Instrukcja zakupu certyfikatu QWAC (KIR) i konfiguracji e-Doręczeń

Dla podmiotów niepublicznych (firmy z KRS)

---

1. Co jest potrzebne — podsumowanie

Wymagania wstępne

Wymaganie	Szczegóły
Konto na portalu e-Doręczeń	https://edoreczenia.gov.pl — konto z uprawnieniami administratora skrzynki
Adres ADE	Adres skrzynki doręczeń elektronicznych firmy (format: AE:PL-XXXXX-XXXXX-XXXXX-XX)
Osoba uprawniona	Prezes, członek zarządu lub prokurent wpisany w KRS
Podpis kwalifikowany	E-podpis osobisty osoby uprawnionej (np. Szafir, Certum, SimplySign) — potrzebny do podpisania CSR i formularza zamówienia. Jeśli osoba uprawniona nie posiada e-podpisu , możliwa jest ścieżka z wizytą osobistą w placówce KIR (patrz Krok 4, Ścieżka B)
Nazwa domeny firmy	Domena internetowa firmy (np. firma.pl) — wymagana przy zamówieniu QWAC
Aplikacja Sekretariat	Zainstalowana i skonfigurowana

Co kupujemy?

Kwalifikowany certyfikat uwierzytelniania witryn internetowych (QWAC) — wariant z CSR (żądaniem certyfikatu).

Parametr	Wartość
Produkt	Kwalifikowany certyfikat witryn internetowych
Dostawca	KIR S.A. (Krajowa Izba Rozliczeniowa)
Strona produktu	https://www.elektronicznypodpis.pl/produkty/kwalifikowany-certyfikat-witryn-internetowych,212
Cena orientacyjna	od 1 197 zł netto/rok (nowy), od 867 zł netto/rok (odnowienie)
Ważność	1 lub 2 lata
Klucz prywatny	Generowany lokalnie w aplikacji Sekretariat — nigdy nie opuszcza firmy

Dlaczego QWAC a nie pieczęć kwalifikowana?

Portal e-Doręczeń akceptuje oba typy certyfikatów jako „kwalifikowany środek uwierzytelniający" (https://www.elektronicznypodpis.pl/aktualnosci/korzystasz-z-e-doreczen-sprawdz-jaki-certyfikat-kwalifikowany-potrzebujesz,381):

• Kwalifikowany certyfikat witryn internetowych (QWAC)
• Kwalifikowana pieczęć elektroniczna

Oba działają z identycznym mechanizmem autoryzacji (JWT/RS256). QWAC jest lepszym wyborem, jeśli firma planuje w przyszłości korzystać z usługi e-Polecony (komercyjna usługa Poczty Polskiej) — ten sam certyfikat posłuży do obu usług.

Czego NIE kupować

Produkt	Dlaczego NIE
mSzafir mobilna	Klucz prywatny w chmurze KIR — niedostępny do pobrania, nie zadziała z naszym systemem
Pieczęć na tokenie sprzętowym (USB)	Klucz nieeksportowalny — nie zadziała z naszym systemem
Zwykły certyfikat SSL (np. wildcard)	Nie jest kwalifikowany — portal e-Doręczeń go nie zaakceptuje

---

Krok 1 — Wygenerowanie klucza prywatnego w aplikacji Sekretariat

1. Otwórz aplikację Sekretariat
2. Przejdź do: Administracja → Skrzynka e-Doręczeń (lub utwórz nową skrzynkę)
3. Kliknij przycisk „Generuj klucz prywatny"
4. Aplikacja wygeneruje klucz RSA 4096-bit — pojawi się w polu „Klucz prywatny"
5. Kliknij „Zapisz" — klucz zostanie bezpiecznie zaszyfrowany i zapisany w bazie danych

WAŻNE: Klucz prywatny jest najważniejszym elementem konfiguracji. Nie udostępniaj go nikomu. Klucz nigdy nie jest wysyłany poza system — na zewnątrz wysyłamy tylko CSR (żądanie certyfikatu), które zawiera wyłącznie klucz publiczny.

Wymagania techniczne klucza (z dokumentacji Poczty Polskiej, rozdział 3.8):

• RSA ≥ 2048 bit (nasz system generuje 4096 — OK)
• Użycie klucza: digital signature

---

Krok 2 — Wygenerowanie żądania certyfikatu (CSR)

1. W tym samym formularzu kliknij przycisk „Generuj CSR"
2. W polu „Rodzaj żądania CSR" wybierz: „QWAC"
3. Wypełnij formularz danymi firmy:

Pole	Przykład	Opis
Rodzaj żądania CSR	QWAC	Wybrać z listy rozwijanej
Nazwa pospolita (CN)	atsoftware.pl	Domena firmy (dla QWAC jest to domena, nie nazwa firmy!)
Organizacja (O)	AT Software Sp. z o.o.	Pełna nazwa firmy zgodna z KRS
Jednostka organizacyjna (OU)	IT	Dział (opcjonalnie)
Identyfikator organizacji (NIP lub KRS)	1234567890	NIP
Miejscowość (L)	Toruń	Siedziba firmy
Województwo (ST)	kujawsko-pomorskie	Województwo siedziby
Kraj (C)	PL	Kod kraju
Email	biuro@atsoftware.pl	Adres kontaktowy
Domena SAN/DNS	atsoftware.pl	Ta sama domena co w polu CN

UWAGA — różnica wobec pieczęci: W polu CN (Nazwa pospolita) dla QWAC wpisujemy nazwę domeny firmy (np. firma.pl), a nie nazwę firmy. Nazwa firmy trafia do pola Organizacja (O).

3. Kliknij „Generuj" — pojawi się okno zapisu pliku
4. Zapisz plik CSR na dysku, np. C:\Certyfikaty\csr_edoreczenia.pem

Zachowaj ten plik — będzie potrzebny w kolejnych krokach.

---

Krok 3 — Podpisanie CSR podpisem kwalifikowanym

CSR musi zostać podpisany kwalifikowanym podpisem elektronicznym osoby uprawnionej do reprezentacji firmy wg KRS (prezes, członek zarządu, prokurent).

Jeśli osoba uprawniona nie posiada podpisu kwalifikowanego — przejdź do Kroku 4, Ścieżka B (wizyta osobista w placówce KIR).

Instrukcja podpisania (na przykładzie aplikacji Szafir):

1. Otwórz aplikację do podpisywania dokumentów (np. Szafir, proCertum SmartSign, SimplySign Desktop)
2. Wybierz plik CSR (csr_edoreczenia.pem) do podpisu
3. W ustawieniach podpisu ustaw:
   • Format podpisu: CAdES (PKCS#7)
   • Typ podpisu: zewnętrzny lub otaczający (preferowany otaczający)
   • Zaznacz opcję: „Zapisz dane podpisane z podpisem" (dane + podpis w jednym pliku)
4. Podłóż token USB / kartę z podpisem kwalifikowanym
5. Podpisz plik — wprowadź PIN
6. Zapisz podpisany plik — powstanie plik z rozszerzeniem .sig lub .p7s, np. csr_edoreczenia.pem.sig

Zachowaj plik .sig — to podpisany CSR do wysłania do KIR.

---

Krok 4 — Zakup certyfikatu QWAC w KIR

Ścieżka A: Online (wymaga podpisu kwalifikowanego)

1. Wejdź na stronę KIR: https://www.elektronicznypodpis.pl/produkty/kwalifikowany-certyfikat-witryn-internetowych,212
2. Wybierz wariant: Certyfikat witryn internetowych z CSR (1 rok lub 2 lata)
3. Wypełnij formularz zamówienia:

Pole	Wartość
Nazwa domeny	Domena firmy, np. firma.pl
Dane organizacji	NIP, KRS, pełna nazwa, adres siedziby
Dane osoby uprawnionej	Imię, nazwisko, stanowisko osoby z KRS

