Електронен подпис под Mac
Актуализация: ИнфоНотари са направили много читав гайд за инсталиране на четеца под Mac OS и конфигурация на Firefox за работа с техните сертификати. Горещо препоръчвам да следвате тяхното ръководство, тъй като го поддържат актуално.
За ползите от електронния подпис все още се спори. Аз самият активно ползвам УЕП за работа с банката, ePay и от време на време с НАП.
Добрата новина е, че Mac OS X има вградена поддръжка на смарт карти наречена Tokend, чрез който електронния ти подпис се появява в Keychain. По този начин всички стандартни Mac приложения като Safari и Mail могат да подписват.
Лошата новина е, че за целта Apple използват преработена версия на опенсорс библиотеката PCSC-Lite, което създава доста проблеми. Тук се намесва OpenSC, чиято Mac OS версия надгражда вградените възможности и преодолява част от бъговете епълски.
Какво ти трябва:
- Универсален електронен подпис. Издава се от регистриран в КРС доставчик. Горещо препоръчвам InfoNotary – там работят истински geeks, които винаги намират начин да помогнат на бедните Mac юзери. Другите доставчици изглежда не поддръжат любимата ОС.
- Смарт карта. Носител на публичния и частния ключ. Получаваш я от доставчика. В случая с InfoNotary – техните карти доказано работят с Mac.
- Карточетящо устройство. Повечето устройства, предлагани от InfoNotary поддържат Mac. Аз лично предпочитам USB Dongle на Omnikey – CardMan 6121.
Инсталация.
- Сложи картата в четеца и ги включи в Mac-а.
- Стартирай /usr/bin/pcsctest. Би трябвало да открие четеца и да те попита за номер на карта. Отговори с 1 (едно). В резултат ще получиш информация за смарт картата. Ако pcsctest изреве с грешка, нещо не си направил като хората. В този случай си прочети отново документацията на устройството или звъни на InfoNotary.
- Инсталирай SCA.
- Отвори с любимия си текстов редактор /Library/OpenSC/etc/opensc.conf. Там търси num_slots. Оригиналната сойност е 4 (четири). Промени я на 1 (едно). Така си спестяваш излишни въпроси за Secondary Authentication PIN при всяка употреба на картата, защото InfoNotary не инсталират такъв.
- На този етап ако отвориш Keychain Access би трябвало да имаш InfoNotary сред другите (login, System, System roots, etc.) keychains. За работа със Safari и Mail това е достатъчно, но очаквай проблеми.
- Ако решиш да ме послушаш инсталирай сертификата си в Mozilla Firefox, за целта:
- инсталирай актуалната удостоверителна верига на InfoNotary;
- избери ниво на доверие за различните сертификати както следва: InfoNotary CSP Root – маркирай всичко; за i-Notary TrustPath Validated E-mail CA, i-Notary Personal Q Sign CA и i-Notary Company Q Sign CA – отметка на „This certificate can identify mail users“; а на i-Notary TrustPath Validated Domain CA – „This certificate can identify web sites“.
- стартирай този скрипт. Като получиш потвърждение, че библиотеката е инсталирана направи проверка, че работи.
Ако срещнеш някакви проблеми по трасето потърси помощ от InfoNotary.
март 27th, 2008 at 3:28 pm
Благодаря за изключително полезната информация…
Дали има начин да се свържа с Вас, много бих искал да обменим малко опит по точи въпрос… За съжаление никъде в блога не намерих ваши контакти…
юни 26th, 2008 at 1:15 pm
Супер – успях да стигна да инсталирам във Firefox нещата.
Не успявам обаче да инсталирам root сертификата на infonotary, който се намира в папка certificates (от CD-то). В keychain предполагам се дърпа заради празната парола, а под Firefox (3), издава друга грешка.
Някакви предположения или съвети?
юни 26th, 2008 at 3:31 pm
Каква грешка дава Firefox?
