Идеалното работно място
Feb 15

Електронен подпис под Mac

How-to Add comments

За ползите от електронния подпис все още се спори. Аз самият активно ползвам УЕП за работа с банката, ePay и от време на време с НАП.

Добрата новина е, че Mac OS X има вградена поддръжка на смарт карти наречена Tokend, чрез който електронния ти подпис се появява в Keychain. По този начин всички стандартни Mac приложения като Safari и Mail могат да подписват.

Лошата новина е, че за целта Apple използват преработена версия на опенсорс библиотеката PCSC-Lite, което създава доста проблеми. Тук се намесва OpenSC, чиято Mac OS версия надгражда вградените възможности и преодолява част от бъговете епълски.

Какво ти трябва:

  1. Универсален електронен подпис. Издава се от регистриран в КРС доставчик. Горещо препоръчвам InfoNotary - там работят истински geeks, които винаги намират начин да помогнат на бедните Mac юзери. Другите доставчици изглежда не поддръжат любимата ОС.
  2. Смарт карта. Носител на публичния и частния ключ. Получаваш я от доставчика. В случая с InfoNotary - техните карти доказано работят с Mac.
  3. Карточетящо устройство. Повечето устройства, предлагани от InfoNotary поддържат Mac. Аз лично предпочитам USB Dongle на Omnikey - CardMan 6121.

Инсталация.

  1. Сложи картата в четеца и ги включи в Mac-а.
  2. Стартирай /usr/bin/pcsctest. Би трябвало да открие четеца и да те попита за номер на карта. Отговори с 1 (едно). В резултат ще получиш информация за смарт картата. Ако pcsctest изреве с грешка, нещо не си направил като хората. В този случай си прочети отново документацията на устройството или звъни на InfoNotary.
  3. Инсталирай SCA. Внимавай, версия 0.2.2 работи само с Tiger. Юзерите с Leopard (като мен) трябва да използват експерименталната версия 0.2.3pre2 или по-нова, заради бъг в PCSC-Lite имплементацията.
  4. Отвори с любимия си текстов редактор /Library/OpenSC/etc/opensc.conf. Там търси num_slots. Оригиналната сойност е 4 (четири). Промени я на 1 (едно). Така си спестяваш излишни въпроси за Secondary Authentication PIN при всяка употреба на картата, защото InfoNotary не инсталират такъв.
  5. На този етап ако отвориш Keychain Access би трябвало да имаш InfoNotary сред другите (login, System, System roots, etc.) keychains. За работа със Safari и Mail това е достатъчно, но очаквай проблеми.
  6. Ако решиш да ме послушаш инсталирай сертификата си в Mozilla Firefox, за целта:
  • инсталирай актуалната удостоверителна верига на InfoNotary;
  • избери ниво на доверие за различните сертификати както следва: InfoNotary CSP Root - маркирай всичко; за i-Notary TrustPath Validated E-mail CA, i-Notary Personal Q Sign CA и i-Notary Company Q Sign CA - отметка на “This certificate can identify mail users”; а на i-Notary TrustPath Validated Domain CA - “This certificate can identify web sites”.
  • стартирай този скрипт. Като получиш потвърждение, че библиотеката е инсталирана направи проверка, че работи.

Ако срещнеш някакви проблеми по трасето потърси помощ от InfoNotary.

14 Responses to “Електронен подпис под Mac”

  1. Ethereal Says:
    March 27th, 2008 at 3:28 pm

    Благодаря за изключително полезната информация…
    Дали има начин да се свържа с Вас, много бих искал да обменим малко опит по точи въпрос… За съжаление никъде в блога не намерих ваши контакти…

  2. Мирослав Базитов Says:
    June 26th, 2008 at 1:15 pm

    Супер - успях да стигна да инсталирам във Firefox нещата.

    Не успявам обаче да инсталирам root сертификата на infonotary, който се намира в папка certificates (от CD-то). В keychain предполагам се дърпа заради празната парола, а под Firefox (3), издава друга грешка.

    Някакви предположения или съвети?

  3. Никинтош Says:
    June 26th, 2008 at 3:31 pm

    Каква грешка дава Firefox?

  4. Мирослав Базитов Says:
    June 26th, 2008 at 4:11 pm

    Firefox 3 казва:
    - Failed to restore the PKCS #12 file for unknown reasons

  5. Мирослав Базитов Says:
    June 26th, 2008 at 4:22 pm

    Когато се опитам да import-на файла INotaryCertChain.p12

    Firefox 3:
    - Failed to restore the PKCS #12 file for unknown reasons.

  6. Кирил Стоянов Says:
    June 26th, 2008 at 7:02 pm

    При мен, във Firefox 3 успях да инсталирам цялата верига (.p12) без проблем, но в Keychain ги импортнах един по един. Би могъл да използваш този метод за Firefox. INotaryCertChain.p12 на практика съдържа 14-те отделни сертификата. Въпреки успешната инсталация на базовите сертификати и появяването на нов Keychain (с персоналния сертификат и ключ), така и не успявам да вляза в epay през Safari. След въвеждането на името и паролата, увисва за кратко (със статус contacting http://www.epay.bg) и след това изписва съобщение от рода на “Could not establish secure connection”. Ако опитам да асоциирам персоналния сертификат с https://www.epay.bg, опита за отваряне дори на началната страница е неуспешен, а Keychain Access-a забива. С Firefox работи нормално. Ще се радвам да споделите вашия опит.

