Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Как протестировать сертификат электронной подписи в КриптоПро — это проверить четыре параметра: срок действия, цепочку доверия, статус через списки отзыва (CRL) и совпадение закрытого ключа с открытым в сертификате. Расскажу, какими инструментами это делается в КриптоПро CSP, что показывает каждый этап теста, как читать коды ошибок и почему «непонятная ошибка проверки» в большинстве случаев решается обновлением корневых сертификатов. Это часть большого материала про проверку электронной подписи, где описаны все способы валидации — от состояния токена до подписи на готовом документе.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит протестировать сертификат электронной подписи
Тест сертификата в КриптоПро — это набор автоматических проверок, которые программа выполняет за 3-5 секунд и возвращает один из трёх статусов: «Сертификат действителен», «Сертификат недействителен с указанием причины» или «Действительность не определена». Под капотом КриптоПро смотрит четыре параметра. Первый — срок действия. У боевой КЭП Минцифры он 12 месяцев, у УЦ ФНС — 15 месяцев. Если сертификат за пределами этого окна, дальнейшие проверки уже не нужны — вердикт «Истёк».
Второй параметр — цепочка доверия. Сертификат подписанта выдан УЦ, у УЦ есть свой сертификат, выданный корневым центром Минцифры. КриптоПро проверяет, что эта цепочка строится до доверенного корневого сертификата на текущей машине. Если корневой серт не установлен или истёк — получите ошибку «Не удалось построить цепочку сертификатов».
Третий параметр — статус через CRL (Certificate Revocation List). КриптоПро обращается к серверу УЦ, скачивает свежий список отозванных сертификатов и сверяет с ним серийный номер тестируемого. Если номер в списке — сертификат отозван. Если списка нет (фаервол блокирует, нет интернета) — КриптоПро возвращает «Действительность не определена», что не критично для подписания, но важно для архивного хранения.
Четвёртый параметр — соответствие открытого ключа в сертификате закрытому ключу в контейнере. Если их пара не совпадает (например, сертификат подменили), подпись математически создастся, но проверить её не получится. КриптоПро прогоняет тестовое подписание и проверку — если сходится, ключи совпадают.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Тест сертификата нужно делать каждый раз перед важной операцией. Перед подписанием договора на сто миллионов, перед сдачей отчётности в ФНС, перед отправкой первички контрагенту. Прогнать тест — это полминуты, а вылет на проверке у получателя — это уже совсем другие денюжки и нервы. Айтишники, которые работают с подписями постоянно, делают это автоматически — как водитель проверяет, что ремень пристёгнут.»
Какие тесты сертификата делает КриптоПро
В КриптоПро CSP версии 5.0 R3 встроено три основных инструмента тестирования сертификата. Первый — просмотр сертификатов в контейнере. Открывается через вкладку «Сервис» главного окна CSP. Кликаем «Просмотреть сертификаты в контейнере», выбираем нужный, видим метаданные и нажимаем «Свойства». В открывшемся окне есть кнопка «Сертификат» — откроется системное окно Windows с подробной информацией: кому выдан, кем выдан, срок действия, отпечаток, цепочка.
Второй инструмент — кнопка «Протестировать» на той же вкладке «Сервис». Этот тест нагрузочный: КриптоПро прогоняет цикл «подписать тестовое сообщение, проверить подпись» на текущем контейнере. Занимает 1-2 секунды, возвращает результат «Тест успешно завершён» или конкретную ошибку. Это лучший способ убедиться, что закрытка работает.
Третий инструмент — проверка через КриптоАРМ. Это отдельная программа от компании «Цифровые технологии», работает поверх CSP. В мастере проверки выбираем сертификат, КриптоАРМ строит цепочку, проверяет CRL, формирует подробный отчёт с штампиком времени, серийником и ответственным УЦ. Этот отчёт — юридически значимый документ, его можно приложить к делу при споре в суде или при проверке трудовой инспекцией кадровых документов в КЭДО.
Как протестировать сертификат ЭП в КриптоПро: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подключите токен с сертификатом или убедитесь, что сертификат установлен в реестр Windows. Откройте КриптоПро CSP через меню «Пуск».
- Шаг 2. Перейдите на вкладку «Сервис». Нажмите кнопку «Просмотреть сертификаты в контейнере».
