Ошибки при подписании PDF в КриптоПро возникают на трёх участках: криптопровайдер КриптоПро CSP, модуль КриптоПро PDF и сама программа Adobe (Reader либо Acrobat). Понимание, где именно отвалился процесс, экономит часы — вы перестаёте переустанавливать всё подряд и чините конкретный узел. Разберём коды ошибок (0xFFFFFFFB, 0x80090020, «Набор ключей не существует»), причины статуса «подпись НЕОПРЕДЕЛЕНА» и порядок действий, когда документ вроде подписан, а зелёной галочки нет. Это часть большого материала про электронную подпись и работу с ней, где собраны инструкции по подписанию файлов разных форматов.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Из чего складывается подписание PDF в КриптоПро
Чтобы поставить подпись на PDF по ГОСТ, на машине должны ужиться три компонента. Криптопровайдер КриптоПро CSP — он делает само криптографическое преобразование, версии 3.6 и выше, на практике сейчас это 5.0 R2 или 5.0 R3. Модуль КриптоПро PDF — встраиваемый плагин, который учит программу Adobe формировать и проверять усиленную подпись. И продукт Adobe — Reader либо Acrobat версий 8, 9, X, XI или DC. Если хоть одного звена нет или версии не бьются между собой, подпись не встанет.
Тут важный нюанс, который путает почти всех новичков. КриптоПро PDF для связки с бесплатным Adobe Reader распространяется бесплатно. А вот для Adobe Acrobat нужна отдельная лицензия на модуль — и многие про это узнают ровно в тот момент, когда плагин отказывается подписывать без лишних слов. Сам криптопровайдер CSP лицензируется всегда: демо-режим живёт 90 дней после установки, дальше нужна оплаченная «закрытка» лицензии.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда мне звонят с фразой ‘крипта не подписывает пдф’, я первым делом спрашиваю — а что у вас, Reader или Acrobat? Половина проблем не в крипте, а в том что на Acrobat не положили лицензию на КриптоПро PDF. Денюжки небольшие, но без них штампик не появится.»
Ошибка 0xFFFFFFFB: внутренняя ошибка межпроцессного взаимодействия
Появляется на финальном шаге — вы выбрали сертификат, задали имя файла, нажали «Подписать», и тут вылетает «Внутренняя ошибка при межпроцессном взаимодействии». Документ не сохраняется. Причина почти всегда в конфликте версий Adobe и модуля либо в правах на запись в ту папку, куда сохраняется подписанный файл.
Порядок действий. Сначала проверьте, не пытаетесь ли вы перезаписать исходный открытый файл — Adobe этого не любит, сохраняйте подписанную копию под другим именем и желательно в другую папку, не в «Программные файлы» и не в системные каталоги. Затем запустите Adobe от имени администратора. Если не помогло — переустановите КриптоПро PDF, предварительно сняв галочку с той версии Adobe, которой уже нет на машине. Бывает, что плагин ставился под Acrobat XI, его удалили, поставили DC, а модуль остался привязан к призраку.
Ошибка 0x80090020: неправильно задан параметр отображения подписи
Этот код вылезает при включённой визуализации — когда вы хотите, чтобы на странице PDF появилась видимая плашка «Подписано электронной подписью» по требованиям 63-ФЗ. Одиночная подпись без картинки проходит, пакетная без визуализации проходит, а с визуальным штампом — падает с 0x80090020 и сообщением «Неправильно задан параметр отображения подписи».
В большинстве случаев виновата конкретная версия Adobe. Acrobat 11 (XI) с актуальными сборками КриптоПро PDF 2.0 и CSP 5.0 ведёт себя именно так на визуализации. Лечится сменой версии: ставите Adobe DC, переустанавливаете под него КриптоПро PDF — и плашка начинает рисоваться. Если менять Adobe нельзя, отключите визуальное отображение и подписывайте без штампа: юридическая значимость от картинки не зависит, она держится на самой подписи внутри файла, а не на синеньком квадратике на странице.
