Обновление системы безопасности для веб-сайта от компании Apple – Служба поддержки Apple (RU)

Обновление системы безопасности для веб-сайта  от компании Apple - Служба поддержки Apple (RU) Сертификаты
Содержание
  1. Что делать, если перестало работать
  2. Что нужно для работы с кэп под macos:
  3. Как сделать так, чтобы safari автоматически использовал определенный сертификат клиента для всего сайта?
  4. Выясняем название контейнера КЭП
  5. Выясняем хэш сертификата КЭП
  6. Подпись файла командой из terminal
  7. Смена PIN командой из terminal
  8. 1. Удаляем все старые ГОСТовские сертификаты
  9. 2. Устанавливаем корневые сертификаты
  10. 3. Скачиваем сертификаты удостоверяющего центра
  11. 4. Устанавливаем сертификат с Рутокен
  12. 4. Активируем расширения
  13. 5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in
  14. 1. Заходим на тестовую страницу КриптоПро
  15. 3. Заходим на Госуслуги
  16. Как зайти в личный кабинет налогоплательщика на сайте фнс в macos?
  17. Настройка электронной подписи для портала госуслуг
  18. Обновление системы безопасности для веб-сайта от компании apple
  19. Подпись файлов в macos
  20. Проверка установки электронной подписи.
  21. Смена pin-кода контейнера
  22. Установка chromium gost для macos
  23. Установка криптопро csp на macos
  24. Установка криптопро эцп browser plugin
  25. Установка личного сертификата в macos
  26. Шаг 1: регистрируем website push id
  27. Шаг 10: запрашиваем токен из js’a
  28. Шаг 11: отправка уведомлеиня с бекенда:
  29. Шаг 12: тестирование
  30. Шаг 2: запрашиваем сертификат в связке ключей на macos
  31. Шаг 3: генерируем сертификат
  32. Шаг 4: экспорт ключа и сертификата
  33. Шаг 5: конвертация сертификата в p12
  34. Шаг 6: закидываем сертификаты на сайт
  35. Шаг 7: подготавливаем ресурсы
  36. Шаг 8: генерация архива
  37. Шаг 9: делаем папку v1 (или настраиваем роутинг)

Что делать, если перестало работать

  1. Переподключаем usb-токен и проверяем что он виден с помощью команды в terminal:

    sudo /opt/cprocsp/bin/csptest -card -enum

  2. Очищаем кеш браузера за все время, для чего в адресной строке Chromium-Gost набираем:

    
chrome://settings/clearBrowserData


  3. Переустанавливаем сертификат КЭП с помощью команды в terminal:

    /opt/cprocsp/bin/csptestf -absorb -certs

  4. Если команды Cryptopro не отрабатывают (csptest и csptestf превратились в corrupted) – нужно переустановить Cryptopro.

Что нужно для работы с кэп под macos:

  1. КЭП на USB-токене Рутокен Lite или Рутокен ЭЦП
  2. криптоконтейнер в формате КриптоПро
  3. со встроенной лицензией на КриптоПро CSP
  4. открытый сертификат должен храниться в контейнере закрытого ключа

Поддержка 
eToken и JaCarta в связке с КриптоПро под macOS под вопросом. Носитель Рутокен Lite – оптимальный выбор, стоит недорого, шустро работает и позволяет хранить до 15 ключей.

Криптопровайдеры VipNet, Signal-COM и ЛИССИ в macOS не поддерживаются. Преобразовать контейнеры никак не получится. КриптоПро – оптимальный выбор, стоимость сертификата в себестоимости от 500= руб. Можно выпустить сертификат с встроенной лицензией на КриптоПро CSP, это удобно и выгодно. 
Если лицензия не зашита, то необходимо купить и активировать полноценную лицензию на КриптоПро CSP.

Обычно открытый сертификат хранится в контейнере закрытого ключа, но это нужно уточнить при выпуске КЭП и попросить сделать как нужно. Если не получается, то импортировать открытый ключ в закрытый контейнер можно самостоятельно средствами КриптоПро CSP под Windows.

Как сделать так, чтобы safari автоматически использовал определенный сертификат клиента для всего сайта?

