Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Проверка ключа электронной подписи через КриптоПро — это последовательный набор действий, который показывает: исправен ли контейнер закрытого ключа, привязан ли к нему сертификат, доступен ли носитель и не заблокирован ли токен. Без этой проверки нельзя ни подписать новый документ, ни понять, почему старый отказывается верифицироваться. В этой статье разберём шесть способов проверки ключа в КриптоПро CSP — от штатной утилиты «Просмотреть сертификаты в контейнере» до диагностики через cptools.exe и командную строку. Это часть большого материала про проверку электронной подписи и ключа, в котором описаны все способы валидации — от состава серта до проверки на Госуслугах.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое ключ электронной подписи и зачем его проверять
Ключ электронной подписи в терминологии КриптоПро состоит из двух частей: открытого ключа (публикуется в составе сертификата) и закрытого ключа (хранится в контейнере на токене или в реестре Windows). При подписании документа криптопровайдер обращается к закрытому ключу и формирует подпись по алгоритму ГОСТ Р 34.10-2012. Проверка подписи делается уже на стороне получателя по открытому ключу из сертификата.
Проверка ключа в КриптоПро решает четыре задачи. Первая — убедиться, что закрытка цела и читается с носителя. Если контейнер повреждён, никакое подписание невозможно. Вторая — проверить, что сертификат привязан к контейнеру. Бывает, что серт установлен в систему, но не связан с закрытым ключом, и подпись не формируется. Третья — проверить срок действия и статус сертификата. Четвёртая — убедиться, что цепочка доверия до корневого УЦ построена.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда кадровик звонит и говорит, что ‘подпись не работает’ — первое, что я прошу, это запустить проверку контейнера в КриптоПро. В 60 процентах случаев проблема в том, что флешка с закрыткой не вставлена в порт или вставлена не в тот, куда драйвер привязал считыватель. Контейнер не виден — значит, ничего больше не имеет смысла проверять. Сначала железо и контейнер, потом сертификат, потом цепочка доверия. Без этого порядка эйчары теряют по полдня на пустых попытках.»
Способ 1: Просмотр сертификатов в контейнере
Самый простой и базовый способ. Открываем КриптоПро CSP через «Пуск» — «КРИПТО-ПРО» — «КриптоПро CSP», переходим на вкладку «Сервис» и нажимаем кнопку «Просмотреть сертификаты в контейнере». В открывшемся окне нажимаем «Обзор». КриптоПро покажет список всех контейнеров на всех подключённых носителях: токенах, флешках, в реестре Windows.
Из списка выбираем нужный контейнер и нажимаем «Далее». Если контейнер защищён ПИН-кодом — КриптоПро запросит его ввод. После ввода ПИНа открывается карточка сертификата, привязанного к контейнеру. В ней видны: ФИО владельца, организация, ИНН, СНИЛС, серийный номер, период действия, отпечаток сертификата.
Что показывает эта проверка. Контейнер виден — закрытый ключ исправен и доступен. Сертификат отображается в карточке — связка ключ-сертификат корректна. Период действия в карточке актуален — сертификат не просрочен. Если на этапе обзора контейнер не виден совсем — проблема в драйвере токена. Если контейнер виден, но при попытке открыть выдаёт ошибку — повреждение контейнера или неверный ПИН.
Способ 2: Проверка через утилиту Инструменты КриптоПро
В версии 5.0 у КриптоПро появилась отдельная утилита cptools.exe в папке установки криптопровайдера (C:\Program Files\Crypto Pro\CSP). Она делает автоматическую проверку 12 пунктов состояния системы: версия CSP, лицензия, видимость токенов, наличие корневых сертификатов, регистрация плагина в браузерах, состояние службы криптопровайдера. Время проверки — 30-40 секунд, результат выводится списком зелёных и красных пунктов.
Для проверки конкретного ключа в cptools.exe есть отдельный раздел «Сертификаты» — «Просмотреть мои сертификаты». В нём отображается список всех сертификатов, установленных в систему, с их связкой к контейнерам закрытых ключей. По каждому сертификату видно: имя контейнера, носитель (токен, реестр), срок действия, статус OCSP. Если у сертификата нет связки с контейнером — в списке стоит пометка «сертификат без закрытого ключа», это означает, что подписать таким сертом не получится.