4. Podpisz formularz zamówienia podpisem kwalifikowanym osoby uprawnionej
5. Załącz podpisany plik CSR (plik .sig z Kroku 3)
6. Opłać zamówienie
7. KIR zweryfikuje dane i wyda certyfikat — zwykle w ciągu 2–3 dni roboczych
8. Otrzymasz certyfikat QWAC w formacie .pem lub .crt — na email lub do pobrania z portalu KIR

Ścieżka B: Wizyta osobista w placówce (NIE wymaga podpisu kwalifikowanego)

Jeśli osoba uprawniona nie posiada podpisu kwalifikowanego:

1. Przygotuj:
   • Plik CSR na pendrive (csr_edoreczenia.pem — niepodpisany, bez .sig)
   • Dowód osobisty osoby uprawnionej (prezes/prokurent)
   • Dane firmy (NIP, KRS)
   • Nazwa domeny firmy (np. firma.pl)
2. Osoba uprawniona udaje się osobiście do jednej z placówek:
   • 12 placówek KIR w największych miastach Polski
   • 740+ oddziałów banków spółdzielczych współpracujących z KIR
   • Lista placówek: https://www.elektronicznypodpis.pl/informacje/gdzie-kupic/
3. W placówce:
   • Wypełnij formularz zamówienia (podając domenę)
   • Przekaż CSR z pendrive
   • Potwierdź tożsamość dowodem osobistym
4. Otrzymasz certyfikat QWAC — zwykle w ciągu 2–3 dni roboczych (na email lub do pobrania)

Alternatywni dostawcy QWAC

Dostawca	Produkt	Cena orientacyjna
KIR	Certyfikat witryn internetowych	od 1 197 zł netto/rok
EuroCert	QWAC	od 1 353 zł netto/rok
UniStyle/Poczta Polska	QWAC SSL	Do sprawdzenia

Lista wszystkich dostawców usług kwalifikowanych: https://www.nccert.pl/uslugi.htm

---

Krok 5 — Rejestracja systemu na portalu e-Doręczeń

Po otrzymaniu certyfikatu QWAC (plik .pem lub .crt) od KIR:

1. Zaloguj się na portal: https://edoreczenia.gov.pl
2. Przejdź do: Uprawnienia → Systemy zewnętrzne
3. Kliknij „Dodaj system zewnętrzny"
4. Wypełnij dane:

Pole	Wartość
Nazwa systemu	SEKRETARIAT (lub inna nazwa identyfikująca system, np. SEKRETARIATASA )
Środek uwierzytelniający	„Kwalifikowany środek uwierzytelniający"

5. Wgraj plik certyfikatu QWAC (plik .pem lub .crt otrzymany od KIR)

UWAGA: Wgrywamy certyfikat (klucz publiczny), a NIE klucz prywatny. Klucz prywatny pozostaje wyłącznie w aplikacji Sekretariat.

6. Zatwierdź — system zostanie zarejestrowany
7. Zanotuj/skopiuj:
   • Nazwę systemu (dokładnie tak jak wpisałeś)
   • Adres ADE skrzynki

---

Krok 6 — Konfiguracja w aplikacji Sekretariat

1. Otwórz aplikację Sekretariat
2. Przejdź do: Administracja → Skrzynka e-Doręczeń
3. Uzupełnij pola konfiguracyjne:

Pole	Wartość	Przykład
Nazwa skrzynki	Dowolna nazwa opisowa	Skrzynka e-Doręczeń firmy
Nazwa systemu	Dokładnie taka jak na portalu e-Doręczeń	SEKRETARIATASA
Adres ADE	Adres skrzynki doręczeń	AE:PL-48737-52260-JHGDD-15
Klucz prywatny	Już wypełniony (z Kroku 1)	(wygenerowany klucz PEM)
Auth URI	Endpoint autoryzacji	https://ow.edoreczenia.gov.pl/auth/realms/EDOR/protocol/openid-connect/token?login_hint=
Audience	Adres realm OAuth	https://ow.edoreczenia.gov.pl/auth/realms/EDOR
API Base URL	Adres API e-Doręczeń	https://uaapi-ow.poczta-polska.pl/api/v3/
Search API	Adres API wyszukiwania	https://ow.edoreczenia.gov.pl/api/se/v2/

Uwaga: Powyższe adresy dotyczą środowiska produkcyjnego. Dla testów na środowisku integracyjnym użyj adresów z przedrostkiem int-, np. https://int-ow.edoreczenia.gov.pl/...

Adresy środowiska integracyjnego (testowego):

Pole	Wartość
Auth URI	https://int-ow.edoreczenia.gov.pl/auth/realms/EDOR/protocol/openid-connect/token?login_hint=
Audience	https://int-ow.edoreczenia.gov.pl/auth/realms/EDOR
API Base URL	https://uaapi-int-ow.poczta-polska.pl/api/v3/
Search API	https://int-ow.edoreczenia.gov.pl/api/se/v2/

4. Kliknij „Zapisz"

---

Krok 7 — Test połączenia

1. W formularzu konfiguracji skrzynki kliknij przycisk „Sprawdź połączenie"
2. Jeśli konfiguracja jest poprawna, zobaczysz komunikat:
   • „Token aktywny: True" oraz pozostały czas ważności tokena
3. Checkbox „Aktywna" zostanie automatycznie zaznaczony

Jeśli test się nie powiódł — sprawdź:

Problem	Rozwiązanie
„Nie udało się wczytać klucza RSA"	Klucz prywatny jest pusty lub uszkodzony — wygeneruj ponownie (Krok 1)
Błąd 401 Unauthorized	Nazwa systemu nie zgadza się z portalem e-Doręczeń (wielkość liter ma znaczenie!)
Błąd 403 Forbidden	Certyfikat nie został wgrany na portal lub jest nieważny
Błąd połączenia (timeout)	Sprawdź adresy URL (produkcyjne vs integracyjne)
„Audience" error w tokenie	Sprawdź pole Audience — musi wskazywać na poprawny realm

---

FAQ — Najczęściej zadawane pytania

1. Ile kosztuje certyfikat QWAC?

Od 1 197 zł netto/rok (nowy) lub od 867 zł netto/rok (odnowienie) w KIR. Cena zależy od wariantu (1 rok / 2 lata).

2. Czy muszę mieć podpis kwalifikowany?

Nie koniecznie. Jeśli osoba uprawniona (prezes/prokurent) nie posiada podpisu kwalifikowanego, może zakupić certyfikat osobiście w placówce KIR z dowodem osobistym (Ścieżka B).

3. Czy mogę użyć certyfikatu QWAC od innego dostawcy niż KIR?

Tak. QWAC oferują też EuroCert, UniStyle i inni kwalifikowani dostawcy z listy: https://www.nccert.pl/uslugi.htm. Procedura jest analogiczna — generujesz CSR w aplikacji i wysyłasz do dostawcy.

4. Co się stanie po roku, gdy certyfikat wygaśnie?

Należy odnowić certyfikat u dostawcy (KIR). Klucz prywatny w aplikacji pozostaje ten sam — wystarczy wgrać nowy certyfikat na portal e-Doręczeń. Odnowienie jest tańsze (~867 zł netto/rok).

5. Czy klucz prywatny jest bezpieczny?

Tak. Klucz prywatny:

• Jest generowany lokalnie w aplikacji Sekretariat
• Jest przechowywany w bazie danych w formie zaszyfrowanej
• Nigdy nie jest wysyłany na zewnątrz — do KIR wysyłamy tylko CSR (zawiera wyłącznie klucz publiczny)
• Na portal e-Doręczeń wgrywamy tylko certyfikat (klucz publiczny)

6. Czy mogę mieć jeden certyfikat na kilka systemów?

Nie. Każdy system zewnętrzny na portalu e-Doręczeń wymaga osobnego certyfikatu (osobnego CSR i certyfikatu).