клиентские сертификаты Safari и связанные с ними настройки хранятся в Менеджер Ключей С вид на сертификат.

когда вы выбираете сертификат для использования с веб-сайтом, он сохраняет другую запись в менеджере связки ключей с вид на идентичность предпочтений. К сожалению, по умолчанию он сохраняет его только для той страницы, на которой Вы были. И имя, и расположение устанавливаются в URL-адрес страница.

чтобы исправить это, вы можете просто отредактировать одну из записей предпочтений identity и изменить здесь раздел базового URL, например https://somesslsite.com/ (косая черта очень важна!). Я также обновить имя к тому же, чтобы избежать путаницы. Затем вы можете удалить все остальные идентичность предпочтений записи для этого сайта.

Если у вас есть сертификат, срок действия которого истек и вам пришлось добавить новый, я бы рекомендовал вам удалите старый сертификат записи и все связанные идентичность предпочтений записи.

найти сертификат и идентичность предпочтений записи, откройте менеджер связки ключей, убедитесь, что Все Товары выбран, и выполните поиск частичного URL-адреса и/или имени сертификата соответствующим образом. У вас, вероятно, не так много, поэтому, если это не работает, просто отсортируйте список по вид и вы должны быть в состоянии найти их легко.

примечание: Я сам отвечаю на это, так как я понял это, но хотел сохранить знания для себя и других.

Выясняем название контейнера КЭП

На usb-токене и в других хранилищах может храниться несколько сертификатов, и нужно выбрать правильный. При вставленном usb-токене получаем список всех контейнеров в системе командой в terminal:

/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifycontext

Команда должна вывести минимум 1 контейнер и вернуть

[ErrorCode: 0x00000000]

Нужный нам контейнер имеет вид

.Aktiv Rutoken liteXXXXXXXX

Если таких контейнеров выводится несколько – значит значит на токене записано несколько сертификатов, и вы в курсе какой именно вам нужен. Значение XXXXXXXX после слэша нужно скопировать и подставить в команду ниже.

Выясняем хэш сертификата КЭП

На токене и в других хранилищах может быть несколько сертификатов. Нужно однозначно идентифицировать тот, которым будем впредь подписывать документы. Делается один раз.Токен должен быть вставлен. Получаем список сертификатов в хранилищах командой из terminal:

/opt/cprocsp/bin/certmgr -list

Команда должна вывести минимум 1 сертификат вида:

Подпись файла командой из terminal

В terminal переходим в каталог с файлом для подписания и выполняем команду:

/opt/cprocsp/bin/cryptcp -signf -detach -cert -der -strict -thumbprint ХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХХ FILE

где ХХХХ… – хэш сертификата, полученный на шаге 1, а FILE – имя файла для подписания (со всеми расширениями, но без пути).

Команда должна вернуть:

Signed message is created.
[ErrorCode: 0x00000000]

Будет создан файл электронной подписи с расширением *.sgn – это отсоединенная подпись в формате CMS с кодировкой DER.

Смена PIN командой из terminal

/opt/cprocsp/bin/csptest -passwd -qchange -container "XXXXXXXX"

где XXXXXXXX – название контейнера, полученное на шаге 1 (обязательно в кавычках).

Появится диалог КриптоПро с запросом старого PIN-кода для доступа к сертификату, затем еще один диалог для ввода нового PIN-кода. Готово.

1. Удаляем все старые ГОСТовские сертификаты

Если ранее были попытки запустить КЭП под macOS, то необходимо почистить все ранее установленные сертификаты. Данные команды в terminal удалят только сертификаты КриптоПро и не затронут обычные сертификаты из Keychain в macOS.

sudo /opt/cprocsp/bin/certmgr -delete -all -store mroot
sudo /opt/cprocsp/bin/certmgr -delete -all -store uroot
/opt/cprocsp/bin/certmgr -delete -all

В ответе каждой команды должно быть:

No certificate matching the criteria

или

Deleting complete

2. Устанавливаем корневые сертификаты

Корневые сертификаты являются общими для всех КЭП, выданных любым удостоверяющим центром. Скачиваем со страницы загрузок УФО Минкомсвязи:

