Проверка рабочего места для работы с ЭЦП показывает, готов ли компьютер подписывать и проверять электронные документы: установлено ли СКЗИ, видит ли система токен, работает ли крипто-плагин в браузере и не разорвана ли цепочка сертификатов. Эта статья экономит вам тот самый час, когда подпись не ставится, а причину найти не получается: разберём, что должно стоять на машине, как прогнать диагностику через КриптоПро и через сервис Контура, какие ошибки вылезают чаще всего и как их закрыть. Тема входит в большой материал про проверку электронной подписи, где собран весь процесс от настройки до получения результата.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что входит в рабочее место для работы с ЭЦП
Рабочее место для электронной подписи — это набор из пяти компонентов, и если хоть одного нет, подпись не сработает. Драйвер ключевого носителя (Рутокен, JaCarta, eSmart). СКЗИ — в большинстве случаев это КриптоПро CSP версии 5.0 R2 сборки 12000 или выше. Крипто-плагин для браузера, через который веб-сервисы обращаются к подписи. Корневые сертификаты удостоверяющего центра и Минцифры. И сам личный сертификат на токене.
Звучит просто. На практике именно рассинхрон между этими частями и даёт большую часть отказов. Поставили свежий КриптоПро, а драйвер токена старый — машина не видит флешку. Обновили браузер — расширение плагина отключилось, и кнопка подписания пропала. Получили новый серт, а корневой сертификат УЦ в систему не лёг — и подпись показывает статус «не доверенная». Проверка рабочего места как раз про то, чтобы пройтись по всем пяти точкам до того, как вы сядете подписывать что-то срочное.
Отдельно про КриптоПро. Линейка 5.0 — R1, R2, R3 — сертифицирована ФСБ, сертификаты действуют до 1 мая 2027 года, классы КС1, КС2, КС3. Если вы используете ключевые носители с неизвлекаемыми ключами, нужна именно пятая версия: четвёрка с такими токенами не работает. И Windows 11 поддерживается только начиная с пятой версии. Это к вопросу, почему «у соседа всё то же самое, а у меня не запускается» — версии разные.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая грабля — люди ставят новую версию КриптоПро поверх старой и не сносят остатки прежней крипты. Получается каша, машина токен видит через раз. Я всегда советую: чистая винда или хотя бы аккуратное удаление старого СКЗИ, а потом уже свежая сборка. Тогда серт встаёт с первого раза, а не с пятого.»
Проверка рабочего места через КриптоПро: что и как проверить
КриптоПро даёт собственный инструментарий для самодиагностики, и для большинства задач его хватает. Логика такая: сначала убеждаемся, что СКЗИ установлено и лицензия активна, потом — что система видит токен и читает контейнер, дальше — что цепочка сертификатов целая, и в конце прогоняем тестовую страницу плагина.
Лицензию и версию смотрят в панели управления КриптоПро CSP на вкладке «Общие». Там же видно срок действия лицензии. Тут есть нюанс: если серт вы получали в УЦ ФНС в рамках их эксперимента, лицензия КриптоПро вшита внутрь сертификата и действует ровно столько, сколько действует подпись. То есть отдельную лицензию вводить не нужно, но и пользоваться ей на другой машине с чужим ключом не выйдет.
Дальше — токен. Вставляете носитель в USB, открываете вкладку «Сервис» и жмёте «Просмотреть сертификаты в контейнере». Если контейнер виден и сертификат читается — носитель и драйвер в порядке. Если в выпадающем списке пусто, шариться по окнам бесполезно: проблема в драйвере носителя либо в самом порте. В сервисе Добыто мы при настройке рабочих мест первым делом проверяем именно эту связку «драйвер — токен — контейнер», потому что 7 из 10 обращений «подпись не работает» закрываются переустановкой драйвера Рутокена.
Цепочка сертификатов — место, где спотыкаются чаще всего. Откройте сертификат двойным кликом и зайдите на вкладку «Путь сертификации». Если все звенья — от вашего личного серта до корневого сертификата УЦ и Минцифры — на месте и без крестиков, цепочка целая. Если на каком-то уровне стоит ошибка, значит корневой или промежуточный сертификат в систему не установлен. Для квалифицированной подписи корневые обычно ложатся автоматически при выпуске. А вот при неквалифицированной подписи система по умолчанию вашему УЦ не доверяет, и корневой сертификат приходится ставить руками: открыть файл, «Установить сертификат», выбрать «Доверенные корневые центры сертификации».
Тестовая страница плагина — финальный шаг. На сайте КриптоПро есть страница проверки работы плагина: она показывает, видит ли браузер расширение, какая версия плагина, и перечисляет доступные сертификаты. Если страница пишет, что плагин не найден, — расширение в браузере выключено или не установлено. Включается оно в разделе расширений браузера, иногда после этого нужен перезапуск.
Как проверить рабочее место для ЭЦП в КриптоПро: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте панель управления КриптоПро CSP, вкладка «Общие». Проверьте версию (нужна 5.0 R2 сборки 12000 и выше) и срок действия лицензии.
- Шаг 2. Подключите токен в USB. На вкладке «Сервис» нажмите «Просмотреть сертификаты в контейнере», убедитесь, что контейнер виден и сертификат читается.
- Шаг 3. Откройте личный сертификат, перейдите на вкладку «Путь сертификации». Проверьте, что все звенья цепочки до корневого сертификата без ошибок.
- Шаг 4. Откройте раздел расширений браузера, убедитесь, что крипто-плагин включён. При необходимости перезапустите браузер.
- Шаг 5. Зайдите на тестовую страницу проверки плагина КриптоПро, убедитесь, что плагин определился и сертификаты отображаются в списке.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Мария Ж, судебный эксперт в сфере трудового права:
«Когда в суде встаёт вопрос, был ли документ подписан валидной подписью, я первым делом смотрю на цепочку и на статус серта на дату подписания. Зелёная галочка сегодня не значит, что подпись была действительна полгода назад. Поэтому рабочее место надо проверять не только на «ставится или нет», но и на то, корректно ли оно показывает статус. Это уже не про удобство, это про доказательства.»
Проверка рабочего места через Контур
Контур — это удостоверяющий центр и оператор ЭДО, и у него своя экосистема настройки рабочего места. Если вы получали подпись в Контуре или работаете с Диадоком, проще пользоваться его инструментами, а не собирать всё руками. Контур ставит свой набор — криптопровайдер, плагин и компоненты для браузера — и предлагает сервис диагностики, который сам прогоняет рабочее место по списку и показывает, чего не хватает.
Принцип у диагностики Контура такой же, как у ручной проверки в КриптоПро, только автоматизированный. Сервис проверяет наличие криптопровайдера, видит ли система ключевой носитель, установлен ли плагин Контура, цел ли список сертификатов. По результату он подсвечивает проблемные пункты и предлагает скачать недостающие компоненты. Для пользователя, который не хочет разбираться в путях сертификации, это удобнее: нажал, подождал, увидел список того, что чинить.
Важный момент про совместимость. Плагин Контура и крипто-плагин КриптоПро — это разные расширения, и у некоторых пользователей они конфликтуют в одном браузере. Если вы работаете и с площадками на КриптоПро, и с сервисами Контура, иногда чище держать два браузера: в одном плагин Контура, в другом — КриптоПро. Логику в этом искать бессмысленно, просто так меньше затыков. И ещё: встроенная криптография на токене — это не то же самое, что установленный КриптоПро CSP. Если информационная система требует именно КриптоПро, его всё равно нужно поставить на компьютер, наличие крипто-ядра внутри токена это требование не закрывает.
Госуслуги тоже годятся как точка проверки рабочего места, особенно когда нужен независимый ориентир. На портале есть бесплатный сервис проверки электронной подписи — проверка электронной подписи на Госуслугах. Загружаете подписанный файл, видите, валидна ли подпись и чей сертификат её поставил. Если на вашей машине документ подписался, а Госуслуги его подтвердили, рабочее место настроено правильно от и до.
Вот здесь, на стыке КриптоПро и Контура, разорванной цепочки и конфликтующих плагинов, обычно и теряется день. Если на компанию заводится сразу несколько рабочих мест и каждое настраивать вручную — это недели возни и звонков в техподдержку разных вендоров. В сервисе Добыто мы настраиваем рабочие места под подписание кадровых документов и закладываем единый регламент проверки, чтобы у всех сотрудников машина проходила диагностику одинаково.
Диагностика типичных ошибок при работе с ЭЦП
Когда подпись не ставится, паниковать не нужно — 90% случаев укладываются в несколько типовых сценариев. Разберу их по порядку, с причиной и тем, что делать.
Компьютер не видит токен. Симптом: в «Просмотре сертификатов в контейнере» пусто, флешка вроде вставлена, а её нет. Причина почти всегда в драйвере носителя — либо не установлен, либо устарел под новую версию СКЗИ. Лечится переустановкой драйвера Рутокена или JaCarta с сайта производителя. Иногда виноват порт или USB-удлинитель, проверьте на другом порту напрямую.
Плагин не определяется в браузере. Кнопка подписания пропала, тестовая страница пишет «плагин не найден». Расширение крипто-плагина отключилось — частая история после обновления браузера. Заходите в расширения, включаете, перезапускаете браузер. Если расширения нет вовсе — доустанавливаете его отдельно, сам по себе КриптоПро CSP его в браузер не добавляет.
Подпись не валидна или сертификат не доверенный. Документ подписался, но проверка показывает красный статус. В большинстве случаев это разрыв цепочки: корневой или промежуточный сертификат УЦ не установлен. Открываете сертификат, смотрите «Путь сертификации», ставите недостающие звенья. Для неквалифицированной подписи это штатная ситуация, корневой почти всегда надо ставить вручную.
Долгое обращение к средству электронной подписи. Окно ввода пин-кода висит, подпись формируется по полминуты. Чаще всего причина в списках отзыва сертификатов: система пытается их скачать, а доступа в сеть нет или он медленный. Помогает локальная установка списков отзыва либо настройка доступа к ним.
Истёк срок сертификата. Самое обидное и самое простое. Серт действует обычно год, дальше подпись просто перестаёт работать. Проверяется в свойствах сертификата, поле «действителен по». Решение одно — перевыпуск в УЦ, задним числом подписать уже не выйдет.
Образцы документов и инструкции для настройки ЭЦП
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
Рабочее место для ЭЦП в кадровом электронном документообороте
В КЭДО проверка рабочего места работает иначе, чем при сдаче отчётности в налоговую. Кадровику не нужно, чтобы каждый из тысячи сотрудников вручную ставил КриптоПро, драйвер Рутокена и плагин. Это нереально и не нужно. Для большинства внутренних кадровых документов хватает простой или неквалифицированной подписи, а УКЭП с токеном и КриптоПро требуется, по сути, только работодателю и в отдельных случаях.
Перед запуском важно определить вид электронной подписи для сотрудников — без этого решения настраивать рабочие места рано. Если выбрана облачная подпись или мобильное решение вроде Госключа, никакого СКЗИ на компьютере сотрудника вообще не требуется: подпись формируется на стороне сервиса или на телефоне. Это снимает с компании весь головняк по диагностике рабочих мест на стороне работников. Как устроено мобильное подписание, мы разбирали в материале про Госключ и подписание документов.
За время работы сервиса Добыто мы подключили к КЭДО сотни компаний, и почти в каждом проекте этап настройки и проверки рабочих мест занимал больше времени, чем закладывал заказчик. Поэтому мы закладываем пилотную группу: 2-3 недели на ограниченном круге пользователей, чтобы выловить грабли с плагинами и токенами до того, как процесс раскатают на весь штат. Это дешевле, чем чинить ошибки на тысяче рабочих мест одновременно.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Эйчары часто думают, что КЭДО — это про каждого сотрудника с флешкой и КриптоПро. Нет. Если правильно выбрать вид подписи, на стороне работника крипты может вообще не быть. УКЭП и токены оставляем там, где они реально нужны, а остальное закрываем ПЭП или облачной подписью. Это совсем другие денюжки и совсем другой объём настройки.»
Безопасность рабочих мест в кадровом ЭДО — отдельная история, которую стоит продумать до запуска. Кто имеет доступ к закрытому ключу, где хранятся сертификаты, как защищён канал. Подробнее про это — в материале про информационную безопасность в ЭДО.
