КриптоАРМ ГОСТ используют, когда нужно подписать файл электронной подписью на компьютере: договор, заявление, архив, XML-файл, отчет, проектную документацию или другой электронный документ. После подписания получатель сможет проверить, кто подписал файл и менялся ли документ после подписи.
Главное перед началом - понять, какой результат нужен получателю. Иногда требуется отдельный файл подписи с расширением .sig. Иногда нужен подписанный контейнер, где документ и подпись идут вместе. Для налоговой, торговой площадки, банка, суда, Росреестра или внутреннего ЭДО формат лучше сверять с инструкцией площадки. КриптоАРМ подпишет файл, но неправильный тип подписи может не пройти загрузку в нужную систему.
Что должно быть готово перед подписанием
Если рабочее место не подготовлено, подписание обычно останавливается на выборе сертификата или на вводе PIN-кода. Поэтому перед запуском КриптоАРМ лучше сразу проверить базовые вещи.
- КриптоПро CSP установлен. Это обязательное требование: без установленного в системе КриптоПро CSP приложение КриптоАРМ ГОСТ не запустится. КриптоАРМ ГОСТ работает только с этим криптопровайдером и использует его для доступа к сертификату и закрытому ключу.
- КриптоАРМ ГОСТ установлен и запускается. Используйте актуальную версию с официального сайта КриптоАРМ.
- Сертификат электронной подписи доступен. В списке должен отображаться личный сертификат с закрытым ключом.
- Токен подключен. Если ключ хранится на Рутокен, JaCarta или другом носителе, вставьте его до запуска операции.
- PIN-код известен владельцу подписи. Если ключ или контейнер защищен PIN-кодом, без него программа не сможет обратиться к закрытому ключу.
- Исходный документ не открыт на редактирование. Закройте Word, Excel, архиватор или другую программу, которая может держать файл занятым.
- Понятен нужный формат подписи. Уточните, нужна «присоединенная» или «отсоединенная» подпись, обычная CMS или усовершенствованная CAdES.
Какой тип подписи выбрать
В КриптоАРМ параметры подписи выбираются до запуска операции. Не нужно менять все настройки подряд. В большинстве бытовых и корпоративных задач достаточно выбрать сертификат, вид подписи и место сохранения результата.
| Параметр | Что выбрать | Когда подходит |
|---|---|---|
| «Вид подписи» | «Отсоединенная» | Когда площадка ждет отдельный файл подписи .sig рядом с исходным документом. Исходный файл и подпись отправляются вместе двумя файлами. |
| «Вид подписи» | «Присоединенная» | Когда нужно получить один подписанный файл, внутри которого уже есть исходный документ и подпись. |
| «Стандарт подписи» | «CMS» | Обычный вариант для создания классической электронной подписи, если получатель не требует усовершенствованный формат. |
| «Стандарт подписи» | «CAdES-X Long Type 1» | Для усовершенствованной подписи и долгосрочной проверки: внутрь подписи вшиваются штамп времени и данные о статусе сертификата, поэтому ее можно проверить спустя годы, даже если сертификат уже истек или отозван. Требует настроенной службы штампов времени и установленных компонентов КриптоПро TSP Client и КриптоПро OCSP Client. |
| «Кодировка» | «BASE64» или «DER» | Выбор зависит от требований системы, куда будет загружаться подпись. Если требований нет, оставьте настройку по умолчанию (обычно BASE64). |
| «Сохранить результат в каталоге» | Включить и выбрать папку | Удобно, если нужно заранее знать, где появится подписанный файл. |
Если документ предназначен для конкретной государственной системы или торговой площадки, сначала откройте ее инструкцию. Там обычно прямо указано: отсоединенная подпись, расширение .sig, кодировка и требования к архиву. Это лучше, чем угадывать по названию файла.
Пошаговая инструкция: как подписать документ в КриптоАРМ ГОСТ
Ниже порядок для обычного сценария: есть файл на компьютере, есть сертификат электронной подписи, нужно получить подписанный результат. Названия кнопок могут немного отличаться между версиями КриптоАРМ ГОСТ, но логика операции остается той же.
- Откройте КриптоАРМ ГОСТ.
Дождитесь загрузки главного окна. Если программа не запускается или открывается пустое белое окно, сначала проверьте установку КриптоАРМ, КриптоПро CSP и лицензию. - Перейдите в раздел «Подпись и шифрование».
В официальной инструкции также указан вариант через раздел «Документы». Для разового подписания удобнее работать через «Подпись и шифрование». - Добавьте файл.
Нажмите кнопку «+» и выберите документ на компьютере. Второй вариант - перетащить файл мышью в область списка файлов. Можно добавить несколько файлов, если нужно подписать их одной операцией. - Выберите операцию «Подпись».
После выбора операции станут доступны параметры подписи. Если в интерфейсе уже выбран профиль по умолчанию, проверьте его перед запуском. - Откройте «Параметры».
Проверьте «Сертификат подписи», «Стандарт подписи», «Вид подписи», «Кодировка» и папку сохранения. Если получатель не просил специальный формат, не меняйте дополнительные параметры без необходимости. - Выберите сертификат.
Если программа подставила не тот сертификат, нажмите «Заменить», выберите нужный сертификат в списке и нажмите «Выбрать». Проверяйте владельца, срок действия и назначение сертификата. - Укажите папку для результата.
Включите «Сохранить результат в каталоге» и выберите папку, если хотите сохранить подпись в отдельном месте. Если этот флаг не включен, результат обычно сохраняется рядом с исходным файлом. - Подтвердите просмотр документа.
Поставьте флаг «Документы просмотрены перед их подписанием». Без этого подтверждения кнопка запуска операции может быть недоступна. - Запустите подписание.
Нажмите «Подписать» или «Выполнить», в зависимости от версии интерфейса. Если ключ хранится на токене, введите PIN-код. - Проверьте результат операции.
После успешной операции КриптоАРМ покажет результат. Для отсоединенной подписи рядом с документом появится отдельный файл подписи, обычно с расширением .sig.
Что должно получиться на выходе
Результат зависит от выбранного вида подписи. Это важный момент: получателю может понадобиться не только файл .sig, но и исходный документ.
| Выбранный вариант | Что появится после подписания | Что отправлять получателю |
|---|---|---|
| «Отсоединенная» подпись | Отдельный файл подписи, чаще всего с расширением .sig | Исходный документ и файл .sig. Если отправить только .sig, получатель не сможет проверить документ. |
| «Присоединенная» подпись | Один подписанный файл, который содержит документ и подпись | Подписанный файл. Исходник отдельно нужен только по требованию площадки или контрагента. |
| «Сохранить копию в Документах» | Копия результата в специальном каталоге КриптоАРМ | Файл из папки результата операции или из раздела «Документы», если копия сохранялась туда. |
Отсоединенная подпись проверяется по содержимому файла, а не по его имени, поэтому само по себе переименование исходного документа не нарушает математическую проверку подписи. Но многие площадки ждут строгую пару по имени - исходный документ и файл подписи рядом, с совпадающими именами (например, документ.pdf и документ.pdf.sig). Поэтому без необходимости исходный файл лучше не переименовывать: лишнее переименование часто путает пользователей и поддержку и может помешать загрузке.
Как проверить подпись перед отправкой
Проверка нужна не только получателю. Лучше сразу убедиться, что подпись открывается, сертификат виден, файл не поврежден, а результат сохранен в правильной папке.
- Откройте в КриптоАРМ раздел «Подпись и шифрование» или «Документы».
- Добавьте подписанный файл или пару файлов: исходный документ и .sig.
- Выберите операцию «Проверка подписи» или используйте действие «Проверить подпись» в результатах операции.
- Дождитесь окончания проверки.
- Откройте сведения о подписи и проверьте владельца сертификата, срок действия и результат проверки.
Если КриптоАРМ пишет, что подпись математически корректна, но нет полного доверия к сертификату, это обычно означает проблему с цепочкой доверия: не установлены корневые или промежуточные сертификаты удостоверяющего центра, не загружены списки отзыва или недоступна проверка статуса сертификата.
Типичные ошибки и что с ними делать
| Проблема | Вероятная причина | Что проверить |
|---|---|---|
| Сертификат не отображается в списке | Сертификат не установлен, нет привязки к закрытому ключу, токен не подключен или КриптоПро CSP не видит контейнер | Подключите токен, проверьте сертификат в КриптоПро CSP, установите сертификат из контейнера или обратитесь в УЦ |
| Кнопка «Подписать» или «Выполнить» недоступна | Не выбран файл, не выбран сертификат или не установлен флаг «Документы просмотрены перед их подписанием» | Проверьте список файлов, сертификат и флаг просмотра документа |
| Появляется ошибка при обращении к ключу | Неверный PIN-код, заблокированный токен, неподдерживаемый носитель или проблема с криптопровайдером | Проверьте PIN-код, носитель, драйвер токена и установленный КриптоПро CSP |
| Площадка не принимает подпись | Выбран не тот вид подписи, кодировка или стандарт | Сравните требования площадки с параметрами «Вид подписи», «Кодировка» и «Стандарт подписи» |
| Получатель не может проверить отсоединенную подпись | Отправлен только .sig или исходный файл изменили после подписания | Отправьте исходный документ без изменений и соответствующий файл подписи |
| Проверка сообщает о недоверенном сертификате | Не установлена цепочка доверия, списки отзыва или нет доступа к OCSP/CRL | Установите корневые и промежуточные сертификаты УЦ, обновите списки отзыва и проверьте доступ к службам проверки статуса |
Если ошибку не удается устранить по таблице, воспользуйтесь официальной инструкцией по диагностике рабочего места на сайте КриптоАРМ. Она помогает проверить криптопровайдер, носитель и привязку сертификата к закрытому ключу, а при необходимости - перенести контейнер закрытого ключа под нужную операционную систему.
Что нельзя делать с подписанным документом
- Не редактируйте файл после подписания. Любое изменение исходного документа нарушит проверку подписи.
- Не отправляйте отсоединенную подпись без исходного файла. Файл .sig сам по себе не заменяет документ.
- Не подписывайте документ, который не просмотрели. Флаг «Документы просмотрены перед их подписанием» означает именно подтверждение содержимого.
- Не передавайте PIN-код от токена коллегам. Электронная подпись подтверждает действие владельца сертификата.
- Не выбирайте CAdES-X Long Type 1 без настроенной службы TSP. Для такой подписи нужны дополнительные компоненты и параметры службы штампов времени.
FAQ: частые вопросы по подписи в КриптоАРМ
Какой файл отправлять после подписания?
Если выбрана «отсоединенная» подпись, отправляйте исходный документ и файл .sig. Если выбрана «присоединенная» подпись, обычно достаточно одного подписанного файла.
Почему после подписи появился файл .sig?
Файл .sig обычно появляется при отсоединенной подписи. В нем хранится электронная подпись, а сам документ остается отдельным файлом.
Можно ли подписать сразу несколько документов?
Да. В разделе «Подпись и шифрование» можно добавить несколько файлов через кнопку «+» или перетащить их в список. Перед запуском проверьте, что для всех документов подходит один и тот же тип подписи.
Можно ли подписать PDF с видимым штампом подписи?
Да. КриптоАРМ ГОСТ умеет добавлять в PDF видимый штамп визуализации подписи. Этот вариант включается в параметрах операции при подписании PDF-файла. Если получателю важна отметка о подписи прямо на странице документа, проверьте, что штамп включен до запуска операции.
Что делать, если документ должны подписать несколько человек?
Один документ можно подписать несколькими сертификатами. Для этого каждый подписант по очереди добавляет свою подпись к уже подписанному файлу. Заранее уточните у площадки, какой формат ей нужен: несколько подписей в одном присоединенном файле или отдельные файлы подписи для каждого подписанта.
Почему КриптоАРМ не видит мой сертификат?
Чаще всего сертификат не установлен, токен не подключен, закрытый ключ не привязан к сертификату или КриптоПро CSP не видит ключевой контейнер. Начните с проверки токена, КриптоПро CSP и срока действия сертификата.
Чем отличается «присоединенная» подпись от «отсоединенной»?
Присоединенная подпись хранит документ и подпись вместе. Отсоединенная подпись хранится отдельным файлом, поэтому для проверки нужны и исходный документ, и файл подписи.
