Проверка ЭЦП CAdES BES в КриптоПро: тест подписи в 2026

Q: Как улучшить CAdES BES до CAdES T или X Long Type 1?

Через КриптоАРМ ГОСТ 3 - открыть подпись, нажать Улучшить подпись, выбрать целевой формат. Программа подключится к настроенным службам TSP и OCSP и добавит нужные атрибуты в контейнер. На сервере удобнее использовать КриптоАРМ Server - он умеет улучшать подписи пакетно, до 100 000 документов за один прогон.

Проверка создания электронной подписи CAdES BES в КриптоПро подтверждает, что подпись сформирована корректно по стандарту CMS Advanced Electronic Signatures и сертификат на момент подписания был действителен. Это пять минут работы, если знаешь, чем проверять и куда смотреть при ошибке — и потерянный день, если формат подписи не тот, что нужен под задачу. Разберу, чем BES отличается от CAdES T, X Long и A, каким инструментом КриптоПро её проверять под ваш сценарий, как поднять тестовый стенд и какие шесть ошибок вылезают в каждом втором проекте. Это часть большого материала про электронные подписи и форматы ЭЦП, где описана вся линейка стандартов и инструменты работы с ними.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что такое CAdES BES и зачем она нужна

CAdES BES расшифровывается как CMS Advanced Electronic Signatures Basic Electronic Signature — базовая разновидность усовершенствованной электронной подписи на основе стандарта CMS (Cryptographic Message Syntax, он же PKCS#7). По сути BES — стартовая точка линейки CAdES, которая дальше улучшается до уровней T (со штампом времени), X Long (с доказательствами статуса сертификата) и A (архивная). Российская криптография работает с этой линейкой через ГОСТ Р 34.10-2012 для алгоритма подписи и ГОСТ Р 34.11-2012 для функции хеширования.

Чем CAdES BES отличается от классической CMS-подписи. Обычный CMS-контейнер содержит только сам факт подписи и ссылку на сертификат. BES добавляет внутрь подписи обязательные атрибуты: тип содержимого, хеш сертификата подписанта, время подписания (по часам компьютера, не TSP). Атрибуты включены в саму подпись, поэтому изменить их потом без перекриптования нельзя. Это первый уровень защиты при долгосрочной валидации.

Для каких задач подходит именно BES. Первое — короткоживущие документы, которые проверяются сразу или в ближайшие месяцы, пока серт точно действителен. Второе — промежуточный формат перед усовершенствованием до T или X Long на сервере подписи. Третье — тестовые стенды и отладка: BES создаётся быстрее, без обращения к TSP/OCSP, и удобна для проверки самой механики подписания.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Любимый сценарий клиента: ‘у нас всё работало, теперь подпись не проверяется’. Начинаем разбирать — формат как раз CAdES BES, серт истёк месяц назад, штампа времени нет, а проверка идёт через год после подписания. По правилам валидации, BES без штампика становится непроверяемой ровно в момент истечения серта. Поэтому в практике Добыто клиентам сразу говорим: если документ должен прожить дольше года — сразу делайте улучшение до CAdES T.»

С чего начать: три сценария проверки CAdES BES

Дальше пойдёт техника — форматы, инструменты, этапы валидации, список ошибок. Чтобы вы не читали всё подряд, держите карту. К проверке CAdES BES приходят по одной из трёх причин, и каждой соответствует свой раздел.

Подпись не проверяется, нужно понять почему. Сразу к разделу про типичные ошибки — там шесть самых частых сбоев с диагностикой. В 90 процентах случаев дело не в подписи, а в инфраструктуре: корень не установлен, OCSP недоступен, демо CSP истёк.
Выбираете формат подписи под задачу. Раздел про линейку BES — T — X Long — A. Чистый BES годится не для всего, и неправильный выбор всплывает через год, когда серт истёк, а документ нужно предъявить в суде.
Поднимаете интеграцию и нужен тестовый стенд. Раздел про тестовые сертификаты и отладку. Здесь же — какой инструмент КриптоПро брать: для разовой проверки одно, для пакетной обработки в КЭДО совсем другое.

Идём по порядку, но без повторов: каждый раздел добавляет то, чего не было в предыдущем.

Линейка форматов CAdES: BES, T, X Long Type 1 и архивная A

Половина ошибок на проверке — это не сбой валидатора, а неправильно выбранный формат на этапе подписания. Подписант поставил BES там, где сценарий требовал T или X Long, и через год документ повис. Поэтому линейку нужно понимать до того, как что-то подписывать, а не после.

CAdES BES. Самая простая: в контейнере подпись, хеш документа, ссылка на серт. Проверяема до истечения сертификата подписанта. После — формально валидна, но проверить по стандартным правилам без дополнительных доказательств уже нельзя.

CAdES T. К BES добавляется штамп времени от TSP — доказательство, что подпись существовала в конкретный момент. Решает проблему «когда подписали»: если серт истёк через месяц после штампа, проверяющий увидит, что на момент подписи он был валиден.

CAdES X Long Type 1. К T добавляются полная цепочка сертификатов и список отзыва (CRL или OCSP). Подпись самодостаточна — проверяющему не надо ходить в УЦ за статусом серта. Рабочий формат для хранения 5-15 лет.

CAdES A (архивная). К X Long Type 1 добавляется архивная метка времени, которая объединяет и заверяет все предыдущие метки и доказательства. Дальше можно по протоколу архивного сопровождения накладывать новые архивные метки сверху — в КриптоПро этот процесс ласково называют «ухаживанием за электронной подписью». Формат позволяет обеспечить юридическую значимость до 18 лет: 3 года — срок действия закрытого ключа, плюс 15 лет — период гарантированной проверки.

На практике большая часть документов в КЭДО и КЭП идёт как CAdES T или X Long Type 1, а чистый BES — либо тест, либо короткоживущий документ. Усовершенствование делается серверным сервисом или кнопкой «Улучшить подпись» в КриптоАРМ ГОСТ 3. BES редко финальная точка — чаще первая ступень, с которой документ поднимают выше.

Какими инструментами КриптоПро проверять CAdES BES

В линейке КриптоПро пять продуктов, и под разные задачи нужен разный. Один файл проверить руками — одно, прогнать 100 000 документов в КЭДО — совсем другое. Краткая навигация, кому что.

КриптоПро CSP (4.0 / 5.0 R3). Криптоядро, сертифицированное ФСБ. Проверку из коробки не делает, но даёт алгоритмы для всех остальных инструментов. Сертификаты КС1, КС2, КС3 у версий 5.0 R1-R3 действуют до 1 мая 2027 года. Версия 4.0 — до 15 января 2026 года, после этой даты для критичных задач нужен переход на 5.0 R3. Демо-период 90 дней.

КриптоПро ЭЦП Browser Plug-in. Браузерное расширение для подписания и проверки CAdES BES прямо в окне браузера. Скачивается с cryptopro.ru, после установки там же есть тестовая форма для проверки работоспособности — первая точка диагностики. Не отвечает плагин на тесте — дальше работа невозможна. С версии 5.0 R3 плагин встроен в дистрибутив CSP.

КриптоАРМ ГОСТ 3. Универсальное приложение для рабочей станции от компании «Цифровые Технологии». Поддерживает CMS и CAdES (BES, T, X Long Type 1, A) с TSP и OCSP. Для проверки подписи лицензия не нужна — ставишь и проверяешь бесплатно. Сертифицированная сборка на 2026 год — 3737. Лицензия требуется только для создания подписи.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Канал в MAX Канал в Telegram

КриптоАРМ Server. Серверная версия для пакетной обработки — проверить 100 000 документов за прогон в КЭДО, СЭД, системах массовой подписи. В реестре отечественного ПО, документация на GitLab, есть демо SC One с веб-интерфейсом и Telegram-ботом. Главная функция в линейке CAdES — та самая «улучшалка», что превращает BES в T, X Long Type 1 или A одной кнопкой.

КриптоПро Архив. Продукт для долговременного хранения подписанных документов с автоматическим продлением архивной метки. Делает то самое «ухаживание», о котором говорят разработчики КриптоПро.

Подробный сравнительный обзор смежных продуктов есть в материале программы для подписания документов ЭЦП — там разобраны не только инструменты КриптоПро, но и СБИС, Saby Crypto, Контур.Крипто и другие.

