«Нет действующих сертификатов» при выборе сертификата ключа проверки электронной подписи — сообщение, которое программа выдаёт, когда в личном хранилище нет ни одного сертификата, пригодного для подписи прямо сейчас. Чаще всего причина приземлённая: истёк срок, слетела привязка к закрытому ключу, не подключён токен или закончилась лицензия криптопровайдера. Здесь разберём, как за несколько минут понять, что именно сломалось, и вернуть подпись в строй без перевыпуска. Материал входит в большой блок про проверку электронной подписи, где собраны разборы статусов, ошибок и способов верификации.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что означает ошибка «нет действующих сертификатов»
Окно выбора сертификата пустое или серое, кнопка подписания недоступна. Система честно говорит: подписывать нечем. Она перебрала всё, что лежит в хранилище «Личные», и не нашла ни одного сертификата, который одновременно действует по сроку, имеет привязанный закрытый ключ и проходит проверку цепочки доверия. Если хоть одно из этих трёх условий не выполнено, серт в список не попадает.
Важно не путать два разных окна. Одно — системное «Выбор сертификата» Windows, оно всплывает при входе на портал или подписании в браузере через крипто-плагин. Другое — окно КриптоПро CSP на вкладке «Сервис». Текст ошибки в них отличается, но корень один. Нет валидного сертификата в личном хранилище, привязанного к закрытке в контейнере.
И ещё момент, который сбивает с толку новичков. Сертификат может лежать на токене и при этом не отображаться в окне выбора. Потому что окно показывает не то, что записано на флешке, а то, что установлено в хранилище компьютера и связано с контейнером. Пока вы не установили личный сертификат с носителя в систему, для программы его как будто нет.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Девять обращений из десяти по этой ошибке закрываются за пять минут. Люди думают, что подпись «умерла» и надо бежать перевыпускать. А по факту либо рутокен не до конца воткнут, либо серт ни разу не установили из контейнера в личное хранилище. Сначала диагностика, потом паника — не наоборот.»
Почему КриптоПро не видит действующий сертификат: основные причины
Причин ровно семь, и они закрывают подавляющее большинство случаев. Идём по ним сверху вниз, от самой частой к более редкой.
Истёк срок действия сертификата. Самое банальное. Сертификат УЦ ФНС для ИП и руководителя ООО действует 1 год и 3 месяца, то есть 15 месяцев. У многих коммерческих УЦ — год. Просроченный серт в окно выбора не попадает вообще, его там физически нет.
Закончилась лицензия КриптоПро CSP. Программа бесплатна только 90 дней — это полнофункциональная демка. Дальше она перестаёт работать, и сайт ФНС вы открыть подписью уже не сможете. Лицензия от УЦ ФНС вшивается внутрь сертификата и действует столько же, сколько сам сертификат. Если же вы покупали отдельную лицензию и она истекла — программа молчит про подпись, хотя серт ещё живой.
Личный сертификат не установлен в хранилище. Он на токене, но в систему его никто не «положил». Установка через КриптоПро CSP, вкладка «Сервис», кнопка «Просмотреть сертификаты в контейнере». Без этого шага окно выбора остаётся пустым.
Нет привязки сертификата к закрытому ключу. Серт установлен, но потерял связь с контейнером на носителе. Бывает после переустановки, копирования профиля, смены компьютера. Лечится повторной установкой из контейнера.
Токен не подключён или не виден. Не воткнут до щелчка, USB-порт битый, не встал драйвер носителя (Рутокен, JaCarta, eSmart). Нет драйвера — нет контейнера — нет сертификата в окне.
Разрыв цепочки доверия. Не установлены корневой сертификат Минцифры и промежуточный сертификат УЦ. Система не доверяет такому серту и прячет его из списка. У неквалифицированной подписи это частый случай: корневые там не ставятся автоматически.
Не та версия криптопровайдера под тип ключа. Извлекаемые ключи (ЦСП-формат) работают и на старых сборках. А для неизвлекаемых ключей формата ФКН и токенов линейки на ФКН нужна КриптоПро CSP версии 5.0 R2 и выше. Поставили серт с неизвлекаемым ключом, а провайдер старый — сертификат не подхватится.
В практике Добыто мы прогоняем эти семь пунктов как чек-лист при каждом обращении по теме подписи у новых клиентов на онбординге. Экономит обеим сторонам полдня переписки: вместо «а что у вас выскакивает» сразу идём по списку.
Как исправить ошибку «нет действующих сертификатов»: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Проверьте носитель. Вытащите и заново вставьте токен до щелчка, попробуйте другой USB-порт. Откройте панель управления Рутокен или КриптоПро CSP — устройство должно отображаться.
- Шаг 2. Проверьте срок действия. В КриптоПро CSP откройте вкладку «Сервис» — «Просмотреть сертификаты в контейнере» — «Обзор». Посмотрите дату «действителен по». Если срок прошёл — сертификат нужно перевыпускать, починка тут не поможет.
- Шаг 3. Проверьте лицензию КриптоПро. Вкладка «Общие» в КриптоПро CSP покажет срок действия лицензии. Истекла — введите бессрочную или запросите вшитую в сертификат.
- Шаг 4. Установите личный сертификат из контейнера. «Сервис» — «Просмотреть сертификаты в контейнере» — выберите контейнер через «Обзор» — «Установить». Так сертификат попадёт в хранилище «Личные» и привяжется к закрытке.
- Шаг 5. Установите корневые сертификаты. Скачайте корневой Минцифры и сертификат вашего УЦ, поставьте Минцифры в «Доверенные корневые центры сертификации», УЦ — в «Промежуточные центры сертификации».
- Шаг 6. Обновите криптопровайдер. Если ключ неизвлекаемый (ФКН), поставьте КриптоПро CSP 5.0 R2 или новее. Перезапустите браузер и компьютер, затем повторите выбор сертификата.
Истёк срок действия сертификата или лицензии КриптоПро
Два разных «истекло», и их постоянно путают. Срок сертификата и срок лицензии криптопровайдера живут отдельной жизнью.
Сертификат. Если он просрочен, подписать им уже нельзя — и это не баг, а нормальная работа системы. Документы, подписанные до истечения срока, остаются действительными, а вот новые им не подпишешь. Ближе к концу срока сертификат можно перевыпустить удалённо, не выходя из дома. Но для удалённого перевыпуска должны совпасть два условия: есть токен и активна лицензия КриптоПро. Нет лицензии — удалённо продлить не выйдет, поедете в УЦ ногами.
Лицензия. Тут люди обжигаются чаще всего. Поставили демо-версию, отработали 90 дней, забыли. Через три месяца захотели сдать отчётность — подпись не работает, сертификат вроде живой, а войти на сайт ФНС не получается. Решение одно: купить бессрочную лицензию или, если получали подпись в УЦ ФНС, проверить, что лицензия вшита в сертификат и активна. Прикинуть, сколько денюжек уйдёт на лицензию для нужного числа рабочих мест, удобно через калькулятор лицензии КриптоПро — он считает под количество пользователей и тип лицензии.
Мария Ж, юрист со стажем более 20 лет:
«Самая обидная история — когда серт действует ещё полгода, а лицензия КриптоПро сдохла на 91-й день. Человек уверен, что у него «подпись слетела», звонит в УЦ, ему говорят перевыпускать. А надо-то было просто продлить крипту. Всегда смотрите оба срока, они не связаны между собой.»
Сертификат не установлен в хранилище или потерял привязку к ключу
Это вторая по частоте причина после истёкших сроков. Сертификат лежит на флешке, но в окне выбора его нет. Логика тут такая: окно показывает не содержимое токена, а содержимое личного хранилища компьютера, где каждый сертификат связан со своим контейнером закрытого ключа.
Установка делается в КриптоПро CSP. Вкладка «Сервис», кнопка «Просмотреть сертификаты в контейнере», через «Обзор» выбираете нужный контейнер, дальше «Установить». После этого сертификат появляется в хранилище «Личные» и привязывается к закрытке. Если контейнеров на токене несколько (вы продлевали подпись), легко промахнуться и выбрать старый — смотрите на дату, берите самый свежий.
Отдельная подстава — потеря привязки. Сертификат в хранилище есть, а закрытый ключ к нему не привязан. Возникает после переноса профиля Windows, переустановки системы, копирования контейнера. Внешне выглядит так же: «нет действующих сертификатов». Лечится той же повторной установкой из контейнера, которая заново сшивает открытую часть с закрытой.
