Вы решили зарегистрироваться в «Честном знаке». Открыли сайт, нашли кнопку регистрации - и упёрлись в требование: «Авторизуйтесь с помощью УКЭП». Что за УКЭП? Где взять? Как установить? И почему нельзя просто ввести логин и пароль, как везде?
Нельзя - потому что «Честный знак» работает с юридически значимыми данными. Ввод товаров в оборот, передача между контрагентами, вывод из оборота - всё это операции, за которые предусмотрена ответственность. Обычный пароль здесь не годится: нужна электронная подпись, имеющая силу собственноручной. Именно это и есть УКЭП.
Разберёмся с нуля: что это такое, где получить, как настроить, какие грабли встречаются на каждом шагу.
Не хотите разбираться с УКЭП и настройкой самостоятельно?
Команда GetMark берёт на себя полное подключение к маркировке - включая помощь с получением и настройкой УКЭП, регистрацию в «Честном знаке», настройку рабочего места и интеграцию с учётной системой. На getmark.ru/prices - тарифы: регистрация в системе маркировки - от 500 ₽ за товарную группу, описание и ввод товаров - от 7 ₽ за единицу, абонентское сопровождение - от 3 000 ₽/мес. Экономьте время и нервы - отдайте техническую рутину профессионалам.
Подключить маркировку под ключ
УКЭП - расшифровка и суть без юридического тумана
УКЭП - Усиленная Квалифицированная Электронная Подпись. Три слова, каждое из которых несёт смысл.
Электронная подпись - информация в электронной форме, присоединяемая к документу и позволяющая идентифицировать подписанта. Аналог подписи на бумаге, но в цифровом мире.
Усиленная - созданная с использованием криптографических алгоритмов. В отличие от простой электронной подписи (логин+пароль), усиленная гарантирует, что документ не был изменён после подписания, и однозначно идентифицирует подписанта.
Квалифицированная - выданная аккредитованным удостоверяющим центром (УЦ), с использованием средств криптографической защиты, сертифицированных ФСБ России. Именно квалификация делает подпись равнозначной собственноручной по закону (63-ФЗ «Об электронной подписи»).
Проще говоря: УКЭП - это ваша цифровая подпись с максимальным уровнем доверия. Документ, подписанный УКЭП, имеет ту же юридическую силу, что и документ с печатью и подписью руководителя.
Для «Честного знака» УКЭП нужна потому, что каждое действие в системе - юридически значимая операция. Вы вводите товар в оборот - берёте на себя ответственность за его маркировку. Подтверждаете приёмку - принимаете ответственность за достоверность кодов. Всё это подписывается УКЭП.
Где получить УКЭП - варианты для ИП, юрлиц и руководителей
С 2022 года правила выдачи УКЭП изменились. Раньше любой аккредитованный УЦ мог выдать подпись и ИП, и директору компании. Сейчас - нет.
Ключевое изменение: руководители и ИП получают УКЭП только в ФНС. Коммерческие УЦ больше не имеют права выдавать им подпись. Это сделано для борьбы с мошенничеством - раньше случались ситуации, когда подпись получали по поддельным документам.
Как получить УКЭП в ФНС - пошагово
- Купите токен (носитель). ФНС записывает подпись на сертифицированный USB-токен. Токен нужно принести с собой. Подходящие модели: Рутокен ЭЦП 2.0, Рутокен Lite, JaCarta-2 ГОСТ, JaCarta LT. Стоимость токена - от 1 500 до 3 000 рублей. Купить можно в специализированных магазинах или онлайн
- Запишитесь на приём в налоговую инспекцию (через сервис order.nalog.ru или по телефону). Не все инспекции выдают УКЭП - только те, которые оказывают эту услугу. Список - на сайте ФНС
- Придите лично с документами: паспорт, СНИЛС, ИНН (для ИП - свидетельство о регистрации), токен. Доверенность не принимается - только лично руководитель или ИП
- Дождитесь выпуска сертификата. Процедура занимает от 15 минут до часа. Подпись записывается на ваш токен
- Получите сертификат. Вам выдадут файл сертификата (или он уже будет на токене) и PIN-код для доступа
Срок действия УКЭП от ФНС - 15 месяцев. После истечения - нужно получать заново. Процедура та же.
