Бухгалтер нажимает «Подписать» в личном кабинете «Честного знака» - и получает красное окошко с непонятным текстом. Ошибка 401. Или 403. Или что-то про SSL-сертификат. Товар на складе, поставщик ждёт подтверждения, покупатель нервничает. А система молчит - точнее, говорит что-то на языке HTTP-кодов, который бухгалтеру совершенно не знаком. Между тем, за каждой из этих ошибок стоит вполне конкретная причина. И в 90% случаев она решается за 10–30 минут - если знать, куда смотреть. Разберём по косточкам.
Прежде чем чинить - нужно понимать, что именно происходит при подписании. Процесс кажется простым (нажал кнопку → готово), но внутри - цепочка из пяти звеньев. Обрыв любого из них → ошибка.
Ошибки 401, 403 и SSL - это сигналы от разных звеньев этой цепочки. 401 - «я тебя не узнаю». 403 - «я тебя узнаю, но не пущу». SSL - «я вообще не могу с тобой говорить». Каждая решается по-своему.
Компания GetMark помогает настроить рабочее место для работы с «Честным знаком», устранить ошибки подписания и наладить процессы маркировки. Стоимость услуг - от 3 500 ₽ за товарную группу. Абонентское сопровождение, обучение сотрудников, помощь с УКЭП и ЭДО.
HTTP-код 401 Unauthorized - система не смогла идентифицировать пользователя. Самая массовая ошибка при работе с «Честным знаком». Вот что к ней приводит.
Причина 1. Истёк сертификат УКЭП.
Сертификат квалифицированной электронной подписи выдаётся на 12–15 месяцев. Когда срок заканчивается - подпись перестаёт работать мгновенно. Никаких предупреждений от «Честного знака» не приходит.
Решение: проверьте срок действия сертификата. В Windows: Пуск → «Сертификаты» → Личные → откройте сертификат → вкладка «Общие» → поле «Действителен до». Если истёк - обратитесь в удостоверяющий центр для перевыпуска.
Причина 2. Сертификат отозван УЦ.
Удостоверяющий центр может отозвать сертификат - при компрометации ключа, по заявлению владельца, при ликвидации юрлица. Отозванный сертификат визуально выглядит нормально, но ГИС МТ проверяет список отозванных (CRL) и отклоняет подпись.
Решение: свяжитесь с удостоверяющим центром и уточните статус сертификата. При отзыве - получите новый.
Причина 3. Токен сессии истёк.
При работе через API токен авторизации живёт 10 часов. При работе через личный кабинет - сессия в браузере тоже ограничена. Если страница открыта давно - токен протухает, и любое действие возвращает 401.
Решение: выйдите из личного кабинета, закройте браузер, откройте заново и войдите снова. Для API - реализуйте автоматическое обновление токена.
Причина 4. Неправильный формат подписи.
ГИС МТ принимает подпись только в формате PKCS#7 detached (Base64). Если ваша система формирует attached-подпись, CMS, XMLDSig или другой формат - ошибка 401. Особенно актуально при интеграции через True API.
Решение: убедитесь, что подпись формируется именно как PKCS#7 detached. Проверьте настройки СКЗИ и библиотеки подписания.
403 Forbidden - система вас узнала (авторизация прошла), но не даёт выполнить конкретное действие. Это не проблема подписи - это проблема прав.
Причина 1. ИНН в сертификате не совпадает с ИНН организации в ГИС МТ.
Характерная ситуация: директор сменился, выпустили новый сертификат на нового человека, а в ГИС МТ его не привязали к организации. Или сертификат выпущен на ИП, а в системе зарегистрировано ООО. Или наоборот.
Решение: в личном кабинете ГИС МТ → «Профиль» → «Пользователи» - проверьте, что сертификат текущего пользователя привязан к организации. При необходимости - добавьте пользователя с новым сертификатом.
Причина 2. Недостаточные права пользователя.
В ГИС МТ есть система ролей: администратор, оператор, кладовщик. Не каждая роль может подписывать документы ввода в оборот или вывода. Типичная ошибка - бухгалтеру дали роль «наблюдатель», а он пытается подписать УПД.
Решение: администратор организации в ГИС МТ должен назначить нужные права пользователю. Раздел «Пользователи» → выбрать пользователя → добавить роли.
Причина 3. Организация не зарегистрирована по нужной товарной группе.
Компания зарегистрировалась в «Честном знаке» для обуви, а потом начала торговать одеждой. Пытается подписать документ ввода в оборот для одежды - получает 403. Система не видит права для этой товарной группы.
Решение: добавьте товарную группу в настройках профиля ГИС МТ. Процесс занимает от нескольких часов до 1–2 дней.
Причина 4. Попытка подписать документ чужой организации.
Бывает при работе с несколькими юрлицами на одном компьютере. Открыли ГИС МТ под одной организацией, а сертификат в браузере - от другой. Или в API передали токен одной компании, а подписываете документ другой.
Решение: убедитесь, что авторизация и подпись выполняются от одного юрлица. При работе с несколькими организациями - используйте разные профили браузера.
SSL-ошибки - самые «запутанные» для обычного пользователя. Браузер показывает пугающее предупреждение: «Ваше подключение не защищено», «ERR_SSL_PROTOCOL_ERROR», «Сертификат сервера недействителен». И до личного кабинета даже добраться не удаётся.
С 2022 года российские государственные сервисы, включая ГИС МТ, используют TLS-сертификаты, выпущенные Национальным удостоверяющим центром Минцифры (НУЦ). Западные браузеры (Chrome, Firefox, Edge) не доверяют этим сертификатам «из коробки».
