Проверка подписи в 1С: настройка проверки сертификата 2026

Q: Можно ли проверить целостность документа, подписанного ПЭП?

Нет. Простая электронная подпись не вычисляет хэш документа и не контролирует его неизменность. Она фиксирует только факт подписания конкретным лицом. Контроль целостности обеспечивают усиленные подписи - УНЭП и УКЭП. Если документу нужна проверка неизменности, применяется усиленная подпись.

Q: Сколько стоит электронная подпись для сотрудника в 1С:Кабинет сотрудника?

В сервисе 1С:Кабинет сотрудника неквалифицированные электронные подписи выпускаются бесплатно, доплачивать не нужно. Сотрудник формирует подпись в личном кабинете, придумывает пароль и подписывает согласие на присоединение к КЭДО. Если пароль забыт, подпись обновляется одной кнопкой.

Q: Можно ли проверить подпись из 1С, если на рабочем месте нет интернета?

Целостность документа и цепочку доверия можно проверить офлайн, если корни установлены локально. Актуальный статус отзыва (CRL) без интернета 1С не получит - список скачивается с сервера УЦ. На изолированных местах список и корни загружают вручную и периодически обновляют.

Проверка подписи в 1С запускается автоматически в момент, когда вы открываете подписанный документ или нажимаете кнопку подписания, и программа сверяет сертификат с корневыми центрами и списком отзыва. Здесь вы узнаете, как настроить эту проверку в 1С:Документооборот и 1С:ЗУП, почему появляется ошибка «не удалось проверить сертификат» и что именно проверяет криптопровайдер под капотом, чтобы подпись считалась действительной. Материал входит в большой разбор про проверку электронной подписи, где собраны способы проверки через программы, порталы и онлайн-сервисы.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что проверяет 1С при проверке электронной подписи

Проверка подписи в 1С — это не одна операция, а цепочка из нескольких сверок, которые программа выполняет через установленный криптопровайдер (чаще всего КриптоПро CSP). Сама 1С криптографию не считает. Она передаёт документ и подпись провайдеру, а тот возвращает вердикт. И вот тут начинается самое интересное, потому что вердиктов на самом деле несколько, и они отвечают на разные вопросы.

Первое — целостность. Провайдер заново вычисляет хэш документа и сравнивает с тем хэшем, что зашит в подпись. Совпало — документ после подписания не меняли. Не совпало — где-то подмена, и подпись красная. Второе — принадлежность. Программа смотрит, чьим закрытым ключом подпись сделана, и достаёт из подписи сертификат владельца. Третье, и самое нудное по части настроек — проверка самого сертификата.

А сертификат проверяется по нескольким параметрам сразу. Срок действия (на момент подписания, не на момент проверки — это важно). Цепочка доверия до корневого удостоверяющего центра. И статус отзыва — не попал ли сертификат в список отозванных. По сути всё то же самое, что описано в 63-ФЗ для квалифицированной подписи: сертификат должен быть действителен на момент подписания, цепочка должна строиться до головного УЦ, отсутствие изменений в документе должно подтверждаться. 1С просто автоматизирует это через крипту.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая путаница у кадровиков — они думают, что «синенький квадратик» на печатной форме приказа и есть подпись. Нет. Это штампик, визуализация. Сама подпись — это присоединённый к документу криптографический контейнер. Квадратика может вообще не быть, а подпись при этом валидная. И наоборот — можно нарисовать красивый штамп в Word, а подписи под ним ноль.»

Как настроить проверку сертификата в 1С пошагово

Настройка делится на два уровня. Первый — подготовка рабочего места: установить криптопровайдер, корневые сертификаты и сам сертификат сотрудника. Второй — включить криптографию в самой конфигурации 1С. Если первый уровень пропустить, программа будет ругаться на каждую подпись, даже если она идеально валидная.

Начинается всё с КриптоПро CSP. Без него 1С не сможет работать с ГОСТовой подписью вообще — криптоядро токена это не криптопровайдер на компьютере, частое заблуждение. Лицензия КриптоПро либо вшита в сертификат (тогда отдельно ставить не надо), либо покупается отдельной полной лицензией на рабочее место. Если у вас на машине истёкший криптопро, но в сертификате на токене лицензия зашита — подпись этим ключом всё равно отработает.

Дальше — корневые сертификаты. Это, пожалуй, причина номер один всех ошибок проверки. Без установленного корня Минцифры и промежуточного сертификата УЦ ФНС цепочка доверия просто не достроится, и 1С честно скажет, что сертификат не проверен. Корни лежат в открытом доступе, ставятся через мастер импорта в нужные хранилища.

