С изменением правил выдачи квалифицированных электронных подписей (КЭП) со стороны ФНС России, многие пользователи столкнулись с необходимостью перехода с программного обеспечения ViPNet CSP на КриптоПро CSP. Основная сложность заключается в том, что эти два криптопровайдера используют разные структуры контейнеров закрытых ключей, и простое копирование файлов здесь не поможет. Кроме того, одновременное нахождение обеих программ на одном компьютере (особенно на Windows Server) часто приводит к программным конфликтам, из-за которых 1С «перестает видеть» подписи. В этой статье мы подробно разберем, как осуществить миграцию корректно и избежать типичных ошибок.
Прежде всего, проанализируем ситуацию: почему нельзя просто перенести папку с ключами? Криптопровайдеры ViPNet и КриптоПро работают с разными форматами хранения данных. Для успешного переноса нам потребуется промежуточный формат — PKCS#12 (файл с расширением .pfx). Этот стандарт позволяет упаковать и открытый сертификат, и закрытый ключ в один зашифрованный архив.
Важно помнить: экспорт закрытого ключа возможен только в том случае, если при его создании в ViPNet была установлена пометка «Экспортируемый». Если ключ помечен как неэкспортируемый, штатно перенести его не удастся — в этом случае потребуется только перевыпуск КЭП в Удостоверяющем центре ФНС сразу под КриптоПро.
Рассмотрим пошагово процесс подготовки файла для миграции. Основная ошибка пользователей на этом этапе — экспорт «голого» сертификата без связки с закрытым ключом или без дополнительных свойств.
.pfx.Выясним причину, по которой 1С часто не видит новый криптопровайдер даже после успешной установки. Дело в том, что в реестре Windows за определенные типы алгоритмов ГОСТ отвечают конкретные ветки. Если ViPNet был удален некорректно, он может оставлять за собой «хвосты», которые перехватывают обращения 1С к криптографии.
Проанализируем алгоритм правильной очистки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider. Здесь не должно оставаться упоминаний об Infotecs или ViPNet, если вы планируете использовать только КриптоПро.Важное замечание: Если вы сначала установили КриптоПро, а потом удалили ViPNet, рекомендуется выполнить «Исправление» (Repair) установки КриптоПро через панель управления. Это позволит программе заново прописать себя в качестве основного провайдера ГОСТ-алгоритмов.
Теперь разберем, как правильно принять файл .pfx. Мы рекомендуем использовать встроенные инструменты КриптоПро CSP версии 5.0, так как они обладают наиболее совершенными механизмами импорта сторонних контейнеров.
.pfx файлу.Если после импорта сертификат всё равно оказывается в «Других пользователях» или отображается без значка закрытого ключа (маленький ключик на иконке сертификата), проанализируем ситуацию через командную строку. Часто системе нужно «подсказать», где лежит закрытый ключ.
Выполним команду certutil для восстановления связки:
certutil -repairstore my "Серийный_номер_вашего_сертификата"
Посмотрим, что делает эта команда: она обращается к личному хранилищу сертификатов, находит сертификат по серийному номеру и пытается опросить все установленные в системе криптопровайдеры на предмет наличия подходящего закрытого ключа. Если ключ был импортирован успешно, связка будет восстановлена.
После того как КриптоПро успешно видит ключ, перейдем к настройке 1С. Рассмотрим типичные места, где 1С «теряет» связь с криптографией.
75 (для ГОСТ 2001) или 80 (для ГОСТ 2012). В современных версиях 1С достаточно выбрать пресет «Crypto-Pro GOST CSP».Особенности для Windows Server: Если 1С работает в клиент-серверном варианте, помните, что проверка подписи может происходить на стороне сервера. В этом случае КриптоПро и сам сертификат с закрытым ключом должны быть установлены на сервере под той учетной записью, от которой запущена служба «Агент сервера 1С:Предприятие» (например, USR1CV8). Если ключ установлен в реестр текущего пользователя (администратора), сервер 1С его просто не увидит.
Выясним ситуацию с ключами на аппаратных носителях (Рутокен, JaCarta). Если ваша подпись от ФНС изначально находится на защищенном токене, процедура «переноса» значительно упрощается. Вам не нужно экспортировать .pfx. Достаточно:
Программа сама свяжет аппаратный ключ с сертификатом, и он станет доступен в 1С. Ключи на токенах ФНС, как правило, являются неэкспортируемыми, поэтому работа с ними напрямую через считыватель КриптоПро — самый надежный и безопасный вариант.
Таким образом, залогом успешного перехода является полная деинсталляция старого ПО, использование правильных опций экспорта (дополнительные свойства) и корректная настройка параметров криптографии внутри самой 1С. Следуя этим шагам, вы обеспечите бесперебойную работу 1С-Отчетности и других сервисов электронного документооборота.