Как выглядит сертификат электронной подписи — вопрос, с которым сталкивается каждый, кто впервые получил УКЭП в налоговой или выпустил УНЭП через Госключ. Сертификат нельзя потрогать: это файл с набором полей, который открывается на компьютере, в мобильном приложении или в личном кабинете Госуслуг. В статье разберём, какие поля содержит сертификат, где его найти на компьютере, как выглядит штамп подписи на документе и чем визуально отличаются сертификаты ПЭП, УНЭП и УКЭП. Если вам нужно не просто посмотреть сертификат, а убедиться в его действительности, пригодится материал про то, как выполняется проверка электронной подписи на документе.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое сертификат электронной подписи и какие поля он содержит
Сертификат ключа проверки электронной подписи — электронный документ, который связывает открытый ключ с конкретным человеком или организацией. Требования к нему установлены статьёй 17 закона 63-ФЗ «Об электронной подписи». Физически это файл с расширением .cer или .crt, размер файла вместе с цепочкой — до 12 килобайт. На стандартный токен с защищённой памятью 128 килобайт помещается до 31 контейнера с извлекаемыми ключами. Сам сертификат никакой картинки не содержит. Открываете файл — видите окно с вкладками «Общие», «Состав», «Путь сертификации». Всё.
Обязательные поля квалифицированного сертификата: уникальный серийный номер, ФИО владельца (для юрлица — наименование организации, ИНН, ОГРН и данные руководителя), СНИЛС и ИНН физлица, наименование аккредитованного удостоверяющего центра, срок действия (даты «действителен с» и «действителен по»), сам открытый ключ и алгоритм по ГОСТ, область применения ключа. Плюс подпись самого УЦ, которая скрепляет все эти поля. Убрать хотя бы одно поле — и сертификат перестаёт быть квалифицированным.
Нюанс в том, что термин ЭЦП формально устарел ещё с принятием 63-ФЗ: правильно говорить «электронная подпись», но сокращение «ЭЦП» прижилось намертво, его используют и кадровики, и айтишники, и мы в этой статье тоже.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Люди часто путают три вещи: сертификат, закрытку и сам файл подписи. Сертификат — это открытая часть, его можно показывать кому угодно. Закрытый ключ живёт на флешке или в чипе токена и наружу не выходит. А сиг-файл — это уже результат подписания конкретного документа. Когда клиент говорит ‘пришлите мне вашу ЭЦП’, в 100% случаев он имеет в виду сертификат.»
Как выглядит сертификат на компьютере: КриптоПро и хранилище Windows
На рабочем месте с УКЭП сертификат отображается в двух местах: в оснастке КриптоПро CSP (вкладка «Сервис» — «Просмотреть сертификаты в контейнере») и в системном хранилище Windows «Личное». Для корректной работы нужны драйверы носителя (Рутокен, JaCarta, eSmart), КриптоПро CSP версии 5.0 R2 сборки 12000 или выше, крипто-плагин для браузера и корневые сертификаты Минцифры и УЦ ФНС — они скачиваются с uc.nalog.ru/crt, файлы guc_22.cert и CA_FNS_Russia_2022_01.cert.
Двойной клик по сертификату открывает окно свойств. На вкладке «Общие» — кому выдан, кем выдан, срок действия. На вкладке «Состав» — все поля по отдельности: серийный номер, алгоритм подписи, открытый ключ, СНИЛС, ИНН, точки распространения списков отзыва. Вкладка «Путь сертификации» показывает цепочку доверия: ваш сертификат — УЦ ФНС — головной УЦ Минцифры. Если в цепочке стоит красный крестик, значит корневые сертификаты не установлены и подпись работать не будет.
