Смена владельца КриптоПро и новые правила получения электронной подписи. Федеральная налоговая служба и компания Taxcom ответили на вопросы пользователей

Причины для замены сертификата электронной подписи

Основные причины для замены сертификатов ЭЦП:

• плановый перевыпуск, связанный с окончанием срока действия;
• обнаружение ошибок в указанных реквизитах;
• смена владельца или изменение реквизитов организации;
• поломка носителя ЭП;
• утеря или кража носителя ЭП;
• ошибка в выборе тарифного плана.

Из нашей статьи вы узнаете:

Электронная подпись — это аналог вашей рукописной подписи. Сертификат ЭП содержит
информацию о владельце и об организации, за которой он закреплён. Такая подпись даёт возможность получать
государственные услуги, удалённо отправлять отчётность, осуществлять юридически значимый электронный
документооборот, участвовать в электронных торгах.

Обычно сертификат выдаётся на 1 год, после чего нужно производить замену сертификата
электронной подписи. Но это не единственная причина для перевыпуска ключа электронной подписи.

Для этого необходимо проделать следующие действия:
• Выбрать меню «Пуск» / «Панель управления» / «КриптоПро CSP». Перейти на вкладку «Сервис» и нажать на кнопку «Просмотреть сертификаты в контейнере» (см. рис.

Рис. Окно «Свойства КриптоПро CSP».

• В открывшемся окне нажать на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажать на кнопку «Ок» (см. рис.

Рис. Окно выбора контейнера для просмотра.

• В следующем окне кликнуть по кнопке «Далее». • В окне «Сертификат для установки» необходимо нажать кнопку «Свойства» (см. рис.

Рис. Окно просмотра сертификата

• В открывшемся файле сертификата следует перейти на вкладку «Состав» и нажать кнопку «Копировать в файл» (см. рис.

Рис. Вкладка «Состав».

• В открывшемся окне «Мастер экспорта сертификатов» нажать на кнопку «Далее». Затем отметить пункт «Нет, не экспортировать закрытый ключ» и выбрать «Далее» (см. рис.

Рис. Параметры экспорта закрытого ключа.

• В окне «Формат экспортируемого файла» выбрать «Файлы X. 509 (. CER) в кодировке DER» и нажать на кнопку «Далее» (см. рис.

Рис. Формат экспортируемого файла.

• В следующем окне необходимо кликнуть по кнопке «Обзор», вручную указать имя (ФИО владельца сертификата) и каталог для сохранения файла. Затем нажать на кнопку «Сохранить» (см. рис.

Рис. Сохранение файла.

• В следующем окне нажать на кнопку «Далее», затем «Готово». Дождаться сообщения об успешном экспорте. Закрыть все окна программы КриптоПро.

Сертификат ключа проверки электронной подписи имеет ограниченный срок действия — он составляет 12 месяцев для юридических и физических лиц. По истечении этого периода сертификат нужно менять. Как это сделать?

Если нужна плановая смена ЭП

Замена считается плановой, если просто истекает срок действия сертификата, при этом ключевой носитель (токен) не утерян, а реквизиты ваших юридических документов и личных данных не поменялись. Удостоверяющий центр СКБ Контур заранее присылает уведомление о необходимости получить новый сертификат.

При плановой замене вы получите новый сертификат электронной подписи (ЭЦП), обратившись в свой удостоверяющий центр по той же схеме, что и при первичном получении сертификата:

• Шаг 1. Написать заявление на выпуск. Если срок действия сертификата электронной подписи не истек, нужно будет написать заявление на его отзыв, чтобы прекратить действие старого.
• Шаг 2. Прийти в сервисный центр с оригиналами документов или их юридически заверенными копиями. При плановой замене все сведения о владельце сертификата должны совпадать со сведениями в старом сертификате.
• Шаг 3. Оплатить выставленный счет и выслать специалисту сканы документов (список можно уточнить у специалистов).
• Шаг 4. Получить новый сертификат на токен.

Если замена внеплановая

Внеплановой можно назвать такую ситуацию:

• Утерян или сломался ключевой носитель, при этом не сделана копия в реестре или на другой носитель.
• Подпись скомпрометирована: есть риск, что ключ электронной подписи стал доступен злоумышленнику.
• Изменились данные в сертификате (ФИО и/или должность владельца сертификата, наименование, ИНН, ОГРН организации, юридический адрес организации, и т. д.).

Во всех трех случаях, прежде всего, нужно отозвать старый сертификат и написать заявление на выпуск нового. В ЦУ СКБ Контур отзыв старого и выдача нового происходят по одному заявлению.

Если нет страховки на такие случаи, то за перевыпуск придется заплатить. В Удостоверяющем центре СКБ Контур есть услуга «Сопровождение сертификата», воспользовавшись которой можно бесплатно перевыпустить сертификат до трех раз в год.

Выпустить новый сертификат из-за того, что в нем изменились данные, можно только после официального изменения реквизитов организации. То есть вместе с комплектом документов на внеплановую замену сертификата нужно предоставить оригинал информационного письма с подписью действующего руководителя и печатью организации (при наличии), в котором будут указаны новые реквизиты организации.

Пакет документов для перевыпуска сертификата (оригиналы или юридически заверенные копии):

• Заявление на изготовление сертификата. Все заявления заполняются и подписываются от лица действующего руководителя или уполномоченного сотрудника, у которого есть право подписи таких документов. Право должно быть подтверждено доверенностью или приказом — их тоже надо будет предоставить.
• Заявление на отзыв прежнего сертификата. Данное заявление необходимо, только если срок действия сертификата электронной подписи не истек. В УЦ СКБ Контур сертификат отзывается и выдается по одному заявлению.
• Копию документа, подтверждающего вносимые в сертификат данные. Предоставляется в случае, если данные изменились.

После получения заявления, нужно будет прийти в сервисный центр для получения нового сертификата.

Для чего нужно СКЗИ КриптоПро?КриптоПро CSP (Cryptography Service Provider) – это криптопровайдер для программ подписи и шифрования, без которых подписание документов электронной подписью невозможно. Средство криптозащиты (СКЗИ) «КриптоПро CSP» понадобится пользователю для работы с ЭП, он позволяет создавать контейнеры ЭП, шифровать и защищать данные. ↓ Как установить КриптоПро?
↓ Как установить ЭП для самостоятельной работы?
↓ Как скопировать сертификат электронной подписи?
↓ Как проверить срок окончания сертификата подписи?
↓ В каком случае осуществляется перевыпуск ЭП?Как установить КриптоПро?

• Для скачивания файла установки зарегистрируйтесь на сайте, это бесплатно. Введите Email, пароль, ваши Ф.И.О. и контактные данные (рис.2). Дайте согласие на обработку персональных данных. Нажмите «Регистрация».
• Запустите установочный файл CSPSetup.exe. Нажмите «Установить» (рис.3). При купленной лицензии введите данные своей компании с бланка лицензии.

Как скопировать сертификат электронной подписи?Если ваш сертификат является экспортируемым, то его можно скопировать на другой носитель или в Реестр вашего ПК. Для этого:

Как проверить срок окончания сертификата подписи?Узнать срок окончания ЭП можно двумя способами:1й способ: В программе «КриптоПро CSP» открыть вкладку Сервис, нажать кнопку <Посмотреть сертификаты в контейнере>, затем <Обзор>, выбрать нужный сертификат. Кнопка Далее> — в строчке «Действителен по» будет дата и время окончания данного сертификата (рис. 2й способ: В браузере Internet Explorer: Сервис -> Свойства обозревателя -> Содержание -> Сертификаты в закладке «Личные» (рис. Выберите из списка нужный сертификат, в подробной информации о нем можно увидеть срок действия (рис. В каком случае осуществляется перевыпуск ЭП?Сертификаты ключей ЭП, выданные сотруднику, как правило, действительны в течение 12-15 месяцев с момента их генерации (в зависимости от УЦ). Плановый перевыпуск ЭП осуществляется по истечении этого срока действия ЭП. К внеплановому перевыпуску может относиться:

• утеря или выход из строя ключевого носителя;
• блокировка пароля ключевого носителя из-за многократного неверного ввода пароля;
• смена наименования/формы собственности юридического лица в ЕГРЮЛ;
• смена адреса местонахождения общества/ИП;
• смена фамилии сотрудника-владельца ЭП и т.д.

Бывают ситуации, когда вам нужно восстановить свою электронную подпись, например, если вы ее потеряли или случайно удалили. В статье ответим на вопрос, можно ли восстановить электронную подпись, что делать, если вы ее потеряли или кто-то завладел ею без вашего согласия.

Можно ли восстановить электронную подпись?

Сперва ответим кратко: восстановить электронную подпись (ЭП или ЭЦП) нельзя — необходимо получать новую. За редкими исключениями.

А теперь разберемся, почему восстановление ЭП невозможно и какие исключения все-таки есть.

Электронная подпись состоит из нескольких элементов:

• Сертификат ЭП — файл, который выдает удостоверяющий центр. В нем указаны ФИО владельца, ИНН и данные организации, если сертификат выдается на юрлицо.
• Ключи ЭП: открытый (общедоступный) и закрытый (доступен только владельцу) — файлы, которые пользователь генерирует сам в момент выпуска электронной подписи.
• Носитель — токен, на котором хранят ключи, а также сертификат. Носитель часто похож на флешку.

Обычно восстановление электронной подписи ищут те, кто удалил ключи ЭП или потерял носитель, на который были записаны ключи.

Удалил электронную подпись

Если вы случайно удалили все файлы ЭП, то они стерлись из памяти компьютера безвозвратно. Это сделано для безопасности персональных данных владельца и для его защиты от мошенников.

• Восстановить удаленные ключи ЭП можно только в том случае, если у вас есть их копия. Например, если вы удалили файлы подписи с компьютера, но их копия сохранилась на токене. Тогда их можно заново установить.
• Восстановить можно только сертификат ЭП, если вы удалили его не из памяти компьютера, а из отдельного приложения. Например, удаленный из браузера сертификат можно переустановить через программу КриптоПро CSP.

Потерял электронную подпись

Потерянную электронную подпись восстановить также не получится. Если вы потеряли токен, то вы потеряли ключи электронной подписи. Закрытый и открытый ключи — это набор уникальных цифровых символов, и сгенерировать повторно точно такие же не получится. Поэтому восстановить прежнюю ЭП невозможно — придется выпустить новую.

В этой ситуации исключений нет.

Восстановить электронную подпись нельзя — нужно оформлять новую электронную подпись. Чтобы подобрать ЭП, обратитесь за консультацией к нашим менеджерам.

Получить электронную подпись

Что делать, если вы потеряли ЭП

Если вы потеряли токен, подозреваете, что ЭП скомпрометирована или уверены, что вашей подписью завладел другой человек, то сертификат нужно срочно отозвать. Отзыв — это прекращение действия электронной подписи, ее блокировка.

Даже если вы спустя какое-то время нашли токен и еще не отозвали сертификат, мы рекомендуем отозвать его и выпустить новый. Злоумышленники могли воспользоваться сертификатом за время его отсутствия и подписать документы от вашего имени. Потом будет сложно доказать, что эти документы подписали не вы.

По этой же причине мы не рекомендуем делать копии ключей электронной подписи или относиться к ним особенно бережно. Если потеряется одна из копий токена с ключами ЭП — это тоже будет считаться компрометацией, при которой рекомендуется аннулировать сертификат. Чем быстрее вы это сделаете, тем меньше операций возможный злоумышленник успеет провести от вашего имени.

Как отозвать сертификат ЭП

Подайте заявление на аннулирование ЭП или ЭЦП

Бланк для заполнения можно запросить в том удостоверяющем центре, где вам выдали сертификат ЭП. Для клиентов Контура шаблон заявления опубликован на сайте в разделе «Документы».

В заявлении надо указать серийный номер сертификата. Узнать его можно через программу «КриптоПро CSP»:

• открыть программу «КриптоПро CSP» на компьютере;
• выбрать вкладку «Сервис» и нажать кнопку «Просмотреть сертификаты в контейнере»;
• в открывшемся окне нажать кнопку «Обзор», выбрать нужный ключ из списка, подтвердить выбор и нажать кнопку «Далее»;
• откроется окно, где будет указан серийный номер.

Если сертификат еще не был установлен на компьютер, то заполнить заявление помогут специалисты того удостоверяющего центра, в котором вы его получали.

Принесите заполненное заявление в офис УЦ лично.

Отзыв сертификата — такая же важная процедура, как и его выдача. Специалисты УЦ должны идентифицировать владельца перед отзывом, поэтому отправить вместо себя доверенное лицо нельзя.

Если вы не можете посетить офис УЦ Контура лично, то можно вызвать нашего курьера. Он удостоверит личность и примет заявление.

Проверьте, что сертификат отозван.

Это произойдет в течение 12 часов после того, как УЦ получит от вас заявление.

Какие проблемы могут возникнуть

Если владелец электронной подписи потерял токен или его ЭП кто-то завладел, то за время, пока он не отозвал сертификат, им могут воспользоваться злоумышленники. Например, открыть на физлицо фирму-однодневку, чтобы получить микрокредит или заключить сделки и уклониться от налогов. Также возможно перевести деньги со счетов юрлица, реализовать имущество организации, победить в торгах, получить аванс, но не исполнить договор, внести изменения в ЕГРЮЛ — например, сменить руководителя.

Поэтому мы рекомендуем владельцу ЭП никому не передавать токен с сертификатом ЭП и не давать доступ к закрытому ключу ЭП другим лицам. Соблюсти конфиденциальность ключа ЭП владелец должен по закону (пп. 1 п. 1 ст. 10 63-ФЗ).

Другие лица могут злоупотребить доверием и воспользоваться ЭП в своих целях. Если вы подозреваете, что к ЭП имел доступ другой человек, рекомендуем отозвать сертификат по инструкции выше.

С 1 января 2022 года вступили в силу новые требования федерального законодательства о получении электронной подписи (ЭП). Компания Такском – оператор электронного документооборота и аккредитованный удостоверяющий центр. Такском знает о реальных сложностях, с которыми сталкиваются пользователи ежедневно.

Приглашённый спикер от Федеральной налоговой службы России Инна Махнева и генеральный директор компании Такском Денис Булкаев помогли разобраться налогоплательщикам с изменениями в законе. А самое главное, на конкретных примерах налогоплательщиков пояснили особенности получения сертификатов.

Услуга Такскома «Онлайн-подача заявки на электронную подпись с проверкой данных в ФНС» работает в Ростовской области?

Да, эта услуга предоставляется в ходе реализации совместного с ФНС проекта и работает по всей России, в том числе и в Ростовской области.

Если у организации два директора, могут ли оба получить по сертификату?

Если оба директора указаны в ЕГРЮЛ, то каждый может получить сертификат. Если в ЕГРЮЛ директор один, то вы можете заказать дополнительные ЭП для ваших сотрудников.

Есть ли возможность удалённого перевыпуска сертификата в личном кабинете на сайте ФНС?

Такой возможности пока не предусмотрено.

Если ООО зарегистрировано в Санкт-Петербурге, можно ли генеральному директору получить квалифицированный сертификат в ИФНС-46 в Москве?

Услуга получения ЭП на первое лицо в ФНС – экстерриториальна. Список – на сайте налоговой службы, см. документ «Перечень подразделений в регионах Российской Федерации».

Можно ли будет копировать ключ, выпущенный в ФНС на генерального директора?

Нет. Копирование невозможно. Если для работы вам не хватает одной ЭП, вы можете заказать дополнительные ЭП для ваших сотрудников.

В каком случае и кому можно выдавать обезличенные сертификаты?

Обезличенные ЭП выдаёт только ФНС и только операторам информационных систем – по одному на каждую.

В памятке, выданной налоговой, указано, что с собой принести USB-носитель (токен). Подойдет ли обычная флешка?

Нет. Для записи, хранения и использования ЭП подходят только сертифицированные токены – их можно приобрести в офисах Такскома или с доставкой.

Перечислите, пожалуйста, конечный список документов, относящихся к документам, удостоверяющим личность при получении ЭП?

Обязательные документы для получения ЭП – рекомендуем уточнять в вашей инспекции ФНС.

Необходимо ли заменить сертификат при смене фамилии его владельца, наименования ООО?

Да, обязательно. Смена реквизитов влечёт замену ЭП. Документ, подписанный ЭП с неактуальными реквизитами, не имеет юридической силы.

Федеральная пробирная палата требует для подключения к ГИИС ДМДК обезличенную ЭП (даже для индивидуальных предпринимателей). Возможно ли получение такой подписи в ФНС России?

Для первого лица организации и для ИП налоговая выдаст ЭП совместимую с ГИИС ДМДК. А для ваших сотрудников совместимые ЭП выдаст удостоверяющий центр Такском.

У меня своя сеть алкомаркетов. До 2022 года на каждой торговой точке было по одному «Рутокену 2. 0» с подписью директора + RSA ключ с сайта ФСРАР для продажи алкоголя. Слышал, что на каждой торговой точке теперь должен быть ключ кассира, выданный на физлицо с привязанной к нему доверенностью от генерального директора. Так ли это?

На данный момент такой схемы не предусмотрено, но планируется выдача и обновление УТМ (универсальный транспортный модуль) для совместимости использования сочетания ЭП физического лица + МЧД. Сертификат, который вы получили до нового года, можно использовать и в этом году (до истечения срока действия ЭП).

Раньше получали сертификат ЕГАИС на первое лицо организации. Теперь на кого получать?

На первое лицо организации или ИП сертификаты выдаёт ФНС. При получении необходимо сообщить инспектору, что планируется использование сертификата в системе ЕГАИС. На сотрудников – можно получить в Такскоме.

Также вопрос возникает по сертификатам для торговых площадок с дополнительным OID. Как поступать в случае, если генеральный директор – единственный сотрудник в организации?

Вам необходимо обратиться в службу поддержки площадки, на которой вы работаете.

Смогу ли я работать с сертификатом, полученным в ФНС, в Росреестре?

Нет, сертификат пока не совместим с Росреестром, рекомендуем получить дополнительный сертификат на ваших сотрудников в УЦ Такском.

ФНС выдаёт подписи под криптопровайдер VipNet CSP? Или только под «КриптоПРО»?

На данный момент ФНС выдает подписи и под VipNet CSP, и под «КриптоПро CSP» по просьбе заказчика.

Рассматривается ли возможность встраивания лицензии на программное средство криптозащиты информации (СКЗИ) в сертификат?

Нет, ФНС не выдает сертификат со встроенной лицензией СКЗИ. Но она вам всё равно потребуется, её можно приобрести в УЦ Такском.

Какой УЦ выдает КСКПЭП руководителям бюджетных организаций?

Удостоверяющий центр Федерального казначейства.

Пока являюсь физлицом, где получать ЭП для открытия ИП?

Электронную подпись для ваших личных целей вы можете получить в УЦ «Такском».

Удостоверяющие центры будут выдавать подписи сотрудникам по старым правилам до конца 2022 года? Или до 1 марта 2022 года?

Коммерческие УЦ будут выдавать подписи сотрудникам организаций пока действуют их аккредитация и нынешнее законодательство.

Где самозанятому продлить ЭП?

В коммерческих УЦ, например, в Такскоме.

Обязательно ли получать сертификат директору для отправки отчётности в ИФНС? Или можно получить сертификаты только доверенным лицам (сотрудникам) и отправлять отчётность от доверенных лиц?

Да, обязательно. Если у вас нет действующего сертификата, то подписать электронную доверенность директору будет нечем.

Владельцы электронной подписи часто не могут вспомнить пароль от нее. Ситуация грустная, но не безвыходная. Как восстановить доступ к подписи — читайте в статье.

Пароль или пин-код электронной подписи (ЭП или ЭЦП) схож с пин-кодом банковской карты. Он защищает подпись от мошенников, его нужно запомнить или записать на листочек и хранить подальше от самой подписи. Но, в отличие от пин-кода карточки, пароль ЭП редко используют и часто забывают.

Возьмем экономиста Василия. Он получил электронную подпись, установил ее на компьютер, задал пароль, поставил галочку «Запомнить» — и все, больше никогда эту комбинацию не вводил. Но через полгода Василий переехал в другой кабинет и сел за новый компьютер. Попытался установить на него свою подпись, но не получилось — он забыл пароль электронной подписи, а листочек, на который записывал символы, потерял.

В своей беде Василий не одинок — многие владельцы ЭП не могут вспомнить или не знают, где взять пароль электронной подписи. В этой статье расскажем, что делать в подобной ситуации и когда нужно получать новую ЭП.

Что такое пароль и пин-код электронной подписи

На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются.

Пароль от контейнера электронной подписи

Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами.

Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.

Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».

Пин-код от токена электронной подписи

Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.

Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.

После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.

Как восстановить пароль электронной подписи

Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.

Забыл пароль подписи

Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.

Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.

Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники.

Забыл пин-код токена

Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них.

Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.

Решение №1. Заводской пароль.

По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения:

• «Рутокен», eSmart, JaCarta и JaCarta LT— 12345678,
• eToken — 1234567890, eToken,
• Jacarta SE — 1111111 для PKI-части и 0987654321 для ГОСТ части.

Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.

Решение №2. Подбор пин-кода и права администратора

На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.

Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:

• Перейти в панель управления токеном. Например, если используется носитель «Рутокен», то нужно перейти в Пуск — Панель управления — Панель управления «Рутокен» — вкладка «Администрирование».
• Ввести пин-код администратора. Стандартное значение устанавливает производитель: для «Рутокена» — 87654321, для Jacarta SE — 00000000 для PKI-части и 1234567890 для ГОСТ части. Если стандартное значение администратора не подошло, значит его сменили, и нужно вспоминать установленную комбинацию. На это есть десять попыток, потом токен окончательно заблокируется.
• Разблокировать пин-код токена. Для этого на вкладке «Администрирование» нажать «Разблокировать».

Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:

• Открыть КриптоПро CSP, перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей».
• Выбрать свой токен. Открыть его свойства и перейти в раздел «Информация».
• Разблокировать пин-код.

После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.

Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся. Отметим, что отформатировать токены марок Рутокен, eToken, JaCarta LT можно без прав администратора. Но для форматирования носителя Jacarta SE нужно знать администраторский пин.

При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.

Дата обновления: 28. 2022

Номер карточки: SD0012724

Средства криптографической защиты информации

Требования к средствам криптографической защиты информации

Для шифрования отправляемых и получаемых документов Вы должны определиться с выбором средства криптографической защиты информации (СКЗИ).

Подробную техническую информацию по перечисленным СКЗИ (версиям, совместимости с операционными системами, алгоритмам подписи и шифрования и т. ) можно получить на официальных сайтах производителя:

Для VipNet CSP: www. infotecs. ru;
Для КриптоПРО CSP: www. cryptopro.

Работа с криптопровайдером «КриптоПРО CSP» и установка сертификатов

Инструкция по установке, настройке ПО «КриптоПРО CSP» доступна здесь.

В отличие от криптопровайдера «VipNet CSP» в криптопровайдере «КриптоПро CSP» лицензия является платной.

Поэтому необходимо не позже 90 суток ввести лицензионный ключ, иначе функции криптопровайдера будут заблокированы.

Хранение контейнера закрытого ключа

Вы получили контейнер закрытого ключа электронной подписи с тестовыми реквизитами. После открытия полученного архива скопируйте содержимое на внешний носитель информации (Flash-носитель), добавьте контейнер(-ы) закрытого ключа электронной подписи в программу криптографии «КриптоПРО CSP» и произведите из него установку сертификата.

Контейнер закрытого ключа электронной подписи будет представлять собой папку с названием: «*****. 000», где «звездочки» – наименование, а «. 000» – расширение контейнера закрытого ключа

Для установки сертификата из закрытого ключа (контейнера) электронной подписи запустите программу «КриптоПРО CSP»

Далее, в открытом криптопровайдере перейдите на вкладку «Сервис» и нажмите кнопку Просмотреть сертификаты в контейнере

В открывшемся окне нажмите кнопку Обзор

Выберите контейнер закрытого ключа электронной подписи, расположенный на внешнем носителе, из которого необходимо установить сертификат организации и нажмите кнопку ОК

Наименование контейнера отобразилось в поле «Имя ключевого контейнера», нажмите кнопку Далее

Перед Вами откроется окно с информацией о сертификате организации. Для установки сертификата нажмите кнопку Установить

Сертификат установлен в систему Windows.

Для продолжения, в открытом окне нажмите кнопку Свойства

Перед Вами откроется установленный сертификат

Загрузка и установка корневого сертификата Удостоверяющего Центра и списка отзыва сертификатов

На вкладке «Состав» открытого сертификата организации Вы можете получить информацию и ссылку на скачивание корневого сертификата Удостоверяющего Центра и Списка отзывов сертификатов.

Для получения ссылки на скачивание корневого сертификата Удостоверяющего Центра перейдите в поле «Доступ к информации о центрах сертификации» и выделите его курсором мыши.

В открывшейся информации ниже ссылка на скачивание корневого сертификата Удостоверяющего Центра будет отображена в разделе «Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации» в пункте «Дополнительное имя»

Для скачивания файла корневого сертификата скопируйте после «URL=» ссылку в адресную строку браузера и нажмите на клавиатуре кнопку ENTER, а затем сохраните файл в любой каталог

Для получения ссылки на скачивание списка отозванных сертификатов необходимо перейти на вкладку «Состав» и выбрать из списка поле «Точки распространения списков отзыва»

В открывшейся информации в разделе «Имя точки распространения» скопируйте ссылку на загрузку списков отзыва

Для скачивания файла списка отзыва сертификатов скопируйте после «URL=» ссылку в адресную строку браузера и нажмите на клавиатуре кнопку ENTER, а затем сохраните файл в любой каталог

После скачивания файла корневого сертификата откройте скачанный файл двойным кликом мыши. В открывшемся окне сертификата нажмите кнопку Установить сертификат

Перед Вами откроется «Мастер импорта сертификатов». Следуйте указаниям «Мастера импорта сертификатов». На этапе импорта необходимо указать хранилище сертификатов «Доверенные корневые центры сертификации» и нажать Далее

При появлении окна «Предупреждение системы безопасности», необходимо нажать кнопку ОК для установки сертификата в системное хранилище Windows

После успешного импорта сертификата нажмите Готово.

Во время тестирования и работы сервиса «1С-ЭДО» следует учесть, что данный сервис работает с несколькими операторами ЭДО СФ и соответственно, несколькими Удостоверяющими Центрами.

При обмене документами между контрагентами, работающих через разных Операторов ЭДО СФ, может появиться ошибка подписи, содержащая текст: «Неверна». Если открыть подробную информацию, то сообщение будет выглядеть так: «Сертификат недействителен по причине: Цепочка сертификатов обработана, но прервана на корневом сертификате, который не является доверенным»

В этом случае необходимо сохранить к себе на компьютер сертификат организации через пункт меню «Сохранить в файл» из формы поступившего документа, выгрузить из него корневой сертификат Удостоверяющего центра и установить последний в «Доверенные корневые центры сертификации», как показано выше.

Установка списка отзывов сертификатов

После скачивания файла списка отзывов сертификата и сохранения его в нужный каталог откройте его правой кнопкой мыши через меню «Установить список отзыва (CRL)»

Перед Вами откроется «Мастер импорта сертификатов». Следуйте указаниям «Мастера импорта сертификатов». На этапе импорта необходимо убедиться, что пункт «Автоматически выбрать хранилище на основе типа сертификата» выбран и нажать Далее

Проверить корректность выстроенной цепочки сертификатов в системном хранилище Windows Вы можете на вкладке «Путь сертификации». Сертификаты не должны иметь иконок с красными крестами, а в разделе «Состояние сертификата» должен быть статус «Этот сертификат действителен»

Копирование контейнера в реестр компьютера

Если Вы хотите использовать подпись файлов при работе с сервисом «1С-ЭДО», не используя flash-носитель информации, то скопируйте контейнер закрытого ключа электронной подписи в реестр компьютера, затем произвести установку сертификата.

Для этого необходимо вставить flash-носитель информации с контейнером закрытого ключа электронной подписи в компьютер и открыть программу «КриптоПРО CSP»

В интерфейсе «КриптоПРО CSP» перейти на вкладку «Сервис» и нажать кнопку Скопировать

В открытом окне нажмите кнопку Обзор

В следующем окне выберите контейнер закрытого ключа с flash-накопителя информации, который необходимо скопировать и нажмите ОК

В следующем окне задайте имя для контейнера с названием организации, Ф. ответственного лица и датой создания или копирования, нажмите кнопку Готово

Выберите место хранения копии контейнера закрытого ключа электронной подписи – «Реестр» и нажмите ОК

Задайте новый пароль к контейнеру или введите пароль по умолчанию и нажмите ОК

Контейнер закрытого ключа электронной подписи будет скопирован в выбранное Вами место

Извлеките flash-накопитель из компьютера и произведите установку сертификата из копии контейнера закрытого ключа электронной подписи, расположенной в Реестре компьютера.

Аналогичным способом производится копирование между любыми видами носителя ключа, поддерживаемого криптопровайдером.

Далее пользователю можно приступать к регистрации сертификата в учетной записи.

Практические приёмы работы с Реестром¶

В данном разделе рассматриваются практические примеры работы с реестром:

• Восстановление закрытых ключей с неисправного компьютера
• Извлечение информации из резервной копии реестра
• Доступ к считываетлям (Calais)
• Доверенные узлы

Перевыпускать подпись лучше заранее

Быстро сменить ЭЦП можно, но всё равно лучше делать это заблаговременно, чтобы не
возникли ситуации, где подпись срочно нужна, но она недействительна. Если сертификат уже недействителен, или
его срок действия скоро подойдёт к концу, вам необходимо:

• Обратиться в удостоверяющий центр и получить список документов.
• Собрать пакет указанных документов.
• Оплатить выставленный счёт.
• Получить новый сертификат электронной подписи.

Даже если вы хотите изменить данные в действующей подписи, сертификат всё равно
нужно перевыпускать.

Лицензия КриптоПро в реестре [1017]¶

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]¶

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

Где SID (идентификатор пользователя) (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера.

Рис. 23 – Узнать SID пользователя через командную строку

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

Восстановление закрытых ключей с неисправного компьютера¶

Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.

Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:WindowsSystem32config.

Если условия выполняются, необходимо проделать следующее:

• Перейти в раздел ;
• В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера ;
• Задать произвольное имя загруженному кусту, например, .

Загрузка куста может занять некоторое время.

\ \ \
В некоторых случаях сертификат попадает сюда:\\
\ \\

• Нажать на подраздел правой кнопкой мыши и выбрать пункт «Экспортировать» (см. раздел Создание резервной копии реестра (Экспорт)).
• Выбрать место для сохранения и задать имя файла. Экспортированный файл будет иметь расширение .
• Если требуется, перенести экспортированный файл с расширением на другой компьютер.

Рис. 24 – Изменение пути к веткам реестра

Если разрядность(битность) текущей системы отличается от той, на которой находился контейнер закрытого ключа, то необходимо проверить и при необходимости исправить путь в текстовом редакторе.

Можно запускать реестр и не используя утилиту PsExec. exe, но тогда придется добавлять загруженным веткам права и разрешения вручную так, как описано в разделе Права доступа (Разрешения). Это не критично, если речь идет, например, о копировании всего одного контейнера закрытого ключа. Если файлов много, то гораздо быстрее и удобнее использовать PsExec. exe.

Рекомендую всегда держать на готове утилиту PsExec. exe, ее скачивание и копирование занимает не так много времени.

Доверенные узлы¶

Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:

• Перейти в ветку ;
• Добавить подраздел с названием домена, например, ;
• В добавленном подразделе создать еще один подраздел с названием субдомена: ;
• Добавить параметр DWORD со значением

Рис. 25 – Добавление зон надежных узлов вручную

Извлечение информации из резервной копии реестра¶

Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:

Данные папки содержит те же файлы, что и C:WindowsSystem32config.

Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.

Порядок действия аналогичен, описанному порядку в инструкции Восстановление закрытых ключей с неисправного компьютера. Отличается только файл загружаемого куста C:WindowsSystem32configRegBackSoftware.

Доступ к считываетлям (Calais)¶

Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:

Подробнее о настройке прав доступа читайте в разделе Права доступа (Разрешения).

Может возникнуть ситуация, когда текущий пользователь системы даже не будет являться владельцем данных веток реестра, следовательно, у него не будет прав на них. В таком случае, необходимо сначала добавить текущего пользователя во владельцы этих веток, а затем проставить ему соответствующие права, как описано в разделе Права доступа (Разрешения) данного руководства.

Часто задаваемые вопросы

Частота перевыпуска сертификата зависит от срока его действия, либо от других причин,
требующих изменения данных.

Как изменить электронную подпись?

Для изменения информации, которая хранится в сертификате ЭП, его нужно
перевыпускать.

Сколько действует электронная подпись при смене фамилии?

После того как данные владельца были изменены, сертификат ЭП нужно сразу перевыпускать. Действовать он будет столько, сколько указано в тарифном плане.

Надо ли менять подпись при смене фамилии

При изменении фамилии и последующей смене паспорта обязательно нужно менять электронную
подпись. Замена ЭЦП при замене паспорта требуется во всех случаях: если подпись выпущена на руководителя
организации или на индивидуального предпринимателя.

Как быстро поменять сертификат электронной подписи

Плановая замена подписи не всегда быстрый процесс, поэтому он может повлечь за собой
нежелательные убытки. А как быть, если ваша электронная подпись внезапно перестала работать, а у вас уже
запланированы в скором времени сделки, для которых она необходима? Продолжать работу без сертификата
невозможно, так как это грозит большими штрафами.

Получить электронную подпись можно всего за 1 час. Для этого нужно воспользоваться
услугой «Быстрый старт». Расширение доступно для инструментов работы с электронной подписью
Астрал-ЭТ и 1С-ЭТП.

Быстрый выпуск помогает нашим клиентам избежать штрафов и не останавливать работу
предприятия на длительный срок.

Что потребуется для быстрой смены сертификата электронной подписи:

• Правильно заполненное заявление на изготовление сертификата.
• Упрощённый пакет документов.

При изменении каких реквизитов необходим перевыпуск сертификата

Ниже представлен список реквизитов, при изменении которых, сертификат электронной
подписи нужно перевыпускать:

• изменились Ф.И.О. владельца подписи или его паспортные данные;
• изменилось наименование организации;
• изменилась должность владельца подписи;
• изменился юридический адрес организации;
• изменился ИНН, КПП или ОГРН организации;
• сменился руководитель организации.

Если поменялись другие реквизиты, обратитесь в техническую поддержку, чтобы уточнить, не
повлияет ли их изменение на работу с ЭП.

Техническая поддержка Астрал-ЭТ и 1С-ЭТП — 8-800-700-39-84