юни 26th, 2008 at 4:11 pm
Firefox 3 казва:
- Failed to restore the PKCS #12 file for unknown reasons
юни 26th, 2008 at 4:22 pm
Когато се опитам да import-на файла INotaryCertChain.p12
Firefox 3:
- Failed to restore the PKCS #12 file for unknown reasons.
юни 26th, 2008 at 7:02 pm
При мен, във Firefox 3 успях да инсталирам цялата верига (.p12) без проблем, но в Keychain ги импортнах един по един. Би могъл да използваш този метод за Firefox. INotaryCertChain.p12 на практика съдържа 14-те отделни сертификата. Въпреки успешната инсталация на базовите сертификати и появяването на нов Keychain (с персоналния сертификат и ключ), така и не успявам да вляза в epay през Safari. След въвеждането на името и паролата, увисва за кратко (със статус contacting http://www.epay.bg) и след това изписва съобщение от рода на „Could not establish secure connection“. Ако опитам да асоциирам персоналния сертификат с https://www.epay.bg, опита за отваряне дори на началната страница е неуспешен, а Keychain Access-a забива. С Firefox работи нормално. Ще се радвам да споделите вашия опит.
юни 27th, 2008 at 2:01 am
Ето ме отново посред нощите
Грешката във Firefox, беше поради наличието на сертификат инсталиран при предната версия – явно след upgrade на Firefox към 3та версия се получава такъв проблем.
За всеки случай махнах целия Firefox (и user data папката) и започнах стъпките от начало.
До 5та точка всичко е по конец, стигаме 6та точка – зареждаме модула за firefox – успешно – започва да ми иска PIN – въвеждам – в „Your certificates“ има сертификат с моето име.
Пробвам с тестовата страница – дали всичко е инсталирано – и натискам „Sign“ – иска PIN – въвеждам, иска PIN – въвеждам, иска PIN – въвеждам – след третия път дава:
error:noMatchingCert
Сега започвам да добавям ръчно един по един сертификатите от CD-то. След всеки нов добавен (карам ги по азбучен ред, както са подредени) ми иска PIN-код въвеждам – всичко ок и така всичките.
После пак се връщам на страницата за проверка дали всичко е ОК, но грешката след като 3 пъти въведа PIN e error:noMatchingCert
Проверявам аз какво става в Preferences -> advanced -> Security devices.
).
Там на второ място виждам „Open SC PKCS#11module“ и на първия слот – InfoNotary (PIN) – изглежда ми ОК.
Кликвам на InfoNotary (PIN) – Status Not Logged in => Кликвам „Log in“ => Иска PIN -> дава грешка „Failed Login“ (title-a на dialogbox-a e [JavaScript Application] -> Clickam ОК, ноо пак не съм Logged in (май е нормално
Пробвам се да сменя и Master Password (каквото и да е това), но не става.
Вие сте на ход – всяка помощ ще бъде оценена, все пак пак стана 02:00
юни 29th, 2008 at 2:20 am
Според мен без помощ от хакерите в Датамакс няма да се мине. Що не им пишеш?
юни 29th, 2008 at 8:42 pm
Писах им – на InfoNotary. Те изпратиха указание, как да се инсталира под Mac OS, (което не са го качили още на сайта).
Успях сам да се справя:
cd /Library/OpenSC/bin/
sudo ./pkcs15-tool -u
Зарових се в тооловете на OpenSC, като цяло не искаше да ме „Log in“-ва защото не е разблокиран PIN-а, т.е. след като изпълните горните команди ще ви пита за PUK (АИН) и след това ще ви пита да си зададете нов PIN.
Това е.
септември 11th, 2008 at 12:06 am
Temata e dosta interesna
i iskam da popitam dali ste opitvali da podkarate podpisa si na http://www.brra.bg i ako imate uspeh kakvo sledva da se napravi.
