КриптоПро и СКЗИ: установка, настройка и устранение сбоев — чеклист для 1С, СБИС и банк-клиента

Каждую неделю кто-нибудь из клиентов пишет в час дня: «Сдаём декларацию, КриптоПро не работает, что делать?». За восемь лет в айтишном аутсорсе я насмотрелся на всё — истёкшие лицензии в день квартальной отчётности, слетевшие контейнеры после Windows Update, сертификаты, которые видит 1С, но не видит СБИС. Эта статья — мой рабочий чеклист, который я дал бы любому своему сотруднику в первый день работы.

Зачем нужен КриптоПро — и почему это не просто «подписалка»

КриптоПро CSP — это криптографический провайдер, без которого в России не работает электронная подпись. Юридически значимый документ. ЭЦП на нём. Отчётность в налоговую, обмен с банком, СБИС, Диадок, 1С:ЭДО, маркировка Честный ЗНАК — всё завязано на один продукт компании «КриптоПро», разрабатываемый по российским стандартам ГОСТ с 2000 года.

Многие думают, что КриптоПро — это просто «программка для подписи». Нет. Это криптографическая библиотека, работающая на уровне операционной системы. Она интегрируется с браузером, с 1С, с почтовым клиентом, с банковским ПО. Когда что-то идёт не так — ломается сразу всё и одновременно. Это и делает сбои такими болезненными.

У нас в практике был такой случай. Бухгалтерия юридической фирмы, 12 человек, сисадмина нет, 1С на терминальном сервере Windows Server 2019. Обновили Windows — слетел профиль одной пользователи, вместе с ним пропал контейнер с сертификатом. Два часа паники, три звонка в техподдержку КриптоПро. Там, напомню, очередь. Мы восстановили за 20 минут, потому что знали, где смотреть. Знаете, где? Расскажу дальше.

Что проверить до установки — чтобы потом не переделывать

Версия Windows. КриптоПро CSP 5.0 работает с Windows 10, Windows 11, Windows Server 2016, 2019 и 2022. На Windows 7 официально поддерживается только версия 4.0, которую сами же разработчики уже не обновляют. Если у клиента Windows 7 в 2024 году — это отдельный разговор про обновление парка, а не про КриптоПро.

Разрядность. Это важно. 32-битный КриптоПро на 64-битной Windows работает, но с ограничениями. Для 1С критично: если у вас 64-битная 1С — ставьте 64-битный КриптоПро. Перепутали разрядность — получите «СКЗИ не найдено» в самый неподходящий момент. Проверьте разрядность своей 1С через меню «Справка» — «О программе».

Лицензия и её тип. Однопользовательская лицензия КриптоПро CSP стоит около 1 350 рублей. Серверная — для терминального сервера — от 3 000 рублей за рабочее место, есть пакеты от 5 мест. Не пытайтесь ставить клиентскую лицензию на терминальный сервер: это нарушение лицензионного соглашения и гарантированные проблемы при аудите. Я видел компании, которые экономили эти 2 000 рублей разницы и потом объяснялись с проверяющими. Экономия не вышла.

Установка КриптоПро CSP: пошагово и без лишнего

Скачивайте дистрибутив только с официального сайта cryptopro.ru. Никаких «раздач» и сборников с торрентов — там либо устаревшая версия, либо что-то лишнее в комплекте. Перед установкой закройте всё: браузеры, 1С, СБИС, банк-клиент. Это не просто рекомендация — иначе установщик ругается или ставится не полностью, а потом попробуй разберись, что именно не так.

Если на машине уже стоит старый КриптоПро — удалите его через «Программы и компоненты», перезагрузите, и только потом ставьте новый. Оставить старый и поставить поверх — классика жанра. После неё система начинает вести себя непредсказуемо: один компонент от старой версии, другой от новой, и никто не понимает, почему не работает. Перезагрузка после удаления обязательна. Это минута, которая экономит час разборок.

Сам установщик запускаете от имени администратора. Выбираете компоненты: обязательно «КриптоПро CSP» и «Средства для работы с сертификатами». Плагин для браузера — это отдельный дистрибутив, называется «КриптоПро ЭЦП Browser plug-in», его скачиваете отдельно. После установки CSP — перезагрузка. Да, знаю, что все её пропускают. И потом удивляются, почему в браузере «плагин не отвечает». Перезагружайтесь. Всегда.

