Administracja usługą ePUAP

Administracja usługą ePUAP – dla wariantu systemu oznaczonego literą A

Moduł Administracja > ePUAP umożliwia zintegrowanie systemu EZD RP z ePUAP. Do skonfigurowania tej integracji wymagane jest otrzymanie podpisanego certyfikatu dla systemu teleinformatycznego zapewniającego bezpieczną wymianę informacji z ePUAP.

Proces integracji z ePUAP

Proces integracji i konfiguracji usługi ePUAP składa się z czterech kroków.

1. Utworzenie certyfikatu do integracji z ePUAP

Do wygenerowania klucza prywatnego wraz z plikiem z żądaniem podpisania certyfikatu (CSR) należy użyć narzędzia keytool, które jest częścią Java Runtime Environment (JRE) Oracle. Keytool to narzędzie wiersza poleceń służące do zarządzania kluczami kryptograficznymi oraz certyfikatami cyfrowymi. Aby z niego korzystać, trzeba zainstalować program JRE Oracle albo alternatywne oprogramowanie open source: OpenJDK, AdoptOpenJDK lub Amazon Corretto.

W dalszej części artykułu przedstawiono przykładowy proces generowania certyfikatu PKCS#12 w formacie ezd.p12 oraz żądania jego podpisania ezd.csr na platformie Windows.

Utworzenie pliku z certyfikatem PKCS#12 oraz żądania podpisu

W celu wygenerowania certyfikatu ezd.p12 oraz pliku ezd.csr należy utworzyć folder dla Java keystore, w którym będzie przechowywany certyfikat.

W pierwszym kroku należy założyć folder o nazwie Certyfikaty.

Następnie otwieramy w systemie Windows wiersz polecenia (program cmd.exe), klikając przycisk Start lub wpisując w pole wyszukiwania na pasku zadań polecenie cmd.

Z poziomu wiersza poleceń przechodzimy do folderu, w którym znajduje się program keytool.exe. W poniższym przykładzie program keytool.exe znajduje się w folderze c:\Program Files\JAVA\jdk-19.0.2\bin>.

W kolejnym kroku tworzymy Java keystore (plik używany do przechowywania kluczy kryptograficznych i certyfikatów) za pomocą polecenia:

keytool -genkey -alias (nazwa_systemu) -keyalg RSA -keysize 2048 -keystore (nazwa_pliku_z_pełną_ścieżką) -storetype pkcs12

Poniżej znajduje się przykładowy widok z uzupełnionymi danymi:

keytool -genkey -alias ezd -keyalg RSA -keysize 2048 -keystore c:\Certyfikaty\ezd.p12 -storetype pkcs12

Użytkownik zostanie poproszony o podanie dwukrotnie hasła. Wpisane hasło należy zapamiętać, a najlepiej zapisać w bezpiecznym miejscu. Będzie ono potrzebne do wygenerowania żądania podpisania certyfikatu oraz dodania tego certyfikatu, kiedy już zostanie nam on przekazany po podpisaniu przez właściwy organ.

Następnie podajemy wszystkie parametry, o które zostaniemy poproszeni.

W naszym przypadku certyfikat wyglądałby następująco:

• What is your first and last name – ezdrp (nazwa aplikacji)
• What is the name of your organizational unit – nask (skrót jednostki lub pierwszy człon nazwy)
• What is the name of your organization – pib (następny człon nazwy podmiotu lub skrót jednostki)
• What is the name of your City or Locality – warszawa (miasto, siedziba podmiotu)
• What is the name of your State or Province – mazowieckie (województwo, w którym znajduje się podmiot)
• Country code – pl

Po wpisaniu wymaganych danych należy zweryfikować je i potwierdzić, wpisując yes.

Efektem tej operacji będzie utworzenie pliku certyfikatu ezd.p12 o rozmiarze 2-3 KB.

Generowanie żądania podpisania certyfikatu

Po utworzeniu pliku ezd.p12 generujemy plik żądania podpisu certyfikatu z rozszerzeniem ezd.csr za pomocą polecenia:

keytool -certreq -keyalg RSA -alias (nazwa_systemu) -file (nazwa_pliku_csr_z_pełną_ścieżką) -keystore (nazwa_keystore_utworzonego_w _rozdziale_poprzednim)

Poniżej znajduje się przykładowy widok z uzupełnionymi danymi:

keytool -certreq -keyalg RSA -alias ezd -file c:\Certyfikaty\ezd.csr -keystore c:\Certyfikaty\ezd.p12

Brak komunikatu błędu oznacza, że żądanie certyfikatu zostało utworzone. W folderze C:\Certyfikaty będą znajdować się dwa pliki: ezd.p12 oraz ezd.csr.

2. Procedowanie wniosku o certyfikat do integracji z ePUAP

Wniosek o nadanie roli Instytucji Publicznej ePUAP

W przypadku integracji instancji testowej EZD RP z platformą integracyjną ePUAP, aby możliwe było wysłanie wniosku o certyfikat do środowiska ePUAP/PZ, konieczne jest wcześniejsze wysłanie wniosku o nadanie roli Instytucji Publicznej.

W tym celu należy zalogować się na konto utworzonego wcześniej podmiotu, następnie wybrać z menu opcję Pomoc i na znajdującej się poniżej liście kliknąć Formularz kontaktowy.

Podczas wypełniania formularza konieczne jest odpowiednie uzupełnienie poszczególnych pól. W polu Kategoria wybieramy Uprawnienia, w polu Temat wpisujemy Nadanie roli Instytucji Publicznej, natomiast w polu Treść podajemy ID Podmiotu oraz login osoby, która ma mieć nadane uprawnienia administratora.

Gdy zgłoszenie zostanie pozytywnie rozpatrzone, użytkownik otrzyma e-maila zwrotnego z potwierdzeniem.

Wysłanie wniosku o certyfikat do integracji z ePUAP

Po utworzeniu pliku ezd.csr należy złożyć do właściwego ministerstwa wniosek o wydanie certyfikatu dla systemu teleinformatycznego służącego zapewnieniu bezpieczeństwa wymiany danych z ePUAP. Szczegółowe informacje na ten temat można uzyskać na stronie ePUAP pod linkiem umieszczonym w zakładce poświęconej integracji.

W celu złożenia wniosku należy wykonać poniższe czynności:

• Logujemy się do aplikacji ePUAP uprawnieniami administratora ePUAP.
• Wybieramy zakładkę Strefa urzędnika > Katalog spraw.



• Po kliknięciu zakładki Katalog spraw w sekcji Udostępnianie usług wybieramy Wydanie certyfikatu dla systemu zintegrowanego z ePUAP. Następnie z listy dostępnych wniosków wybieramy Wydanie certyfikatu dla systemu teleinformatycznego służącemu zapewnieniu bezpieczeństwa wymiany informacji ePUAP.
• Klikamy przycisk Załatw sprawę.

Następnie samodzielnie wypełniamy wszystkie niezbędne dane we wniosku.

SEKCJA I – Dane wnioskodawcy
Należy uzupełnić wszystkie niezbędne dane zgodnie z wymogami umieszczonymi na końcu formularza.

W sekcji Osoba upoważniona do odbioru certyfikatu rekomendowane jest podanie danych osobowych oraz adresu e-mail administratora podmiotu w programie EZD RP.

SEKCJA II – Na podstawie § 11 ust. 3 rozporządzenia Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. z 2016 r., poz. 1626) WNIOSKUJĘ O:

Należy wybrać sposób wydania certyfikatu.

SEKCJA III – DANE SYSTEMU TELEINFORMATYCZNEGO

• Nazwa systemu teleinformatycznego: wpisujemy EZD RP;
• Adres domeny lub stały numer IP systemu, który będzie uzyskiwał dostęp do ePUAP: wpisujemy ezdrp.gov.pl (adres domeny do programu EZD RP);
• CSR do wystawienia certyfikatu (Instrukcja generowania żądania certyfikatu znajduje się w Pomocy na ePUAP): kopiujemy zawartość – plik ezd.csr.

Przykładowy widok podglądu wniosku po wykonaniu wymienionych wyżej czynności:

Widok okna wysłania wniosku:

Operator ePUAP po prawidłowej weryfikacji wniosku na podaną w formularzu skrzynkę e-mail prześle wiadomość z załączonym potrzebnym do integracji z ePUAP certyfikatem podpisanym przez COI (Centralny Ośrodek Informatyki).

Poniżej zaprezentowany jest przykładowy widok wiadomości e-mail ze skrytki testowej ePUAP.

Importowanie podpisanego certyfikatu

Po otrzymaniu wiadomości od operatora ePUAP z przesłanym plikiem certyfikat.txt należy wgrać go do katalogu, w którym wygenerowano żądanie certyfikatu (tzw. keystore).

W naszym przypadku jest to katalog C:\Certyfikaty.

Za pomocą wyszukiwarki Windows ponownie znajdujemy program keytool.exe (sposób jego uruchomienia został opisany w tym artykule w części pt. Utworzenie keystore). W Wierszu polecenia wpisujemy:

Keytool -import -trustcacerts -alias (alias_certyfikatu) -file (plik_certyfikatu_wraz_z_pełną_ścieżką) -keystore (keystore_wraz_z_pełną_ścieżką)

Poniżej znajduje się przykładowy widok z uzupełnionymi danymi.

keytool -import -trustcacerts -alias ezd -file c:\Certyfikaty\certyfikat.txt -keystore C:\Certyfikaty\ezd.p12

Wpisujemy hasło, którego użyliśmy przy tworzeniu pliku certyfikatu ezd.p12.