На одном из наших проектов (производственная компания, кадровая служба на пять человек) ошибка вылезала у всех разом после планового обновления Windows — слетели привязки сертификатов к контейнерам. Переустановка из контейнера на каждой машине заняла десять минут на человека, перевыпуск никому не понадобился. В сервисе Добыто мы такие истории закрываем без выезда, по удалённому подключению.
Образцы документов и памятки по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации: формирование и проверка | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
Разрыв цепочки сертификатов и проблемы с корневыми
Каждый сертификат стоит не сам по себе, а в иерархии. На самом верху — Минцифры России, ниже — аккредитованный удостоверяющий центр, который выдал вам подпись, в самом низу — ваш личный сертификат. Это цепочка доверия. Если хоть одно звено выпало, система перестаёт доверять вашему серту и убирает его из окна выбора.
У квалифицированной подписи цепочка обычно ставится автоматически при выпуске — корневые приезжают на токен вместе с личным сертификатом. А вот у неквалифицированной электронной подписи корневые по умолчанию не устанавливаются: Windows не обязан доверять каждому УЦ подряд. Тут придётся руками открыть корневой сертификат, дважды кликнуть и установить его как доверенный. После этого цепочка собирается и серт оживает.
Проверить, всё ли на месте, просто. Открываете личный сертификат, вкладка «Путь сертификации». Если в цепочке есть красный крестик или предупреждение — звено отсутствует, его надо доставить. Корневые сертификаты Минцифры и УЦ берутся с официальных страниц удостоверяющих центров. Проверить, что подпись и сертификат валидны, можно и через сервис проверки электронной подписи на портале Госуслуг — он покажет статус сертификата и цепочку без установки на компьютер.
Мария Ж, судебный эксперт по трудовому праву:
«С неквалифицированной подписью история отдельная. Корневой никто не поставил, цепочка рваная, а человек думает, что серт битый. Я всегда говорю: сначала «Путь сертификации». Видите крестик в цепочке — значит, не хватает корневого или промежуточного, а не подпись виновата. Логику в этом искать не надо, это просто устройство тройки и иерархии УЦ.»
Если на этапе с цепочкой сертификатов и корневыми вы чувствуете, что уходите в дебри реестра и хранилищ — это нормальный момент, чтобы передать настройку специалисту. Мы в Добыто настраиваем рабочее место под подпись удалённо: ставим криптопровайдер, корневые, привязываем сертификат к контейнеру и проверяем подписание на тестовом документе. Без выезда и без перевыпуска, если подпись ещё действует.
Типичные ошибки при работе с сертификатом и их цена
Разберу четыре промаха, которые встречаются чаще всего. По каждому — в чём суть, почему так делают и во что обходится.
Ставят демо-версию КриптоПро и забывают про лицензию. Делают так ради экономии: зачем платить, если 90 дней бесплатно. Цена ошибки — срыв сдачи отчётности в дедлайн. Подпись «отвалилась» в самый неподходящий день, а купить и активировать лицензию мгновенно не всегда выходит. Итог — штраф за несвоевременную сдачу и нервы.
Тянут с перевыпуском до последнего дня. Откладывают, потому что «ещё действует». Но удалённый перевыпуск требует живой лицензии и работающего токена. Если серт уже протух, дистанционно продлить нельзя — только лично в УЦ. Цена — потерянный рабочий день и простой в подписании документов.
Копируют контейнер на компьютер и теряют привязку. Копируют, чтобы «не таскать флешку». А получают слетевшую связь сертификата с ключом и ту самую ошибку выбора. Цена — время на повторную установку плюс риск, что закрытка скопирована небезопасно и подпись придётся отзывать.
Игнорируют корневые сертификаты у неквалифицированной подписи. Думают, что всё ставится само, как у квалифицированной. Цена — подпись не проходит проверку, документ контрагент не принимает, и приходится разбираться задним числом, почему «всё подписали, а оно невалидно».
Стоимость подключения электронной подписи и КЭДО в Добыто
Стоимость зависит от числа сотрудников, выбранного тарифа и набора подписей, которые нужны для ваших процессов. Подпись внутри КЭДО Добыто работает в связке с тарифом: ПЭП и УНЭП доступны уже на стартовом плане, УКЭП — на бизнес-тарифе. Ниже актуальные тарифы сервиса.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса с полным набором функций (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив) | от 50 ₽ за сотрудника / мес | минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с расширенными требованиями и SLA (всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции) | по запросу | рассчитывается индивидуально |
Итоговая сумма складывается из численности персонала, набора подключаемых модулей и нужного вида подписи. Точную цифру под свою компанию удобно собрать через актуальные тарифы сервиса Добыто — там видно, что входит в каждый план и как меняется цена при росте штата.
