«Сообщение зашифровано сертификатом недоступного ключа» в 1С-Отчётности: как исправить
📋 Содержание
Ошибка «Сообщение зашифровано сертификатом недоступного ключа» в 1С-Отчётности значит одно: входящее письмо от ФНС или ПФР зашифровали вашим старым сертификатом, а закрытого ключа к нему на компьютере уже нет. Расшифровать нечем — отсюда и «недоступный ключ».
Чаще всего это всплывает после смены ЭЦП, переезда на новый компьютер или замены токена. Ниже — как вернуть доступ, если контейнер старого ключа сохранился, и как отменить расшифровку зависших сообщений, если ключ утерян навсегда.
Почему появляется ошибка «сообщение зашифровано сертификатом недоступного ключа»
Отчётность шифруется асимметрично. Когда контролирующий орган отправляет вам квитанцию или требование, он шифрует его вашим открытым ключом — тем, что был активен на момент отправки. Расшифровать такое сообщение можно только парным закрытым ключом.
Если закрытого ключа на машине нет, 1С-Отчётность и выдаёт: Сообщение зашифровано сертификатом недоступного ключа. Ключ «недоступен», потому что:
- 🔑 сертификат сменили — старый контейнер с флешки/токена удалили или он остался на другом носителе;
- 💻 базу или рабочее место перенесли на новый ПК, а контейнеры закрытых ключей не скопировали;
- ⏳ срок сертификата истёк, его отозвали, а новые письма к тому моменту ещё шли на старый;
- 🌐 после смены IP-адреса или переезда офиса часть сообщений «застряла» в очереди со старым шифрованием.
💡 Ключевой момент: сообщение уже зашифровано — переподписать его задним числом нельзя. Задача сводится к тому, чтобы либо вернуть старый закрытый ключ, либо прекратить попытки расшифровать эти письма.
Быстрая диагностика: ваш случай
Разберите симптом до того, как лезть в настройки — от этого зависит способ.
Способ 1. Восстановить закрытый ключ старого сертификата
Работает, если у вас сохранился носитель со старым контейнером — флешка, токен (Рутокен/JaCarta) или папка с контейнером на диске.
- Найдите старый носитель. Контейнер закрытого ключа — это папка вида
xxxxx.000с файламиheader.key,primary.key,masks.keyи т. д. - Откройте
Пуск → КриптоПро CSP → вкладка «Сервис» → «Скопировать»(или «Просмотреть сертификаты в контейнере»). Выберите старый контейнер. - Нажмите «Установить» — сертификат ляжет в хранилище «Личное» с привязкой к закрытому ключу.
- Вернитесь в 1С:
Отчёты → Регламентированные отчёты → 1С-Отчётность → Настройки → Список заявлений/Прочие настройки. - Откройте проблемное входящее и нажмите «Расшифровать» (или «Обновить статусы»). Сообщение расшифруется старым ключом.
⚠️ Не удаляйте старый сертификат сразу после замены. Держите старый контейнер минимум полгода — именно столько «хвостом» приходят квитанции, требования и акты сверки, зашифрованные предыдущим ключом.
Если КриптоПро пишет, что контейнер повреждён или пуст, — значит носитель испорчен. Тогда переходите ко второму способу.
Способ 2. Отменить расшифровку сообщений (когда ключ утерян)
Старого закрытого ключа нет и не будет? Эти письма расшифровать невозможно — ни силами 1С, ни оператора связи. Остаётся убрать их из очереди, чтобы 1С не выдавала ошибку при каждом обновлении статусов.
Как это делается в 1С:
- Зайдите в
1С-Отчётность → Настройки → журнал обмена(в разных конфигурациях — «Список сообщений» или «Отправленные/входящие»). - Выделите сообщения с ошибкой расшифровки.
- В контекстном меню или по кнопке выберите «Отменить расшифровку» / «Не расшифровывать». 1С перестанет пытаться открыть их вашим текущим ключом.
💡 Содержимое таких писем вы всё равно увидите: продублируйте запрос через личный кабинет налогоплательщика или страхователя на портале ведомства. Там квитанция открывается без вашего ключа.
Если кнопки отмены нет — обновите конфигурацию до актуального релиза, механизм добавили в свежих версиях библиотеки регламентированной отчётности.
Смена сертификата и смена IP-адреса как причина
Два самых частых триггера ошибки стоит разобрать отдельно.
