S/MIME с ГОСТ в Outlook — настраиваем подпись и шифрование почты в Windows (2025)

Хотите подписывать и шифровать письма в Outlook по S/MIME? Разберём установку сертификата в нужное хранилище, включение подписи и шифрования, публикацию открытого ключа для коллег — и что делать, если письма не открываются.

Коротко: что потребуется

  • Личный сертификат с приватным ключом (на токене или в профиле Windows) — подходит КЭП ГОСТ.
  • Outlook для Windows (Classic). В «новом Outlook» поддержки S/MIME пока нет/ограничена.
  • Цепочка доверия УЦ установлена в Windows.
Нужна помощь? Установлю сертификаты, настрою подпись/шифрование, опубликую ключи коллег и проверю совместимость с мобильными клиентами.

1) Импорт сертификата в правильное хранилище

Если у вас PFX/P12 — импортируйте в «Личное» (Current User). Если ключ на токене — убедитесь, что КриптоПро CSP/KSP видит контейнер.

CMD — выполнять по одной:

certmgr.msc
certutil -store -user My

2) Включаем S/MIME в Outlook

  1. Outlook → «Файл» → «Параметры» → «Центр управления безопасностью» → «Параметры центра…» → «Защищенная электронная почта».
  2. Нажмите «Параметры…» → выберите Сертификат подписи и Сертификат шифрования (обычно один и тот же).
  3. Отметьте «Подписывать исходящие сообщения» и при необходимости «Шифровать содержимое и вложения».

3) Публикуем открытый ключ, чтобы вам могли шифровать

Отправьте коллегам подписанное письмо — Outlook автоматом сохранит ваш открытый ключ в контакте. Либо вручную импортируйте сертификаты коллег в «Контакты».

4) Частые ошибки и решения

  • «Невозможно найти сертификат получателя» — у вас нет открытого ключа адресата. Попросите его отправить подписанное письмо или импортируйте его сертификат в контакт.
  • «Подпись недоверенная» — не установлены корневые/промежуточные сертификаты УЦ. Импортируйте цепочку в Windows.
  • Письмо не открывается на телефоне — проверьте поддержку ГОСТ/S/MIME на мобильном клиенте. Иногда приходится отключить шифрование и оставить подпись.

5) Резервная копия ключей и безопасность

Если ключи в профиле, экспортируйте в PFX с сильным паролем и храните отдельно. Если ключи на токене — PIN и PUK держите в безопасном месте.

PowerShell — выполнять по одной:

# Экспортировать сертификат без приватного ключа (для рассылки коллегам)
$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object {$_.HasPrivateKey}
Export-Certificate -Cert $cert[0] -FilePath "$env:USERPROFILE\Desktop\my_public.cer"

FAQ

Можно ли подписывать на токене и шифровать «файловым» ключом?

Да, главное — чтобы оба сертификата соответствовали вашей учётной записи и были доверенными.

Подпись ломается при пересылке/ответе

Убедитесь, что формат письма — HTML/RTF с S/MIME, а не «обычный» текст без вложения подписи.

В «новом Outlook» нет нужных настроек

Используйте классический Outlook для Windows. Поддержка S/MIME в новом клиенте ограничена.

Читайте также: