Instrukcja zakupu pieczęci kwalifikowanej Szafir (KIR) i konfiguracji e-Doręczeń

Dla podmiotów niepublicznych (firmy z KRS)

1. Co jest potrzebne — podsumowanie

Wymagania wstępne

Wymaganie	Szczegóły
Konto na portalu e-Doręczeń	https://edoreczenia.gov.pl — konto z uprawnieniami administratora skrzynki
Adres ADE	Adres skrzynki doręczeń elektronicznych firmy (format: `AE:PL-XXXXX-XXXXX-XXXXX-XX`)
Osoba uprawniona	Prezes, członek zarządu lub prokurent wpisany w KRS
Podpis kwalifikowany	E-podpis osobisty osoby uprawnionej (np. Szafir, Certum, SimplySign) — potrzebny do podpisania CSR i formularza zamówienia. Jeśli osoba uprawniona nie posiada e-podpisu, możliwa jest ścieżka z wizytą osobistą w placówce KIR (patrz Krok 4, Ścieżka B)
Aplikacja Sekretariat	Zainstalowana i skonfigurowana

Co kupujemy?

Kwalifikowaną pieczęć elektroniczną Szafir (KIR) — wariant z CSR (żądaniem certyfikatu).

Parametr	Wartość
Produkt	Pieczęć kwalifikowana Szafir
Dostawca	KIR S.A. (Krajowa Izba Rozliczeniowa)
Ważność	1 rok (do odnowienia)
Klucz prywatny	Generowany lokalnie w aplikacji Sekretariat — nigdy nie opuszcza firmy

Czego NIE kupować

Produkt	Dlaczego NIE
mSzafir mobilna	Klucz prywatny w chmurze KIR — niedostępny do pobrania, nie zadziała z naszym systemem
Pieczęć na tokenie sprzętowym (USB)	Klucz nieeksportowalny — nie zadziała z naszym systemem

Krok 1 — Wygenerowanie klucza prywatnego w aplikacji Sekretariat

Otwórz aplikację Sekretariat
Przejdź do: Administracja → Opcje→ Parametry programu → Skrzynka e-Doręczeń (lub utwórz nową skrzynkę)
Kliknij przycisk „Generuj klucz prywatny"
Aplikacja wygeneruje klucz RSA 4096-bit — pojawi się w polu „Klucz prywatny"
Kliknij „Zapisz" — klucz zostanie bezpiecznie zaszyfrowany i zapisany w bazie danych

WAŻNE: Klucz prywatny jest najważniejszym elementem konfiguracji. Nie udostępniaj go nikomu. Klucz nigdy nie jest wysyłany poza system — na zewnątrz wysyłamy tylko CSR (żądanie certyfikatu), które zawiera wyłącznie klucz publiczny.

Krok 2 — Wygenerowanie żądania certyfikatu (CSR)

Po zapisaniu ponownie wchodzimy do dodanej skrzynki i Generujemy CSR. Musimy być pewni że klucz jest zapisany w bazie warto go skopiować i zapisać w bezpiecznym miejscu.

W tym samym formularzu kliknij przycisk „Generuj CSR"
Wypełnij formularz danymi firmy:

Pole	Przykład	Opis
Rodzaj żądania CSR	Pieczęć elektroniczna	Wybrać z listy rozwijanej
Nazwa pospolita (CN)	AT Software	Pełna nazwa firmy zgodna z KRS
Organizacja (O)	AT Software	Pełna nazwa firmy (jak w CN)
Jednostka organizacyjna (OU)	IT	Dział (opcjonalnie)
Identyfikator organizacji (NIP lub KRS)	1234567890	NIP
Miejscowość (L)	Toruń	Siedziba firmy
Województwo (ST)	kujawsko-pomorskie	Województwo siedziby
Kraj (C)	PL	Kod kraju
Email	biuro@atsoftware.pl	Adres kontaktowy

Kliknij „Generuj" — pojawi się okno zapisu pliku
Zapisz plik CSR na dysku, np. C:\Certyfikaty\csr_edoreczenia.pem

Zachowaj ten plik — będzie potrzebny w kolejnych krokach.

Krok 3 — Podpisanie CSR podpisem kwalifikowanym

CSR musi zostać podpisany kwalifikowanym podpisem elektronicznym osoby uprawnionej do reprezentacji firmy wg KRS (prezes, członek zarządu, prokurent).

