Диагностика электронной подписи — это набор проверок, которые показывают, почему подпись не ставится, не проверяется или выдаёт ошибку, и какими инструментами эту причину устранить. Из статьи вы поймёте, чем КриптоПро отличается от Госуслуг при проверке, как читать свойства сертификата и токена, что делать, когда рвётся цепочка сертификатов, и какой инструмент брать под конкретный сбой — не перебирая всё подряд. Это часть большого материала про проверку электронной подписи, где собран весь процесс от выпуска сертификата до проверки подписи на документе.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое диагностика электронной подписи и когда она нужна
Подпись ломается не сама по себе. Ломается одно из звеньев цепочки: носитель, криптопровайдер, сертификат, корневые сертификаты удостоверяющего центра, браузер или само приложение, через которое вы подписываете. Диагностика — это последовательное прохождение по этим звеньям, чтобы найти конкретное, а не менять всё наугад.
Типичные ситуации, когда без неё не обойтись. Сотрудник принёс токен, а система пишет, что сертификат не найден. Документ подписан, но контрагент говорит — подпись не проверяется. Срок сертификата вроде не истёк, а подписать не получается. Подпись стоит, но в PDF её не видно, и непонятно — она вообще там есть. И самый частый кейс у кадровиков: на портале или в КЭДО документ ушёл на подписание, а у работника всё висит, ничего не происходит.
Закрытый ключ — это просто длинное число. По сути, всё, что мы называем подписью, строится вокруг трёх компонентов: сертификат (кому, кем выдан, срок действия), открытый ключ (публичная часть, по которой проверяют) и закрытый ключ (которым подписывают, и который должен существовать в единственном экземпляре). Когда что-то не работает, поломка всегда в одном из этих трёх или в обвязке вокруг них. Диагностика отвечает на один вопрос: где именно.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Первое, чему я учу кадровиков — не лечить симптом, а смотреть цепочку. У меня половина обращений звучит как ‘эцп не работает’. А по факту — то закрытка не та выбрана, то корневой серт не установлен, то у человека вообще лицензия крипты протухла. Пять минут диагностики экономят день беготни.»
Инструменты для диагностики подписи: КриптоПро CSP
КриптоПро CSP — это крипто-провайдер, базовый инструмент, без которого в российской криптографии почти ничего не подписывается и не проверяется. Актуальная линейка — версия 5.0 (релизы R2 и R3), сертификаты на неё действуют до 1 мая 2027 года по всем трём классам защиты КС1, КС2, КС3. Четвёртая версия ещё жива, но сертификат на неё действует до 15 января 2026 года, то есть на дату написания статьи он на исходе — и это уже сам по себе повод для диагностики, если вы до сих пор сидите на четвёрке.
Что смотреть в первую очередь. Открываете КриптоПро CSP, вкладка «Сервис», кнопка «Просмотреть сертификаты в контейнере». Если контейнер не виден — проблема ниже по цепочке, на уровне носителя или драйвера. Если виден, открываете сам сертификат и читаете три строки: кому выдан, кем выдан, действителен с — по. Дальше проверяете вкладку «Путь сертификации» — там и вылезает разрыв цепочки, о котором ниже отдельный раздел.
В версии 5.0 R3 встроен браузер-плагин и появился КриптоПро SDK, который умеет обращаться к службам штампа времени и проверки статусов сертификатов. Для диагностики это важно: именно через эти службы проверяется, действовал ли сертификат в момент подписания. Если у вас сборка старее — часть проверок просто недоступна.
Отдельный практический момент. Лицензия КриптоПро бесплатна только 90 дней, это полнофункциональная демо-версия. Дальше она просто перестаёт работать — и вы не зайдёте по подписи, например, на сайт ФНС. В нашей практике в Добыто это причина едва ли не каждого пятого «у меня эцп сломалась»: крипта стоит, серт на месте, а денюжки за бессрочную лицензию когда-то забыли занести. Лечится покупкой постоянной лицензии один раз.
Мария Ж, судебный эксперт по трудовому праву:
«Когда дело доходит до суда по увольнению, штампик-плашечка на PDF не значит ничего — это просто картинка для глаз. Суд смотрит исходный документ и сиг-файл, проверяет, что подпись действовала на момент и серт не был отозван. Поэтому диагностику я всегда довожу до проверки по СОС и штампу времени, а не до зелёной галочки в просмотрщике.»
Проверка подписи через Госуслуги: что умеет, а что нет
Портал Госуслуг даёт бесплатный онлайн-сервис проверки — это удобно, когда под рукой нет ни КриптоПро, ни КриптоАРМ. Сервис проверки подписи доступен на странице проверки электронной подписи на Госуслугах. Там есть разделы для проверки квалифицированной подписи (КЭП), проверки УНЭП и проверки сертификата.
Важный нюанс, на котором спотыкаются постоянно. Госуслуги проверяют присоединённую и откреплённую подпись — то есть когда у вас исходный файл и рядом сиг-файл, либо контейнер с подписью. А вот подпись, встроенную внутрь PDF, сервис не проверяет. Именно такая подпись стоит, например, на выписке из ЕГРЮЛ или на штрафе ГИБДД. Если вы загружаете PDF со встроенной подписью и получаете невнятный ответ — это не сломалось, это просто не та задача для этого инструмента. Для встроенной в PDF подписи нужен КриптоАРМ ГОСТ или Крипто Эксперт, у которых есть просмотр и проверка PDF-подписи.
Что делает Госуслуги хорошим первым шагом диагностики: ничего ставить не надо, проверка занимает минуты, и сразу видно — подпись валидна, сертификат действителен или отозван. Если документ откреплённой подписью прошёл проверку на Госуслугах, а в вашей внутренней системе нет — значит проблема не в подписи, а в настройке системы. Это сразу сужает поиск.
Как провести базовую диагностику подписи: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Проверьте носитель. Вставьте токен, откройте панель управления Рутокен или драйвер JaCarta — устройство должно определяться, а сертификат на нём быть виден. Если токен не виден — ставьте или переустанавливайте драйвер носителя.
- Шаг 2. Проверьте криптопровайдер. Откройте КриптоПро CSP, вкладка «Сервис» — «Просмотреть сертификаты в контейнере». Контейнер виден — идём дальше. Не виден — проблема на стыке драйвер-провайдер.
- Шаг 3. Прочитайте сам сертификат: кому выдан, кем выдан, срок действия с — по. Истёк срок — подпись ставить нельзя, нужен новый сертификат.
- Шаг 4. Откройте вкладку «Путь сертификации». Все звенья помечены как доверенные — цепочка целая. Есть красный крестик или «корневой сертификат не найден» — устанавливаете недостающие корневые сертификаты УЦ.
- Шаг 5. Проверьте готовую подпись на стороннем инструменте: загрузите исходный файл и сиг-файл на Госуслуги либо в КриптоАРМ. Если подпись прошла там, но не работает в вашей системе — чините настройку системы, а не подпись.
КриптоАРМ и другие программы проверки подписи
КриптоАРМ ГОСТ версии 3 — это универсальное средство электронной подписи. Подписывает, шифрует, расшифровывает и проверяет файлы. Фраза, которую любят повторять разработчики: вам прислали подписанные документы — чем проверить? КриптоАРМ ГОСТ. Для проверки подписи лицензия не нужна — ставите и проверяете. Поддерживает стандарты ЦМС и КАДИС, в том числе КАДИС-А с метками времени и ОЦСП-ответами, то есть умеет работать с усовершенствованной подписью для архивного хранения. Сертификат на исполнение в составе КриптоПро CSP 5.0 R3 действует до мая 2027 года.
Что КриптоАРМ показывает при проверке: статус подписи, свойства сертификата, цепочку сертификации — всё в одном окне. Для диагностики это удобнее, чем КриптоПро CSP, потому что результат собран на одном экране. Встроенная подпись внутри PDF проверяется в релизе версии 6 и в Крипто Эксперте — в сертифицированную тройку эта функция не попала.
Если коротко по альтернативам, чтобы было из чего выбирать. Крипто Эксперт от CrypteX — подпись и проверка PDF, поддержка КАДИС XL Type 1, работа с МЧД и проверка статусов доверенности; работает на Windows, Linux, macOS. JinnClient от Кода безопасности — средство с доверенной визуализацией документа перед подписанием и защитой от подмены данных при просмотре. Litoria Desktop от Gin Service — с упором на трансграничный документооборот. Все они умеют базовую проверку, различаются деталями: кому-то нужна PDF-подпись, кому-то доверенная визуализация, кому-то почтовый клиент. Подробнее эти различия мы разбираем в материале про программы для подписания документов ЭЦП, где сравниваются функции и сертификация каждой.
Разрыв цепочки сертификатов, протухшая лицензия крипты, не та закрытка — это места, где кадровик чаще всего застревает и теряет полдня. В практике Добыто мы прошли это на сотнях внедрений и собрали типовые сбои в готовый алгоритм. Если у вас подписи массово не проходят, а причину найти не получается — подключим и разберём цепочку по шагам.
Диагностика по носителю: токен, драйвер и хранение ключа
Закрытый ключ может жить в трёх местах: на токене, в реестре компьютера, в облаке удостоверяющего центра либо на мобильном устройстве (как в Госключе). От того, где он лежит, зависит и набор проверок.