Мария Ж, судебный эксперт по трудовому праву:
«Народ часто думает, что плашечка на пдф — это и есть подпись. Нет. Плашка это просто визуализация, рисунок. Юридически значима криптографическая часть, которая зашита в файл. В суде смотрят не на штампик, а на результат проверки подписи. Поэтому если визуализация отвалилась с ошибкой — не паникуйте, документ можно подписать и без неё.»
Ошибка «Набор ключей не существует»
Сообщение «Набор ключей не существует» означает, что Adobe через КриптоПро PDF видит сертификат, но не может добраться до закрытого ключа — той самой «закрытки», без которой подпись не формируется. Связь сертификата с контейнером закрытого ключа нарушена. Так бывает после переустановки системы, смены токена, копирования сертификата без привязки к контейнеру или когда флешку с ключом просто забыли воткнуть в USB.
Чините через КриптоПро CSP. Открываете CSP, вкладка «Сервис», кнопка «Просмотреть сертификаты в контейнере», через «Обзор» выбираете нужный контейнер на токене и заново устанавливаете личный сертификат в хранилище. По сути вы пересобираете привязку сертификата к закрытому ключу. После переустановки сертификата средствами криптопровайдера проблема, как правило, уходит. Проверьте заодно, что носитель определяется системой и драйверы Рутокен или JaCarta стоят свежие.
Образцы документов и инструкции для работы с электронной подписью
Открыть список документов
Статус «подпись НЕОПРЕДЕЛЕНА»: сертификат ненадёжный, проверка отзыва не удалась
Самый частый случай по обращениям. Документ подписался, штампик нарисовался, но вверху жёлтая полоса и в свойствах подписи — «подпись НЕОПРЕДЕЛЕНА, сертификат ненадёжный, проверка сертификата на отзыв не удалась из-за ошибки». Подпись при этом технически рабочая, проблема в проверке доверия на конкретной машине.
Что происходит. Adobe не смог построить цепочку доверия до корневого сертификата либо не достучался до списка отзыва (CRL) или OCSP-службы удостоверяющего центра. Две типовые причины: не установлены корневые сертификаты Минцифры и УЦ (например, УЦ ФНС), либо нет интернета или он режется прокси, и проверка на отзыв обрывается.
Лечение по шагам. Скачайте и поставьте корневой сертификат Минцифры в «Доверенные корневые центры сертификации», а промежуточный сертификат вашего УЦ — в «Промежуточные центры сертификации». Откройте свой личный сертификат, вкладка «Путь сертификации» — там должна выстроиться цепочка без красных крестиков, «зелёная галочка» по всем уровням. Если цепочка целая, а проверка отзыва всё равно падает — дайте машине доступ к адресам CRL вашего УЦ или временно настройте Adobe не требовать проверку отзыва при подписании. Перепроверить результат можно и без локальной крипты — через сервис проверки подписи на портале Госуслуг, он покажет, действителен ли сертификат сам по себе. В практике Добыто мы при настройке рабочих мест клиентов первым делом раскатываем пакет корневых сертификатов на все машины — это снимает процентов восемьдесят жалоб на «неопределённую» подпись ещё до их появления.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Статус ‘неопределена’ пугает людей сильнее всего — кажется, что подпись недействительная. По сути нет. Это машина не смогла проверить доверие, а не подпись плохая. На другом компьютере с корневыми сертификатами и интернетом тот же документ покажет зелёную галочку. Мы это объясняем клиентам в каждом втором проекте.»
Если вы сидите с десятком машин, на каждой свой набор ошибок, и подписать пакет документов нужно было ещё вчера — перестаньте чинить криптопровайдер вручную на каждом рабочем месте. Мы в Добыто разворачиваем подписание без локального КриптоПро на стороне сотрудника: ему не нужно ставить CSP, плагин и модуль PDF, не нужно ловить 0xFFFFFFFB и собирать цепочку доверия руками. Сотрудник подписывает документ через сервис, а вся возня с криптой остаётся на нашей инфраструктуре.