Jeśli osoba uprawniona nie posiada podpisu kwalifikowanego — przejdź do Kroku 4, Ścieżka B (wizyta osobista w placówce KIR).

Instrukcja podpisania (na przykładzie aplikacji Szafir):

Otwórz aplikację do podpisywania dokumentów (np. Szafir, proCertum SmartSign, SimplySign Desktop)
Wybierz plik CSR (csr_edoreczenia.pem) do podpisu
W ustawieniach podpisu ustaw:
- Format podpisu: CAdES (PKCS#7)
- Typ podpisu: zewnętrzny lub otaczający (preferowany otaczający)
- Zaznacz opcję: „Zapisz dane podpisane z podpisem" (dane + podpis w jednym pliku)
Podłóż token USB / kartę z podpisem kwalifikowanym
Podpisz plik — wprowadź PIN
Zapisz podpisany plik — powstanie plik z rozszerzeniem .sig lub .p7s, np. csr_edoreczenia.pem.sig

Zachowaj plik .sig — to podpisany CSR do wysłania do KIR.

Krok 4 — Zakup pieczęci Szafir w KIR

Ścieżka A: Online (wymaga podpisu kwalifikowanego)

Wejdź na stronę KIR: https://www.elektronicznypodpis.pl/produkty/pieczec-elektroniczna-szafir,191
Wybierz produkt: Pieczęć elektroniczna kwalifikowana z wgraniem żądania CSR online (wariant z CSR)
Wybrać opcję Nowy zestaw, jeśli pieczęć kupujesz po raz pierwszy. Proszę nie zaznaczać opcji Certyfikat do PSD2.
Kliknąć Dodaj do koszyka,
Przejść do koszyka i kliknąć Złóż zamówienie.
Wypełnij formularz zamówienia danymi firmy (NIP, KRS, dane adresowe)
Przejść w dół do sekcji Dane do certyfikatu pieczęci elektronicznej i uzupełnić dane zgodnie z potrzebami Twojej organizacji oraz zgodnie z danymi przekazanymi w żądaniu CSR.
Przejść niżej do ostatniej sekcji – jej wersje mogą się różnić w zależności od wyboru wersji certyfikatu.
- Certyfikat online: Wgram żądanie PKCS#10 – w tym kroku należy przesłać żądanie CSR w postaci pliku o rozszerzeniu .sig, który został podpisany kwalifikowanym podpisem.
- Certyfikat w placówce KIR: Dostarczę żądanie PKCS#10 do placówki KIR – w tym kroku należy wybrać oddział, do którego zostanie dostarczone żądanie certyfikatu CSR.
Przejść do kroku 2 – Dane do zamówienia, a następnie do kroku 3 – Podsumowanie i płatność. W ramach wspomnianych kroków wykonać niezbędne działania opisane na stronie
Opłać zamówienie
KIR zweryfikuje dane i wyda certyfikat — zwykle w ciągu 2–3 dni roboczych
Otrzymasz certyfikat pieczęci w formacie .pem lub .crt — na email lub do pobrania z portalu KIR

Ścieżka B: Wizyta osobista w placówce (NIE wymaga podpisu kwalifikowanego)

Jeśli osoba uprawniona nie posiada podpisu kwalifikowanego:

Przygotuj:
- Plik CSR na pendrive (csr_edoreczenia.pem — niepodpisany, bez .sig)
- Dowód osobisty osoby uprawnionej (prezes/prokurent)
- Dane firmy (NIP, KRS)
Osoba uprawniona udaje się osobiście do jednej z placówek:
- 12 placówek KIR w największych miastach Polski
- 740+ oddziałów banków spółdzielczych współpracujących z KIR
- Lista placówek: https://www.elektronicznypodpis.pl/informacje/gdzie-kupic/
W placówce:
- Wypełnij formularz zamówienia
- Przekaż CSR z pendrive
- Potwierdź tożsamość dowodem osobistym
Otrzymasz certyfikat pieczęci — zwykle w ciągu 2–3 dni roboczych (na email lub do pobrania)

Krok 5 — Rejestracja systemu na portalu e-Doręczeń

Po otrzymaniu certyfikatu pieczęci (plik .pem lub .crt) od KIR:

Zaloguj się na portal: https://edoreczenia.gov.pl
Przejdź do: Uprawnienia → Systemy zewnętrzne
Kliknij „Dodaj system zewnętrzny"
Wypełnij dane:

Pole	Wartość
Nazwa systemu	`SEKRETARIAT` (lub inna nazwa identyfikująca system, np. `SEKRETARIATASA`)
Środek uwierzytelniający	„Kwalifikowany środek uwierzytelniający"

Wgraj plik certyfikatu pieczęci (plik .pem lub .crt otrzymany od KIR)

UWAGA: Wgrywamy certyfikat (klucz publiczny), a NIE klucz prywatny. Klucz prywatny pozostaje wyłącznie w aplikacji Sekretariat.

Zatwierdź — system zostanie zarejestrowany
Zanotuj/skopiuj:
- Nazwę systemu (dokładnie tak jak wpisałeś)
- Adres ADE skrzynki

Krok 6 — Konfiguracja w aplikacji Sekretariat

Otwórz aplikację Sekretariat
Przejdź do: Administracja → Skrzynka e-Doręczeń
Uzupełnij pola konfiguracyjne:

Pole	Wartość	Przykład
Nazwa skrzynki	Dowolna nazwa opisowa	`Skrzynka e-Doręczeń firmy`
Nazwa systemu	Dokładnie taka jak na portalu e-Doręczeń Uwaga wilkość liter ma znaczenie	`SEKRETARIATASA`
Adres ADE	Adres skrzynki doręczeń	`AE:PL-48737-52260-JHGDD-15`
Klucz prywatny	Już wypełniony (z Kroku 1)	(wygenerowany klucz PEM)
Auth URI	Endpoint autoryzacji	`https://ow.edoreczenia.gov.pl/auth/realms/EDOR/protocol/openid-connect/token?login_hint=`
Audience	Adres realm OAuth	`https://ow.edoreczenia.gov.pl/auth/realms/EDOR`
API Base URL	Adres API e-Doręczeń	`https://uaapi-ow.poczta-polska.pl/api/v3/`
Search API	Adres API wyszukiwania	`https://ow.edoreczenia.gov.pl/api/se/v2/`

Uwaga: Powyższe adresy dotyczą środowiska produkcyjnego. Dla testów na środowisku integracyjnym użyj adresów z przedrostkiem int-, np. https://int-ow.edoreczenia.gov.pl/...

Adresy środowiska integracyjnego (testowego):

Pole	Wartość
Auth URI	`https://int-ow.edoreczenia.gov.pl/auth/realms/EDOR/protocol/openid-connect/token?login_hint=`
Audience	`https://int-ow.edoreczenia.gov.pl/auth/realms/EDOR`
API Base URL	`https://uaapi-int-ow.poczta-polska.pl/api/v3/`
Search API	`https://int-ow.edoreczenia.gov.pl/api/se/v2/`

Kliknij „Zapisz"

Krok 7 — Test połączenia

W formularzu konfiguracji skrzynki kliknij przycisk „Sprawdź połączenie"
Jeśli konfiguracja jest poprawna, zobaczysz komunikat:
- „Token aktywny: True" oraz pozostały czas ważności tokena
Checkbox „Aktywna" zostanie automatycznie zaznaczony

Jeśli test się nie powiódł — sprawdź:

Problem	Rozwiązanie
„Nie udało się wczytać klucza RSA"	Klucz prywatny jest pusty lub uszkodzony — wygeneruj ponownie (Krok 1)
Błąd 401 Unauthorized	Nazwa systemu nie zgadza się z portalem e-Doręczeń (wielkość liter ma znaczenie!)
Błąd 403 Forbidden	Certyfikat nie został wgrany na portal lub jest nieważny
Błąd połączenia (timeout)	Sprawdź adresy URL (produkcyjne vs integracyjne)
„Audience" error w tokenie	Sprawdź pole Audience — musi wskazywać na poprawny realm

FAQ — Najczęściej zadawane pytania

1. Czy muszę mieć podpis kwalifikowany?

Nie koniecznie. Jeśli osoba uprawniona (prezes/prokurent) nie posiada podpisu kwalifikowanego, może zakupić pieczęć osobiście w placówce KIR z dowodem osobistym (Ścieżka B).

2. Czy mogę użyć pieczęci od innego dostawcy niż KIR?

Tak. Pieczęć kwalifikowaną z CSR oferują też Certum i inni dostawcy. Procedura jest analogiczna — generujesz CSR w aplikacji i wysyłasz do dostawcy.

3. Co się stanie po roku, gdy certyfikat wygaśnie?

Należy odnowić certyfikat u dostawcy (KIR). Klucz prywatny w aplikacji pozostaje ten sam — wystarczy wgrać nowy certyfikat na portal e-Doręczeń.

4. Czy klucz prywatny jest bezpieczny?

Tak. Klucz prywatny:

Jest generowany lokalnie w aplikacji Sekretariat
Jest przechowywany w bazie danych w formie zaszyfrowanej
Nigdy nie jest wysyłany na zewnątrz — do KIR wysyłamy tylko CSR (zawiera wyłącznie klucz publiczny)
Na portal e-Doręczeń wgrywamy tylko certyfikat (klucz publiczny)

5. Czy mogę mieć jedną pieczęć na kilka systemów?

Nie. Każdy system zewnętrzny na portalu e-Doręczeń wymaga osobnego certyfikatu (osobnego CSR i pieczęci).

6. Jaka jest różnica między pieczęcią a QWAC?

	Pieczęć kwalifikowana	QWAC
Do czego	e-Doręczenia (usługa publiczna)	e-Polecony (usługa komercyjna Poczty Polskiej)
Mechanizm	JWT + OAuth 2.0	mTLS (Mutual TLS)
Cena	~500–800 zł/rok	~1 100–1 353 zł/rok
Czy potrzebny?	TAK	Tylko jeśli firma chce korzystać z e-Polecony

7. Mam już pieczęć w formacie PFX/P12 — co zrobić?

Jeśli firma posiada pieczęć kwalifikowaną w formacie PFX/P12 (np. od Certum), należy wyeksportować klucz prywatny do formatu PEM:

openssl pkcs12 -in pieczec.pfx -nocerts -nodes -out klucz.pem

Następnie wklej zawartość pliku klucz.pem do pola „Klucz prywatny" w aplikacji Sekretariat i kontynuuj od Kroku 5.

Schemat procesu — podsumowanie

┌─────────────────────────────────────────────────────────────────┐
│                    APLIKACJA SEKRETARIAT                        │
│                                                                 │
│  [1] Generuj klucz prywatny RSA 4096-bit ──→ zapisz w bazie   │
│  [2] Generuj CSR ──→ zapisz plik .pem na dysku                │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    OSOBA UPRAWNIONA (Prezes/Prokurent)          │
│                                                                 │
│  [3] Podpisz CSR podpisem kwalifikowanym (CAdES) ──→ plik.sig │
│      LUB przygotuj CSR na pendrive (jeśli wizyta osobista)     │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    KIR (Szafir)                                 │
│                                                                 │
│  [4] Zamów pieczęć:                                            │
│      • Online: wgraj podpisany CSR + formularz                 │
│      • Placówka: wizyta osobista z dowodem + CSR               │
│  ──→ Otrzymaj certyfikat pieczęci (.pem/.crt) w 2-3 dni       │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    PORTAL E-DORĘCZEŃ                            │
│                    (edoreczenia.gov.pl)                         │
│                                                                 │
│  [5] Dodaj system zewnętrzny:                                  │
│      • Nazwa: SEKRETARIATASA                                   │
│      • Środek: „Kwalifikowany środek uwierzytelniający"        │
│      • Wgraj certyfikat pieczęci (.pem/.crt)                   │
│                                                                 │
└────────────────────────────┬────────────────────────────────────┘
                             │
                             ▼
┌─────────────────────────────────────────────────────────────────┐
│                    APLIKACJA SEKRETARIAT                        │
│                                                                 │
│  [6] Uzupełnij konfigurację:                                  │
│      • Nazwa systemu, Adres ADE, Auth URI, Audience, API URL   │
│      • Klucz prywatny już jest (z kroku 1)                     │
│  [7] Sprawdź połączenie ──→ Token aktywny: True                │
│                                                                 │
│  ✓ GOTOWE — e-Doręczenia działają                              │
└─────────────────────────────────────────────────────────────────┘