Важный момент с носителями. Ключи бывают извлекаемые (токен работает просто как защищённое пин-кодом хранилище) и неизвлекаемые — когда закрытый ключ рождается, живёт и умирает внутри крипто-ядра токена и подпись формируется на борту устройства. УЦ ФНС с 01.01.2022 выдаёт руководителям и ИП сертификаты бесплатно, при этом по регламенту УЦ ФНС контейнер всегда неэкспортируемый — скопировать его на другую флешку не получится. Лицензия КриптоПро в этом случае вшивается внутрь сертификата и действует столько же, сколько сам сертификат.
Мария Ж, юрист со стажем более 20 лет:
«На внедрениях КЭДО мы регулярно видим одну и ту же картину: серт установлен, а цепочка доверия битая, потому что забыли поставить корневые сертификаты Минцифры. Человек шарится по окнам КриптоПро, ищет ошибку в своём сертификате, а проблема вообще не в нём. Проверка пути сертификации — первое, что нужно смотреть.»
Как выглядит электронная подпись на документе: штамп и sig-файл
Сертификат — это удостоверение. А вот на подписанном документе подпись выглядит иначе. Вариант первый: присоединённая или отсоединённая подпись в формате .sig — отдельный файл или контейнер, внутри которого зашиты хэш документа, подпись и тот самый сертификат. Открывать его глазами бессмысленно, там бинарные данные. Вариант второй — визуализация: синенький квадратик или плашка на PDF, где написано «Документ подписан электронной подписью», ФИО, номер сертификата и срок его действия. Юридической силы сам штампик не несёт — это картинка для удобства человека, значимость обеспечивает криптографическая часть.
На портале Работа в России после подписания кадрового документа сотрудником появляется дополнительный штамп Федеральной службы по труду и занятости — в нём указан сертификат усиленной подписи, которой документ скреплён поверх. В сервисах КЭДО на документе отображаются все подписи цепочки: например, подпись работодателя и подпись работника с отметками времени. В практике Добыто именно эта плашка с двумя подписями чаще всего запрашивается юристами компаний при спорах — она наглядно показывает, кто и когда подписал документ. Как технически формируется файл подписи, мы разбирали в материале про то, как подписать документ УКЭП онлайн — там же показано, где на подписанном файле искать сведения о сертификате.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Файл подписи
Подписать документ электронной подписью онлайн
Сертификаты ПЭП, УНЭП и УКЭП: чем отличается их вид
Внешний вид зависит от вида подписи. У ПЭП сертификата нет вообще — это связка логина, пароля и одноразки из SMS. Говорить «квалифицированный сертификат ПЭП» — терминологическая ошибка, такого объекта не существует. ПЭП выглядит как код подтверждения, и всё, что остаётся на документе, — запись в системе о том, что код введён.
У УНЭП сертификат есть, но требования к нему мягче: аккредитация УЦ не нужна. Типичный пример — Госключ. Правила формирования УНЭП в Госключе регулирует постановление Правительства от 01.12.2021 № 2152. Сертификат формируется дистанционно за несколько минут: скачали приложение, подтвердили учётку Госуслуг и номер телефона — и сертификат уже в смартфоне. Для УКЭП в Госключе дополнительно нужна идентификация, в том числе по биометрии или загранпаспорту с чипом. Выглядит такой сертификат как карточка в приложении: ФИО, срок действия, тип подписи. Никаких флешек и колпачков.
УКЭП от аккредитованного УЦ — самый строгий формат: квалифицированный сертификат со всеми полями по ст. 17 63-ФЗ, закрытый ключ на токене или в облаке. В КЭДО работают все три вида: мы в Добыто подключаем компании так, что кадровые приказы сотрудники подписывают ПЭП или УНЭП, а трудовые договоры и допники — УНЭП или УКЭП, в зависимости от того, что закреплено в ЛНА о переходе на электронный документооборот.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Эйчары часто просят выпустить всем сотрудникам УКЭП ‘на всякий случай’. Для внутренних кадровых документов в большинстве сценариев хватает УНЭП через Госключ — сертификат формируется за пару минут, без токенов и без визита в УЦ, а для работодателя это совсем другие денежки. УКЭП оставляем тем, кто реально подписывает договоры с контрагентами.»
