Закрытый ключ электронной подписи имеет собственный срок действия, который не совпадает со сроком сертификата. Стандартный период — 15 месяцев, но на практике ключ может стать непригодным раньше: из-за ограничений криптопровайдера, политики удостоверяющего центра или настроек токена. Если ключ истёк, подписать документ не получится — КриптоПро CSP просто не позволит выполнить операцию. Разобраться в теме проверки электронной подписи целиком поможет отдельный материал.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Чем срок действия закрытого ключа отличается от срока сертификата
Сертификат и закрытый ключ — два разных объекта с разной продолжительностью жизни. Сертификат — это публичный документ, который содержит данные о владельце, открытый ключ и срок действия (обычно 12-15 месяцев). Закрытый ключ — это секретная криптографическая последовательность, которая хранится в контейнере на токене или жёстком диске и используется непосредственно для формирования подписи.
Срок действия закрытого ключа определяется при его генерации и записывается в атрибуты ключевого контейнера. По требованиям ФСБ России (Приказ ФСБ № 796), максимальный срок использования закрытого ключа для ГОСТ Р 34.10-2012 составляет 15 месяцев при использовании извлекаемых ключей (стандартные USB-токены Рутокен Lite, JaCarta LT). Для неизвлекаемых ключей на аппаратных носителях с поддержкой протокола SESPAKE (Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ) срок может достигать 3 лет — такие ключи называются ключами формата ФКН (функциональный ключевой носитель).
На практике удостоверяющие центры обычно устанавливают срок закрытого ключа равным сроку сертификата или чуть больше. УЦ ФНС выпускает ключи на 15 месяцев, коммерческие УЦ — на 12-13 месяцев. Но бывают ситуации, когда сроки расходятся: например, при перевыпуске сертификата на старый контейнер или при использовании корпоративного УЦ с нестандартными настройками. Именно поэтому проверять нужно оба параметра отдельно.
Мария Ж, юрист со стажем более 20 лет:
«В нашей практике мы сталкиваемся с ситуацией, когда сертификат ещё действует, а закрытый ключ уже истёк. Это происходит, если сертификат перевыпускали без генерации нового ключа или если корпоративный УЦ установил нестандартные сроки. Кадровик пытается подписать трудовой договор — и получает ошибку, хотя в certmgr сертификат показывается как действующий.»
Стандартные сроки действия закрытых ключей
Сроки зависят от типа ключевого носителя, версии КриптоПро CSP и политики удостоверяющего центра. Ниже приведены типичные значения для российского рынка в 2025-2026 годах.
Извлекаемые ключи на Рутокен Lite или JaCarta LT действуют до 15 месяцев. Это самый распространённый вариант: ключ копируется с токена в оперативную память компьютера при каждой операции подписания. Неизвлекаемые ключи на Рутокен ЭЦП 2.0 или 3.0 с поддержкой ФКН действуют до 3 лет. Ключ никогда не покидает токен — вся криптография выполняется внутри чипа, что снижает риск компрометации. Ключи в облачных хранилищах (КриптоПро DSS, myDSS) имеют срок от 12 до 15 месяцев в зависимости от настроек сервера.
УНЭП в приложении Госключ использует ключи с жизненным циклом 12 месяцев. Ключ генерируется и хранится на устройстве пользователя (смартфон), при этом доступ к нему защищён биометрией и PIN-кодом Госключа. Продления нет — через 12 месяцев приложение предлагает сгенерировать новую пару.
Как посмотреть срок закрытого ключа в КриптоПро CSP
КриптоПро CSP — единственная программа, которая показывает именно срок действия закрытого ключа, а не только сертификата. Информация хранится в атрибутах ключевого контейнера, и прочитать её можно через вкладку «Сервис».
Как проверить срок закрытого ключа через КриптоПро CSP
- Откройте КриптоПро CSP. Нажмите «Пуск» → в строке поиска введите «КриптоПро CSP» → запустите программу. В Windows 10/11 её также можно найти через «Панель управления» → «КриптоПро CSP».
- Перейдите на вкладку «Сервис». В верхней части окна выберите вкладку «Сервис». Здесь сосредоточены все инструменты для работы с контейнерами закрытых ключей.
- Нажмите «Протестировать контейнер закрытого ключа». Откроется диалог выбора ключевого контейнера. Если USB-токен подключён, контейнер определится автоматически. При наличии нескольких контейнеров нажмите «Обзор» и выберите нужный — ориентируйтесь по имени контейнера или серийному номеру токена.