В корпоративной практике cptools.exe удобен для администраторов. Один скрипт через утилиту обходит все рабочие места в подразделении и собирает отчёт по состоянию ключей: где истёк сертификат, где не привязан контейнер, где не установлен корневой серт. На крупных проектах внедрения КЭДО мы в Добыто используем такой обход для предзапуска — вычисляем все проблемные машины до выпуска боевых УНЭП и устраняем сбои заранее.
Способ 3: Командная строка csptest и cpconfig
Для разработчиков и системных администраторов в КриптоПро есть утилиты командной строки, которые позволяют автоматизировать проверку ключей. Утилита csptest входит в комплект SDK КриптоПро CSP. Команда csptest -keyset -enum_cont -fqcn -verifyc выводит список всех контейнеров на машине с проверкой целостности каждого.
Для проверки конкретного контейнера используется команда csptest -keyset -container «имя_контейнера» -check. На выходе получаем статус: контейнер исправен, контейнер повреждён, контейнер заблокирован, контейнер не найден. Команда cpconfig -keypin -container «имя_контейнера» -newpin «новый_пин» позволяет сменить ПИН-код контейнера, если знаете старый. Для перевыпуска ПИНа администратора — команда cpconfig -keypin -container «имя» -admpin «новый_админ_пин».
В скриптах для массовой проверки парка машин используется конструкция «цикл по контейнерам — csptest -keyset -container — проверка кода возврата — запись в лог». Так за один прогон можно проверить 200-500 рабочих мест и получить готовый список проблемных контейнеров. Это сильно ускоряет диагностику в больших компаниях с распределённым IT.
Способ 4: Проверка через панель управления токеном
У каждого токена ЭП есть своя утилита: Панель управления Рутокен, JaCarta PKI Client, Aladdin eToken PKI Client, ESMART PKI Client. В этих утилитах можно посмотреть содержимое токена напрямую, без КриптоПро CSP. Это полезно, когда КриптоПро вообще не видит токен — проверяется, идёт сбой на уровне криптопровайдера или на уровне самого токена.
В Панели управления Рутокен после подключения токена видны разделы: «Информация о Рутокене» (модель, серийный номер, объём памяти), «Сертификаты» (список установленных сертификатов и их связки с контейнерами), «Управление ПИН-кодами» (смена ПИН-кода пользователя и администратора). На вкладке «Управление модулями» видны установленные на токен криптомодули — PKCS#11, КриптоПро, Сертификат пользователя.
Если токен виден в утилите производителя, но не виден в КриптоПро CSP — проблема в том, что для КриптоПро токен не настроен как считыватель. Лечится через КриптоПро CSP, вкладка «Оборудование» — «Настроить считыватели» — «Добавить» — выбор соответствующего ридера для конкретной модели токена. После этого токен появится в списке считывателей и в проверке через «Просмотреть сертификаты в контейнере».
Если в компании больше 50 рабочих мест с разными моделями токенов — Рутокен, JaCarta, eToken — и проверка ключей превращается в ручной обход всех машин, имеет смысл унифицировать инфраструктуру. Мы в Добыто при подключении КЭДО предлагаем единый стандарт носителей: УКЭП руководителей — на одном типе сертифицированных токенов, УНЭП работников — в Госключе или встроенным механизмом сервиса без физического носителя. Это снимает 80 процентов обращений в поддержку.
Способ 5: Проверка цепочки доверия и корневых сертификатов
После проверки контейнера и сертификата нужно убедиться, что цепочка доверия от пользовательского сертификата до корневого УЦ Минцифры построена. Открываем сертификат через «Просмотреть сертификаты в контейнере», переходим на вкладку «Путь сертификации». В норме видна цепочка из трёх элементов: пользовательский сертификат, промежуточный сертификат УЦ, корневой сертификат головного УЦ Минцифры.
