Можно ли использовать индивидуальные лицензии КриптоПро CSP на серверной ОС и как сэкономить на серверной лицензии

Системный администратор 1С v8.3 (Управляемые формы) IT и автоматизация бизнеса
← На главную

При развертывании инфраструктуры для электронного документооборота (ЭДО) или сдачи отчетности в среде Windows Server многие компании сталкиваются с серьезным финансовым барьером. Стоимость серверной лицензии КриптоПро CSP в десятки раз превышает стоимость индивидуальной (клиентской) лицензии (подобная сложность лицензирования часто встречается в серверных средах). В данной статье мы подробно разберем, почему нельзя просто активировать дешевую лицензию на сервере, и проанализируем проверенные способы легальной оптимизации этих затрат.

Проблема разграничения лицензий: Клиентская vs Серверная

Рассмотрим техническую сторону вопроса. КриптоПро CSP имеет встроенные механизмы определения типа операционной системы. При попытке ввода серийного номера от клиентской лицензии (стоимостью около 2700 рублей) на операционной системе семейства Windows Server (например, 2016, 2019 или 2022), программа заблокирует активацию. Выясним причину: программный код СКЗИ проверяет флаги ядра ОС, и если система определяется как серверная, поле ввода лицензии будет ожидать только «серверный» ключ.

Важно понимать, что использование клиентской лицензии на сервере ограничено не только юридически (согласно лицензионному соглашению EULA), но и технически. Даже если вам удастся обмануть систему через реестр, это может привести к нестабильной работе криптопровайдера в многопользовательском режиме RDP.

Решение 1: Использование встроенных в сертификат лицензий

Проанализируем самый эффективный и легальный способ избежать покупки серверной лицензии — использование сертификатов со встроенной лицензией. Несмотря на то, что массовый эксперимент ФНС по бесплатной раздаче таких лицензий формально завершился, возможность их получения сохраняется через доверенные лица УЦ ФНС (крупные банки, такие как Сбербанк, ВТБ или Тинькофф).

Разберем по шагам, как проверить наличие такой лицензии в вашем ключе:

  1. Откройте панель управления КриптоПро CSP.
  2. Перейдите на вкладку «Сервис» и нажмите «Просмотреть сертификаты в контейнере».
  3. Выберите нужный сертификат и нажмите «Свойства».
  4. Перейдите на вкладку «Состав».
  5. Найдите поле «Ограниченная лицензия КРИПТО-ПРО».

Если это поле присутствует, значит, лицензия на использование СКЗИ уже оплачена и «зашита» в сам сертификат. КриптоПро CSP на сервере будет работать в полнофункциональном режиме для операций с этим конкретным ключом, даже если основная лицензия программы истекла или не введена. Это идеальный вариант для 1С:ЭДО (с учетом возможности выполнить сохранение всех PDF файлов из пакета в один архив (поможет выгрузка и архивирование документов ЭДО в PDF)), когда подписью пользуются всего несколько сотрудников.

Решение 2: Переход на бесплатный криптопровайдер ViPNet CSP

Рассмотрим альтернативу от компании «Инфотекс». Программа ViPNet CSP является полностью бесплатной для коммерческого использования, в том числе на серверных операционных системах. Это позволяет полностью исключить затраты в 67 000 рублей.

Однако здесь есть важные нюансы совместимости, которые мы должны учитывать:

Решение 3: Виртуализация и изменение архитектуры доступа

Если специфика работы требует использования именно клиентских лицензий КриптоПро, проанализируем вариант с виртуализацией. Вместо работы в терминальной сессии (RDP) непосредственно на сервере, можно развернуть инфраструктуру виртуальных рабочих столов (VDI).

Посмотрим на алгоритм реализации этого метода:

  1. На мощном сервере разворачивается гипервизор.
  2. Создается виртуальная машина с клиентской ОС (например, Windows 10 Pro или Windows 11).
  3. На эту виртуальную машину устанавливается 1С и клиентская версия КриптоПро CSP за 2700 руб.
  4. Пользователь подключается по RDP не к серверу, а к своей «виртуалке».

С точки зрения лицензирования КриптоПро, это является обычным рабочим местом, и покупка серверной лицензии не требуется. Это решение дороже в плане администрирования, но значительно дешевле прямой покупки серверного ключа при малом количестве пользователей.

Решение 4: Технология КриптоПро DSS (Облачная подпись)

Выясним преимущества облачных технологий. Если ваша организация использует 1С:ЭДО, вы можете рассмотреть использование облачного сертификата. В этом случае закрытый ключ хранится в защищенном хранилище (HSM) удостоверяющего центра — есть интеграция 1С с системой Госключ.

При таком подходе на сам сервер вообще не требуется устанавливать локальный криптопровайдер КриптоПро CSP с лицензией, так как все операции подписания происходят удаленно на стороне УЦ. Для 1С это выглядит как выбор сертификата из списка через специальный плагин. Это позволяет легально работать на сервере, оплачивая лишь ежегодное обслуживание облачной подписи — поможет подписание документов в 1С через Госключ.

Технические рекомендации по настройке 1С

При использовании любого из вышеперечисленных методов, проанализируем настройки в самой программе 1С — для этого подойдёт мониторинг ошибок криптографии через Telegram. Для стабильной работы в многопользовательском режиме рекомендуется выполнять подписание на стороне сервера 1С, а не клиента, если это позволяют технические условия. Рассмотрим пример кода для проверки доступности криптопровайдера в системе:


МенеджерКриптографии = Новый МенеджерКриптографии("", "", 80);
Попытка
    СведенияОПровайдере = МенеджерКриптографии.ПолучитьСведенияОПрограммеКриптографии();
    Сообщить("Используется провайдер: " + СведенияОПровайдере.Имя);
Исключение
    Сообщить("Ошибка инициализации криптографии: " + ОписаниеОшибки());
КонецПопытки;

Важно помнить: если вы используете 1С:Отчетность, данный сервис часто продолжает функционировать даже с истекшей лицензией КриптоПро благодаря партнерским соглашениям между «Калуга Астрал» и «Крипто-Про», однако это касается только операций внутри самого сервиса отчетности.

Резюме

Подводя итог, для двух бухгалтеров на сервере покупка лицензии за 67 000 рублей является избыточной. Мы рекомендуем в первую очередь проверить наличие встроенной лицензии в текущих сертификатах. Если её нет — при следующем перевыпуске получить подпись через доверенный банк (Сбербанк/ВТБ) со встроенной лицензией или рассмотреть переход на бесплатный ViPNet CSP, предварительно обеспечив совместимость контейнеров закрытых ключей.

← На главную