«Введите пароль закрытого ключа сертификата» в 1С-ЭДО — где его взять
📋 Содержание
Короткий ответ: пароль закрытого ключа сертификата в 1С-ЭДО нигде отдельно не «выдают» и не хранят внутри программы — это ПИН-код или пароль, который задали в момент выпуска сертификата. Взять его можно у того, кто создавал ключ: у вашего удостоверяющего центра, у бухгалтера или сисадмина, который получал подпись, либо это заводской ПИН токена.
Окно «Введите пароль закрытого ключа сертификата» выскакивает в тот момент, когда 1С пытается подписать документ через КриптоПро. Программа не знает пароль — она просто передаёт запрос криптопровайдеру. Разберём, откуда этот пароль берётся, где его посмотреть и что делать, если он забыт.
Что за пароль и почему 1С его спрашивает
Электронная подпись состоит из двух частей: сертификат (открытая часть, её видят все) и закрытый ключ (секретная часть, лежит на носителе). Чтобы подписать документ закрытым ключом, нужно доказать, что вы его владелец — для этого и служит пароль.
Пароль закрытого ключа = ПИН-код носителя. Термины «пароль», «ПИН-код» и «пароль контейнера» в контексте 1С-ЭДО означают одно и то же — секрет, которым защищён закрытый ключ.
Запрос приходит не от 1С, а от криптопровайдера (чаще всего это КриптоПро CSP). Поэтому:
- 🔐 1С этот пароль не хранит и восстановить его не может;
- 🔐 пароль не совпадает с паролем от личного кабинета ЭДО или от учётной записи 1С;
- 🔐 если однажды вы поставили галочку «Запомнить пароль» — окно перестаёт появляться, но сам пароль никуда не исчезает.
⚠️ Пароль закрытого ключа и пароль пользователя 1С — разные вещи. Их часто путают. Пароль от входа в базу здесь не подойдёт.
Где взять пароль закрытого ключа сертификата
Где искать — зависит от того, кто и на каком носителе создавал ключ. Ниже дерево по типовым ситуациям.
Практический порядок действий, если пароль неизвестен:
- Вспомните, на чём лежит ключ: токен (Рутокен, JaCarta) или реестр/флешка. Это видно в окне запроса и в списке носителей КриптоПро.
- Если это токен — попробуйте заводской ПИН по умолчанию.
- Если ключ в реестре или на флешке — пароль задавали вручную при генерации; спросите того, кто её проводил.
- Ничего не подошло — пароль утерян, ключ придётся перевыпускать (об этом ниже).
ПИН-коды закрытого ключа по умолчанию для токенов
Если ПИН при выпуске не меняли, подойдёт заводское значение. Значения по умолчанию для распространённых носителей:
| Носитель | ПИН пользователя | ПИН администратора |
|---|---|---|
| Рутокен (Lite, S, ЭЦП 2.0) | 12345678 | 87654321 |
| JaCarta (PKI, ГОСТ) | 1234567890 | 00000000 |
| eToken (Aladdin) | 1234567890 | — |
| ESMART Token | 12345678 | — |
⚠️ Многие удостоверяющие центры меняют заводской ПИН при выпуске из соображений безопасности. Тогда значения из таблицы не подойдут — пароль нужно брать в УЦ.
Не вводите ПИН наугад много раз подряд. У большинства токенов есть счётчик неверных попыток: после 5–10 ошибок ПИН пользователя блокируется, и разблокировать его получится только ПИН-кодом администратора (или вообще придётся перевыпускать ключ).
Что делать, если пароль или ПИН-код забыт, утерян
Здесь важно понять принцип: закрытый ключ спроектирован так, чтобы пароль нельзя было «подсмотреть» или сбросить в открытом виде. Дальнейшие действия зависят от носителя.
Ключ в реестре или на флешке (файловый контейнер)
Файловый контейнер защищён паролем, который придумали при генерации. Если он забыт и нигде не записан — восстановить его нельзя. Криптопровайдер не хранит пароль в читаемом виде.