Под каждым сертификатом в цепочке должна стоять зелёная галочка. Если стоит жёлтый треугольник — сертификат не доверенный, проблема с корневым сертом. Если красный крест — сертификат отозван или просрочен. На вкладке «Состав» под полем «Точки распространения CRL» указан URL списка отозванных сертификатов — его доступность тоже стоит проверить, особенно в корпоративных сетях с фильтрацией трафика.
Корневые сертификаты УЦ скачиваются с сайта Минцифры или непосредственно с сайта аккредитованного УЦ, выпустившего пользовательский серт. Установка делается через двойной клик по файлу с расширением .cer и выбор хранилища «Доверенные корневые центры сертификации». На сайте госуслуг доступен сервис проверки сертификата по отпечатку — там можно вбить отпечаток и получить независимую проверку статуса в реестре доверенных УЦ.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике по трудовым спорам с 2024 года резко выросло количество дел, где работник или работодатель оспаривает действительность электронной подписи на трудовом договоре или приказе. Технический отчёт о проверке цепочки доверия становится основным доказательством. Если в момент подписания цепочка была валидна и есть штампик времени — подпись юридически значима. Если цепочки нет или она построена через тестовый УЦ — подпись отклоняется судом, и спор решается не в пользу того, кто положил такой документ в качестве основного.»
Способ 6: Проверка ключа через тестовое подписание
Если все формальные проверки пройдены, но подпись всё равно не работает в нужной информационной системе, делается тестовое подписание. Открываем демо-страницу плагина КриптоПро ЭЦП на сайте КриптоПро (cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html), выбираем нужный сертификат, нажимаем «Подписать». В случае успеха страница показывает сформированную подпись в base64 и результат её проверки.
Альтернативный вариант — через КриптоАРМ или Saby Crypto. В КриптоАРМ ГОСТ 3 открываем «Подписать», выбираем тестовый файл (любой txt или pdf), указываем сертификат для подписания, формируем CAdES-BES. После завершения операции в той же программе открываем «Проверить подпись», указываем подписанный файл и видим результат верификации. Это полный цикл проверки ключа: подписание — верификация — вывод.
Если на этапе тестового подписания всё прошло успешно, а в боевой системе подпись отклоняется — проблема не в ключе, а в системе-получателе. Возможные причины: специфические требования к формату подписи (CAdES-T вместо BES, наличие штампа времени), требования к полю «ключевое использование» (Digital Signature, Non-Repudiation), требования к extended key usage. Список программ, в которых можно прогнать тестовое подписание, есть в обзоре программ для подписания документов ЭЦП.
Образцы документов для проверки и работы с ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя сервиса Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Приложение pril_ed936_291021 | Скачать |
Расшифровка кодов ошибок при проверке ключа
0x80090019 — набор ключей не определён. Самая частая причина — истёкшая лицензия КриптоПро или повреждение контейнера на токене. Лечится продлением лицензии или восстановлением контейнера через резервную копию. 0x8009000F — объект уже существует, появляется при попытке импортировать контейнер с тем же именем, что уже есть на машине. Лечится переименованием контейнера через cpconfig или удалением старого.
0x8009201D — неверный пароль контейнера. Лимит у Рутокена и JaCarta — 10 неверных вводов, после чего токен блокируется. Если ПИН точно правильный, но ошибка повторяется — возможно, повреждён контейнер. 0x80091004 — не удаётся обнаружить объект ключа. Контейнер виден в обзоре, но открыть его нельзя. Причина — повреждение структуры контейнера, лечится только перевыпуском сертификата на новом носителе.
0x80092009 — не найден сертификат УЦ. Цепочка доверия не построена, не установлен корневой серт головного УЦ Минцифры или промежуточный сертификат аккредитованного УЦ. Лечится скачиванием и установкой корневых сертификатов с сайта Минцифры. 0x800B010A — не удаётся построить путь сертификации. Расширение прошлой ошибки — корневой серт установлен, но один из промежуточных недоступен. Проверяем «Точки распространения CRL» в карточке сертификата.
Полная проверка ключа ЭП через КриптоПро: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подключите токен или флешку с контейнером к USB-порту. Откройте КриптоПро CSP, вкладка «Оборудование» — «Настроить считыватели». Убедитесь, что нужный носитель виден в списке.
- Шаг 2. На вкладке «Сервис» нажмите «Просмотреть сертификаты в контейнере» — «Обзор». Выберите контейнер с подключённого токена. Введите ПИН-код.
- Шаг 3. В карточке сертификата проверьте: ФИО владельца, организацию, период действия, серийный номер. Все поля должны соответствовать ожидаемым.
- Шаг 4. Перейдите на вкладку «Путь сертификации». Убедитесь, что цепочка построена до корневого УЦ Минцифры и под каждым звеном стоит зелёная галочка.
- Шаг 5. Запустите утилиту «Инструменты КриптоПро» (cptools.exe). Дождитесь автоматической проверки 12 пунктов состояния системы.
- Шаг 6. Откройте демо-страницу плагина КриптоПро ЭЦП на сайте КриптоПро. Выберите ваш сертификат и сформируйте тестовую подпись.
- Шаг 7. Если все шаги пройдены успешно — ключ исправен. Если на каком-то шаге возникла ошибка — локализуйте её по коду и устраните: лицензия, драйвер токена, корневой серт, ПИН-код.
Тарифы Добыто КЭДО для работы с проверкой ключей ЭП
Стоимость подключения КЭДО зависит от численности штата, набора видов ЭП и подключаемых модулей. В стоимость входит сопровождение по работе с электронными подписями: настройка рабочего места кадровика, обучение работе с КриптоПро CSP, разбор типичных ошибок проверки ключей. Базовые тарифы сервиса Добыто КЭДО приведены ниже.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — небольшие компании на старте перехода на КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес — средний бизнес с полным набором функций | от 50 ₽ за сотрудника / мес | Мин. оплата 50 сотрудников за 30 000 ₽ в год |
| Бизнес — расширенный пакет (ПЭП, УНЭП, УКЭП) | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, кастомные шаблоны, 1С |
| Корпорация — крупный бизнес с расширенными требованиями | по запросу | Выделенный сервер, SLA 99.9%, API |
Итоговая сумма зависит от численности штата, выбранного тарифа и набора подключаемых модулей. Также можно использовать калькулятор КриптоПро для подсчёта количества лицензий и сроков их действия. Для расчёта под конкретный штат и комбинацию видов ЭП есть отдельная калькуляция, актуальные тарифы сервиса Добыто КЭДО помогут сориентироваться точнее.
Профилактика проблем с ключом ЭП
Регулярная проверка ключей экономит дни простоя в самый неподходящий момент. Базовый чек-лист профилактики на корпоративном уровне. Раз в месяц — автоматический обход всех рабочих мест с проверкой контейнеров через csptest, отчёт администратору. Раз в квартал — проверка сроков действия сертификатов, плановое перевыпуск тех, у которых остаётся меньше 2 месяцев до истечения. Раз в полгода — инвентаризация токенов: какие модели у каких сотрудников, где хранятся резервные копии.
На уровне отдельного пользователя профилактика проще. Раз в неделю — подключить токен, открыть КриптоПро CSP, проверить, что контейнер виден и сертификат не истёк. Раз в месяц — сделать тестовое подписание любого документа, проверить, что подпись формируется без ошибок. При смене ноутбука или операционной системы — сразу проверить, что КриптоПро CSP установлен правильной версии и токен виден в списке считывателей.
В сервисе Добыто КЭДО мы автоматизировали этот процесс на стороне платформы. Сервис сам отслеживает сроки действия УНЭП каждого сотрудника, отправляет уведомления за 30, 14 и 7 дней до истечения, помогает запустить процедуру перевыпуска. Кадровик не следит за календарём, не пропускает истечение, не получает внезапную остановку подписания приказов. На крупных проектах это снимает до 90 процентов обращений в техподдержку, связанных с ключами ЭП.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«В нашей практике был кейс на 800 сотрудников: компания не следила за сроками УНЭП работников и в один прекрасный день обнаружила, что у 47 сотрудников подписи истекли в один и тот же день. Перевыпуск занял неделю, кадровый поток встал. Теперь у нас на платформе виджет ‘исполнительская дисциплина по ЭП’ — кадровик каждое утро видит, кто из сотрудников приближается к истечению серта. Это решает проблему до того, как она стала проблемой.»
