Сертификат электронной подписи хранится на токене, в приложении Госключ или в реестре операционной системы — но рано или поздно его нужно выгрузить в отдельный файл. Причины разные: передать кадровику для настройки КЭДО, загрузить в информационную систему работодателя, проверить срок действия на другом компьютере, приложить к заявке на торговой площадке. Процедура экспорта занимает пару минут, если знать, где искать и какие кнопки нажимать. Тему электронных подписей и их проверки мы подробно разбираем в материале про проверку электронной подписи, а здесь сосредоточимся на практической задаче — скачать сам сертификат.
Автор статьи — Мария Ж., юрист со стажем более 20 лет. Специализация — кадровое делопроизводство, электронный документооборот.
Что такое сертификат электронной подписи и зачем его скачивать
Сертификат ключа проверки электронной подписи — это электронный документ, выданный удостоверяющим центром. Он связывает открытый (публичный) ключ с конкретным владельцем: физическим лицом, ИП или организацией. Определение закреплено в ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи». Сертификат содержит ФИО владельца, ИНН, СНИЛС, наименование УЦ, срок действия, алгоритм подписи и сам открытый ключ.
Скачивание (экспорт) сертификата — это извлечение его открытой части в файл формата .cer, .crt или .pem. Закрытый ключ при этом не покидает носитель — экспортируется только публичная информация. Файл сертификата безопасно передавать по электронной почте, загружать на порталы и хранить на рабочем столе. Он не даёт возможности подписывать документы — для этого нужен закрытый ключ, который остаётся на токене или в защищённом хранилище Госключа.
Типичные ситуации, когда сертификат нужно скачать отдельным файлом: регистрация на электронной торговой площадке (ЕИС, Сбербанк-АСТ, РТС-тендер), настройка рабочего места для работы с порталами ФНС и ФСС, подключение к системе КЭДО работодателя, передача открытой части контрагенту для проверки ранее подписанных документов, резервное копирование перед переустановкой системы.
Какие сертификаты связаны с Госуслугами
Портал Госуслуг не является удостоверяющим центром в классическом понимании — он не выпускает квалифицированные сертификаты напрямую. Однако через экосистему Госуслуг доступны два типа сертификатов, которые граждане часто называют «сертификатами с Госуслуг».
| Параметр | УКЭП через Госключ | НЭП ЕСИА (Госуслуги) | УКЭП от УЦ ФНС (привязан к Госуслугам) |
|---|---|---|---|
| Вид подписи | Усиленная квалифицированная | Усиленная неквалифицированная | Усиленная квалифицированная |
| Где хранится ключ | Облако приложения Госключ | Инфраструктура ЕСИА | Токен (Рутокен, JaCarta) или реестр |
| Кто выдаёт сертификат | УЦ «Основание» (оператор Госключа) | Минцифры через ЕСИА | УЦ ФНС России |
| Срок действия | 12 месяцев | Привязан к учётной записи | 15 месяцев |
| Где применяется | Госуслуги, КЭДО, ЭДО, торги | Только Госуслуги и связанные порталы | Любые правоотношения |
| Можно ли экспортировать сертификат | Да, через приложение Госключ | Нет (нет отдельного файла сертификата) | Да, через КриптоПро CSP |
НЭП ЕСИА — это подпись, которая формируется при подтверждении действий через SMS-код или биометрию на Госуслугах. У неё нет отдельного файла сертификата, который можно скачать на компьютер. Поэтому когда пользователи ищут «как скачать сертификат с Госуслуг», речь обычно идёт либо о УКЭП из Госключа, либо о квалифицированном сертификате ФНС, который привязан к учётной записи на портале.
Мария Ж., юрист, специалист по КЭДО:
«Путаница возникает из-за того, что Госуслуги показывают информацию обо всех привязанных сертификатах — и о тех, что выпущены через Госключ, и о тех, что получены в УЦ ФНС на физическом токене. Но механизм экспорта у них принципиально разный. Госключ отдаёт сертификат через своё мобильное приложение, а сертификат ФНС нужно экспортировать через КриптоПро CSP на компьютере, к которому подключён токен.»