Blagodaria
септември 14th, 2008 at 11:14 am
Dreamer4o, опитвал съм и не върши работа. Можеш да се ровичкаш в read-only режим, тъй като за подписване на декларациите ти трябва някаква ActiveX контрола, което автоматично те задължава да си с Windows.
септември 16th, 2008 at 2:05 am
Ot kde stava yasno che stava duma za ActiveX i kak go ustanovi tova, ako e taka to togava sayta e izcialo v narushenie na mnojestvo zakoni. Bi li Mi obiasnil ot kade stava vidno tova i kak da go dokaja che im e greshka?
Blagodaria ti predvaritelno.
p.s. kakvo mislish otnosno koemntarite po tazi tema na adres: http://www.apple-bg.com/forums/viewtopic.php?t=4938
molia te day mnenie
септември 27th, 2008 at 4:53 am
Dreamer4o,
Когато опиташ да подпишеш документ на https://inetdec.nra.bg/, получаваш следното съобщение за грешка:
„Обектът за подписване не може да бъде зареден.
Възможни причини за това са:
1. Не са инсталирани базовите сертификати на StampIT;
2. Нямате административни права на локалната машина;
3. Отказали сте инсталирането на ActiveX контролата;
4. Настройките на браузъра не позволяват използване на ActiveX контроли.“
октомври 27th, 2008 at 11:30 am
Привет,
Чудех се дали може да се подкара електронен подпис през ExpressCard 34 интерфейса? От скоро съм щастлив собственик на unibody MBP, а същевременно имам електронен подпис, който използвам през мобилния си телефон със CertGate (http://certgate.com). При използването на USB SD card reader всичко е ОК, но ми се ще да експериментирам с ExpressCard 34 SD reader и CertGate …
януари 6th, 2009 at 1:36 pm
Здравей,
След дълги мъки успях да го подкарам, но неможах да разбера това:
избери ниво на доверие за различните сертификати както следва: InfoNotary CSP Root – маркирай всичко; за i-Notary TrustPath Validated E-mail CA, i-Notary Personal Q Sign CA и i-Notary Company Q Sign CA – отметка на “This certificate can identify mail users”; а на i-Notary TrustPath Validated Domain CA – “This certificate can identify web sites”.
от къде се прави ?
–
Поздрави, Тихомил Кулев!
януари 15th, 2009 at 2:54 am
@Тихомил: сори за късния отговор, но трябваше да подкарам Firefox, за да си спомня къде се правеше.
Значи, отиваш в Preferences -> Advanced -> Encryption -> View Certificates -> Authorities. Там избираш съответния сертификат и натискаш бутон Edit. Там избираш trust settings на всеки сертификат – дали ще му вярваш за уеб, за имейл и/или за софтуер.
април 28th, 2009 at 1:03 pm
Едно голямо благодаря!
Всичко тръгна от раз!
юни 16th, 2009 at 9:45 am
Само да докладвам за 1 бъг – с Firefox 3.5 не работи скрипта за регистриране на картата нещо…
юли 15th, 2009 at 2:18 am
Мога да потвърдя, че регистрацията на PKCS#11 модула във Firefox 3.5 не работи. Нито чрез скритпа, нито ръчно.
Докато юнаците от ИнфоНотари/OpenSC Project не излязат с решение, ще се наложи да инсталираш модула за картите под Firefox 3.0.x, след което безгрижно се ъпгрейдни до Firefox 3.5.
Досадно, но работи.
юли 28th, 2009 at 1:04 pm
Минах през всички стъпки, сертификата се появява в key chain-a, но когато отворя сайта на Първа инвестиционна банка със Safari излиза съобщение за грешка че нямам електронен подпис. Ако пък инсталирам plug-in-a за Firefox, firefox-a спира да зарежда страници, зарежда ги до половина или без css, не събмитва форми. Като цяло се наложи да си сложа VMWare и да си инсталирам Windows на виртуална машина.