Подписать документ электронной подписью онлайн
Стоимость настройки КЭДО и работы с электронной подписью
Стоимость зависит от того, сколько сотрудников переводите на КЭДО, какой тариф выбираете и какой набор подписей нужен. Подписка считается за рабочее место в месяц, отдельной платы за каждую настройку рабочего места в тарифах нет. Ниже — актуальные тарифы сервиса Добыто.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО. ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| Бизнес — для среднего бизнеса с полным набором функций. ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | Минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с SLA. Всё из тарифа Бизнес, выделенный сервер, персональный менеджер, API | По запросу | SLA 99.9% |
Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. На тариф влияет и то, нужна ли интеграция с 1С и нужен ли электронный архив: для компаний от 50 человек чаще берут Бизнес, потому что в нём уже есть УКЭП и кастомные шаблоны.
Выводы: проверка рабочего места для ЭЦП через КриптоПро и Контур
Рабочее место для электронной подписи держится на пяти компонентах: драйвер токена, СКЗИ КриптоПро CSP версии 5.0 R2 и выше, крипто-плагин в браузере, корневые сертификаты и личный сертификат на носителе. Если выпадает любой из них, подпись не сработает. Проверять их нужно по порядку: лицензия и версия СКЗИ, видимость токена и контейнера, целостность цепочки сертификатов, включённость плагина, тест на странице проверки.
Диагностику можно вести вручную через инструменты КриптоПро или автоматически через сервис Контура — принцип один, разница в удобстве. Большинство отказов укладываются в типовые сценарии: устаревший драйвер носителя, отключённый плагин после обновления браузера, разорванная цепочка сертификатов, истёкший серт. Независимый ориентир для финальной проверки — бесплатный сервис на Госуслугах: если он подтвердил подпись, рабочее место настроено верно. Держите два браузера, если параллельно работаете с КриптоПро и Контуром, — так меньше конфликтов плагинов.
В кадровом электронном документообороте подход другой. Заставлять каждого сотрудника настраивать КриптоПро не нужно: при правильном выборе вида подписи на стороне работника крипты может не быть вовсе. УКЭП с токеном оставляют там, где она реально требуется, а массовые кадровые документы закрывают простой, неквалифицированной или облачной подписью. Перед раскатыванием на весь штат стоит прогнать пилотную группу — это снимает основную часть проблем с рабочими местами заранее.
Часто задаваемые вопросы
Какая версия КриптоПро CSP нужна для работы с ЭЦП в 2026 году?
Чем проверка рабочего места через Контур отличается от КриптоПро?
Почему компьютер не видит токен с электронной подписью?
Что значит «подпись не валидна» при проверке?
Нужен ли КриптоПро, если на токене есть встроенная криптография?
Почему подпись формируется очень долго?
Как проверить, что крипто-плагин работает в браузере?
Можно ли проверить рабочее место без специальных программ?
Конфликтуют ли плагины КриптоПро и Контура в одном браузере?
Нужно ли каждому сотруднику настраивать рабочее место для КЭДО?
Что делать, если истёк срок действия сертификата?
Где посмотреть, что записано в моём сертификате?
Если в компании больше десятка рабочих мест и часть документов подписывается УКЭП через КриптоПро, а часть — через Контур, настройка и проверка превращаются в отдельный проект. Сервис Добыто берёт эту часть на себя: настраиваем рабочие места под подписание кадровых документов, проверяем токены, плагины и цепочки сертификатов по единому регламенту, а где можно — убираем токены и КриптоПро вовсе, переводя сотрудников на облачную подпись или Госключ.
Мы подключили к КЭДО сотни компаний разного масштаба — от небольших фирм до штата в несколько тысяч человек. В каждом проекте сначала прогоняем пилотную группу, ловим типовые ошибки настройки и только потом раскатываем на весь штат. Так компания не теряет недели на починку рабочих мест по всему офису.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания с телефона, без СКЗИ и токена на стороне сотрудника
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Поэтапное внедрение через пилотную группу — по подразделениям и типам документов
- Сопровождение клиента до первых 50 подписаний — до полностью самостоятельной работы