Как подписать документ токеном: пошаговая инструкция 2026

Q: Чем извлекаемый ключ отличается от неизвлекаемого?

Извлекаемый ключ во время подписания выгружается в оперативную память и при флаге экспорта может быть скопирован. Неизвлекаемый ключ хранится внутри чипа токена и никогда его не покидает. УЦ ФНС выдаёт ключи только в неэкспортируемом контейнере.

Q: Что такое открепленная подпись в формате SIG?

Это подпись отдельным файлом с расширением SIG рядом с исходным документом. На руках оказываются два файла: документ и сиг-файл. Такой формат требуют торговые площадки и госсистемы. Присоединённая подпись, наоборот, вшивается внутрь файла.

Q: Зачем токену пин-код и что делать, если его забыл?

Пин-код защищает доступ к закрытому ключу: только после его проверки токен выполняет криптографическую операцию. При забытом пин-коде восстановление зависит от модели и регламента удостоверяющего центра, при блокировке носителя ключ перевыпускают.

Q: Какие документы можно подписывать токеном?

Договоры, акты, счета-фактуры, декларации, отчётность, заявки на торгах, кадровые документы. Документ с квалифицированной подписью по 63-ФЗ равнозначен бумажному. Часть кадровых документов по ТК РФ требует УКЭП со стороны работодателя.

Q: Можно ли подписать документ токеном без установки программ?

Полностью без установки нельзя: нужен криптопровайдер и драйвер. Альтернатива токену - облачная подпись и мобильное приложение Госключ, где ключ хранится в удостоверяющем центре, а подписание идёт через приложение.

Q: Почему токен не подписывает документ после обновления?

Частые причины: устаревший КриптоПро CSP, несовместимость старого Рутокен ЭЦП 2.0 с новыми ГОСТами, истёкший сертификат или отключённый плагин браузера. Проверяют сразу версию крипты и модель токена в панели Рутокен.

Q: Сколько действует сертификат на токене и когда продлевать?

Чаще всего сертификат действует год, иногда дольше. Продлевать лучше за пару недель до окончания, чтобы не остаться без подписи в день срочной задачи. После истечения срока подписать токеном нельзя.

Подписать документ токеном можно за пару минут, если на компьютере уже стоит криптопровайдер, а сам носитель воткнут в USB-порт. Дальше всё упирается в три вещи: правильно установленный КриптоПро CSP, действующий сертификат на токене и понимание, какой формат подписи вам нужен — присоединённый или открепленный. Разберём весь маршрут: от проверки драйверов до готового файла с подписью, плюс что поменялось с 1 апреля 2026 года, когда ФНС перешла на новые ГОСТы. Это часть большого материала про программы для подписания документов электронной подписью, где собраны все инструменты и сценарии.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что такое токен и почему подпись хранят именно на нём

Токен — это USB-устройство, внешне похожее на флешку, но с криптографической начинкой и защитой пин-кодом. Рутокен, JaCarta, eToken — самые ходовые. Внутри лежит закрытый ключ электронной подписи, тот самый, которым документ и заверяется. Народ часто называет его просто «флешка», хотя обычная флешка ключ не защитит: у токена есть СКЗИ и аппаратная защита, сертифицированная ФСТЭК или ФСБ России.

Ключи на токене бывают двух типов, и разница тут принципиальная. Извлекаемый ключ во время подписания ненадолго выгружается в оперативную память компьютера — криптопровайдер забирает контейнер, делает операцию и отпускает. Неизвлекаемый ключ никогда не покидает память токена, все вычисления идут внутри чипа. Скопировать его технически невозможно, и в этом весь смысл. Подписаться может только тот, у кого физически в руках «флешка» и кто знает от неё пин-код.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда клиент приносит токен и говорит ‘я не помню, какая тут подпись’, первое, что мы делаем — лезем в панель Рутокена и смотрим серт. Половина вопросов отпадает сразу: видно и владельца, и срок, и кем выдан. Не надо шариться по окнам криптопро вслепую.»