Сертификаты и контейнеры — где чаще всего ошибаются

Сертификат и контейнер — не одно и то же. Контейнер — это закрытый ключ. Хранится на токене (Рутокен, eToken, JaCarta) или в реестре Windows. Сертификат — публичная часть, она устанавливается в хранилище Windows. Нужны оба. Нет одного — подпись не работает. Это фундаментальный момент, который объясняет большинство обращений к нам.

Получили новый сертификат в удостоверяющем центре. Что дальше? На токене уже есть контейнер с закрытым ключом. Открываете КриптоПро — «Просмотреть сертификаты в контейнере» — выбираете нужный контейнер — нажимаете «Установить». Система предлагает поместить сертификат в личное хранилище. Соглашаетесь. Звучит просто. На практике половина ошибок именно здесь: ставят в хранилище «Компьютера» вместо «Пользователя» — и 1С сертификат не видит вообще.

Цепочка доверия — ещё одно больное место. После установки личного сертификата нужно установить корневые сертификаты удостоверяющего центра. Они должны быть в «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации». Без этого подпись будет помечена как «недоверенная». Каждый УЦ выкладывает свои корневые сертификаты на сайте — скачиваете, двойной клик, устанавливаете в нужное хранилище. Проверяете: двойной клик по личному сертификату — вкладка «Путь сертификации». Должно быть написано «Этот сертификат действителен». Если нет — ищите, какого промежуточного не хватает.

Настройка для 1С — что важно сделать правильно

В 1С электронная подпись нужна для 1С:Отчётности, 1С:ЭДО и обмена с маркировкой Честный ЗНАК. Для каждого — свои настройки внутри конфигурации, но фундамент один: криптопровайдер должен быть настроен в параметрах программы. Идёте в «Администрирование» — «Обмен электронными документами» или в параметры отчётности — раздел «Электронная подпись и шифрование».

В настройках добавляете криптопровайдер — выбираете «КриптоПро CSP» из списка. Потом добавляете сертификат. Важно: добавлять нужно тот сертификат, который уже установлен в Windows для текущего пользователя. Если его там нет — 1С его не увидит, и никакие манипуляции внутри программы не помогут. Сначала устанавливаем в Windows через КриптоПро. Только потом добавляем в 1С.

Если 1С работает на терминальном сервере, а токен подключён к локальному компьютеру пользователя — нужно пробросить USB через RDP. В настройках RDP-клиента (mstsc) на вкладке «Локальные ресурсы» включаете «Другие устройства». Рутокен S и JaCarta определяются через раздел «Смарт-карты» — там отдельная галочка. Рутокен ЭЦП 2.0 — через USB. Путаница здесь регулярная, проверяйте практически: подключились по RDP, открыли КриптоПро на сервере — видите контейнер? Если видите — 1С тоже увидит. Если нет — проблема в пробросе, а не в настройках самой 1С.

СБИС и банк-клиент — у каждого своя специфика

СБИС в браузере работает через плагин КриптоПро ЭЦП Browser plug-in версии 2.0. Ставите его отдельно — с сайта СБИС или с cryptopro.ru. После установки перезагружаете браузер. В Chrome нужно ещё вручную включить расширение: значок пазла в правом верхнем углу — найти расширение КриптоПро Browser plug-in — включить. Потом заходите в СБИС, при запросе доступа от плагина — разрешаете. Пропустили хотя бы один шаг — не работает.

Частая ошибка в СБИС: «Не найден ни один действующий сертификат». При этом в КриптоПро сертификат есть, в 1С работает. Смотрим: от какого пользователя Windows запущен браузер, и для того же ли пользователя установлен сертификат? Если совпадает — проверяем дату. Если и дата в порядке — идём в Диспетчер задач, вкладка «Службы», ищем «CryptoPro Revocation Provider» и «Служба хранения ключей». Оба должны быть запущены. Остановлены — запускаем, обновляем страницу СБИС.

Банк-клиенты — их много, и у каждого свои причуды. Сбербанк Бизнес Онлайн, Альфа-Банк Корпоративный, ВТБ, Точка — все используют КриптоПро, но каждый по-своему настраивает совместимость с версиями браузеров и плагинов. Общее правило: читайте инструкцию конкретного банка, именно ту, что на его официальном сайте. У одного клиента Альфа-Банк работал только в Firefox 115, хотя Chrome казался ничуть не хуже. После настройки — сразу проверяйте на тестовом платеже или запросе выписки. Не ждите реального платежа.

Типовые сбои и как их чинить — без звонка в техподдержку

«Ошибка при обращении к провайдеру» или «СКЗИ не найдено». Алгоритм такой. Шаг первый: открываем панель КриптоПро — есть ли там что-то, не выдаёт ли сразу ошибку? Шаг второй: Диспетчер задач — «Службы» — ищем все службы КриптоПро, смотрим статус. Остановлены — запускаем. Шаг третий: проверяем лицензию в интерфейсе КриптоПро на вкладке «Лицензия». Лицензия слетает после переустановки Windows, клонирования диска или замены железа. Слетела — нужно ввести серийный номер заново. Поэтому мы ведём для всех клиентов реестр: серийник, дата покупки, к какой машине привязан, когда истекает. Это спасает минимум раз в год.

«Не удаётся построить цепочку сертификатов для доверенного корневого центра». Эта ошибка — про отсутствующие корневые или промежуточные сертификаты УЦ. Заходим на сайт удостоверяющего центра, который выдал подпись, скачиваем их корневые сертификаты. Устанавливаем: двойной клик на файл — «Установить» — «Местный компьютер» — помещаем в «Доверенные корневые центры сертификации». Промежуточные — туда же, но в хранилище «Промежуточные центры». Потом проверяем путь сертификации личного сертификата — должны быть зелёные галочки по всей цепочке.

После Windows Update пропали контейнеры. Это случается, когда контейнеры хранились в реестре, а не на токене. Windows обновился, профиль пользователя «переехал», ключи исчезли. Если контейнер был на токене — просто переподключите его и переустановите сертификат. Если контейнер хранился в реестре без резервной копии — идёте в УЦ за новой подписью. Вывод один: закрытый ключ держите на физическом токене, не в реестре. Рутокен или JaCarta стоят 1 500–2 500 рублей. Один раз. Ещё совет: антивирус. Касперский, Dr.Web, ESET умеют блокировать работу криптопровайдера «из лучших побуждений». Если всё настроено правильно, а КриптоПро всё равно не работает — временно выключите антивирус и проверьте. Заработало? Добавляйте папки КриптоПро в исключения по списку из официальной документации.

Частые вопросы

Нужно ли переустанавливать КриптоПро при получении нового сертификата?
Нет, сам КриптоПро переустанавливать не нужно — он остаётся тем же. Нужно только установить новый сертификат: вставить новый токен, открыть КриптоПро, найти контейнер с новым ключом и установить сертификат в личное хранилище пользователя. Если поменялся удостоверяющий центр — дополнительно установите их корневые сертификаты, иначе получите ошибку цепочки доверия.

Можно ли использовать одну лицензию КриптоПро на нескольких компьютерах?
Нет. Однопользовательская лицензия КриптоПро CSP привязана к одному рабочему месту. Для терминального сервера нужна серверная лицензия — отдельная и дороже. Если поставить клиентскую лицензию на сервер с несколькими пользователями, рано или поздно КриптоПро начнёт выдавать ошибки лицензирования именно тогда, когда меньше всего нужно.

КриптоПро видит токен и контейнер, но 1С не находит сертификат — почему?
Скорее всего, сертификат не установлен в личное хранилище пользователя Windows. В КриптоПро можно видеть контейнер с ключом, а сам сертификат при этом не установлен. Откройте КриптоПро — «Просмотреть сертификаты в контейнере» — выберите контейнер — нажмите «Установить». После этого зайдите в настройки электронной подписи в 1С и добавьте сертификат заново.

Как проверить, что подпись работает, не отправляя реальный документ?
В КриптоПро есть встроенный инструмент: «Инструменты» — «Создать подпись». Выбираете любой тестовый файл, подписываете, потом тут же проверяете подпись. Если процесс прошёл без ошибок — СКЗИ работает корректно. В СБИС можно попробовать подписать черновик документа без отправки. В банк-клиенте — запросить выписку: она тоже подписывается.