Электронная цифровая подпись (ЭЦП) в 1С:Предприятие — это не просто инструмент для подписания документов, а критически важный элемент взаимодействия с госорганами, контрагентами и электронными площадками. Без корректно настроенной ЭЦП невозможно сдать отчётность в ФНС, обменяться юридически значимыми документами через ЭДО или участвовать в госзакупках. При этом процесс подключения новой подписи часто вызывает сложности: от выбора правильного сертификата до настройки криптопровайдера и интеграции с конкретной конфигурацией .

В этой статье мы разберём все этапы — от подготовки рабочего места до проверки работоспособности ЭЦП в типовой и нетиповой конфигурациях. Особое внимание уделим типичным ошибкам, которые приводят к сбоям при подписании (например, Ошибка 2137 или Не найден сертификат в хранилище), и способам их устранения. Материал актуален для 1С:Бухгалтерия 3.0, 1С:Управление торговлей 11, 1С:Зарплата и управление персоналом 3.1 и других решений на платформе 1С:Предприятие 8.3.

Если вы ранее не работали с ЭЦП или сталкивались с проблемами при её обновлении, эта инструкция поможет избежать типичных ошибок и сэкономить время. Мы не будем ограничиваться базовыми действиями — рассмотрим нюансы для разных операционных систем (Windows 10/11, Linux), варианты подключения через Рутокен/JaCarta и особенности работы с квалифицированными/неквалифицированными подписями.

📊 Какой тип ЭЦП вы используете в 1С?
Квалифицированная (для отчётности)
Неквалифицированная (для внутреннего документооборота)
Оба варианта
Ещё не подключал

1. Подготовка к подключению: что нужно проверить до установки ЭЦП

Прежде чем приступать к техническим манипуляциям, убедитесь, что все предварительные условия выполнены. Это избавит от необходимости откатывать изменения или переустанавливать компоненты.

Во-первых, проверьте актуальность сертификата ЭЦП. Даже если вы только что получили носитель (например, Рутокен S или JaCarta LT), уточните у удостоверяющего центра (УЦ) срок действия сертификата. Некоторые центры выдают подписи с запасом в 1–2 месяца до даты начала действия — это может вызвать ошибку Сертификат недействителен в .

Во-вторых, убедитесь, что на рабочей станции установлены:

  • 🔹 Криптопровайдер (например, КриптоПро CSP версии 5.0 или новее). Для работы с Рутокен может потребоваться Рутокен Плагин.
  • 🔹 Драйверы для носителя. Для JaCarta — пакет JaCarta PKI Client, для eTokenSafeNet Authentication Client.
  • 🔹 Актуальные обновления 1С. В старых релизах платформы (ниже 8.3.20) могут отсутствовать библиотеки для работы с современными сертификатами по ГОСТ Р 34.10-2012.

Критическая деталь: если вы используете виртуальную машину или терминальный сервер (RDS), убедитесь, что USB-порт для носителя ЭЦП проброшен в сессию пользователя. В противном случае 1С не увидит физическое устройство.

💡

Перед подключением новой ЭЦП экспортируйте старый сертификат в файл с расширением .pfx — это поможет быстро восстановить доступ к архивным документам, если потребуется.

2. Установка криптопровайдера и драйверов носителя

Без корректно установленного криптопровайдера не сможет взаимодействовать с ЭЦП. Рассмотрим процесс на примере КриптоПро CSP — самого распространённого решения для работы с квалифицированными подписями в России.

Шаги установки:

  1. Скачайте дистрибутив КриптоПро CSP с официального сайта (версия должна поддерживать ГОСТ Р 34.10-2012).
  2. Запустите установщик с правами администратора. На этапе выбора компонент отметьте:
    • 🔹 Поддержка токенов и смарт-карт (для работы с Рутокен/JaCarta).
    • 🔹 Утилиты командной строки (пригодятся для диагностики).
  • После установки перезагрузите компьютер — это обязательно для регистрации драйверов в системе.

    • Для проверки установки откройте Пуск → КриптоПро → КриптоПро CSP и перейдите на вкладку Общие. Здесь должна отображаться версия программы и статус лицензии. Если лицензия не активирована, используйте ключ из письма от УЦ или приобретите его отдельно.

    Установлен КриптоПро CSP 5.0+|Драйвер носителя ЭЦП добавлен в систему|Лицензия КриптоПро активирована|Вкладка "Общие" показывает версию ГОСТ Р 34.10-2012-->

    Если вы работаете с JaCarta, дополнительно установите JaCarta PKI Client и проверьте наличие устройства в Диспетчере устройств (раздел Смарт-карты). Для Рутокен может потребоваться утилита Рутокен Плагин, которую можно скачать с сайта Актив.

    3. Импорт сертификата ЭЦП в хранилище Windows

    Сертификат ЭЦП может храниться на физическом носителе (Рутокен, JaCarta) или в файле (.pfx, .cer). Рассмотрим оба варианта импорта.

    Вариант 1: Сертификат на носителе

    1. Подключите Рутокен/JaCarta к USB-порту. Дождитесь опознавания устройства системой (в трее появится значок носителя).
    2. Откройте Пуск → КриптоПро → Сертификаты (или certmgr.msc для просмотра хранилищ Windows).
    3. В окне Сертификаты — Текущий пользователь перейдите в Личное → Сертификаты.
    4. Нажмите правой кнопкой → Все задачи → Импорт и следуйте мастеру, выбрав опцию Локальное компьютерное хранилище.

      5. Вариант 2: Сертификат в файле (.pfx)

      • 🔹 Запустите мастер импорта сертификатов (certmgr.msc → Импорт).
      • 🔹 Укажите путь к файлу .pfx и введите пароль (если он был установлен при экспорте).
      • 🔹 Выберите хранилище Личное и подтвердите установку.

      После импорта проверьте, что сертификат отображается в списке и имеет статус Действителен. Если рядом с сертификатом висит красный крест, это означает, что:

      • 🚫 Истёк срок действия.
      • 🚫 Отсутствует цепочка доверия (не установлен корневой сертификат УЦ).
      • 🚫 Сертификат не соответствует криптопровайдеру (например, выпущен под ГОСТ Р 34.10-2001, а в системе установлен только ГОСТ Р 34.10-2012).
    Что делать, если сертификат не отображается в хранилище?

    1. Проверьте, что носитель ЭЦП определяется системой (в Диспетчере устройств нет восклицательных знаков).

    2. Обновите драйверы носителя через официальный сайт производителя.

    3. Попробуйте подключить носитель к другому USB-порту (желательно USB 2.0).

    4. Если используете виртуальную машину, убедитесь, что USB-устройство проброшено в гостевую ОС.

    4. Настройка 1С для работы с ЭЦП

    Теперь, когда сертификат установлен в системе, необходимо настроить 1С:Предприятие для работы с ним. Процесс зависит от конфигурации, но общие шаги одинаковы для большинства решений.

    Шаг 1: Проверка подключения криптопровайдера в 1С

    1. Запустите 1С:Предприятие в режиме Конфигуратор.
    2. Перейдите в меню Администрирование → Настройки программы → Подписи и шифрование (путь может отличаться в зависимости от конфигурации).
    3. На вкладке Криптография проверьте, что выбран КриптоПро CSP (или другой используемый провайдер).

    Шаг 2: Привязка сертификата к пользователю 1С

    • 🔹 В режиме 1С:Предприятие откройте карточку пользователя (Администрирование → Пользователи).
    • 🔹 На вкладке Электронная подпись нажмите Выбрать сертификат и укажите нужный из списка.
    • 🔹 Сохраните изменения и перезапустите сеанс.

    Важно: если в системе установлено несколько сертификатов, может выбрать не тот. Чтобы избежать ошибок, предварительно удалите устаревшие сертификаты из хранилища certmgr.msc.

    Шаг 3: Настройка обмена с ЭДО и госорганами

    Для отправки отчётности в ФНС или работы с ЭДО (Диадок, СБИС) необходимо дополнительно указать сертификат в настройках обмена:

    1. Перейдите в Администрирование → Организации → [Выберите организацию] → Электронная подпись.
    2. Привяжите сертификат к организации и сохраните.
    3. В настройках обмена с ФНС (Отчётность → Настройки) проверьте, что выбран правильный сертификат для подписания.
    💡

    Если после привязки сертификата в 1С появляется ошибка Не найден сертификат в контейнере, проверьте, что носитель ЭЦП подключён к тому же USB-порту, что и при импорте сертификата. Некоторые носители (например, Рутокен ЭЦП 2.0) привязываются к конкретному порту.

    5. Проверка работоспособности ЭЦП в 1С

    После настройки необходимо протестировать подписание документа. Для этого:

    1. Создайте тестовый документ (например, Счёт-фактуру или Акт выполненных работ).
    2. Нажмите Подписать (или Подписать и отправить, если используете ЭДО).
    3. В окне выбора сертификата должен отобразиться ваш новый сертификат. Выберите его и подтвердите действие.

    Если подписание прошло успешно, в статусе документа появится отметка о подписи. Если возникла ошибка, проверьте следующие моменты:

    Ошибка Возможная причина Решение
    Ошибка 2137: Не найден сертификат Сертификат не привязан к пользователю в 1С или носитель не подключён. Проверьте подключение носителя и повторно привяжите сертификат в карточке пользователя.
    Ошибка 0x80090019: Неверный PIN-код Неверный пароль к носителю ЭЦП. Введите PIN повторно. Если забыли — воспользуйтесь утилитой сброса от производителя носителя.
    Ошибка 0x800B0101: Цепочка сертификатов недействительна Отсутствует корневой сертификат УЦ. Установите цепочку сертификатов из пакета, предоставленного УЦ.
    Ошибка при инициализации CSP Несовместимость версии КриптоПро с сертификатом. Обновите КриптоПро CSP до последней версии.

    Для диагностики сложных ошибок используйте утилиту csptest (входит в состав КриптоПро CSP). Запустите её из командной строки с параметром -keyset: 

    csptest -keyset -enumcont -fqcn -verifycontext

    Эта команда выведет список всех контейнеров с сертификатами и их статус.

    💡

    Если вы работаете с 1С:Бухгалтерия и после обновления ЭЦП перестали отправляться декларации, проверьте настройки в Отчётность → Настройки обмена → Сертификаты. Иногда при обновлении сбрасывается привязка сертификата к организации.

    6. Типичные проблемы и их решения

    Даже при точном следовании инструкции пользователи сталкиваются с ошибками. Рассмотрим самые распространённые случаи и способы их устранения.

    Проблема 1: 1С не видит сертификат, хотя он установлен в системе

    • 🔹 Причина: Сертификат импортирован в хранилище Текущий пользователь, а 1С работает под другой учётной записью.
    • 🔹 Решение: Перенесите сертификат в хранилище Локальный компьютер через certmgr.msc.

    Проблема 2: Ошибка Нет доступа к закрытому ключу

    • 🔹 Причина: Отсутствуют права на доступ к контейнеру закрытого ключа.
    • 🔹 Решение: Запустите 1С от имени администратора или назначьте права на контейнер через КриптоПро CSP (вкладка Сервис).

    Проблема 3: Подписание проходит, но ФНС отказывает в приёме отчётности

    • 🔹 Причина: Сертификат не соответствует требованиям ФНС (например, выпущен неаккредитованным УЦ).
    • 🔹 Решение: Проверьте аккредитацию УЦ на сайте Минцифры и получите новый сертификат у аккредитованного центра.

    ⚠️ Внимание: Требования ФНС к сертификатам ЭЦП могут изменяться. Например, с 2023 года для сдачи отчётности обязательно использование сертификатов по ГОСТ Р 34.10-2012 с длиной ключа 256 бит. Уточняйте актуальные условия на сайте налоговой службы.

    7. Обновление ЭЦП: когда и как менять сертификат

    Срок действия квалифицированной ЭЦП обычно составляет 1 год. За 1–2 месяца до истечения сертификата необходимо получить новый. Процесс обновления включает следующие этапы:

    Шаг 1: Получение нового сертификата

    • 🔹 Обратитесь в свой Удостоверяющий центр (например, Тензор, СКБ Контур, Калуга Астрал).
    • 🔹 Предоставьте документы (паспорт, СНИЛС, выписку из ЕГРЮЛ/ЕГРИП) и оплатите услугу.
    • 🔹 Получите новый носитель или файл сертификата (.pfx).

    Шаг 2: Замена сертификата в 1С

    1. Удалите старый сертификат из хранилища (certmgr.msc).
    2. Импортируйте новый сертификат (см. раздел 3).
    3. Обновите привязку сертификата в карточке пользователя и организации в 1С.

    Шаг 3: Тестирование

    Отправьте тестовую отчётность (например, Уведомление о контролируемых сделках) или подпишите внутренний документ, чтобы убедиться в работоспособности новой ЭЦП.

    ⚠️ Внимание: Если вы используете 1С:ЭДО или Диадок, после замены сертификата может потребоваться повторная авторизация в системе обмена. В некоторых случаях (например, при смене УЦ) приходится создавать новый аккаунт в сервисе ЭДО.

    8. Работа с ЭЦП в нетиповой конфигурации 1С

    Если вы используете сильно доработанную или самописную конфигурацию, стандартные механизмы подписания могут не работать. В этом случае потребуется:

    Вариант 1: Настройка через внешние обработки

    • 🔹 Разработайте или скачайте готовую обработку для подписания (например, ПодписаниеXML от ).
    • 🔹 В коде обработки укажите параметры криптопровайдера и путь к сертификату:
    ПодписатьXML = Новый ПодписаниеXML;

    ПодписатьXML.Сертификат = ПолучениеСертификатаИзХранилища("Имя_сертификата");
    

    ПодписатьXML.Подписать(ДокументXML);

    Вариант 2: Интеграция через API

    Для автоматизации подписания (например, в 1С:Документооборот) можно использовать REST API сервисов ЭДО или собственные HTTP-сервисы. Пример кода для отправки подписанного файла: 

    HTTPЗапрос = Новый HTTPЗапрос("https://edo.example.com/api/sign");

    HTTPЗапрос.УстановитьТелоИзСтроки(ПодписанныйXML);
    

    HTTPЗапрос.Выполнить();

    Вариант 3: Прямое обращение к CryptoAPI

    Для низкоуровневой работы с ЭЦП в коде 1С используйте объекты Криптография: 

    Крипто = Новый Криптография;

    Хэш = Крипто.ПолучитьХэш(ДанныеДляПодписи, "ГОСТ3411");
    

    Подпись = Крипто.Подписать(Хэш, Сертификат, "ГОСТ3410");

    ⚠️ Внимание: При работе с нетиповой конфигурацией обязательно тестируйте подписание на копии базы. Ошибки в коде могут привести к блокировке сертификата (например, после 3 неудачных попыток ввода PIN-кода).
    💡

    В нетиповой конфигурации всегда проверяйте совместимость используемых алгоритмов подписи (ГОСТ Р 34.10-2001 vs ГОСТ Р 34.10-2012) с требованиями контрагентов или госорганов.

    FAQ: Ответы на частые вопросы

    Можно ли использовать одну ЭЦП для нескольких организаций в 1С?

    Да, но только если сертификат выдан на физическое лицо (ИП или директор компании). Для юридических лиц требуется отдельный сертификат на каждую организацию, так как в нём указывается ОГРН и ИНН конкретного юрлица.

    В 1С:Бухгалтерия один сертификат можно привязать к нескольким организациям, но при отправке отчётности в ФНС будет использоваться ИНН, указанный в сертификате.

    Что делать, если забыл PIN-код от Рутокена?

    Для сброса PIN-кода используйте утилиту Рутокен Плагин (вкладка Сервис → Сброс PIN). Потребуется PUK-код (обычно указан на конверте с носителем). Если PUK также утерян, обратитесь в Удостоверяющий центр — носитель придётся перевыпустить.

    Почему 1С просит сертификат при каждом подписании, хотя он уже привязан?

    Это происходит, если в настройках программы отключён параметр Использовать сертификат по умолчанию. Чтобы исправить:

    1. Откройте Администрирование → Настройки программы → Подписи и шифрование.
    2. Включите опцию Использовать сертификат по умолчанию для текущего пользователя.
    3. Сохраните настройки и перезапустите 1С.
    Можно ли подписывать документы в 1С без физического носителя ЭЦП?

    Да, если сертификат установлен в хранилище Windows (certmgr.msc) в виде файла (.pfx). Однако для квалифицированной ЭЦП (для отчётности в ФНС) обязательно использование защищённого носителя (Рутокен, JaCarta или eToken).

    Неквалифицированную подпись (для внутреннего документооборота) можно хранить в реестре или файле, но это менее безопасно.

    Как перенести ЭЦП на другой компьютер?

    Для переноса сертификата:

    1. Экспортируйте сертификат с закрытым ключом через certmgr.msc (формат .pfx).
    2. Скопируйте файл на новый компьютер и импортируйте его в хранилище.
    3. Установите на новом ПК КриптоПро CSP и драйверы носителя (если используется).
    4. Привяжите сертификат к пользователю в 1С.

    ⚠️ Важно: При экспорте в .pfx установите надёжный пароль — без него злоумышленник сможет использовать вашу подпись.