Что нужно установить перед подписанием

Голый токен ничего не подпишет. Нужна программная обвязка на рабочем месте. Минимальный комплект выглядит так:

Драйверы ключевого носителя — под Рутокен и под JaCarta они разные, качаются с сайтов производителей.
СКЗИ КриптоПро CSP версии не ниже 5.0 R2, сборка 12000 или выше.
Плагин КриптоПро ЭЦП Browser Plug-in — если подписываете в браузере или на госпорталах.
Корневые сертификаты Минцифры России и удостоверяющего центра, выдавшего подпись.
Личный сертификат ключа, привязанный к вашему токену.

Важный момент по срокам. Поддержка старой линейки КриптоПро CSP 4.0 закончилась 15 января 2026 года — эти версии больше не обновляются и на новых стандартах работать не будут. А с 1 апреля 2026 года ФНС перешла на алгоритмы ГОСТ 34.12-2018 и ГОСТ 34.13-2018 (приказ от 27.03.2024 № ЕД-7-26/245@). Если у вас Рутокен ЭЦП 2.0 с неизвлекаемым ключом, его придётся заменить на Рутокен ЭЦП 3.0 и перевыпустить подпись. А вот Рутокен Lite, который работает просто как защищённое хранилище, менять не нужно — там достаточно обновить криптопро до актуальной версии. Логику этого деления искать бессмысленно, нужно просто свериться со своей моделью.

Мария Ж, эксперт по работе с электронной подписью:
«Самые частые грабли начала 2026 года — человек ставит свежий КриптоПро, а токен у него старая 2.0 с аппаратной криптой. И всё, подпись не идёт. Проверять надо обе вещи сразу: и версию крипты, и модель носителя. Денюжки на новый токен заложить заранее дешевле, чем потом ловить срыв отчётной кампании.»

Как подписать документ токеном: пошаговый порядок

Самый универсальный способ — подписание через КриптоПро CSP, потому что эта связка тянет почти все форматы и системы документооборота. Принцип везде один. Вы отправляете запрос на подпись, криптопровайдер обращается к токену, просит пин-код, считывает закрытый ключ, шифрует им хэш документа (сжатую математическую «выжимку» файла) и возвращает готовую подпись. Сам документ при этом не меняется.

Перед подписанием определитесь с форматом. Присоединённая подпись вшивается прямо в файл — удобно для PDF, Word, Excel, документ и подпись путешествуют одним куском. Открепленная подпись (формат SIG) создаётся отдельным файлом рядом с исходным, и тогда у вас на руках два файла: сам документ и сиг-файл к нему. Для торговых площадок и госсистем чаще нужна именно открепленная. Если разбираетесь, как делается создание подписи SIG в КриптоПро, открепленный вариант собирается там же, в пару кликов через контекстное меню.

Как подписать документ токеном через КриптоПро: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Подключите токен в USB-порт и дождитесь, пока система его распознает. На Рутокене обычно мигает индикатор.
Шаг 2. Откройте КриптоПро CSP, перейдите на вкладку «Сервис» — «Просмотреть сертификаты в контейнере» и проверьте, что нужный сертификат на месте и действует.
Шаг 3. Найдите файл, который нужно заверить. Кликните по нему правой кнопкой мыши и выберите пункт подписания (через установленный КриптоАРМ или плагин КриптоПро).
Шаг 4. Выберите формат: присоединённая подпись (внутри файла) или открепленная (отдельный SIG-файл). Укажите папку для результата.
Шаг 5. Выберите сертификат с вашего токена и подтвердите выбор.
Шаг 6. Введите пин-код токена. Криптопровайдер обратится к носителю и сформирует подпись.
Шаг 7. Дождитесь сообщения об успешном завершении. Рядом с документом появится подписанный файл или сиг-файл.

Если документ подписывается на госпортале или торговой площадке, шаги почти те же, только окно выбора сертификата вызывает не КриптоАРМ, а браузерный плагин. Токен всё так же должен быть подключён, пин-код запросят в момент подписания.

Образцы документов для работы с электронной подписью

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Заявление на выпуск квалифицированного сертификата ЭП	Скачать
Заявление на аннулирование сертификата ЭП	Скачать
Доверенность на получение сертификата ЭП	Скачать
Согласие на обработку ПДн для выпуска сертификата ЭП	Скачать
Соглашение об использовании ПЭП и НЭП	Скачать
Руководство пользователя Добыто КЭДО	Скачать

Программы, через которые подписывают токеном

КриптоПро CSP сам по себе — это движок. Чтобы кликать правой кнопкой и подписывать, нужна программа поверх него. Вариантов несколько, и они отличаются мелочами, которые на практике решают.

КриптоАРМ — самая распространённая, умеет присоединённую и открепленную подпись, пакетную обработку, шифрование. Джин Klient от Кода безопасности делает упор на доверенную визуализацию: показывает документ ровно в том виде, в каком вы его подписываете, защита от подмены данных на экране. Litoria Desktop заточена под трансграничный документооборот и работает с российскими ОС вроде Astra Linux. Crypto Expert удобен тем, кто много возится с PDF — там подпись и проверка пдф из коробки, плюс архивная поддержка. Все эти программы сертифицированы ФСБ, и это не формальность: без сертификата подпись юридически не та.

В практике Добыто мы видим, что выбор программы чаще диктует не сам пользователь, а та система, куда он отправляет документ. Площадка требует CAdES — значит, нужен инструмент, который его делает. Налоговая ждёт определённый формат контейнера — подстраиваемся под неё. Поэтому мы обычно не навязываем одну программу, а смотрим, в какие системы клиент носит документы.

Мария Ж, судебный эксперт по работе с ЭП:
«Нюанс, который многие упускают: программа для подписи и криптопровайдер — это разные вещи. Можно купить красивый КриптоАРМ, но если под ним не стоит актуальный КриптоПро, токен останется немой. Сначала крипта, потом уже надстройка. По-другому никак.»

Где можно подписывать токеном и какие документы

Токеном с квалифицированной подписью заверяют практически любой электронный документ: договоры, акты, счета-фактуры, декларации, отчётность в ФНС, заявки на торгах. Электронный документ, подписанный УКЭП, по 63-ФЗ равнозначен бумажному с собственноручной подписью и печатью. Это работает на электронных площадках, в системах ЭДО, при сдаче отчётности через операторов и через сервис ФНС.

Если речь про кадровые документы и КЭДО, тут своя специфика. Трудовой договор, приказы, допсоглашения переводятся в электронный вид по правилам статей 22.1-22.3 ТК РФ, и для части документов работодателю нужна именно УКЭП. Хотя для многих внутренних кадровых процессов хватает ПЭП или УНЭП — это совсем другие денежки. Но это уже отдельная история, не про токен. Подробнее про альтернативный способ подписания через мобильное приложение Госключ без всякого токена можно почитать на портале Госуслуг, где описан выпуск подписи по биометрии.

Подписать документ электронной подписью онлайн

Если токена под рукой нет, а заверить документ нужно срочно, выручает онлайн-подписание. В сервисе Добыто это делается прямо в браузере, без установки тяжёлого софта.

1 Загрузите необходимые файлы:

Перетащите или выберите файл

2 Выберите электронную подпись:

Нажимая кнопку «Подписать», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Самостоятельная настройка токена, драйверов и криптопро у многих превращается в затык: то версия не та, то носитель старый, то контейнер не виден. Если на этапе подписания что-то стабильно не идёт, а сроки горят, мы в Добыто настраиваем рабочее место и помогаем выпустить или перенести подпись на актуальный носитель, чтобы документы подписывались с первого раза.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Канал в MAX Канал в Telegram

Попробуйте ДОБЫТО КЭДО

Частые ошибки при подписании токеном и их цена

Первая и самая дорогая — тянуть со сменой носителя. Человек знает, что Рутокен 2.0 надо менять, но откладывает. Мотив понятен: жалко время и денюжки на новый токен. Цена ошибки — сорванная отчётная кампания: с 1 апреля 2026 года система просто не примет подпись со старым неизвлекаемым ключом, и декларация уйдёт с опозданием со всеми штрафами за просрочку.

Вторая — путать вид подписи и формат файла. Просят открепленную SIG, а человек делает присоединённую, площадка документ отбивает. Переподписать недолго, но если это последний день подачи заявки на торги, затык стоит контракта.

Третья — забывать про срок действия сертификата. Подпись на токене живёт обычно год, иногда дольше. Закончилась — и токен превращается в бесполезную «флешку». Продлевать лучше за пару недель до конца, а не в день, когда нужно срочно подписать.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«За время работы мы выработали простое правило: проверяй носитель и серт до того, как сел подписывать важный документ, а не в момент дедлайна. Это экономит клиенту нервы и деньги. Большинство затыков ловится за пять минут в панели Рутокена — надо только не лениться туда заглянуть.»