Замена ЭЦП. При выпуске нового сертификата старый ещё какое-то время «активен» на стороне ведомства. Все письма, отправленные в этот зазор, шифруются старым ключом. Правило простое:
- ✅ подключили новый сертификат — не выбрасывайте старый носитель;
- ✅ дождитесь, пока по документообороту пройдут все «хвосты»;
- ✅ только потом архивируйте старый контейнер (не удаляйте — именно в архив).
Смена IP-адреса. После переезда или смены провайдера часть сообщений может застрять, а к ошибке расшифровки добавляется Предопределённое значение Перечисление.СостояниеСдачиОтчётности не найдено. Порядок действий:
- Обновите платформу и конфигурацию 1С до актуального релиза.
- Перезапустите программу полностью (не только базу — процесс
1cv8). - В
1С-Отчётности → Настройкинажмите «Обновить статусы заявлений». - Повторите расшифровку входящих.
Проверка криптопровайдера и версий
Если не расшифровываются все входящие, включая свежие, — дело не в старом ключе, а в криптографии.
| Что проверить | Где | Норма |
|---|---|---|
| Версия КриптоПро CSP | Пуск → КриптоПро CSP → «Общие» | Актуальная поддерживаемая версия |
| Личный сертификат | КриптоПро → «Сервис» → «Просмотреть сертификаты в контейнере» | Есть привязка к закрытому ключу |
| Провайдер в 1С | Настройки 1С-Отчётности → «Настройка криптографии» | Совпадает с установленным (КриптоПро/ViPNet) |
| Корневые сертификаты | Хранилище «Доверенные корневые» | УЦ и ведомств установлены |
Типичная связка проблем:
- 🧩 в системе стоит ViPNet CSP, а в 1С указан КриптоПро (или наоборот) — расшифровка падает;
- 🧩 версия криптопровайдера устарела и не понимает новые алгоритмы ГОСТ;
- 🧩 личный сертификат установлен без закрытого ключа — «сертификат не имеет связи с закрытым ключом».
⚠️ Держите на одной машине только один основной криптопровайдер. КриптоПро и ViPNet рядом часто конфликтуют и дают ложную «недоступность ключа».
Права пользователя и обновление 1С
Две мелочи, которые крадут часы диагностики.
- Права. Пользователь, который жмёт «Расшифровать», должен иметь право на работу с 1С-Отчётностью и доступ к сертификатам. Под ограниченной ролью расшифровка молча не срабатывает. Проверьте под администратором.
- Релиз конфигурации. Механизмы отмены расшифровки и корректной обработки старых сообщений живут в библиотеке регламентированной отчётности. На старом релизе кнопок может просто не быть — обновитесь.
Типичные ошибки и чего делать не стоит
- ❌ Удалять старый сертификат сразу после замены. Самая частая причина этой ошибки. Старый ключ ещё нужен для «хвостов».
- ❌ Переносить базу на новый ПК без контейнеров ключей. База переехала, ключи — нет, расшифровка мертва.
- ❌ Пытаться расшифровать письмо чужим или новым ключом. Не сработает: сообщение жёстко привязано к тому сертификату, которым его шифровали.
- ❌ Форматировать старый токен «за ненадобностью». Восстановить контейнер после этого нельзя.
- ❌ Игнорировать ошибку месяцами. Среди зависших писем может быть требование ФНС со сроком ответа.
Как предотвратить повторение
- 💾 При каждой смене ЭЦП делайте резервную копию контейнера старого ключа и храните в архиве.
- 🗓 Не удаляйте старый сертификат раньше, чем через 6 месяцев после замены.
- 🔁 При переезде на новый компьютер переносите и базу, и контейнеры закрытых ключей.
- 🔍 Раз в квартал сверяйтесь с личным кабинетом ведомства — не осталось ли неразобранных входящих.
Частые вопросы
Можно ли восстановить закрытый ключ, если старый носитель утерян?
Потеряю ли я данные из зашифрованного письма, если отменю расшифровку?
Ошибка на всех входящих сразу — это тоже про старый ключ?
Чем «недоступный ключ» отличается от «не найден сертификат получателя»?
Нужно ли обращаться к оператору 1С-Отчётности (Калуга-Астрал)?
Как избежать этой ошибки при следующей смене сертификата?
Материал подготовлен редакцией 1С 8.3 — независимый справочник. Проверено и обновлено: 12.07.2026. Независимый справочник. Мы не представляем фирму «1С» и не аффилированы с ней.