Коротко
В Казахстане ЭЦП подписывают четырьмя способами: через NCALayer на компьютере (это база для большинства госпорталов и B2B-сервисов), через мобильное приложение eGov mobile или eGov business, через специализированные сервисы вроде SIGEX и через встроенное подписание в 1С, Kaspi Business, ЭСФ и других системах, которые тоже дергают NCALayer под капотом. Сертификат при этом один и тот же — меняется только то, где физически лежит ключ и что нужно установить на устройство, чтобы им воспользоваться.

Если у вас в компании документы гоняют по почте, печатают, подписывают ручкой, сканируют и снова пересылают — на этом шаге теряется больше времени, чем кажется. Дальше в статье — как подписать документ ЭЦП в каждом из четырех сценариев, какие грабли встречаются на практике и когда имеет смысл встроить подписание прямо в рабочий процесс, а не оставлять его отдельным ручным шагом.
Способ 1: NCALayer + портал (самый частый)
Это стандартный путь для egov.kz, кабинета налогоплательщика, ЭСФ, банковских личных кабинетов и большинства корпоративных систем документооборота.
Что нужно заранее:
- Действующий сертификат ЭЦП — RSA-ключ (для подписания документов) и, отдельно, AUTH-ключ (для входа/аутентификации). Их путают чаще всего: если портал просит «выбрать ключ для подписания», а вы подсовываете AUTH — подпись не пройдет.
- Установленное приложение NCALayer — скачивается с pki.gov.kz, работает как локальный сервис и запущенным должно быть в фоне (иконка в трее) в момент подписания.
- Файл ключа (обычно
.p12) и пароль к нему — либо ключ на защищенном носителе (JaCarta, Kaztoken, удостоверение личности с чипом).
Шаги:
- Откройте сайт, где нужно подписать документ, убедитесь, что NCALayer запущен.
- Нажмите «Подписать» — откроется системное окно выбора ключа.
- Выберите RSA-ключ (не AUTH), укажите путь к файлу или носителю, введите пароль.
- Если подписываете как представитель юрлица — некоторые порталы просят до этого указать должность или роль в отдельном поле.
- Подтвердите — статус документа меняется на «подписан».
Частые грабли:
- Браузер «не видит» NCALayer, хотя он запущен. Обычно дело в антивирусе или блокировщике рекламы, которые режут локальные адреса
localhost:13579и127.0.0.1:13579— их нужно добавить в исключения. - После обновления Windows или переустановки браузера NCALayer перестает подхватываться — помогает удаление кэша (папка
ncalayer-cacheи файлncalayer.derв домашней директории программы) и переустановка. - Сертификат истек, а пользователь продолжает пытаться подписать старым ключом. NCALayer в этом случае обычно даст внятную ошибку, но не все читают её до конца.
- Подпись работает в одном браузере и не работает в другом — типичная причина в расширениях (менеджеры паролей, блокировщики), не в самом ключе.
Способ 2: eGov mobile — подпись с телефона
Если ключ ЭЦП выпущен на телефон (через eGov mobile) или нужно подписать документ, находясь не за своим компьютером, используется QR-подписание.
- На сайте, где выложен документ (например, SIGEX или внутренний портал компании), нажмите «Подписать через QR».
- На экране появится QR-код.
- Откройте eGov mobile на телефоне, отсканируйте код, пройдите аутентификацию по PIN или биометрии.
- Подтвердите подписание в приложении — статус на сайте обновится автоматически.
Это удобно, когда документ нужно подписать в дороге или когда у сотрудника нет физического токена с собой, а есть только телефон с привязанным ключом. Отдельно у eGov есть и приложение eGov business для подписания от имени организации — логика та же, разница в том, что видит юрлицо, а не физлицо.
Мобильную ЭЦП можно получить и на биометрическое удостоверение личности нового образца — там ключ хранится на чипе карты, и для подписания на компьютере понадобится либо NFC-считыватель, либо тот же NCALayer с драйвером карты.
Способ 3: сервисы подписания (SIGEX и аналоги)
Это же самый прямой ответ на вопрос, как подписать документ ЭЦП онлайн без установки чего-либо, кроме самого NCALayer, — не нужен отдельный кабинет или доступ к внутренней системе компании. Когда нужно не просто подписать один файл, а организовать обмен подписанными документами между сторонами — договор, акт, счет, которые должны увидеть и подписать обе компании, — используют отдельные сервисы. SIGEX сейчас один из самых узнаваемых: он вышел в топ выдачи по запросу про подписание ЭЦП не случайно — у него простой сценарий «загрузил файл → подписал → получил ссылку для второй стороны».
- Зайдите на sigex.kz, загрузите документ (лучше PDF — большинство форматов конвертируется в него без проблем).
- Нажмите «Подписать в NCALayer», выберите ключ, введите пароль.
- Получите ссылку на подписанный документ — её можно отправить контрагенту, чтобы он тоже подписал своей ЭЦП.
- Итоговый файл содержит подписи обеих сторон и проверяется без входа в отдельный кабинет — по ссылке или через загрузку файла на проверку.
Похожие сервисы подписания документов есть и у частных провайдеров электронного документооборота — они добавляют поверх подписания шаблоны, согласование по этапам, напоминания и хранение архива, что SIGEX в чистом виде не делает.
Как подписать PDF ЭЦП, если файл не PDF
Отдельный частый вопрос — как подписать документ ЭЦП, если исходник в Word или Excel. Прямой путь такой: сначала экспортировать файл в PDF (в Word это «Сохранить как» → PDF, в 1С и большинстве учетных систем есть кнопка «Печать в PDF» или готовый экспорт), а потом подписывать уже PDF-версию. Причина простая: ЭЦП встраивается в структуру файла, а PDF — предсказуемый формат, который одинаково открывается и проверяется на любой стороне. Подписывать «живой» Word-документ формально можно, но на практике почти никто из контрагентов и госсистем это не принимает.