Какой формат файла выбрать при экспорте
При экспорте сертификата система предложит выбрать формат. Основных вариантов три: DER-кодированный файл X.509 (.cer) — бинарный формат, компактный, поддерживается всеми версиями Windows и Linux; Base64-кодированный файл X.509 (.cer) — текстовый формат, начинается со строки «——BEGIN CERTIFICATE——», удобен для передачи через системы, обрезающие бинарные данные; PKCS#7 (.p7b) — контейнер, может включать цепочку сертификатов (промежуточный + корневой), полезен при настройке серверов. Для большинства задач — загрузки в информационные системы, передачи работодателю, проверки на портале — оптимален формат DER (.cer). Он открывается двойным кликом в Windows и не требует дополнительных преобразований.
Как скачать сертификат УКЭП через приложение Госключ
Приложение Госключ — мобильный сервис, разработанный Минцифры для выпуска и хранения электронных подписей. Закрытый ключ генерируется и хранится в защищённом облаке, а пользователь управляет подписью через смартфон. Сертификат открытого ключа можно экспортировать из приложения и передать на компьютер.
Откройте приложение Госключ на смартфоне. Авторизуйтесь через учётную запись Госуслуг — потребуется ввести пароль или подтвердить вход биометрией. На главном экране отображается список ваших действующих сертификатов. Выберите нужный сертификат — нажмите на карточку с его данными (ФИО, срок действия, тип подписи).
В карточке сертификата найдите кнопку «Экспортировать сертификат» или «Поделиться сертификатом» (название зависит от версии приложения). Приложение сформирует файл в формате .cer и предложит способ отправки: электронная почта, мессенджер, сохранение в файлы устройства. Выберите удобный вариант — например, отправьте файл себе на рабочую почту или сохраните в облачное хранилище.
Полученный файл .cer содержит только открытую часть — сам сертификат с вашими данными и публичным ключом. Его можно открыть двойным кликом на Windows, импортировать в хранилище сертификатов через certmgr.msc или загрузить в информационную систему работодателя для настройки КЭДО. Закрытый ключ при этом остаётся в облаке Госключа и не экспортируется — подписание документов по-прежнему выполняется только через мобильное приложение.
Если кнопка экспорта неактивна, проверьте версию приложения — функция доступна с версии 2.4 и выше. Обновите Госключ через RuStore или AppStore. Также убедитесь, что сертификат действующий: просроченные или отозванные сертификаты приложение может не давать экспортировать.
Как экспортировать сертификат из токена через КриптоПро CSP
Квалифицированный сертификат, полученный в УЦ ФНС или аккредитованном удостоверяющем центре, обычно записывается на аппаратный токен — Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ, ESMART Token. Такой сертификат привязывается к учётной записи на Госуслугах автоматически при первом входе с его использованием. Для экспорта открытой части (файла .cer) потребуется компьютер с установленным КриптоПро CSP.
Подключите токен к USB-порту компьютера. Дождитесь, пока светодиод на устройстве загорится — это означает, что система распознала носитель. Откройте программу КриптоПро CSP: меню «Пуск», папка «КРИПТО-ПРО», ярлык «КриптоПро CSP». В Windows 10 и 11 быстрее набрать название в строке поиска на панели задач.
Перейдите на вкладку «Сервис». Нажмите кнопку «Просмотреть сертификаты в контейнере». В открывшемся окне нажмите «Обзор» — появится список доступных ключевых контейнеров. Выберите контейнер, соответствующий вашему сертификату (в имени будет указана модель токена и уникальный идентификатор). Нажмите «ОК», затем «Далее».
Откроется окно с информацией о сертификате: ФИО владельца, кем выдан, срок действия. Здесь есть две полезные кнопки. Кнопка «Свойства» открывает детальную информацию (поля Subject, Issuer, серийный номер, алгоритм). Кнопка «Установить сертификат» импортирует его в хранилище Windows — после этого сертификат будет доступен без физического подключения токена (но подписание всё равно потребует токен).
Для экспорта в файл нажмите «Свойства», перейдите на вкладку «Состав» и нажмите кнопку «Копировать в файл…». Запустится мастер экспорта сертификатов Windows. На первом шаге выберите «Нет, не экспортировать закрытый ключ» (этот вариант единственный для неизвлекаемых ключей на токене). На втором шаге выберите формат — рекомендуется «Файлы X.509 (.CER) в кодировке DER» для максимальной совместимости. Укажите путь сохранения и имя файла. Нажмите «Готово».
Альтернативный способ — через хранилище сертификатов Windows. Нажмите Win+R, введите certmgr.msc. Раскройте «Личное» → «Сертификаты». Найдите нужный сертификат, кликните правой кнопкой, выберите «Все задачи» → «Экспорт». Дальше тот же мастер экспорта. Этот путь работает, если сертификат уже установлен в систему.
Экспорт через хранилище Windows без КриптоПро
Если КриптоПро CSP на компьютере не установлен, но сертификат ранее был импортирован в системное хранилище (например, это облачная подпись от коммерческого УЦ с поддержкой Microsoft CryptoAPI), можно экспортировать его средствами Windows. Нажмите Win+R, введите certmgr.msc и нажмите Enter. В левой панели раскройте «Личное» → «Сертификаты». Найдите нужный сертификат (ориентируйтесь по столбцу «Кому выдан» и дате окончания действия). Кликните правой кнопкой → «Все задачи» → «Экспорт». Мастер экспорта предложит те же варианты: с закрытым ключом или без, формат DER или Base64. Для передачи третьим лицам выбирайте экспорт без закрытого ключа в формате DER — это безопасно и универсально.
Для сертификатов с алгоритмом ГОСТ Р 34.10-2012 (а это все российские КЭП) стандартная оснастка certmgr.msc может показать предупреждение «Не удалось проверить цепочку сертификатов». Это не означает, что сертификат недействителен — просто Windows без КриптоПро не умеет обрабатывать ГОСТ-алгоритмы. Экспорт при этом выполняется корректно, файл будет полноценным.
Как проверить скачанный сертификат на Госуслугах
После экспорта сертификата в файл разумно убедиться, что он корректен и действителен. Портал e-trust.gosuslugi.ru предоставляет бесплатный сервис проверки сертификатов — им пользуются и кадровики, и бухгалтеры, и сами владельцы подписей.
Откройте в браузере адрес e-trust.gosuslugi.ru. На главной странице выберите раздел «Проверка сертификата». Загрузите файл .cer или .crt, который вы только что экспортировали. Нажмите кнопку «Проверить». Портал выполнит несколько операций: проверит цепочку доверия от вашего сертификата до корневого сертификата Головного УЦ Минцифры, обратится к актуальным спискам отозванных сертификатов (СОС/CRL), проверит срок действия и аккредитацию выдавшего УЦ.
Результат отображается сразу: зелёная отметка — сертификат действителен и не отозван, красная — есть проблемы. В случае ошибки портал покажет причину: истёк срок действия, сертификат отозван УЦ, не удалось построить цепочку доверия. Результат проверки можно сохранить как PDF-отчёт — пригодится при прохождении проверки ГИТ или для архива кадровой службы.
Кроме портала Госуслуг, проверить сертификат можно через сервис Добыто.Подпись — он показывает все поля сертификата в удобном интерфейсе и дополнительно проверяет совместимость с системами КЭДО. Подробнее о программных средствах для работы с электронной подписью читайте в статье про программы для подписания документов ЭЦП.
Мария Ж., юрист, специалист по цифровой подписи:
«Проверку сертификата на e-trust я рекомендую делать сразу после экспорта — убедиться, что файл не повреждён и содержит корректную цепочку. Бывают случаи, когда при экспорте выбирают формат Base64 вместо DER, и некоторые системы потом не могут прочитать такой файл. Или экспортируют промежуточный сертификат УЦ вместо своего личного. Проверка на портале за 30 секунд снимает эти вопросы.»
Типичные ошибки и их решение
При экспорте и проверке сертификатов пользователи регулярно сталкиваются с одними и теми же проблемами. Разберём самые частые.
