Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Пытаюсь установить рутокен lite в Big Sur согласно инструкциям:

https://dev.rutoken.ru/pages/viewpage.a … d=72451422
https://dev.rutoken.ru/pages/viewpage.a … d=72451753

Устройство определяется

pcsctest

MUSCLE PC/SC Lite Test Program

Testing SCardEstablishContext    : Command successful.
Testing SCardGetStatusChange
Please insert a working reader   : Command successful.
Testing SCardListReaders         : Command successful.
Reader 01: Aktiv Rutoken lite
Enter the reader number          : 1
Waiting for card insertion
                                 : Command successful.
Testing SCardConnect             : Command successful.
Testing SCardStatus              : Command successful.
Current Reader Name              : Aktiv Rutoken lite
Current Reader State             : 0x54
Current Reader Protocol          : 0x1
Current Reader ATR Size          : 15 (0xf)
Current Reader ATR Value         : 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2
Testing SCardDisconnect          : Command successful.
Testing SCardReleaseContext      : Command successful.
Testing SCardEstablishContext    : Command successful.
Testing SCardGetStatusChange
Please insert a working reader   : Command successful.
Testing SCardListReaders         : Command successful.
Reader 01: Aktiv Rutoken lite
Enter the reader number          : 1
Waiting for card insertion
                                 : Command successful.
Testing SCardConnect             : Command successful.
Testing SCardStatus              : Command successful.
Current Reader Name              : Aktiv Rutoken lite
Current Reader State             : 0x54
Current Reader Protocol          : 0x1
Current Reader ATR Size          : 15 (0xf)
Current Reader ATR Value         : 3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2
Testing SCardDisconnect          : Command successful.
Testing SCardReleaseContext      : Command successful.

PC/SC Test Completed Successfully !

Даже попап от связки ключей появляется, что токен подключен.

Однако команда sc_auth identities не возвращает ничего.

Команды pkcs11-tool также не работают, т. к. не могут загрузить dylib:

pkcs11-tool --module /usr/local/lib/librtpkcs11ecp.dylib -T
sc_dlopen failed: dlopen(/usr/local/lib/librtpkcs11ecp.dylib, 1): no suitable image found.  Did find:
    /usr/local/lib/librtpkcs11ecp.dylib: code signature in (/usr/local/lib/librtpkcs11ecp.dylib) not valid for use in process using Library Validation: mapping process and mapped file (non-platform) have different Team IDs
error: Failed to load pkcs11 module
Aborting.
pkcs11-tool --module /Library/Aktiv\ Co/Rutoken\ ECP/lib/librtpkcs11ecp.dylib -T
sc_dlopen failed: dlopen(/Library/Aktiv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib, 1): no suitable image found.  Did find:
    /Library/Aktiv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib: code signature in (/Library/Aktiv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib) not valid for use in process using Library Validation: mapping process and mapped file (non-platform) have different Team IDs
error: Failed to load pkcs11 module
Aborting.

Судя по всему, какой-то косяк с подписями библиотеки, и в интернете ни у кого этой проблемы якобы нет. Что можно сделать? Инструкция не предлагает никаких вариантов.

Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Здравствуйте, nyasnov.
Вы пытаетесь применить инструкцию по настройке Рутокен ЭЦП для настройки носителя Рутокен lite, вам нужно пользоваться руководством: "Работа с Рутокен Lite в операционных системах macOS"
Судя по отчету команды "pcsctest" ваш носитель настроен и готов к работе.
Уточните, пожалуйста, какая перед вами стоит цель?

Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Да, я пользуюсь этой инструкцией и хочу для начала сменить пароль командой

pkcs11-tool --module {A} --login --pin {B} --change-pin --new-pin {C}

Но не получается по вышеописанным причинам.

Цель — работа в личном кабинете ИП.
При проверке наличия возможности использования ЭП сайт сообщает следующее:
[OK] Установлен и настроен плагин для браузера «КриптоПро ЭЦП Browser plug-in» версии 2.0.12438 и выше.
[OK] Установлен криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001, ГОСТ 28147-89, ГОСТ Р 34.11-2012 (например, сертифицированная версия КриптоПро CSP 4.0 R3)
[не OK] В хранилище сертификатов «Личные» установлен КСКПЭП, выданный индивидуальному предпринимателю удостоверяющим центром.
Получите и установите личный сертификат индивидуального предпринимателя.
Убедитесь, что КСКПЭП не просрочен и установлен в хранилище сертификатов «Личные». Рекомендуем вручную проверить доступ к сертификату в хранилице «Личные». Для этого выберите Пуск - Выполнить, ввести «certmgr.msc» и нажать Enter. В левой части открывшегося окна выберите папку «Личные»- «Реестр» -«Сертификаты». В правой части в списке должен находиться личный сертификат (см. п.«Как проверить установку сертификатов?» в «Руководство по установке и настройке программного обеспечения для работы с электронной подписью»)

Из чего делаю вывод, что система не может найти сертификат, а ошибки с загрузкой dylib намекают, что какие-то проблемы с токеном.

Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

nyasnov, чтобы работать с Рутокен Lite и КриптоПро CSP, библиотека PKCS11 не нужна.

Чтобы установить в личное хранилище сертификат, откройте Терминал и выполните команды:
1) Просмотр и установка сертификатов с носителя ключа в хранилище "Личные"( My ):

/opt/cprocsp/bin/csptestf -absorb -certs

2) Установить сертификат из файла в хранилище личные (MY):

/opt/cprocsp/bin/certmgr -inst -store my -f ~/downloads/name.cer

Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

Павел Анфимов пишет:

nyasnov, чтобы работать с Рутокен Lite и КриптоПро CSP, библиотека PKCS11 не нужна.

Чтобы установить в личное хранилище сертификат, откройте Терминал и выполните команды:
1) Просмотр и установка сертификатов с носителя ключа в хранилище "Личные"( My ):

/opt/cprocsp/bin/csptestf -absorb -certs

2) Установить сертификат из файла в хранилище личные (MY):

/opt/cprocsp/bin/certmgr -inst -store my -f ~/downloads/name.cer

Спасибо, заработало. Однако пришлось сделать дополнительные телодвижения:

1.

/opt/cprocsp/bin/csptestf -absorb -certs

— сработало
2.

/opt/cprocsp/bin/certmgr -inst -store my -f ~/downloads/name.cer

— непонятно, о каком name.cer идёт речь. Откуда этот сертификат предполагается брать? В гугле нашёл, что, оказывается, у людей рутокен видится, как флэшка, а у меня в Finder его нет, да и в /Volumes пусто, и в diskutil list. Поэтому этот шаг пришлось опустить за отсутствием сертификата.

Оказывается, установщик КриптоПро устанавливает дополнительные программы аж с GUI, в которых всё можно сделать (/opt/cprocsp/bin/cptools). На вкладке Контейнеры выбираем контейнер с токена и жмём «Установить сертификат». Пока я этого не сделал, ЛК ИП выдавал ошибку подписи: Failed to sign hash: Internal error. (0x8009200B).

Re: Big Sur: проблемы с librtpkcs11ecp.dylib и sc_auth identities

nyasnov пишет:

Оказывается, установщик КриптоПро устанавливает дополнительные программы аж с GUI, в которых всё можно сделать

Да, как установить личные сертификаты через терминал и через графический интерфейс описано в нашей инструкции по ссылке.