Варианты:
- 💡 если пароль вы когда-то сохраняли галочкой «Запомнить пароль» — он лежит в защищённом хранилище КриптоПро на этом компьютере, и подпись работает молча. Значит, отдельно вводить ничего не нужно;
- 💡 если пароль просто забыт — придётся перевыпустить сертификат в удостоверяющем центре. Старый ключ при этом отзывается.
Сменить пароль на контейнере (если старый вы всё-таки знаете) можно так:
- Откройте
КриптоПро CSP→ вкладка Сервис. - Нажмите Изменить пароль.
- Выберите контейнер, введите старый пароль, задайте новый.
Ключ на токене (Рутокен, JaCarta)
С токеном ситуация лучше: ПИН пользователя можно сбросить, если знаете ПИН администратора.
Если и ПИН администратора неизвестен, а пользовательский заблокирован — ключ на токене восстановить нельзя. Единственный законный выход — обратиться в удостоверяющий центр за перевыпуском подписи.
💡 Перевыпуск сертификата — штатная и недорогая процедура. Ориентировочная стоимость плановой замены подписи в УЦ — примерно от 1000 до 3000 ₽ (для подписи, полученной в ФНС, — бесплатно). Данные ориентировочные, уточняйте в своём УЦ.
Как убрать постоянный запрос пароля в 1С-ЭДО
Когда 1С спрашивает пароль при каждой подписи, это утомляет. Запрос можно убрать — пароль запоминается в хранилище КриптоПро.
Способ 1 — при подписании:
- в окне «Введите пароль закрытого ключа сертификата» поставьте галочку Запомнить пароль;
- после этого КриптоПро сохранит его и больше спрашивать не будет (на этом компьютере и под этим пользователем Windows).
Способ 2 — заранее, через КриптоПро:
КриптоПро CSP→ Сервис → Скопировать или Протестировать контейнер.- Выберите контейнер, введите пароль, отметьте сохранение.
⚠️ Галочка «Запомнить пароль» удобна, но снижает безопасность: любой, кто сядет за этот компьютер под вашей учётной записью Windows, сможет подписывать документы без пароля. На общем ПК так делать не стоит.
Мошенничество с ЭП: почему пароль нельзя передавать
Пароль закрытого ключа — это фактически ваша подпись. Тот, у кого есть носитель и ПИН, может подписать от вашего имени договор, декларацию, платёжку в ЭДО.
Правила простые:
- 🚫 не диктуйте ПИН по телефону и не пересылайте в мессенджерах — сотрудники УЦ и банка его не запрашивают;
- 🚫 не оставляйте токен воткнутым в компьютер с сохранённым паролем без присмотра;
- ✅ при увольнении сотрудника, у которого была подпись, — отзывайте сертификат;
- ✅ храните ПИН отдельно от самого токена.
Согласно закону № 63-ФЗ, владелец сертификата обязан обеспечивать конфиденциальность ключа. Скомпрометированный ключ нужно немедленно отзывать в УЦ.
Частые ошибки и как их избежать
Частые вопросы
Где в 1С посмотреть сам пароль закрытого ключа?
Пароль закрытого ключа и ПИН-код токена — это одно и то же?
Забыл пароль, ключ в реестре. Что делать?
Какой ПИН по умолчанию у Рутокена?
12345678, администратора — 87654321. Но многие УЦ меняют его при выпуске, тогда заводской не подойдёт.Можно ли отключить запрос пароля при каждой подписи?
Кто должен знать пароль от нашей подписи?
Источники
- Федеральный закон № 63-ФЗ «Об электронной подписи»
Материал подготовлен редакцией 1С 8.3 — независимый справочник. Проверено и обновлено: 13.07.2026. Независимый справочник. Мы не представляем фирму «1С» и не аффилированы с ней.