- Шаг 3. В открывшемся окне нажмите «Обзор» и выберите контейнер. Введите пин-код. Программа покажет основные метаданные сертификата: ФИО, ИНН, СНИЛС, серийник, срок действия, издателя, алгоритм.
- Шаг 4. Нажмите кнопку «Свойства» — откроется окно сертификата Windows. На вкладке «Общие» проверьте срок действия и статус «Сертификат действителен для следующих целей».
- Шаг 5. На вкладке «Путь сертификации» убедитесь, что цепочка выстроена и в самом верху стоит корневой сертификат Минцифры или другого аккредитованного УЦ. Если в цепочке появился жёлтый треугольник — корневой не доверен или не установлен.
- Шаг 6. Вернитесь в КриптоПро CSP, на вкладку «Сервис». Нажмите кнопку «Протестировать». Введите пин-код. Программа прогонит тестовое подписание и проверку.
- Шаг 7. Дождитесь результата. «Тест успешно завершён» — сертификат и закрытый ключ работают исправно. Любой другой ответ — смотрите конкретную ошибку и решайте по сценарию.
- Шаг 8. Дополнительно проверьте через CRL: кликните в свойствах сертификата на «Состав» — найдите поле «Точки распространения списков отзыва» (CRL Distribution Points). Скопируйте URL и проверьте через браузер, доступен ли список.
- Шаг 9. Если используете КриптоАРМ — откройте его, выберите «Сертификаты», правый клик на нужном — «Проверить». Сохраните отчёт в PDF.
- Шаг 10. Готовый отчёт КриптоАРМ положите в архив компании — на случай возможной проверки или судебного спора по подписанным документам.
Как читать результаты теста сертификата
«Сертификат действителен для всех указанных целей» — идеальный сценарий. Срок не истёк, цепочка построена, статус через CRL — норма, тестовое подписание прошло. Можно работать.
«Этот сертификат содержит неверную цифровую подпись» — возникает, когда повреждены метаданные сертификата (битый файл, ошибка при копировании) или подпись УЦ испорчена. Решение — перевыпустить сертификат через УЦ.
«Не удалось проверить статус сертификата (CRL недоступен)» — не критично. Подписывать таким сертификатом можно, но в важных случаях стоит вручную обновить CRL: на вкладке «Состав» сертификата найти точку распространения, скачать .crl файл и импортировать через КриптоПро в раздел «Промежуточные центры сертификации».
«Не удалось построить цепочку сертификатов» — не установлены корневые или промежуточные сертификаты УЦ. Решение — скачать корневой с e-trust.gosuslugi.ru или сайта УЦ и поставить в хранилище «Доверенные корневые центры сертификации».
«Сертификат отозван» — УЦ аннулировал сертификат. Документ, подписанный после отзыва, юридически ничтожен. Решение — перевыпуск.
«Срок действия сертификата истёк» — всё прозрачно. Идём в УЦ за новым.
«Открытый ключ не соответствует закрытому» — редкая, но злая грабля. Возникает, когда закрытка испорчена при копировании или сертификат был подменён. Решение — перевыпуск с новым ключевым контейнером.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике по трудовым спорам с электронным документооборотом отчёт КриптоАРМ или КриптоПро о тестировании сертификата на момент подписания — сильное доказательство. Если работодатель сохранял такие отчёты в архиве, юрик может в суде доказать, что приказ или соглашение было подписано действительной подписью. Без отчёта приходится поднимать архивные CRL, делать экспертизу, и это уже совсем другая история.»
Стоимость подключения и обслуживания КЭДО Добыто
Сам тест сертификата средствами КриптоПро бесплатен, входит в CSP. Платить нужно за лицензию на криптопровайдер, выпуск боевых сертификатов в УЦ, тариф на сервис КЭДО. Стоимость работы в Добыто КЭДО зависит от штата и набора подключаемых модулей.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» | от 30 ₽ | за сотрудника / мес |
| «Старт» (включено) | до 25 сотрудников | ПЭП и УНЭП |
| Тариф «Бизнес» | от 50 ₽ | за сотрудника / мес |
| Минимальная оплата «Бизнес» | 30 000 ₽ / год | от 50 сотрудников |
| «Бизнес» (включено) | неограниченно | ПЭП, УНЭП, УКЭП, 1С |
| Электронный архив | в «Бизнес» | включено |
| Тариф «Корпорация» | по запросу | SLA 99,9% |
Итоговая сумма зависит от численности персонала и набора модулей. Полная информация по тарифам и условиям подключения — на странице тарифы сервиса Добыто КЭДО.