Что именно проверяет валидатор подписи CAdES BES

Зелёная галочка в отчёте — это не одна проверка, а четыре, идущие подряд. Сбой на любой ведёт к отрицательному результату, и понимание, на какой именно операции упало, экономит часы диагностики.

1. Целостность данных. Хеш документа по ГОСТ Р 34.11-2012 (Стрибог-256 или 512) сравнивается с хешем внутри подписи. Любая правка после подписания, даже один пробел, даёт разные хеши — проверка падает с ошибкой целостности.

2. Криптографическая корректность. Подпись расшифровывается открыткой из серта, результат сравнивается с хешем документа. Совпали — подпись математически валидна. Здесь же проверяются обязательные атрибуты BES: тип содержимого, хеш серта, время подписания.

3. Проверка сертификата подписанта. Срок действия (валиден ли серт на момент подписания), статус (не отозван ли по CRL или OCSP), назначение (есть ли право подписи документов). На этом этапе спотыкаются чаще всего — серт истёк, OCSP недоступен, CRL устарел.

4. Цепочка доверия до головного УЦ. От серта подписанта до серта УЦ и далее до головного. Не строится хотя бы одно звено (типичная история — у проверяющего не установлен корень Минцифры) — валидация падает с «не удалось построить цепочку сертификатов».

И вот ключевой нюанс именно BES. Проверка серта делается на момент создания подписи, если есть атрибут signing-time, или на момент проверки — если атрибута нет. Это и есть слабое место BES без штампа времени: после истечения серта проверяющая сторона не может однозначно сказать, был ли он валиден в момент подписания. Поэтому формат T с TSP считается базовым рабочим уровнем для подписей с горизонтом дольше квартала. Запомните это — дальше на этом будет держаться половина ошибок.

Мария Ж, юрист со стажем более 20 лет:
«Кадровик принёс трудовой договор 2023 года, подписан CAdES BES, в 2026 открываем — подпись не валидируется. Серт истёк, штампа времени нет, доказательной базы никакой. В суде такая ситуация решается со скрипом, приходится поднимать логи системы, искать другие следы. А была бы X Long Type 1 — один клик и валидация прошла бы спокойно. Поэтому в КЭДО Добыто все кадровые документы изначально подписываем минимум как CAdES T, а в архив переводим X Long или A. Страховка от трудовых споров на горизонте 5-10 лет.»

Если в инфраструктуре компании смешаны разные форматы подписи — часть документов в BES, часть в CAdES T, часть в архивных X Long — без отдельного методолога разобраться сложно. У провайдера есть готовый сценарий аудита: какие документы оставить в BES для оперативной работы, какие усовершенствовать сразу до T или X Long Type 1, какие отправить на архивную метку. В сервисе Добыто такой аудит входит в пакет внедрения и идёт без доплаты.

Попробуйте ДОБЫТО КЭДО

Как проверить CAdES BES в КриптоАРМ ГОСТ 3: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Установите КриптоПро CSP. Скачайте дистрибутив с cryptopro.ru, выберите версию 5.0 R3 для актуальной поддержки алгоритмов и сертификатов ФСБ. Активируйте лицензию или используйте 90-дневный демо-период для теста.
Шаг 2. Установите КриптоАРМ ГОСТ 3. Сертифицированная сборка 3737 — бесплатна для проверки подписей. Скачайте с сайта Цифровых Технологий, установите, запустите. Лицензию активировать не нужно, если задача только проверка.
Шаг 3. Установите корневые сертификаты УЦ. Минимум — корень Минцифры (guc_22.cert) и корни тех УЦ, которыми могут быть выпущены подписи проверяемых документов. Установка через «Настройка цепочки сертификатов» в КриптоАРМ или через «Сертификаты в Windows» в Панели управления.
Шаг 4. Откройте файл подписи в КриптоАРМ ГОСТ 3. Подпись CAdES BES обычно представляет собой откреплённый файл с расширением .sig, .p7s или .sgn. Через меню «Файл — Проверить подпись» укажите подписанный документ и файл подписи рядом.
Шаг 5. Прочитайте отчёт о валидации. КриптоАРМ выводит структурированный отчёт: целостность OK или Failed, статус сертификата, цепочка доверия, дата подписания. Зелёная галочка — подпись валидна. Красный крест — смотрите детали ошибки в отчёте.
Шаг 6. При необходимости улучшите подпись. Если документ должен прожить дольше срока действия сертификата, в КриптоАРМ ГОСТ 3 нажмите «Улучшить подпись» — выберите целевой формат: CAdES T, X Long Type 1 или A. Подключение к сервису TSP должно быть в настройках программы.

Образцы кадровых документов и инструкции по работе с ЭЦП

Открыть список документов

Документ	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Руководство пользователя Добыто КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Приказ о введении КЭДО	Скачать
Приказ о КЭДО (расширенная форма)	Скачать
Примерная форма трудового договора	Скачать
Образец приказа о приёме на работу	Скачать
Правила обработки персональных данных	Скачать

Тестовые сертификаты и стенд для отладки CAdES BES

Прежде чем запускать BES в продакшене, сценарий имеет смысл прогнать на тестовом стенде — особенно для интеграций КЭДО или СЭД, где подпись создаётся программно через КриптоПро SDK или API КриптоАРМ Server. Дешевле поймать косяк на синтетике, чем на тысяче документов в проме.

Что нужно для тестового стенда:

Тестовая лицензия КриптоПро CSP. Демо-период 90 дней с момента установки — этого хватает на отладку. По истечении демо CSP перестаёт обслуживать криптооперации, поэтому если работа над интеграцией затягивается, есть смысл сразу взять годовую коммерческую лицензию.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Канал в MAX Канал в Telegram

Тестовый сертификат для подписания. Встроенными утилитами КриптоПро CSP генерится самоподписанный серт на тестовый период — этого хватит для проверки логики формирования BES. Для проверки корректности построения цепочки доверия нужны сертификаты от тестового УЦ КриптоПро или реальный квалифицированный серт.

Тестовый USB-токен или контейнер в реестре. Если стенд имитирует работу с защищённым носителем, удобно использовать Rutoken Lite или JaCarta-2 в роли железного носителя. Память Rutoken Lite 64 КБ вмещает 15 контейнеров с сертификатами, версия 128 КБ — до 31 контейнера. Для отладки без железа подходит контейнер в реестре Windows или в файловой системе.

Тестовая служба TSP и OCSP. Если планируется проверка усовершенствования BES до T или X Long Type 1, понадобится доступ к тестовой службе штампа времени и службе проверки статусов сертификатов. КриптоПро предоставляет такие сервисы для отладки клиентам с действующей лицензией.

В КЭДО Добыто такой стенд поднимаем за 1-2 дня для каждого клиента с интеграцией: перед промом весь поток подписания прогоняется на тестовых документах. Снимает 90 процентов проблем, которые иначе вылезли бы в проме на тысячах документов сразу.

Типичные ошибки при проверке CAdES BES и как их диагностировать

Вот тот самый раздел, ради которого половина читателей сюда и пришла. За время работы с интеграциями КЭДО одни и те же грабли видим в каждом втором проекте, где работают с BES напрямую. Хорошая новость — почти всё чинится за минуты, если знать, куда смотреть.

Ошибка 1. «Не удалось построить цепочку сертификатов». Самая частая. Причина — не установлен корневой сертификат УЦ или промежуточный серт. Чинится установкой нужного корня в хранилище «Доверенные корневые центры сертификации» Windows. Корни Минцифры (guc_22.cert) и УЦ ФНС (CA_FNS_Russia_2022_01.cert) рекомендуется ставить сразу при настройке рабочего места.

Ошибка 2. «Сертификат отозван» / «Не удалось проверить статус сертификата». Причина — либо серт действительно отозван, либо нет доступа к OCSP-сервису или CRL-списку отзыва. Чинится проверкой сетевого доступа к серверам УЦ. Если серт отозван — подпись не валидна, переподписать документ нельзя, нужен новый серт и пересоздание подписи.

Ошибка 3. «Целостность данных нарушена». Причина — документ изменён после подписания, либо файл подписи и файл документа не соответствуют друг другу (частая история при работе с откреплённой подписью .sig). Чинится восстановлением исходного документа из бэкапа или повторным подписанием уже изменённой версии.

Ошибка 4. КриптоПро ЭЦП Browser Plug-in не отвечает. Симптом — тестовая страница плагина показывает «плагин не загружен». Причины: плагин не установлен, в браузере отключено расширение, антивирус блокирует, не запущена служба криптопровайдера. Чинится по этому списку последовательно. У КриптоПро на сайте есть отдельная страница самодиагностики плагина.

Ошибка 5. Ошибка работы с токеном из терминальной сессии (RDP). Симптом — локально подпись работает, в RDP не видит токен. Причина — протокол RDP не имеет нативной функции работы со смарт-картами и USB-токенами с неизвлекаемыми ключами. Решается настройкой проброса USB-устройства в RDP или аппаратными NFC-токенами, у которых ключ может работать через сетевой канал.

Ошибка 6. Истёк демо-период КриптоПро CSP. Симптом — подпись внезапно перестала работать через 3 месяца после установки. По умолчанию демо-лицензия 90 дней, после её окончания CSP блокирует все операции. Чинится покупкой коммерческой лицензии или активацией ключа от КЭП — в большинстве сертификатов УЦ ФНС лицензия CSP идёт в комплекте на 15 месяцев.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«За время работы Добыто подключили к КЭДО более 500 компаний — и в каждом проекте на старте обязательно вылезает пара ошибок именно с проверкой подписи. Чаще всего — не установлены корни Минцифры на рабочих местах сотрудников. Кадровик на своей машине всё видит, у сотрудника на ноутбуке ‘цепочка не строится’. Поэтому в комплект методички для клиента всегда вкладываем установочный пакет корневых сертификатов и пошаговую инструкцию по самодиагностике плагина. Снимает 80 процентов обращений в поддержку в первый месяц после запуска.»

Стоимость подключения сервиса КЭДО Добыто с подписями CAdES

Цена для компании зависит от выбранного тарифа, численности сотрудников и набора подписей в работе — ПЭП, УНЭП или УКЭП. Сервис Добыто работает по трёхтарифной модели: Старт для небольших компаний, Бизнес для среднего бизнеса с полным функционалом и Корпорация для крупных заказчиков с расширенными требованиями.

Тариф	Стоимость	Условия
Старт — для небольших компаний	от 30 ₽ за сотрудника / мес	до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка
Бизнес — для среднего бизнеса	от 50 ₽ за сотрудника / мес	минимум 50 сотрудников за 30 000 ₽ в год, неограниченно сотрудников, ПЭП/УНЭП/УКЭП
Бизнес — кастомные шаблоны	включено	интеграция с 1С, приоритетная поддержка, электронный архив
Корпорация — крупный бизнес	по запросу	всё из тарифа Бизнес, выделенный сервер, SLA 99.9%
Корпорация — расширенный пакет	по запросу	персональный менеджер, API и кастомные интеграции
УНЭП в Добыто (НЭП)	включена в тариф	для штатных сотрудников

Точная цена для компании зависит от тарифа, численности персонала и набора подключаемых модулей. На тарифе Бизнес действует минимальный платёж 30 000 ₽ в год при штате до 50 сотрудников, дальше расчёт идёт по 50 ₽ за каждого сверх 50. Актуальные тарифы сервиса Добыто помогают подобрать пакет под численность компании и оценить полную стоимость с учётом подписей и архивного хранения.

Если планируете оценить стоимость самой инфраструктуры КриптоПро отдельно от КЭДО, удобно посчитать через калькулятор лицензий КриптоПро — там учитываются версии CSP, количество рабочих мест, токенов и срок поддержки.

Где взять официальные требования и нормативы по CAdES BES

Российская специфика CAdES BES регулируется ГОСТ-стандартами и приказами ФСБ. Алгоритмы — в ГОСТ Р 34.10-2012 и 34.11-2012, требования к средствам ЭП — в Приказе ФСБ № 796 от 27.12.2011, к квалифицированному сертификату — в Приказе ФСБ № 795 от той же даты. Сами стандарты CAdES выросли из европейской инициативы (ETSI TS 101 733, RFC 5126); российские реализации совместимы по структуре контейнера, но работают на ГОСТ вместо RSA или ECDSA.

