Epuap certyfikat: jak uzyskać i zintegrować system

Redakcja 2025-09-16 23:34 | Udostępnij:

Zanim przejdziemy do instrukcji: trzy istotne wątki dotyczą epuap certyfikat. Po pierwsze — bezpieczeństwo klucza prywatnego kontra wygoda integracji: gdzie trzymać klucz i jak go zabezpieczyć. Po drugie — formalności wniosku: kto jako administrator składa wniosek i jakie dane należy podać. Po trzecie — forma podpisu i czas oczekiwania: podpis kwalifikowany lub profil zaufany oraz typowy termin wydania. Te dylematy przewijają się przez każdy etap uzyskania certyfikatu dla systemu zintegrowanego z ePUAP.

epuap certyfikat
Element Typowa wartość Uwaga
Czas wydania14 dni (zakres 7–21 dni)od daty podpisania wniosku
Koszt0 PLNusługa administracji publicznej — zwykle bez opłaty
Format CSRPEM (.csr), ~1–3 KBRSA 2048 zalecane
Plik certyfikatucertyfikat.txt, ~2–4 KB (base64 PEM)bez klucza prywatnego
MagazynPKCS#12 (.p12/.pfx)keystore zawiera klucz prywatny + certyfikat

Patrząc na tabelę, należy zwrócić uwagę na trzy fakty. Po pierwsze, certyfikatu nie otrzymujemy natychmiast — średnio 14 dni. Po drugie, plik certyfikat.txt zawiera tylko certyfikat w base64; klucz prywatny pozostaje w magazynie. Po trzecie, koszt zwykle wynosi 0 PLN, co zmienia kalkulację wdrożenia. Przygotowując wniosek, należy mieć gotowy CSR i znać publiczną domenę lub stałe IP systemu.

Wniosek o certyfikat dla systemu zintegrowanego z ePUAP

Aby złożyć wniosek, należy zalogować się na konto z uprawnieniami administratora systemu w ePUAP. W panelu wybiera się usługę „certyfikat dla systemu zintegrowanego z ePUAP” i wypełnia formularz. Formularz pobiera dane z profilu i prosi o nazwę systemu oraz dane techniczne. Po uzupełnieniu pola CSR i domeny/ IP należy podpisać i wysłać wniosek.

  • Zaloguj się jako administrator.
  • Wybierz usługę dla certyfikatu.
  • Wklej CSR i podaj domenę/IP.
  • Podpisz wniosek i wyślij.

Wymagane dane wniosku i rola administratora

W formularzu należy podać pełne dane organizacyjne i kontakt e-mail, nazwę identyfikowanego systemu oraz CSR. Rola administratora polega na zatwierdzeniu treści i podpisaniu wniosku jednym z dostępnych sposobów. Jeśli wnioskuje osoba niewłaściwa, procedura zostanie zatrzymana i należy skorygować uprawnienia. Upewnij się, że adres e-mail w profilu jest aktualny.

Zobacz także: Jak uzyskać certyfikat na kominek 2025? Krok po kroku

Identyfikacja systemu i domena lub IP publiczne

W polu „domena lub stały numer IP” wpisuje się publiczny adres, pod który będą trafiać połączenia. Jeśli system ma wiele nazw, należy zgłosić wszystkie SAN lub skonsultować zakres certyfikatu. Certyfikat musi mapować się do CN/SAN używanych przez serwer. Brak stałego IP lub certyfikowanego FQDN może wymagać dodatkowej konfiguracji po stronie sieci.

Wpisanie CSR i przygotowanie żądania certyfikatu

CSR przygotowuje się wcześniej na serwerze, zwykle z kluczem RSA 2048 bitów. CSR zaczyna się od linii -----BEGIN NEW CERTIFICATE REQUEST----- i kończy -----END CERTIFICATE REQUEST-----. Plik .csr ma rozmiar typowo 1–3 KB. Należy zachować klucz prywatny w bezpiecznym magazynie; to on później łączy się z otrzymanym certyfikatem.

Podpisanie wniosku kwalifikowanym podpisem lub profilem zaufanym

Po wypełnieniu wniosku należy podpisać go kwalifikowanym podpisem elektronicznym lub Profilem Zaufanym. Oba sposoby są akceptowane przez ePUAP. Wybór wpływa jedynie na wygodę i dostępność osoby podpisującej. Po podpisaniu wniosek trafia do rozpatrzenia i liczy się data przesłania.

Zobacz także: Podpis GOV nie widzi certyfikatu – szybkie rozwiązanie

Odbiór certyfikatu i wartość pliku certyfikat.txt

Certyfikat zwykle przychodzi w formie pliku certyfikat.txt zawierającego certyfikat w formacie PEM (base64). Plik ma ~2–4 KB i nie zawiera klucza prywatnego. Odbiór odbywa się na adres e-mail wskazany we wniosku; czas oczekiwania średnio 14 dni. Po otrzymaniu pliku należy przygotować import do magazynu PKCS#12.

Import certyfikatu do magazynu PKCS#12 i keystore

Przed importem należy mieć w keystore wygenerowany wcześniej alias z parą klucz-certyfikat (klucz prywatny). Import wykonuje się poleceniem, np. keytool -importcert -alias mojalias -file certyfikat.txt -keystore store.p12 -storetype pkcs12. Po imporcie magazyn zawiera certyfikat i odpowiadający mu klucz prywatny. Należy sprawdzić poprawność aliasu i hasła keystore.

epuap certyfikat – pytania i odpowiedzi

  • Pytanie 1: Jak złożyć wniosek o certyfikat ePUAP?

    Odpowiedź: Zaloguj się na konto z uprawnieniami administratora systemu ePUAP, wybierz zakładkę usług i sprawę certyfikatu dla systemu zintegrowanego z ePUAP, wypełnij formularz z danymi profilu, podaj identyfikowany system w polu system teleinformatyczny oraz adres IP w polu domena lub stały numer IP, wklej CSR w polu CSR do wystawienia certyfikatu, a następnie podpisz wniosek kwalifikowanym podpisem lub profilem zaufanym i wyślij go.

  • Pytanie 2: Co to jest CSR i jak go przygotować?

    Odpowiedź: CSR to żądanie certyfikatu zawierające identyfikację systemu i klucz publiczny. Przed złożeniem wniosku wygeneruj CSR i skopiuj jego treść do pola CSR do wystawienia certyfikatu w formularzu wniosku.

  • Pytanie 3: Jak skonfigurować import certyfikatu po jego otrzymaniu?

    Odpowiedź: Po otrzymaniu certyfikatu w formie pliku certyfikat.txt (base64, bez klucza prywatnego), klucz prywatny pozostaje w magazynie certyfikatów (np. store.p12). Aby zaimportować certyfikat, użyj polecenia importu do keystore pkcs12, np. keytool -import -trustcacerts -alias ... -file certyfikat.txt -keystore store.p12 -storetype pkcs12.

  • Pytanie 4: Jak długo trzeba czekać na odpowiedź i co dalej?

    Odpowiedź: Odpowiedź z certyfikatem zwykle przychodzi na adres email podany we wniosku po około 14 dniach; certyfikat przekazywany jest w formie pliku certyfikat.txt, a magazyn certyfikatów staje się kompletny po jego imporcie i weryfikacji.