Как настроить проверку подписи в 1С: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Установите КриптоПро CSP версии не ниже 5.0 на рабочее место и введите лицензию (или убедитесь, что лицензия вшита в сертификат сотрудника).
Шаг 2. Скачайте и установите корневой сертификат Минцифры России в хранилище «Доверенные корневые центры сертификации» и промежуточный сертификат УЦ ФНС России в хранилище «Промежуточные центры сертификации».
Шаг 3. Установите личный сертификат сотрудника с привязкой к закрытому ключу — через КриптоПро CSP, вкладка «Сервис», «Просмотреть сертификаты в контейнере».
Шаг 4. В 1С откройте «Администрирование», далее «Общие настройки», раздел «Электронная подпись и шифрование», поставьте галочку «Электронные подписи».
Шаг 5. В настройках программы подписания выберите КриптоПро CSP как используемый криптопровайдер и добавьте сертификат сотрудника в список доступных.
Шаг 6. Откройте подписанный документ и нажмите проверку — 1С покажет статус по каждой подписи: владельца, срок действия сертификата и результат проверки целостности.

В 1С:Документооборот 3.0 за это отвечает блок настроек электронной подписи, в 1С:ЗУП и в сервисе «1С:Кабинет сотрудника» — свои разделы администрирования, где видно, кто из сотрудников получил подпись, сколько сертификатов выпущено и у кого они скоро закончатся. В сервисе кабинета сотрудника, кстати, неквалифицированные подписи выпускаются бесплатно, доплачивать за них не нужно.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Мы в практике закладываем отдельный день на проверку рабочих мест перед запуском подписания в 1С. Потому что 80% обращений в духе «у нас подпись не проверяется» — это не сломанная подпись, а отсутствие корневых сертификатов или кривая версия криптопро. Сама подпись чаще всего валидная, просто машина не умеет достроить цепочку доверия.»

Виды подписей в 1С и какая проверка для каждой

1С:Документооборот 3.0 поддерживает все три вида подписи из 63-ФЗ, но проверяются они по-разному, и это критично понимать. Простая электронная подпись (ПЭП) — это учётная запись, логин и пароль в системе. Её «проверка» сводится к подтверждению факта входа и ознакомления, целостность документа она не контролирует. Никаких криптографических сверок тут нет в принципе. На приказе об ознакомлении вы увидите отметку «документ подписан простой электронной подписью» — и это юридически корректно для ЛНА и ознакомлений.

Усиленная неквалифицированная (УНЭП) и усиленная квалифицированная (УКЭП) — вот тут полноценная крипта. Обе строятся на хэше и закрытом ключе, обе позволяют проверить целостность. Разница в требованиях к сертификату: для УКЭП нужен квалифицированный сертификат от аккредитованного УЦ и сертифицированное ФСБ средство подписи, для УНЭП требования мягче, её может выпустить и собственный центр сертификации организации.

Типичный логический затык: попытаться «проверить целостность документа, подписанного ПЭП». Нельзя — ПЭП по определению не вычисляет хэш и не фиксирует неизменность, она только подтверждает факт подписания конкретным лицом. Если документ требует контроля целостности (трудовой договор, договор о матответственности), там нужна усиленная подпись, и проверять её 1С будет уже по полной программе.

Когда документ подписан УКЭП, в карточке появляется круглый значок-пентаграмма с текстом «подписано усиленной электронной подписью», номером сертификата и сроком его действия. Это и есть результат успешной проверки — программа подтвердила, что сертификат валиден и документ не менялся. Если интересны нюансы выбора между подписями для кадровых процессов, разбор программ для подписания документов ЭЦП помогает понять, чем отличается работа с разными провайдерами.

Мария Ж, судебный эксперт по трудовому праву:
«В суде юридическую значимость несёт электронный оригинал с подписью, а не распечатка со штампиком. Видела дела, где работодатель тащил пачку бумаги с нарисованными «плашками» и был уверен, что это доказательство. Нет. Если нужно подтвердить, что сотрудник ознакомился с приказом, предоставляйте сам электронный документ с прикреплённой подписью — его подпись можно проверить хоть через год.»

Образцы документов для запуска подписания в 1С

Открыть список документов

Документ	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Руководство пользователя Добыто КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Приказ о введении КЭДО	Скачать
Приказ о КЭДО	Скачать
Методические рекомендации по внедрению ЭДО	Скачать
Криптографическая защита информации (процессы формирования и проверки)	Скачать
Примерная форма трудового договора	Скачать

Почему 1С показывает ошибку при проверке корректной подписи

Ситуация знакома каждому, кто запускал подписание в 1С: подпись точно правильная, сертификат свежий, а программа выдаёт красный крест и «не удалось проверить». Логику тут искать бессмысленно, надо просто понять, на каком шаге цепочки споткнулся криптопровайдер. Их немного.

