Как извлечь сертификат из 1С: все рабочие способы с примерами

Работа с электронными подписями в 1С:Предприятие часто требует извлечения сертификатов для переноса на другие рабочие станции, резервного копирования или интеграции с внешними системами. Однако стандартный интерфейс программы не всегда предоставляет очевидные инструменты для этой задачи. В зависимости от версии платформы, типа сертификата (ЭЦП, SSL, корневые) и места его хранения (личное хранилище, реестр Windows, контейнер CryptoPro) процесс может кардинально отличаться.

Эта статья покрывает все актуальные методы извлечения сертификатов из 1С — от ручного экспорта через конфигуратор до автоматизированных скриптов и сторонних утилит. Мы разберём нюансы для 1С:Предприятие 8.3 (включая последние релизы 2026–2026 гг.), а также уделим внимание типичным ошибкам, например, когда сертификат "не виден" в списке или защищён паролем. Если вам нужно перенести ключи на другой компьютер, восстановить доступ после сбоя или просто сделать резервную копию — здесь вы найдёте пошаговые инструкции с иллюстрациями и кодами.

1. Подготовка: где и в каком виде хранятся сертификаты в 1С

Прежде чем извлекать сертификат, важно понять, где именно он расположен. В 1С:Предприятие ключи ЭЦП и SSL-сертификаты могут храниться в трёх основных местах:

• 📁 Личное хранилище Windows — стандартный системный реестр сертификатов (certmgr.msc). Используется по умолчанию для большинства ЭЦП.
• 🔑 Контейнеры CryptoPro — защищённые файлы с расширением .key или .pfx, привязанные к конкретному пользователю.
• 🗄️ Файловое хранилище 1С — встроенная база сертификатов внутри конфигурации (актуально для 1С:Бухгалтерии, 1С:ЗУП и других типовых решений).

Чтобы определить место хранения, откройте 1С в режиме Конфигуратор и перейдите в меню Администрирование → Настройки программы → Сертификаты. Здесь отображается список всех подключённых сертификатов с указанием типа и источника. Если раздел отсутствует — значит, сертификаты хранятся вне 1С (например, в CryptoPro или реестре Windows).

Ключевой нюанс: сертификаты, используемые для обмена с ФНС, ПФР или ФСС, часто привязаны к конкретному физическому носителю (токену Рутокен, JaCarta). В этом случае их нельзя извлечь программно — только скопировать с помощью специализированного ПО (например, CryptoARM).

2. Способ 1: Экспорт сертификата через конфигуратор 1С

Самый простой метод — использовать встроенные инструменты 1С:Предприятия. Он подходит для сертификатов, хранящихся непосредственно в базе данных программы. Инструкция актуальна для версий 8.3.20+:

1. Запустите 1С в режиме Конфигуратор (для этого удерживайте Shift при запуске ярлыка).
2. Перейдите в меню Администрирование → Настройки программы → Сертификаты.
3. В списке найдите нужный сертификат и нажмите Экспортировать (или Сохранить как... в зависимости от версии).
4. Укажите путь для сохранения файла. Рекомендуемый формат — .pfx (включает закрытый ключ) или .cer (только открытый ключ).
5. Если требуется, задайте пароль для защиты экспортируемого файла.

⚠️ Внимание: В некоторых конфигурациях (например, 1С:ERP) раздел с сертификатами может быть скрыт. Чтобы его отобразить, включите режим Полный интерфейс в настройках пользователя или используйте права администратора.

Имеются права администратора в 1С

Сертификат не заблокирован (статус "Действителен")

Выбран правильный формат файла (.pfx для ключей, .cer для сертификатов)

Свободное место на диске для сохранения-->

Если кнопка Экспортировать неактивна, это означает, что сертификат:

• 🔒 Защищён аппаратным ключом (токеном) и не может быть извлечён программно.
• 📛 Принадлежит другому пользователю (проверьте права доступа).
• 🚫 Истёк или отозван (просмотрите статус в свойствах сертификата).

3. Способ 2: Извлечение сертификата из хранилища Windows

Если сертификат установлен в системное хранилище (что типично для ЭЦП от Удостоверяющих Центров), его можно экспортировать стандартными средствами Windows:

1. Нажмите Win + R, введите certmgr.msc и подтвердите запуск.
2. В открывшемся окне перейдите в папку Личное → Сертификаты.
3. Найдите нужный сертификат (можно отсортировать по дате или издателю), кликните правой кнопкой и выберите Все задачи → Экспортировать....
4. В мастере экспорта выберите Да, экспортировать закрытый ключ (если требуется) и укажите формат .PFX.
5. Задайте пароль для защиты файла (обязательно, если экспортируется закрытый ключ).
6. Сохраните файл в удобное место (например, на рабочий стол).

Важно: Сертификаты, установленные через CryptoPro CSP, могут не отображаться в certmgr.msc. В этом случае используйте утилиту CryptoPro (см. следующий раздел).

Формат файла	Содержимое	Когда использовать
.pfx / .p12	Сертификат + закрытый ключ	Для переноса на другой ПК или резервного копирования
.cer / .crt	Только открытый ключ	Для передачи контрагентам или проверки подписи
.key	Закрытый ключ (без сертификата)	Только для технических целей (например, интеграции)

4. Способ 3: Работа с контейнерами CryptoPro

Многие организации в России используют CryptoPro CSP для работы с ЭЦП. Сертификаты в этом случае хранятся в защищённых контейнерах, и для их извлечения потребуется специализированное ПО:

1. Установите CryptoPro CSP (версия 5.0 или новее) и КриптоПро ЭЦП Browser plug-in.
2. Запустите Панель управления CryptoPro (через меню Пуск или командой cpcsp -admin в cmd).
3. Перейдите на вкладку Сервис и нажмите Просмотреть сертификаты в контейнере.
4. Выберите нужный контейнер (по имени или серийному номеру) и нажмите Далее.
5. В окне свойств сертификата нажмите Скопировать в файл... и следуйте инструкциям мастера экспорта.

⚠️ Внимание: При копировании контейнера CryptoPro может потребоваться ввод PIN-кода от токена (если сертификат защищён аппаратным ключом). Без токена извлечь закрытый ключ невозможно — можно экспортировать только открытую часть сертификата (.cer).

Для автоматизации процесса можно использовать команду в cmd:

certmgr -put -c "Имя_контейнера" -f "путь\к\файлу.pfx" -p "пароль"

Где:

• Имя_контейнера — имя контейнера (можно узнать через csptest -enum).
• путь\к\файлу.pfx — путь для сохранения.
• пароль — пароль для защиты экспортируемого файла.

Что делать, если CryptoPro не видит сертификат?

Если в списке контейнеров CryptoPro отсутствует нужный сертификат, проверьте:

1. Подключён ли токен (если сертификат на нём).

2. Установлен ли корректный драйвер для токена (Рутокен, JaCarta и т.д.).

3. Запущена ли служба CryptoPro (проверьте в services.msc).

4. Не истёк ли срок действия сертификата (просмотрите через certmgr.msc).

Если проблема остаётся, попробуйте переустановить CryptoPro CSP или обратитесь в поддержку Удостоверяющего Центра, выдавшего сертификат.

5. Способ 4: Извлечение сертификата из файловой базы 1С

В некоторых конфигурациях (например, 1С:Бухгалтерия 3.0) сертификаты хранятся непосредственно в файловой базе данных. Чтобы их извлечь:

1. Закройте все сеансы 1С.
2. Сделайте резервную копию базы (через Конфигуратор → Администрирование → Выгрузить информационную базу).
3. Откройте файл базы (.1CD) с помощью утилиты 1Cv8.DT (входит в комплект поставки 1С).
4. Перейдите в раздел ХранилищеДополнительнойИнформации и найдите узел с сертификатами (обычно имеет путь типа /Certificates/).
5. Экспортируйте нужные файлы в формате .dat или .bin.

⚠️ Внимание: Редактирование файлов базы напрямую может привести к её повреждению. Этот метод рекомендуется только опытным пользователям или администраторам 1С. Для безопасности используйте тестовую копию базы.

Альтернативный способ — использовать встроенный язык 1С для извлечения сертификатов через скрипт:

// Пример кода для экспорта сертификата в файл
ХранилищеСертификатов = Новый ХранилищеСертификатов;
Сертификат = ХранилищеСертификатов.НайтиПоИмени("ИмяСертификата");
Если Сертификат <> Неопределено Тогда
Сертификат.СохранитьВФайл("C:\Temp\сертификат.pfx", "пароль");
КонецЕсли;

Этот код можно выполнить в режиме Отладка (F5) в конфигураторе. Замените "ИмяСертификата" на актуальное имя и укажите путь для сохранения.

6. Способ 5: Использование внешних утилит (OpenSSL, KeyTool)

Для продвинутых пользователей доступны универсальные инструменты работы с сертификатами:

• 🔧 OpenSSL — позволяет конвертировать форматы, извлекать ключи и проверять сертификаты.
• 🔑 KeyTool (входит в Java JDK) — для работы с хранилищами .jks и .keystore.
• 📂 CertUtil (встроенная утилита Windows) — для управления сертификатами из командной строки.

Пример использования OpenSSL для извлечения закрытого ключа из .pfx:

openssl pkcs12 -in сертификат.pfx -nocerts -out ключ.key -nodes

Где:

• сертификат.pfx — исходный файл.
• ключ.key — файл с закрытым ключом (будет создан).
• -nodes — отключает шифрование ключа (используйте только в безопасной среде!).

Для извлечения сертификата без ключа:

openssl pkcs12 -in сертификат.pfx -clcerts -nokeys -out сертификат.cer

⚠️ Внимание: Работа с OpenSSL требует знания командной строки. Неправильные команды могут повредить сертификаты или ключи. Всегда делайте резервные копии перед конвертацией.

7. Типичные ошибки и их решения

При извлечении сертификатов из 1С пользователи часто сталкиваются с следующими проблемами:

Ошибка	Возможная причина	Решение
"Сертификат не найден"	Сертификат хранится на токене или в другом хранилище.	Проверьте подключение токена или используйте CryptoPro.
"Нет прав на экспорт"	Недостаточно прав в 1С или Windows.	Запустите 1С от имени администратора.
"Неверный пароль"	Пароль для контейнера или .pfx введён неверно.	Восстановите пароль через Удостоверяющий Центр.
"Формат не поддерживается"	Попытка экспорта в несовместимый формат.	Используйте .pfx для ключей или .cer для сертификатов.

Если при экспорте через 1С появляется сообщение "Операция не поддерживается", это может означать:

• 🔄 Сертификат используется в текущем сеансе (закройте все окна 1С и повторите попытку).
• 🔐 Сертификат защищён политиками безопасности (обратитесь к администратору 1С).
• 📋 Формат базы данных не поддерживает операцию (актуально для старых версий 1С 7.7).

8. Безопасность: как защитить экспортированные сертификаты

Извлечённый сертификат — это критически важный элемент защиты данных. Его компрометация может привести к несанкционированному доступу к системам или подделке документов. Следуйте правилам безопасности:

• 🔐 Храните .pfx-файлы в зашифрованных архивах (например, 7-Zip с паролем).
• 💾 Создавайте резервные копии на внешних носителях (не на рабочем ПК!).
• 🚫 Никогда не передавайте закрытые ключи по email или мессенджерам.
• 🔄 Регулярно обновляйте сертификаты (срок действия стандартной ЭЦП — 1 год).

Для дополнительной защиты используйте:

• Аппаратные токены (Рутокен, JaCarta) — храните ключи на физических носителях.
• HSM-модули — аппаратные средства защиты для корпоративных систем.
• Политики доступа — ограничьте права на экспорт сертификатов в 1С.

Критическая информация: Если сертификат был скомпрометирован (например, файл .pfx попал в чужие руки), немедленно отзовите его через Удостоверяющий Центр и выпустите новый. Использование скомпрометированного сертификата может привести к юридическим последствиям (например, при подписании документов для ФНС).

FAQ: Частые вопросы по извлечению сертификатов из 1С

Можно ли извлечь сертификат с токена Рутокен без самого токена?

Нет. Закрытый ключ на аппаратных токенах (Рутокен, JaCarta, eToken) хранится в защищённой памяти устройства и не может быть скопирован программно. Вы можете экспортировать только открытую часть сертификата (.cer) без закрытого ключа. Для полного переноса сертификата потребуется физический токен.

Как перенести сертификат с одного компьютера на другой?

Процесс зависит от типа сертификата:

1. Если сертификат в файле (.pfx), просто скопируйте его на новый ПК и импортируйте через certmgr.msc или 1С.
2. Если сертификат в контейнере CryptoPro, экспортируйте контейнер с помощью CryptoPro CSP и импортируйте на новом компьютере.
3. Если сертификат на токене, подключите токен к новому ПК и установите драйверы.

Не забудьте установить все необходимые криптопровайдеры (например, CryptoPro) на целевом компьютере.

Почему при экспорте сертификата из 1С появляется ошибка "Объект не найден"?

Эта ошибка возникает в нескольких случаях:

• Сертификат был удалён или перемещён в другое хранилище.
• У пользователя недостаточно прав для доступа к сертификату.
• Сертификат хранится во внешней системе (например, в Диадок или Контур.Диадок).
• Версия 1С не поддерживает операцию экспорта (актуально для устаревших релизов).

Проверьте наличие сертификата в certmgr.msc и права доступа к нему. Если сертификат используется облачным сервисом, его придётся извлекать через API этого сервиса.

Можно ли восстановить сертификат, если файл .pfx утерян?

Да, но только если:

• Сертификат всё ещё установлен в хранилище Windows или 1С (экспортируйте его заново).
• У вас есть резервная копия контейнера CryptoPro.
• Сертификат выпущен Удостоверяющим Центром, который предоставляет услугу восстановления (например, Тензор, СКБ Контур).

Если ни один из вариантов не подходит, придётся выпускать новый сертификат. Обратитесь в Удостоверяющий Центр, выдавший оригинальный сертификат.

Как проверить, что экспортированный сертификат работоспособен?

Перед использованием проверьте сертификат:

1. Двойным кликом откройте файл .cer или .pfx — должна отобразиться информация о сертификате без ошибок.
2. Импортируйте сертификат в тестовую базу 1С и попробуйте подписать им документ.
3. Используйте утилиту CryptoARM или OpenSSL для проверки цепочки доверия:

   openssl verify -CAfile корневой_сертификат.cer пользовательский_сертификат.cer

Если сертификат не проходит проверку, обратитесь в Удостоверяющий Центр для диагностики.