Образцы документов для работы с КЭДО и ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Криптографическая защита информации | Скачать |
Типичные ошибки при тестировании сертификата
Первая — устаревшие корневые сертификаты. Корневые сертификаты Минцифры обновляются раз в несколько лет. Если на машине стоят старые корни, то новые подписи проверять они не будут. КриптоПро вернёт «Не удалось построить цепочку». Решение — скачать актуальные корневые сертификаты с e-trust.gosuslugi.ru и поставить в «Доверенные корневые центры».
Вторая — блокировка фаервола. Корпоративный шлюз блокирует обращения к серверам УЦ, и КриптоПро не может скачать CRL для проверки статуса сертификата. Решение — открыть в фаерволе доступ к доменам УЦ (для Минцифры это reestr-pki.ru, *.gosuslugi.ru и аналоги). Список нужных доменов есть в документации УЦ.
Третья — тест на машине без КриптоПро. Сертификат с алгоритмом ГОСТ невозможно проверить штатными средствами Windows — там нет российской криптографии. Решение — поставить КриптоПро CSP минимум 5.0 R2.
Четвёртая — смешение тестового и боевого контуров. Если на машине установлен корневой сертификат тестового УЦ КриптоПро, а сертификат, который тестируется — боевой, может произойти путаница. КриптоПро попытается строить цепочку через тестовый корень и упадёт. Решение — на боевых машинах не должно быть тестовых корневых сертификатов.
Пятая — проверка на машине, где не работает время. КриптоПро сверяет срок действия сертификата с системными часами компьютера. Если время сильно сбилось (например, ноутбук пролежал разряженным месяц), CSP может ошибочно вернуть «Сертификат ещё не действителен» или «Срок истёк». Решение — синхронизировать системное время с серверами времени (time.windows.com).
Если тест сертификата возвращает непонятную ошибку, не торопитесь обвинять железку или УЦ. В практике Добыто 70% случаев решаются обновлением корневых сертификатов и пересинхронизацией времени. Наши специалисты разбирают типовые сценарии за 30-60 минут по удалёнке — чаще всего без перевыпуска.
Тест сертификата для разных задач
Для подписания кадровых документов в КЭДО тест сертификата обязателен на этапе подключения сотрудника. Если сотрудник принёс УКЭП с собой (например, ту же подпись использует на торгах) — сервис должен убедиться, что она действительна и подходит для подписания трудовых документов. В Добыто КЭДО мы прогоняем тест автоматически при первом входе сотрудника в систему. Если тест не прошёл, сотрудник видит подсказку с конкретной ошибкой и инструкцией — сам или с помощью кадровика её устраняет.
Для сдачи отчётности в ФНС, ПФР, ФСС тест нужен перед каждой отправкой. Сценарий «подписали — отправили — получили отказ через сутки» болезненный: документы возвращаются, сроки сдвигаются, бухгалтеру приходится переделывать. Профилактика — 30 секунд теста перед каждой отправкой.
Для участия в торгах (РТС-Тендер, ЕИС, Альфалот, Московская биржа) тест сертификата делается перед каждым важным действием: подача заявки, подписание контракта. Площадки имеют свои требования к видам подписей — на ЕИС нужна КЭП с расширением OIDIES, на Альфалот — конкретный формат. КриптоПро тест показывает, какие OID есть в сертификате, и удобно сразу увидеть — подойдёт он на нужную площадку или нет.
Для архивного хранения подписанных документов тест сертификата выполняется не только в момент подписания, но и регулярно — чтобы вовремя зафиксировать ситуацию, когда корневой сертификат УЦ обновляется или истекает. Архивариус через 5-10 лет должен иметь возможность подтвердить, что подпись на момент подписания была действительной. Поэтому отчёты о тесте сохраняются вместе с документом.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«На одном из наших проектов в торговой сети (4500 сотрудников) при подключении к КЭДО автоматический тест выявил, что у 320 человек подписи технически невалидны — корневые серты не обновлены, сроки CRL истекли. За три дня всех вернули в строй: обновление корневых заняло на каждого ноутбука 5 минут. Если бы запускали без теста — получили бы триста сотрудников, которые не могут подписать договор, и кадровая бригада была бы в головняке.»
