Рутокен и КриптоПро по RDP: токен не виден на удалённом рабочем столе и подпись не работает — как настроить (2026)
Очень частая история: на Вашем компьютере Рутокен работает нормально, сертификат есть, CryptoPro установлен, а на удалённом рабочем столе (RDP) токен “пропадает”. В итоге сайт не видит сертификат, CryptoPro не предлагает ключ, подпись не создаётся или вообще нет запроса PIN. Хорошая новость: в большинстве случаев это решается настройкой перенаправления смарт-карт в RDP и проверкой пары служб/политик. Ниже дам пошаговый план без лишней теории, чтобы справился даже новичок.
Коротко: что сделать сразу (5-10 минут)
- Проверьте, что токен работает на Вашем ПК локально (до RDP): вставили Рутокен, сертификат видно.
- В RDP-клиенте включите перенаправление смарт-карт (покажу где именно).
- На удалённом ПК/сервере убедитесь, что запущена служба Смарт-карта (SCardSvr).
- Если подпись нужна в браузере на удалённом ПК: проверьте, что там установлен CryptoPro CSP и нужные компоненты (по требованиям Вашего сайта/системы).
Как это вообще работает (очень коротко и по делу)
В RDP есть функция “перенаправление устройств”. Смарт-карты (к ним относится Рутокен в режиме работы через смарт-карту/PKCS#11/mini-driver) можно “пробросить” в удалённую сессию. Тогда на сервере токен как бы виден внутри сеанса, и CryptoPro может использовать ключ.
Если смарт-карты в RDP не включены или на сервере это запрещено политикой, то токен физически вставлен у Вас, но в удалённой Windows его просто нет. Поэтому подпись и не работает.
1) Проверяем Рутокен локально, до подключения по RDP
Сначала важно понять: проблема в токене/драйвере на Вашем ПК или именно в RDP. Это экономит кучу времени.
Что сделать
- Выньте и снова вставьте Рутокен (лучше в другой USB-порт, без хабов).
- Откройте Диспетчер устройств и убедитесь, что нет устройств с жёлтым восклицательным знаком.
- Если у Вас установлен “Панель управления КриптоПро” или утилиты Рутокена, проверьте, что сертификат/контейнер виден.
Если токен не работает локально, в RDP он тоже не заработает. Тогда начните с драйверов:
- Драйверы и утилиты Рутокен: официальная страница загрузок Рутокен
- CryptoPro CSP: официальные загрузки CryptoPro CSP
Если локально всё хорошо, идём дальше: настраиваем RDP.
2) Включаем “Смарт-карты” в настройках RDP (mstsc)
Это ключевой шаг. Делается через стандартный клиент “Подключение к удалённому рабочему столу”.
Win + R - команду можно вставить целиком:
mstscДальше по шагам
- В окне RDP нажмите Показать параметры.
- Перейдите на вкладку Локальные ресурсы.
- В блоке “Локальные устройства и ресурсы” нажмите Подробнее….
- Поставьте галочку Смарт-карты (иногда называется “Smart cards”).
- Нажмите ОК и подключитесь заново.
Важно: если сессия уже открыта, просто поставить галочку мало. Нужно отключиться и подключиться заново, чтобы перенаправление применилось.
3) На удалённом ПК/сервере проверяем службу “Смарт-карта” (SCardSvr)
Даже если перенаправление включено, подпись может не заработать, если на удалённой Windows отключена служба смарт-карт.
Win + R - команду можно вставить целиком:
services.mscЧто делать в списке служб
- Найдите службу Смарт-карта (может называться “Smart Card”).
- Откройте её двойным кликом.
- Поставьте тип запуска Вручную или Автоматически.
- Нажмите Запустить, затем ОК.
После этого переподключитесь по RDP ещё раз и проверьте подпись.
4) Если “Смарт-карты” включены, но токена всё равно нет: проверяем запрет политиками
В организациях часто запрещают перенаправление смарт-карт на уровне групповых политик. Тогда у Вас в mstsc галочка стоит, но на сервере правило просто блокирует проброс.
Если у Вас есть доступ администратора на удалённом ПК/сервере, проверка делается так:
Win + R - команду можно вставить целиком:
gpedit.mscГде смотреть (самый частый запрет)
- Откройте: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов.
- Дальше: Узел сеансов удалённых рабочих столов → Перенаправление устройств и ресурсов.
- Найдите параметр вида Не разрешать перенаправление смарт-карт / “Do not allow smart card device redirection”.
- Если он включён, поставьте Отключено или Не задано.
Если у Вас нет прав менять политики, это нормально. Тогда решение только через администратора сервера/ИТ-отдел: нужно разрешить перенаправление смарт-карт для Вашей роли.
5) Проверяем CryptoPro CSP в удалённой сессии: установлен ли он там, где Вы подписываете
Тут легко запутаться. Важно правило: подпись выполняется там, где запущен браузер/программа.
- Если Вы подписываете в браузере на удалённом рабочем столе, то CryptoPro CSP должен быть установлен на удалённом ПК/сервере.
- Если Вы подписываете на своём ПК (локально), а RDP нужен только “посмотреть что-то”, то CryptoPro нужен локально, а проброс токена не нужен.
Официальная загрузка CryptoPro CSP:
И ещё момент, который часто ломает новичкам голову: если на сервере стоит CryptoPro, но он “не видит” контейнер, чаще всего проблема всё равно в RDP-пробросе (шаг 2) или в запрете политикой (шаг 4), а не в CryptoPro.
6) Если подпись в браузере: что проверить, чтобы сайт увидел сертификат
Сайты для подписи обычно требуют дополнительные компоненты (плагин/расширение/службу). Тут я не буду навязывать “универсальный набор”, потому что требования зависят от конкретного портала.
Зато дам безопасную логику проверки:
- Откройте сайт для подписи в той же среде, где хотите подписывать (в RDP-браузере или локальном).
- Проверьте, появляется ли запрос на доступ к сертификатам/подписи.
- Если сайт “не видит сертификат”, но в CryptoPro/хранилище сертификат виден, обычно не хватает компонента, который связывает сайт и CryptoPro.
Если напишете, какой именно сайт (например, корпоративный портал/гос.система/внутренний сервис), можно точнее подсказать, но базовая часть для Рутокена по RDP уже выше.
7) Быстрая диагностика: по симптомам понимаем, что именно не так
Симптом A: в RDP вообще нет Рутокена, будто не вставляли
- Не включена “Смарт-карта” в mstsc (шаг 2).
- Запрещено политикой (шаг 4).
- Отключена служба “Смарт-карта” на сервере (шаг 3).
Симптом B: токен как будто есть, но PIN не спрашивает и подпись не идёт
- Подписываете в браузере на сервере, но CryptoPro CSP там не установлен (шаг 5).
- Пытаетесь подписывать “не там”: например, сайт открыт локально, а токен ждёте в RDP (проверьте правило из шага 5).
Симптом C: работает один раз, потом перестаёт до переподключения
- Сессия “спит”, сервер меняет устройства при переподключении монитора/сети. Помогает полное отключение от RDP и новое подключение.
- USB-хаб или нестабильный порт на Вашем ПК. Для Рутокена лучше прямой порт без удлинителей.
8) Что лучше не делать новичку
- Не ставьте “драйвер-паки” и сомнительные сборки. Для Рутокена и CryptoPro это часто заканчивается конфликтами.
- Не удаляйте наугад криптопровайдеры и службы, если не уверены. Лучше сначала пройти шаги 2-4.
- Не пытайтесь “лечить” подпись переустановкой Windows. Проблема почти всегда в настройках RDP и политике.
FAQ
Я поставил галочку “Смарт-карты” в mstsc, но Рутокен всё равно не виден.
Чаще всего это запрет политикой на сервере или отключенная служба “Смарт-карта” (SCardSvr). Проверьте шаг 3 и шаг 4. Ещё важно переподключиться заново, а не оставаться в старой сессии.
CryptoPro стоит на моём ПК, почему на сервере подпись не работает?
Потому что подпись выполняется там, где запущен браузер/программа. Если подписываете в RDP, то CryptoPro CSP должен быть установлен на удалённом ПК/сервере.
Нужно ли ставить драйвер Рутокена на сервер?
Обычно нет, если используется перенаправление смарт-карт, и сервер корректно принимает устройство в сессии. Но на практике многое зависит от политики организации и схемы работы. Начните с включения смарт-карт и проверки SCardSvr.
После переподключения к RDP всё работает, но потом снова ломается.
Похоже на нестабильное подключение токена (USB-хаб/порт) или особенности терминальной сессии. Используйте прямой USB-порт, отключите лишние переходники и попробуйте полное завершение сессии и новое подключение.