Не активна кнопка «Подписать» в Adobe Reader
Отдельная история — когда подпись вроде настроена, а кнопка подписания серая и недоступна именно в бесплатном Adobe Reader. Дело в правах на сам PDF. Reader подписывает только документы с расширенным доступом. Операция расширения доступа делается в Adobe Acrobat версии 8 и выше — там есть пункт включения расширенных прав для Reader. Без этого Reader открывает файл только на чтение и подписать его не даёт.
Если Acrobat под рукой нет, остаётся два пути: подписать в Acrobat напрямую (но помним про платную лицензию модуля), либо использовать другой инструмент подписания — КриптоАРМ, отдельные standalone-приложения или онлайн-сервис. Кстати, при выборе софта стоит заранее посмотреть программы для подписания документов ЭЦП и их отличия — не каждая умеет встроенную подпись PDF с визуализацией.
Конфликт КриптоПро PDF с другими криптопровайдерами
Классические грабли в организациях, где на одной машине живут два СКЗИ — КриптоПро и ViPNet CSP. ViPNet мешает КриптоПро PDF подписывать, плагин начинает капризничать или вообще не видит ключи. Это известный затык, и решается он либо разведением провайдеров по разным машинам, либо донастройкой порядка их вызова — «танцы с бубном», как это называют безопасники, но рабочие.
Если на компьютере не нужны оба провайдера одновременно — оставьте один. Когда оба нужны для разных информационных систем, лучше заранее заложить время на настройку и тестирование, а не выяснять конфликт в момент сдачи отчётности. Наши специалисты при внедрении всегда проверяют, какие СКЗИ уже стоят у клиента, потому что второй провайдер на машине — это почти гарантированный косяк при подписании.
Ошибки лицензии КриптоПро CSP
Если истекла лицензия на сам криптопровайдер, подписание встанет независимо от того, насколько идеально настроены Adobe и модуль PDF. Демо-период КриптоПро CSP — 90 дней с момента установки, дальше нужна оплаченная лицензия. Лицензия бывает встроенной в сертификат (тогда она действует столько же, сколько сам сертификат, и отдельно ставить её не надо), а бывает отдельной — годовой или бессрочной.
Нюанс с встроенной лицензией. Если в сертификате на токене лицензия КриптоПро зашита, вы можете использовать этот ключ даже на машине, где КриптоПро CSP с истёкшей лицензией — провайдер подхватит лицензию прямо из сертификата при подписании. Но как только захотите подписать другим ключом, в котором лицензии нет, потребуется полная лицензия на саму машину. Проверить статус лицензии можно в панели КриптоПро CSP на вкладке «Общие».
Мария Ж, юрист со стажем более 20 лет:
«Логику в лицензировании КриптоПро искать бессмысленно, его нужно просто понять один раз. Ключ от ФНС обычно идёт со встроенной лицензией — работает где угодно. А вот если вы генерируете запросы на сертификаты сами и тащите чужие ключи — тут уже нужна полная лицензия на рабочее место, и без неё крипта молча откажется подписывать.»
Стоимость перехода на подписание документов без КриптоПро на рабочем месте
Когда ошибок с локальным КриптоПро становится слишком много, компании переводят подписание в облачный сервис, где сотруднику не нужно ставить и настраивать СКЗИ. Стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых модулей. Ниже — тарифы сервиса КЭДО Добыто, в котором подписание кадровых и других документов вынесено из-под локальной крипты.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Старт | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны |
| Бизнес | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив |
| Корпорация | По запросу | Всё из Бизнеса, выделенный сервер, SLA 99.9%, API и кастомные интеграции |
По тарифу Бизнес действует минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от числа сотрудников, нужного набора видов подписи и подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу численность.
Как исправить статус «подпись НЕОПРЕДЕЛЕНА» в PDF: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте подписанный PDF в Adobe и зайдите в свойства подписи, чтобы увидеть точную формулировку ошибки (сертификат ненадёжный / проверка отзыва не удалась).
- Шаг 2. Скачайте корневой сертификат Минцифры России и промежуточный сертификат вашего удостоверяющего центра с официального сайта УЦ.
- Шаг 3. Установите корневой сертификат Минцифры в хранилище «Доверенные корневые центры сертификации», а сертификат УЦ — в «Промежуточные центры сертификации».
- Шаг 4. Откройте свой личный сертификат, перейдите на вкладку «Путь сертификации» и убедитесь, что цепочка выстроена полностью, без значков ошибок.
- Шаг 5. Проверьте доступ машины к интернету и адресам списков отзыва (CRL) вашего УЦ; если доступ режется прокси — откройте его или временно отключите требование проверки отзыва в настройках Adobe.
- Шаг 6. Переоткройте документ — статус должен смениться на действительную подпись с зелёной галочкой.
Выводы: как чинить ошибки подписания PDF в КриптоПро
Любая ошибка при подписании PDF локализуется в одном из трёх звеньев — криптопровайдер CSP, модуль КриптоПро PDF или программа Adobe. Коды 0xFFFFFFFB и 0x80090020 чаще связаны с версией Adobe и визуализацией: помогает запуск от администратора, сохранение копии в другую папку и переустановка модуля под актуальную версию Acrobat или Reader DC. «Набор ключей не существует» — это разрыв привязки сертификата к закрытому ключу, лечится переустановкой личного сертификата средствами КриптоПро CSP. Статус «подпись НЕОПРЕДЕЛЕНА» почти всегда означает не плохую подпись, а отсутствие корневых сертификатов или недоступность проверки отзыва на конкретной машине.
Перед тем как переустанавливать всё подряд, потратьте минуту на диагностику: посмотрите свойства подписи и точную формулировку ошибки, проверьте версию Adobe, статус лицензии CSP и наличие второго криптопровайдера на машине. Корневые сертификаты Минцифры и УЦ ставьте сразу при настройке рабочего места — это снимает большую часть жалоб на «неопределённую» подпись. Для Adobe Reader помните про расширенные права документа, для Acrobat — про платную лицензию модуля КриптоПро PDF.
Чем больше в компании рабочих мест, тем дороже обходится ручная настройка локальной крипты на каждом. Перевод подписания в сервис без локального КриптоПро на стороне сотрудника убирает целый класс ошибок разом и снижает нагрузку на тех, кто эти ошибки разгребает. Это направление, к которому в ближайшие годы будет двигаться большинство компаний с массовым подписанием документов.
Подписать документ электронной подписью онлайн
Часто задаваемые вопросы
Нужна ли платная лицензия для подписания PDF через КриптоПро?
Что значит «подпись НЕОПРЕДЕЛЕНА» и опасно ли это?
Почему появляется ошибка 0x80090020 при подписании?
Как исправить ошибку «Набор ключей не существует»?
Почему в Adobe Reader кнопка «Подписать» неактивна?
Какая версия КриптоПро CSP нужна для подписания PDF?
Почему КриптоПро PDF не подписывает, если на машине стоит ViPNet CSP?
Можно ли подписать PDF без видимого штампа и будет ли он юридически значим?
В чём разница между присоединённой и отсоединённой подписью PDF?
Как проверить, действительна ли подпись на чужом подписанном PDF?
Что делать, если ошибка 0xFFFFFFFB повторяется при каждом подписании?
Где взять корневые сертификаты Минцифры и УЦ для исправления цепочки доверия?
Ошибки при подписании PDF в КриптоПро почти всегда сводятся к одному из узлов: криптопровайдер, модуль PDF или версия Adobe. Чинить их вручную на каждом рабочем месте — дело долгое, особенно когда людей много, а подписать пакет документов нужно срочно. Сервис Добыто убирает локальную крипту из этой цепочки: сотрудник подписывает документ без установки КриптоПро CSP, плагина и модуля PDF на свой компьютер.
За время работы мы подключили сотни компаний и видим одни и те же грабли — конфликты провайдеров, истёкшие лицензии, разорванные цепочки доверия. Когда подписание уходит на сторону сервиса, этот класс проблем исчезает целиком, а тех, кто раньше разгребал жалобы пользователей, освобождается.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого документа
- Мобильное приложение для подписания с телефона, без установки крипты на рабочее место
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Три вида поставки — облачная, on-premise, гибридная — под требования ИБ компании
- Хранение документов до 50 лет с сохранением доступа к архиву