Zarządzanie certyfikatami KSeF

Typy certyfikatów

BizFlow NH obsługuje dwa certyfikaty na firmę (SapConfig), osobno dla każdego środowiska KSeF (test/demo/prod):

Certyfikat autoryzacji (Auth)

Służy do uwierzytelniania sesji KSeF — wymagany do wysyłki i odbioru faktur.

Certyfikat offline

Służy do podpisywania kodu QR KOD II na fakturach wystawianych w trybie offline (ECDSA P-256). Wymagany tylko gdy korzystasz z trybu offline.

Metody autoryzacji

BizFlow NH wspiera trzy metody autoryzacji w KSeF:

Metoda 1: Enrollment (zalecana)

Proces rejestracji certyfikatu w KSeF z użyciem podpisu kwalifikowanego lub pieczęci elektronicznej. Opisany szczegółowo na stronie Enrollment certyfikatów.

Metoda 2: Ręczne wgranie certyfikatu PFX/PEM

Metoda tymczasowa

Ręczne wgranie certyfikatu PFX/PEM jest przeznaczone do testów i sytuacji awaryjnych. Metoda ta zostanie docelowo usunięta z systemu, ponieważ nie gwarantuje prawidłowego zarządzania kluczem prywatnym. Zalecaną metodą jest enrollment.

Jeśli z jakiegoś powodu musisz wgrać certyfikat ręcznie:

1. Przejdź do Ustawienia — Organizacja — [firma] — Integracja KSeF
2. W sekcji certyfikatów kliknij Wgraj certyfikat
3. Wybierz plik .pfx / .p12 i podaj hasło, lub wklej PEM + klucz prywatny
4. Wybierz typ (Auth / Offline) i środowisko

Metoda 3: Token ręczny

Token to alternatywna metoda autoryzacji, przydatna w następujących scenariuszach:

• Szybkie testy — gdy chcesz przetestować integrację bez przechodzenia procesu enrollment
• Enrollment niekompletny — gdy certyfikat nie jest jeszcze zarejestrowany, ale masz token z portalu KSeF
• Środowisko testowe — uproszczona konfiguracja do celów deweloperskich

Aby skonfigurować token:

1. Przejdź do Ustawienia — Organizacja — [firma] — Integracja KSeF
2. W sekcji autoryzacji wybierz metodę Token
3. Wprowadź token wygenerowany w portalu KSeF
4. Zapisz — token jest przechowywany w zaszyfrowanym magazynie OpenBao

Ważność tokenu

Tokeny mają ograniczoną ważność. Sprawdź datę wygaśnięcia w portalu KSeF i zaplanuj przejście na enrollment przed jej upływem.

Przechowywanie

Certyfikaty przechowywane są w OpenBao (szyfrowany magazyn sekretów):

• Każda firma ma osobny path w magazynie
• Każde środowisko KSeF (test/demo/prod) ma osobny certyfikat
• Klucze prywatne nigdy nie opuszczają magazynu w postaci niezaszyfrowanej
• Dostęp wymaga tokenu OpenBao (generowany automatycznie przy instalacji)

Rotacja certyfikatów

Przed wygaśnięciem certyfikatu:

1. Przeprowadź ponowny enrollment lub wgraj nowy certyfikat
2. Stary certyfikat zostanie automatycznie zastąpiony
3. Nie jest wymagany restart systemu

Monitoruj daty ważności

Dashboard wyświetla datę wygaśnięcia certyfikatu i ostrzeżenie gdy zbliża się termin. Zaplanuj rotację z wyprzedzeniem — wygaśnięcie certyfikatu zablokuje wysyłkę faktur.