Выводы: проверка ключа ЭП через КриптоПро
Проверка ключа электронной подписи через КриптоПро строится на шести способах: штатный просмотр сертификатов в контейнере, утилита Инструменты КриптоПро (cptools.exe), командная строка csptest и cpconfig, панель управления токеном, проверка цепочки доверия, тестовое подписание. Каждый способ закрывает свой класс проверок и в совокупности даёт полную картину состояния ключа. Базовая проверка через «Просмотреть сертификаты в контейнере» занимает 1-2 минуты и закрывает 80 процентов вопросов «почему подпись не работает».
На практике критично знать расшифровку основных кодов ошибок: 0x80090019 (лицензия или контейнер), 0x8009201D (неверный ПИН), 0x80091004 (повреждение контейнера), 0x80092009 (нет корневого серта), 0x800B010A (нет промежуточного УЦ). Эти пять кодов покрывают подавляющее большинство реальных инцидентов с ключами ЭП. Профилактика — регулярный обход рабочих мест через скрипт с csptest и контроль сроков сертификатов за 30-60 дней до истечения.
В перспективе на 2026-2027 годы проверка ключей будет всё больше уходить в автоматизацию на уровне платформ КЭДО. Для долгосрочного хранения кадровых документов нужны архивные метки времени CAdES-A, для работы с самозанятыми и ГПХ — связки сертификат-МЧД. Обе задачи требуют не разовой проверки ключа, а постоянного мониторинга его состояния. Без такой автоматизации компания со штатом 200+ сотрудников рискует утонуть в ручных проверках и пропустить истечение критически важной УКЭП руководителя в момент, когда нужно срочно подписать кадровый приказ.
Часто задаваемые вопросы
Как быстро проверить ключ ЭП в КриптоПро CSP?
Что делать, если контейнер виден, но ключ не открывается?
Как узнать, к какому контейнеру привязан сертификат?
Можно ли проверить ключ без подключения к интернету?
Что означает ошибка 0x80091004 при проверке контейнера?
Как проверить срок действия сертификата ЭП?
Что такое цепочка сертификации и как её проверить?
Как разблокировать токен после неверного ПИН-кода?
Чем csptest отличается от cpconfig?
Можно ли скопировать закрытый ключ на другой компьютер?
Как проверить, что плагин КриптоПро видит ключ в браузере?
Что делать, если КриптоПро не видит ключ после смены Windows?
Как часто нужно проверять состояние ключа ЭП?
Проверка ключей вручную нормальна, когда у вас один сертификат и одна машина. На штате 100, 500, 2000 сотрудников каждое утро — это бесконечный поток обращений в кадровую службу или ИТ-отдел. Истёк сертификат — стоп подписание. Слетел драйвер токена — стоп подписание. Сменили ноутбук без переноса контейнера — стоп подписание. Каждая остановка — это незакрытый приказ, недоопределённый отпуск, висящее в воздухе соглашение с самозанятым.
В сервисе Добыто КЭДО мы вынесли мониторинг состояния ключей на сторону платформы. Сервис сам отслеживает срок действия УНЭП каждого сотрудника, фиксирует попытки подписания с проблемным ключом, ведёт виджет исполнительской дисциплины с подсветкой проблем. За время работы сервиса мы провели подключение 500+ компаний, и в каждом проекте этап настройки автомониторинга снимал около 70 процентов ручных обращений эйчаров в ИТ.
- Автомониторинг сроков действия сертификатов — уведомления за 30, 14 и 7 дней до истечения с автоматическим запуском процедуры перевыпуска
- Виджет исполнительской дисциплины — кадровик видит, кто из сотрудников не подписывает документы из-за проблем с ключом
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — с автоматическим выбором типа подписи на каждом этапе маршрута
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ с проверенной подписью равносилен бумажному в суде и при проверках ГИТ
- Хранение документов с архивными метками времени до 50 лет — подпись остаётся проверяемой даже после истечения срока сертификата
- Защищённые каналы связи, шифрование по ГОСТ, лицензии ФСТЭК и ФСБ, соответствие 152-ФЗ по персональным данным