Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Проверка токена электронной подписи средствами КриптоПро — это диагностика USB-носителя, на котором хранится закрытый ключ, и связанного с ним сертификата: программа определяет, видит ли система токен, читается ли контейнер, не повреждён ли ключ и работает ли пин-код. Расскажу, какие команды и утилиты КриптоПро это делают, что показывает каждый из тестов, какие типичные ошибки встречаются на Рутокене, JaCarta, eToken, и почему «флешка не определяется» в 80% случаев решается без замены носителя. Это часть большого материала про проверку электронной подписи, где разобраны все способы валидации — от подписи документа до состояния самого ключа.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что значит проверить токен электронной подписи
Под проверкой токена средствами КриптоПро понимают четыре независимых теста, которые программа выполняет последовательно: видимость носителя в системе, чтение контейнера закрытого ключа, целостность самого ключа и совпадение пин-кода. Если все четыре пункта прошли, токен исправен и подпись им можно формировать. Если хоть один тест провалился, КриптоПро покажет конкретную ошибку, и это уже подсказка, в какую сторону смотреть.
Видимость носителя проверяется через панель «Оборудование» — КриптоПро спрашивает у операционной системы, есть ли подключённое USB-устройство класса HID или CCID. Если устройство не определилось, проблема физическая: либо порт, либо кабель, либо драйвер. Если определилось — переходим к следующему тесту: чтению контейнера. КриптоПро обращается к флешке через стандартный интерфейс PKCS#11 и пытается получить список контейнеров на носителе.
Третий тест — целостность ключа. Программа проверяет, что закрытый ключ не повреждён, что его длина соответствует объявленной (256 или 512 бит для ГОСТ Р 34.10-2012), и что метаданные контейнера читаются. Четвёртый тест — пин-код. КриптоПро запрашивает пин и проверяет, что носитель его принимает. Если пин трижды введён неверно — токен блокируется, и для разблокировки нужен PUK или сценарий восстановления.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда айтишник говорит «у меня токен не работает», в девяти случаях из десяти это значит, что КриптоПро его не видит. Серт там есть, флешка целая, закрытка цела. Просто драйвер криво встал или CSP давно не обновлялся. Проверка токена средствами КриптоПро — это первый шаг диагностики, до того как менять железку. Не торопитесь покупать новый Рутокен.»
Какие токены проверяет КриптоПро
КриптоПро CSP версии 5.0 R3 поддерживает основные модели токенов, которые применяются на российском рынке: Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ, JaCarta LT, eToken (Aladdin), ESMART, MS_KEY K. С токенами с невыводом ключей — такими как Рутокен ЭЦП 3.0 и JaCarta-2 ГОСТ — криптопровайдер работает в особом режиме: подпись формируется на борту, то есть закрытка из чипа не выходит. Это даёт максимальный уровень защиты, но требует CSP 5.0 R2 или выше.
Полный список поддерживаемых носителей публикует сама КриптоПро на сайте cryptopro.ru. Перед покупкой токена для боевой работы стоит проверить, что модель есть в списке — бывают случаи, когда айтишник принёс с барахолки китайскую обезличку, и она физически работает, а CSP её не видит. По таким сценариям тратится день на разбирательства, и в итоге нужный токен всё равно покупается.
Бесконтактная подпись через NFC поддерживается для Рутокен ЭЦП Bluetooth и совместимых моделей с поддержкой NFC. Это нишевая история: сценарий «приложил карту к телефону — подписал документ» работает на мобильных устройствах с КриптоАРМ ГОСТ 3 для Android и iOS. Для классической работы на компьютере применяется обычный USB-разъём.
Как проверить токен ЭП в КриптоПро: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подключите токен к USB-порту компьютера. Дождитесь, пока операционная система определит устройство (на токене должен загореться индикатор).
- Шаг 2. Откройте КриптоПро CSP: меню «Пуск» — «КриптоПро» — «КриптоПро CSP».
- Шаг 3. Перейдите на вкладку «Оборудование». Нажмите кнопку «Настроить считыватели» и убедитесь, что в списке есть нужный носитель: Aktiv Rutoken, Athena ASEDrive, JaCarta. Если носителя нет, нажмите «Добавить» и установите драйвер с диска или с сайта производителя.
- Шаг 4. Вернитесь на главную вкладку «Сервис». Нажмите кнопку «Просмотреть сертификаты в контейнере».
- Шаг 5. В открывшемся окне нажмите «Обзор». Программа покажет список доступных контейнеров на всех подключённых носителях. Выберите нужный.
- Шаг 6. Введите пин-код контейнера. Стандартный пин Рутокена — 12345678, JaCarta — 1234567890, для боевых токенов — тот, что задан при выпуске. Нажмите «ОК».
- Шаг 7. На экране появятся метаданные сертификата: ФИО владельца, ИНН, СНИЛС, серийный номер сертификата, срок действия, издатель (УЦ), алгоритм. Если данные читаются — токен исправен.
- Шаг 8. Нажмите кнопку «Проверить» на этом окне. КриптоПро прогонит дополнительный тест: проверит цепочку сертификатов, статус через CRL, целостность ключа. Результат — окно «Сертификат действителен» либо подробное описание ошибки.
- Шаг 9. Дополнительно: на вкладке «Сервис» нажмите «Протестировать». Введите пин-код. КриптоПро прогонит тест шифрования и подписи на этом контейнере — быстрый способ убедиться, что закрытый ключ работает.
- Шаг 10. Сохраните результат теста в виде отчёта (кнопка «Сохранить отчёт»). Это полезно при обращении в техподдержку — архивариус сможет посмотреть конкретную ошибку.
Где смотреть результаты теста и что они означают
После прогона тестов КриптоПро возвращает один из четырёх вердиктов. Зелёная галочка — «Сертификат действителен». Это означает, что все четыре теста (видимость, чтение, целостность, пин) прошли. Можно смело подписывать. Это рабочий статус, его айтишник ждёт.
Жёлтый треугольник — «Сертификат действителен, но статус не определён». Это означает, что подпись математически корректна, ключ цел, пин подошёл, но проверка через CRL не прошла — либо нет интернета, либо фаервол блокирует доступ к серверу УЦ. Не критично для подписания, но в важных сценариях стоит подгрузить CRL вручную через утилиту certmgr.
Красный крест — «Сертификат недействителен» с конкретной причиной. Возможные варианты: «Сертификат истёк», «Сертификат отозван», «Не удалось построить цепочку», «Неизвестная ошибка». Каждая причина требует своего решения, и КриптоПро в окне ошибки даёт код — по нему можно нагуглить точный сценарий восстановления.
Серый знак вопроса — «Контейнер не найден». Это значит, что физически носитель виден, но контейнер на нём не читается. Возможные причины: контейнер испорчен (например, при некорректной записи), пин-код заблокирован после трёх неверных попыток, или закрытка повреждена при копировании с одного носителя на другой. Лечится восстановлением из резервной копии или обращением в УЦ для перевыпуска.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«В практике Добыто мы каждую неделю получаем запрос вида «не работает токен у бухгалтера, срочно нужен новый». Сначала прогоняем диагностику. В семи случаях из десяти достаточно переустановить драйвер, обновить КриптоПро или подключить флешку в другой порт. Реальная замена железки нужна редко — и почти всегда это случай, когда токен физически уронили или залили чаем.»
Стоимость работы с электронной подписью в КЭДО Добыто
Сама проверка токена средствами КриптоПро бесплатна — входит в состав CSP. Платить нужно за лицензию на CSP (если используется не демо), за сам токен и боевой сертификат, и за тариф на сервис КЭДО. Стоимость работы в КЭДО Добыто зависит от численности персонала и набора подключённых модулей.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» | от 30 ₽ | за сотрудника / мес |
| «Старт» (включено) | до 25 сотрудников | ПЭП и УНЭП |
| Тариф «Бизнес» | от 50 ₽ | за сотрудника / мес |
| Минимальная оплата «Бизнес» | 30 000 ₽ / год | от 50 сотрудников |
| «Бизнес» (включено) | неограниченно | ПЭП, УНЭП, УКЭП, 1С |
| Электронный архив | в «Бизнес» | включено |
| Тариф «Корпорация» | по запросу | SLA 99,9%, выделенный сервер |
Итоговая стоимость подключения зависит от численности персонала, выбранного тарифа и набора интеграций. Полный состав опций и расчёт под конкретное число сотрудников опубликованы на странице тарифы сервиса Добыто КЭДО.
Образцы документов и инструкции по работе с ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Криптографическая защита информации | Скачать |
Типичные ошибки при проверке токена и их устранение
Самая частая ошибка — «Токен не определяется». Айтишник вставил флешку, индикатор горит, но КриптоПро его не видит. В 80% случаев проблема в драйвере: либо не установлен, либо встал криво после обновления Windows. Решение: скачать актуальный драйвер с сайта производителя (rutoken.ru, aladdin-rd.ru), удалить старый через Диспетчер устройств, перезагрузиться, поставить заново. После этого КриптоПро токен видит.
Вторая по частоте — «Контейнер заблокирован». Это означает, что пин-код был трижды введён неверно, и носитель ушёл в защитный режим. На Рутокене разблокировка возможна через PUK-код (мастер-пароль администратора), который задаётся при инициализации токена. Если PUK не сохранили — токен идёт в перевыпуск через УЦ. Поэтому при инициализации токена айтишники, которые знают грабли, всегда сохраняют PUK в защищённом хранилище компании.
Третья — «Сертификат отозван». В отличие от блокировки токена, это решение УЦ: владелец заявил о компрометации, или организация перестала существовать, или истёк срок аккредитации УЦ. Документ с такой подписью юридически ничтожен с момента отзыва. Решение — выпустить новый сертификат в действующем УЦ.
Четвёртая — «Не удалось построить цепочку». Это означает, что промежуточные или корневые сертификаты УЦ не установлены в системе. Решение — скачать корневой и промежуточные сертификаты с сайта УЦ или с e-trust.gosuslugi.ru и поставить в хранилище «Доверенные корневые центры сертификации».
Пятая — «Не вижу токен в списке». Это означает, что в КриптоПро не настроен считыватель для нужного типа носителя. Решение — открыть «Настроить считыватели», добавить нужный (Aktiv Rutoken, Athena ASEDrive и т.д.) и подтвердить.
Если токен не определяется или КриптоПро возвращает непонятную ошибку — не торопитесь покупать новую железку. В 80% случаев проблема решается переустановкой драйвера, обновлением CSP или сменой USB-порта. Наши специалисты разбирают типовые сценарии за 30-60 минут по удалёнке — чаще всего без замены оборудования.
Проверка токена через альтернативные инструменты
Помимо штатных средств КриптоПро CSP, для диагностики токена применяются дополнительные утилиты. Утилита Rutoken Panel (от компании «Актив») показывает подробную информацию о памяти токена, его серийный номер, версию прошивки. JaCarta Management — аналог для токенов JaCarta. Эти утилиты не заменяют КриптоПро, но помогают понять физическое состояние носителя — сколько свободно памяти, есть ли повреждения чипа.
Для серверных сценариев и автоматических проверок применяется КриптоАРМ Server — сервис автоматической проверки подписей через API. Он позволяет ставить проверку токена в очередь и обрабатывать пачки документов в режиме конвейера. Полезно, когда в день через систему проходит сотни подписаний — например, в массовом КЭДО при централизованной выдаче документов.
Браузерные сценарии (подписание на портале Госуслуг, ЕГАИС, ФНС) проверяются через КриптоПро ЭЦП Browser Plug-in. Тестовая страница plugin.cryptopro.ru показывает, видит ли плагин токен, какие сертификаты на нём доступны и какие алгоритмы поддерживает. Это удобный способ проверить весь стек разом — от железки до браузера.
Что делать, если токен не проходит проверку
Алгоритм действий зависит от того, на каком тесте остановилась диагностика. Если не определяется в системе — проверить порт, кабель, переставить в другой USB-разъём, обновить драйвер. Если определяется, но контейнер не читается — переустановить КриптоПро CSP, обновить до 5.0 R3. Если контейнер читается, но пин не подходит — попробовать стандартный (если ранее не менялся), затем PUK для разблокировки. Если ничего не помогает — перевыпуск сертификата в УЦ.