7. Jaka jest różnica między QWAC a pieczęcią kwalifikowaną?

Oba typy certyfikatów działają identycznie z e-Doręczeniami (mechanizm JWT/RS256). Różnica:

	Pieczęć kwalifikowana	QWAC
Cena (KIR, z CSR)	od ~1 273 zł/rok	od 1 197 zł/rok
Dane przy zakupie	NIP, KRS, dane firmy	NIP, KRS, dane firmy + nazwa domeny
CN w CSR	Nazwa firmy	Domena firmy
e-Doręczenia	Działa (JWT)	Działa (JWT) — identycznie
e-Polecony (przyszłość)	Nie obsługuje	Obsługuje (mTLS)

Rekomendacja: Jeśli firma planuje w przyszłości e-Polecony — wybierz QWAC. Jeśli nie — oba typy są równoważne.

8. Po co jest potrzebna domena przy zakupie QWAC?

QWAC to certyfikat uwierzytelniania witryn internetowych — formalnie musi być powiązany z domeną. W kontekście e-Doręczeń domena nie jest używana w procesie autoryzacji (liczy się klucz prywatny do podpisu JWT), ale jest wymagana przez dostawcę certyfikatu przy zamówieniu.

9. Mam już certyfikat QWAC w formacie PFX/P12 — co zrobić?

Jeśli firma posiada certyfikat QWAC w formacie PFX/P12, należy wyeksportować klucz prywatny do formatu PEM:

openssl pkcs12 -in certyfikat.pfx -nocerts -nodes -out klucz.pem

Następnie wklej zawartość pliku klucz.pem do pola „Klucz prywatny" w aplikacji Sekretariat i kontynuuj od Kroku 5.

10. Czy ten sam QWAC posłuży do e-Polecony?

Tak. Jeśli w przyszłości firma zechce korzystać z usługi e-Polecony (QERDS Poczty Polskiej), ten sam certyfikat QWAC będzie użyty do autoryzacji mTLS. Będzie to wymagało aktualizacji aplikacji Sekretariat (import PFX), ale sam certyfikat nie wymaga wymiany.

---

Schemat procesu — podsumowanie

┌─────────────────────────────────────────────────────────────────┐
│                    APLIKACJA SEKRETARIAT                        │
│                                                                 │
│  [1] Generuj klucz prywatny RSA 4096-bit ──→ zapisz w bazie   │
│  [2] Generuj CSR (CN = domena firmy) ──→ zapisz plik .pem     │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    OSOBA UPRAWNIONA (Prezes/Prokurent)          │
│                                                                 │
│  [3] Podpisz CSR podpisem kwalifikowanym (CAdES) ──→ plik.sig │
│      LUB przygotuj CSR na pendrive (jeśli wizyta osobista)     │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    KIR (certyfikat witryn internetowych)        │
│                                                                 │
│  [4] Zamów QWAC:                                               │
│      • Podaj domenę firmy + dane organizacji                   │
│      • Online: wgraj podpisany CSR + formularz                 │
│      • Placówka: wizyta osobista z dowodem + CSR               │
│  ──→ Otrzymaj certyfikat QWAC (.pem/.crt) w 2-3 dni           │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    PORTAL E-DORĘCZEŃ                            │
│                    (edoreczenia.gov.pl)                         │
│                                                                 │
│  [5] Dodaj system zewnętrzny:                                  │
│      • Nazwa: SEKRETARIATASA                                   │
│      • Środek: „Kwalifikowany środek uwierzytelniający"        │
│      • Wgraj certyfikat QWAC (.pem/.crt)                       │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    APLIKACJA SEKRETARIAT                        │
│                                                                 │
│  [6] Uzupełnij konfigurację:                                  │
│      • Nazwa systemu, Adres ADE, Auth URI, Audience, API URL   │
│      • Klucz prywatny już jest (z kroku 1)                     │
│  [7] Sprawdź połączenie ──→ Token aktywny: True                │
│                                                                 │
│  ✓ GOTOWE — e-Doręczenia działają                              │
│  ✓ BONUS — ten sam QWAC posłuży do e-Polecony w przyszłości   │
└─────────────────────────────────────────────────────────────────┘