юли 28th, 2009 at 1:48 pm
Доволно.. много доволно. След малко борба тръгна и баца
Мерси Ники
юли 29th, 2009 at 12:59 am
Успях да го подкарам директно под 3.5. Методът е описан на https://developer.mozilla.org/en/PKCS11_Module_Installation. Какви ли не полезни неща имало в Release Notes на Firefox 3.5
На кратко:
1) От Preferences избираме „Advanced“ > „Encryption“ > „Security Devices“
2) Натискаме бутон „Load“
3) В полето „Module Name“ пишем произволен текст напр. „OpenSC PKCS#11 module“
4) В полето „Module filename“ пишем или избираме с бутона „browse“ пътя до OpenSC библиотеката – „/Library/OpenSC/lib/opensc-pkcs11.so“
5) Натискаме бутон „Ok“ и сме готови
август 10th, 2009 at 4:25 pm
Съвсем мистериозно – както си работеше – така и спря… минах през всички стъпки отново, но нищо не се промени… дали защото сложих 3.5.2.. някой с такъв проблем ?
септември 3rd, 2009 at 2:56 pm
Ники, искам да ти благодаря пак за товачка ти писание
. За втори път минавам по него за да си подкарам подписа. И да потвърдя, че работи под FF 3.5.2 и Snow Leopard.
Ако имаш възможността, поднови връзките към SCA (даже мисля, че би било добре да я насочиш направо тук – http://www.opensc-project.org/sca/), има нов пакет.
януари 16th, 2010 at 10:19 pm
Искам да попитам успяхте ли да използвате електронния подпис в
http://www.brra.bg.
С Mac Os 10.6.2 ,Firefox и електронен подпис съм
Подписвам документи за НОИ,НАП,но в Търговския регистър не става.
Моля,ако някой е успял да сподели.
юли 12th, 2010 at 5:30 pm
Инсталирах последния модел OpenSC със сертификатите на Infonotary : във Firefox всичко си работи и дори успях да ги регистрирам в ePay. Но в Keychain access нищичко не се повявява. Къде бъркам ?
юли 15th, 2010 at 12:55 am
Жото, OpenSC все още е 32 битово приложение, докато Tokend в Snow Leopard (с който предполагам си) е 64-битов, в резултат на което двете просто не се разбират. Докато не излезе 64 битова версия на SCA ще трябва да се задоволим само с продуктите на Mozilla
юли 30th, 2010 at 9:52 pm
Миналата година сертификата се виждаше в Keychain-а, но сега го няма никакъв. Пробвах да пусна Keychain-а като 32 битово приложение, но няма никакъв резултат
, а иначе ползвам тестовата версия sca-0.3.0-pre3.dmg – с другите незнам защо, но не върви. Между впрочем когато сертификата се виждаше като отделна верига, можех да го използвам с Apple Mail. А колкото за сайтовете – само в Алианца успях да вляза, но до там 
, явно повечето са правени само за Windows-ка платформа.
юли 31st, 2010 at 4:49 am
Валерия, сертификатът ти преди се е виждал в Keychain, защото си била с Leopard. Както по-горе вече споменах, засега SCA има ограничена поддръжка само на Snow Leopard само за продуктите на Mozilla.
Проблемът не е (само) в Keychain, а (и) в 64 битовия Tokend, който не може да проговри с 32-битовия SCA.
УЕП-ът ти работи само с sca-0.3.0-pre3, защото версия 0.3 въвежда първоначална (въпреки, че е ограничена) поддръжка на Snow Leopard. Старите версии, логично, въобще не работят под 10.6.
За да тръгнат всички стандартни Mac апликации, които ползват Keychain/Tokend – Safari, Mail, Chrome и пр. трябва SCA да се сдобие с 64-битова версия, което се надявам да се случи скоро.
Що се отнася до изискването за Windows по сайтовете, аз не мога да се преборя единствено с НАП. Иначе ползвам ПИБ, Райфайзен и ePay под Mac OS 10.6 с УЕП-а безгрижно.