КЭП на рабочих местах: КриптоПро, токены, браузеры и ошибки, которые съедают ваш день

За двенадцать лет в IT-аутсорсинге я не встречал ни одного клиента, у которого электронная подпись заработала с первого раза. Ни одного. Покупают сертификат, берут токен, скачивают КриптоПро — и через полчаса звонят с воплем «ничего не работает». Это не потому что люди некомпетентные. Просто экосистема КЭП в России устроена так, что каждый компонент может конфликтовать с любым другим. Расскажу, как настроить всё по-человечески и что делать, когда что-то идёт не так.

Почему КЭП — это боль, даже если всё куплено

У меня сейчас на поддержке около сорока компаний — бухгалтерии, юрфирмы, небольшие производства, медицинские клиники. Почти везде есть квалифицированная электронная подпись, и почти везде она периодически перестаёт работать. То после обновления Windows сертификат пропадает из списка, то браузер обновился и плагин вдруг несовместим, то бухгалтер пришла с нового ноутбука и не может подписать акт в СБИС. Через это я проходил сотни раз. И каждый раз убеждаюсь: проблемы одни и те же.

Главная причина хаоса — это стек из нескольких независимых компонентов, которые должны работать вместе, но разрабатываются разными компаниями без особой координации. КриптоПро CSP от одного разработчика, токен от другого, браузер от третьего, плагин для браузера от четвёртого, портал ФНС — это вообще отдельная история. И всё это должно каким-то образом сложиться в один работающий пайплайн. Когда что-то ломается — непонятно даже с чего начать. Я понимаю. Сам через это прошёл.

Универсального чеклиста, закрывающего все случаи, не существует. Но есть набор правил, снимающих восемь из десяти проблем. Правильный порядок установки, правильные версии, понимание того, как работает цепочка доверия — и большинство загадочных ошибок перестают быть загадочными. Вот об этом и поговорим.

КриптоПро CSP: лицензии, версии и грабли при установке

КриптоПро CSP — это криптографический провайдер, без которого КЭП в России не работает ни в одном легальном решении. Сейчас актуальны версии 4.0 и 5.0. Версия 5.0 нужна для ГОСТ Р 34.10-2012 — а большинство новых сертификатов с 2022 года именно на нём. На Windows 7 пятёрка не встанет физически. Если у клиента ещё живёт Windows 7 — это отдельная проблема, и КЭП здесь не самая главная. Сначала апгрейд ОС, потом разговор про подпись.

Про лицензии. Бессрочная лицензия на одно рабочее место стоит около 1 400 рублей. Есть трёхмесячный триал при установке. Многие экономят, работают на триалах, потом забывают продлить — и потом паника «почему подпись не работает». Я своим клиентам говорю прямо: 1 400 рублей — это дешевле одного часа моей работы, которое я трачу на диагностику истёкшего триала. Купите сразу. Раз и навсегда. Если КриптоПро стоит на сервере — нужна серверная лицензия. Другой ценник, 10 000–12 000 рублей за пять одновременных пользовательских сессий.

Порядок установки — это критично, и здесь люди ошибаются постоянно. Правильно так: сначала устанавливаете драйвер токена, потом КриптоПро CSP, потом вставляете токен и через интерфейс КриптоПро устанавливаете сертификат в хранилище Windows. Если делать в другом порядке — бывают проблемы с тем, что CSP не видит контейнер на токене. Не всегда, но достаточно регулярно, чтобы соблюдать последовательность. Ещё момент: после установки КриптоПро перезагружайте машину. Даже если кажется, что всё заработало без неё — перезагрузите. Часть компонентов без этого работает нестабильно.

Токены: Rutoken, eToken, JaCarta — что брать и как не купить то, что не поддерживается

На рынке три основных игрока. Rutoken ЭЦП 2.0 от компании «Актив» — самый распространённый, стоит 1 200–1 800 рублей. JaCarta ГОСТ от «Аладдин Р.Д.» — чуть дороже, 2 000–3 000 рублей, хорошо подходит для корпоративных сред с централизованным управлением. SafeNet eToken встречается реже, в основном в старых внедрениях. Все три работают с КриптоПро, но при покупке уточняйте у вашего УЦ, какой именно формат они поддерживают и выдают.

Главная ошибка при покупке — взять «просто токен» не глядя. Есть токены без встроенной криптографии — по сути флешка с сертификатом, ключ хранится в памяти устройства и может быть скопирован. И есть токены со встроенной криптографией, где закрытый ключ физически не покидает устройство. УЦ ФНС с 2022 года выдаёт ключ только на токен с неизвлекаемым ключом — Rutoken ЭЦП 2.0, JaCarta ГОСТ или Esmart Token ГОСТ. Попытка скопировать такой ключ на другой носитель закончится ничем. Это сделано намеренно. Один токен — один руководитель — одна КЭП.