Реальный кейс из практики Добыто: в производственной компании на 1500 человек после массовой выдачи токенов через две недели у трети сотрудников токены «перестали работать». Диагностика показала: при централизованной инициализации все токены получили один общий PUK-код, а пин-коды сотрудники меняли на свои. Через две недели часть сотрудников забыла свои пины, ввела трижды неверно — токены заблокировались. Решение оказалось простое: PUK у всех общий, разблокировка через утилиту администратора заняла 10 минут на токен.
Важно фиксировать каждый случай отказа токена в журнале — дату, владельца, симптомы, решение. На длинной дистанции это даёт картину того, какие модели токенов в инфраструктуре компании приживаются хорошо, а какие нет. На одном из наших проектов в ритейле переход с дешёвых китайских носителей на Рутокен Lite сократил долю отказов с 12% до 2% за полугодие.
Мария Ж, юрист со стажем более 20 лет:
«При судебных разбирательствах по электронным документам ключевой вопрос — была ли подпись на момент подписания технически валидна. Отчёт о проверке токена средствами КриптоПро в этом смысле — юридически значимое доказательство. Если архивариус сохранил отчёт — документ защищён в суде. Если не сохранил — юрику придётся доказывать через экспертизу, а это уже совсем другие денюжки.»
Выводы: проверка токена ЭП в КриптоПро
Проверка токена средствами КриптоПро — базовая операция для любого, кто работает с электронной подписью. Она занимает 2-3 минуты, выполняется штатными средствами CSP без дополнительных утилит и закрывает четыре ключевых вопроса: видит ли система токен, читается ли контейнер, цел ли закрытый ключ, подходит ли пин. По результатам теста становится понятно, можно подписывать или есть проблема, и в какую сторону смотреть.
Большинство «отказов» токенов в реальности не связаны с физическим повреждением. Драйвер, обновление КриптоПро, USB-порт, забытый пин-код — вот четыре источника 90% проблем. Поэтому диагностика всегда предшествует замене железки. Сохранение отчётов о проверке в журнале даёт картину состояния парка токенов и помогает планировать обновление.
В 2026 году парк российских токенов продолжит расширяться: модели с невыводом ключей становятся стандартом, бесконтактная подпись через NFC выходит на рынок, появляются новые форм-факторы. Для кадровика и айтишника, который работает с КЭДО, навык диагностировать токен своими средствами становится таким же базовым, как умение проверить интернет-соединение.
Часто задаваемые вопросы
Какие токены поддерживает КриптоПро CSP 5.0 R3?
Что делать, если токен не определяется в КриптоПро?
Какой стандартный пин-код у Рутокена и JaCarta?
Как разблокировать токен после трёх неверных попыток ввода пина?
Можно ли скопировать ключ с одного токена на другой?
Сколько контейнеров можно записать на один токен?
Что означает ошибка «Сертификат отозван»?
Можно ли проверить токен на macOS или Linux?
Сколько хранится токен с боевым сертификатом?
Поддерживает ли КриптоПро бесконтактную подпись через NFC?
Можно ли пробросить токен в RDP-сессию?
Что такое токен с невыводом ключей и зачем он нужен?
Где скачать утилиту Rutoken Panel?
Как протестировать токен онлайн без установки КриптоПро?
Сервис КЭДО Добыто закрывает полный цикл работы с электронной подписью на токенах: от первичной диагностики и настройки рабочего места до интеграции с 1С и массовой выдачи токенов сотрудникам. Мы знаем грабли каждой популярной модели и помогаем пройти этап технической отладки без потери времени и денег.
За время работы сервис Добыто подключил более 500 компаний к КЭДО. На каждом проекте этап раскатывания токенов занимал от двух дней (для компаний до 100 человек) до трёх недель (для холдингов с массовой выдачей). После того как процесс отлажен, токены выдаются и проверяются автоматически — без ручной диагностики каждого случая.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — на любых совместимых токенах
- Готовый коннектор с 1С (ЗУП, КА, ERP), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Мобильное приложение для подписания с телефона — в командировке, в отпуске, без похода за токеном
- Массовая выдача подписей одним нажатием — не нужно оформлять каждого сотрудника поштучно
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Сопровождение клиента до первых 50 подписаний — провайдер ведёт до самостоятельной работы
- Хранение документов до 50 лет — доступ к архиву сохраняется при расторжении договора с провайдером