За актуальностью нормативной базы удобно следить по разъяснениям Минцифры — это ведомство выпускает корневые сертификаты УЦ, координирует аккредитованные УЦ и публикует методички по ГОСТ-криптографии. По применению подписей в трудовых отношениях основной источник — Минтруд и Роструд.

Выводы: что важно запомнить о проверке CAdES BES в КриптоПро

CAdES BES — базовая разновидность усовершенствованной электронной подписи на основе CMS, которая добавляет к классическому PKCS#7 обязательные атрибуты подписи и защищает их от модификации. Для долговременных документов BES без штампа времени малопригодна — после истечения сертификата подписанта подпись становится непроверяемой по стандартным правилам. Для подписания трудовых договоров, расчётных листков и любых документов с горизонтом дольше квартала нужно сразу использовать формат CAdES T или X Long Type 1, а для архивного хранения — формат A с механизмом продления архивных меток.

Проверять CAdES BES удобнее всего через КриптоАРМ ГОСТ 3 (для разовых задач, без лицензии) или через КриптоАРМ Server (для пакетной обработки в КЭДО и СЭД). На уровне ядра все операции делает КриптоПро CSP версии 5.0 R3 — сертификаты ФСБ у этой версии действуют до 1 мая 2027 года. Для продакшен-задач имеет смысл сразу настроить тестовый стенд, прогнать сценарий подписания и валидации на синтетических документах и подтянуть корневые сертификаты Минцифры на все рабочие места сотрудников.

Большинство ошибок при проверке связано не с алгоритмом, а с инфраструктурой: непрописанная цепочка сертификатов, недоступный OCSP, истёкший демо CSP, токен через RDP. Чинится за минуты по стандартному списку шагов. Типовая практика для долгих проектов — подписывать в CAdES T, через год переводить в X Long Type 1, через 5-7 лет — в архивный A с автопродлением.

Часто задаваемые вопросы

Чем CAdES BES отличается от обычной CMS-подписи (PKCS#7)?

CMS-подпись (PKCS#7) содержит только сам факт подписи и ссылку на сертификат. CAdES BES добавляет внутрь подписи обязательные атрибуты: тип содержимого, хеш сертификата подписанта и время подписания. Эти атрибуты включаются в саму подпись и защищены от модификации. CAdES — это надстройка над CMS, расшифровывается как CMS Advanced Electronic Signatures.

Какой формат CAdES выбрать для подписания трудового договора в КЭДО?

Минимум CAdES T со штампом времени, оптимально — CAdES X Long Type 1 с цепочкой и статусами сертификатов. Чистый BES для трудового договора не подходит, потому что сертификат подписанта может истечь раньше, чем работодатель захочет проверить договор в трудовом споре. Архивный формат A применяется при переводе документа в долгосрочное хранение свыше 5 лет.

Можно ли проверить CAdES BES без лицензии КриптоПро CSP?

Для проверки подписи в КриптоАРМ ГОСТ 3 лицензия не требуется — это бесплатная функция, активировать ключ нужно только для создания подписи. Однако КриптоПро CSP всё равно должен быть установлен, потому что он реализует ГОСТ-алгоритмы. На время теста подойдёт демо-период CSP в 90 дней.

Какая версия КриптоПро CSP подходит для работы с CAdES BES в 2026 году?

Актуальная версия 5.0 R3, у неё сертификаты ФСБ действуют до 1 мая 2027 года и встроен Browser Plug-in. Версия 4.0 действует до 15 января 2026 года, после этой даты её сертификаты истекают и для критичных задач нужно мигрировать на 5.0. Для CAdES BES обе версии поддерживают полный набор операций с CMS-контейнерами, разница только в актуальности сертификации и поддержке новых ОС.

Что делать, если при проверке CAdES BES выдаётся ошибка «цепочка сертификатов не построена»?

Установить корневой сертификат УЦ, выпустившего сертификат подписанта. Минимум — корень Минцифры (guc_22.cert) и корень соответствующего УЦ. Установка делается через «Сертификаты в Windows» в Панели управления, в хранилище «Доверенные корневые центры сертификации». После установки перезапустить КриптоАРМ или браузер и повторить проверку.

Можно ли создать CAdES BES без USB-токена, прямо в файловом контейнере?