| Ошибка | Причина | Решение |
|---|---|---|
| «Контейнер закрытого ключа не найден» | Токен не подключён, не установлены драйверы носителя или КриптоПро не видит контейнер | Проверить подключение токена, установить актуальные драйверы (Рутокен — с rutoken.ru, JaCarta — с aladdin-rd.ru), перезапустить службу КриптоПро |
| «Сертификат не найден в контейнере» | В контейнере есть ключевая пара, но сертификат не привязан (не был установлен при получении в УЦ) | Обратиться в УЦ, выдавший сертификат, для повторной привязки или скачать сертификат из личного кабинета УЦ ФНС (lk.nalog.ru) |
| Портал e-trust показывает «Цепочка сертификатов не может быть построена» | На компьютере не установлены промежуточные и корневые сертификаты УЦ | Скачать и установить корневой сертификат Головного УЦ Минцифры и сертификат выдавшего УЦ (доступны на e-trust.gosuslugi.ru в разделе «Реестр УЦ») |
| «Сертификат отозван» | УЦ досрочно прекратил действие сертификата (по заявлению владельца, при компрометации ключа или ликвидации организации) | Выпустить новый сертификат. Подписание документов отозванным сертификатом юридически ничтожно |
| В Госключе нет кнопки экспорта | Устаревшая версия приложения или сертификат неактивен | Обновить приложение до версии 2.4+, проверить статус сертификата в разделе «Мои подписи» |
| Экспортированный .cer не открывается на другом компьютере | Файл повреждён при передаче или выбран несовместимый формат кодировки | Повторить экспорт, выбрав формат DER (бинарный). Передавать файл без архивирования, не переименовывая расширение |
Отдельная категория проблем — когда пользователь путает сертификат и ключ. Файл .cer или .crt — это сертификат (открытая часть, безопасно передавать). Файл .pfx или .p12 — это контейнер с закрытым ключом (передавать нельзя, защищён паролем). При экспорте через мастер Windows система спрашивает: «Экспортировать закрытый ключ?». Для целей передачи сертификата контрагенту или загрузки в информационную систему ответ всегда «Нет». Подробнее о форматах файлов подписи и их особенностях — в статье про файл с откреплённой УКЭП заявителя.
Применение скачанного сертификата в КЭДО
Кадровый электронный документооборот (КЭДО) по ст. 22.3 ТК РФ требует, чтобы работник и работодатель подписывали кадровые документы электронной подписью. Работодатель использует УКЭП или усиленную неквалифицированную подпись информационной системы. Работник — УКЭП, НЭП Госключа или НЭП, выданную системой работодателя. Постановление Правительства РФ № 2152 от 01.12.2022 уточняет порядок взаимодействия через портал «Работа в России» и Госуслуги.
При подключении сотрудника к системе КЭДО работодателю часто требуется файл сертификата работника — для привязки к учётной записи в информационной системе, для настройки проверки подписей входящих документов, для формирования реестра действующих сертификатов. В этот момент работник и скачивает свой сертификат одним из описанных выше способов — через Госключ или через КриптоПро CSP.
Для подписания кадровых документов через Госключ сотруднику не нужно экспортировать сертификат вручную — приложение само передаёт его при подписании. Но если работодатель использует собственную информационную систему (1С:КЭДО, Добыто.Подпись, HRlink, «Контур.Подпись»), может потребоваться предварительная загрузка .cer-файла в профиль сотрудника. Это зависит от архитектуры конкретной системы.
При работе с Добыто.Подпись процесс упрощён: система автоматически извлекает данные сертификата при первом подписании и сохраняет их в профиле сотрудника. Повторная загрузка не требуется до момента перевыпуска сертификата. О том, как подписывать документы в рамках КЭДО, подробно рассказано в статье про подписание документов УКЭП онлайн. А выбрать подходящий вид подписи для вашей ситуации поможет раздел подписи для КЭДО.
Мария Ж., юрист, эксперт по кадровому ЭДО:
«В 2024–2025 годах мы наблюдаем переход: всё больше работодателей принимают подписи Госключа в КЭДО. Это удобно для работников — не нужно покупать токен, не нужно устанавливать КриптоПро. Но HR-службе приходится учитывать, что срок действия сертификата Госключа — 12 месяцев, и напоминать сотрудникам о перевыпуске. Иначе в один день половина штата не сможет подписать табель или заявление на отпуск.»
Отдельно стоит упомянуть приложение Госключ в контексте ст. 22.3 ТК РФ. Закон прямо называет усиленную неквалифицированную подпись, полученную через портал Госуслуг (то есть через Госключ), как допустимый способ подписания кадровых документов работником. Это делает Госключ одним из самых доступных инструментов для сотрудников при переходе на КЭДО — бесплатный, не требует визита в УЦ, работает с любого смартфона. Подробнее о Госключе и подписании документов через него — в материале что такое Госключ и как с его помощью подписывать документы.
Что делать, если работодатель требует сертификат для КЭДО
Алгоритм действий зависит от того, какую подпись использует сотрудник. Если это Госключ — откройте приложение, экспортируйте сертификат через «Мои подписи» → «Поделиться сертификатом» и отправьте HR-специалисту полученный .cer-файл. Если это токен от УЦ ФНС — подключите устройство к компьютеру, откройте КриптоПро CSP, экспортируйте через «Просмотреть сертификаты в контейнере» → «Свойства» → «Копировать в файл». Если токен остался дома, а сертификат ранее устанавливался на рабочем месте — используйте certmgr.msc для экспорта из хранилища «Личное».
