Проверка сертификатов на токене электронной подписи нужна при каждой смене рабочего места, обновлении криптопровайдера или продлении КЭП. Без этой процедуры невозможно понять, какие контейнеры записаны на носитель, когда истекает срок сертификата и корректно ли построена цепочка доверия. Если подпись перестала работать — первый шаг к диагностике всегда один: откройте токен и посмотрите, что на нем записано. Подробнее о проверке электронной подписи в целом читайте в родительском материале про проверку электронной подписи.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что записано на токене и зачем это проверять
Токен — это защищенный USB-носитель с криптографическим чипом: Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, JaCarta-2 ГОСТ, eSmart. На нем хранятся контейнеры закрытых ключей и сертификаты открытых ключей. Один Рутокен ЭЦП 3.0 NFC с памятью 128 КБ вмещает до 31 контейнера. На практике кадровик или бухгалтер обычно носит 2-4 сертификата: для ФНС, для торговых площадок, для КЭДО-системы.
Проверка содержимого токена решает три задачи. Первая — убедиться, что сертификат ещё действует. Стандартный срок КЭП — 15 месяцев, и пропустить дату окончания легко. Вторая — проверить цепочку доверия: сертификат пользователя привязан к промежуточному сертификату удостоверяющего центра (УЦ), а тот — к корневому сертификату Минцифры. Если хотя бы одно звено отсутствует, подпись не пройдет верификацию. Третья — выяснить тип ключа: извлекаемый (экспортируемый) или неизвлекаемый (PKCS#11). ФНС по умолчанию выпускает неизвлекаемые ключи, и скопировать контейнер с такого токена на другой носитель штатными средствами не получится.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Типичная ситуация в кадровой службе: эйчар жалуется, что «флешка не работает». Вставляешь юсби-токен, открываешь КриптоПро — а там серт протух две недели назад. Или серт рабочий, но корневой Минцифры не установлен. Пять минут проверки — и проблема решена. Но без этих пяти минут кадровик может полдня вручную бегать с бумажечками.»
Проверка сертификатов через КриптоПро CSP
КриптоПро CSP 5.0 R2/R3 — основной крипто-провайдер для работы с УКЭП в России. Проверить содержимое токена через него можно за пару минут.
Вкладка «Сервис» в КриптоПро CSP
Вставьте токен в USB-порт. Откройте КриптоПро CSP через Пуск или Панель управления. Перейдите на вкладку «Сервис». Нажмите «Просмотреть сертификаты в контейнере». Программа покажет список всех контейнеров на подключенных носителях. Выберите нужный контейнер и нажмите «Далее». Откроется карточка сертификата: ФИО владельца, ИНН организации, название выпустившего УЦ, серийный номер, даты «Действителен с» и «Действителен по».
На этом же экране видно, установлен ли сертификат в локальное хранилище Windows. Если нет — нажмите «Установить». Без установки в хранилище большинство программ (включая браузеры и систему КЭДО) не увидит сертификат, даже если токен подключен.
Ещё одна полезная кнопка на вкладке «Сервис» — «Протестировать контейнер». Она проверяет целостность закрытого ключа на токене. Если контейнер поврежден (что бывает при сбоях питания USB), тест это покажет.
Просмотр свойств сертификата
Двойной клик по сертификату в КриптоПро CSP открывает стандартное окно свойств Windows. Здесь три вкладки. Вкладка «Общие» — кому и кем выдан, период действия. Вкладка «Состав» — все поля OID, включая расширенное использование ключа (EKU), точки распространения CRL, ссылку на OCSP-ответчик. Вкладка «Путь сертификации» — визуальная цепочка доверия. Если рядом с корневым или промежуточным сертификатом стоит желтый треугольник или красный крест — цепочка разорвана.
