KSeF uwierzytelnianie certyfikatami: Różnice pomiędzy wersjami
Nie podano opisu zmian |
|||
| Linia 50: | Linia 50: | ||
* Planuj rotację certyfikatów przed upływem ich ważności. | * Planuj rotację certyfikatów przed upływem ich ważności. | ||
* W systemach FK zapewniona będzie obsługę certyfikatów Typ 1 i Typ 2 oraz możliwość ich konfiguracji dla wielu jednostek. | * W systemach FK zapewniona będzie obsługę certyfikatów Typ 1 i Typ 2 oraz możliwość ich konfiguracji dla wielu jednostek. | ||
---- | ---- | ||
Wersja z 12:28, 13 paź 2025
Cel dokumentu
Celem dokumentu jest przedstawienie zasad uwierzytelniania w systemie KSeF 2.0 z wykorzystaniem certyfikatów KSeF. Opis przeznaczony jest dla jednostek samorządu terytorialnego (JST) integrujących aplikacje INFO-SYSTEM z API KSeF 2.0.
Nowy model uwierzytelniania
KSeF 2.0 wprowadza nowy, certyfikatowy model uwierzytelniania użytkowników i systemów. Każdy podmiot komunikujący się z API KSeF musi posiadać ważny certyfikat KSeF, wydany w ramach Modułu Certyfikatów i Uprawnień (MCU).
Uwierzytelnianie certyfikatowe całkowicie zastępuje dotychczasowe mechanizmy i będzie jedynym dopuszczalnym sposobem logowania do KSeF od 2026 r.
Typy certyfikatów
W systemie funkcjonują dwa typy certyfikatów, różniące się zastosowaniem:
| Typ certyfikatu | Nazwa (CN) | Przeznaczenie |
|---|---|---|
| Typ 1 – „uwierzytelnianie” | CN=...uwierzytelnianie | Do logowania i pracy w sesjach interaktywnych lub wsadowych (API / GUI) |
| Typ 2 – „offline” | CN=...offline | Do wystawiania faktur w trybie OFFLINE (brak łączności z KSeF) |
Każdy certyfikat wydawany jest osobno – nie można połączyć typów 1 i 2 w jednym pliku.
Uzyskanie certyfikatu
Od 1 listopada 2025 r. certyfikaty KSeF można uzyskać w Moduł Certyfikatów i Uprawnień (MCU) dostępnym w domenie KSeF.
Procedura wydania certyfikatu
- Wejdź do MCU w domenie KSeF.
- Zaloguj się przy pomocy podpisu kwalifikowanego, podpisu zaufanego lub pieczęci kwalifikowanej.
- Wybierz typ certyfikatu (1 lub 2).
- Złóż wniosek o wydanie certyfikatu.
- Po zatwierdzeniu pobierz i zainstaluj certyfikat w środowisku produkcyjnym.
Funkcjonalność MCU dostępna jest wyłącznie z poziomu przeglądarki (brak interfejsu API).
Integracja z API KSeF 2.0
Nowe API KSeF 2.0 wymaga uwierzytelniania przy użyciu certyfikatów Typ 1 (uwierzytelnianie).
Kluczowe założenia integracyjne
- Certyfikat służy wyłącznie do uwierzytelnienia – nie przenosi uprawnień.
- Uprawnienia użytkownika weryfikowane są po stronie KSeF na podstawie ról i powiązań w MCU.
- Certyfikat ma określony okres ważności; system integrujący powinien cyklicznie weryfikować jego stan i umożliwiać rotację.
- Każda jednostka (np. urząd, szkoła, MOPS) może posiadać własny certyfikat przypisany do NIP jednostki nadrzędnej.
- W przypadku pracy awaryjnej (offline) należy użyć odrębnego certyfikatu Typ 2 do oznaczania faktur kodem offline.
Dobre praktyki dla JST
- Stosuj odrębne certyfikaty dla poszczególnych jednostek organizacyjnych.
- Ogranicz dostęp do certyfikatów wyłącznie do osób uprawnionych.
- Przechowuj certyfikaty w bezpiecznym repozytorium kluczy.
- Planuj rotację certyfikatów przed upływem ich ważności.
- W systemach FK zapewniona będzie obsługę certyfikatów Typ 1 i Typ 2 oraz możliwość ich konfiguracji dla wielu jednostek.
Opracowano na podstawie: „Podręcznik KSeF 2.0 – Część I: Rozpoczęcie korzystania z KSeF”, MF, 2025.