Квалифицированный сертификат истёк в Windows — как продлить, заменить и обновить подпись (2025)

Сайты и программы начали ругаться: «Сертификат истёк», «Подпись недействительна», «Срок действия закончился». Это нормальная ситуация: КЭП выдаётся на ограниченный срок. Ниже — понятная схема, как проверить, действительно ли истёк срок, выпустить новый сертификат, записать его на токен (Рутокен/eToken) или в систему и привести всё в порядок.

1) Проверяем срок действия и где установлен сертификат

  • Нажмите Win+R → введите certmgr.msc → «Личное» → «Сертификаты» → откройте нужный: смотрим «Действителен с/до».
  • В CryptoPro CSP: «Сервис» → «Сертификаты» → найдите Ваш по владельцу/ИНН/ОГРН.
  • Если сертификат на токене — вставьте токен и проверьте в утилите производителя (Рутокен/Thales).

PowerShell (выполнять по одной):

Get-ChildItem Cert:\CurrentUser\My | Select-Object Subject, NotAfter | Sort-Object NotAfter -Descending
Get-ChildItem Cert:\LocalMachine\My | Select-Object Subject, NotAfter | Sort-Object NotAfter -Descending

2) Готовим новый сертификат: запрос (CSR) и контейнер

У каждого удостоверяющего центра (УЦ) — свой порядок. Чаще всего нужно сформировать новый закрытый ключ и запрос на сертификат (CSR), затем отправить его в УЦ.

  • В CryptoPro: «Сервис» → «Создать…» → выберите ГОСТ 2012, длину ключа, заполните ФИО/ИНН/ОГРН и др.
  • На Рутокене: используйте «Рутокен Плагин» или «Рутокен Менеджер» для создания контейнера на токене.
  • Укажите e-mail — пригодится для уведомлений и публикации сертификата.

3) Получаем и устанавливаем новый сертификат

  1. Отправьте CSR в УЦ и пройдите проверку. После выпуска скачайте сертификат (обычно .cer).
  2. Если работали на токене — привяжите сертификат к контейнеру: в CryptoPro «Привязать сертификат к закрытому ключу».
  3. Если выдали PFX (PKCS#12) — импортируйте в «Личное» хранилище текущего пользователя.

Командная строка (Администратор) — выполнять по одной:

certutil -store -user My
certutil -addstore -user My "C:\Users\Public\Downloads\newcert.cer"

Цепочку УЦ (корневой/промежуточный) установите из официального сайта Вашего УЦ.

4) Обновляем цепочки и проверяем в браузерах

  • Установите корневые/промежуточные сертификаты УЦ в «Доверенные корневые центры сертификации» и «Промежуточные центры».
  • В Edge/Chrome проверьте доступность CRL/OCSP: откройте «Подробнее о сертификате» → «Путь сертификации».
  • Для подписи PDF установите/обновите CryptoPro PDF или настройте Adobe Acrobat для ГОСТ.

5) Наводим порядок: старые сертификаты и профили

  • Старый сертификат оставьте для проверки старых подписей.
  • Обновите пути в программах, где был выбран истёкший сертификат (банк-клиент, ЭТП, Госуслуги).
  • При необходимости удалите профиль старого контейнера с токена, чтобы не путаться.

FAQ

Подпись не проходит проверку в браузере.

Проверьте цепочки и доступность CRL/OCSP. Добавьте адреса УЦ в исключения прокси/межсетевого экрана. Обновите CryptoPro и плагины.

Сертификат выпустили, но пишут «без приватного ключа».

Нужно «привязать» сертификат к контейнеру с закрытым ключом или импортировать PFX с опцией «Поместить в личное хранилище».

Читайте также: