Не получается подписать документ ЭП: причины и решения

Не получается подписать документ электронной подписью — типичная ситуация, когда система выдаёт ошибку, не видит сертификат, зависает на этапе выбора ключа или сообщает, что подпись недействительна. Здесь разобраны все причины, по которым подписание срывается: от не установленного драйвера токена до истёкшего сертификата и неверно выбранного вида подписи. Вы поймёте, что проверить в первую очередь, как починить рабочее место за один заход и почему иногда дело вовсе не в технике, а в том, что документ просто нельзя подписать выбранной подписью. Это часть большого материала про как подписать документ электронной подписью, где собраны инструкции по всем программам и сервисам.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Почему не получается подписать документ электронной подписью: с чего начать диагностику

Подписание срывается по одной из четырёх групп причин. Первая — программная: не установлен или устарел крипто-провайдер, нет драйвера носителя, отвалился плагин в браузере. Вторая — с сертификатом: он истёк, отозван, не виден системе или у него не подтянулась цепочка корневых сертификатов. Третья — с носителем: токен не определяется, неверный пин-код, контейнер пустой. Четвёртая, самая коварная, — юридическая. Вы пытаетесь подписать документ такой подписью, которой его подписывать нельзя. И вот тут программа честно отрабатывает, а нужного результата нет.

Логику диагностики держите простой. Сначала смотрите, видит ли вообще система ваш сертификат. Если не видит — проблема в носителе или провайдере. Если видит, но при подписании выдаёт ошибку — смотрите срок действия и цепочку. Если всё действительно, а площадка отказывается принимать — дело в требованиях самой системы к виду подписи. Я тысячу раз проходила этот путь и скажу так: в 8 случаях из 10 затык на самом банальном — не накатили один компонент или выбрали в выпадающем списке не тот серт.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Первое, что я прошу сделать, когда сотрудник пишет «у меня ничего не подписывается», — перезагрузить машину и проверить, вставлена ли флешка. Звучит как издёвка, но половина обращений закрывается на этом шаге. А вот если серт виден, а подпись не идёт — тогда уже лезем в срок действия и цепочку, тут просто перезапуском не отделаешься.»

Не установлен или устарел КриптоПро, драйвер и плагин

Для подписания через КриптоПро на рабочем месте должны стоять четыре вещи: драйвер ключевого носителя (Рутокен, JaCarta, eSmart), сам крипто-провайдер КриптоПро CSP версии 5.0 R2 (сборка 12000 или выше), плагин КриптоПро ЭЦП Browser Plug-in для работы через браузер и корневые сертификаты Минцифры и удостоверяющего центра, который выдал подпись. Нет хотя бы одного компонента — подписание не запускается. Самая частая картина: установили КриптоПро, а драйвер токена забыли, и система просто не видит флешку.

Версия провайдера важнее, чем кажется. Старый КриптоПро 4.0 умеет работать только с извлекаемыми пассивными ключами. Если у вас новый токен с неизвлекаемым ключом формата ФКН, на четвёртой версии он не заведётся в принципе — нужна 5.0 R2 и выше. Обратная ситуация тоже бывает: ключ сгенерирован под защиту канала по новому протоколу, а вы пытаетесь подписать на машине со старым провайдером. Отсюда и ошибки, которые на первый взгляд необъяснимы.

Что делать по шагам. Определите тип носителя визуально или по документам, скачайте драйвер с сайта производителя (Рутокен — rutoken.ru, JaCarta — aladdin-rd.ru), установите. Затем поставьте КриптоПро CSP актуальной версии. Дальше — плагин и расширение крипто-плагина для вашего браузера. И обязательно корневые сертификаты: без них цепочка не строится и подпись будет помечена как недоверенная. В практике Добыто мы при онбординге сотрудника на подписание прогоняем этот чек-лист сразу, потому что добирать компоненты по одному — это потеря дня на ровном месте.

Программы для разных задач: чем подписать, если КриптоПро не подходит

КриптоПро — не единственный инструмент. Для подписания и проверки PDF есть отдельные решения вроде КриптоАРМ ГОСТ 3 и КриптоАРМ 6 со встроенным просмотрщиком PDF, есть Saby Crypto, есть OfficeCrypto для офисных файлов. Если вам нужно создать отсоединённую подпись в формате SIG, удобнее работать через специализированную программу — создать отсоединённую подпись в КриптоПро можно за пару кликов, но логику присоединённой и открепленной подписи лучше понимать заранее, иначе получите не тот файл. Полный разбор инструментов — в материале про программы для подписания документов ЭЦП.

Сертификат не виден, истёк или отозван

Если система не находит ни одного сертификата на этапе выбора, причин три. Сертификат не установлен в личное хранилище — его нужно поместить через персональный менеджер или вкладку «Сервис» в КриптоПро. Токен не определился — смотрите драйвер. Или закрытый ключ на носителе не привязан к сертификату — такое бывает после переноса контейнера. Отдельная история — сообщение «нет действующих сертификатов»: оно означает, что серт нашёлся, но он уже за пределами срока действия.

Срок действия — частая ловушка. Ключ подписи и сертификат ключа проверки имеют разные сроки. Подписывать вы можете до окончания срока действия ключа подписи, а проверять подписанное — до окончания срока ключа проверки. Если сертификат истёк вчера, сегодня подписать им документ нельзя, нужно перевыпускать. Поэтому я всем советую держать в календаре напоминание за две-три недели до окончания срока: продление спокойно, без аврала, экономит нервы.

Отзыв сертификата — отдельный случай. Если подпись скомпрометирована, утеряна флешка или сотрудник уволился, сертификат отзывают, и удостоверяющий центр включает его в список отозванных. После этого любой документ, подписанный таким сертификатом, проверку не пройдёт. Важный нюанс: удаление подписи из реестра у себя не равно отзыву. Отзывать нужно через тот орган, который выдавал подпись — ФНС или аккредитованный УЦ, по заявлению владельца.

Мария Ж, судебный эксперт по трудовому праву:
«Видела дела, где спор упирался ровно в момент подписания: сертификат на эту дату был уже отозван, а документ всё равно подписали. В суде такая подпись разваливается. Поэтому усовершенствованная подпись с меткой доверенного времени — не блажь, а защита. Она фиксирует, что серт действовал именно в секунду подписания, и потом никто не докажет обратное.»

Как проверить, действительна ли подпись, перед подписанием

Показать пошаговую инструкцию

Шаг 1. Откройте КриптоПро CSP, вкладку «Сервис», нажмите «Просмотреть сертификаты в контейнере» и выберите носитель.
Шаг 2. Проверьте срок действия: дата окончания должна быть позже текущей. Если срок истёк — подписать не выйдет, перевыпускайте.
Шаг 3. Убедитесь, что цепочка корневых сертификатов целая: в свойствах сертификата на вкладке «Путь сертификации» не должно быть восклицательных знаков.
Шаг 4. Проверьте, не отозван ли сертификат — по списку отозванных или через сервис проверки на портале Госуслуг.
Шаг 5. Сделайте пробное подписание любого тестового файла. Если оно прошло — рабочее место настроено корректно.

Ошибки при подписании в браузере и на госпорталах

На Госуслугах, в системе «Мой Арбитр», на торговых площадках подписание идёт через браузер, и причин сбоя добавляется. Не активирован крипто-плагин — кнопка подписи не реагирует. Сайт не добавлен в надёжные узлы — браузер блокирует обращение к подписи. Используется неподходящий браузер. Отдельно отмечу: для ряда госсистем до сих пор живёт настройка через старый Internet Explorer с включением элементов ActiveX, хотя современные порталы давно работают через плагин в обычном браузере.

Если подписываете через Госключ, логика другая. Подпись хранится в смартфоне, как в токене, и не копируется на другое устройство. Поэтому при смене телефона старая подпись остаётся недоступна — её придётся выпускать заново. Если приложение не подписывает, чаще всего дело в незавершённой идентификации личности либо в отсутствии интернета. Потеряли телефон — подпись деактивируют через техподдержку, и за вас ею уже никто не подпишет, там стоит пин-код. Проверить результат подписания и статус сертификата можно на портале Госуслуг в сервисе подтверждения электронной подписи — это официальный инструмент, доступный на сервисе проверки подписи Госуслуг.

Образцы документов и памятки для настройки подписи

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Руководство пользователя Добыто КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Приказ о КЭДО	Скачать
Приказ о введении КЭДО	Скачать

Токен не определяется, неверный пин-код и проблемы с флешкой

Носитель — вторая по частоте причина. USB-токен не определился — проверьте драйвер и сам порт, иногда помогает простое переподключение. Неверный пин-код блокирует доступ к закрытому ключу: после нескольких ошибок токен может уйти в блокировку, и разблокировать его придётся через утилиту управления или техподдержку. Пустой контейнер означает, что ключа на носителе нет — подписать нечем.

Отдельный нюанс — извлекаемые и неизвлекаемые ключи. Извлекаемый ключ на короткое время попадает в оперативную память компьютера при подписании, его можно скопировать. Неизвлекаемый рождается и живёт внутри чипа токена и наружу не выходит — скопировать его нельзя в принципе. Для квалифицированной подписи от ФНС обычно выдают неэкспортируемый контейнер, и попытка скопировать его на другую флешку закончится ничем. Это не поломка, это защита.

Ещё одна тонкая вещь — лицензия КриптоПро. Часто её вшивают в сам сертификат на срок его действия. Если вы подписываете на машине с истёкшей лицензией КриптоПро, но используете тот ключ, в сертификат которого лицензия включена, подписание пройдёт. А вот другим ключом на этой же машине подписать уже не выйдет — потребуется полная лицензия. Это сбивает с толку: вроде вчера всё работало, а сегодня нет.

Когда подписание срывается перед сдачей отчётности или важной сделкой, разбираться в драйверах и контейнерах некогда. В сервисе Добыто рабочее место под подписание настраивают по чек-листу: драйвер, провайдер, плагин, корневые сертификаты — всё за один заход, без хождения по форумам. А подписание через мобильное приложение вообще снимает вопрос с токенами и плагинами.

Попробуйте ДОБЫТО КЭДО

Документ нельзя подписать этой подписью: юридические причины

Самый недооценённый класс проблем. Программа работает, серт действителен, а площадка или контрагент отказываются принимать подпись. Причина — несоответствие вида подписи документу. Простой электронной подписью нельзя подписать то, что требует усиленной. Трудовой договор со стороны работодателя подписывается только усиленной квалифицированной подписью — ПЭП тут не пройдёт. Для ряда документов нужна именно квалифицированная, и неквалифицированная не подойдёт, как бы корректно она ни была выпущена.

В кадровом документообороте есть документы, которые вообще нельзя переводить в электронный вид и подписывать ЭП: приказ об увольнении, акт о несчастном случае на производстве, журнал инструктажей по охране труда, бумажная трудовая книжка. Если вы пытаетесь подписать такой документ в системе, а он не уходит — это не баг, это так и задумано законом. Мы в практике Добыто на старте проекта прогоняем весь перечень кадровых документов через классификатор: что можно подписывать, чем именно и какой нормой это закреплено. Иначе эйчар тратит часы, пытаясь подписать то, что в электронном виде существовать не должно.

Ещё одна логическая причина отказа — попытка подписать документ задним числом. В нормальной системе КЭДО время подписания фиксируется автоматически, и нарисовать вчерашнюю дату не получится. Это правильно: именно отметки времени защищают вас при проверке. И последнее: подписанный документ нельзя редактировать. Любое изменение файла после подписания делает подпись недействительной — при проверке система покажет, что документ был изменён после подписания.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самый частый головняк не технический, а смысловой. Эйчар грузит приказ об увольнении в систему и удивляется, почему не подписывается. А его и не должно — этот документ по закону только на бумаге. Мы поэтому в Добыто закладываем на старте обучение пилотной группы: люди должны понимать, что чем подписывают, иначе грабли вылезут именно на проверке ГИТ.»

