Подписать XML для отправки в госорган — значит сформировать к XML-файлу отсоединённую усиленную квалифицированную электронную подпись в формате PKCS#7 (файл .sig), которую примет конкретная информационная система ведомства. Здесь вы разберётесь, какой подписью заверять XML, чем отсоединённая подпись отличается от встроенной XAdES, как подписать файл через Инструменты КриптоПро или КриптоАРМ за несколько шагов и почему госпортал может отбить уже подписанный документ. Это часть большого материала про подписание XML-файла электронной подписью, где собраны все способы и форматы для разных систем.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое XML для госоргана и зачем его подписывать
XML — это машиночитаемый формат, в котором ведомства принимают формализованные документы. Налоговая декларация, межевой и технический план для Росреестра, декларация в ФСРАР по алкоголю, статотчётность в Росстат, машиночитаемая доверенность для реестра ФНС — всё это XML по утверждённой схеме. Человек видит набор тегов, а система ведомства — структуру, которую можно автоматически загрузить, проверить и положить в базу.
Подпись нужна для двух вещей. Идентификация: система понимает, кто подал документ, какой ИНН, какая организация. И целостность: поменяли в XML хоть символ, хоть пробел в значении тега — подпись слетит, и проверка это покажет. Неподписанный XML госорган не примет, подписанный с нарушенной целостностью — тоже. По сути подпись приравнивает электронный файл к бумажному оригиналу — статья 6 закона 63-ФЗ, тройки, как её называют профи.
В Добыто мы каждую неделю разбираем ситуации, когда человек сформировал безупречный XML в программе ведомства, а на портале получил отказ. Почти всегда причина не в документе, а в подписи: не тот формат, не та кодировка, переименовали файл, подписали присоединённой вместо отсоединённой. XML собрать — полдела. Подписать так, чтобы конкретная система его проглотила, — вот где затык.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самое частое заблуждение — что XML подписывается как-то по-особенному. Нет. Технически это обычный файл, и крипта считает с него хэш ровно так же, как с PDF или ворда. Весь головняк не в криптографии, а в требованиях площадки: одной подавай отсоединённую .sig в BASE64, другой — встроенную XAdES, третья просит переименовать файл подписи. Логику в этом искать бессмысленно, требования нужно просто выполнить под конкретное ведомство.»
Какой подписью подписывать XML для госоргана
Для отправки в государственные органы XML подписывают усиленной квалифицированной электронной подписью — УКЭП. Это требование вытекает из статьи 6 закона 63-ФЗ: документ, подписанный квалифицированной подписью, признаётся равнозначным бумажному с собственноручной подписью без всяких дополнительных соглашений. Госорган обязан принять такой документ по закону. Простая электронная подпись и неквалифицированная для подачи в ведомства, как правило, не подходят: ПЭП вообще не контролирует целостность файла, а для НЭП пришлось бы заключать соглашение с каждым ведомством, чего на практике не существует.
Закон 63-ФЗ в статье 5 делит подписи на три вида: простая, усиленная неквалифицированная и усиленная квалифицированная. Путать их — прямой путь к тому, что поданный документ окажется юридически ничтожным. УКЭП работает на квалифицированном сертификате (требования к нему — в приказе ФСБ № 795), а средства подписи должны быть сертифицированы ФСБ. Для XML в госорган берётся именно она.
Где взять УКЭП. Руководитель организации и ИП получают квалифицированный сертификат в Удостоверяющем центре ФНС России бесплатно — с 1 января 2022 года это работает именно так. Физические лица идут в аккредитованный Минцифры УЦ. Сотрудник, который подписывает от имени компании по доверенности, использует свою личную подпись физлица плюс машиночитаемую доверенность, эмчедэшку. Без МЧД подпись сотрудника система может не принять — она не увидит полномочий.
Мария Ж, судебный эксперт по трудовому праву:
«К нам приходят и спрашивают: можно ли подписать XML для Росреестра простой подписью, ну логином-паролем каким-нибудь. Нельзя. И дело даже не в том, что портал не примет — он не примет, конечно. Дело в том, что ПЭП не фиксирует целостность файла. Поменяли координату в межевом плане после подписания — и никак этого не докажешь. УКЭП слетит сразу, а это и есть защита.»
Отсоединённая подпись или встроенная XAdES: что нужно госоргану
Тут начинается частность, на которой спотыкаются почти все. У XML есть два принципиально разных способа подписания, и госорганы требуют то один, то другой.
Первый — отсоединённая подпись. Криптопровайдер считает хэш с XML и кладёт подпись в отдельный файл с расширением .sig (реже .p7s или .sgn). На выходе два файла: исходный XML и файл подписи рядом. Отправлять и загружать нужно оба. Изменили XML на байт — .sig становится невалидным. Как устроена отсоединённая подпись в КриптоПро и чем .sig отличается от .p7s, разобрано в отдельном материале. Большинство госсистем работают именно с парой «файл плюс sig»: Госуслуги, Росреестр, ФНС, ФСС, ПФР, площадки вроде ЕИС, Сбербанк-АСТ и РТС-Тендер. Формат .sig — это контейнер по стандарту CMS (RFC 5652) или его расширение CAdES.
Второй способ — встроенная подпись внутри XML, формат XAdES (XML Advanced Electronic Signatures, надстройка над базовым XMLDSig). Подпись вставляется прямо в тело документа отдельным узлом, файл остаётся один. Этот вариант просят некоторые операторы ЭДО и отдельные ведомственные системы, которые умеют разбирать XAdES.
Как понять, что нужно вам? Смотреть регламент конкретной системы. ФСРАР по алкоголю принимает прикреплённую подпись и просит на выходе файл вида *.xml.sig.zip.enc — подписанный, потом зашифрованный, потом упакованный. Минобороны по гособоронзаказу хочет отсоединённую .sig, причём из имени файла подписи требуют убрать кусок «xml». Росреестр с 1 января 2026 года по закону 487-ФЗ от 26.12.2024 принимает от юрлиц документы только в электронном виде, подписанные отсоединённой УКЭП — исключение оставили физлицам, а кадастровые инженеры подписывают УКЭП результаты кадастровых работ. Разброс большой, один формат на все случаи не подойдёт.
Мария Ж, юрист со стажем более 20 лет:
«Отсоединённая подпись доставляет больше всего хлопот именно из-за пары файлов. Потеряли .sig — подпись не проверить, документ остаётся, а доказать, что он подписан, нечем. Я всегда советую хранить XML и его .sig вместе, в одной папке, лучше в архиве. И не переименовывать XML после подписания — подпись считается с конкретного содержимого и имени иногда тоже, тут всё капризно.»
Как подписать XML для госоргана: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подготовьте рабочее место: установите КриптоПро CSP версии 5.0 (с января 2026 года поддержка версии 4.0 прекращена), драйвер вашего токена (Рутокен, JaCarta, eSmart) и личный сертификат УКЭП в хранилище «Личное».
- Шаг 2. Установите цепочку доверия: корневой сертификат Минцифры и сертификат вашего УЦ. Для подписей УЦ ФНС корневые берут с uc.nalog.ru/crt. Без полной цепочки подпись пройдёт, а проверка на портале упадёт.
- Шаг 3. Откройте Инструменты КриптоПро (через «Пуск» → «КриптоПро» → «Инструменты КриптоПро» или CPTools), перейдите в раздел «Создание подписи» и выберите ваш сертификат из списка.
- Шаг 4. Нажмите «Выбрать файл для подписи», укажите ваш XML-файл. Включите отсоединённую подпись и нужную кодировку (BASE64 или DER) — смотрите требование вашего ведомства.
- Шаг 5. Нажмите «Подписать», введите пин-код токена. Файл подписи сохранится рядом с XML. При необходимости вручную поменяйте расширение на .sig — по умолчанию криптопро формирует .p7s.