Образцы документов для запуска электронного документооборота и работы с подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО (образец) | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации: процессы формирования и проверки подписи | Скачать |
Где посмотреть и проверить сертификат электронной подписи
Проверить свой сертификат можно тремя способами. Первый — на компьютере через КриптоПро CSP, как описано выше. Второй — на Госуслугах: в личном кабинете, раздел «Электронная подпись», отображаются все сертификаты, выпущенные на ваше имя, включая сертификаты Госключа, с серийными номерами и сроками действия. Там же работает сервис проверки электронной подписи на портале Госуслуг — загружаете подписанный файл и получаете сведения о сертификате подписанта и статусе подписи. Третий способ — онлайн-сервисы проверки, включая форму Добыто выше по тексту: они разворачивают sig-файл и показывают, каким сертификатом подписан документ и действовал ли он на момент подписания.
Кстати, регулярный просмотр срока действия — не формальность. Сертификат живёт, как правило, 12-15 месяцев, и просроченный серт — самая частая причина затыка при массовом подписании. В сервисе Добыто кадровик видит в виджете, у кого из сотрудников подпись заканчивается, и перевыпускает её заранее, до того как встанет подписание отпусков или ЛНА.
Если сотрудники присылают вам скриншоты с ошибками сертификатов, а подписание кадровых документов стоит — настройку подписей можно отдать провайдеру. Специалисты Добыто выпускают ПЭП и УНЭП сотрудникам массово, следят за сроками действия сертификатов и подключают Госключ, чтобы кадровая служба не разбиралась с токенами и цепочками доверия вручную.
Типичные ошибки при работе с сертификатом ЭП
Ошибка первая: покупка УКЭП всем сотрудникам подряд. Мотив понятный — «чтобы точно всё было легитимно». Цена ошибки: коммерческий сертификат с токеном и лицензией обходится в тысячи рублей на человека в год, при штате 500 человек это миллионы, тогда как ТК РФ для большинства кадровых документов допускает УНЭП, которую сотрудник получает бесплатно в Госключе. Плюс ТК прямо запрещает возлагать расходы на выпуск ЭП на работника — платит работодатель.
Ошибка вторая: игнорирование корневых сертификатов при настройке рабочего места. Делают так потому, что личный сертификат установился и внешне всё выглядит рабочим. Итог — подпись не проходит проверку в информационных системах, декларации и документы возвращаются, а сроки сдачи горят.
Ошибка третья: хранение токена без контроля и передача закрытки коллегам «для удобства». Экономят время — получают риск: подпись юридически равнозначна собственноручной, и документы, подписанные чужим сертификатом, оспорить крайне трудно. Наши специалисты при внедрении КЭДО отдельно прописывают в ЛНА порядок хранения носителей, вплоть до сейфа для токенов у безопасников.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике вопрос почти всегда один: чей сертификат стоит на документе и действовал ли он в момент подписания. Вся цепочка подписей с отметками времени — это то, что реально защищает работодателя в споре. Поэтому я всегда советую: не давайте флешку с закрыткой никому, даже главбуху, даже на пять минут.»
Стоимость подключения электронной подписи и КЭДО в Добыто
Затраты складываются из двух частей: сам сертификат (УНЭП в Госключе для сотрудника бесплатна, УКЭП руководителя — бесплатно в УЦ ФНС, коммерческие УКЭП оплачиваются отдельно по прайсу УЦ) и стоимость сервиса КЭДО, в котором эти подписи применяются. Тарифы Добыто привязаны к численности персонала и набору видов подписи.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Старт: ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес: ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Бизнес: приоритетная поддержка | входит в тариф | неограниченно сотрудников |
| Корпорация: выделенный сервер, SLA 99.9%, персональный менеджер | по запросу | крупный бизнес |
| Корпорация: API и кастомные интеграции | по запросу | в составе тарифа |
Итоговая сумма зависит от численности штата, выбранного тарифа и того, нужна ли компании УКЭП в контуре сервиса или достаточно ПЭП и УНЭП — актуальные тарифы сервиса Добыто помогут посчитать бюджет под ваш штат точнее. Для компаний, которые начинают с пилотной группы, мы обычно рекомендуем тариф Старт: 25 сотрудников хватает, чтобы откатать процесс подписания до раскатывания на всю компанию.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Выводы: как выглядит сертификат электронной подписи
Сертификат электронной подписи — это файл .cer с набором обязательных полей по ст. 17 63-ФЗ: серийный номер, данные владельца (для физлица — ФИО, СНИЛС, ИНН), наименование удостоверяющего центра, срок действия и открытый ключ. На компьютере он открывается как окно с вкладками «Общие», «Состав» и «Путь сертификации», в Госключе — как карточка в приложении, а на подписанном документе отображается штампом с ФИО и номером сертификата, который сам по себе юридической силы не несёт. У ПЭП сертификата не существует, у УНЭП сертификат есть без требования аккредитации УЦ, у УКЭП — строгий квалифицированный сертификат от аккредитованного центра.
Практически важно проверить три вещи: срок действия сертификата, целостность цепочки доверия (корневые сертификаты Минцифры и УЦ ФНС с uc.nalog.ru/crt должны стоять на рабочем месте) и принадлежность закрытого ключа только владельцу. Руководители и ИП получают УКЭП бесплатно в УЦ ФНС с 2022 года, сотрудники для кадровых документов — УНЭП в Госключе за несколько минут, для чего нужна подтверждённая учётная запись Госуслуг. Расходы на выпуск подписи работнику несёт работодатель.
Тренд ближайших лет — смещение к мобильным сертификатам: Госключ уже перешагнул миллион скачиваний, формирование сертификата занимает минуты, а подписание кадрового документа со смартфона — меньше минуты. Токены и флешки останутся у руководителей и в сценариях с повышенными требованиями безопасности, где нужны неизвлекаемые ключи с подписью на борту устройства.
Часто задаваемые вопросы
Сколько действует сертификат электронной подписи?
Чем отличается извлекаемый ключ от неизвлекаемого?
Можно ли скопировать сертификат ФНС на другой носитель?
Где хранятся сертификаты Госключа?
Что делать, если в пути сертификации стоит красный крестик?
Сколько сертификатов помещается на один токен?
Нужна ли лицензия КриптоПро, если она «вшита» в сертификат?
Имеет ли юридическую силу штамп подписи на PDF?
Какие данные юрлица видны в квалифицированном сертификате?
Почему на портале Работа в России на документе появляется второй штамп?
Кто оплачивает выпуск сертификата ЭП для сотрудника при КЭДО?
Как выглядит сертификат на смарт-карте с NFC?
Теперь вы знаете, что скрывается за словами «сертификат электронной подписи»: поля по 63-ФЗ, окно свойств в КриптоПро, карточка в Госключе и штамп на подписанном документе. Остаётся практическая часть — выпустить подписи сотрудникам, закрепить виды ЭП в ЛНА и запустить подписание кадровых документов.
Сервис Добыто подключает компании к КЭДО с поддержкой всех видов подписи: сотрудники получают ПЭП или УНЭП через Госключ без токенов и визитов в УЦ, кадровик контролирует сроки действия сертификатов из виджетов, а каждая подпись фиксируется с отметкой времени — это рабочий аргумент при проверках ГИТ и в судах. Небольшие компании стартуют за 1 день, крупные — поэтапно, по подразделениям.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Массовая выдача подписей одним нажатием — при приёме нового отдела не нужно оформлять каждого сотрудника поштучно
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Юридическая обвязка из коробки: шаблоны ЛНА о ЭДО, порядок осуществления, формы согласий сотрудников
- Скорость внедрения от 1 дня для небольших компаний