Если ключ на токене, диагностику начинают с носителя. Самые ходовые — Рутокен (Lite и ЭЦП 3.0), JaCarta, eSmart. Под каждый нужен свой драйвер: для Рутокена с сайта rutoken.ru, для JaCarta — с сайта Аладдин, для eSmart — со своего ресурса. Нет драйвера — токен просто не определится, и никакая крипта его не увидит. В панели управления токена смотрят, виден ли сертификат, не заблокирован ли PIN, сколько контейнеров на носителе. Токен на 64 КБ вмещает порядка 15 сертификатов, на 128 КБ — около 31, и ненужные можно удалять, носитель многоразовый.
Отдельный нюанс про извлекаемые и неизвлекаемые ключи. На токенах вроде Рутокен ЭЦП 3.0 ключ может генерироваться на борту и никогда не покидать память устройства — такой ключ скопировать нельзя, подпись формируется внутри чипа. Извлекаемый ключ ненадолго подгружается в память компьютера при работе. Для диагностики это важно: неизвлекаемый ключ работает только с КриптоПро CSP версии 5.0 R2 и выше, а на старом провайдере просто не заведётся. Если человек подписывал на одной машине, а на другой не выходит — первым делом сверяют версию крипты.
Ключевое заблуждение, которое мешает диагностике: встроенная криптография на токене — это не то же самое, что установленный КриптоПро CSP. Даже если токен умеет генерировать ключи сам, для большинства информационных систем провайдер всё равно нужно поставить на компьютер и завести лицензию. С внутренним провайдером Рутокена можно авторизоваться на сайте ФНС, а вот отправить отчёт уже не выйдет.
Мария Ж, HR-эксперт с 13-летним стажем:
«Самый частый головняк при онбординге удалёнщика — человек получил подпись, а она ‘не работает’. Лезем смотреть: токен не той версии под крипту, либо вообще пытается с борта подписать там, где нужен серт в реестре. Поэтому мы при выдаче подписи сразу фиксируем, где лежит закрытка и какой провайдер на машине. Это снимает половину будущих затыков.»
Разрыв цепочки сертификатов: как найти и устранить
Это отдельная, очень частая поломка, поэтому выношу её в свой раздел. В цепочке квалифицированной подписи на верхнем уровне всегда стоит Минцифры (головной удостоверяющий центр), ниже — аккредитованный УЦ, выпустивший сертификат, и в самом низу — сертификат конкретного человека. При проверке система строит эту цепочку и проверяет каждое звено, плюс сверяется со списком отозванных сертификатов (СОС).
У квалифицированной подписи корневые сертификаты обычно устанавливаются автоматически при выпуске — на токен или на компьютер. А вот у неквалифицированной подписи (УНЭП) корневые сертификаты система по умолчанию не доверяет и не ставит. Поэтому при подписании НЭП крипто-провайдер часто ругается: не найден корневой сертификат. Цепочка рвётся — подпись не ставится.
Как лечить: открываете сертификат, вкладка «Путь сертификации», находите звено с ошибкой и устанавливаете недостающий корневой сертификат как доверенный. Читать его перед установкой нужно внимательно — после установки система всегда будет доверять этому сертификату. Списки отозванных сертификатов и корневые сертификаты аккредитованных УЦ публикует Минцифры, ссылка на загрузку СОС зашита в самом сертификате.
Образцы документов и инструкции для работы с подписью
Открыть список документов
Диагностика подписи в КЭДО: почему документ висит у работника
В кадровом электронном документообороте набор сбоев свой. Подпись на стороне сотрудника часто не техническая поломка, а особенность канала. Если работник подписывает через Госключ, закрытая часть ключа хранится прямо на его телефоне в приложении. Удалил приложение — доступ к этой подписи потерян, придётся выпускать новую, уже с другим сроком. В диагностике это первый вопрос к работнику: приложение на месте, не переустанавливал ли.
Госключ выпускает усиленную неквалифицированную подпись с пометкой «выданная с использованием инфраструктуры электронного правительства» — такой УНЭП не требует отдельного соглашения сторон, ему доверяют по умолчанию. Для выпуска нужна подтверждённая учётная запись на Госуслугах. Если у работника запись не подтверждена или была удалена — подпись просто не выпустится, и документ будет висеть.
В сервисе Добыто мы реализовали отправку документов в Госключ по API и заложили на этапах виджеты исполнительской дисциплины — кадровик видит, кто не принял приглашение, кто открыл, но не подписал, у кого заканчивается срок подписи. Это, по сути, и есть встроенная диагностика КЭДО: видно, где именно застрял документ, без звонков работнику. Отдельно мы настраиваем автозакрытие этапа по таймауту — если человек не подписал за N часов, документ возвращается кадровику, и тот решает, подписать на бумаге или отправить заново.
Для судебной перспективы есть нюанс, который кадровики недооценивают. Графический штамп подписи на документе юридической силы не несёт — это визуализация для глаз. Значимы исходный документ и файлы подписи. В делах об оспаривании увольнения (а такие были и у Сбера, и у Винлаба) суд проверял именно подтверждение авторства и того, что документ не менялся после подписания. Поэтому при выгрузке из КЭДО для проверки всегда берут юридически значимый архив с файлами подписи, а не PDF со штампиком.
Стоимость сервиса КЭДО Добыто с диагностикой и проверкой подписи
Стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых функций — в том числе видов подписи и электронного архива, где как раз хранятся файлы подписи для последующей проверки. Тарифы считаются за рабочее место в месяц.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив, приоритетная поддержка | от 50 ₽ за сотрудника / мес | неограниченно сотрудников |
| Корпорация — всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, API и кастомные интеграции | По запросу | персональный менеджер |
У тарифа Бизнес действует условие минимальной оплаты — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от численности штата, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее под вашу компанию.
Онлайн-проверка подписи и документов через Добыто
Если под рукой нет ни КриптоПро, ни КриптоАРМ, проверить подпись и подписать документ можно онлайн. Это удобный первый шаг диагностики, когда нужно быстро понять — валидна подпись или нет.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Выводы: на чём держится диагностика электронной подписи
Диагностика подписи — это не магия, а проход по цепочке: носитель, драйвер, криптопровайдер, сертификат, корневые сертификаты, система подписания. Поломка всегда в одном звене, и задача — найти его, а не менять всё подряд. Базовый инструмент — КриптоПро CSP актуальной версии 5.0 R3 (сертификаты до 1 мая 2027 года); для быстрой проверки без установки годятся Госуслуги, но они не видят подпись, встроенную в PDF. Для PDF-подписи нужен КриптоАРМ ГОСТ 6 или Крипто Эксперт.
На практике чаще всего стреляют три вещи: истёкшая демо-лицензия КриптоПро (бесплатна только 90 дней), разрыв цепочки сертификатов у неквалифицированной подписи (корневые не ставятся автоматически) и несовпадение версии провайдера с типом ключа на токене (неизвлекаемый ключ требует КриптоПро 5.0 R2 и выше). Проверяйте свойства сертификата — кому, кем выдан, срок — и путь сертификации в первую очередь. Для юридической значимости держите в уме штамп времени и проверку по списку отозванных сертификатов: без них в суде подпись доказать сложно.
В кадровом документообороте диагностика смещается с техники на канал: подтверждённая учётная запись на Госуслугах, наличие приложения Госключ, видимость этапов согласования. И помните про главное правило для споров: значим исходный документ с файлами подписи, а не графический штамп на PDF.
Часто задаваемые вопросы
Почему сертификат не виден в контейнере КриптоПро?
Можно ли проверить подпись бесплатно и без установки программ?
Что значит «не найден корневой сертификат» при подписании?
Подпись была действительна, а сертификат истёк — документ остаётся легитимным?
Почему подпись работает на одном компьютере и не работает на другом?
Зачем нужны штамп времени и проверка по списку отозванных сертификатов?
Графический штамп подписи на PDF подтверждает подлинность?
Документ в КЭДО завис у работника — что проверить в первую очередь?
Сколько сертификатов помещается на один токен?
Истекла лицензия КриптоПро — это влияет на проверку подписи?
Чем извлекаемый ключ отличается от неизвлекаемого при диагностике?
Как понять, какой именно сертификат выбрать, если их несколько?
Где взять корневые сертификаты и списки отозванных сертификатов?
Вы разобрали, как читать цепочку подписи и каким инструментом снимать конкретный сбой — от носителя до проверки на Госуслугах. На массовых внедрениях диагностика подписи перестаёт быть разовой задачей: сотни сотрудников, разные токены, разные версии крипты, удалёнщики на Госключе. Здесь нужна система, которая сама показывает, где застрял документ.
За время работы сервиса Добыто мы подключили компании от 25 человек до штата в несколько тысяч и в каждом проекте сталкивались с одними и теми же затыками по подписи — поэтому собрали их в готовый алгоритм и встроили контроль прямо в интерфейс кадровика. Подберём конфигурацию под ваш парк носителей и тип подписи, настроим маршруты и проверку.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Виджеты входящих и исполнительской дисциплины: видно, кто не принял приглашение, кто не подписал, у кого заканчивается подпись
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Электронный архив с выгрузкой юридически значимого комплекта: исходный документ плюс файлы подписи
- Готовый коннектор с 1С (ЗУП, КА, бухгалтерия) — ставится без привлечения разработчиков
- Автозакрытие этапа по таймауту — если сотрудник не подписал за N дней, документ возвращается кадровику
- Сопровождение клиента до первых 50 подписаний — ведём до полностью самостоятельной работы