- Изучите результат тестирования. В отчёте отображается информация о контейнере, включая строку «Срок действия закрытого ключа» с точными датами «с» и «по». Если строка отсутствует (для старых контейнеров, созданных в КриптоПро CSP 3.x), значит срок не был задан при генерации — такой ключ считается бессрочным в пределах срока сертификата.
Есть альтернативный путь: на той же вкладке «Сервис» нажмите «Просмотреть сертификаты в контейнере». После выбора контейнера откроется окно свойств сертификата, где на вкладке «Состав» в расширениях можно найти информацию о ключевом материале. Однако дату окончания закрытого ключа этот способ показывает не всегда — только если УЦ включил соответствующее расширение в сертификат.
Мария Ж, юрист со стажем более 20 лет:
«Кнопка «Протестировать контейнер» — самый надёжный способ. Она проверяет не только сроки, но и целостность ключевого контейнера: корректность хеш-суммы, доступность ключа на носителе, соответствие открытого и закрытого ключей. Если тест завершился ошибкой — ключ повреждён и использовать его нельзя.»
Проверка через свойства контейнера в certmgr
Менеджер сертификатов Windows (certmgr.msc) показывает сроки действия самого сертификата, но косвенно позволяет оценить и состояние закрытого ключа. Этот способ удобен, когда нужно быстро проверить, привязан ли к сертификату действующий закрытый ключ.
Как проверить привязку закрытого ключа через certmgr
- Откройте менеджер сертификатов. Нажмите Win+R, введите
certmgr.mscи нажмите Enter. Откроется консоль управления сертификатами текущего пользователя. - Перейдите в «Личное» → «Сертификаты». Найдите нужный сертификат в списке — ориентируйтесь по столбцу «Кому выдан» (ФИО владельца или название организации).
- Дважды кликните по сертификату. Откроется окно свойств. Обратите внимание на нижнюю часть вкладки «Общие»: если там есть надпись «Есть закрытый ключ для этого сертификата» — ключ доступен. Если надписи нет — ключ отсутствует или недоступен.
- Перейдите на вкладку «Состав». Найдите поле «Идентификатор ключа субъекта» и «Период использования закрытого ключа» (если расширение включено УЦ). Период использования и будет сроком действия ключа. Если такого поля нет, срок можно проверить только через КриптоПро CSP.
Важный нюанс: certmgr показывает сертификаты из хранилища Windows, а не из контейнера на токене. Если сертификат был установлен в хранилище, но токен не подключён, certmgr покажет, что закрытый ключ отсутствует — хотя на самом деле он есть, просто на отключённом носителе. Подключите токен и обновите окно (F5), чтобы увидеть актуальную картину.
Проверка срока ключа на токене Рутокен
Панель управления Рутокен показывает информацию обо всех объектах на токене, включая ключевые контейнеры и сертификаты. Для аппаратных ключей ФКН (Рутокен ЭЦП 2.0/3.0) этот способ наиболее информативен, поскольку отображает специфические параметры неизвлекаемых ключей.
Как посмотреть срок закрытого ключа через панель Рутокен
- Подключите токен к USB-порту. Дождитесь, пока индикатор начнёт мигать — устройство определилось системой.
- Откройте «Панель управления Рутокен». Через «Пуск» → «Все программы» → «Рутокен» → «Панель управления», либо через поиск Windows.
- Перейдите на вкладку «Сертификаты». Здесь перечислены все сертификаты на токене с указанием владельца, издателя и дат действия.
- Выберите сертификат и нажмите «Свойства». В расширенных свойствах отображается информация о связанном закрытом ключе: тип (извлекаемый/неизвлекаемый), алгоритм (ГОСТ Р 34.10-2012) и срок действия контейнера.
На Рутокен ЭЦП 3.0 (модель с NFC) дополнительно доступна информация о количестве выполненных криптографических операций и оставшемся ресурсе чипа. Это полезно для организаций, где один токен используется для массового подписания: чип имеет ограниченный ресурс (около 500 000 операций), и при его исчерпании потребуется замена устройства независимо от срока ключа.
