, откройте «Терминал (Terminal)» и введите команду: `pkgutil --pkgs | grep -i csp`. Если команда вернёт название пакета КриптоПро CSP, значит, всё прошло успешно.

Если купили лицензию, то после установки введите её серийный номер. Сделать это можно двумя способами:

• через «Терминал (Terminal)»: для постоянных/временных лицензий КриптоПро CSP версии 4 и 5 (5.0.11455);
• через графический интерфейс КриптоПро CSP: только для версий 5.0 R2 (5.0.12000) и новее, а также для временных лицензий в версии 4.0

Через «Терминал (Terminal)»:

1. Найдите и запустите приложение «Терминал». Для этого нажмите на значок поиска, обычно представлен в виде лупы, в верхнем правом углу экрана, введите «Терминал» и выберите его из результатов.

   

2. В окне терминала введите следующую команду: sudo /opt/cprocsp/sbin/cpconfig -license -set (далее — серийный номер лицензии с дефисами).

   
3. После ввода команды вводите пароль администратора, даже если символы не отображаются на экране.
4. Для завершения активации нажмите клавишу «Enter».

Через КриптоПро CSP:

1. Перейдите в папку «Программы», затем в «Инструменты КриптоПро» и запустите приложение «Общее». Альтернативно, найдите «Finder», а затем перейдите по пути: «Finder» → «Программы» → «Инструменты КриптоПро» → «Общее».
2. В приложении «Общее» найдите и нажмите кнопку «Ввести лицензию для меня».

3. В появившемся окне введите ваш серийный номер лицензии.

   

Установка и настройка для работы браузера

Установка плагина

Установите версию КриптоПро CSP не ниже 5.0.12600 Quinotaur 5.0. Плагин будет загружен вместе с ней. Затем расширение нужно будет активировать в настройках браузера.

Если у вас более ранняя версия КриптоПро CSP, обратитесь к этой инструкции:

1. Скачайте архив macos-uni.tar.gz по ссылке.

   
2. Распакуйте скачанный архив.
3. Найдите и запустите файл cprocsp-pki-2.0.0.pkg. Начнётся процесс установки КриптоПро ЭЦП Browser Plug-in.

4. Нажимайте «Продолжить» на каждом экране приветствия и информации о продукте

   
   
   .

5. Прочитайте лицензионное соглашение и нажмите «Продолжить».

   

6. В появившемся окне подтвердите своё согласие с условиями, нажав «Принять».

   

7. Нажмите «Установить». Рекомендуется не менять папку установки по умолчанию.

   

8. Если система запросит, введите пароль администратора для разрешения установки плагина.

   

9. Дождитесь, пока установщик завершит свою работу. По завершении нажмите кнопку «Закрыть», чтобы выйти из программы.

   

10. Решите, что делать с установщиком. Вы можете переместить файл в корзину или оставить его на своём компьютере.

    

Активация плагина: установка расширения

Действия после установки отличаются для разных браузеров. Выберите свой браузер и следуйте инструкциям:

Safari:

• Откройте настройки Safari: перейдите в меню Safari → Preferences → Extensions.
• Или запустите приложение CryptoPro_ECP из папки Applications и активируйте расширение.

Chrome (Chromium Edge, Chromium Gost):

1. Запустите браузер.
2. Дождитесь уведомления об установленном расширении «CryptoPro Extension for CAdES Browser Plug-in».

3. Включите это расширение.

   

Opera или Яндекс.Браузер:

1. Перейдите по ссылке.

2. Установите расширение.

   

Firefox:

1. Скачайте расширение по ссылке.

2. Установите расширение в браузер вручную.

   

Если расширение «CryptoPro Extension for CAdES Browser Plug-in» недоступно в магазинах браузеров, то установите его вручную. Скачать его можно на сайте КриптоПро или по нашим ссылкам для каждого браузера: Google Chrome, Opera, Yandex.Browser, Firefox. Далее воспользуйтесь следующей инструкцией:

1. Откройте ваш браузер.

2. В зависимости от вашего браузера скопируйте и вставьте в адресную строку одну из следующих ссылок:

   • Google Chrome/Chromium-Gost/Яндекс Браузер для организаций: chrome://extensions/;
   • Яндекс Браузер: browser://extensions/;
   • Opera: opera://extensions/;
   • Firefox: пропустите этот шаг и переходите к шагу 4.
3. Если работаете в Chrome, Opera и Яндекс Браузере, включите режим разработчика. Обычно он находится в правом верхнем углу.
4. Перетащите скачанный файл расширения из папки, в которую он был загружен, прямо на открывшуюся вкладку со страницей расширений. В Firefox перетащите файл на любую открытую вкладку.
5. В появившемся окне нажмите кнопку «Установить расширение»
6. Проверьте работу расширения.

Проверка установки плагина

1. Перейдите на страницу проверки плагина по ссылке.

2. В открывшемся окне нажмите кнопку «OK», чтобы подтвердить доступ.

   

3. Если всё сделано правильно, вы увидите сообщение «Плагин загружен» с информацией о версии плагина и версии КриптоПро CSP.

   

Плагин для Госуслуг

Для работы с порталом Госуслуг вам потребуется КриптоПро CSP Версия 4.0 не ниже сборки 4.0.996 или 5.0 не ниже сборки 5.0.11319. Версия 5.0 R3 не подходит. Рекомендуется использовать последнюю версию одного из этих браузеров: Google Chrome, Chromium GOST, Яндекс.Браузер, Opera, Microsoft Edge, Mozilla Firefox.

Порядок настройки:

1. Установите и настройте КриптоПро CSP.
2. Установите плагин IFCPlugin. Он должен поддерживать вашу версию macOS 10.9 и новее.
3. Скачайте файл ifc.cfg.
4. Скопируйте скачанный файл в папку /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents с заменой существующего файла. Проще всего это сделать через Finder: откройте Finder, выберите «Переход» → «Переход к папке...» и вставьте путь /Library/Internet Plug-Ins/IFCPlugin.plugin/Contents. Затем перетащите скачанный файл в эту папку.
5. Для Яндекс Браузера дополнительно скопируйте файл ru.rtlabs.ifcplugin.json из папки /Library/Google/Chrome/NativeMessagingHosts в папку /Library/Application Support/Chromium/NativeMessagingHosts. Сделайте это через Finder, как описано выше, открыв обе папки и перетащив файл.
6. Убедитесь, что в вашем браузере установлено и включено расширение «Расширение для плагина Госуслуг».

Установка комплекта драйверов для накопителя Рутокен

Необходимость в установке драйверов зависит от типа Рутокена и версии macOS. Получите дистрибутивы для установки при покупке токена или скачайте с официального сайта производителя. Далее рассмотрим, для каких устройств и в каких случаях это нужно делать.

Рутокен ЭЦП и Рутокен Lite

Для современных версий macOS драйверы Рутокен для моделей ЭЦП и Lite не требуются. В отдельных случаях понадобится изменение конфигурационного файла. Воспользуйтесь соответствующей инструкцией, если:

• Рутокен ЭЦП используется в ОС до macOS X 10.6 Snow Leopard;
• Рутокен Lite используется в macOS 10.9 Mavericks и более ранних ОС.

Начиная с macOS 10.15 Catalina устройства Рутокен не отображаются в приложении «Связка ключей (Keychain)».

Чтобы сертификаты отображались в других приложениях, установите:

• для Рутокен ЭЦП:

  • приложение «Рутокен для macOS (Версия 1.2.0, 28.06.2024)»: Поддерживает macOS 15/14/13/12/11/10.15. Специальное приложение для работы с RSA-сертификатами;
  • Модуль поддержки связки ключей «KeyChain для macOS Mojave и более ранних ОС (Версия 2.0.0.0, 23.10.2019)»: Поддерживает macOS 10.14/10.13/10.12/10.11/10.10/10.9. Добавляет поддержку Рутокен ЭЦП при работе с RSA-сертификатами в Связке ключей. Ключи ГОСТ отображаться не будут.

• для Рутокен Lite:

  • Модуль поддержки Связки Ключей (KeyChain).

Рутокен S

В зависимости от используемой операционной системы нужно установить драйвер:

• для macOS (Версия 1.0.9, 19.01.2023): Поддерживает macOS 15/14/13/12/11/10.15/10.14;
• для macOS High Sierra и более ранних (Версия 1.0.4.1, 29.09.2015): Поддерживает macOS 10.13/10.12/10.11/10.10/10.9.

Установить драйвер легко. Достаточно загрузить файл, запустить установщик и следовать инструкциям.

Утилиты

Также для администрирования токенов понадобятся специальные утилиты:

• Утилита администрирования Рутокен 3.1 (Версия 3.1, 18.06.2024): Поддерживает macOS 10.15 и новее. Для форматирования и администрирования Рутокен: управление меткой токена, PIN-кодами, Flash-памятью;
• Утилита администрирования Рутокен 2.4 (Версия 2.4, 22.06.2022): Для форматирования и администрирования Рутокен.

Установка сертификатов

Для работы с квалифицированной подписью необходимо удалить старые, установить личный и корневой сертификаты.

Удаление старых сертификатов

Если ранее вы уже пытались установить ЭЦП на этот компьютер под управлением Mac OS, то сначала важно удалить все имеющиеся уже сертификаты. Для этого в терминале выполните по очереди 3 команды (они удалят лишь сертификаты из КриптоПро и обойдут стороны иные, находящиеся в KeyChain):

• sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot;
• sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot;
• sudo /opt/cprocsp/bin/certmgr -delete -all.

Ответом на каждую из команд будет сообщение про успешное удаление либо отсутствие подходящих под требования сертификатов, которые находились в определённых папках.

Установка личного сертификата

Так как устройства Рутокен могут не отображаться в программе «Связка ключей» на вашем макбуке, то устанавливайте личный сертификат через КриптоПро. Сделать это можно в три шага:

1. Запустите программу и в правом меню перейдите в «Контейнеры».
2. Выберите нужный ключевой контейнер.

3. Нажмите «Установить сертификат».

   
4. Если в ключевом контейнере нет сертификата, то в правом меню нажмите «Сертификаты», далее «Установить сертификаты» и найдите файл с расширением .cer или .crt.
5. Если ключ предоставлен в виде PFX-файла, то в правом меню нажмите «Сертификаты», далее «Импортировать ключи» и выберите PFX-файл.

Установка корневого сертификата

Как правило, сотрудники УЦ записывают корневой сертификат на токен вместе с личным. Если он не предоставлен, то скачайте его с официального сайта вашего удостоверяющего центра. Нужный файл будет иметь формат Base64.

После загрузки сделайте следующее:

1. Перейдите в «Загрузки» и найдите только что скачанный файл расширения .cer.

   
2. Нажмите правой кнопкой мыши на файл, выберите «Переименовать» и скопируйте имя файла. При этом сам файл переименовывать не нужно.
3. Нажмите на Launchpad в панели Dock, введите «Терминал» в поле поиска и нажмите на него.
4. В открывшемся окне терминала введите команду: sudo /opt/cprocsp/bin/certmgr -inst -store root -f ~/downloads/имя скопированного файла сертификата
5. Введите пароль администратора.

6. После установки корневого сертификата на экране отобразится соответствующее сообщение.

   

Смена PIN-кода контейнера

Стандартный PIN-код для Рутокен (12345678) необходимо обязательно изменить. Новый PIN-код может содержать латинские буквы и цифры, длиной до 16 символов.

Сделать это можно при помощи установленной утилиты администрирования токена или через «Терминал». В первом случае используется интуитивно понятный интерфейс, и рассматривать мы его не будем. Расскажем, как поменять пин-код вторым способом.

Для начала нам нужно узнать название контейнера:

1. Подключите Рутокен к компьютеру.
2. Откройте приложение «Терминал».
3. Введите и выполните команду: /opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext
4. Команда должна вывести список контейнеров. Если команда вернула ошибку, убедитесь, что КриптоПро CSP установлен правильно.
5. Найдите в списке ваш контейнер. Он будет выглядеть примерно так: .\Aktiv Rutoken lite\XXXXXXXX.
6. Если контейнеров несколько, выберите нужный.
7. Запишите или скопируйте часть XXXXXXXX без кавычек и без пути. Это название вашего контейнера.

Теперь смените PIN-код:

1. В «Терминал (Terminal)» введите и выполните команду, заменив XXXXXXXX на название вашего контейнера, которое вы получили на предыдущем шаге:
   /opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX".

   Важно. Название контейнера должно быть в кавычках.

2. Откроется окно КриптоПро, где вас попросят ввести:

   • Старый PIN-код: Введите стандартный PIN-код 12345678.

   • Новый PIN-код: Введите новый PIN-код, который хотите использовать, дважды.

     

Как подписать документ в macOS

После успешной установки и настройки всех компонентов вы можете подписывать документы в macOS с помощью Рутокена и квалифицированной ЭЦП.

У вас есть два способа:

1. Использовать программу «КриптоАрм» или «КриптоПро CSP». Он проще, но требует отдельной установки.
2. Использовать «Терминал». Более технический, но не требует установки дополнительного ПО.

С помощью КриптоАРМ

Как подписать документ в КриптоАРМ:

1. Откройте программу КриптоАРМ. Нажмите «Меню» → «Документы» → «Подпись и шифрование».
2. Установите галочку «Подписать».
3. В разделе «Настройки операции» выберите подходящие параметры.
4. Выберите сертификат и доверенность, если нужно.
5. Укажите папку сохранения и добавьте файл.
6. Нажмите кнопку «Выполнить».
7. В открывшемся окне подтверждения нажмите «Продолжить» и введите свой PIN-код.
8. Подписанный файл будет сохранён в выбранной папке: исходной или указанной вами.

С помощью «Терминал (Terminal)»

Инструкция для подписи через «Терминал (Terminal)»:

1. Узнайте Hash-код вашего сертификата:

   • Откройте приложение «Терминал».
   • Введите и выполните команду: /opt/cprocsp/bin/certmgr -list.
   • В результатах найдите строку «SHA1 Hash». Hash-код - это 40 символов, указанных в этой строке. Скопируйте его.

2. Подпишите документ:

   • Откройте «Терминал» и перейдите в папку, где находится документ, который вы хотите подписать.
   • Введите и выполните команду, заменив Hash-код на скопированный вами Hash-код, а FileName на имя вашего документа с расширением, например, document.pdf:
     /opt/cprocsp/bin/cryptcp -signf -detach -cert -strict -der -thumbprint Hash-код
   • Если всё сделано правильно, вы увидите сообщение «Signed message is created». В той же папке с документом появится файл подписи с расширением .sgn.

Проверка работы устройства Рутокен

Как проверить работу Рутокена:

1. Вставьте Рутокен в USB-порт компьютера.
2. Найдите и запустите приложение «Терминал».
3. Введите команду «pcsctest» и нажмите клавишу «Enter».
4. После запуска теста вам будет предложено выбрать устройство. Введите цифру «1» и нажмите«Enter».
5. Подтвердите выбор. Ещё раз введите цифру «1» и нажмите «Enter».
6. Если Рутокен работает, вы увидите соответствующее сообщение.

Тестирование процесса подписания документа

Для тестирования подписания:

1. Вставьте Рутокен в USB-порт компьютера.
2. Перейдите по ссылке: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html в любом браузере, кроме Safari.

3. На тестовой странице нажмите кнопку «Подписать».

   

4. Если всё работает правильно, на экране появится информация о вашем сертификате: имя владельца, кто выдал, срок действия и т.д. Также будет сформирована электронная подпись.

   

Что делать, если macOS не видит Рутокен

Может возникать ошибка «insert carrier to open container». Убедитесь, что устройство правильно подключено к компьютеру. Попробуйте вставить его в другой usb -порт. Проверьте, какие версии драйверов установлены. Переподключить токен и проверить, что он виден, можно через «Терминал» с помощью команды: sudo /opt/cprocsp/bin/csptest -card -enum.

Если у вас Mac на процессоре Apple M1 и у вас возникли проблемы с определением Рутокена или смарт-карты, возможно, вы установили неправильный драйвер. Проблема может быть вызвана драйвером «install_ccid_compat.pkg», который находится в папке «drivers» установочного пакета КриптоПро CSP. Он предназначен для компьютеров с процессорами Intel и не подходит для macOS Apple M1.

Решение:

• Удалите неправильный драйвер. Используйте утилиту «uninstall_ccid_compat.pkg», которая находится в той же папке «drivers».
• Перезагрузите компьютер.

После этого Рутокен или смарт-карта должны работать нормально.

Чтобы увидеть больше наших решений,
загляните в Каталог

Переходите в Каталог