W oknie wyświetli się informacja o dodawanym certyfikacie. Zatwierdzamy go, wpisując przy pytaniu Trust this certificate? odpowiedź yes.

Zostanie utworzony nowy, podpisany plik ezd.p12. Wielkość pliku powinna wynosić około 8 KB.

3. Rejestracja certyfikatu w systemie ePUAP oraz konfiguracja skrytek

Po otrzymaniu pliku certyfikat.txt od operatora ePUAP należy zarejestrować go w na platformie ePUAP. W tym celu wykonujemy następujące czynności:

• logujemy się do aplikacji ePUAP (użytkownik logujący się do ePUAP powinien mieć przypisaną rolę administratora podmiotu);
• rozwijamy listę przy profilu użytkownika i klikamy zakładkę Zarządzanie kontem;



• wybieramy sekcję Systemy;



• klikamy przycisk Dodaj system i uzupełniamy wszystkie wymagane pola:
• Opisz system – wpisujemy informacje, dzięki którym będzie wiadomo, jaki system integrujemy z ePUAP; w naszym przypadku będzie to EZD RP;
• Certyfikat – otwieramy otrzymany plik certyfikat.txt w programie do edytowania, np. Notatnik lub Notepad++, a następnie kopiujemy część publiczną (pierwszy człon) – od BEGIN CERTIFICATE do END CERTIFICATE – i wklejamy w pole treści; należy zwrócić uwagę na okres ważności certyfikatu;



• Role – zaznaczamy pole wyboru przy pozycji Rola domyślna;
• Po zweryfikowaniu wprowadzonych danych wybieramy przycisk Dodaj system.

W zakładce Systemy pojawi się nowa pozycja. Po kliknięciu opcji Zobacz zostanie wyświetlone okno z nazwą systemu, jego opisem oraz danymi certyfikatu, w tym numerem seryjnym.

Konfiguracja skrytek na platformie ePUAP

W celu umożliwienia przekazywania wiadomości otrzymywanych przez ePUAP do aplikacji EZD RP wymagana jest zmiana trybu pracy skrytek ePUAP na PULL. W tym celu użytkownik z uprawnieniami administratora ePUAP po zalogowaniu się do systemu ePUAP rozwija listę w profilu użytkownika i klika zakładkę Administrowanie, a następnie Budowanie usług.

Następnie klikamy sekcję Skrytki i z rozwijanej listy znajdującej się przy nazwie skrytki wybieramy funkcję Edytuj.

W wyświetlonym oknie Konfiguracja skrytki widoczne są zakładki, w których należy uzupełnić informacje lub ustawić parametry. Aby to zrobić, wybieramy opcję Edytuj.

W zakładce Tryb pracy zmieniamy dwie opcje:

• Rodzaj odpowiedzi ustawiamy na UPP;
• Tryb pracy ustawiamy na PULL.

W zakładce Powiadomienia należy uzupełnić następujące opcje:

• Adresy e-mail do powiadomień – wpisujemy adresy e-mail pracowników mających otrzymywać powiadomienia.
• Gdy liczba dokumentów w kolejce osiągnie – zaznaczenie pola wyboru spowoduje, że gdy zostanie przekroczona wskazana liczba dokumentów, system wyśle powiadomienie o oczekujących wiadomościach do pobrania. Rekomenduje się wpisanie liczby 5.
• O błędach dostarczania – zaznaczenie pola wyboru spowoduje, że będzie wysyłane powiadomienie o wystąpieniu błędu dostarczenia oraz jego przyczynach.
• O nieodebranych dokumentach po – zaznaczenie pola wyboru spowoduje, że po określonej liczbie dni zostanie wysłane powiadomienie o oczekujących wiadomościach do pobrania (w przypadku niepobrania ich przez system zewnętrzny).
  Rekomendowane wpisanie liczby 1 (co oznacza wysłanie powiadomienia po jednym dniu).

W zakładce Ustawienia szczegółowe zaznaczamy pole Skrytka obsługuje duże pliki.

W zakładce Ustawienia transmisji przy opcji Rodzaj transmisji do systemu odbiorcy zaznaczamy pole wyboru SOAP binarnie.

W zakładce Schematy i reguły nie wprowadzamy zmian. Aby zakończyć pracę w oknie Konfiguracja skrytki i zatwierdzić nasze ustawienia, należy kliknąć przycisk Zapisz.

4. Konfiguracja ePUAP w programie EZD RP

Aby skonfigurować usługę ePUAP w systemie EZD RP, należy wybrać w menu głównym moduł Administracja, a następnie kliknąć kafelek ePUAP.

Wyświetlony zostanie nowy widok, w którym należy kliknąć kafelek Konfiguracja ePUAP.

W widoku Administracja > ePUAP > Konfiguracja ePUAP należy uzupełnić poniższe dane:

1. Adres – wpisujemy https://ws.epuap.gov.pl (adres produkcyjnej usługi ePUAP).
2. Adres profilu zaufanego – podajemy https://pz.gov.pl (adres produkcyjnej usługi profilu zaufanego umożliwiającego zastosowanie e-podpisu dokumentów wysyłanych przez ePUAP).
3. Profil zaufany (TpSigning5) – włączenie tej usługi umożliwi składanie podpisu zaufanego, osobistego lub kwalifikowanego; stanowi ona rozszerzenie funkcjonalności w stosunku do poprzednich wersji usług TPS, a zmiana dotyczy podpisu osobistego, z którego mogą skorzystać użytkownicy posiadający dowód osobisty z warstwą elektroniczną i certyfikatem podpisu osobistego.
4. Identyfikator ePUAP – należy wpisać identyfikator podmiotu (skrzynki) założonej na stronie ePUAP.

Przykładowy widok strony głównej z identyfikatorem ePUAP.

5. Certyfikat – w tym miejscu wklejamy zawartość podpisanego certyfikatu pliku ezd.p12 z zaimportowanymi podpisami w pliku certyfikat.txt, który konwertujemy najpierw do formatu Base64.

6. Odbiorca ePUAP – wyszukujemy stanowisko pojedynczego użytkownika, na które będą wpływać przesyłki ePUAP. Znajdujemy je, wpisując fragment imienia lub nazwiska w wyszukiwarce i klikając dane osoby podpowiedziane przez system.

7. Skrytki – dodajemy wszystkie skrytki, z których mają być pobierane wiadomości ePUAP. Wybieramy przycisk Dodaj nową skrytkę i wpisujemy jej nazwę. Operację powtarzamy dla wszystkich skrytek ze strony ePUAP. Widok, w którym można wykonać te czynności, znajduje się w sekcji Administracja > Budowanie usług > Skrytki.

Zaznaczamy pole Czy domyślna przy skrytce wskazanej do wysyłania wiadomości ePUAP. Rekomendujemy wskazanie skrytki o nazwie SkrytkaESP.

8. Hasło – wpisujemy hasło ustawione podczas tworzenia certyfikatu pliku ezd.p12 (informacje dotyczące sposobu utworzenia hasła znajdują się w tym artykule w części 1. pt. Utworzenie certyfikatu do integracji z ePUAP).

9. Zapisz – operacja Zapisz spowoduje weryfikację wprowadzanych danych. Weryfikacji podane będą: adres usługi ePUAP, nazwa identyfikatora ePUAP, certyfikat wraz z przypisanym hasłem, to, czy zostało wskazane stanowisko do odbioru, nazwy skrytek. W przypadku prawidłowej weryfikacji pole Czy prawidłowa zmieni się automatycznie na Tak.

10. Testuj zapisaną konfigurację – przycisk weryfikuje prawidłową konfigurację dodanych skrytek ePUAP. Liczba dokumentów oczekujących różna od zera oznacza, że w przedziale pomiędzy 15 a 30 min. powinny zostać pobrane wiadomości ePUAP ze wszystkich skrytek.

11. Czy włączona – opcja umożliwia włączenie lub wyłączenie pobierania i wysyłania wiadomości ePUAP.

Przykładowy widok konfiguracji ePUAP.

Kodowanie podpisanego certyfikatu PKCS (plik P12) do formatu Base64

Kodowanie podpisanego certyfikatu ezd.p12 wykonujemy za pomocą programu Notepad++. Po otwarciu go należy wykonać następujące czynności:

• z katalogu C:\Certyfikaty otwieramy plik ezd.p12;
• zaznaczamy całą zawartość pliku, wybierając na stronie funkcję Edycja > Zaznacz wszystko (skrót klawiaturowy Ctrl+A);
• z paska menu wybieramy Wtyczki > MIME Tools > Base64 Encode with padding;
• certyfikat zakodowany do nowego formatu zapisujemy w pliku z rozszerzeniem TXT, np. C:\CertyfikatDoEzdRP.txt;
  
• kopiujemy zawartość certyfikatu i wklejamy ją w EZD RP w module Administracja > ePUAP, w polu Certyfikat.