Как открыть и проверить файл с расширением P7S

Иван Корнев·27.05.2026·5 мин

Файл .p7s — это контейнер электронной подписи (формат PKCS#7/CMS), который сам по себе не является документом. Чтобы «открыть» его, нужно не запустить как программу, а проверить валидность подписи и извлечь исходный файл (PDF, XML, DOC и др.), к которому эта подпись прикреплена. Сделать это можно через специализированное ПО (например, КриптоПро), онлайн-сервисы удостоверяющих центров или командную строку (OpenSSL).

Краткий ответ: Если вам прислали файл document.pdf.p7s, значит, оригинальный document.pdf находится внутри этого контейнера вместе с цифровой подписью. Ваша задача — верифицировать подпись и сохранить исходный документ.

Что такое P7S и почему он не открывается двойным кликом

Расширение .p7s обозначает файл подписанных данных (Signed Data) согласно стандарту Cryptographic Message Syntax (CMS). В отличие от файла с расширением .sig или .sign, который часто хранит подпись отдельно, формат P7S может включать в себя:

  1. Саму электронную подпись (сертификат, хэш-сумма, данные об УЦ).
  2. Исходный документ (в кодировке Base64 или DER).

Операционная система Windows или macOS не знает, какой программой ассоциировать этот файл по умолчанию, так как это не текстовый редактор и не изображение, а криптографический контейнер. Попытка открыть его через «Блокнот» покажет лишь нечитаемый набор символов.

Способы открытия и проверки P7S

Выбор инструмента зависит от того, какая криптография использовалась: российская (ГОСТ) или международная (RSA/ECDSA).

Способ 1. Использование КриптоПро (для ГОСТ-подписей в РФ)

Если файл получен от российской государственной организации, банка или контрагента, использующего отечественные стандарты шифрования, вам понадобится ПО «КриптоПро».

Вариант А: КриптоПро PDF / Office Если у вас установлен плагин КриптоПро для просмотра PDF или Office, программа автоматически распознает подпись при открытии основного документа (если P7S встроен в него). Если же P7S лежит отдельным файлом:

  1. Запустите КриптоПро Tools (или «Инструменты КриптоПро»).
  2. Перейдите на вкладку Подпись.
  3. Выберите функцию Проверить подпись.
  4. Укажите путь к файлу .p7s.
  5. Система покажет статус: «Подпись действительна» или «Ошибка». Там же можно извлечь исходный файл.

Вариант Б: Онлайн-сервисы Контур.Крипто или Госуслуги Если устанавливать ПО не хочется, используйте веб-сервисы (только если файл не содержит персональных данных, которые вы боитесь передавать на сторонний сервер):

  1. Зайдите на сервис проверки ЭП (например, от Контур или Тензор).
  2. Загрузите файл .p7s.
  3. Сервис проверит цепочку сертификатов и предложит скачать исходный документ.

Безопасность данных: Не загружайте файлы с коммерческой тайной, паспортами или финансовыми отчетами на случайные бесплатные онлайн-сервисы. Используйте только проверенные сайты крупных УЦ или локальное ПО.

Способ 2. Почтовые клиенты (для S/MIME)

Часто файлы P7S приходят как вложения в email. Это стандарт S/MIME.

  • Microsoft Outlook: Автоматически проверяет подпись. Если она верна, рядом с письмом появится значок ленты или щита. Чтобы сохранить вложение, просто откройте письмо и сохраните прикрепленный файл (Outlook обычно «распаковывает» P7S на лету).
  • Mozilla Thunderbird: Требует настройки сертификатов. При получении письма с P7S клиент покажет статус подписи в заголовке.

Способ 3. OpenSSL (для международных стандартов, Linux/macOS)

Для файлов, подписанных зарубежными сертификатами (RSA), удобно использовать утилиту OpenSSL. Она есть в большинстве дистрибутивов Linux и macOS, а также доступна для Windows.

Проверка подписи и извлечение контента: Откройте терминал и выполните команду:

openssl cms -verify -in file.p7s -inform DER -out original_file.pdf
  • -in file.p7s: ваш файл подписи.
  • -inform DER: формат входного файла (часто P7S бинарный, если текстовый — используйте -inform PEM).
  • -out original_file.pdf: имя файла, который будет извлечен.

Если подпись верна, OpenSSL напишет Verification successful и создаст файл original_file.pdf. Если нет — выведет ошибку.

Как узнать формат (DER или PEM)? Откройте файл P7S в «Блокноте». Если видите читаемый текст, начинающийся с -----BEGIN PKCS7-----, это формат PEM. Если видите кракозябры — это бинарный DER.

Способ 4. Специализированные просмотрщики

Существуют легкие утилиты для быстрого просмотра структуры PKCS#7 без установки тяжелых крипто-пакетов:

  • DSS (Digital Signature Service) от EU Commission (для европейских подписей).
  • SignDoc или аналоги.

Таблица: Какой инструмент выбрать?

СценарийРекомендуемый инструментПримечание
Госорганы РФ, тендеры, ФНСКриптоПро CSP + браузер с плагиномОбязательно наличие ГОСТ-сертификатов
Корпоративная почта (Exchange)Microsoft OutlookПроверка происходит автоматически
Зарубежные партнеры, IT-сфераOpenSSLУниверсально, бесплатно, требует навыков CLI
Быстрая проверка без установки ПООнлайн-сервисы УЦ (Контур, Тензор)Риск утечки данных при загрузке конфиденциальных документов
Мобильное устройство (Android/iOS)Приложения «КриптоПро» или почтовый клиентНа мобильных устройствах функционал ограничен

Частые ошибки при работе с P7S

  1. Попытка переименовать файл. Изменение расширения .p7s на .pdf или .docx не превратит файл в документ. Вы получите поврежденный файл, так как структура P7S отличается от структуры документа. Нужно именно извлекать данные через верификатор.

  2. Ошибка «Сертификат не найден» или «Не доверенный УЦ». Это не значит, что подпись поддельная. Возможно, на вашем компьютере не установлен корневой сертификат удостоверяющего центра, выдавшего подпись.

    • Решение: Скачайте корневой сертификат с сайта УЦ и установите его в хранилище «Доверенные корневые центры сертификации».

  3. Пустой файл после извлечения. Иногда P7S содержит только подпись (detached signature), а сам документ лежит рядом в папке с таким же именем, но другим расширением. В этом случае проверяйте подпись, указывая оба файла: контейнер подписи и исходный документ.

FAQ

Можно ли открыть P7S на телефоне? Да, но сложно. На Android/iOS лучше всего использовать мобильные версии почтовых клиентов (Outlook, Spark), которые поддерживают S/MIME. Для ГОСТ-подписей существуют мобильные приложения от КриптоПро, но они часто требуют лицензии.

Что делать, если срок действия сертификата истек? Файл все равно можно открыть и прочитать содержимое. Однако статус подписи будет «Недействительна» по времени. Для юридической значимости в такой ситуации требуется проверка штампа времени (TSA), если он был добавлен при подписании.

Безопасно ли открывать P7S от неизвестного отправителя? Сам по себе файл P7S безопасен — это просто данные. Опасность представляет извлеченный из него документ (например, макрос в Word или скрипт в PDF). Всегда проверяйте валидность подписи: если она не совпадает с ожидаемым отправителем, не открывайте извлеченный файл.