Доверенные лица УЦ ФНС - альтернатива визиту в налоговую
ФНС привлекает «доверенных лиц» - коммерческие организации, которые могут выдавать УКЭП от имени УЦ ФНС. Среди них - «Сбер», «Тензор», «Калуга Астрал» и другие крупные операторы. Процедура аналогичная, но не нужно ехать в налоговую - можно обратиться в офис доверенного лица.
Список доверенных лиц опубликован на сайте ФНС: www.nalog.gov.ru в разделе «Удостоверяющий центр ФНС России».
УКЭП для сотрудника - через коммерческий УЦ
Если в «Честном знаке» будет работать не руководитель, а сотрудник (что бывает в 90% случаев) - ему нужна своя подпись. Подпись сотрудника выдаётся коммерческим аккредитованным УЦ.
Популярные УЦ: «Контур», «Тензор» (СБИС), «Калуга Астрал», «Такском», «Корус Консалтинг». Стоимость - от 1 500 до 5 000 рублей в год. Токен - дополнительно (если нет своего).
Важно: для работы сотрудника в «Честном знаке» от имени организации потребуется машиночитаемая доверенность (МЧД). МЧД - это электронный документ, который подтверждает полномочия сотрудника действовать от лица компании. Подписывается УКЭП руководителя и размещается в реестре ФНС.
Токен - физический носитель подписи: какой выбрать
Токен - это USB-устройство, похожее на флешку, на котором хранится закрытый ключ электронной подписи. Без токена УКЭП не работает: вставили в компьютер - подпись доступна, вынули - нет.
Какие токены подходят для «Честного знака»:
Разница между «ЭЦП 2.0 / ГОСТ» и «Lite / LT»: первые выполняют криптографические операции прямо на чипе токена (аппаратная криптография), вторые - просто хранят ключ, а криптография выполняется программно (через КриптоПро на компьютере). Оба варианта подходят для «Честного знака». Токены с аппаратной криптографией считаются более безопасными.
Не покупайте обычную USB-флешку. Она не токен. На флешку нельзя записать УКЭП - у неё нет защищённого контейнера для ключа.
Установка и настройка УКЭП на компьютере - пошагово
Получили токен с записанной подписью. Что дальше? Нужно настроить рабочее место - компьютер, с которого вы будете входить в «Честный знак».
Шаг 1. Установите криптопровайдер
Криптопровайдер - программа, которая обеспечивает работу электронной подписи на компьютере. Для «Честного знака» нужен КриптоПро CSP версии 5.0 или выше.
Где скачать: официальный сайт cryptopro.ru → раздел «Продукты» → КриптоПро CSP. Для скачивания потребуется регистрация на сайте (бесплатная).
Стоимость лицензии: от 2 700 рублей (бессрочная на одно рабочее место). Есть тестовый период - 90 дней бесплатно. На время теста можно настроить всё и убедиться, что работает.
Установка стандартная: скачали, запустили инсталлятор, нажали «Далее» несколько раз, перезагрузили компьютер. Никаких специальных знаний не требуется.
Шаг 2. Установите драйверы токена
Для Рутокен: скачайте «Рутокен Плагин» и драйверы с rutoken.ru.
Для JaCarta: скачайте «Единый клиент JaCarta» с aladdin-rd.ru.
Установите. Вставьте токен в USB-порт. Компьютер должен распознать устройство. Проверка: откройте программу управления токеном - токен должен отображаться в списке подключённых устройств.
Шаг 3. Установите сертификат УКЭП
Откройте КриптоПро CSP → вкладка «Сервис» → «Просмотреть сертификаты в контейнере» → выберите контейнер на токене → «Установить».
Сертификат установится в хранилище «Личные» в Windows. После этого он будет доступен браузеру и другим программам.
Проверка: откройте КриптоПро CSP → вкладка «Сервис» → «Протестировать» → выберите контейнер. Если тест прошёл успешно - всё настроено верно.
Шаг 4. Установите плагин для браузера
Для авторизации в «Честном знаке» через браузер нужен плагин КриптоПро ЭЦП Browser plug-in. Скачать: cryptopro.ru → раздел «Продукты» → КриптоПро ЭЦП Browser plug-in.
Плагин бесплатный. Устанавливается как расширение для браузера (поддерживаются Chrome, Яндекс.Браузер, Firefox, Edge). После установки - перезапустите браузер.
Проверка работоспособности: перейдите на страницу проверки плагина (ссылка есть на сайте КриптоПро). Если плагин видит ваш сертификат - готово.
Шаг 5. Авторизуйтесь в «Честном знаке»
Перейдите на markirovka.crpt.ru. Нажмите «Войти». Система предложит выбрать сертификат. Выберите свой - тот, что на токене. Введите PIN-код токена. Готово - вы внутри.
При первом входе система предложит заполнить профиль организации и подтвердить регистрацию. Следуйте инструкциям на экране.
Проблемы при настройке - и как их решить
Практика показывает: у 70% пользователей что-то идёт не так на этапе настройки. Вот самые частые ситуации.
Браузер не видит сертификат. Причины: плагин КриптоПро ЭЦП не установлен или отключён в настройках браузера; сертификат не установлен в хранилище (шаг 3 пропущен); токен не вставлен в USB-порт; драйверы токена не установлены. Решение: пройдите шаги 2-4 заново, убедитесь, что каждый пункт выполнен.
Ошибка «Сертификат недействителен» или «Цепочка сертификатов не может быть построена». Нужно установить корневые сертификаты удостоверяющего центра. Для УЦ ФНС - скачайте корневые сертификаты с сайта ФНС и установите в хранилище «Доверенные корневые центры сертификации». Инструкция есть на сайте налоговой.
КриптоПро CSP не видит токен. Попробуйте другой USB-порт (не через хаб, а напрямую в компьютер). Проверьте, установлены ли драйверы токена. Перезагрузите компьютер. Если не помогает - возможно, токен повреждён.
PIN-код заблокирован. После нескольких неверных попыток ввода PIN токен блокируется. Разблокировка - через программу управления токеном с использованием PUK-кода (администраторского PIN). Если PUK-код утерян - токен придётся инициализировать заново (все данные удалятся) и получать УКЭП заново.
«Честный знак» выдаёт ошибку при входе. Попробуйте другой браузер (рекомендуется Яндекс.Браузер или Chrome последней версии). Очистите кэш и куки. Проверьте, что время и дата на компьютере установлены верно - расхождение во времени может вызвать ошибку верификации сертификата.
Работает в одном браузере, не работает в другом. Плагин КриптоПро ЭЦП Browser plug-in нужно устанавливать и активировать в каждом браузере отдельно. Зайдите в настройки расширений браузера и убедитесь, что плагин включён.
Что нужно знать про сроки действия и продление
УКЭП не вечна. Срок действия сертификата ограничен.
УКЭП от ФНС: 15 месяцев. За 2-3 недели до окончания - подайте заявку на новый сертификат. Процедура та же: визит в налоговую или к доверенному лицу, с токеном и паспортом.
УКЭП от коммерческого УЦ (для сотрудников): обычно 12 месяцев. Продление - через личный кабинет УЦ или повторный визит.
Что происходит, когда УКЭП истекает: вы теряете доступ к «Честному знаку». Подписание документов невозможно. Приёмка товаров, ввод в оборот, отгрузка - всё останавливается. Для бизнеса с ежедневными операциями это катастрофа.
Практический совет: поставьте напоминание в календарь за месяц до окончания срока. Не оставляйте продление на последний день - запись в налоговую может быть занята на неделю вперёд.
Ещё один нюанс: если сменился руководитель (генеральный директор) - старая УКЭП перестаёт действовать. Новый руководитель должен получить свою УКЭП. Пока он этого не сделает - доступ к «Честному знаку» от лица организации заблокирован.
Машиночитаемая доверенность (МЧД) - когда работает не руководитель
В реальности руководитель компании редко лично сидит в «Честном знаке» и сканирует коды. Обычно это делает сотрудник: кладовщик, менеджер по маркировке, бухгалтер.
Чтобы сотрудник мог работать в системе от лица организации, нужны два условия:
- У сотрудника есть своя УКЭП (от коммерческого УЦ, на его имя как физлица)
- Руководитель оформил МЧД - машиночитаемую доверенность, подтверждающую полномочия сотрудника
МЧД - электронный документ в формате XML, подписанный УКЭП руководителя. Размещается в реестре доверенностей ФНС. В МЧД указываются: данные организации, данные сотрудника, перечень полномочий, срок действия.
Для создания МЧД можно использовать:
- Сервис ФНС на сайте nalog.gov.ru
- Операторов ЭДО (Контур, СБИС, Такском и др.)
- Личный кабинет «Честного знака» (в некоторых случаях)
Без МЧД сотрудник не сможет авторизоваться в «Честном знаке» от имени организации. Его подпись будет идентифицировать его как физлицо, а не как представителя компании.
Безопасность УКЭП - что категорически нельзя делать
УКЭП - это ваша подпись. С ней можно подписать любой документ от вашего имени. Утрата контроля над УКЭП - как потеря печати организации и паспорта руководителя одновременно.
Никогда не передавайте токен другим лицам. Если токен с УКЭП руководителя отдать бухгалтеру «чтобы удобнее» - любое действие, совершённое с этим токеном, юридически совершено руководителем. Включая те, о которых он даже не знает.
Не записывайте PIN-код на стикере, приклеенном к токену. Звучит очевидно - но встречается повсеместно. Токен + PIN = полный доступ к подписи.
Не оставляйте токен в компьютере без присмотра. Вынимайте после работы. Особенно если компьютер в общем доступе (бухгалтерия, приёмная).
При увольнении сотрудника - немедленно отзовите МЧД. Если сотрудник с УКЭП и МЧД покинул компанию, а доверенность не отозвана - он формально всё ещё может действовать от имени организации.
При утрате или компрометации - отзовите сертификат немедленно. Обратитесь в удостоверяющий центр, который выдал подпись. Сертификат будет включён в список отозванных (CRL), и подпись перестанет быть действительной.
Системные требования: на каком компьютере всё это будет работать
На macOS работа с УКЭП возможна, но с ограничениями. КриптоПро CSP для macOS существует, но не все плагины и сервисы работают стабильно. Рекомендация: для работы с «Честным знаком» используйте Windows.
На Linux (Astra Linux, ALT Linux) - КриптоПро CSP доступен, но настройка сложнее. Подходит для организаций, которые перешли на отечественные ОС.
Полная настройка рабочего места для маркировки - без головной боли
GetMark помогает с настройкой УКЭП, установкой КриптоПро, конфигурацией браузера и подключением к «Честному знаку». Всё - удалённо или с выездом. На getmark.ru/prices:
- Регистрация и подключение к «Честному знаку» - от 500 ₽
- Настройка рабочего места (УКЭП, КриптоПро, браузер, сканер) - входит в пакет подключения
- Абонентское сопровождение - от 3 000 ₽/мес (техподдержка, мониторинг ошибок, помощь с продлением УКЭП)
- Консультации по МЧД для сотрудников
Можно начать с разовой настройки - потом подключить постоянное сопровождение, если понадобится. Большинство клиентов выбирают абонентский формат: техническая поддержка всегда под рукой, а при смене сотрудника или продлении подписи - всё решается за часы, не за дни.
Частые вопросы и ответы
УКЭП и КЭП - это одно и то же?
Да. КЭП - квалифицированная электронная подпись. УКЭП - усиленная квалифицированная электронная подпись. Это одно и то же понятие. В законе 63-ФЗ используется термин «усиленная квалифицированная электронная подпись», в обиходе часто сокращают до КЭП. Для «Честного знака» нужна именно она.
Можно ли использовать облачную электронную подпись для «Честного знака»?
На момент написания статьи «Честный знак» требует УКЭП на аппаратном носителе (токене). Облачные подписи (когда ключ хранится на сервере, а не на токене) поддерживаются не всеми сервисами «Честного знака». Рекомендуется использовать токен - это гарантированно работающий вариант. Ситуация может измениться - следите за обновлениями на сайте ЦРПТ.
Сколько стоит УКЭП в итоге - полная стоимость?
Для руководителя/ИП: сертификат - бесплатно (от ФНС), токен - от 1 500 ₽ (покупается один раз), КриптоПро CSP - от 2 700 ₽ (бессрочная лицензия). Итого при первом получении: от 4 200 рублей. При продлении через 15 месяцев: бесплатно (сертификат перезаписывается на тот же токен). Для сотрудника: сертификат - от 1 500 ₽/год, токен и КриптоПро - аналогично.
Одна УКЭП на все системы - или нужна отдельная для маркировки?
Одна УКЭП работает везде. Та же подпись, которую вы используете для сдачи отчётности в ФНС, для ЭДО с контрагентами, для Госуслуг - подходит и для «Честного знака». Не нужно получать отдельную подпись для маркировки.
Что делать, если сменился директор?
Старая УКЭП бывшего директора перестаёт быть действительной для организации. Новый руководитель должен: получить УКЭП в ФНС на своё имя, авторизоваться в «Честном знаке», обновить данные организации. Если есть сотрудники с МЧД - руководитель должен оформить новые МЧД (старые, подписанные предыдущим директором, утрачивают силу).
Можно ли записать УКЭП на обычную флешку?
Нет. Обычная USB-флешка не является средством криптографической защиты информации. У неё нет защищённого контейнера для хранения ключа. ФНС не запишет сертификат на флешку - только на сертифицированный токен (Рутокен, JaCarta и аналоги).
Работает ли УКЭП на телефоне или планшете?
Прямое использование токена с УКЭП на мобильных устройствах ограничено. Есть решения с Bluetooth-токенами и NFC-картами, но для «Честного знака» мобильная авторизация через УКЭП - нестандартный сценарий. Основная работа ведётся с компьютера. Мобильное приложение «Честный ЗНАК» (для потребительской проверки) не требует УКЭП.
Почему КриптоПро, а не другой криптопровайдер?
КриптоПро CSP - наиболее распространённый и совместимый криптопровайдер. «Честный знак» и ИС МДЛП тестируются и поддерживаются в первую очередь с КриптоПро. Альтернативы существуют (ViPNet CSP, Signal-COM CSP), но с ними возможны проблемы совместимости. Рекомендация ЦРПТ - КриптоПро CSP 5.0.
Токен сломался - что делать?
Если токен физически повреждён и не определяется компьютером - сертификат утерян. Нужно купить новый токен и получить новую УКЭП в ФНС (или в коммерческом УЦ для сотрудника). Процедура - как при первичном получении. Сохраняйте PUK-код и документы от предыдущей подписи - они могут понадобиться.
Можно ли использовать одну УКЭП на нескольких компьютерах?
Да. Токен - портативное устройство. Вставили в один компьютер - работаете. Вынули, вставили в другой - работаете там. Но на каждом компьютере должны быть установлены КриптоПро CSP, драйверы токена и плагин для браузера. И лицензия КриптоПро - на каждое рабочее место отдельно (или серверная лицензия на организацию).
Нужна ли УКЭП для работы с маркировкой на маркетплейсах?
Для регистрации в «Честном знаке» - да, УКЭП обязательна. Для загрузки товаров на маркетплейс (Wildberries, Ozon) - УКЭП не требуется (используется авторизация маркетплейса). Но как участник оборота маркированных товаров, селлер обязан быть зарегистрирован в «Честном знаке», а для этого нужна УКЭП.
Что такое «тестовый контур» Честного знака и нужна ли для него УКЭП?
Тестовый контур - среда для обучения и проверки настроек, где можно «потренироваться» без последствий для реальных данных. Для входа в тестовый контур также нужна УКЭП - процедура авторизации идентична. Адрес тестового контура отличается от рабочего (sandbox.crpt.ru).
УКЭП - не препятствие, а входной билет
Получение и настройка УКЭП - разовая задача. Один раз потратили 2-3 часа (или поручили специалистам) - и дальше работаете спокойно 15 месяцев до продления. Это не рокет-сайнс: купить токен, приехать в налоговую, установить программу, вставить в браузер.
Но откладывать - опасно. Без УКЭП вы не войдёте в «Честный знак». Без «Честного знака» вы не сможете легально работать с маркированными товарами. А маркированных товаров с каждым годом всё больше - и ваш товар, скорее всего, уже в списке или скоро окажется.
Проверьте прямо сейчас: есть ли у вас УКЭП? Не истекает ли она в ближайший месяц? Настроено ли рабочее место? Если нет - начните сегодня. Запись в ФНС, покупка токена, установка КриптоПро - каждый шаг понятен, каждый занимает минимум времени. А результат - доступ к системе, без которой бизнес с маркированными товарами невозможен.