Что реально ломается, когда подписывают вручную
Если в компании подписание ЭЦП — это отдельный ручной шаг для каждого документа, накапливаются проблемы, которые не видны, пока их не начинаешь считать:

- Сотрудник забывает, что RSA и AUTH — разные ключи, и тратит 20 минут на переустановку NCALayer вместо того, чтобы просто выбрать другой файл ключа.
- Договор лежит неделю неподписанным, потому что ответственный человек в отпуске, а доступ к ключу есть только у него на ноутбуке.
- Подписанные документы разлетаются по почте и мессенджерам без единого места хранения — потом их сложно найти для суда, налоговой или аудита.
- В компаниях с филиальной сетью каждый филиал подписывает по-своему: где-то через SIGEX, где-то печатают и подписывают вручную, где-то вообще не в курсе, что можно подписывать удаленно.
Ни один из этих сценариев не решается «еще одной инструкцией для сотрудников». Решается это тем, что подписание встраивается в тот процесс, где документ и так уже рождается — в CRM, в 1С, во внутреннем портале согласования, в чат-боте для филиалов. Это тот же принцип, что и в подборе процессов для автоматизации ИИ: искать не эффектную демку, а конкретный повторяющийся шаг, который отнимает время у живых людей.
Куда это встроить в рабочий процесс
Если подписание ЭЦП — это шаг, который повторяется десятки раз в месяц (договоры с поставщиками, акты выполненных работ, кадровые документы, счета), его можно вшить в существующий процесс, а не оставлять отдельной вкладкой в браузере:

- Документ формируется автоматически из шаблона и данных CRM или 1С, сразу в PDF.
- Ответственный получает уведомление в WhatsApp или Telegram с прямой ссылкой на подписание, а не ищет файл в почте.
- После подписания документ автоматически уходит в архив с привязкой к сделке, сотруднику или контрагенту — без ручного сохранения «куда получится».
- Если нужна подпись нескольких сторон, система сама отслеживает, кто уже подписал, и напоминает тем, кто нет.
Мы в azamat.ai встраиваем такие сценарии в существующий ИИ-ассистент по документам — не заменяя NCALayer или SIGEX, а убирая ручные шаги вокруг них: сборку файла, поиск ответственного, напоминания, архивирование. Обычно это часть более широкой интеграции ИИ в CRM или связки с 1С, WhatsApp и Excel, о которой мы писали отдельно. Перед тем как встраивать подписание в процесс, полезно свериться с чек-листом того, что стоит подготовить перед внедрением ИИ — какие данные и доступы понадобятся.
FAQ
Можно ли подписать документ ЭЦП без NCALayer?
Только если ключ выпущен на мобильное устройство и вы подписываете через eGov mobile по QR-коду — в этом случае NCALayer не нужен на компьютере, но приложение все равно использует ту же PKI-инфраструктуру НУЦ РК.
Чем отличается RSA-ключ от AUTH-ключа?
AUTH-ключ — это вход, аутентификация на порталах. RSA-ключ — это собственно подпись документов. Для входа на сайт госоргана обычно спрашивают AUTH, для подписания договора или заявления — RSA. Путаница между ними — самая частая причина «не могу подписать документ».
Как проверить, что документ подписан корректно?
Через сайт проверки НУЦ РК или через сервис, где документ подписывался (например, SIGEX показывает список подписантов и статус сертификата на момент подписания). Проверка не требует своего ключа — только загрузки файла.
ЭЦП физлица подходит для подписания от имени компании?
Нет напрямую — сотруднику нужна ЭЦП, привязанная к организации (либо ЭЦП физлица с указанием полномочий представителя, если портал это поддерживает). Для регулярного подписания договоров от имени юрлица разумнее оформить корпоративный ключ и явно прописать, кто им пользуется.
Что делать, если контрагент не умеет подписывать ЭЦП?
Отправить ему прямую ссылку на сервис подписания (например, SIGEX) с коротким пояснением — большинство таких сервисов не требуют регистрации, только наличие своей ЭЦП и NCALayer или eGov mobile на стороне контрагента.
Если в компании подписание ЭЦП уже съедает время не одного сотрудника, а нескольких отделов, есть смысл не улучшать инструкцию, а посмотреть на процесс целиком — от момента, когда документ появляется, до момента, когда он подписан и лежит в архиве.