Стоимость подписания документов в сервисе КЭДО Добыто

Итоговая цена зависит от того, сколько у вас сотрудников, какой тариф выбран и какие виды подписи подключаются. Сам токен и лицензия КриптоПро покупаются отдельно у удостоверяющего центра, а вот подписание и документооборот внутри компании удобно вести в одном сервисе. Тарифы КЭДО Добыто выглядят так.

Тариф	Стоимость	Условия
Старт — до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны	от 30 ₽ за сотрудника / мес	небольшие компании
Бизнес — без лимита сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив	от 50 ₽ за сотрудника / мес	мин. оплата 50 сотрудников — 30 000 ₽ в год
Корпорация — всё из Бизнеса, выделенный сервер, SLA 99.9%, API	по запросу	крупный бизнес

На итог влияют численность штата, набор подключаемых модулей и вид подписи: УКЭП на токене стоит дороже, чем ПЭП для внутренних документов. Чтобы посчитать точнее под свою компанию, посмотрите актуальные тарифы сервиса Добыто — там разложено, что входит в каждый пакет.

Выводы: как подписать документ токеном без ошибок

Подписание токеном держится на трёх опорах: актуальный КриптоПро CSP не ниже версии 5.0 R2, действующий сертификат на совместимом носителе и верно выбранный формат подписи. С 1 апреля 2026 года это перестало быть просто рекомендацией: ФНС принимает только новые алгоритмы ГОСТ 34.12-2018 и 34.13-2018, а Рутокен ЭЦП 2.0 с неизвлекаемым ключом подлежит замене на версию 3.0. Поддержка КриптоПро CSP 4.0 закончилась 15 января 2026 года, и старая связка работать не будет.

На практике почти все проблемы решаются проверкой до подписания, а не в момент дедлайна. Загляните в панель Рутокена, убедитесь, что серт виден и не просрочен, определите заранее, нужна присоединённая подпись или открепленный SIG. Документ, заверенный УКЭП, по 63-ФЗ равнозначен бумажному, поэтому формат и носитель тут не мелочь, а основа юридической силы.

Если объём подписаний большой и в процесс вовлечены десятки сотрудников, разрозненные токены и ручная установка драйверов становятся узким местом. Тогда имеет смысл смотреть в сторону системы, где подписание, маршруты согласования и архив собраны в одном месте, а часть документов можно закрывать ПЭП и УНЭП без аппаратного носителя вообще.

Часто задаваемые вопросы

Какая версия КриптоПро CSP нужна для подписания токеном в 2026 году?

Не ниже 5.0 R2, сборка 12000 или выше. Поддержка линейки 4.0 (R2, R3, R4) официально прекращена 15 января 2026 года, и с новыми алгоритмами ГОСТ 34.12-2018 и 34.13-2018, на которые ФНС перешла с 1 апреля 2026 года, старые версии не работают.

Нужно ли менять Рутокен ЭЦП 2.0 на новый носитель?

Зависит от режима. Если на Рутокен ЭЦП 2.0 записан неизвлекаемый ключ с аппаратной криптографией, его меняют на Рутокен ЭЦП 3.0 и перевыпускают подпись, потому что старый чип не поддерживает новые ГОСТы. Если носитель работает как пассивное хранилище (например, Рутокен Lite), менять не нужно — достаточно обновить КриптоПро CSP.

Чем извлекаемый ключ отличается от неизвлекаемого?

Извлекаемый ключ во время подписания ненадолго выгружается в оперативную память компьютера, и его контейнер при наличии флага экспорта можно скопировать. Неизвлекаемый ключ генерируется и хранится внутри чипа токена, никогда его не покидает и скопирован быть не может. УЦ ФНС выдаёт ключи только в неэкспортируемом контейнере.

Что такое открепленная подпись в формате SIG?

Это подпись, которая создаётся отдельным файлом с расширением SIG рядом с исходным документом. У вас на руках оказываются два файла: сам документ и сиг-файл к нему. Такой формат часто требуют электронные торговые площадки и госсистемы. Противоположность — присоединённая подпись, которая вшивается прямо в файл документа.