Не установлен корневой или промежуточный сертификат. Цепочка доверия обрывается, и сертификат сотрудника повисает «в воздухе» — провайдер не может дойти до доверенного корня. Лечится установкой корней Минцифры и УЦ ФНС в правильные хранилища. Это причина процентов семидесяти ошибок.

Нет доступа к списку отзыва (CRL). Чтобы убедиться, что сертификат не отозван, провайдер скачивает список отозванных сертификатов по ссылке, зашитой в сам сертификат. Нет интернета или закрыт доступ к серверу УЦ — проверка статуса отзыва не проходит, и 1С перестраховывается. На изолированных рабочих местах CRL заливают вручную.

Истёк срок действия сертификата. Тут нюанс: подпись проверяется на действительность сертификата в момент подписания, но если документ старый, а доказательств этого момента нет (метки времени), провайдер не сможет подтвердить, что на дату подписи сертификат ещё был жив. Поэтому для долгого хранения кадровых документов используют усовершенствованную подпись — со штампом времени и меткой о статусе сертификата.

Когда подпись «не проверяется» на десятках рабочих мест перед запуском кадрового ЭДО, разбор каждой машины по корням и версиям криптопровайдера съедает недели. В практике Добыто мы готовим типовую инструкцию по настройке рабочих мест и сопровождаем клиента до первых стабильных подписаний, чтобы кадровик не воевал с цепочкой доверия в одиночку.

Попробуйте ДОБЫТО КЭДО

Мария Ж, юрист со стажем более 20 лет:
«Метка доверенного времени — это то, про что вспоминают, когда документ уже улёгся в архив на десять лет, а сертификат давно протух. Закладывайте «ухаживание за подписью» сразу: штамп времени плюс актуальный статус сертификата на момент подписания. Иначе через пять лет вы откроете трудовой договор, а 1С честно скажет, что проверить ничего не может.»

Цепочка доверия и список отзыва: как это работает в 1С

Цепочка проверки сертификатов состоит из двух и более звеньев. На нижнем уровне — сертификат конкретного сотрудника. Над ним сертификат удостоверяющего центра, который его выпустил. Выше — сертификат вышестоящего УЦ, и в самом верху головной удостоверяющий центр страны, который подписывает сертификаты всех аккредитованных центров. 1С через криптопровайдер строит эту цепочку снизу вверх и проверяет каждое звено как обычный электронный документ — целостность, неизменность, срок.

Если хоть одно звено не доверенное (нет нужного корня в хранилище) или повреждено, вся цепочка рушится. Поэтому установка корневых сертификатов — не формальность, а обязательное условие любой проверки. Без корня Минцифры квалифицированную подпись в 1С вы не проверите никак.

Параллельно идёт проверка отзыва. Если владелец сертификата заподозрил, что закрытый ключ скомпрометирован, он обязан уведомить УЦ, и тот включает сертификат в список отозванных. Все документы, подписанные после попадания сертификата в список отзыва, проверку не пройдут — подпись будет недействительной. Это защитный механизм: украли токен, отозвали сертификат, и всё, что подпишут после, автоматически невалидно.

Мария Ж, HR-эксперт с 13-летним стажем:
«Сотрудник забыл пароль от подписи — обычная история. В сервисе кабинета он просто заходит в профиль и жмёт «обновить подпись», придумывает новый пароль, и выпускается новая подпись с новой датой. Старые-то документы остаются подписанными прежним сертификатом, и они по-прежнему проверяются. Это нормально, главное — не паниковать и не пытаться «снести подпись» руками через реестр.»

Стоимость внедрения проверки подписи в 1С через сервис КЭДО

Отдельной цены «за проверку подписи» не существует — проверка встроена в работу с электронной подписью и идёт в составе сервиса КЭДО. Итоговая стоимость зависит от численности персонала, выбранного тарифа, набора видов подписи и того, нужна ли интеграция с вашей 1С. Ниже — тарифы сервиса Добыто, где проверка и подписание работают из коробки.