Решение:
— Скачайте и установите корневые сертификаты НУЦ Минцифры с сайта gosuslugi.ru/crt
— Или используйте Яндекс Браузер - он поддерживает российские сертификаты «из коробки»
— Или установите Chromium-GOST - специальную сборку с поддержкой ГОСТ-криптографии
ГИС МТ использует ГОСТ-шифрование для SSL/TLS. Без КриптоПро CSP (или аналогичного СКЗИ) браузер не может установить защищённое соединение с сервером - он просто не знает алгоритмов ГОСТ.
Решение: установите КриптоПро CSP версии 5.0 R3 или выше. Скачать можно с сайта cryptopro.ru (потребуется регистрация). Бесплатная пробная версия - 90 дней, далее лицензия от 2 700 ₽.
КриптоПро CSP - это ядро. Плагин - это «мост» между браузером и СКЗИ. Без него браузер не может вызвать функцию подписания. Страница ГИС МТ загрузится, но кнопка «Подписать» будет неактивна или вернёт ошибку.
Решение: скачайте и установите CryptoPro Extension for CAdES Browser Plug-in с сайта cryptopro.ru. После установки - перезапустите браузер. Проверьте работу на тестовой странице: cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html
Kaspersky, ESET, Dr.Web и другие антивирусы часто включают «Проверку защищённых соединений» - они подменяют SSL-сертификат сервера своим. С обычными сайтами это работает. С ГОСТ-сертификатами «Честного знака» - нет. Антивирус ломает цепочку доверия.
Решение: в настройках антивируса добавьте честныйзнак.рф и markirovka.crpt.ru в исключения для проверки SSL. Или отключите проверку защищённых соединений (менее безопасно, но решает проблему).
Не хотите разбираться в КриптоПро, SSL и плагинах? GetMark настроит рабочее место и решит все технические вопросы:
Не знаете, какая именно из причин у вас? Пройдите по алгоритму - он покрывает 95% случаев.
Шаг 1. Проверьте сертификат УКЭП.
Откройте КриптоПро CSP → вкладка «Сервис» → «Просмотреть сертификаты в контейнере» → выберите контейнер. Убедитесь: срок действия не истёк, сертификат не отозван, ИНН совпадает с ИНН организации в ГИС МТ.
Шаг 2. Проверьте КриптоПро CSP.
Версия должна быть не ниже 5.0 R2 (актуальная - 5.0 R3). Лицензия должна быть активна (проверить: КриптоПро CSP → вкладка «Общие» → «Срок действия лицензии»). Пробная лицензия - 90 дней.
Шаг 3. Проверьте плагин.
Зайдите на страницу cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html. Если тестовая подпись работает - плагин исправен. Если нет - переустановите.
Шаг 4. Проверьте корневые сертификаты.
Убедитесь, что установлены: корневой сертификат Минцифры, корневой сертификат вашего удостоверяющего центра, промежуточные сертификаты (если требуются). Путь: certmgr.msc → «Доверенные корневые центры сертификации».
Шаг 5. Проверьте браузер.
Попробуйте Яндекс Браузер - он наиболее совместим с российскими сервисами. Очистите кэш и cookie. Отключите расширения, которые могут мешать (блокировщики рекламы, VPN).
Шаг 6. Проверьте антивирус.
Добавьте сайты ГИС МТ в исключения проверки SSL: честныйзнак.рф, markirovka.crpt.ru, lk.chestnyiznак.ru, *.crptech.ru.
Если хоть один компонент не соответствует - ошибки при подписании неизбежны. Рекомендуется выделить отдельное рабочее место для работы с маркировкой и не обновлять его без тестирования - обновления Windows и браузеров регулярно «ломают» работу КриптоПро.
Если вы работаете с True API, ошибки 401 и 403 приходят в теле HTTP-ответа. Вот типичные ситуации:
HTTP 401 - {"error": "unauthorized", "message": "Token expired"}
→ Токен истёк. Выполните повторную авторизацию через /auth/cert/
HTTP 401 - {"error": "invalid_signature"}
→ Подпись не прошла валидацию. Проверьте формат (PKCS#7 detached, Base64), алгоритм (ГОСТ Р 34.10-2012), целостность данных.
HTTP 403 - {"error": "forbidden", "message": "No access to product group"}
→ Организация не зарегистрирована по этой товарной группе в ГИС МТ.
SSL Handshake Error / TLSV1_ALERT_INTERNAL_ERROR
→ Сервер требует TLS с ГОСТ-шифрованием. Убедитесь, что КриптоПро CSP установлен на сервере и настроен TLS-провайдер.
Ошибки 401, 403, SSL - это только верхушка айсберга. GetMark решает все технические и организационные вопросы маркировки:
Ошибки 401, 403 и SSL при подписании документов в «Честном знаке» - это не «компьютер сломался». Это конкретные сигналы от конкретных компонентов системы. Каждый сигнал указывает на своё звено цепочки.
401 → Проблема с идентификацией: сертификат, токен, формат подписи.
403 → Проблема с правами: ИНН, роль пользователя, товарная группа.
SSL → Проблема с соединением: корневые сертификаты, КриптоПро, антивирус, браузер.
Пройдите по алгоритму диагностики сверху вниз. В 90% случаев проблема решается за 10–30 минут. А если сталкиваетесь регулярно - пора настроить рабочее место системно, а не «подкручивать» при каждом сбое.
Назад 
