Enrollment certyfikatów

Enrollment to proces rejestracji certyfikatu autoryzacyjnego w KSeF. Wymaga podpisu kwalifikowanego lub pieczęci elektronicznej.

Przebieg procesu

1. Wygenerowanie pliku XML do podpisu

   W dashboardzie przejdź do Ustawienia — Organizacja — [firma] — Integracja KSeF i kliknij Rozpocznij enrollment. System wygeneruje plik XML (żądanie rejestracji certyfikatu) zawierający dane firmy — NIP, identyfikator.

2. Pobranie pliku XML na komputer

   Kliknij Pobierz XML. Plik zostanie zapisany na Twoim komputerze.

3. Podpisanie pliku XML

   Podpisz pobrany plik jedną z dwóch metod:

   • Podpis kwalifikowany z PESEL — podpis osoby uprawnionej do reprezentacji firmy (np. członek zarządu). Używasz swojego podpisu kwalifikowanego (np. Szafir, SimplySign, CenCert) — podpis musi zawierać PESEL osoby upoważnionej.

   • Pieczęć elektroniczna z NIP firmy — pieczęć kwalifikowana wydana na NIP firmy. Nie wymaga powiązania z konkretną osobą fizyczną.

   Narzędzia do podpisu

   Do podpisania XML możesz użyć dowolnego narzędzia obsługującego podpis XAdES, np.:

   • Szafir SDK (KIR)
   • SimplySign Desktop (Asseco)
   • proCertum SmartSign (Asseco)
   • Autenti (podpis kwalifikowany)

4. Wgranie podpisanego XML

   Wróć do dashboardu BizFlow NH i kliknij Wgraj podpisany XML. Wybierz podpisany plik.

5. Weryfikacja i rejestracja

   System wysyła podpisany XML do API KSeF. KSeF weryfikuje podpis i rejestruje certyfikat. Po pomyślnej rejestracji certyfikat jest automatycznie zapisywany w magazynie OpenBao.

6. Gotowe

   Certyfikat jest aktywny. W sekcji integracji KSeF zobaczysz szczegóły: podmiot, odcisk palca, data ważności.

Wymagania

• Firma musi mieć uzupełniony NIP w konfiguracji
• Osoba podpisująca musi być uprawniona do reprezentacji firmy (wpis w KRS/CEIDG) lub firma musi posiadać pieczęć elektroniczną
• Środowisko KSeF musi być dostępne w momencie wgrywania podpisanego XML

Środowisko testowe

W środowisku testowym (ksef-test.mf.gov.pl) można używać testowych NIPów i testowych podpisów. W środowisku demo wymagany jest prawdziwy NIP. W środowisku produkcyjnym — prawdziwy NIP i prawdziwy podpis kwalifikowany lub pieczęć.

Dwa certyfikaty za jednym razem

Proces enrollment generuje dwa certyfikaty jednocześnie — autoryzacyjny (Auth) do uwierzytelniania sesji KSeF oraz offline (ECDSA P-256) do podpisywania kodu QR KOD II. Nie trzeba wybierać typu ani przeprowadzać enrollment dwukrotnie.

System automatycznie:

1. Sprawdza czy w KSeF istnieją aktywne certyfikaty dla danej firmy
2. Synchronizuje istniejące certyfikaty do OpenBao
3. Generuje brakujące (CSR → KSeF API → pobranie podpisanego certyfikatu)
4. Zapisuje oba certyfikaty z kluczami prywatnymi w OpenBao

FAQ

Kto musi podpisać plik XML?

Osoba wpisana w KRS/CEIDG jako uprawniona do reprezentacji firmy, lub firma musi użyć pieczęci elektronicznej wydanej na swój NIP.

Czy mogę użyć podpisu profilu zaufanego (ePUAP)?

Nie. KSeF wymaga podpisu kwalifikowanego lub pieczęci elektronicznej. Profil zaufany nie jest akceptowany.

Co jeśli certyfikat wygaśnie?

Powtórz proces enrollment. System automatycznie zastąpi stary certyfikat nowym.

Czy enrollment trzeba powtarzać dla każdego środowiska?

Tak. Certyfikat testowy, demo i produkcyjny to osobne certyfikaty. Enrollment przeprowadzasz osobno dla każdego środowiska.