Сертификат электронной подписи на Рутокене действует от 12 до 15 месяцев, а при определённых условиях — до 3 лет. Пропуск даты окончания означает невозможность подписать ни один документ — от налоговой декларации до кадрового приказа. Проверить оставшийся срок на Рутокене можно четырьмя способами: через КриптоПро CSP, фирменную Панель управления Рутокен, системный менеджер certmgr.msc и онлайн-сервис Госуслуг. Подробный обзор всех способов проверки срока действия ЭП, включая работу с другими носителями, — в материале проверка электронной подписи.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Какие модели Рутокен существуют и чем отличаются
Рутокен — это линейка USB-токенов компании «Актив», предназначенных для хранения ключей электронной подписи. На рынке представлены три основные модели: Рутокен Лайт, Рутокен ЭЦП 2.0 и Рутокен ЭЦП 3.0. Каждая модель влияет на порядок проверки и возможный срок действия сертификата.
Рутокен Лайт (с памятью 64 КБ) — пассивный носитель без криптографического ядра. Ключи хранятся на токене, но криптографические операции выполняет КриптоПро CSP на компьютере. Ключевая пара извлекается в оперативную память для вычисления подписи. Это самая распространённая модель — она поддерживается всеми удостоверяющими центрами и обходится дешевле активных токенов. Сертификат ФСБ выдан по классу защиты КС1.
Рутокен ЭЦП 2.0 — активный токен со встроенным криптографическим ядром. В связке с КриптоПро CSP 5.0 он поддерживает режим неизвлекаемого ключа: закрытый ключ генерируется на борту токена и никогда не покидает его память. Подпись вычисляется внутри чипа за 0,3 секунды. Сертифицирован ФСБ по классам КС1 и КС2. Однако с 1 апреля 2026 года ФНС прекратила поддержку старых алгоритмов шифрования ГОСТ 28147-89, которые использует эта модель — для работы с налоговой теперь нужен Рутокен ЭЦП 3.0.
Рутокен ЭЦП 3.0 — новейшая модель с поддержкой алгоритмов ГОСТ 34.12-2018 («Кузнечик» и «Магма»). Работает с КриптоПро CSP 5.0 R2 и R3, поддерживает протокол защиты канала SESPAKE (FKN), NFC-интерфейс для подписания с мобильных устройств. Память 128 КБ вмещает до 10-31 контейнера в зависимости от формата ключей. Сертифицирован по классам КС1/КС2. Это единственная модель, которая полностью совместима с новыми требованиями ФНС.
Мария Ж, юрист со стажем более 20 лет:
«После 1 апреля 2026 года ситуация стала однозначной: если вы работаете с ФНС, нужен Рутокен ЭЦП 3.0 и КриптоПро CSP 5.0 R2 или R3. Мы в Добыто начали предупреждать клиентов ещё в январе — те, кто обновился заблаговременно, не заметили перехода. Те, кто затянул, столкнулись с невозможностью сдать отчётность.»
Проверка срока действия через КриптоПро CSP
КриптоПро CSP — основной криптопровайдер для работы с квалифицированными сертификатами в России. Актуальные версии — 5.0 R2 и 5.0 R3, сертификация ФСБ действует до 1 мая 2027 года. Проверка сертификата на Рутокене через КриптоПро занимает меньше минуты и не требует специальных знаний.
Пошаговая инструкция для проверки на вкладке «Сервис»
Вставьте Рутокен в USB-порт компьютера. Дождитесь, пока индикатор на токене загорится — это означает, что система обнаружила устройство. Откройте КриптоПро CSP: Пуск — папка КРИПТО-ПРО — КриптоПро CSP. Перейдите на вкладку «Сервис». Нажмите кнопку «Просмотреть сертификаты в контейнере». В открывшемся окне нажмите «Обзор» — программа покажет список всех контейнеров на подключённом Рутокене и в реестре Windows.
Выберите нужный контейнер. Если на токене записано несколько сертификатов, ориентируйтесь по имени контейнера — оно обычно содержит дату создания. Нажмите «Ок», затем «Далее». В появившемся окне вы увидите ключевые данные сертификата: ФИО владельца или наименование организации, ИНН, ОГРН, удостоверяющий центр и строку «Действителен с … по …». Если текущая дата выходит за указанный диапазон, сертификат просрочен и подписывать им документы нельзя.
Через кнопку «Свойства» открывается системный диалог сертификата Windows. На вкладке «Общие» срок действия указан крупным шрифтом. На вкладке «Состав» можно найти точные поля «Действителен с» и «Действителен по» с указанием времени до секунды. Это полезно, когда срок заканчивается в текущие сутки и нужно понять, есть ли ещё время для подписания.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Частая ошибка — человек не видит свой контейнер в списке и решает, что сертификат пропал. На самом деле причина проще: либо Рутокен не вставлен, либо не установлены драйверы с сайта rutoken.ru. Первое, что мы спрашиваем при обращении клиента: горит ли индикатор на токене? Если нет — драйверы или порт.»
Проверка через Панель управления Рутокен
Фирменная утилита Панель управления Рутокен позволяет проверить сертификат без КриптоПро CSP. Она читает данные напрямую с токена через интерфейс PKCS#11. Утилита входит в комплект Рутокен Драйверы, который скачивается бесплатно с rutoken.ru/support/download.
Откройте Панель управления Рутокен: Пуск — Актив Ко — Панель управления Рутокен (или через Панель управления Windows — Панель управления Рутокен). Перейдите на вкладку «Сертификаты». Программа отобразит все сертификаты, записанные на подключённом токене. Для каждого сертификата показаны: владелец, серийный номер, столбец «Действителен с» и «Истекает», алгоритм ключа подписи.
Столбец «Истекает» — это дата окончания действия сертификата. Если она прошла, сертификат выделяется визуально. Двойной клик по строке сертификата открывает подробную карточку, где можно проверить цепочку доверия — от конечного сертификата до корневого сертификата Минцифры. Если цепочка не выстраивается, возможно, не установлены корневые сертификаты УЦ (скачиваются с uc.nalog.ru).
Ключевое преимущество этого способа — он работает даже при отсутствии лицензии КриптоПро CSP. Если срок лицензии КриптоПро истёк, а проверить сертификат нужно прямо сейчас, Панель Рутокен справится. Минус — способ подходит только для токенов линейки Рутокен. Для JaCarta нужна утилита «Единый Клиент JaCarta», для eSmart — eSmart PKI Client.
Проверка через certmgr.msc в Windows
Системный менеджер сертификатов Windows — самый быстрый способ, не требующий установки никакого стороннего ПО. Работает в Windows 10 и 11. Условие: сертификат должен быть предварительно установлен в хранилище Windows (через КриптоПро CSP или вручную). Если сертификат записан только на Рутокен и не установлен в систему, certmgr его не покажет.
Нажмите Win+R, введите certmgr.msc, нажмите Enter. В левой панели раскройте «Личное» — «Сертификаты». В правой части окна для каждого сертификата видны столбцы: «Кем выдан», «Кому выдан», «Срок действия», «Понятное имя». Столбец «Срок действия» показывает дату окончания. Двойной клик по строке сертификата откроет окно свойств с полной информацией, включая серийный номер, алгоритм ключа и точку распространения списков отзыва (CRL).
Важная тонкость: certmgr.msc показывает только сертификаты текущего пользователя. Если сертификат был установлен в хранилище локального компьютера (например, для серверных сценариев), используйте certlm.msc — это менеджер сертификатов локального компьютера, для его запуска нужны права администратора.
Онлайн-проверка через Госуслуги
Портал Госуслуг позволяет проверить сертификат онлайн без установки КриптоПро CSP и без подключения Рутокена к компьютеру. Для этого нужен файл сертификата в формате .cer, который можно заранее экспортировать через КриптоПро CSP или Панель управления Рутокен.
Перейдите на e-trust.gosuslugi.ru, откройте раздел проверки сертификата. Загрузите файл .cer или вставьте его содержимое в Base64-формате. Сервис за несколько секунд покажет: владельца, удостоверяющий центр, срок действия, статус (действителен, истёк или отозван) и серийный номер. Дополнительно проверяется, включён ли УЦ в реестр аккредитованных Минцифры. Если нет — появится предупреждение о том, что сертификат не является квалифицированным.
Этот способ удобен в двух ситуациях. Первая — когда нужно проверить сертификат с чужого Рутокена: контрагент прислал файл .cer, и вы хотите убедиться, что его подпись ещё действует. Вторая — когда Рутокен физически недоступен (например, остался в офисе), а файл сертификата сохранён на компьютере или в облаке.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Госуслуги показывают не только дату окончания, но и статус отзыва. Бывает, что сертификат формально не просрочен, но отозван по заявлению владельца или по решению УЦ. Подпись отозванным сертификатом юридической силы не имеет — по 63-ФЗ такой документ можно оспорить.»
Проверять сроки сертификатов на Рутокенах для каждого сотрудника вручную — трудоёмко и ненадёжно. Сервис Добыто КЭДО автоматически мониторит сроки всех типов подписей и предупреждает кадровика за 30, 14 и 3 дня до истечения.
Стандартные и максимальные сроки действия сертификатов на Рутокене
Срок действия сертификата определяется не моделью Рутокена, а политикой удостоверяющего центра и возможностями криптопровайдера. Тем не менее модель токена влияет на максимально допустимый срок.
УЦ ФНС выдаёт квалифицированные сертификаты на 15 месяцев — вне зависимости от модели Рутокена. Коммерческие удостоверяющие центры обычно устанавливают срок 12 месяцев. УНЭП через Госключ (без Рутокена) — 12 месяцев. С 1 января 2022 года сертификаты ФНС для юридических лиц и индивидуальных предпринимателей выдаются бесплатно.
Максимальный срок — до 3 лет — достижим при использовании Рутокен ЭЦП 2.0 или 3.0 в режиме ФКН (функциональный ключевой носитель) совместно с КриптоПро CSP 5.0. В этом режиме ключевая пара генерируется внутри чипа токена, защищается протоколом SESPAKE, не копируется и не извлекается. ФСБ допускает увеличенный срок действия ключа подписи (до 3 лет), если средство ЭП обеспечивает аппаратную неизвлекаемость. На практике такие сертификаты выдают единичные коммерческие УЦ по запросу корпоративных клиентов.
Рутокен Лайт не поддерживает режим ФКН — на нём максимальный срок определяется стандартной политикой УЦ (12-15 месяцев). Различие принципиальное: если вы видите в свойствах сертификата срок 3 года, значит, он сгенерирован на активном токене в режиме неизвлекаемого ключа.
Переход на новые ГОСТ и замена Рутокен ЭЦП 2.0
С 1 апреля 2026 года ФНС перешла на новые стандарты шифрования — ГОСТ 34.12-2018 и ГОСТ 34.13-2018. Рутокен ЭЦП 2.0 не поддерживает алгоритмы «Кузнечик» и «Магма», что делает его непригодным для работы с налоговой после указанной даты. Это касается сдачи отчётности, работы с личным кабинетом налогоплательщика, подписания документов через ЭДО-операторов.
Для продолжения работы необходимо заменить Рутокен ЭЦП 2.0 на Рутокен ЭЦП 3.0 и обновить КриптоПро CSP до версии 5.0 R2 (build 13000) или 5.0 R3. После замены токена потребуется перевыпуск сертификата: обратитесь в УЦ ФНС или аккредитованный коммерческий УЦ, сгенерируйте новую ключевую пару на Рутокен ЭЦП 3.0 и получите новый квалифицированный сертификат.
Сертификаты, выпущенные до 1 апреля 2026 года на Рутокен ЭЦП 2.0, продолжают действовать до даты окончания, указанной в них. Но использовать их для работы с ФНС после 1 апреля не получится — налоговая просто не примет документы, подписанные по старому алгоритму. Для подписания кадровых документов в системе КЭДО старые сертификаты пока работают — 377-ФЗ не устанавливает требований к конкретным криптоалгоритмам.
Мария Ж, HR-эксперт с 13-летним стажем:
«Замена Рутокен ЭЦП 2.0 на 3.0 — это не катастрофа, а плановое обновление. Стоимость нового токена — от 2500 рублей. Перевыпуск сертификата ФНС — бесплатный. КриптоПро CSP обновляется в рамках действующей лицензии. Весь процесс занимает один визит в налоговую и полчаса настройки на рабочем месте.»
Что делать, если сертификат на Рутокене истёк
Если сертификат ещё действует (осталось хотя бы несколько дней), его можно продлить дистанционно. Для УКЭП от ФНС: зайдите в личный кабинет налогоплательщика на nalog.gov.ru, перейдите в раздел выпуска сертификата и подпишите заявление текущей (пока действующей) подписью. Новый сертификат будет записан на тот же Рутокен. Процедура занимает 10-15 минут.
Если сертификат уже просрочен, дистанционное продление невозможно. По 63-ФЗ удостоверяющий центр обязан заново идентифицировать заявителя, когда предыдущий сертификат недействителен. Потребуется личный визит в операционный зал ФНС (для УКЭП юридического лица) или в аккредитованный коммерческий УЦ (для физлица) с паспортом и СНИЛС. Рутокен нужно взять с собой — новый сертификат запишут на него при наличии свободной памяти.
Практический совет: проверьте объём свободной памяти на Рутокене до визита в УЦ. Откройте Панель управления Рутокен — на вкладке «Информация о Рутокен» отображается общий и свободный объём. Один контейнер КриптоПро занимает 4-8 КБ. Если на токене с памятью 64 КБ записано более 8 контейнеров, свободного места может не хватить. В этом случае удалите неиспользуемые контейнеры с просроченными сертификатами или возьмите новый Рутокен.
Почему важно контролировать срок действия ЭП на Рутокене
По 63-ФЗ «Об электронной подписи» сертификат должен быть действителен на момент подписания документа. Подпись, поставленная после истечения сертификата, не имеет юридической силы. Для кадрового электронного документооборота это означает, что трудовой договор, приказ о приёме или дополнительное соглашение, подписанные просроченной ЭП, можно оспорить в суде. Работодатель в таком случае рискует получить предписание ГИТ и административный штраф.
Проблема усугубляется при массовом подписании. Если кадровик обнаруживает истечение сертификата в день, когда нужно подписать 150 приказов о премировании, работа встаёт. Перевыпуск сертификата через ФНС занимает от 15 минут до нескольких дней (при технических сбоях), а личный визит требует времени и планирования.
Для документов с длительным сроком хранения (трудовые договоры — 50 лет, приказы по личному составу — 75 лет) важна не только дата подписания, но и возможность проверки подписи спустя годы. Усовершенствованная подпись формата CAdES-XLT1 с TSP-штампом и OCSP-ответом фиксирует момент подписания и статус сертификата. Без TSP доказать в суде, что документ был подписан при действующем сертификате, затруднительно. Подробнее о видах ЭП и их применении — в материале о программах для подписания документов ЭЦП.
Мария Ж, судебный эксперт по трудовому праву:
«TSP-штампы — обязательное условие для КЭДО, а не дополнительная опция. Трудовой договор хранится 50 лет. Если через 5 лет работник оспорит подписание, а у вас нет метки времени, доказать действительность подписи на момент создания документа будет очень сложно. В Добыто все подписи формируются с TSP и OCSP по умолчанию.»
Как проверить срок действия ЭП на Рутокене: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Вставьте Рутокен в USB-порт компьютера. Дождитесь, пока индикатор на токене загорится — это подтверждает, что система обнаружила устройство.
- Шаг 2. Откройте КриптоПро CSP: Пуск — КРИПТО-ПРО — КриптоПро CSP. Перейдите на вкладку «Сервис».
- Шаг 3. Нажмите «Просмотреть сертификаты в контейнере», затем «Обзор». Выберите контейнер на Рутокене из списка.
- Шаг 4. Нажмите «Ок», затем «Далее». Найдите строку «Действителен с … по …» — это срок действия сертификата.
- Шаг 5. Нажмите «Свойства» для просмотра подробной информации: серийный номер, удостоверяющий центр, алгоритм ключа.
- Шаг 6. Альтернативный способ без КриптоПро: откройте Панель управления Рутокен (Пуск — Актив Ко — Панель управления Рутокен), перейдите на вкладку «Сертификаты». Столбец «Истекает» показывает дату окончания.
- Шаг 7. Если сертификат установлен в систему: нажмите Win+R, введите certmgr.msc. Откройте «Личное» — «Сертификаты». Столбец «Срок действия» покажет дату окончания.
- Шаг 8. Для онлайн-проверки: экспортируйте файл сертификата (.cer) и загрузите на e-trust.gosuslugi.ru. Сервис покажет срок действия и статус отзыва.