Да, КриптоПро CSP поддерживает контейнеры в реестре Windows и в файловой системе — для тестов и отладки это удобно. Для боевого использования с УКЭП по требованию ФНС и ФСБ ключи должны храниться на сертифицированном носителе (Rutoken, JaCarta, ESMART) с поддержкой неизвлекаемых ключей. Извлекаемые ключи в файловом контейнере для квалифицированной подписи не допускаются.

Сколько контейнеров CAdES BES помещается на USB-токене?

На Rutoken Lite 64 КБ — до 15 контейнеров, на 128 КБ — до 31. Каждый контейнер хранит закрытый ключ и сертификат. Когда токен заполнен, старые контейнеры удаляют или переносят в файловое хранилище.

Как улучшить CAdES BES до CAdES T или X Long Type 1?

Через КриптоАРМ ГОСТ 3 — открыть подпись, нажать «Улучшить подпись», выбрать целевой формат. Программа подключится к настроенным службам TSP (для штампа времени) и OCSP (для статусов сертификатов) и добавит нужные атрибуты в контейнер. На сервере удобнее использовать КриптоАРМ Server — он умеет улучшать подписи пакетно, до 100 000 документов за один прогон.

Что такое «ухаживание за электронной подписью» в КриптоПро?

Народный термин разработчиков КриптоПро для автоматического продления архивной подписи. В формате CAdES A система следит за сроком меток и при приближении к лимиту накладывает новую метку поверх старой — так юридическая значимость продлевается практически бесконечно, с обновлением при смене криптоалгоритмов раз в 15-18 лет.

Можно ли проверить CAdES BES в браузере без установки КриптоАРМ?

Да, через КриптоПро ЭЦП Browser Plug-in. Плагин устанавливается отдельно или идёт в комплекте с КриптоПро CSP 5.0 R3. После установки на сайте КриптоПро есть тестовая страница для проверки работы плагина и подписания тестового документа. Все основные веб-сервисы (Госуслуги, ЕГАИС, ФНС) работают через этот плагин для проверки подписи в браузере.

Почему CAdES BES не работает в RDP-сессии с USB-токеном?

RDP не имеет нативной поддержки смарт-карт и USB-токенов с неизвлекаемыми ключами — криптопровайдер в удалённой сессии не достаёт до устройства на клиентском ПК. Решения: проброс USB через RDP-клиент, NFC-токен с сетевым каналом или файловый контейнер на сервере.

Имеет ли распечатка PDF со штампом подписи юридическую силу?

Нет. Распечатка PDF с визуальным штампом («плашечкой») о подписи не несёт юридической значимости — это только графическое отображение для пользователя. Юридическую значимость имеет электронный оригинал документа с приложенной CAdES BES (или более усовершенствованной) подписью, который можно проверить криптографически. В суд приносится именно электронный оригинал, при необходимости — с экспертным заключением о валидности подписи.

Проверка CAdES BES — часть инфраструктуры КЭДО, где подписание, валидация, усовершенствование и архивное хранение работают в связке. В практике сервиса Добыто подключили к КЭДО более 500 компаний — от микробизнеса до корпораций со штатом свыше 50 000 человек. На каждом проекте методолог настраивает форматы подписи под сценарии заказчика: оперативные документы в CAdES T, кадровые — в X Long Type 1, архивные — в A с автоматическим продлением.

Сервис Добыто из коробки решает типовые проблемы интеграций с КриптоПро: установку корневых сертификатов на рабочие места, настройку служб TSP и OCSP, выпуск УНЭП через Госключ для сотрудников. Запуск занимает от 1 дня для небольших компаний до 3-4 месяцев для корпораций с распределённым штатом. На тарифе Бизнес поддерживаются все три уровня подписей — ПЭП, УНЭП и УКЭП — с интеграцией в 1С и электронным архивом.

Электронный архив с автоматическим продлением архивных меток — до 50 лет хранения
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному в трудовом споре
Сопровождение клиента до первых 50 подписаний — персональный методолог ведёт до самостоятельной работы
Защищённые каналы связи, шифрование данных по ГОСТ 2012, лицензии ФСТЭК и ФСБ
Прозрачное ценообразование: тариф Старт от 30 ₽ за сотрудника в месяц, Бизнес от 50 ₽ с минимумом 30 000 ₽ в год

Запросить демо-доступ