Konfiguracja modułu e-Doręczenia: Różnice pomiędzy wersjami

(Nie pokazano 11 pośrednich wersji utworzonych przez tego samego użytkownika)

Linia 2:

== Generowanie kluczy ==

Do wygenerowania kluczy najlepiej użyć narzędzia OpenSSL. Link do pobrania: https://slproweb.com/products/Win32OpenSSL.html

Do wygenerowania kluczy najlepiej użyć narzędzia OpenSSL.

Link do pobrania: https://slproweb.com/products/Win32OpenSSL.html

[[Plik:Info-sys edoreczenia csr.png]]

=== Generowanie klucza prywatnego ===

Aby utworzyć klucz prywatny, który będzie używany z certyfikatem, przy wykorzystaniu pakietu OpenSSL, należy wpisać poniższe polecenie w oknie terminala (podając **własną ścieżkę do katalogu, w którym mają być zapisane klucze**):

~~Aby utworzyć klucz prywatny, który będzie używany z certyfikatem, przy wykorzystaniu pakietu openSSL, należy wpisać poniższe polecenie w oknie terminala~~:

openssl genrsa -out "C:\Twoja_Sciezka\klucze\infosys_edor.key" 2048

</syntaxhighlight>

~~<syntaxhighlight lang="powershell">openssl genrsa -out D:\klucze\infosys_edor.key 2048</syntaxhighlight>~~

Wygenerowany klucz prywatny należy zachować w bezpiecznym miejscu i uniemożliwić dostęp do niego osobom trzecim.

{{Uwaga}} Wygenerowany klucz prywatny należy zachować w bezpiecznym miejscu i uniemożliwić dostęp do niego osobom trzecim. Należy również wykonać kopię bezpieczeństwa tego pliku, jest on niezbędny do późniejszego używania certyfikatu. Powtórne wygenerowanie identycznego klucza prywatnego nie jest możliwe, ~~zatem~~ jego utrata ~~automatycznie~~ uniemożliwia korzystanie z certyfikatu.

Należy również wykonać kopię bezpieczeństwa tego pliku — jest on niezbędny do późniejszego używania certyfikatu.

Powtórne wygenerowanie identycznego klucza prywatnego nie jest możliwe, a jego utrata uniemożliwia korzystanie z certyfikatu.

<!--

=== Generowanie klucza publicznego ===

Do utworzenia klucza publicznego na podstawie wcześniej wygenerowanego klucza prywatnego, służy następujące polecenie:

Do utworzenia klucza publicznego na podstawie wcześniej wygenerowanego klucza prywatnego służy następujące polecenie

(pamiętaj o wskazaniu własnej ścieżki do plików):

<syntaxhighlight lang="powershell">openssl rsa ~~–in D~~:\infosys_edor.key -pubout -out D:\infosys_edor_public.key</syntaxhighlight>

openssl rsa -in "C:\Twoja_Sciezka\klucze\infosys_edor.key" -pubout -out "C:\Twoja_Sciezka\klucze\infosys_edor_public.key"

</syntaxhighlight>

-->

=== Generowanie pliku żądania podpisania certyfikatu ===

=== Generowanie pliku żądania podpisania certyfikatu (CSR) ===

Aby utworzyć plik żądania podpisania certyfikatu (CSR) na podstawie wcześniej wygenerowanego klucza prywatnego, ~~należy użyć~~ polecenia:

Aby utworzyć plik żądania podpisania certyfikatu (CSR) na podstawie wcześniej wygenerowanego klucza prywatnego, użyj polecenia (również wskazując **własną ścieżkę**):

<syntaxhighlight lang="powershell">openssl req -new -key D:\klucze\infosys_edor.key -out D:\klucze\infosys_edor.csr</syntaxhighlight>

openssl req -new -key "C:\Twoja_Sciezka\klucze\infosys_edor.key" -out "C:\Twoja_Sciezka\klucze\infosys_edor.csr"

</syntaxhighlight>

W trakcie tworzenia pliku CSR, należy podać następujące informacje:

* '''Country Name (C)''' ~~‒ należy podać~~ dwuliterowy kod kraju [PL].

* '''Country Name (C)''' – dwuliterowy kod kraju, np. [PL].

* '''State or Province Name (ST)''' ~~‒ należy podać nazwę~~ województwa, w którym mieści się siedziba firmy [Wojewodztwo].

* '''State or Province Name (ST)''' – nazwa województwa, w którym mieści się siedziba firmy, np. [Wojewodztwo].

* '''Locality Name (L)''' ~~‒ należy podać nazwę~~ miejscowości, ~~w której mieści się siedziba firmy~~ [Miejscowosc].

* '''Locality Name (L)''' – nazwa miejscowości, np. [Miejscowosc].

* '''Organization Name (O)''' ~~‒ należy podać pełną~~ i ~~dokładną nazwę~~ firmy, ~~musi się ona zgadzać~~ z ~~nazwą przedstawioną w dokumentach rejestrowych, czyli w rejestrze~~ CEIDG lub KRS [Nazwa Firmy].

* '''Organization Name (O)''' – pełna i dokładna nazwa firmy, zgodna z danymi rejestrowymi (CEIDG lub KRS), np. [Nazwa Firmy].

* '''Organizational Unit Name (OU)''' ~~‒ pole nieobowiązkowe,~~ opcjonalnie ~~można podać nazwę~~ działu ~~firmy odpowiedzialnego za wdrożenie certyfikatu~~ [~~Nazwa Dzialu~~ IT].

* '''Organizational Unit Name (OU)''' – opcjonalnie nazwa działu, np. [Dzial IT].

* '''Common Name (CN)''' ~~‒ należy wpisać nazwę~~ domeny, dla której ma być wystawiony certyfikat np. [*.domena.pl]. ~~Dla certyfikatów typu Wildcard podajemy nazwę domeny w postaci [*.domena.pl].~~

* '''Common Name (CN)''' – nazwa domeny, dla której ma być wystawiony certyfikat, np. [*.domena.pl].

* '''Email Address [E]''' ‒ pole nieobowiązkowe.

* '''Email Address [E]''' – pole nieobowiązkowe.

* Po ~~przejściu przez tę procedurę~~ pojawią się ~~jeszcze~~ dwa dodatkowe pytania (extra attributes). ~~Pola te należy~~ pozostawić puste i zatwierdzić klawiszem Enter:

** '''A challenge password''' ~~‒ należy~~ pominąć ~~i zatwierdzić klawiszem~~ Enter.

Po wypełnieniu tych danych pojawią się dwa dodatkowe pytania (extra attributes).

** '''An optional company name''' ~~‒ należy~~ pominąć ~~i zatwierdzić klawiszem~~ Enter.

Należy pozostawić pola puste i zatwierdzić klawiszem Enter:

* '''A challenge password''' – pominąć (Enter).

* '''An optional company name''' – pominąć (Enter).

{{Uwaga}} Podczas udzielania odpowiedzi ~~na pytania~~ NIE NALEŻY używać polskich znaków.

{{Uwaga}} Podczas udzielania odpowiedzi '''NIE NALEŻY''' używać polskich znaków diakrytycznych.

Poprawność pliku CSR zostanie sprawdzona podczas rejestracji integrowanego systemu.

Linia 78:

Linia 90:

[Podatki] Menu: Konfiguracja -> Ustawienia -> Parametry modułu e-Doręczenia

[Egzekucje] Menu: Konfiguracja -> Konfiguracja modułu e-Doręczenia

[Płace] Menu: Konfiguracja -> Stałe parametry systemu: zakładka Zaawansowane -> e-Doręczenia

Dla programów działających na wspólnej bazie danych konfigurację ustalamy tylko raz.

==== Środowisko produkcyjne ====

[[Plik:Info-sys podatki-~~edoreczenia~~ prod.png|ramka|brak|Parametry środowiska produkcyjnego usługi e-Doręczenia]]

[[Plik:Info-sys podatki-e-doreczenia prod.png|ramka|brak|Parametry środowiska produkcyjnego usługi e-Doręczenia]]

Przygotowane w poprzednich krokach dane należy wprowadzić w zakładce ''Środowisko produkcyjne''.

Linia 96:

Linia 109:

Po uzupełnieniu danych zaznaczamy parametr '''''Używaj środowiska produkcyjnego''''' i zapisujemy wprowadzone parametry klikając na przycisk '''''Zapisz'''''.

==== Testowanie konfiguracji i typowe problemy ====

==== Dane nadawcy i potwierdzenia odbioru ====

===== Błąd ~~wyszukiwania adresu e-Doręczeń~~ przy przyspieszonym zegarze =====

[[Plik:Info-sys podatki-edoreczenia dane-nadawcy.png|ramka|brak|Parametry: dane nadawcy oraz typy zdarzeń uznawane za potwierdzenie odbioru]]

{{Uwaga}} Podczas testowania poprawności konfiguracji (np. przy próbie wyszukania adresu e-Doręczeń) może pojawić się błąd, jeśli czas na stacji roboczej jest **przyspieszony** względem czasu rzeczywistego. Zdarza się to szczególnie w środowiskach domenowych, gdzie stacje synchronizują się z kontrolerem domeny, a ten ma czas „śpieszący się”.

== Testowanie konfiguracji i typowe problemy ==

=== Błąd przy przyspieszonym zegarze ===

{{Uwaga}} Podczas testowania poprawności konfiguracji (np. przy próbie wyszukania adresu e-Doręczeń) może pojawić się błąd, jeśli czas na stacji roboczej jest '''przyspieszony''' względem czasu rzeczywistego. Zdarza się to szczególnie w środowiskach domenowych, gdzie stacje synchronizują się z kontrolerem domeny, a ten ma czas „śpieszący się”.

'''Objawy'''

Linia 116:

Linia 132:

{{Uwaga}} Jeżeli stacje robocze są w domenie, zadbaj o prawidłowy czas na kontrolerze domeny (PDC Emulator). To on stanowi referencję czasu dla pozostałych komputerów w sieci.

===~~= Dane nadawcy i potwierdzenia odbioru =~~===

=== Błąd: w polu „Klucz uwierzytelniający” wklejono plik .CSR lub .PEM zamiast .KEY ===

[[Plik:~~Info~~-~~sys podatki~~-~~edoreczenia dane~~-~~nadawcy~~.~~png|ramka|brak|Parametry~~: ~~dane nadawcy oraz typy zdarzeń uznawane za potwierdzenie odbioru]]~~

{{Uwaga}} W polu '''Klucz uwierzytelniający''' należy wkleić zawartość pliku z kluczem prywatnym o rozszerzeniu '''.KEY'''.

Wklejenie zawartości pliku '''.CSR''' lub '''.PEM''' spowoduje błąd uwierzytelnienia podczas próby połączenia z usługą e-Doręczeń.

'''Objawy'''

* Po zapisaniu konfiguracji operacje w e-Doręczeniach kończą się błędem autoryzacji lub brakiem odpowiedzi.

* W logach pojawiają się komunikaty o błędnym kluczu, nieprawidłowym podpisie lub problemie z identyfikatorem systemu.

'''Dlaczego tak się dzieje'''

* Plik '''.CSR''' zawiera jedynie żądanie certyfikatu (publiczne dane).

* Plik '''.PEM''' może zawierać sam certyfikat X.509, ale bez klucza prywatnego nie umożliwia uwierzytelnienia.

* Tylko plik '''.KEY''' zawiera właściwy klucz prywatny potrzebny do podpisywania i autoryzacji.

'''Jak rozpoznać typ pliku'''

* '''.KEY''' – prawidłowy plik klucza prywatnego. Zaczyna się od `-----BEGIN PRIVATE KEY-----`

* '''.CSR''' – błędny plik żądania certyfikatu. Zaczyna się od `-----BEGIN CERTIFICATE REQUEST-----`

* '''.PEM''' – błędny plik certyfikatu. Zaczyna się od: `-----BEGIN CERTIFICATE-----`

'''Jak naprawić'''

# Otwórz w Notatniku plik klucza prywatnego (np. `D:\klucze\infosys_edor.key`).

# Skopiuj **całą** jego zawartość – łącznie z liniami nagłówka i stopki `BEGIN/END ...`.

# Wklej tę treść do pola '''Klucz uwierzytelniający''' w zakładce '''Środowisko produkcyjne'''.

# Zapisz ustawienia i ponów próbę.

Zawsze przechowuj pliki `.KEY`, `.CSR` i `.PEM` w jednej lokalizacji, z czytelnymi nazwami – ułatwi to późniejszą identyfikację, który plik odpowiada któremu certyfikatowi.

== Linki ==

@@ Linia 2: / Linia 2: @@
 == Generowanie kluczy ==
-Do wygenerowania kluczy najlepiej użyć narzędzia OpenSSL. Link do pobrania: https://slproweb.com/products/Win32OpenSSL.html
+Do wygenerowania kluczy najlepiej użyć narzędzia OpenSSL.
+Link do pobrania: https://slproweb.com/products/Win32OpenSSL.html
 [[Plik:Info-sys edoreczenia csr.png]]
 === Generowanie klucza prywatnego ===
+Aby utworzyć klucz prywatny, który będzie używany z certyfikatem, przy wykorzystaniu pakietu OpenSSL, należy wpisać poniższe polecenie w oknie terminala (podając **własną ścieżkę do katalogu, w którym mają być zapisane klucze**):
-Aby utworzyć klucz prywatny, który będzie używany z certyfikatem, przy wykorzystaniu pakietu openSSL, należy wpisać poniższe polecenie w oknie terminala:
+<syntaxhighlight lang="powershell">
+openssl genrsa -out "C:\Twoja_Sciezka\klucze\infosys_edor.key" 2048
+</syntaxhighlight>
-<syntaxhighlight lang="powershell">openssl genrsa -out D:\klucze\infosys_edor.key 2048</syntaxhighlight>
+{{Uwaga}}
+Wygenerowany klucz prywatny należy zachować w bezpiecznym miejscu i uniemożliwić dostęp do niego osobom trzecim.
-{{Uwaga}} Wygenerowany klucz prywatny należy zachować w bezpiecznym miejscu i uniemożliwić dostęp do niego osobom trzecim. Należy również wykonać kopię bezpieczeństwa tego pliku, jest on niezbędny do późniejszego używania certyfikatu. Powtórne wygenerowanie identycznego klucza prywatnego nie jest możliwe, zatem jego utrata automatycznie uniemożliwia korzystanie z certyfikatu.
+Należy również wykonać kopię bezpieczeństwa tego pliku — jest on niezbędny do późniejszego używania certyfikatu.
+Powtórne wygenerowanie identycznego klucza prywatnego nie jest możliwe, a jego utrata uniemożliwia korzystanie z certyfikatu.
 <!--
 === Generowanie klucza publicznego ===
-Do utworzenia klucza publicznego na podstawie wcześniej wygenerowanego klucza prywatnego, służy następujące polecenie:
+Do utworzenia klucza publicznego na podstawie wcześniej wygenerowanego klucza prywatnego służy następujące polecenie
+(pamiętaj o wskazaniu własnej ścieżki do plików):
-<syntaxhighlight lang="powershell">openssl rsa –in D:\infosys_edor.key -pubout -out D:\infosys_edor_public.key</syntaxhighlight>
+<syntaxhighlight lang="powershell">
+openssl rsa -in "C:\Twoja_Sciezka\klucze\infosys_edor.key" -pubout -out "C:\Twoja_Sciezka\klucze\infosys_edor_public.key"
+</syntaxhighlight>
 -->
-=== Generowanie pliku żądania podpisania certyfikatu ===
+=== Generowanie pliku żądania podpisania certyfikatu (CSR) ===
-Aby utworzyć plik żądania podpisania certyfikatu (CSR) na podstawie wcześniej wygenerowanego klucza prywatnego, należy użyć polecenia:
+Aby utworzyć plik żądania podpisania certyfikatu (CSR) na podstawie wcześniej wygenerowanego klucza prywatnego, użyj polecenia (również wskazując **własną ścieżkę**):
-<syntaxhighlight lang="powershell">openssl req -new -key D:\klucze\infosys_edor.key -out D:\klucze\infosys_edor.csr</syntaxhighlight>
+<syntaxhighlight lang="powershell">
+openssl req -new -key "C:\Twoja_Sciezka\klucze\infosys_edor.key" -out "C:\Twoja_Sciezka\klucze\infosys_edor.csr"
+</syntaxhighlight>
 W trakcie tworzenia pliku CSR, należy podać następujące informacje:
-* '''Country Name (C)''' ‒ należy podać dwuliterowy kod kraju [PL].
+* '''Country Name (C)''' – dwuliterowy kod kraju, np. [PL].
-* '''State or Province Name (ST)''' ‒ należy podać nazwę województwa, w którym mieści się siedziba firmy [Wojewodztwo].
+* '''State or Province Name (ST)''' – nazwa województwa, w którym mieści się siedziba firmy, np. [Wojewodztwo].
-* '''Locality Name (L)''' ‒ należy podać nazwę miejscowości, w której mieści się siedziba firmy [Miejscowosc].
+* '''Locality Name (L)''' – nazwa miejscowości, np. [Miejscowosc].
-* '''Organization Name (O)''' ‒ należy podać pełną i dokładną nazwę firmy, musi się ona zgadzać z nazwą przedstawioną w dokumentach rejestrowych, czyli w rejestrze CEIDG lub KRS [Nazwa Firmy].
+* '''Organization Name (O)''' – pełna i dokładna nazwa firmy, zgodna z danymi rejestrowymi (CEIDG lub KRS), np. [Nazwa Firmy].
-* '''Organizational Unit Name (OU)''' ‒ pole nieobowiązkowe, opcjonalnie można podać nazwę działu firmy odpowiedzialnego za wdrożenie certyfikatu [Nazwa Dzialu IT].
+* '''Organizational Unit Name (OU)''' – opcjonalnie nazwa działu, np. [Dzial IT].
-* '''Common Name (CN)''' ‒ należy wpisać nazwę domeny, dla której ma być wystawiony certyfikat np. [*.domena.pl]. Dla certyfikatów typu Wildcard podajemy nazwę domeny w postaci [*.domena.pl].
+* '''Common Name (CN)''' – nazwa domeny, dla której ma być wystawiony certyfikat, np. [*.domena.pl].
-* '''Email Address [E]''' ‒ pole nieobowiązkowe.
+* '''Email Address [E]''' – pole nieobowiązkowe.
-* Po przejściu przez tę procedurę pojawią się jeszcze dwa dodatkowe pytania (extra attributes). Pola te należy pozostawić puste i zatwierdzić klawiszem Enter:
-** '''A challenge password''' ‒ należy pominąć i zatwierdzić klawiszem Enter.
+Po wypełnieniu tych danych pojawią się dwa dodatkowe pytania (extra attributes).
-** '''An optional company name''' ‒ należy pominąć i zatwierdzić klawiszem Enter.
+Należy pozostawić pola puste i zatwierdzić klawiszem Enter:
+* '''A challenge password''' – pominąć (Enter).
+* '''An optional company name''' – pominąć (Enter).
-{{Uwaga}} Podczas udzielania odpowiedzi na pytania NIE NALEŻY używać polskich znaków.
+{{Uwaga}}  Podczas udzielania odpowiedzi '''NIE NALEŻY''' używać polskich znaków diakrytycznych.
 Poprawność pliku CSR zostanie sprawdzona podczas rejestracji integrowanego systemu.
@@ Linia 78: / Linia 90: @@
   [Podatki] Menu: Konfiguracja -> Ustawienia -> Parametry modułu e-Doręczenia
   [Egzekucje] Menu: Konfiguracja -> Konfiguracja modułu e-Doręczenia
+ [Płace] Menu: Konfiguracja -> Stałe parametry systemu: zakładka Zaawansowane -> e-Doręczenia
 Dla programów działających na wspólnej bazie danych konfigurację ustalamy tylko raz.
 ==== Środowisko produkcyjne ====
-[[Plik:Info-sys podatki-edoreczenia prod.png|ramka|brak|Parametry środowiska produkcyjnego usługi e-Doręczenia]]
+[[Plik:Info-sys podatki-e-doreczenia prod.png|ramka|brak|Parametry środowiska produkcyjnego usługi e-Doręczenia]]
 Przygotowane w poprzednich krokach dane należy wprowadzić w zakładce ''Środowisko produkcyjne''.
@@ Linia 96: / Linia 109: @@
 Po uzupełnieniu danych zaznaczamy parametr '''''Używaj środowiska produkcyjnego''''' i zapisujemy wprowadzone parametry klikając na przycisk '''''Zapisz'''''.
-==== Testowanie konfiguracji i typowe problemy ====
+==== Dane nadawcy i potwierdzenia odbioru ====
-===== Błąd wyszukiwania adresu e-Doręczeń przy przyspieszonym zegarze =====
+[[Plik:Info-sys podatki-edoreczenia dane-nadawcy.png|ramka|brak|Parametry: dane nadawcy oraz typy zdarzeń uznawane za potwierdzenie odbioru]]
-{{Uwaga}} Podczas testowania poprawności konfiguracji (np. przy próbie wyszukania adresu e-Doręczeń) może pojawić się błąd, jeśli czas na stacji roboczej jest **przyspieszony** względem czasu rzeczywistego. Zdarza się to szczególnie w środowiskach domenowych, gdzie stacje synchronizują się z kontrolerem domeny, a ten ma czas „śpieszący się”.
+== Testowanie konfiguracji i typowe problemy ==
+=== Błąd przy przyspieszonym zegarze ===
+{{Uwaga}} Podczas testowania poprawności konfiguracji (np. przy próbie wyszukania adresu e-Doręczeń) może pojawić się błąd, jeśli czas na stacji roboczej jest '''przyspieszony''' względem czasu rzeczywistego. Zdarza się to szczególnie w środowiskach domenowych, gdzie stacje synchronizują się z kontrolerem domeny, a ten ma czas „śpieszący się”.
 '''Objawy'''
@@ Linia 116: / Linia 132: @@
 {{Uwaga}} Jeżeli stacje robocze są w domenie, zadbaj o prawidłowy czas na kontrolerze domeny (PDC Emulator). To on stanowi referencję czasu dla pozostałych komputerów w sieci.
-==== Dane nadawcy i potwierdzenia odbioru ====
+=== Błąd: w polu „Klucz uwierzytelniający” wklejono plik .CSR lub .PEM zamiast .KEY ===
-[[Plik:Info-sys podatki-edoreczenia dane-nadawcy.png|ramka|brak|Parametry: dane nadawcy oraz typy zdarzeń uznawane za potwierdzenie odbioru]]
+{{Uwaga}} W polu '''Klucz uwierzytelniający''' należy wkleić zawartość pliku z kluczem prywatnym o rozszerzeniu '''.KEY'''.
+Wklejenie zawartości pliku '''.CSR''' lub '''.PEM''' spowoduje błąd uwierzytelnienia podczas próby połączenia z usługą e-Doręczeń.
+'''Objawy'''
+* Po zapisaniu konfiguracji operacje w e-Doręczeniach kończą się błędem autoryzacji lub brakiem odpowiedzi.
+* W logach pojawiają się komunikaty o błędnym kluczu, nieprawidłowym podpisie lub problemie z identyfikatorem systemu.
+'''Dlaczego tak się dzieje'''
+* Plik '''.CSR''' zawiera jedynie żądanie certyfikatu (publiczne dane).
+* Plik '''.PEM''' może zawierać sam certyfikat X.509, ale bez klucza prywatnego nie umożliwia uwierzytelnienia.
+* Tylko plik '''.KEY''' zawiera właściwy klucz prywatny potrzebny do podpisywania i autoryzacji.
+'''Jak rozpoznać typ pliku'''
+* '''.KEY''' – prawidłowy plik klucza prywatnego. Zaczyna się od `-----BEGIN PRIVATE KEY-----`
+* '''.CSR''' – błędny plik żądania certyfikatu. Zaczyna się od `-----BEGIN CERTIFICATE REQUEST-----`
+* '''.PEM''' – błędny plik certyfikatu. Zaczyna się od: `-----BEGIN CERTIFICATE-----`
+'''Jak naprawić'''
+# Otwórz w Notatniku plik klucza prywatnego (np. `D:\klucze\infosys_edor.key`).
+# Skopiuj **całą** jego zawartość – łącznie z liniami nagłówka i stopki `BEGIN/END ...`.
+# Wklej tę treść do pola '''Klucz uwierzytelniający''' w zakładce '''Środowisko produkcyjne'''.
+# Zapisz ustawienia i ponów próbę.
+ Zawsze przechowuj pliki `.KEY`, `.CSR` i `.PEM` w jednej lokalizacji, z czytelnymi nazwami – ułatwi to późniejszą identyfikację, który plik odpowiada któremu certyfikatowi.
 == Linki ==