  7. Мирослав Базитов Says:
    June 27th, 2008 at 2:01 am

    Ето ме отново посред нощите :(

    Грешката във Firefox, беше поради наличието на сертификат инсталиран при предната версия - явно след upgrade на Firefox към 3та версия се получава такъв проблем.

    За всеки случай махнах целия Firefox (и user data папката) и започнах стъпките от начало.
    До 5та точка всичко е по конец, стигаме 6та точка - зареждаме модула за firefox - успешно - започва да ми иска PIN - въвеждам - в “Your certificates” има сертификат с моето име.
    Пробвам с тестовата страница - дали всичко е инсталирано - и натискам “Sign” - иска PIN - въвеждам, иска PIN - въвеждам, иска PIN - въвеждам - след третия път дава:
    error:noMatchingCert

    Сега започвам да добавям ръчно един по един сертификатите от CD-то. След всеки нов добавен (карам ги по азбучен ред, както са подредени) ми иска PIN-код въвеждам - всичко ок и така всичките.

    После пак се връщам на страницата за проверка дали всичко е ОК, но грешката след като 3 пъти въведа PIN e error:noMatchingCert

    Проверявам аз какво става в Preferences -> advanced -> Security devices.
    Там на второ място виждам “Open SC PKCS#11module” и на първия слот - InfoNotary (PIN) - изглежда ми ОК.
    Кликвам на InfoNotary (PIN) - Status Not Logged in => Кликвам “Log in” => Иска PIN -> дава грешка “Failed Login” (title-a на dialogbox-a e [JavaScript Application] -> Clickam ОК, ноо пак не съм Logged in (май е нормално :P).

    Пробвам се да сменя и Master Password (каквото и да е това), но не става.

    Вие сте на ход - всяка помощ ще бъде оценена, все пак пак стана 02:00 :(

  8. Никинтош Says:
    June 29th, 2008 at 2:20 am

    Според мен без помощ от хакерите в Датамакс няма да се мине. Що не им пишеш?

  9. Мирослав Базитов Says:
    June 29th, 2008 at 8:42 pm

    Писах им - на InfoNotary. Те изпратиха указание, как да се инсталира под Mac OS, (което не са го качили още на сайта).

    Успях сам да се справя:
    cd /Library/OpenSC/bin/
    sudo ./pkcs15-tool -u

    Зарових се в тооловете на OpenSC, като цяло не искаше да ме “Log in”-ва защото не е разблокиран PIN-а, т.е. след като изпълните горните команди ще ви пита за PUK (АИН) и след това ще ви пита да си зададете нов PIN.

    Това е.

  10. Dreamer4o Says:
    September 11th, 2008 at 12:06 am

    Temata e dosta interesna
    i iskam da popitam dali ste opitvali da podkarate podpisa si na http://www.brra.bg i ako imate uspeh kakvo sledva da se napravi.

    Blagodaria

  11. Ники Says:
    September 14th, 2008 at 11:14 am

    Dreamer4o, опитвал съм и не върши работа. Можеш да се ровичкаш в read-only режим, тъй като за подписване на декларациите ти трябва някаква ActiveX контрола, което автоматично те задължава да си с Windows.

  12. Dreamer4o Says:
    September 16th, 2008 at 2:05 am

    Ot kde stava yasno che stava duma za ActiveX i kak go ustanovi tova, ako e taka to togava sayta e izcialo v narushenie na mnojestvo zakoni. Bi li Mi obiasnil ot kade stava vidno tova i kak da go dokaja che im e greshka?

    Blagodaria ti predvaritelno.

    p.s. kakvo mislish otnosno koemntarite po tazi tema na adres: http://www.apple-bg.com/forums/viewtopic.php?t=4938

    molia te day mnenie

  13. Ники Says:
    September 27th, 2008 at 4:53 am

    Dreamer4o,

    Когато опиташ да подпишеш документ на https://inetdec.nra.bg/, получаваш следното съобщение за грешка:

    “Обектът за подписване не може да бъде зареден.

    Възможни причини за това са:
    1. Не са инсталирани базовите сертификати на StampIT;
    2. Нямате административни права на локалната машина;
    3. Отказали сте инсталирането на ActiveX контролата;
    4. Настройките на браузъра не позволяват използване на ActiveX контроли.”

  14. Ивайло Атанасов Says:
    October 27th, 2008 at 11:30 am

    Привет,

    Чудех се дали може да се подкара електронен подпис през ExpressCard 34 интерфейса? От скоро съм щастлив собственик на unibody MBP, а същевременно имам електронен подпис, който използвам през мобилния си телефон със CertGate (http://certgate.com). При използването на USB SD card reader всичко е ОК, но ми се ще да експериментирам с ExpressCard 34 SD reader и CertGate …

Leave a Reply

HomeHome Entries RSSEntry RSS Comments RSSComments RSS