Про драйверы. Для Rutoken — скачиваете Rutoken Drivers с официального сайта компании «Актив», устанавливаете, вставляете — токен определяется как устройство в диспетчере. Для JaCarta — Единый клиент JaCarta. Казалось бы, просто. Но я видел ситуации, когда предыдущий сисадмин поставил старую версию драйвера, конфликтующую с актуальным КриптоПро. Или на машине стоят драйверы и Rutoken, и JaCarta одновременно — а нужен только один. Лишние драйверы — половина всех проблем с токенами. Перед настройкой чистим всё лишнее и ставим только нужное.

Браузеры и плагины: почему «всё установлено», а подпись не работает

Для работы с КЭП через браузер нужен либо специальный плагин, либо специальный браузер. КриптоПро ЭЦП Browser plug-in устанавливается для Chrome, Firefox, Edge на базе Chromium. Но это два отдельных компонента. Первый — сам plug-in, устанавливается как приложение на уровне системы. Второй — расширение для браузера, которое нужно поставить отдельно из магазина расширений или с сайта КриптоПро. Если есть только один компонент — не работает ничего. Пользователи часто ставят только расширение и удивляются, почему кнопка подписи неактивна.

Яндекс.Браузер с расширением CryptoPro Extension for CAdES Browser Plug-in работает стабильнее всего — это то, что я рекомендую клиентам по умолчанию. Почему Яндекс? Они официально поддерживают работу с российской криптографией и регулярно тестируют совместимость с актуальными версиями КриптоПро. Альтернатива — Chromium-ГОСТ, специальный браузер со встроенной поддержкой ГОСТ TLS. Он нужен, когда ведомственный портал работает только через ГОСТ-шифрование. Клиент говорит «сайт вообще не открывается, просто белый экран» — часто именно это. Обычный Chrome туда физически не подключится.

Firefox до сих пор встречается в корпоративных сетях, особенно там, где ИТ-политику не обновляли несколько лет. Плагин его поддерживает, но есть деталь: Firefox ESR (Extended Support Release) и обычный Firefox ведут себя немного по-разному в части расширений и политик безопасности. Корпоративные среды чаще стоят на ESR ради стабильности. Проверяйте версию. У меня был случай: клиент час бился с плагином, всё переустанавливал, — а оказалось, что стоит Firefox ESR с GPO-политикой, запрещающей сторонние расширения. Пять минут в редакторе групповых политик — и всё заработало.

Типичные ошибки при подписании в ЭДО — СБИС, Диадок, Контур

Самая частая ошибка — «Не найден ни один действующий сертификат». Это либо сертификат не установлен в хранилище «Личные» текущего пользователя Windows, либо он установлен, но истёк, либо токен просто не вставлен в USB. Звучит банально. Каждый третий звонок — именно об этом. Проверяем: открываем КриптоПро CSP, вкладка «Сертификаты», смотрим что там и до какого числа действует. Параллельно — токен в гнездо USB и ждём, пока Windows его определит. Пятьдесят процентов случаев закрывает именно этот шаг.

«Ошибка при обращении к закрытому ключу» или «Неверный PIN-код» — тут важно знать конкретику. У Rutoken по умолчанию PIN пользователя 12345678. Некоторые удостоверяющие центры меняют его при выдаче, некоторые — нет. Три неверных попытки — токен блокируется. Разблокировка через КриптоПро с PIN-кодом администратора (по умолчанию для Rutoken — 87654321). Если и его не знают — сброс токена, а ключ при этом физически уничтожается. У нас был случай с клиентом: бухгалтер ввела неверный PIN трижды, мы потом полтора часа выясняли у УЦ, менялся ли PIN при выдаче. Не менялся. Разблокировали. Нервы, правда, потратили изрядно.

«Сертификат не является доверенным» при подписании в Диадоке или СБИС — это вопрос цепочки доверия. Промежуточные сертификаты вашего УЦ должны быть установлены на компьютере. Если их нет — Windows не может построить цепочку до корневого сертификата и считает подпись недействительной. Лечится просто: на сайте своего УЦ скачиваете их корневой и промежуточный сертификаты, устанавливаете в соответствующие хранилища — корневой в «Доверенные корневые УЦ», промежуточный в «Промежуточные УЦ». Проблема уходит. Но большинство пользователей об этом не знают, потому что УЦ при выдаче об этом не предупреждает.

Госпорталы: ФНС, Госуслуги и почему одна подпись не подходит везде

Личный кабинет ФНС для юридических лиц. С 2022 года налоговая сама выдаёт КЭП для руководителей организаций и ИП — бесплатно, через МФЦ или инспекцию. Хорошая новость. Плохая — сертификат выдаётся только на аккредитованный токен с неизвлекаемым ключом, скопировать его куда-то ещё нельзя. Один токен — один руководитель. Если директор уволился — новый получает свою КЭП заново, старая аннулируется. Это понимают далеко не все. Приходят и спрашивают: «А можно просто передать токен новому директору?» Нет. Нельзя.

Госуслуги для организаций — тут регулярная путаница. Вход в личный кабинет юрлица через ЕСИА требует КЭП руководителя или сотрудника с полномочиями, делегированными через ЕСИА. КЭП сотрудника, не зарегистрированного как уполномоченного представителя, не подойдёт. Клиенты приходят с вопросом «почему моя КЭП не принимается на Госуслугах» — и выясняется либо то, что используется подпись не того человека, либо что полномочия не делегированы в ЕСИА. Это не техническая проблема. Настройками КриптоПро её не решить. Идёте в ЕСИА, создаёте учётную запись организации, добавляете сотрудника с нужными правами — и только потом он может использовать свою КЭП.

ФНС предоставляет на своём сайте инструмент диагностики — специальная страница, которая проверяет наличие КриптоПро, плагина, сертификатов и доступность портала. Пользуйтесь ею в первую очередь при любой проблеме. Она прямо пишет: «КриптоПро не установлен» или «плагин не обнаружен». Экономит много времени. Но бывает ситуация, когда диагностика показывает «всё в порядке», а вход через КЭП всё равно не проходит. Тогда идём в Просмотр событий Windows — раздел «Журналы Windows», подраздел «Приложение». Там обычно конкретная ошибка с кодом, по которому уже можно искать причину.

RDP и терминальные серверы: как работать с КЭП удалённо

Популярная схема у наших клиентов — Windows Server с 1С, к которому бухгалтеры подключаются по RDP из дома или с ноутбуков. Удобно. Но токен у бухгалтера физически на руках, а подписывать нужно в сессии на сервере. Как? Вариантов несколько. Первый и самый простой — проброс USB через RDP. В настройках клиента mstsc на вкладке «Локальные ресурсы» включаете «Другие поддерживаемые устройства», и токен появляется в удалённой сессии как локальное устройство. Работает не со всеми токенами. Требует установки нужного драйвера на стороне сервера.

Второй вариант — USB over IP. Программные решения вроде USB Network Gate или аналогов позволяют подключить физический токен к сети и использовать его из удалённых сессий. Токен у одного пользователя, но доступ к нему по очереди могут получать другие. Дороже — лицензия USB over IP стоит от 3 000 рублей и выше в зависимости от количества устройств — но надёжнее для постоянной ежедневной работы. Третий вариант — хранить ключ в реестре сервера, если токен это позволяет. Но здесь возникают вопросы безопасности: ключ на сервере доступен всем, у кого есть доступ к серверу. Для большинства малых компаний — приемлемый риск, но осознанный.

Лицензирование КриптоПро на терминальном сервере — отдельная история. Клиентская лицензия покрывает одно рабочее место. На терминальном сервере пять человек работают одновременно — нужна серверная лицензия. Стоит около 10 000–12 000 рублей за пять сессий. Звучит как много по сравнению с 1 400 за клиентскую. Но подумайте иначе: один день простоя четырёх бухгалтеров в горячий квартальный период обходится дороже. Я видел компании, где серверная лицензия не была куплена — работал один человек, второй получал ошибку и звал меня. Час моего времени по часовой ставке, помноженный на частоту обращений, давно бы окупил эту лицензию.

Частые вопросы

Можно ли использовать одну КЭП на нескольких компьютерах одновременно?
Если ключ хранится на токене — вставить его физически можно только в один компьютер одновременно. Для КЭП от ФНС ключ неизвлекаемый, скопировать его невозможно в принципе. Если задача — работать с одним сертификатом с нескольких рабочих мест, используют проброс USB через RDP или USB over IP — токен физически один, доступ к нему возможен удалённо. Копировать сертификат в обход защиты незаконно и технически невозможно для ФНС-ного ключа.

Сертификат не отображается при подписании в СБИС или Диадоке. Что делать?
Сначала открываем КриптоПро CSP, вкладка «Сертификаты» — проверяем, что сертификат там есть и не истёк. Если нет — устанавливаем его из токена через меню «Установить сертификат». Если есть, но в ЭДО-системе не отображается — проверяем браузер: установлен ли плагин КриптоПро и расширение к нему. Попробуйте перезапустить браузер после установки плагина. Если не помогает — проверяем промежуточные сертификаты УЦ: их нужно скачать с сайта вашего УЦ и установить в хранилища Windows.

Чем КриптоПро CSP отличается от ViPNet CSP и что выбрать?
Оба — российские криптопровайдеры, реализующие ГОСТ-алгоритмы, оба сертифицированы ФСБ. КриптоПро CSP — де-факто стандарт: с ним работают все российские ЭДО-системы, госпорталы, 1С, Диадок, СБИС, Контур. ViPNet CSP используется в основном там, где внедрён ViPNet как корпоративный VPN — это специфическая экосистема. Если у вас нет ViPNet в инфраструктуре — берите КриптоПро, без вопросов. Попытка подписать в Диадоке через ViPNet CSP там, где система ждёт КриптоПро, обычно заканчивается ошибкой.

Токен определяется в диспетчере устройств, но КриптоПро его не видит. Почему?
Скорее всего, проблема в порядке установки или конфликте драйверов. Извлеките токен, полностью удалите драйверы токена, перезагрузите компьютер, установите актуальный драйвер с официального сайта производителя, вставьте токен. Если не помогло — откройте КриптоПро CSP, вкладка «Оборудование», кнопка «Настроить считыватели», проверьте, что считыватель вашего типа токена там присутствует и активен. После обновления КриптоПро считыватели иногда слетают — нужно добавить их вручную.