Как использовать тест в инспекции у регулятора
При проверке трудовой инспекцией кадровых документов в КЭДО инспектор может попросить подтвердить, что подпись на конкретном документе была валидна на момент подписания. Если в архиве компании сохранён отчёт КриптоАРМ или КриптоПро о тесте сертификата с указанием даты, серийника, статуса — вопрос закрывается на месте. Без отчёта приходится делать ретроспективную проверку, и тут уже история становится сложнее.
То же касается налоговой инспекции при проверке электронной первички. ФНС имеет право запросить подтверждение действительности подписи на счёте-фактуре или акте. Сохранённый отчёт сразу даёт ответ. Поэтому в крупных компаниях тест и отчёт автоматизируются: при каждом подписании сервер делает тест, складывает отчёт в архив рядом с документом. На странице портала Госуслуг также есть бесплатный сервис проверки ЭП, которым можно пользоваться разово — но для регулярных подписаний нужен локальный архив.
Выводы: тест сертификата ЭП в КриптоПро
Тест сертификата средствами КриптоПро — это базовая операция, которая занимает 30 секунд и закрывает четыре главных вопроса: не истёк ли срок, строится ли цепочка доверия, не отозван ли сертификат, совпадает ли закрытка с открыткой. Прогонять тест перед важными подписаниями — это стандарт работы для тех, кто понимает, что цена ошибки выше, чем цена 30 секунд.
Большинство ошибок при тестировании решаются без перевыпуска: обновлением корневых сертификатов, разрешением фаерволу обращаться к серверам УЦ, синхронизацией системного времени, переустановкой CRL. Только в случае реального отзыва или истечения срока приходится идти в УЦ за новой подписью.
В 2026 году тест сертификата всё чаще автоматизируется: КЭДО-сервисы прогоняют его при первом входе сотрудника, торговые площадки — перед каждой подачей заявки, ФНС — при сдаче отчётности. Поэтому для кадровика, бухгалтера и айтишника навык работать с тестом сертификата становится таким же базовым, как умение проверить интернет.
Часто задаваемые вопросы
Что показывает кнопка «Протестировать» в КриптоПро?
Где скачать актуальные корневые сертификаты Минцифры?
Что значит «Действительность сертификата не определена»?
Как проверить алгоритм подписи в сертификате?
Что такое OID и зачем он в сертификате?
Сколько живёт сертификат от УЦ ФНС?
Как работает отчёт КриптоАРМ о тесте сертификата?
Что делать, если сертификат истёк во время важной операции?
Можно ли тестировать сертификат на удалённом сервере?
Как протестировать сертификат на Госуслугах?
Что такое штамп времени и зачем он в сертификате?
Можно ли проверить сертификат через командную строку?
Что значит «Этот сертификат содержит неверную цифровую подпись»?
Нужно ли тестировать сертификат каждый раз перед подписанием?
Сервис КЭДО Добыто закрывает полный цикл работы с электронной подписью: автоматический тест сертификата при подключении сотрудника, мониторинг истечения сроков, массовое обновление корневых сертификатов в инфраструктуре заказчика. Это снимает с кадровика и айтишника рутину по диагностике и страхует от ситуации «сотни людей не могут подписать документ».
За время работы Добыто подключил более 500 компаний к КЭДО — от стартапов на 30 человек до федеральных холдингов с тысячами сотрудников в разных часовых поясах. На каждом проекте этап настройки тестирования сертификатов автоматизируется на этапе пилота — дальше всё работает без ручного вмешательства.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — с автоматическим тестом при подключении
- Готовый коннектор с 1С (ЗУП, КА, ERP), SAP и Boss-Кадровик — ставится за час без разработчиков
- Виджеты исполнительской дисциплины — кадровик видит, кто не принял приглашение, у кого заканчивается подпись
- Автозакрытие этапа по таймауту — если сотрудник не подписал за N дней, система возвращает документ кадровику
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Хранение документов до 50 лет с регулярным мониторингом действительности подписей в архиве