wiki.groszek.pl

KSeF uwierzytelnianie certyfikatami

Wersja z dnia 12:26, 13 paź 2025 autorstwa AKwiatkowski (dyskusja | edycje) (Utworzono nową stronę "== Cel dokumentu == Celem dokumentu jest przedstawienie zasad uwierzytelniania w systemie KSeF 2.0 z wykorzystaniem certyfikatów KSeF. Opis przeznaczony jest dla jednostek samorządu terytorialnego (JST) integrujących aplikacje INFO-SYSTEM z API KSeF 2.0. == Nowy model uwierzytelniania == KSeF 2.0 wprowadza nowy, certyfikatowy model uwierzytelniania użytkowników i systemów. Każdy podmiot komunikujący się z API KSeF musi posiadać **ważny certyfikat KS…")
(różn.) ← poprzednia wersja | przejdź do aktualnej wersji (różn.) | następna wersja → (różn.)

Cel dokumentu

Celem dokumentu jest przedstawienie zasad uwierzytelniania w systemie KSeF 2.0 z wykorzystaniem certyfikatów KSeF. Opis przeznaczony jest dla jednostek samorządu terytorialnego (JST) integrujących aplikacje INFO-SYSTEM z API KSeF 2.0.

Nowy model uwierzytelniania

KSeF 2.0 wprowadza nowy, certyfikatowy model uwierzytelniania użytkowników i systemów. Każdy podmiot komunikujący się z API KSeF musi posiadać **ważny certyfikat KSeF**, wydany w ramach **Modułu Certyfikatów i Uprawnień (MCU)**.

Uwierzytelnianie certyfikatowe całkowicie zastępuje dotychczasowe mechanizmy i będzie jedynym dopuszczalnym sposobem logowania do KSeF od 2026 r.

Typy certyfikatów

W systemie funkcjonują dwa typy certyfikatów, różniące się zastosowaniem:

Typ certyfikatu Nazwa (CN) Przeznaczenie
Typ 1 – „uwierzytelnianie” CN=...uwierzytelnianie Do logowania i pracy w sesjach interaktywnych lub wsadowych (API / GUI)
Typ 2 – „offline” CN=...offline Do wystawiania faktur w trybie OFFLINE (brak łączności z KSeF)

Każdy certyfikat wydawany jest osobno – nie można połączyć typów 1 i 2 w jednym pliku.

Uzyskanie certyfikatu

Od 1 listopada 2025 r. certyfikaty KSeF można uzyskać w **Moduł Certyfikatów i Uprawnień (MCU)** dostępnym w domenie KSeF.

Procedura wydania certyfikatu

  1. Wejdź do **MCU** w domenie KSeF.
  2. Zaloguj się przy pomocy podpisu kwalifikowanego, podpisu zaufanego lub pieczęci kwalifikowanej.
  3. Wybierz typ certyfikatu (1 lub 2).
  4. Złóż wniosek o wydanie certyfikatu.
  5. Po zatwierdzeniu pobierz i zainstaluj certyfikat w środowisku produkcyjnym.

Funkcjonalność MCU dostępna jest wyłącznie z poziomu przeglądarki (brak interfejsu API).

Integracja z API KSeF 2.0

Nowe API KSeF 2.0 wymaga uwierzytelniania przy użyciu certyfikatów **Typ 1 (uwierzytelnianie)**.

Kluczowe założenia integracyjne

  • Certyfikat służy wyłącznie do uwierzytelnienia – **nie przenosi uprawnień**.
  • Uprawnienia użytkownika weryfikowane są po stronie KSeF na podstawie ról i powiązań w MCU.
  • Certyfikat ma określony **okres ważności**; system integrujący powinien cyklicznie weryfikować jego stan i umożliwiać rotację.
  • Każda jednostka (np. urząd, szkoła, MOPS) może posiadać własny certyfikat przypisany do NIP jednostki nadrzędnej.
  • W przypadku pracy awaryjnej (offline) należy użyć odrębnego certyfikatu Typ 2 do oznaczania faktur kodem offline.

Dobre praktyki dla JST

  • Stosuj odrębne certyfikaty dla poszczególnych jednostek organizacyjnych.
  • Ogranicz dostęp do certyfikatów wyłącznie do osób uprawnionych.
  • Przechowuj certyfikaty w bezpiecznym repozytorium kluczy.
  • Planuj rotację certyfikatów przed upływem ich ważności.
  • W systemach FK zapewniona będzie obsługę certyfikatów Typ 1 i Typ 2 oraz możliwość ich konfiguracji dla wielu jednostek.

Opracowano na podstawie: „Podręcznik KSeF 2.0 – Część I: Rozpoczęcie korzystania z KSeF”, MF, 2025.

Źródło: „https://wiki.groszek.pl/index.php?title=KSeF_uwierzytelnianie_certyfikatami&oldid=16189