Мария Ж, юрист со стажем более 20 лет:
«Для кадрового ЭДО рекомендую Рутокен ЭЦП 2.0 или 3.0 с неизвлекаемыми ключами. Срок ключа до 3 лет — это значит, что сотруднику нужно обновлять только сертификат раз в год, а ключевую пару менять значительно реже. Экономия времени для HR-отдела, обслуживающего 100+ сотрудников, — существенная.»
Полезные документы (нажмите, чтобы открыть список)
- Инструкция по установке ЭЦП на компьютер — пошаговое руководство по установке сертификата и настройке ключевого контейнера
- Памятка по настройке КЭП для налоговой — настройка КЭП для работы с личным кабинетом ФНС
- Ответы на вопросы об установке ЭЦП — FAQ по типичным проблемам при установке и настройке
- Руководство пользователя Добыто КЭДО — полное описание работы с сервисом
- ФЗ № 63-ФЗ «Об электронной подписи» — полный текст закона
- ФЗ № 63-ФЗ «Об электронной подписи» (PDF) — версия для печати
- ФЗ № 377-ФЗ (КЭДО, изменения в ТК) — закон о кадровом электронном документообороте
- Приказ ФСБ № 795 (требования к КЭП) — требования к форме квалифицированного сертификата
- Криптографическая защита информации — ГОСТ по формированию и проверке электронной подписи
- Приказ ФСТЭК № 227 — требования к защите информации
Что происходит при истечении закрытого ключа
Когда закрытый ключ истекает, КриптоПро CSP блокирует операцию формирования подписи. Поведение зависит от версии криптопровайдера. В КриптоПро CSP 4.0 выводится сообщение «Срок действия закрытого ключа истёк» при попытке подписания. В КриптоПро CSP 5.0 R2 и R3 сообщение более информативное: указываются даты начала и окончания действия ключа и рекомендация обратиться в удостоверяющий центр.
При этом проверка ранее созданных подписей продолжает работать. Закрытый ключ нужен только для формирования новой подписи, а для проверки используется открытый ключ из сертификата. Документы, подписанные в период действия ключа, сохраняют юридическую силу — при условии использования формата с меткой времени (CAdES-T, CAdES-XL). Метка времени от сервера TSP фиксирует момент подписания и подтверждает, что на тот момент и ключ, и сертификат были действительны.
Статья 14 Федерального закона № 63-ФЗ «Об электронной подписи» обязывает владельца сертификата обеспечивать конфиденциальность закрытого ключа и не использовать его при наличии оснований полагать, что конфиденциальность нарушена. Истечение срока — формальное основание для прекращения использования ключа, даже если технически ключ ещё мог бы работать.
Мария Ж, юрист со стажем более 20 лет:
«Типичная ситуация: кадровик в пятницу вечером пытается подписать приказ об отпуске, и система выдаёт ошибку. Токен с собой, интернет есть — но ключ истёк. Перевыпуск в УЦ ФНС занимает от 15 минут до 2 часов в зависимости от нагрузки. В системе Добыто мы уведомляем о приближении срока за 30 дней, чтобы таких ситуаций не возникало.»
Как продлить или перевыпустить закрытый ключ
Продлить закрытый ключ без генерации нового невозможно — это ограничение криптографии. При «продлении» фактически происходит генерация новой ключевой пары и выпуск нового сертификата. Процедура зависит от удостоверяющего центра.
В УЦ ФНС перевыпуск выполняется через личный кабинет налогоплательщика (nalog.ru). Зайдите в раздел «Жизненные ситуации» → «Получить КЭП» → «Продлить сертификат». Система сгенерирует новую ключевую пару и запишет её на тот же токен (если на нём есть свободное место) или на новый. Условие: текущий сертификат должен быть ещё действительным. После истечения — только личный визит в отделение ФНС с паспортом.
Коммерческие удостоверяющие центры (СКБ Контур, Тензор, Такском, Калуга Астрал) обычно предлагают перевыпуск онлайн или через свои приложения. Стоимость — от 1 500 до 5 000 рублей. Некоторые тарифы включают «безлимитный перевыпуск» в течение года, что удобно при смене должности или организации.
Для УНЭП в Госключе процесс автоматический: приложение уведомляет об истечении срока и предлагает выпустить новый сертификат с новым ключом. Генерация занимает 2-3 минуты. Старый ключ автоматически деактивируется.