Цепочка для КЭП выглядит так: корневой сертификат Минцифры — промежуточный сертификат аккредитованного УЦ — персональный сертификат пользователя. Корневой сертификат Минцифры должен быть установлен в хранилище «Доверенные корневые центры сертификации», промежуточный — в хранилище «Промежуточные центры сертификации». Без этого подпись технически сработает, но проверка на стороне контрагента или в суде покажет ошибку.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Совет из практики: когда ставите новый серт на рабочее место кадровика, сразу проверяйте вкладку «Путь сертификации». Если там жёлтый треугольник — скачайте корневые серты с сайта УЦ и установите. Это занимает три минуты, но сэкономит часы потом, когда документ понадобится подписать срочно, а крипта скажет «цепочка не построена».»
Панель управления Рутокен
Если у вас токен линейки Рутокен (ЭЦП 2.0, ЭЦП 3.0, Lite), установите Панель управления Рутокен с сайта rutoken.ru. Она показывает информацию, недоступную через КриптоПро CSP.
Откройте Панель управления Рутокен и перейдите на вкладку «Сертификаты». Здесь виден полный список сертификатов, записанных в память токена, а не только те, что распознал криптопровайдер. Это принципиально: если сертификат записан как объект PKCS#11 и КриптоПро CSP не настроен на работу с аппаратным СКЗИ, он может не отображаться в КриптоПро, но будет виден в Панели Рутокен.
Вкладка «Информация о Рутокен» показывает модель токена, версию прошивки, свободную и занятую память, общее число объектов. Эти сведения пригодятся, если токен заполнен под завязку или если нужно определить, поддерживает ли прошивка новые криптоалгоритмы ГОСТ 2012.
Проверка через оснастку certmgr и командную строку
Для системных администраторов, обслуживающих рабочие места кадровой службы, есть ещё два способа.
Оснастка certmgr.msc
Нажмите Win+R, введите certmgr.msc, нажмите Enter. Откроется хранилище сертификатов текущего пользователя. Перейдите в раздел «Личное» — «Сертификаты». Здесь отображаются все установленные персональные сертификаты, включая те, что привязаны к контейнерам на токенах. Двойной клик по сертификату открывает то же окно свойств с тремя вкладками. Удобство certmgr в том, что здесь же можно проверить хранилища промежуточных и корневых сертификатов — убедиться, что цепочка доверия собрана полностью.
Утилита certutil из командной строки
Команда certutil -store My выведет список всех сертификатов из личного хранилища с серийными номерами, датами и отпечатками. Команда certutil -verify -urlfetch имя_файла.cer проверит цепочку сертификата и попробует скачать CRL-список и запросить OCSP-ответчик. Это полезно для диагностики сетевых проблем, когда локальная проверка проходит, а онлайн-верификация падает.
Онлайн-проверка сертификата на сайте КриптоПро
Если нужно быстро убедиться, что сертификат на токене рабочий и подпись формируется корректно, используйте тестовую страницу КриптоПро. На ней можно подписать тестовое сообщение сертификатом с токена и тут же проверить результат. Для этого требуется установленный КриптоПро CSP и браузерный плагин. Страница покажет, видит ли браузер сертификат, может ли токен выполнить криптографическую операцию и корректна ли полученная подпись.
Для проверки статуса сертификата без установки дополнительного ПО можно экспортировать сертификат (открытый ключ, файл .cer) и загрузить его на портал проверки электронной подписи на Госуслугах. Сервис покажет, действителен ли сертификат, кем выдан и не отозван ли. Это бесплатно и не требует регистрации.
Мария Ж, судебный эксперт по трудовому праву:
«Когда мы запускаем пилот КЭДО у нового клиента, первое, что делаем — просим кадровиков подключить свои юсби-токены и вместе проверяем серты. В половине случаев находим просроченные контейнеры, отсутствующие корневые или серт, записанный «не в ту» крипту. Лучше поймать это на этапе бординга, чем потом разбираться, почему приказ о приеме не подписался.»
Проверка токенов, настройка цепочки доверия, обновление СКЗИ — рутинные задачи для кадровой службы, работающей с электронной подписью. В сервисе Добыто КЭДО выпуск и контроль сроков сертификатов автоматизирован: уведомления о скором истечении серта приходят и сотруднику, и ответственному кадровику.
Типичные ошибки при проверке сертификатов на токене
Пять ситуаций, с которыми сталкиваются кадровики и системные администраторы при работе с токенами.
1. Ошибка «Цепочка сертификатов не может быть построена». Самая частая проблема. На компьютере не установлен корневой сертификат Минцифры или промежуточный сертификат УЦ. Скачайте их с сайта вашего удостоверяющего центра и установите вручную. Корневой — в хранилище «Доверенные корневые центры сертификации», промежуточный — в «Промежуточные центры сертификации». После этого перезапустите КриптоПро CSP.
2. Сертификат просрочен. Срок КЭП — обычно 15 месяцев. После истечения подпись формируется, но юридической силы документ иметь не будет. Решение: получить новый сертификат в аккредитованном УЦ. Если вы директор или ИП, за новым сертификатом надо идти лично в удостоверяющий центр ФНС. В Добыто по каждому сертификату сотрудника ведется автоматический мониторинг сроков с уведомлениями за 30 дней до истечения.
3. КриптоПро CSP не видит контейнер на токене. Причины: не установлен драйвер токена, не установлен minidriver, токен не поддерживается версией КриптоПро. Для Рутокен ЭЦП 2.0/3.0 установите «Рутокен Драйверы» с сайта rutoken.ru. Для JaCarta — «Единый клиент JaCarta» с сайта aladdin-rd.ru. После установки драйвера перезагрузите компьютер.
4. Ключ неизвлекаемый — невозможно скопировать контейнер. ФНС по умолчанию записывает ключи как неизвлекаемые (PKCS#11). Скопировать такой контейнер на другой носитель штатными средствами невозможно. Это не ошибка, а мера безопасности. Если вам нужен сертификат на нескольких рабочих местах, используйте сетевое подключение токена (например, через Рутокен VPN или КриптоПро CSP в режиме сетевого ридера) или получите отдельный сертификат для каждого рабочего места.
5. Устаревшая версия КриптоПро CSP. Версии ниже 5.0 R2 могут некорректно работать с новыми токенами и криптоалгоритмами ГОСТ 2012. Обновите криптопровайдер до актуальной версии. Проверить текущую версию можно на вкладке «Общие» в КриптоПро CSP.
Извлекаемые и неизвлекаемые ключи: как определить тип
Тип ключа влияет на сценарий использования токена. Извлекаемый ключ хранится в программном контейнере КриптоПро на токене, его можно скопировать на другой носитель через вкладку «Сервис» — «Скопировать контейнер». Неизвлекаемый ключ генерируется аппаратным чипом токена и никогда его не покидает — криптографические операции выполняются прямо на токене.
Определить тип ключа можно в Панели управления Рутокен: перейдите на вкладку «Сертификаты», выберите нужный и откройте его свойства. Если указан атрибут «Встроенный в токен» или «Non-extractable» — ключ неизвлекаемый. Другой способ — попытаться скопировать контейнер через КриптоПро CSP. Если программа выдаст ошибку «Невозможно выполнить экспорт» или «Ключ не экспортируемый» — перед вами неизвлекаемый ключ.
Для работы с неизвлекаемыми ключами в КриптоПро CSP 5.0 R2/R3 есть режим «Активный токен» (он же «аппаратное СКЗИ»): криптопровайдер делегирует операцию подписания непосредственно чипу токена. Это безопаснее, потому что закрытый ключ не загружается в оперативную память компьютера, но требует актуальной прошивки токена и правильной настройки КриптоПро. Подробнее о программах для подписания документов и настройке криптопровайдера — в материале Программы для подписания документов ЭЦП.
Полезные документы для работы с токенами и электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Криптографическая защита информации | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
Проверка статуса отзыва сертификата (OCSP и CRL)
Сертификат может быть отозван досрочно: при увольнении сотрудника, компрометации закрытого ключа, по решению удостоверяющего центра. Проверить статус отзыва можно двумя способами.