HR-служба загрузит полученный файл в систему КЭДО и свяжет его с учётной записью сотрудника. После этого при подписании кадровых документов система будет проверять, что входящая подпись соответствует этому сертификату. При перевыпуске сертификата (например, по истечении 12 месяцев действия подписи Госключа) процедуру придётся повторить — передать HR новый .cer-файл.
Добыто.Подпись — сервис для работы с электронными подписями в кадровом документообороте. Проверяйте сертификаты, подписывайте документы УКЭП и НЭП, контролируйте сроки действия подписей сотрудников из единого интерфейса. Поддержка Госключа, КриптоПро CSP, Рутокен и JaCarta.
Попробуйте ДОБЫТО КЭДО
Часто задаваемые вопросы
Можно ли скачать сертификат электронной подписи прямо с сайта Госуслуг через браузер?
Нет. Портал Госуслуг показывает информацию о привязанных сертификатах (номер, срок действия, УЦ), но не предоставляет функцию скачивания файла .cer напрямую через веб-интерфейс. Для экспорта сертификата УКЭП нужно использовать приложение Госключ (если подпись облачная) или КриптоПро CSP (если сертификат на токене). Портал e-trust.gosuslugi.ru позволяет только проверить уже имеющийся файл сертификата, но не скачать его.
Безопасно ли отправлять файл сертификата (.cer) по электронной почте?
Да, это безопасно. Файл .cer содержит только открытый ключ и публичную информацию о владельце. Подписать что-либо с помощью одного лишь сертификата невозможно — для этого нужен закрытый ключ, который хранится на токене или в облаке Госключа. Сертификат по своей природе предназначен для распространения — именно так другие стороны проверяют вашу подпись. Передавать .pfx-контейнер с закрытым ключом, напротив, категорически нельзя.
Срок действия сертификата Госключ истёк — можно ли его продлить?
Продлить нельзя — нужно выпустить новый. Откройте приложение Госключ, перейдите в раздел выпуска сертификата и пройдите процедуру заново. Идентификация через Госуслуги (подтверждённая учётная запись) позволяет получить НЭП без визита куда-либо. Для УКЭП через Госключ потребуется подтверждение через загранпаспорт нового образца с биометрией или через ЕБС. Весь процесс занимает 5–10 минут.
Чем отличается экспорт сертификата от экспорта закрытого ключа?
Экспорт сертификата (открытой части) — штатная операция, результат которой можно свободно передавать. Формат файла — .cer или .crt. Экспорт закрытого ключа (формат .pfx/.p12) — операция, доступная только для извлекаемых ключей, и выполнять её без крайней необходимости не рекомендуется. На аппаратных токенах (Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ) ключ помечен как неизвлекаемый — экспортировать его физически невозможно, и это главное преимущество аппаратных носителей с точки зрения безопасности.
Как узнать, привязан ли мой сертификат к учётной записи на Госуслугах?
Войдите на портал Госуслуг, перейдите в раздел «Профиль» → «Электронная подпись». Там отображается список сертификатов, привязанных к вашей учётной записи: номер, срок действия, выдавший УЦ. Если сертификат не отображается — он не привязан. Привязка происходит автоматически при первом входе на Госуслуги с использованием данного сертификата через плагин КриптоПро или при выпуске подписи в Госключе.
Нужен ли КриптоПро CSP для работы с сертификатом Госключа?
Для подписания документов через Госключ — нет, криптопровайдер устанавливать не нужно. Всё выполняется в мобильном приложении. Но если вы экспортировали сертификат Госключа в файл .cer и хотите установить его в хранилище Windows для проверки подписей — КриптоПро CSP потребуется, так как сертификат использует алгоритмы ГОСТ Р 34.10-2012, которые стандартный криптопровайдер Windows не поддерживает.
Можно ли использовать один сертификат и на Госуслугах, и в системе КЭДО работодателя?
Да, если это УКЭП — квалифицированная подпись универсальна и применяется в любых правоотношениях согласно ст. 6 63-ФЗ. Один и тот же сертификат УКЭП подходит для подписания на Госуслугах, в системе КЭДО, на торговых площадках и при сдаче отчётности. НЭП Госключа имеет ограничения — она применяется для подписания кадровых документов работником (ст. 22.3 ТК РФ), но не подойдёт, например, для сдачи налоговой отчётности или участия в торгах.