Проверка и подписание электронной подписи онлайн
Когда сертификат снова в строю, имеет смысл сразу убедиться, что подпись формируется и проходит проверку. Это можно сделать онлайн, без установки тяжёлых программ — и для проверки чужой подписи на присланном документе, и для подписания своего файла. Ниже формы Добыто для обеих задач.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Подписать документ электронной подписью онлайн
Мария Ж, HR-эксперт с 13-летним стажем:
«После любой возни с сертификатом первым делом подписываю тестовый файлик и тут же проверяю его. Серт встал, штампик появился, зелёная галочка — значит, цепочка собрана и закрытка на месте. Если что-то опять отвалилось, лучше узнать об этом на пустом документе, а не на реальном договоре в дедлайн.»
Под разные задачи подходят разные инструменты. Кому-то хватает онлайн-формы, кому-то нужна десктопная программа с пакетным режимом и поддержкой форматов. Если выбираете софт под регулярную работу, посмотрите подборку программ для подписания документов — там разобраны КриптоАРМ, КриптоПро PDF и аналоги с их особенностями.
Выводы: как закрыть ошибку «нет действующих сертификатов»
Ошибка почти всегда означает одно из трёх: истёк срок, нет привязки к закрытому ключу или порвана цепочка доверия. Диагностику ведите по чек-листу — носитель, срок сертификата, срок лицензии КриптоПро, установка из контейнера, корневые, версия провайдера. В большинстве случаев починка занимает минуты и перевыпуск не нужен. Перевыпускать придётся, только если истёк сам срок действия сертификата.
Держите в голове два независимых срока: сертификата (15 месяцев у УЦ ФНС, год у многих коммерческих УЦ) и лицензии КриптоПро (демо 90 дней, дальше нужна полноценная или вшитая в сертификат). Не тяните с перевыпуском до последнего дня — удалённое продление требует живой лицензии и работающего токена. Для неквалифицированной подписи всегда проверяйте корневые: они не ставятся сами.
После восстановления подписи подпишите тестовый документ и проверьте его статус — так вы убедитесь, что цепочка собрана и закрытый ключ привязан, до того как дело дойдёт до реального договора с дедлайном.
Часто задаваемые вопросы
Почему сертификат есть на токене, но в окне выбора его нет?
Чем отличается истёкший сертификат от истёкшей лицензии КриптоПро?
Что делать, если сертификат потерял привязку к закрытому ключу?
Нужно ли перевыпускать подпись при ошибке «нет действующих сертификатов»?
Почему ошибка возникает только у неквалифицированной подписи?
Какая версия КриптоПро CSP нужна для неизвлекаемых ключей?
Можно ли перевыпустить сертификат удалённо?
Сколько сертификатов помещается на один токен?
Как понять, какой из нескольких сертификатов в контейнере выбрать?
Документы, подписанные до истечения сертификата, остаются действительными?
Не виден токен в системе — с чего начать?
Ошибка с выбором сертификата чаще всего лечится за несколько минут, но когда подписей много, машин десятки, а сотрудники работают удалённо, ручная настройка каждого рабочего места превращается в отдельную задачу. Сервис Добыто закрывает её централизованно: подпись, проверка цепочки, привязка к контейнеру и подписание работают внутри одной системы, без беготни между КриптоПро, токеном и хранилищами.
За время работы мы подключили подписи и КЭДО для сотен компаний — от кадровой службы на пять человек до производств с тысячами сотрудников. Настройку рабочего места под подпись ведём удалённо и доводим клиента до первых рабочих подписаний, чтобы ошибки выбора сертификата не всплывали в отчётный день.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — под любой кадровый и документооборотный процесс
- Проверка и подписание онлайн без установки тяжёлых программ — с компьютера и с телефона
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С (ЗУП, КА, бухгалтерия) — ставится без привлечения разработчиков
- Сопровождение клиента до первых 50 подписаний — до момента полностью самостоятельной работы
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора