Работа с системой 1С:Зарплата и управление персоналом часто требует настройки защищенного соединения, особенно при интеграции с государственными сервисами или обмене данными через веб-интерфейс. Одной из ключевых задач администратора является корректная установка и привязка сертификата безопасности к платформе. Ошибки на этом этапе могут привести к невозможности отправки отчетов или сбоям в работе веб-клиента.

Процесс добавления сертификата зависит от того, какой именно тип ключей вы используете: Квалифицированную электронную подпись (КЭП) для сдачи отчетности или SSL-сертификат для настройки HTTPS. В обоих случаях необходимо учитывать версию криптопровайдера и операционной системы. Мы рассмотрим универсальные шаги, которые подойдут для большинства конфигураций.

Для успешной настройки вам потребуется административный доступ к серверу или рабочей станции, где установлен криптопровайдер. Без предварительной установки драйверов токена или программного обеспечения (например, CryptoPro CSP или VipNet CSP) система просто не увидит физический носитель ключа. Убедитесь, что все компоненты обновлены до актуальных версий перед началом работы.

Подготовка криптографического ПО и драйверов

Первым шагом является верификация установленного программного обеспечения. Система 1С:Предприятие взаимодействует с сертификатами не напрямую, а через прослойку криптопровайдера. Если у вас установлен CryptoPro CSP, убедитесь, что его версия соответствует требованиям вашей платформы 1С. Обычно это версии 5.0 и выше для современных релизов.

Частой ошибкой является отсутствие драйверов для конкретного токена (Рутокен, JaCarta). Даже если криптопровайдер установлен, без специфического драйвера устройство не определится в системе. Проверьте диспетчер устройств: токен должен отображаться как исправное оборудование без восклицательных знаков.

  • 🔌 Убедитесь, что токен вставлен в USB-порт и распознается системой.
  • 💻 Проверьте версию установленного криптопровайдера в панели управления.
  • 🔑 Установите личные сертификаты в хранилище «Личное» текущего пользователя.
  • 🔄 Перезагрузите компьютер после установки всех драйверов.

⚠️ Внимание: Если вы используете веб-сервер (IIS или Apache) для работы 1С через браузер, сервис должен запускаться от имени пользователя, имеющего доступ к контейнеру закрытого ключа. В противном случае HTTPS работать не будет.

💡

Используйте утилиту командной строки cryptcp.exe для быстрой проверки видимости сертификатов без запуска графического интерфейса 1С.

Установка сертификата в хранилище Windows

Прежде чем настраивать саму конфигурацию ЗУП, сертификат должен быть корректно размещен в операционной системе. Для этого используйте оснастку управления сертификатами (certmgr.msc). Импортируйте файл сертификата (обычно с расширением .cer или .pfx) в раздел «Личное» (Personal).

Если вы импортируете сертификат с закрытым ключом (формат .pfx), система запросит пароль. Критически важно выбрать опцию «Пометить ключ как экспортируемый», если в будущем планируется перенос базы на другой сервер. Это упростит миграцию и избежит проблем с доступом.

После импорта проверьте цепочку доверия. Сертификат не должен иметь красных крестиков или предупреждений о ненадежном издателе. При необходимости установите корневые сертификаты удостоверяющего центра в соответствующее хранилище «Доверенные корневые центры».

certutil -store My

Эта команда позволит вывести список всех сертификатов в личном хранилище через консоль, что удобно для быстрой проверки наличия нужного ключа перед запуском 1С.

📊 Какой криптопровайдер вы используете?
CryptoPro CSP
VipNet CSP
КриптоАРМ
Другой/Не знаю

Настройка сертификатов внутри платформы 1С

Теперь переходим к настройкам внутри интерфейса 1С:Зарплата и управление персоналом. Зайдите в раздел Администрирование и найдите пункт Общие настройки или Настройки системы. Здесь располагается блок, отвечающий за работу с электронной подписью и шифрованием.

В списке доступных сертификатов система должна подтянуть те, что вы ранее установили в Windows. Если список пуст, проверьте права доступа пользователя 1С к хранилищу ключей. Иногда требуется запускать 1С от имени администратора для первичной инициализации.

Параметр Значение по умолчанию Рекомендуемое значение
Использовать усиленную КЭП Нет Да
Проверять срок действия Да Да
Хранить копию в базе Нет Да (для резерва)
Алгоритм хеширования ГОСТ Р 34.11-94 ГОСТ Р 34.11-2012

Выберите нужный сертификат из выпадающего списка. Обратите внимание на дату окончания действия: сертификат, истекающий менее чем через 30 дней, лучше сразу перевыпустить, чтобы избежать прерывания рабочих процессов в самый неподходящий момент.

☑️ Проверка настройки в 1С

Выполнено: 0 / 4

Настройка HTTPS для веб-клиента ЗУП

Если ваша организация использует доступ к 1С:ЗУП через браузер, настройка SSL-сертификата на веб-сервере обязательна. Без этого передача персональных данных сотрудников будет незащищенной, что нарушает требования законодательства о защите информации.

Для веб-сервера IIS необходимо создать привязку (Binding) для порта 443. В настройках сайта выберите «Добавить привязку», укажите тип https и выберите установленный ранее SSL-сертификат из списка. Убедитесь, что сертификат содержит закрытый ключ.

⚠️ Внимание: После смены сертификата на веб-сервере обязательно выполните команду iisreset для перезагрузки служб, иначе браузеры могут продолжать использовать старые кэшированные данные безопасности.

В настройках самой базы данных в файле web.config или через консоль управления веб-сервером 1С (ras) может потребоваться явное указание пути к сертификату, если автоматическое определение не сработало.

Что делать, если браузер пишет «Небезопасно»?

Это означает, что сертификат самоподписанный и не доверен операционной системе клиента. Необходимо установить корневой сертификат организации на все компьютеры пользователей или приобрести сертификат у доверенного удостоверяющего центра.

Решение типичных ошибок при подключении

Наиболее распространенная проблема — ошибка «Не найдено ни одного подходящего сертификата». Это часто случается, когда пользователь запускает 1С в обычном режиме, а сертификат установлен в хранилище другого пользователя или требует прав администратора для чтения ключа.

Также встречается ошибка неверной кодировки или алгоритма подписи. Современные версии 1С:ЗУП требуют использования алгоритмов семейства ГОСТ 2012 года. Если ваш сертификат выпущен на старых алгоритмах (2001 года), система может заблокировать работу с ним.

  • 🛑 Ошибка доступа к реестру: проверьте права пользователя на ветку реестра криптопровайдера.
  • 📅 Истек срок действия: обновите сертификат в удостоверяющем центре.
  • 🔗 Нарушена цепочка доверия: установите промежуточные сертификаты УЦ.

Для диагностики используйте журнал регистрации событий 1С. Включите уровень детализации «Подробный» и повторите операцию подписания. В логах будет указан конкретный код ошибки криптопровайдера.

💡

90% ошибок связаны не с настройками 1С, а с правами доступа операционной системы к контейнеру закрытого ключа или отсутствием драйверов токена.

Обновление и замена истекающих сертификатов

Процедура замены сертификата должна быть плановой. Не дожидайтесь последнего дня действия. Заранее запросите новый ключ в удостоверяющем центре и установите его параллельно со старым. В настройках 1С можно выбрать, какой именно сертификат использовать для новых документов.

После замены важно проверить исторические документы. Документы, подписанные старым сертификатом, должны оставаться валидными. Для этого старый сертификат (без закрытого ключа, только публичная часть) должен оставаться в хранилище «Доверенные» или «Другие пользователи».

⚠️ Внимание: Интерфейсы криптопровайдеров и требования законодательства могут меняться. Всегда сверяйте актуальные требования к алгоритмам шифрования на официальном сайте вашего удостоверяющего центра перед обновлением.

Регулярный аудит установленных сертификатов поможет избежать простоев в работе отдела кадров и бухгалтерии. Используйте встроенные средства мониторинга или сторонние утилиты для отслеживания сроков действия ключей.

Можно ли использовать один сертификат на нескольких компьютерах?

Да, если это позволяет лицензия УЦ и тип токена. Однако для КЭП часто требуется физическое присутствие носителя, либо использование сетевых версий криптопровайдеров с лицензированием на количество рабочих мест.

Часто задаваемые вопросы (FAQ)

Как добавить сертификат, если он находится на флешке, а не на токене?

Скопируйте файл сертификата на жесткий диск. Запустите установку через двойной клик или оснастку certmgr.msc. Если требуется закрытый ключ, убедитесь, что он также скопирован (обычно это контейнер в реестре или файл .pfx), и при импорте укажите путь к нему.

Почему 1С ЗУП не видит сертификат Рутокен?

Скорее всего, не установлены драйверы Рутокен для вашей версии Windows или не запущена служба криптопровайдера. Также проверьте, не блокирует ли антивирус доступ к USB-порту или процессу 1С.

Можно ли работать без сертификата в 1С ЗУП?

Да, для внутреннего кадрового учета отправка отчетов не обязательна. Однако для сдачи отчетности в ФНС, ПФР и СФР наличие действующей КЭП строго необходимо.

Где посмотреть серийный номер установленного сертификата?

В окне свойств сертификата в Windows (вкладка «Состав») или непосредственно в интерфейсе 1С в разделе настроек электронной подписи, где отображается информация о выбранном ключе.

Что делать, если сертификат заблокирован после 3 неверных вводов PIN?

Необходимо разблокировать токен с помощью PUK-кода, который идет в комплекте с устройством. Если PUK-код также исчерпан, токен придется перепрошивать или заменять на новый в удостоверяющем центре.