Контроль сроков закрытых ключей в организации
Вручную отслеживать сроки ключей для каждого сотрудника — задача, которая разрастается по мере роста штата. При 10 сотрудниках это ещё терпимо, при 50 — уже рискованно, при 200 — практически невозможно без автоматизации. Каждый просроченный ключ означает остановку подписания: ни приказ оформить, ни ознакомление провести, ни отчёт в ФНС отправить.
В сервисе Добыто реализован автоматический мониторинг: платформа считывает параметры сертификатов и ключей при подключении, отслеживает сроки и отправляет уведомления за 30 дней до окончания — и ответственному HR-специалисту, и самому сотруднику. Если сотрудник попытается подписать документ просроченным ключом, система заблокирует операцию и выведет инструкцию по перевыпуску.
По данным вебинара ФГБУ «ЦЭКИ» от апреля 2026 года, более 60% инцидентов с электронными подписями в организациях связаны именно с просрочкой — не с компрометацией, не с техническими сбоями, а с банальным пропуском даты. Автоматизация контроля через КЭДО-платформу снижает этот показатель практически до нуля.
Стоимость перевыпуска и обслуживания
При планировании расходов на электронную подпись учитывайте полный цикл: генерация ключа, выпуск сертификата, лицензия криптопровайдера, носитель и обслуживание КЭДО-платформы.
| Компонент | Стоимость | Периодичность |
|---|---|---|
| КЭП от УЦ ФНС (для ИП и руководителей) | Бесплатно | Каждые 15 месяцев |
| КЭП от коммерческого УЦ | 1 500 — 5 000 ₽ | Каждые 12 месяцев |
| УНЭП Госключ | Бесплатно | Каждые 12 месяцев |
| Лицензия КриптоПро CSP 5.0 (годовая) | 1 350 ₽ | Ежегодно |
| Лицензия КриптоПро CSP 5.0 (бессрочная) | 2 700 ₽ | Разово |
| Рутокен Lite (извлекаемый ключ, до 15 мес.) | 1 500 — 2 000 ₽ | Разово (замена раз в 5-7 лет) |
| Рутокен ЭЦП 2.0 (неизвлекаемый ключ, до 3 лет) | 2 500 — 3 500 ₽ | Разово |
| КЭДО Добыто (тариф «Старт») | от 30 ₽/сотрудник/мес | Ежемесячно |
| КЭДО Добыто (тариф «Бизнес») | от 50 ₽/сотрудник/мес | Ежемесячно (мин. 30 000 ₽/год) |
| КЭДО Добыто (тариф «Корпорация») | По запросу | Индивидуально |
Подробные условия каждого тарифа — на странице тарифы Добыто КЭДО.
Выводы
Срок действия закрытого ключа — параметр, который часто упускают из виду, сосредотачиваясь на дате окончания сертификата. Между тем именно истечение ключа блокирует подписание, даже если сертификат формально ещё действителен. Проверить срок можно тремя способами: через функцию «Протестировать контейнер» в КриптоПро CSP (самый надёжный), через свойства сертификата в certmgr.msc (если УЦ включил расширение) и через панель управления Рутокен (для ключей на аппаратных токенах).
Стандартный срок закрытого ключа — 15 месяцев для извлекаемых ключей и до 3 лет для неизвлекаемых на Рутокен ЭЦП 2.0/3.0. Продлить ключ без генерации нового невозможно — при перевыпуске создаётся новая ключевая пара. Чтобы не попасть в ситуацию с просроченным ключом, используйте КЭДО-платформу с автоматическим мониторингом — например, Добыто, где уведомления приходят за 30 дней и администратору, и сотруднику.
Часто задаваемые вопросы
Чем срок действия закрытого ключа отличается от срока сертификата?
Сертификат — это публичный документ с данными о владельце и открытым ключом (срок 12–15 месяцев). Закрытый ключ — секретная криптографическая последовательность для формирования подписи (срок 15 месяцев для извлекаемых ключей, до 3 лет для неизвлекаемых). Их сроки устанавливаются независимо и могут не совпадать.
Где посмотреть срок действия закрытого ключа?
Самый надёжный способ — в КриптоПро CSP: вкладка «Сервис» → «Протестировать контейнер закрытого ключа». В отчёте отображается строка «Срок действия закрытого ключа» с точными датами. Также можно проверить через свойства сертификата в certmgr.msc или панель управления Рутокен.
Сколько действует закрытый ключ на Рутокен Lite?
На Рутокен Lite используются извлекаемые ключи, максимальный срок действия которых составляет 15 месяцев. Это ограничение установлено требованиями ФСБ к регулярной смене ключевого материала для алгоритма ГОСТ Р 34.10-2012.
Почему на Рутокен ЭЦП 2.0 ключ действует до 3 лет?
Рутокен ЭЦП 2.0 поддерживает неизвлекаемые ключи формата ФКН (функциональный ключевой носитель) с протоколом SESPAKE. Ключ никогда не покидает чип токена, что снижает риск компрометации. ФСБ разрешает увеличенный срок для таких ключей — до 3 лет.
Можно ли продлить закрытый ключ без перевыпуска сертификата?
Нет. Закрытый ключ нельзя продлить — это фундаментальное ограничение криптографии. При «продлении» всегда генерируется новая ключевая пара и выпускается новый сертификат. Старый ключ при этом деактивируется.
Что будет, если подписать документ просроченным закрытым ключом?
КриптоПро CSP не позволит выполнить операцию — при попытке подписания выведется сообщение об ошибке с указанием, что срок закрытого ключа истёк. Подпись не будет создана, документ останется неподписанным.
Действительны ли документы, подписанные до истечения ключа?
Да. Документы, подписанные в период действия ключа и сертификата, сохраняют юридическую силу. Для подтверждения момента подписания используется метка времени (формат CAdES-T или CAdES-XL). Для архивного хранения рекомендуется формат CAdES-A с возможностью переподтверждения подписи.
Как проверить, извлекаемый или неизвлекаемый ключ записан на токене?
Через КриптоПро CSP: вкладка «Сервис» → «Протестировать контейнер». В отчёте указан тип контейнера и носителя. Для неизвлекаемых ключей будет указано «ФКН» или «PKCS#11». Также тип можно определить по модели токена: Рутокен Lite — всегда извлекаемые, Рутокен ЭЦП 2.0/3.0 — могут быть оба варианта.
Сколько стоит перевыпуск ключа и сертификата?
В УЦ ФНС — бесплатно для ИП и руководителей юрлиц. В коммерческих УЦ — от 1 500 до 5 000 рублей. УНЭП через Госключ — бесплатно. Дополнительно может потребоваться лицензия КриптоПро CSP (от 1 350 рублей годовая) и новый токен (от 1 500 рублей), если старый вышел из строя.
Как автоматически отслеживать сроки ключей в организации?
Используйте КЭДО-систему с функцией мониторинга. В Добыто реализовано автоматическое уведомление за 30 дней до истечения сертификата и ключа — и администратору, и сотруднику. Система блокирует подписание просроченной подписью и предлагает перевыпуск.
Что делать, если КриптоПро не показывает срок закрытого ключа?
Это означает, что контейнер был создан в старой версии КриптоПро CSP (3.x или ранние сборки 4.0), которая не записывала срок в атрибуты контейнера. В этом случае ключ считается действительным в пределах срока сертификата. Рекомендуется перевыпустить ключ в актуальной версии КриптоПро CSP 5.0 R3.
Влияет ли версия КриптоПро CSP на срок закрытого ключа?
Версия КриптоПро влияет на то, какие типы ключей поддерживаются. КриптоПро CSP 4.0 работает с извлекаемыми ключами (до 15 месяцев). КриптоПро CSP 5.0 поддерживает ключи ФКН на аппаратных токенах (до 3 лет). Сам срок устанавливается удостоверяющим центром при генерации ключа.
Можно ли проверить срок закрытого ключа онлайн?
Нет. Закрытый ключ по определению не должен передаваться за пределы компьютера или токена. Проверка возможна только локально — через КриптоПро CSP, certmgr или панель управления Рутокен. Онлайн-сервисы (Госуслуги, Контур Крипто) проверяют только сертификат, а не закрытый ключ.
Настройка сертификатов ЭП, установка КриптоПро CSP, интеграция Госключа с кадровой системой — специалисты Добыто берут на себя весь процесс от пилотной группы до массового раскатывания.
За время работы мы подключили к КЭДО более 500 компаний. Каждый проект включает настройку маршрутизации подписей, обучение кадровиков и сопровождение до полностью самостоятельной работы.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Полностью безбумажное оформление дистанционного сотрудника за 2 минуты
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Сопровождение клиента до первых 50 подписаний — провайдер ведёт до момента полностью самостоятельной работы