- Шаг 6. Проверьте созданную подпись (на Госуслугах, в КриптоПро DSS или локально через КриптоАРМ) и загрузите оба файла — XML и .sig — в систему госоргана.
Программы для подписания XML: КриптоПро, КриптоАРМ и онлайн
Минимальный набор — криптопровайдер плюс средство подписи. Криптопровайдер, СКЗИ, делает саму криптографию: считает хэш, формирует подпись, проверяет её. Самый распространённый — КриптоПро CSP. Средство подписи даёт интерфейс, через который вы тыкаете кнопки.
Инструменты КриптоПро (CPTools). Встроенный инструмент КриптоПро CSP 5.0, бесплатный в части подписания. Подходит для разового подписания одного-двух XML. Именно через CPTools, например, подписывают XML-файл МЧД с сайта ФНС.
КриптоАРМ и КриптоАРМ ГОСТ 3. Полноценное средство подписи и шифрования с поддержкой ГОСТ. Подписывает XML по одному или целой папкой разом, скопом — для каждого файла создаётся своя подпись. После установки в контекстное меню Windows добавляются команды: правый клик по файлу → «КриптоАРМ» → «Подписать». В мастере выбираете расширенный режим, отсоединённую подпись, кодировку DER или BASE64, при необходимости стандарт CAdES-BES, CAdES-T или CAdES-XLT1. КриптоАРМ ГОСТ 3 поддерживает CMS и CAdES, включая архивный CAdES-A с метками времени, и умеет шифровать по ГОСТ 2015 (кузнечик и магма). Для XML с МЧД к подписи добавляется файл доверенности .xml и его подпись .sig.
Онлайн-сервисы. Если ставить локальный софт не хочется или нужна разовая операция, XML подписывают онлайн. В Добыто.Подпись это делается в браузере: загружаете файл, выбираете тип подписи, подписываете. Сервис формирует .sig, который принимает подавляющее большинство площадок. На практике файлы до 100 МБ подписываются без проблем — для большего объёма удобнее локальный КриптоАРМ или API.
Подписать документ электронной подписью онлайн
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Через командную строку тоже можно — утилита cryptcp из состава КриптоПро. Вариант для технарей и автоматизации, когда XML штампуются пачками по расписанию. Для разовой подачи проще мастер.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Выбор программы — это не про то, какая круче, а про вашу задачу. Подписать один XML для налоговой раз в квартал — берите Инструменты КриптоПро, они уже стоят со связкой криптопро и токена. Подписываете десятками для торгов или Росреестра — КриптоАРМ с пакетным режимом. А если процесс постоянный и людей много, ручное подписание на каждом рабочем месте — это путь к грабли. Лучше сразу сервис, где подпись встроена в маршрут.»
Образцы документов и памятки по работе с электронной подписью
Открыть список документов
Порядок подписания XML через Инструменты КриптоПро
Разберу базовый процесс на самом доступном инструменте — встроенном в КриптоПро. Он закрывает большинство задач по подаче одиночного XML.
Сначала проверяете рабочее место: КриптоПро CSP 5.0, драйвер токена, личный сертификат в хранилище «Личное», корневые сертификаты Минцифры и вашего УЦ. С января 2026 года КриптоПро 4.0 не сертифицирован — если вы на четвёрке, подписать и проверить не выйдет, обновляйтесь. Демо-версия работает 90 дней, потом просит лицензию: без неё вы даже на сайт ФНС по подписи не зайдёте.
Дальше открываете «Пуск» → «КриптоПро» → «Инструменты КриптоПро» (в англоязычной сборке — CPTools), раздел «Создание подписи». Выбираете сертификат, жмёте «Выбрать файл для подписи», указываете XML. Главное — выставить параметры: отсоединённая подпись (а не присоединённая) и кодировка под требование ведомства. Подписываете, вводите пин токена.
Один нюанс про расширение. КриптоПро по умолчанию делает присоединённую подпись в формате .p7s. Для отсоединённой .sig включите опцию в настройках и при сохранении вручную поменяйте расширение на .sig — иначе госпортал, который ждёт sig, файл не опознает. Та самая мелочь, из-за которой документ задерживается при верной подписи.
Здесь, на выборе формата подписи и кодировки под конкретное ведомство, чаще всего и происходит затык: подпись формально сделана, а портал её отбивает. Если подаёте XML в Росреестр, ФСРАР или на торги впервые и не уверены, какой формат, кодировку и расширение ждёт система, проще не перебирать варианты вслепую. В Добыто мы знаем требования основных государственных систем и помогаем настроить подписание так, чтобы документ принимался с первого раза.
Проверка подписи XML перед отправкой
Прежде чем грузить файлы на портал, подпись лучше проверить — заранее увидите, что цепочка сертификатов целая, сертификат действует, документ не менялся. Способов несколько, результат у всех одинаковый.
Через портал Госуслуг (Единый портал электронной подписи Минцифры). Выбираете «документ плюс откреплённая подпись», грузите XML и .sig, вводите код с картинки, жмёте «Проверить». Через пару секунд таблица: статус подписи, ФИО владельца сертификата, ИНН, время подписания, статус сертификата. Отдельный сервис на портале Госуслуг принимает не файл, а серийный номер или отпечаток сертификата и проверяет его в государственном реестре.
Через КриптоПро DSS — онлайн-сервис от КриптоПро, проверяет присоединённую и отсоединённую подпись CMS, а также подпись прямо в XML (XMLDSig). Локально — через КриптоАРМ: правый клик по .sig, «Проверить подпись», указать исходный XML, интернет не нужен. На многих госпорталах после загрузки есть встроенная проверка — ей стоит пользоваться.
Если проверка не прошла, частые причины: истёк срок сертификата, документ изменили после подписания, сертификат отозван, не установлена полная цепочка доверия. По нашей практике в Добыто, чаще всего рвётся именно цепочка — не поставили корневой Минцифры или промежуточный сертификат УЦ. Ставите недостающее звено — проверка проходит.
Типичные ошибки при подписании XML для госоргана
Соберу грабли, на которые наступают регулярно. Каждая стоит времени, а иногда и срыва срока подачи.
Подписали присоединённой вместо отсоединённой. Кнопка «Подписать» нажата, файл вроде есть. Цена ошибки: портал, который ждёт пару «XML + sig», файл со встроенной подписью не принимает — подаёте заново.
Переименовали XML после подписания. Подпись считалась с конкретного содержимого, а некоторые системы проверяют и имя. Цена — невалидная подпись и повторная процедура.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Перепутали кодировку DER и BASE64. Делают наугад, лишь бы подписать. Цена — отказ на загрузке без внятного объяснения, и человек гадает, что не так с самим XML, хотя проблема в кодировке подписи.
Сотрудник подписал без МЧД. Менеджер подписал XML своей личной подписью, а доверенность не приложил — чтобы не дёргать руководителя. Цена — система не видит полномочий, документ отбивается, сроки горят.
Старый КриптоПро 4.0. С января 2026 года четвёрка не сертифицирована — не подпишете и не проверите. Цена — полная остановка работы с подписью до обновления и покупки лицензии на пятёрку.
Мария Ж, HR-эксперт с 13-летним стажем:
«Самый частый головняк — человек получил подпись, а она ‘не работает’. Лезем смотреть: токен не той версии под крипту, либо пытается подписать с борта токена там, где системе нужен серт в реестре. Сама подпись нормальная, просто рабочее место настроено криво. Сначала проверьте, что подпись создаётся на тестовом файле, и только потом грузите боевой XML в госсистему.»
Стоимость подписания XML и тарифы сервиса Добыто
Если подписание XML для госорганов — разовая история, хватит бесплатных инструментов: Инструменты КриптоПро при наличии лицензии на криптопровайдер или онлайн-сервис Добыто.Подпись. Когда подписание встроено в постоянный процесс, считают по тарифу сервиса. Итоговая сумма зависит от численности сотрудников, выбранного тарифа и набора модулей.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив, приоритетная поддержка) | от 50 ₽ за сотрудника / мес | мин. оплата 50 сотрудников — 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с расширенными требованиями (всё из Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API) | По запросу | кастомные интеграции |
Тариф Бизнес поддерживает все три вида подписи, включая УКЭП, и подходит, когда подписание XML и кадровых документов идёт регулярно через интеграцию с учётной системой. Итоговая стоимость зависит от числа сотрудников и подключённых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее.
Выводы: подписание XML для отправки в госорган
Для подачи XML в государственный орган используется усиленная квалифицированная электронная подпись — по статье 6 закона 63-ФЗ она равнозначна собственноручной, и ведомство обязано принять документ без дополнительных соглашений. Руководитель и ИП получают сертификат УКЭП в УЦ ФНС бесплатно, физлица — в аккредитованном УЦ, а сотрудник подписывает личной подписью плюс машиночитаемой доверенностью. Простая и неквалифицированная подписи для подачи в ведомства не годятся.
Главная развилка — формат подписи. Большинство госсистем (Госуслуги, Росреестр, ФНС, ФСС, ПФР, торговые площадки) принимают отсоединённую подпись: пару из XML и отдельного файла .sig. Отдельные системы и операторы ЭДО просят встроенную XAdES внутри документа. Требование смотрят в регламенте ведомства: ФСРАР хочет прикреплённую подпись с последующим шифрованием, Минобороны по ГОЗ — отсоединённую с переименованием файла, Росреестр с 2026 года по закону 487-ФЗ — только отсоединённую УКЭП от юрлиц. Подписать можно через Инструменты КриптоПро, КриптоАРМ или онлайн; перед отправкой подпись стоит проверить.
На что обратить внимание на практике: с января 2026 года КриптоПро 4.0 не сертифицирован, нужна версия 5.0; не переименовывайте XML после подписания; следите за кодировкой DER или BASE64 под требование площадки; ставьте полную цепочку сертификатов, иначе проверка упадёт даже при верной подписи. Эти мелочи решают, примут документ с первого раза или вернут.
Часто задаваемые вопросы
Какой подписью подписывать XML для отправки в госорган?
В чём разница между отсоединённой подписью .sig и встроенной XAdES для XML?
Чем подписать XML, если не хочется ставить программы?
Почему госпортал не принимает подписанный XML?
Как подписать XML-файл МЧД для реестра ФНС?
Какое расширение должно быть у файла подписи XML — .sig или .p7s?
Как подписать XML для Росреестра в 2026 году?
Какой криптопровайдер нужен для подписания XML?
Можно ли подписать несколько XML-файлов сразу?
Что выбрать при подписании — кодировку DER или BASE64?
Как проверить подпись на XML перед отправкой в ведомство?
Можно ли подписать XML электронной подписью сотрудника, а не руководителя?
Подписать XML и отправить его в госорган с первого раза — вопрос не столько криптографии, сколько точного попадания в требования конкретной системы. Формат подписи, кодировка, расширение файла, цепочка сертификатов, МЧД для сотрудника — где-нибудь одна мелочь и документ возвращается. Особенно это бьёт по компаниям, где XML и кадровые документы подписывают регулярно и большими объёмами.
Сервис Добыто работает с электронной подписью и кадровым ЭДО, знает практику основных государственных систем и помогает настроить подписание так, чтобы документы принимались без замечаний. Подписание встроено в рабочий процесс — не нужно вручную городить операцию на каждом рабочем месте и ловить ошибки постфактум.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — под любой документ и любую систему
- Онлайн-подписание и проверка файлов прямо в браузере, без установки отдельных программ на каждое рабочее место
- Вся цепочка подписей фиксируется с метками времени — защита при проверках и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С (ЗУП, бухгалтерия) — отправка на подписание одной кнопкой из привычного интерфейса
- Мобильное приложение для подписания с телефона — в командировке, в дороге, без похода в офис
- Хранение документов с подписями в электронном архиве с быстрой выгрузкой по запросу