Образцы документов для работы с электронной подписью и КЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО (образец) | Скачать |
| Приказ о переходе на КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Всё о квалифицированной ЭП, КриптоПро и Рутокен | Скачать |
| Электронная подпись ФНС для ИП и ООО | Скачать |
| ЭЦП как пользоваться — подробное руководство | Скачать |
Стоимость сертификатов и сервиса КЭДО Добыто
Квалифицированный сертификат от УЦ ФНС для юридических лиц и ИП выдаётся бесплатно с 1 января 2022 года. Основные расходы — USB-токен (Рутокен ЭЦП 3.0 от 2500 руб.) и лицензия КриптоПро CSP (бесплатно по программе ФНС или от 2700 руб. за коммерческую бессрочную лицензию). Рассчитать стоимость криптопровайдера для конкретной конфигурации можно через калькулятор КриптоПро.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» — КЭДО Добыто | от 30 руб./сотрудник/мес | до 25 сотрудников, ПЭП и УНЭП |
| Тариф «Бизнес» — КЭДО Добыто | от 50 руб./сотрудник/мес | от 50 сотрудников, ПЭП/УНЭП/УКЭП, интеграция 1С |
| Тариф «Корпорация» — КЭДО Добыто | по запросу | выделенный сервер, SLA 99.9% |
| УКЭП от УЦ ФНС (для ЮЛ и ИП) | бесплатно | при наличии токена |
| Рутокен ЭЦП 3.0 (USB) | от 2 500 руб. | сертифицирован ФСБ КС1/КС2 |
Актуальные тарифы КЭДО Добыто с детализацией по функциям доступны на странице тарифы Добыто КЭДО.
Выводы: как не пропустить срок действия ЭП на Рутокене
Проверить срок действия сертификата на Рутокене можно четырьмя способами: через КриптоПро CSP (вкладка «Сервис» — «Просмотреть сертификаты в контейнере»), через Панель управления Рутокен (вкладка «Сертификаты»), через certmgr.msc в Windows (раздел «Личное» — «Сертификаты») и онлайн на e-trust.gosuslugi.ru. Самый быстрый — certmgr.msc, если сертификат установлен в систему. Самый универсальный — Панель управления Рутокен, поскольку не зависит от лицензии КриптоПро.
Стандартный срок действия — 12-15 месяцев. Максимум 3 года — при использовании Рутокен ЭЦП 2.0 или 3.0 в режиме ФКН с КриптоПро CSP 5.0. С 1 апреля 2026 года для работы с ФНС обязателен Рутокен ЭЦП 3.0 и КриптоПро CSP 5.0 R2/R3 — старые токены и версии криптопровайдера не поддерживают новые ГОСТ. Продление до истечения можно выполнить дистанционно, после истечения — только личный визит в УЦ.
Настройте автоматический мониторинг. В системе КЭДО Добыто уведомления уходят кадровику за 30, 14 и 3 дня до истечения каждого сертификата — ни один Рутокен не останется без внимания.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Контроль сроков сертификатов на Рутокенах — это не разовая проверка, а постоянный процесс. В компании с 200 сотрудниками, каждый из которых имеет УКЭП на Рутокене, каждую неделю может истекать чей-то сертификат. Отслеживать это вручную невозможно. Автоматизация через КЭДО-систему — единственный надёжный вариант.»
Автоматический мониторинг сроков сертификатов на Рутокенах, маршрутизация подписей, TSP-штампы на каждом кадровом документе — сервис Добыто КЭДО закрывает весь цикл работы с электронной подписью в кадровом документообороте.
За время работы мы подключили к КЭДО более 500 компаний. Каждый проект включает настройку мониторинга сроков, обучение кадровиков и техническое сопровождение до полностью самостоятельной работы.
- Автоматический мониторинг сроков действия УКЭП, УНЭП и ПЭП на любых токенах
- Push-уведомления кадровику и сотруднику за 30, 14 и 3 дня до истечения сертификата
- TSP-штампы и OCSP-ответы на каждом подписанном документе для долгосрочного хранения
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — настройка за 1 час
- Юридическая значимость по 63-ФЗ «Об электронной подписи» и 377-ФЗ (КЭДО)
- Поддержка Рутокен, JaCarta, eSmart и Госключ в единой системе