Как обновить сертификат в 1С: пошаговая инструкция 2026

Обновление сертификатов в 1С:Предприятие — рутинная, но критически важная процедура, от которой зависит работа электронного документооборота, сдача отчётности и доступ к защищённым ресурсам. Пропустить срок истечения — значит рисковать блокировкой обмена с ФНС, контрагентами или банками. При этом процесс обновления отличается в зависимости от типа сертификата (ЭЦП, SSL, лицензионный ключ), версии платформы 1С и даже операционной системы на сервере или рабочей станции.

Многие пользователи сталкиваются с ошибками из-за неверно выбранного алгоритма или пропущенных шагов. Например, при обновлении квалифицированной ЭЦП через КриптоПро CSP часто забывают перенести новый сертификат в хранилище 1С, а при работе с SSL-сертификатами для веб-сервисов — не проверяют цепочку доверия. Эта статья покрывает все сценарии: от автоматического продления до ручной замены с учётом нюансов 1С:Бухгалтерии, 1С:ЗУП и 1С:УТ.

Мы разберём:

🔑 Как проверить срок действия сертификата до его истечения
🔄 Пошаговые инструкции для ЭЦП, SSL и лицензионных ключей
⚠️ Типичные ошибки и способы их устранения (включая коды 0x80090016, 2148081666)
🤖 Автоматизация обновления через скрипты и регламентные задания

1. Как проверить срок действия сертификата в 1С

Прежде чем приступать к обновлению, убедитесь, что сертификат действительно требует замены. В 1С:Предприятие 8.3 есть встроенные инструменты для проверки, но они отличаются для разных типов ключей.

Для ЭЦП (электронной подписи):

Откройте Администрирование → Организации → Сертификаты.
Выберите нужный сертификат и нажмите Просмотр.
Вкладка Общие покажет даты действия в поле Срок действия с... по....

Для SSL-сертификатов (используемых в веб-сервисах 1С):

Перейдите в Администрирование → Публикация на веб-сервере.
Выберите публикацию и нажмите Настройки SSL.
Система отобразит статус сертификата и дату истечения.

Для лицензионных ключей:

Запустите 1С:Предприятие в режиме конфигуратора.
Выберите Справка → О программе.
В разделе Лицензия проверьте строку Действует до.

⚠️ Внимание: Если сертификат истёк менее 30 дней назад, его можно продлить без перевыпуска. При просрочке более месяца потребуется новый ключ.

💡

Создайте напоминание в 1С за 2 недели до истечения сертификата: используйте регламентное задание с типом "Уведомление" и условием проверки даты в справочнике "Сертификаты".

2. Обновление электронной подписи (ЭЦП) в 1С

Процесс обновления ЭЦП зависит от удостоверяющего центра (УЦ), выдавшего сертификат, и типа носителя (флешка, диск, облачное хранилище). Рассмотрим универсальный алгоритм для КриптоПро CSP — самого распространённого криптопровайдера в России.

Шаг 1. Получение нового сертификата

📄 Обратитесь в УЦ (например, Тензор, СКБ Контур, Калуга Астрал) для продления.
💾 Если используете токен (JaCarta, Рутокен), убедитесь, что он поддерживает перезапись (некоторые модели требуют форматирования).
🔗 Для облачных ЭЦП (например, от Контура) обновление происходит автоматически, но может потребоваться повторная авторизация в 1С.

Шаг 2. Установка в 1С

Подключите носитель с новым сертификатом к компьютеру.
В 1С перейдите в Администрирование → Организации → Сертификаты.
Нажмите Добавить и выберите источник:
- 🖥️ Личное хранилище Windows — если сертификат установлен в систему.
- 💽 Файл — для .pfx или .cer.
- 🔐 Криптографический токен — для аппаратных ключей.
После добавления привяжите сертификат к организации в справочнике Организации.

Шаг 3. Проверка работоспособности

Отправьте тестовый документ (например, счёт-фактуру) через ЭДО или подпишите отчёт для ФНС. Если возникает ошибка Не удалось построить цепочку сертификатов, проверьте:

Установлен ли корневой сертификат УЦ в хранилище Доверенные корневые центры.
Совпадает ли алгоритм подписи (например, GOST R 34.10-2012) с требованиями контрагента.

⚠️ Внимание: При замене ЭЦП на токене старый сертификат автоматически удаляется. Если он ещё действует для других систем (например, банк-клиент), сделайте резервную копию через КриптоПро CSP до обновления.

Уточнить требования УЦ к продлению|Скачать свежую версию КриптоПро CSP (не ниже 5.0)|Проверить совместимость токена с 1С|Создать резервную копию старого сертификата|Определить, нужна ли перерегистрация в ЭДО-->

3. Обновление SSL-сертификата для веб-сервисов 1С

SSL-сертификаты используются для защиты соединений при публикации 1С на веб-сервере (например, для работы через https://). Их обновление требует доступа к серверу и настройкам IIS/Apache.

Шаг 1. Генерация запроса на продление

Если используете Let’s Encrypt:

certbot renew --force-renewal

Для коммерческих УЦ (например, GlobalSign, Sectigo):

🔑 Сгенерируйте новый CSR через IIS Manager или OpenSSL:

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

📤 Отправьте CSR в УЦ и получите новый сертификат (обычно в формате .crt или .p7b).

Шаг 2. Установка на сервер

Для Windows Server (IIS):

Откройте IIS Manager → Server Certificates.
Нажмите Complete Certificate Request и укажите путь к файлу сертификата.
Привяжите сертификат к сайту в Bindings (порт 443).

Для Apache (Linux):

Поместите файлы сертификата и ключа в /etc/ssl/.
Обновите конфиг виртуального хоста:

<VirtualHost *:443>
SSLCertificateFile /etc/ssl/server.crt
SSLCertificateKeyFile /etc/ssl/server.key
SSLCertificateChainFile /etc/ssl/ca.crt
</VirtualHost>

Перезапустите Apache:

systemctl restart apache2

Шаг 3. Проверка в 1С

После обновления SSL проверьте:

🌐 Доступность публикации по https:// (без предупреждений браузера).
🔄 Работу веб-сервисов через Тестирование и исправление в 1С.

Тип сертификата	Срок действия	Где обновлять	Инструменты
Квалифицированная ЭЦП	1 год	Личный кабинет УЦ, КриптоПро CSP	КриптоПро, 1С:ЭДО
SSL (Let’s Encrypt)	90 дней	Сервер (IIS/Apache)	`certbot`, OpenSSL
SSL (коммерческий)	1–2 года	Личный кабинет УЦ + сервер	IIS Manager, `openssl`
Лицензионный ключ 1С	Бессрочно/1 год	Личный кабинет 1С или партнёра	Конфигуратор 1С

⚠️ Внимание: После обновления SSL очистите кэш браузера и перезапустите службу 1С:Предприятие на сервере. Иначе клиенты могут получать ошибку ERR_SSL_PROTOCOL_ERROR.

4. Обновление лицензионного ключа 1С

Лицензионные ключи в 1С:Предприятие бывают программными (привязаны к железу) и аппаратными (USB-ключи HASP или Guardant). Процесс их обновления принципиально различается.

Для программных лицензий:

Получите новый ключ в личном кабинете 1С (раздел Лицензии).
В 1С перейдите в Справка → О программе → Лицензия.
Нажмите Установить лицензию и введите новый PIN-код.

Для аппаратных ключей:

🔑 Если ключ HASP:
1. Скачайте утилиту HASP User Setup с сайта 1С.
2. Подключите ключ и запустите утилиту.
3. Выберите Update и следуйте инструкциям.

🔐 Если ключ Guardant:

Используйте Guardant Stealth для обновления.
При ошибке Key not found проверьте драйверы.

Типичные ошибки:

🚫 Лицензия не найдена — проверьте, что ключ вставлен в USB 2.0 (некоторые ключи не работают с USB 3.0).
🚫 Неверный PIN-код — уточните код в письме от 1С или у партнёра.
🚫 Ключ заблокирован — требуется разблокировка через Личный кабинет 1С.

Что делать, если 1С не видит аппаратный ключ?

1. Проверьте, горит ли индикатор на ключе (если есть).

2. Переподключите ключ в другой USB-порт (желательно на задней панели системного блока).

3. Обновите драйверы через Диспетчер устройств (раздел "Устройства HASP" или "Guardant").

4. Запустите 1С от имени администратора.

5. Если ключ повреждён, обратитесь в службу поддержки 1С с номером ключа (указан на корпусе).

5. Автоматизация обновления сертификатов

Ручное обновление отнимает время, особенно в крупных компаниях с десятками сертификатов. Автоматизировать процесс можно с помощью:

1. Регламентных заданий в 1С

Создайте задание с типом Выполнение кода и следующим скриптом для проверки сроков:

Процедура ПроверкаСертификатов()
Сертификаты = Справочники.СертификатыЭП.Выбрать();
Пока Сертификаты.Следующий() Цикл
Если Сертификаты.ДатаОкончания - ТекущаяДата() <= 30 Тогда
Сообщить("Сертификат " + Сертификаты.Наименование + " истекает через " +
(Сертификаты.ДатаОкончания - ТекущаяДата()) + " дней!");
КонецЕсли;
КонецЦикла;
КонецПроцедуры

2. Скрипты для SSL (Let’s Encrypt)

Настройте cron для автоматического продления:

0 0   * /usr/bin/certbot renew --quiet --post-hook "systemctl restart apache2"

3. Внешние сервисы мониторинга

Сервисы вроде SSL Labs или CertSpotter отслеживают истечение SSL и отправляют уведомления на почту.

⚠️ Внимание: Автоматическое обновление ЭЦП через 1С невозможно из-за требований УЦ к подтверждению личности. Однако можно автоматизировать уведомления о скором истечении.

💡

Регулярная проверка сертификатов через регламентные задания сокращает риск блокировки обмена данными на 90%.

6. Ошибки при обновлении сертификатов и их решения

Даже при следовании инструкциям пользователи сталкиваются с ошибками. Рассмотрим самые распространённые:

Код ошибки	Описание	Решение
`0x80090016`	Неверный пароль к контейнеру	Проверьте PIN-код токена или пароль к `.pfx`. Используйте КриптоПро CSP для сброса.
`2148081666`	Сертификат не найден в хранилище	Импортируйте сертификат в `Личное` хранилище через `certmgr.msc`.
`Не удалось построить цепочку`	Отсутствует корневой сертификат УЦ	Скачайте цепочку сертификатов с сайта УЦ и установите в `Доверенные корневые центры`.
`ERR_SSL_VERSION_OR_CIPHER_MISMATCH`	Несовместимые протоколы SSL	Обновите протоколы в настройках сервера (отключите `TLS 1.0/1.1`, включите `TLS 1.2+`).

Дополнительные проблемы:

🔄 Сертификат обновлён, но 1С его не видит:
- Проверьте, что сертификат привязан к правильной организации в справочнике.
- Перезапустите службу 1C:Enterprise 8.3 Server Agent.
🔒 Ошибка подписи после обновления:
- Убедитесь, что в настройках обмена (Администрирование → Настройки обмена) указан новый сертификат.
- Обновите КриптоПро CSP до последней версии (актуально для GOST 2012).

💡

Если после обновления SSL сайт 1С стал недоступен, проверьте права на файлы сертификатов (chmod 600 для ключа) и логи Apache/IIS на ошибки.

7. Особенности обновления в облачной 1С (1C:Fresh)

Если вы используете 1С:Fresh или другие облачные решения, процесс обновления сертификатов упрощён, но имеет свои нюансы:

Электронная подпись (ЭЦП):

🔑 Сертификаты хранятся в личном кабинете 1С:Fresh.
🔄 Для обновления перейдите в раздел Сертификаты и загрузите новый файл (.pfx или .cer).
📌 Привязка к организации происходит автоматически.

SSL-сертификаты:

🛡️ Облачная инфраструктура 1С использует сертификаты Let’s Encrypt, которые обновляются автоматически.
🔧 Если требуется собственный SSL, обратитесь в поддержку 1С:Fresh с запросом на установку.

Лицензии:

📝 Обновление лицензий происходит через личный кабинет без перезагрузки системы.
🔄 Изменения вступают в силу в течение 10–15 минут.

⚠️ Внимание: В 1С:Fresh нельзя использовать аппаратные ключи (HASP/Guardant). Для программных лицензий требуется стабильное интернет-соединение для проверки.

8. Резервное копирование сертификатов перед обновлением

Перед любыми манипуляциями с сертификатами обязательно создайте резервные копии. Это спасёт данные, если что-то пойдёт не так (например, повреждение токена или ошибка при импорте).

Для ЭЦП:

💾 Экспортируйте сертификат через КриптоПро CSP:
1. Откройте Пуск → КриптоПро CSP → Сервис → Просмотреть сертификаты в контейнере.
2. Выберите контейнер и нажмите Далее → Установить → Обзор.
3. Сохраните как .pfx с паролем.

📁 Сохраните копию в защищённое хранилище (например, 1С:Документооборот или зашифрованный архив).

Для SSL:

🔐 Скопируйте файлы сертификата и ключа (.crt, .key) с сервера.
📋 Сохраните конфигурацию Apache/IIS (например, командой a2query -c для Apache).

Для лицензионных ключей:

📌 Сохраните PIN-код программной лицензии в безопасном месте (например, в KeePass).
🔑 Для аппаратных ключей сфотографируйте серийный номер (на корпусе).

💡

Резервная копия сертификата должна храниться отдельно от рабочей станции (например, в облаке или на внешнем носителе) на случай сбоя оборудования.

FAQ: Частые вопросы по обновлению сертификатов в 1С

❓ Можно ли продлить сертификат ЭЦП без обращения в УЦ?

Нет, квалифицированные сертификаты ЭЦП продлеваются только через удостоверяющий центр, выдавший ключ. Однако некоторые УЦ (например, Контур) предлагают услугу автоматического продления по доверенности.

❓ Почему после обновления SSL сайт 1С стал недоступен?

Причины могут быть следующими:

Неверная привязка сертификата к порту 443 в IIS.
Отсутствие промежуточных сертификатов в цепочке.
Несовместимость протоколов (например, клиент поддерживает только TLS 1.2, а сервер настроен на TLS 1.0).

Проверьте логи сервера и воспользуйтесь инструментами вроде SSL Labs для диагностики.

❓ Как обновить сертификат на токене, если забыт PIN-код?

Для сброса PIN-кода:

Используйте утилиту КриптоПро CSP (вкладка Сервис → Сбросить PIN-код).
Если токен заблокирован, обратитесь в УЦ с паспортом и договором на ЭЦП для разблокировки.

⚠️ После 10 неверных попыток токен блокируется навсегда.

❓ Нужно ли обновлять сертификат на всех рабочих станциях?

Зависит от типа сертификата:

🖥️ ЭЦП в файловом хранилище (например, .pfx) — достаточно обновить на сервере, если 1С работает в клиент-серверном режиме.
🔑 Аппаратные токены — требуют физического подключения к каждой станции.
🌐 SSL-сертификаты — обновляются только на сервере.

❓ Что делать, если истёк сертификат лицензии 1С?

Если лицензия истекла:

Проверьте, не перешла ли она в режим Демо (работает с ограничениями).
Обратитесь к партнёру 1С или в личный кабинет для продления.
Если лицензия корпоративная, уточните у администратора, не блокирована ли она за неуплату.

⚠️ Без действующей лицензии 1С перестанет открывать базы через 30 дней после истечения.

Обновление сертификатов в 1С: полная инструкция для всех типов ключей