С квалифицированной подписью от ФНС история обычно простая: воткнул токен, зашёл в личный кабинет, нажал пару кнопок, подтвердил PIN — готово. Но в последние месяцы у многих “простая история” ломается об один пункт: “авторизуйтесь в ЕСИА с биометрией, зарегистрированной в ЕБС”.

Если биометрии нет, процесс дистанционного выпуска/перевыпуска может просто упереться в стену. Тогда остаётся два пути: зарегистрировать биометрию (ЕБС) или ехать ногами в налоговую/к доверенному лицу УЦ ФНС. Ниже — как это выглядит на практике, что подготовить и где обычно всё падает.

Что именно изменилось

ФНС активно переводит выпуск и перевыпуск КЭП в режим “без личной явки”, но подтверждение личности для этого завязано на Госуслуги (ЕСИА) и Единую биометрическую систему (ЕБС). На стороне пользователя это выглядит так: при попытке получить или перевыпустить сертификат появляется требование пройти авторизацию через ЕСИА “с использованием биометрии”, зарегистрированной в ЕБС.

Сама точка входа для перевыпуска у ИП — в личном кабинете, в разделе сервисов. У ФНС это прямо так и описано: “Услуги. Сервисы → Перевыпуск сертификата ЭП”.

Два маршрута: дистанционно по биометрии или лично

1) Дистанционно (ЕСИА + ЕБС)

Этот маршрут удобный, когда всё уже подготовлено. По официальным разъяснениям ФНС для дистанционного выпуска/перевыпуска нужны подтверждённая учётная запись Госуслуг и подтверждённая регистрация в ЕБС (её предлагают зарегистрировать в банке-партнёре ЕБС).

2) Лично (налоговая / доверенное лицо УЦ ФНС)

Если биометрию вы не сдавали и сдавать не хотите, или “дистанционка” не проходит по каким-то причинам — можно получить сертификат при визите. На сайте ФНС есть прямое описание порядка получения, а также важная деталь по времени: услуга выдачи сертификата на ключевой носитель обычно занимает до 15 минут (иногда дольше, если в системе не хватает сведений).

Кому это доступно: руководителю юрлица (лицо, действующее без доверенности) и ИП. Представителю по доверенности за подписью ФНС, как правило, уже не сюда — ему нужен коммерческий аккредитованный УЦ.

Как сделать биометрию для ЕБС без лишней драмы

В идеальном сценарии вы приходите в точку регистрации биометрии (банк/центр обслуживания), берёте с собой паспорт и СНИЛС, вам делают фото и записывают голос, после чего статус обновляется в Госуслугах. Так это описано и на Госуслугах, и на сайтах ЕБС.

В реальности нюанс один: “быстро” и “с первого раза” получается не всегда. Иногда статус обновляется не мгновенно, иногда в конкретном офисе “сегодня не работает стойка”, иногда сотрудник банка впервые видит слово “ЕБС”. Это не трагедия, просто планируйте так, чтобы не делать биометрию в последний день перед окончанием подписи.

Что подготовить для перевыпуска подписи ФНС (чтобы не ловить сюрпризы)

Перевыпуск в личном кабинете — это не “просто сайт”, это связка: криптопровайдер + плагин/расширение + токен + драйверы + браузер. И если хотя бы одно звено хромает, вы будете смотреть на вечную “Загрузка…” или на окно ввода PIN, которое появляется ровно тогда, когда вы отошли за чаем.

Железо

• Защищённый носитель (токен): Rutoken / JaCarta / совместимый носитель.
• Рабочий USB-порт без “экономии питания”, особенно на ноутбуках.
• Если вы сидите на Linux и используете Windows в VirtualBox: нужен нормальный USB-pass-through (и да, токен в VM — это отдельный уровень развлечений).

Софт

• Криптопровайдер (часто это CryptoPro CSP) и браузерный модуль для работы с подписью.
• Драйверы токена.
• Браузер, который дружит с плагином (обычно Chrome/Edge/Яндекс.Браузер — но лучше держать один “рабочий” и не обновлять его в день Х).