Подписать документ электронной подписью онлайн

1 Загрузите необходимые файлы:

Перетащите или выберите файл

2 Выберите электронную подпись:

Нажимая кнопку «Подписать», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Стоимость подписания документов в сервисе КЭДО Добыто

Стоимость зависит от численности персонала, выбранного тарифа и набора видов подписи, которые нужны компании. Для внутренних кадровых документов часто хватает ПЭП и УНЭП, а для трудовых договоров со стороны работодателя нужна УКЭП — и это уже другой расклад по бюджету. Выпуск подписи для сотрудника в сервисе включён в тариф.

Тариф	Стоимость	Условия
Старт — ПЭП и УНЭП, базовые шаблоны	от 30 ₽ за сотрудника / мес	до 25 сотрудников
Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С	от 50 ₽ за сотрудника / мес	от 50 сотрудников за 30 000 ₽ в год
Корпорация — всё из Бизнеса, SLA 99.9%, API	по запросу	выделенный сервер

Итоговая сумма складывается из численности, тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее и подобрать конфигурацию под вашу задачу. Если нужен расчёт затрат на саму криптографию, пригодится отдельный калькулятор КриптоПро.

Выводы: что проверить, если документ не подписывается

Когда подписание не идёт, двигайтесь по уровням. Сначала техника: установлен ли драйвер носителя, стоит ли КриптоПро CSP версии 5.0 R2 или выше, активирован ли плагин в браузере, на месте ли корневые сертификаты Минцифры и удостоверяющего центра. Если система видит сертификат, проверьте его срок действия и не отозван ли он — истёкший или отозванный сертификат подписать документ не позволит, нужен перевыпуск через ФНС или аккредитованный УЦ.

Если с техникой и сертификатом всё в порядке, причина юридическая. Сопоставьте вид подписи и документ: трудовой договор и ряд кадровых документов требуют УКЭП, простая подпись для них не подойдёт. Помните, что приказ об увольнении, акт о несчастном случае и журнал инструктажей в электронном виде не подписываются по закону, а отредактированный после подписания файл автоматически теряет валидность подписи. Заведите напоминание об окончании срока сертификата за две-три недели и используйте метку доверенного времени для документов, которые предстоит хранить годами, — это снимает большую часть проблем ещё до их появления.

Часто задаваемые вопросы

Почему система не видит сертификат при подписании?

Чаще всего сертификат не помещён в личное хранилище, не установлен драйвер ключевого носителя или токен физически не определился. Проверьте через КриптоПро CSP на вкладке «Сервис» наличие контейнера, переподключите носитель и убедитесь, что драйвер Рутокен, JaCarta или eSmart установлен. Если сертификат виден, но помечен ошибкой — смотрите срок действия и цепочку корневых сертификатов.

Что означает «нет действующих сертификатов» и как исправить?

Сообщение означает, что сертификат найден, но срок его действия истёк либо он отозван. Подписать документ им нельзя. Проверьте дату окончания в свойствах сертификата. Если срок прошёл — подпись нужно перевыпустить в удостоверяющем центре ФНС или аккредитованном УЦ. Если сертификат должен быть действующим, проверьте, не сбита ли системная дата на компьютере.

Почему не получается подписать трудовой договор простой электронной подписью?

Трудовой договор со стороны работодателя подписывается усиленной квалифицированной электронной подписью, простая для этого не подходит. Это требование закона, а не сбой программы. Со стороны работника, в зависимости от настроек системы, может применяться УНЭП или ПЭП, но работодатель должен использовать УКЭП.

Какая версия КриптоПро CSP нужна для подписания?

Для актуальных носителей рекомендуется КриптоПро CSP версии 5.0 R2 (сборка 12000 или выше). Старый КриптоПро 4.0 работает только с извлекаемыми пассивными ключами и не поддерживает неизвлекаемые ключи формата ФКН на новых токенах. Если у вас новый токен, на четвёртой версии подписание не запустится.

Что делать, если не работает плагин КриптоПро в браузере?

Убедитесь, что установлен КриптоПро ЭЦП Browser Plug-in и активировано расширение крипто-плагина в вашем браузере. Для ряда госпорталов сайт нужно добавить в список надёжных узлов. Если кнопка подписи не реагирует — перезапустите браузер и проверьте, что расширение включено. На некоторых старых госсистемах требуется настройка через Internet Explorer с включением элементов ActiveX.

Почему токен не определяется компьютером?

Первая причина — не установлен драйвер носителя. Скачайте его с сайта производителя: Рутокен — rutoken.ru, JaCarta — aladdin-rd.ru, eSmart — esmart.ru. Вторая — проблема с USB-портом, попробуйте переподключить токен в другой порт. Если после нескольких неверных пин-кодов токен заблокировался, разблокировку выполняют через утилиту управления носителем или техподдержку.

Можно ли подписать документ задним числом в КЭДО?

Нет. В системе кадрового электронного документооборота время подписания фиксируется автоматически с точностью до минуты, и поставить вчерашнюю дату невозможно. Это защищает обе стороны: отметки времени подтверждают, когда именно был подписан документ. Если документ нужно оформить с прошедшей датой, его подписывают на бумаге.

Какие документы нельзя подписать электронной подписью в кадровом учёте?

В электронном виде не оформляются и не подписываются ЭП: приказ об увольнении, акт о несчастном случае на производстве, журнал инструктажей по охране труда и бумажная трудовая книжка. Если такой документ не подписывается в системе — это не ошибка, а ограничение закона. Эти документы ведутся на бумаге.

Почему подпись становится недействительной после редактирования документа?

Электронная подпись привязана к содержимому файла. Любое изменение документа после подписания — даже перестановка пробела — меняет его контрольную сумму, и при проверке система покажет, что документ был изменён после подписания. Поэтому подписанный файл редактировать нельзя: если нужны правки, документ переподписывают заново.

Что делать, если потерял телефон с подписью Госключ?

Подпись в Госключе хранится в самом смартфоне и защищена пин-кодом, на другое устройство её перенести нельзя. При утере телефона обратитесь в техподдержку для деактивации — за вас ею никто не подпишет. После этого подпись выпускается заново на новом устройстве. Все ранее подписанные документы при этом не теряются, они остаются доступны через сервис.

Почему подписание работало вчера, а сегодня выдаёт ошибку лицензии?

Часто лицензия КриптоПро вшита в сам сертификат на срок его действия. Подписать вы можете тем ключом, в сертификат которого включена лицензия, даже на машине с истёкшей лицензией провайдера. А вот другим ключом на этой же машине подписать не выйдет — нужна полная лицензия КриптоПро CSP. Проверьте, каким именно сертификатом вы подписываете.

Как проверить, что документ действительно подписан, а не просто содержит штамп?

Графический штамп с надписью «Подписано электронной подписью» — это визуализация, а не сама подпись. Реальная подпись лежит либо внутри документа, либо отдельным файлом SIG. Проверить подлинность можно через сервис проверки на портале Госуслуг, в КриптоПро или специализированных сервисах: они покажут статус подписи, владельца сертификата и не был ли документ изменён после подписания.

Если подписание срывается раз за разом, а времени разбираться в драйверах, контейнерах и версиях провайдера нет, имеет смысл вынести эту головную боль в сервис, где всё уже настроено. Добыто подключил к электронному подписанию более 500 компаний, и на каждом проекте этап настройки рабочих мест и обучения сотрудников мы ведём до момента, когда люди подписывают самостоятельно и без сбоев.

Сервис закрывает и техническую часть, и юридическую: система сама подсказывает, какой документ каким видом подписи подписывать, и не даёт отправить на подпись то, что в электронном виде существовать не должно. Это снимает большую часть ошибок ещё до их появления.

Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого документа
Мобильное приложение для подписания с телефона — без токенов, драйверов и плагинов
Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
Автосбор комплекта документов под должность — система сама определяет, что подписывать сотруднику
Сопровождение клиента до первых 50 подписаний — провайдер ведёт до полностью самостоятельной работы
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора

Запросить демо-доступ