Зачем токену пин-код и что делать, если его забыл?

Пин-код защищает доступ к закрытому ключу: криптопровайдер передаёт его на токен, и только после успешной проверки выполняет криптографическую операцию. Без пин-кода подписать документ нельзя. Если пин забыт, его восстановление зависит от модели носителя и регламента удостоверяющего центра — чаще всего нужно обращаться в УЦ, выдавший подпись, а при блокировке носителя — перевыпускать ключ.

Какие документы можно подписывать токеном?

Договоры, акты, счета-фактуры, налоговые декларации, отчётность, заявки на торгах, кадровые документы. Электронный документ, подписанный квалифицированной подписью с токена, по 63-ФЗ равнозначен бумажному с собственноручной подписью. Часть кадровых документов по ТК РФ требует именно УКЭП со стороны работодателя.

Нужны ли драйверы для токена и где их брать?

Да, без драйвера система не увидит носитель. Для Рутокена драйверы качают с сайта rutoken.ru, для JaCarta — с сайта Аладдин Р.Д. После установки токен подключают в USB-порт, и он становится доступен в КриптоПро CSP и панели управления носителем.

Можно ли подписать документ токеном без установки программ на компьютер?

Полностью без установки — нет: для работы с токеном нужен криптопровайдер и драйвер носителя. Но есть альтернатива самому токену — облачная подпись и мобильное приложение Госключ, где закрытый ключ хранится на стороне удостоверяющего центра, а подписание идёт через приложение. Для разовых задач это удобнее, чем возиться с аппаратным носителем.

Почему токен не подписывает документ после обновления?

Частые причины в 2026 году: устаревшая версия КриптоПро CSP (нужна 5.0 R2 и выше), несовместимость старого носителя Рутокен ЭЦП 2.0 с новыми ГОСТами, истёкший срок сертификата или отключённый браузерный плагин. Проверять стоит обе вещи сразу — и версию крипты, и модель токена в панели управления Рутокен.

Сколько действует сертификат на токене и когда продлевать?

Чаще всего сертификат квалифицированной подписи действует один год, иногда дольше — зависит от удостоверяющего центра. Продлевать его лучше за пару недель до окончания срока, чтобы не остаться без рабочей подписи в день, когда документ нужно заверить срочно. После истечения срока подписать токеном уже не получится.

Нужно ли дублировать электронную подпись собственноручной?

Нет. Документ, подписанный усиленной квалифицированной подписью с токена, имеет полную юридическую силу сам по себе по 63-ФЗ. Дублировать его живой подписью или печатью не требуется, кроме отдельных случаев, прямо оговорённых законом или условиями конкретной системы.

Можно ли подписать токеном сразу несколько документов?

Да, программы вроде КриптоАРМ поддерживают пакетное подписание — выделяете несколько файлов и подписываете их скопом одним пин-кодом. Это экономит время, когда документов много, например при массовой отправке актов или закрывающих документов контрагентам.

Подписать документ токеном несложно, когда настроено рабочее место и подобран совместимый носитель. Сложности начинаются на масштабе: десятки сотрудников, разные модели токенов, постоянная возня с драйверами и продлением сертификатов. Сервис Добыто закрывает эту рутину — мы настраиваем подписание, помогаем перейти на актуальные носители под новые ГОСТы и переносим документооборот в единый интерфейс.

За время работы мы подключили сотни компаний к электронному документообороту и знаем практику работы с разными удостоверяющими центрами и системами. Часть кадровых и внутренних документов при этом вообще не требует токена — их закрывают ПЭП и УНЭП, что снимает с сотрудников необходимость носить с собой «флешку».

Поддержка всех трёх видов подписей — ПЭП, УНЭП и УКЭП — под любой документ и сценарий
Мобильное приложение для подписания с телефона, без похода к рабочему месту с токеном
Массовое подписание пакета документов одним действием — удобно при отправке актов контрагентам
Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Готовый коннектор с 1С — отправка документов на подписание прямо из привычного интерфейса
Хранение подписанных документов в электронном архиве со сроком до 50 лет

Оставить заявку

Насколько публикация полезна?

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Канал в MAX Канал в Telegram

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.