CRL (Certificate Revocation List). Список отозванных сертификатов, который публикует УЦ. Ссылка на CRL зашита в каждый сертификат (поле «Точка распространения CRL» на вкладке «Состав»). КриптоПро CSP скачивает CRL автоматически при проверке подписи, если есть доступ в интернет. Если компьютер работает в изолированной сети — CRL нужно скачать вручную и установить в хранилище.
OCSP (Online Certificate Status Protocol). Онлайн-запрос к серверу УЦ, который мгновенно возвращает статус конкретного сертификата: действителен, отозван или неизвестен. Быстрее, чем CRL, но требует постоянного подключения к интернету. Не все УЦ предоставляют OCSP-ответчики бесплатно.
При работе в КЭДО-системе проверка отзыва обычно выполняется сервером автоматически в момент подписания документа. В Добыто каждая подпись фиксируется с отметкой времени и результатом проверки OCSP, что обеспечивает юридическую значимость по 63-ФЗ. Если сертификат был отозван после подписания, но до момента проверки, документ сохраняет силу — при условии, что подпись снабжена меткой времени.
Мария Ж, HR-эксперт с 13-летним стажем:
«Частая «граблевая история» — уволили сотрудника, а серт не отозвали. Человек ушел, а его закрытка теоретически ещё может подписывать документы. Мы в Добыто при увольнении автоматически блокируем учётную запись и отзываем УНЭП. Но УКЭП, выпущенную через внешний УЦ, отозвать может только сам УЦ или бывший владелец. Поэтому при увольнении обязательно забирайте токен и инициируйте отзыв серта в УЦ.»
КриптоАРМ ГОСТ 3 — проверка и подписание с токена
КриптоАРМ ГОСТ 3 — локальная программа для подписания и верификации документов. Работает с сертификатами на токенах через КриптоПро CSP. Для проверки содержимого токена откройте раздел «Сертификаты» в левом меню: программа покажет все установленные сертификаты с отметкой «Токен» или «Реестр» для каждого.
Преимущество КриптоАРМ ГОСТ 3 перед ручной проверкой через КриптоПро CSP — визуальное отображение результатов верификации подписи с указанием формата (CAdES-BES, CAdES-T, CAdES-XL), наличия метки времени и статуса каждого элемента цепочки. Документы при проверке не покидают компьютер. Для кадровых документов это существенно: загружать трудовой договор на сторонний онлайн-сервис не всегда допустимо с точки зрения защиты персональных данных. О том, как работать с файлами открепленной подписи, читайте в статье Файл с откреплённой УКЭП заявителя.
Стоимость сервиса КЭДО и тарифы Добыто
Проверка сертификатов на токене — бесплатная операция в КриптоПро CSP и Панели Рутокен. Но для организации, внедрившей кадровый электронный документооборот, важна стоимость всей экосистемы: выпуск подписей, подписание, хранение архива с верификацией. Актуальные тарифы сервиса Добыто КЭДО — ниже.
| Тариф | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» (ПЭП и УНЭП, базовые шаблоны) | от 30 руб. / сотрудник / мес | до 25 сотрудников |
| Тариф «Бизнес» (ПЭП, УНЭП, УКЭП, интеграция 1С, кастомные шаблоны) | от 50 руб. / сотрудник / мес | мин. оплата 50 сотрудников, 30 000 руб. / год |
| Тариф «Корпорация» (выделенный сервер, SLA 99.9%, API) | по запросу | персональный менеджер |
| Выпуск ПЭП и УНЭП для сотрудников | 0 руб. | включено во все тарифы |
| Верификация подписи внутри системы | 0 руб. | неограниченно |
Рассчитать стоимость лицензии КриптоПро CSP под конкретное количество рабочих мест поможет Калькулятор КриптоПро на сайте Добыто.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда считаете бюджет на КЭДО, не забудьте про СКЗИ. КриптоПро CSP стоит около 2 700 рублей на одно рабочее место, плюс токен — от 1 500 до 3 000 рублей. Если серт УКЭП получаете не через ФНС, а через коммерческий УЦ — ещё 3 000-5 000 за выпуск. При тарифе «Старт» в Добыто за 30 рублей на сотрудника выпуск УНЭП бесплатный, и для внутренних кадровых документов этого достаточно. УКЭП нужна только для документов, которые по 377-ФЗ обязательно подписывать квалифицированной подписью.»
Как проверить сертификаты на токене: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Вставьте токен (Рутокен, JaCarta, eSmart) в USB-порт компьютера. Дождитесь, пока индикатор на токене загорится (для Рутокен — красный или зеленый светодиод).
- Шаг 2. Откройте КриптоПро CSP через Пуск или Панель управления. Перейдите на вкладку «Сервис».
- Шаг 3. Нажмите «Просмотреть сертификаты в контейнере». Выберите нужный контейнер из списка и нажмите «Далее».
- Шаг 4. Проверьте карточку сертификата: ФИО владельца, ИНН, название УЦ, даты «Действителен с» и «Действителен по». Убедитесь, что сертификат ещё действует.
- Шаг 5. Если сертификат не установлен в хранилище Windows, нажмите «Установить». Без установки браузеры и КЭДО-системы не увидят сертификат.
- Шаг 6. Откройте свойства сертификата (двойной клик) и перейдите на вкладку «Путь сертификации». Убедитесь, что цепочка построена без ошибок: персональный серт — промежуточный УЦ — корневой Минцифры.
- Шаг 7. Если цепочка разорвана — скачайте корневые и промежуточные сертификаты с сайта вашего УЦ и установите их вручную.
- Шаг 8. Для дополнительной проверки экспортируйте сертификат (файл .cer) и загрузите его на портал Госуслуг для онлайн-верификации статуса.
Выводы
Проверка сертификатов на токене электронной подписи — базовая процедура, без которой нельзя гарантировать работоспособность КЭП. Основные инструменты: КриптоПро CSP (вкладка «Сервис» — просмотр и тестирование контейнеров), Панель управления Рутокен (расширенная информация о токене, включая тип ключа и свободную память), оснастка certmgr.msc (управление хранилищами сертификатов), КриптоАРМ ГОСТ 3 (визуальная верификация подписей).
При проверке обращайте внимание на три ключевых параметра: срок действия сертификата, целостность цепочки доверия (Минцифры — УЦ — пользователь) и тип ключа (извлекаемый или неизвлекаемый). Самые частые ошибки — просроченный сертификат и отсутствие корневых сертификатов Минцифры на компьютере. Обе решаются за несколько минут. Для организаций, работающих с кадровым ЭДО, контроль сроков и статусов сертификатов можно автоматизировать через КЭДО-систему: в Добыто мониторинг сертификатов встроен в платформу и работает без дополнительной настройки.
Часто задаваемые вопросы
Как узнать, сколько сертификатов записано на токене?
Что делать, если КриптоПро CSP не видит токен?
Можно ли скопировать сертификат с токена на другой носитель?
Какой срок действия сертификата КЭП на токене?
Чем отличается Рутокен ЭЦП 2.0 от Рутокен Lite?
Как проверить, не отозван ли сертификат на токене?
Нужно ли устанавливать сертификат с токена в хранилище Windows?
Как проверить сертификат на токене через Госуслуги?
Что такое неизвлекаемый ключ и зачем он нужен?
Сколько сертификатов помещается на один токен?
Как удалить старый сертификат с токена?
Можно ли проверить токен без КриптоПро CSP?
Проверка сертификатов на токене — только начало. Подписание, верификация, хранение архива с метками времени, контроль сроков для всех сотрудников — всё это закрывает сервис Добыто КЭДО. Мы подключили к КЭДО сотни компаний — от стартапов на 10 человек до холдингов с 20 000+ сотрудников.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП
- Мобильное приложение для подписания документов с телефона
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия)
- Юридическая значимость по 63-ФЗ и 377-ФЗ
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Скорость внедрения от 1 дня для небольших компаний