Устанавливаем командами в terminal:

sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/4BC6DC14D97010C41A26E058AD851F81C842415A.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/8CAE88BBFD404A7A53630864F9033606E1DC45E2.cer
sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f ~/Downloads/0408435EB90E5C8796A160E69E4BFAC453435D1D.cer

Каждая команда должна возвращать:

Installing:

[ErrorCode: 0x00000000]

3. Скачиваем сертификаты удостоверяющего центра

Далее нужно установить сертификаты удостоверяющего центра, в котором вы выпускали КЭП. Обычно корневые сертификаты каждого УЦ находятся на его сайте в разделе загрузок.

4. Устанавливаем сертификат с Рутокен

Команда в terminal:

/opt/cprocsp/bin/csptestf -absorb -certs

Команда должна вернуть:

OK.
[ErrorCode: 0x00000000]

4. Активируем расширения

Запускаем браузер Chromium-Gost и в адресной строке набираем:

chrome://extensions/

Включаем оба установленных расширения:

5. Настраиваем расширение КриптоПро ЭЦП Browser plug-in

В адресной строке Chromium-Gost набираем:

/etc/opt/cprocsp/trusted_sites.html

На появившейся странице в список доверенных узлов по-очереди добавляем сайты:

1. Заходим на тестовую страницу КриптоПро

В адресной строке Chromium-Gost набираем:

3. Заходим на Госуслуги

При авторизации выбираем “Вход с помощью электронной подписи”. В появившемся списке “Выбор сертификата ключа проверки электронной подписи” будут отображены все сертификаты, включая корневые и УЦ, нужно выбрать ваш с usb-токена и ввести PIN.

Как зайти в личный кабинет налогоплательщика на сайте фнс в macos?

В личных кабинетах налогоплательщика есть страницы диагностики настроек электронной подписи.

При выполнении ВСЕХ настроек, описанных выше, невозможно пройти эту диагностику на macOS, но это не значит, что электронная подпись работать не будет. Для входа по электронной подписи нужно перейти по прямой ссылке личных кабинетов и авторизоваться по электронной подписи через браузер Chromium GOST:


При переходе по прямой ссылке Вы увидите запрос на выбор сертификата. Выбираете Ваш сертификат и входите без проблем!

Закономерный результат – успешный вход в личный кабинет (в примере – личный кабинет юридического лица).

Если у Вас не получается выполнить вход в Личный кабинет налогоплательщика –
обратитесь в нашу платную техническую поддержку.

Настройка электронной подписи для портала госуслуг


Если Вы планируете использовать вашу квалифицированную электронную подпись на портале Госуслуг, то кроме вышеуказанных настроек необходимо установить еще плагин портала Госуслуг.

Достаточно хорошая
инструкция по установке этого плагина есть на сайте КриптоПро.

Для настройки плагина Госуслуг на macOS необходимо выполнить простые действия:

На этом настройка плагина Госуслуг окончена – электронная подпись готова к работе на Госуслугах.

Обновление системы безопасности для веб-сайта от компании apple

В этой статье описывается, как проверить надежность соединения браузера с веб-сайтом iCloud.com.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 04 октября 2021 г.

Подпись файлов в macos

В macOS файлы можно подписывать в ПО КриптоАрм (стоимость лицензии 2500= руб.), или несложной командой через terminal – бесплатно.

Проверка установки электронной подписи.

Для проверки настройки электронной подписи можно перейти на
страницу диагностики работы КриптоПро CSP и плагина на сайте разработчика.

При переходе на страницу проверки работы плагина выйдет сообщение (запрос на разрешение запуска плагина), необходимо разрешить запуск плагина кнопкой “ОК”. Такое сообщение Вы будете получать на любой странице, где будете работать с электронной подписью.


Нас странице должна появиться версия установленного плагина. Выбираем наш установленный сертификат и нажимаем “Подписать”.

Если все настроено корректно – Вы увидите результат в качестве данных base64.

Если Вы увидели такой результат – ваш компьютер корректно настроен для работы с подписью. 

Если у Вас не получается корректно настроить macOS для работы с электронной подписью – можете
обратиться в нашу платную техническую поддержку.

Для некоторых ресурсов (например, для Личного кабинета налогоплательщика или Единый реестр участников закупок) требуется особая настройка – защищенного TLS-соединения. Для macOS такое защищенное соединение возможно только в специальном браузере – Chomium GOST.

Смена pin-кода контейнера

Пользовательский PIN-код на Рутокен по-умолчанию 12345678, и оставлять его в таком виде никак нельзя. Требования к PIN-коду Рутокен: 16 символов max., может содержать латинские буквы и цифры.

Установка chromium gost для macos

Компанией КриптоПро был разработан программный продукт – Интернет-браузер, адаптированный под работу с отечественной криптографией. Называется этот браузер
Chromium GOST. Подробнее о браузере можно почитать
на сайте разработчика.

Установка криптопро csp на macos

Установка КриптоПро CSP на сегодняшний день достаточно простая.
На сайте разработчика есть описание установки КриптоПро CSP, мы всего лишь визуализируем ее.


Для установки
скачиваем дистрибутив программы. Распаковываем его и запускаем установщик ru.cryptopro.csp-5.0.ХХХХХХ.pkg.

Следуя шагам мастера установки соглашаемся со всеми сообщениями. Рекомендуем на шаге “Тип установки” установить дополнительные компоненты, которые не отмечены по умолчанию:

  • CPROrdcryptoki – модуль поддержки внешних носителей, работающих с PKCS#11, он находится в разделе Readers/Media. Этот модуль пригодится тем, кто использует такие носители для хранения электронной подписи, как Рутокен ЭЦП 2.0, JaCarta ГОСТ и пр.
  • CPROstnl – универсальный SSL-тунель;

Продолжаем работу мастера до установки КриптоПро CSP на macOS.

Установка криптопро эцп browser plugin


Если Вы планируете работать с квалифицированной электронной подписью на сайтах, то с вероятностью 99,9% потребуется установка плагина для браузера.

Установка личного сертификата в macos

Прежде чем начать работать с вашей квалифицированной электронной подписью, необходимо установить ваш личный сертификат в систему.

Для установки личного сертификата подключите носитель вашей электронной подписи к компьютеру. 

Внимание! В зависимости от модели вашего защищенного носителя, может потребоваться дополнительная установка драйвера в macOS. Для защищенный носителей Рутокен Лайт установка дополнительных драйверов не требуется! Порядок установки драйверов для вашго защищенного носителя – уточните у вашего поставщика порядок установки драйверов для macOS.


Запускаем установленный компонент Инструменты КриптоПро.

В разделе “Контейнеры” выбираем контейнер с вашей электронной подписью и нажимаем кнопку “Установить сертификат”.

После этой процедуры ваша система macOS знает о существовании сертификата и знает на каком защищенном носителе. Можно приступать к работе.


Если Вы не можете справится с установкой личного сертификата – можете обратиться в нашу платную техническую поддержку в чат на сайте или по телефону 7 (342) 2700146. 

Шаг 1: регистрируем website push id

Заходим в свой аккаунт разработчика, и

регистрируем новый Website Push ID:

Шаг 10: запрашиваем токен из js’a


У меня на сайте есть и Firebase (для уведомлений в Chrome) и APNS для уведомлений в safari. Чтобы и то и то работало корректно — делаю проверку (приложение на AngularJS):

Шаг 11: отправка уведомлеиня с бекенда:

Скрипт отправки уведомлений на Safari такой же как и на iOS, просто оставлю его здесь:

Шаг 12: тестирование

Пробуем запускать сайт, разрешаем уведомления, *смотрим или токен сохранился*, и пробуем отправлять.

Пробуйте отправлять с другого браузера, и Safari должен быть закрыт.

Если всё сделали правильно — увидите уведомление! Они красивые, красивее чем из Chrome’a, они выглядят как нативные, и приходят чаще, т.к. у меня и Firebase и Safari то вижу что иногда Safari уведомления есть, а вот из Chrome’a не всегда приходят.

Если вдруг после прочтения статьи остались вопросы или непонимания — пишите, буду по возможности отвечать в комментариях. Буду рад конструктивной критике и замечаниям. На супер продвинутого программиста не претендую, поэтому допускаю что где-то я могу быть не совсем прав. Но по этому алгоритму делал уведомления на 2 своих ресурса и везде они работают.

Шаг 2: запрашиваем сертификат в связке ключей на macos

Заходим в связку ключей, в меню выбираем «Ассистент сертификации» — «Запросить сертификат у бюро сертификации», Вводим свою почту, имя, и выбираем «Сохранен на диске» и выбираем куда сохранить файл.

Шаг 3: генерируем сертификат

Идём снова в аккаунт разработчика,

Шаг 4: экспорт ключа и сертификата

Когда я делал это впервые я потратил около часа времени, пока понял что от меня нужно, а магия простая: надо экспортировать не только сертификат, а и ключ! Для этого его необходимо «раскрыть» и по очереди экспортировать как ключ так и сертификат, правой кнопкой на сертификат и выбираем «Экспортировать» и то же самое для ключа.

Советую сразу назвать сертификат apns-pro-cert и ключ apns-pro-key, это для того чтобы в следующем шаге просто копировать команды и не переписывать имена файлов на свои. Так же при экспорте укажите пароли, и запомните, при конвертации нужно будет их вводить.

Шаг 5: конвертация сертификата в p12

Нашел очень

по которой делал конвертацию сертификата в

pem

формат из

p12

(который нужен как для отправки уведомлений, так и для генерации файлов (будет далее)). Нам необходима «Production Phase». Продублирую код тут, а то я попадал на много статей где были указаны ссылки а они оказывались битые.

Шаг 6: закидываем сертификаты на сайт


Лучше положить их выше папки докрута чтобы к ним не было доступа из веба, нам из всего полученного нужны будут только 2 файла это: apns-pro.pem — для отправки уведомлений, и apns-pro-cert.p12 для генерации пакета для уведомлений (будет далее).

Шаг 7: подготавливаем ресурсы

Чтобы браузер разрешил вам получать запросы от вашего сайта необходимо создать правильный пакет файлов, который будет включать в себя иконки, manifest.json, signature, website.json, при первом запросе на уведомления браузер загружает это всё к себе и хранит локально. Для этого делаем такую структуру, кладём это всё в корень нашего сайта.

Уточнение: В файле website.json «urlFormatString»: «awery.workreports.pro/#/app/%@», это ссылка по которой будет переходить пользователь кликая на уведомление, %@ это url-argument который можно будет передавать чтобы пользователь по разным типам уведомлений переходил по разным путям.

Шаг 8: генерация архива

Чтобы получить правильные файлы manifest.json и signature необходимо воспользоваться файлом генерации от Apple. Я его немного подправил, удалил лишнего чуть, этот работает как надо.

Некоторое время назад у них что-то произошло с сертификатом, и для подписи нужно взять их сертификат и подписывать с помощью него: AppleWWDRCA.cer
В коде подписал «Update 2021» чтобы было понятно где менять

Шаг 9: делаем папку v1 (или настраиваем роутинг)


Я делал папку v1, в которую положил нужные файлы, архив, который мы сгенерировали в предыдущем шаге, и файлик index.php для обработки запросов. Необходимо чтобы сайт отвечал на такие запросы:

/v1/pushPackages/{website} должен отдавать архив в ответ/v1/devices/{device}/registrations/{website} для регистрации и удаления (GET/POST — DELETE)/v1/log для логирования ошибок

На самом деле нужно сделать рабочим только роут который отдаёт архив в ответ, остальные могут просто отдавать 200 статус, без особой обработки, но можно (и желательно) сделать всё как надо. По роуту /v1/devices/{device}/registrations/{website} в device будет передаваться токен а в website ваш зарегистрированный ID (в моем случае это com.pro.workreports.awery)

По роуту /v1/log вам будут приходить ошибки, если вдруг что-то не так. Мне это в первые разы очень помогало, понимал что я не доделал и чинил это.

Про сертификаты:  Тәрбиешілер мен Ұстаздарға Тегін Сертификат алу мүмкіндігі.
Оцените статью
Мой сертификат
Добавить комментарий