Page tree
Skip to end of metadata
Go to start of metadata

Введение

Данная инструкция описывает процесс настройки встроенных приложений Mac OS (Mail, Safari, Key Chain и пр.) для работы в связке с Рутокен ЭЦП.

Стенд

  • Mac OS X 10.8.3
  • Рутокен ЭЦП

Генерация ключей

В случае, если имеется возможность, для получения сертификата необходимо обратиться к администратору вашей сети. 

Если такой возможности нет, то его можно создать самостоятельно следующими действиями:

1. Создадим CA

$ /usr/bin/openssl req -out ca.pem -new -x509

2. Создадим ключевую пару на токене:

$ pkcs11-tool --module /usr/lib/librtpkcs11ecp.so --keypairgen --key-type rsa:1024 -l --id 49 --label "I"

pkcs11-tool входит в состав пакета OpenSC

3.Создадим запрос на сертификат:

$ /usr/bin/openssl
openssl> engine dynamic -pre SO_PATH:/Library/OpenSC/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/librtpkcs11ecp.so
openssl> req -engine pkcs11 -keyform engine -key 49 -new -text -out newcert.csr -subj "/O=abc/O=users/O=abc/CN=Eugene Mironenko"

4. Создадим файл с расширением v3, где заполнена секция keyUsage:

$ echo "authorityKeyIdentifier=keyid,issuer">v3.ext
$ echo "basicConstraints=CA:FALSE">>v3.ext
$ echo "keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment">>v3.ext

и файл серийного номера

$ echo "00">file.srl

5. С помощью CA выпишем сертификат по запросу:

$ /usr/bin/openssl x509 -days 365 -req -in newcert.csr -extfile v3.ext -CA CA.pem -CAkey privkey.pem -CAserial file.srl -out cert.pem

6. Конвертируем сертификат:

$ /usr/bin/openssl x509 -in cert.pem -outform der -out cert.der

7. Записываем сертификат на токен:

$ pkcs11-tool --module  /usr/lib/librtpkcs11ecp.so -w cert.der --type cert --login --label "I" --id 49

Если при выполнении данной команды у вас возникает ошибка "pkcs11-tool: command not found", то вам необходимо установить свободно распространяемые библиотеки по ссылке https://www.opensc-project.org/files/macosx/.

8.Извлекаем токен и подключаем снова перед просмотром в Key Chain.

Настройка связки ключей (Key Chain)

  1. Скачиваем и устанавливаем плагин модуль поддержки связки ключей (для Рутокен ЭЦП и Рутокен Лайт) или драйвер для Mac (для Рутокен S) по ссылке: http://www.rutoken.ru/support/download/drivers-for-mac/
  2. Перезагружаем систему. Переподключаем токен, если он уже был подключен ранее.
  3. Проверяем, определяется ли токен в Key Сhain.
    Открываем Key Сhain (Applications -> Utilities -> Keychain Access.app / Программы -> Утилиты -> Связка ключей), подключаем Рутокен, некоторое время ждем. Должна появиться новая связка ключей. В поле справа можно будет увидеть сертификаты и ключи на токен.

Настройка почтового клиента Mail

Чтобы подписывать сообщения в Mail, e-mail в сертификате должен совпадать с e-mail вашего аккаунта.

  1. Если в Key Chain имеется сертификат, соответствующий вашему аккаунту (см. Настройка связки ключей (Key Chain), то в окне создания сообщения появятся 2 новые кнопки:
  2. Галочка означает, что сообщение будет подписано. После того как Вы нажмете «Отправить», будет запрошен PIN-код Рутокен.

Настройка почтового клиента Microsoft Outlook Mac 2011

  1. В меню Outlook нажимаем кнопку «Параметры».
  2. В появившемся окне выбираем «Учетные записи».

    Нажимаем кнопку «Дополнительно».


    Далее выбираем вкладку «Безопасность».

  3. Выбираем нужный сертификат. Алгоритм подписи выбираем SHA-1.


    Нажимаем «ОК»

  4. При отправке сообщения переходим на вкладку «Параметры»:
  5. И далее выбираем «Безопасность»

  6. В выпадающем списке выбираем «Добавить к сообщению цифровую подпись»

  7. Теперь после нажатия кнопки «Отправить» будет запрошен PIN-код Рутокен, и после его ввода сообщение будет подписано.
  • No labels