Тариф / Услуга	Стоимость	Условия
Старт — ПЭП и УНЭП, базовые шаблоны, email-поддержка	от 30 ₽ за сотрудника / мес	до 25 сотрудников
Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив	от 50 ₽ за сотрудника / мес	неограниченно сотрудников, мин. 30 000 ₽/год за 50 человек
Корпорация — всё из тарифа Бизнес, выделенный сервер, SLA 99.9%	по запросу	API и кастомные интеграции

Тариф Старт подходит небольшим компаниям, которые только начинают переход на КЭДО. Бизнес закрывает интеграцию с 1С и хранение в электронном архиве — то, что нужно для проверки подписи в долгую. Итоговая сумма зависит от численности персонала и набора модулей, поэтому актуальные тарифы сервиса Добыто помогут рассчитать бюджет точнее под вашу 1С.

Проверка подписи и сертификата онлайн — сервис Добыто

Когда подпись в 1С упорно не проверяется, а понять причину нужно срочно, помогает внешняя проверка — загружаете документ и подпись в онлайн-сервис и сразу видите статус сертификата, цепочку и результат. Это удобный способ отделить проблему рабочего места от проблемы самой подписи.

Проверка электронной подписи онлайн — сервис Добыто

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Перетащите или выберите файл

Файл подписи

Перетащите или выберите файл

Нажимая кнопку «Проверить подпись», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Сервис проверяет присоединённую и отсоединённую подпись, показывает данные сертификата, срок действия и результат сверки. Если документ подписан в 1С, а на другом рабочем месте «подпись не читается» — прогоните файл здесь, и станет ясно, виновата ли подпись или локальная настройка криптопровайдера.

Выводы: проверка подписи в 1С и настройка сертификата

Проверка подписи в 1С опирается на криптопровайдер и сводится к трём сверкам: целостность документа, принадлежность сертификата конкретному лицу и действительность самого сертификата по цепочке доверия и списку отзыва. Сама 1С криптографию не считает — она передаёт работу КриптоПро CSP и показывает результат. Для квалифицированной подписи это значит: сертификат должен быть действителен на момент подписания, цепочка должна строиться до головного УЦ, а документ не должен меняться после подписи.

Большинство ошибок проверки не связаны со сломанной подписью. Чаще всего на рабочем месте нет корневых сертификатов Минцифры и УЦ ФНС, закрыт доступ к списку отзыва или стоит неподходящая версия криптопровайдера. Перед массовым запуском подписания проверьте каждое рабочее место по корням, версии КриптоПро и доступу к интернету — это снимает большую часть жалоб. Для документов с долгим сроком хранения сразу настраивайте усовершенствованную подпись со штампом времени, иначе через годы проверка сертификата не подтвердится.

Виды подписи проверяются по-разному: ПЭП фиксирует факт ознакомления без контроля целостности, а УНЭП и УКЭП проходят полную криптографическую проверку. Подбирайте вид подписи под документ — для трудовых договоров и договоров о матответственности нужна усиленная подпись, для ознакомления с ЛНА достаточно простой.

Часто задаваемые вопросы

Какой криптопровайдер нужен для проверки подписи в 1С?

Для работы с ГОСТовой электронной подписью в 1С нужен КриптоПро CSP версии не ниже 5.0. Сама 1С криптографию не выполняет, она обращается к провайдеру. Лицензия КриптоПро либо вшита в сертификат сотрудника и действует столько же, сколько сертификат, либо покупается отдельной полной лицензией на рабочее место. Криптоядро внутри токена при этом не заменяет провайдер — его всё равно нужно установить на компьютер.

Почему 1С пишет «не удалось проверить сертификат», если подпись правильная?

Самая частая причина — не установлены корневой сертификат Минцифры и промежуточный сертификат УЦ ФНС, из-за чего цепочка доверия не достраивается. Вторая причина — нет доступа к списку отзыва сертификатов (CRL), который провайдер скачивает по ссылке из сертификата. Третья — истёк срок действия сертификата без меток времени. Установите корни в правильные хранилища и проверьте доступ к интернету.

Что значит «синий квадратик» на печатной форме документа в 1С?

Это визуализация подписи, штамп, а не сама электронная подпись. Подпись — это присоединённый к документу криптографический контейнер. Квадратика может не быть, а подпись при этом валидная и проверяется. И наоборот — нарисованный в Word штамп юридической значимости не несёт. Проверять нужно сам электронный документ с прикреплённой подписью, а не распечатку со штампиком.

Можно ли проверить целостность документа, подписанного ПЭП?

Нет. Простая электронная подпись (логин и пароль, учётная запись в системе) не вычисляет хэш документа и не контролирует его неизменность. Она фиксирует только факт подписания конкретным лицом. Контроль целостности обеспечивают усиленные подписи — УНЭП и УКЭП. Если документу нужна проверка неизменности, например трудовому договору, применяется усиленная подпись.

Проверяется ли подпись после истечения срока действия сертификата?

Подпись проверяется на действительность сертификата в момент подписания, а не в момент проверки. Подписать документ можно до окончания срока действия ключа подписи, а проверять — до окончания срока действия ключа проверки. Чтобы юридическая значимость сохранялась годами, к подписи добавляют штамп времени и метку о статусе сертификата на момент подписи (усовершенствованная подпись). Для кадровых документов со сроком хранения до 50 лет это обязательный шаг.

Где взять корневые сертификаты для проверки подписи в 1С?

Корневые сертификаты Минцифры России и УЦ ФНС лежат в открытом доступе и устанавливаются через мастер импорта сертификатов. Корень Минцифры ставится в хранилище «Доверенные корневые центры сертификации», промежуточный сертификат УЦ ФНС — в «Промежуточные центры сертификации». Без обоих сертификатов цепочка доверия в 1С не достроится, и проверка завершится ошибкой.

Что такое список отзыва сертификатов и зачем 1С его проверяет?

Список отзыва (CRL) — перечень сертификатов, действие которых прекращено досрочно, например при компрометации закрытого ключа. Владелец уведомляет удостоверяющий центр, и тот включает сертификат в список. Все документы, подписанные после попадания сертификата в список отзыва, проверку не проходят. 1С скачивает CRL по ссылке из сертификата, поэтому на изолированных рабочих местах список заливают вручную.

Как настроить проверку подписи в 1С:Документооборот 3.0?

В разделе «Администрирование», «Общие настройки» откройте блок «Электронная подпись и шифрование» и включите галочку «Электронные подписи». Затем выберите КриптоПро CSP как криптопровайдер и добавьте сертификаты сотрудников. После этого при открытии подписанного документа программа автоматически показывает статус каждой подписи: владельца, номер и срок действия сертификата, результат проверки целостности.

Сколько стоит электронная подпись для сотрудника в 1С:Кабинет сотрудника?

В сервисе «1С:Кабинет сотрудника» неквалифицированные электронные подписи для сотрудников выпускаются бесплатно, отдельно доплачивать за них не нужно. Сотрудник формирует подпись прямо в личном кабинете, придумывает пароль и подписывает согласие на присоединение к КЭДО. Если пароль забыт, подпись обновляется через профиль одной кнопкой с выпуском новой подписи.

Можно ли проверить подпись из 1С, если на рабочем месте нет интернета?

Целостность документа и цепочку доверия проверить можно офлайн, если корневые сертификаты установлены локально. А вот актуальный статус отзыва (CRL) без интернета 1С не получит — список скачивается с сервера удостоверяющего центра. На изолированных рабочих местах список отозванных сертификатов и сами корни загружают вручную и периодически обновляют, иначе проверка статуса не пройдёт.

Чем УКЭП в 1С отличается от УНЭП при проверке?

Обе подписи криптографические и контролируют целостность документа. Разница в требованиях к сертификату: УКЭП требует квалифицированный сертификат от аккредитованного удостоверяющего центра и сертифицированное ФСБ средство подписи, поэтому по 63-ФЗ она равнозначна собственноручной без дополнительных соглашений. УНЭП может выпустить и собственный центр сертификации организации, но для юридической значимости нужно соглашение сторон о порядке её применения.

Как предоставить подписанный в 1С документ при проверке ГИТ?

Предоставляется электронный оригинал с прикреплённой подписью, который инспектор может проверить, а не распечатка со штампиком. Из архива КЭДО в 1С такие документы выгружаются вместе с файлами подписи. Все аккредитованные удостоверяющие центры обязаны предоставлять ключи проверки, поэтому проверяющий может самостоятельно проверить любой переданный электронный документ. Для удобства можно приложить и бумажную карточку документа.

Если разбираться с криптопровайдерами, корневыми сертификатами и списками отзыва на каждом рабочем месте не хочется, проверку и подписание берёт на себя сервис КЭДО Добыто. Подпись, проверка сертификата по цепочке доверия и фиксация результата работают из коробки, без ручной настройки каждой машины.

За время работы мы подключили сотни компаний и доводим клиента до первых стабильных подписаний — чтобы кадровик не воевал с ошибкой «сертификат не проверен», а спокойно отправлял документы на подпись прямо из привычного интерфейса 1С.

Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится без привлечения разработчиков
Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Хранение документов до 50 лет с усовершенствованной подписью для архива
Сопровождение клиента до первых стабильных подписаний без ручной настройки рабочих мест

Оставить заявку