У ФНС есть официальные инструкции по перевыпуску, где шаги расписаны как в чек-листе: заявление → запрос на изготовление → выпуск → отзыв текущего → установка нового сертификата.

Как выглядит перевыпуск в ЛК ИП: шаги без лишней философии

Опишу “как оно обычно происходит”, чтобы было понятно, почему в середине процесса внезапно всплывает окно CryptoPro с запросом PIN.

Шаг 1. Подготовка заявления

Вы заходите в ЛК ИП и идёте в сервис перевыпуска. Система прогоняет проверку окружения, просит согласия/галочки и формирует заявление. Дальше — подписание: появляется окно криптопровайдера с запросом PIN от токена.

Здесь главный совет простой: не ставьте галочки “Сохранить пароль” на чужом/общем компьютере. На своём — тоже спорно, но хотя бы риск понятный.

Шаг 2. “Сформировать” ключи и запрос

Это тот момент, где кнопка обычно называется примерно так и звучит как “нажмите — и станет хорошо”. Нажимаете, токен снова просит PIN, криптопровайдер генерирует ключи и формирует запрос.

Шаг 3. Выпуск сертификата

После обработки заявления появляется этап выпуска. Иногда нужно подождать и обновить статус. Если всё ок — система показывает выпуск и даёт перейти дальше.

Шаг 4. Отзыв текущего сертификата

Не самый очевидный шаг, но логичный: перед установкой нового сертификата текущий просят отозвать. Это значит, что старый сертификат станет недействительным. Делайте перевыпуск не “между созвонами”, а когда у вас есть запас времени закончить процедуру за один подход.

Шаг 5. Установка нового сертификата на носитель

Финал: новый сертификат записывается на токен, после чего личный кабинет просит авторизоваться уже новым сертификатом.

Где обычно ломается и как быстро починить

Сайт не видит токен

99% причин: драйвер токена не встал, токен не проброшен в VM, USB-порт/хаб чудит, либо Windows видит устройство, но криптопровайдер — нет. Быстрый тест: откройте менеджер устройств Windows и убедитесь, что токен отображается без жёлтых значков.

Окно ввода PIN появляется, но дальше “тишина”

Часто это конфликт плагина/расширения и браузера или “криво” установившийся CryptoPro Browser plug-in. Иногда помогает банальная вещь: закрыть браузер полностью, вынуть токен, вставить снова, открыть браузер и повторить.

Вы в VirtualBox, токен то появляется, то исчезает

Если вы делаете это на Linux-хосте (как многие): в VirtualBox нужен корректный USB-контроллер и проброс устройства в гостевую Windows. На практике проще всего один раз настроить USB-фильтр под конкретный токен и не трогать. Если токен “отваливается” — проверьте, кто его держит: хостовая система или гостевая.

Что я бы сделал заранее, чтобы не бегать кругами

1. Проверил, что действующая подпись реально выпускается УЦ ФНС (это важно для дистанционного перевыпуска).
2. За неделю до окончания — прогнал проверку рабочего места и убедился, что токен стабильно виден.
3. Если хочу дистанционно — заранее сделал подтверждённую биометрию (паспорт + СНИЛС, банк/центр).
4. Если биометрию не хочу — запланировал визит в налоговую, чтобы не упираться в дедлайн.

Если вы только регистрируете ИП и ещё не успели привязать к себе нормальную КЭП, есть удобный вариант: подпись можно оформить сразу в процессе регистрации ИП через Сбербанк. По факту это экономит один отдельный поход и убирает часть плясок с “где бы взять подпись, чтобы начать жить”.

Теперь “перевыпустить подпись ФНС из дома” всё чаще означает “из дома, но через ЕСИА и ЕБС”. То есть без биометрии процесс может не завершиться дистанционно.

Хорошая новость: это не тупик. Либо делаете биометрию один раз и дальше живёте спокойнее, либо идёте по классическому маршруту — визит в налоговую/УЦ ФНС. Плохая новость: тянуть до последнего дня — плохая стратегия. Подпись, как и резервные копии, любит, когда о ней вспоминают заранее, а не когда “прям сейчас надо подписать”.