Certyfikaty do CEPiK 2.0
Szczegółowe informacje dotyczące samych certyfikatów, m.in. kwestie techniczne, sposób funkcjonowania Centrum Certyfikacji, oraz inne są zawarte w dokumentach: Polityka certyfikacji dla infrastruktury CEPiK Polityka certyfikacji dla operatorów CEPiK Polityka certyfikacji dla instytucji zewnętrznych korzystających z systemu CEPiK łączących się przez sieć publiczną (dotyczy tylko SKP). dostępnych w sekcji „Dokumenty do pobrania”.
ZDALNA CERTYFIKACJA I RECERTYFIKACJA – JESZCZE NIE DOTYCZY CERTYFIKATÓW SSL WYDAWANYCH DLA SKP
Użytkownicy posiadający określone karty kryptograficzne będą mieli możliwość zdalnej certyfikacji i recertyfikacji – bez konieczności wysyłania do Ministerstwa Cyfryzacji zgłoszeń certyfikacyjnych na nośnikach. W trakcie procesu wydawania certyfikatów użytkownik otrzyma na adres e-mail podany we wniosku certyfikacyjnym wiadomość z instrukcją postępowania, w celu wygenerowania kluczy i certyfikatów na karcie kryptograficznej za pomocą aplikacji dostępnej w sieci publicznej Internet przez przeglądarkę internetową z komputera użytkownika. Aplikacja do obsługi wniosków o certyfikaty obsługuje aktualnie zdalną certyfikację i recertyfikację następujących kart kryptograficznych:
- Enigma Encard
- Gemalto
- CryptoTech
- Certum
Użytkownicy posiadający inne niż wskazane powyżej karty kryptograficzne, jeżeli karty te spełniają wymagania techniczne, wnioskują o wydanie certyfikatów w plikach.
WAŻNE: PROSIMY NIE WYSYŁAĆ KART KRYPTOGRAFICZNYCH – WYSŁANIE KARTY WYŁĄCZNIE WYDŁUŻY PROCEDURĘ UZYSKANIA CERTYFIKATU. W SKRAJNYM PRZYPADKU KARTA BĘDZIE MUSIAŁA BYĆ ODESŁANA BEZ OBSŁUŻENIA WNIOSKU Z POWODU BRAKU MOŻLIWOŚCI TECHNICZNEJ OBSŁUGI KARTY. JEŻELI PODMIOT MA COŚ WYSŁAĆ, JEST TO WYRAŹNIE WSKAZANE W INFORMACJI CO I GDZIE NALEŻY WYSŁAĆ.
Wymagania dla kart kryptograficznych i czytników kart:
- Zakres pamięci EEPROM od 32 kB
- Układ procesorowy i maszyna wirtualna Java muszą posiadać certyfikat FIPS 140-2 level 3, zaś cała karta musi posiadać certyfikat CC (Common Criteria) EAL-4
- Interfejs stykowy - zgodny z ISO/IEC 7816 T=0/T=1
- Sprzętowe generowanie kluczy RSA o długości 2048 bitów
- Realizacja na karcie SHA-1, SHA-2
- Obsługa systemów operacyjnych z rodziny Windows 32/64bit aktualnie wspieranych przez producenta
- Wsparcie certyfikatów zgodnie z X.509 v.3
- Biblioteka PKCS#11 zgodna z wersją standardu 2.10, 2.11
- Oprogramowanie umożliwiające odczyt zawartości karty, wygenerowanie/skasowanie kluczy RSA, odczytanie/usunięcie/zapisanie certyfikatów kluczy, odczytanie/usunięcie dowolnych obiektów prywatnych PKCS#11 (zależnych od aplikacji), ustanawianie kluczy domyślnych dla CSP, skasowanie karty; zmianę PINU i/lub PINu administratora oraz na odblokowanie karty przy pomocy PINu administratora
- Karta spersonalizowana (zainicjowana), z min. jednym tokenem, zabezpieczona kodem PIN (4 cyfry) oraz kodem PIN administratora (8 cyfr)
Elektroniczne formularze wniosków certyfikacyjnych
Dla użytkowników zostały przygotowane elektroniczne formularze wniosków certyfikacyjnych. Użytkownik wnioskujący o certyfikaty do systemu CEPiK 2.0 powinien wypełnić odpowiedni wniosek (lub wnioski) certyfikacyjny odpowiadający jego potrzebom związanym z dostępem do systemu CEPiK 2.0:
- wniosek o wydanie certyfikatu dla urządzeń (VPN) należy wypełnić w każdym przypadku, w którym dostęp do systemu CEPiK 2.0 będzie realizowany przez sieć publiczną Internet,
- wniosek o wydanie certyfikatu dla systemu należy wypełnić w przypadku, gdy użytkownik integruje swój własny system lub aplikację z usługami API systemu CEPiK 2.0,
- wniosek o certyfikat dla operatora należy wypełnić w przypadku, gdy użytkownik będzie korzystał z aplikacji przeglądarkowych udostępnianych przez system CEPiK np. aplikacja do udostępniania danych, aplikacja do przekazywania naruszeń.
Proces uzyskania dostępu do systemu CEPiK 2.0 dla podmiotów korzystających z aplikacji udostępnionych przez Ministra Cyfryzacji (w tym Komorników Sądowych, Straży Miejskich i Gminnych)
Proces podłączenia systemu CEPiK 2.0 może zająć kilka tygodni, dlatego należy pamiętać, aby rozpocząć ubieganie się o dostęp z odpowiednim wyprzedzeniem.
Dostęp do systemu CEPiK 2.0 wiąże się ze spełnieniem następujących warunków przez użytkowników:
- posiadanie decyzji na udostępnienie danych z CEPiK za pośrednictwem sieci publicznej z wykorzystaniem urządzeń teletransmisji;
- stacja robocza z dostępem do Internetu;
- oprogramowanie ;
- oprogramowanie VPN;
- certyfikat VPN;
- certyfikat SSL dla karty kryptograficznej.
Posiadanie decyzji na dostęp do CEPiK 2.0
Aby rozpocząć proces ubiegania się o dostęp do systemu CEPiK 2.0 należy zwrócić się do Centralnego Ośrodka Informatyki oddział Katowice z wnioskiem o wydanie decyzji wyrażajacej zgodę na udostępnienie komornikowi sądowemu lub innemu organowi danych ewidencyjnych za pośrednictwem sieci publicznej z wykorzystaniem urządzeń teletransmisji.
Stacja robocza z dostępem do Internetu Do komunikacji z systemu CEPiK 2.0 komornik/ Straż Miejska/ inny organ musi posiadać połączenie z siecią publiczną Internet. Komunikacja z systemu CEPiK 2.0 jest realizowana on-line. Zaleca się, aby połączenie z siecią Internet miało przepustowość nie mniejszą niż 0,5 Mb/s.
Oprogramowanie VPN
Do uruchomienia komunikacji VPN z systemu CEPiK 2.0 potrzebuje oprogramowania Cisco VPN Client oraz Cisco AnyConnect.
Instrukcje instalacji i konfiguracji oprogramowania Cisco VPN Client oraz Cisco AnyConnect oraz samo oprogramowanie niezbędne do zestawienia połączeń VPN, są dostępne w sekcji „Dokumenty do pobrania”.
Użytkownik może zastosować inne oprogramowanie do zestawiania połączeń VPN, przy czym oprogramowanie musi być kompatybilne z rozwiązaniami Cisco ASA 55xx.
Service Desk CEPiK 2.0 będzie wspierał wyłącznie instalację i konfigurację Oprogramowania Cisco VPN Client lub Cisco AnyConnect. Każde inne oprogramowanie lub rozwiązania sprzętowe wykorzystuje na własną odpowiedzialność – Service Desk CEPiK 2.0 nie będzie przyjmował i obsługiwał tego typu zgłoszeń.
Certyfikat VPN
Certyfikat VPN służy do zestawienia bezpiecznego połączenia VPN IPSec z systemem CEPiK 2.0. Certyfikat VPN jest wydawany na podstawie wniosku certyfikacyjnego, w postaci pliku w formacie PKCS#12.
W celu uzyskania certyfikatu VPN każdy użytkownik musi wystąpić do Ministerstwa Cyfryzacji z wnioskiem certyfikacyjnym.
Sposób wnioskowania o Certyfikat VPN:
PRZYGOTOWANIE WNIOSKU CERTYFIKACYJNEGO
a) Użytkownik wchodzi na stronę www.cepik.gov.pl i wybiera „Dla podmiotów uprawnionych”, następnie „Certyfikaty do CEPiK 2.0"
b) Użytkownik zapoznaje się z informacjami dostępnymi na stronie i przechodzi do linku „WYPEŁNIJ WNIOSEK”.
c) Użytkownik wybiera z listy rozwijanej pozycję „Komornik Sądowy”; „Straż miejska” lub inne.
Pamiętaj! Jeśli zmieniasz siedzibę lub pomieszczenie, w którym znajduje się stacja dostępowa do SI CEPiK - poinformuj o tym COI oddział Katowice. Wyślij pismo informujące o zmianie. W piśmie podaj:
adres nowej siedziby lub nowej lokalizacji pomieszczenia,
datę i numer decyzji wydanej przez Ministra Cyfryzacji (ew. przez Ministra Spraw Wewnętrznych),
dane osoby reprezentującej podmiot (stanowisko, telefon, adres e-mailowy)
dane osoby uprawnionej do kontaktów w sprawach technicznych.
d) Użytkownik wybiera z listy dostępnych formularzy „Wniosek o wydanie certyfikatu dla urządzeń (VPN, PKCS 12)”.
e) Użytkownik wypełnia wybrany formularz wniosku o certyfikat VPN.
f) Użytkownik drukuje i podpisuje wypełniony wniosek. Wniosek o certyfikat musi być podpisany przez osobę uprawnioną do reprezentowania podmiotu. Jeżeli zgodnie z KRS do reprezentowania konieczna jest więcej niż jedna osoba (np. dwóch członków zarządu) wniosek winien być podpisany przez osoby wymagane
g) Użytkownik wysyła wniosek certyfikacyjny na adres:
Centralny Ośrodek Informatyki
z dopiskiem: WNIOSEK VPN do CEPiK 2.0
ul. Gdańska 47/49
90-729 Łódź
lub na skrzynkę epuap /coi/Cepikcert wg "Instrukcji adresowania pism w systemie ePUAP Cepikcert".
W celu przyspieszenia realizacji wniosku prosimy podmioty (np. Komornicy Sądowi, Straż Miejska), które posiadają dostęp do SI CEPiK na podstawie decyzji na udostępnienie danych z CEPiK za pośrednictwem sieci publicznej z wykorzystaniem urządzeń teletransmisj,i o dołączenie kopii dokumentu.
UZYSKANIE CERTYFIKATU
Użytkownik, po otrzymaniu wiadomości na adres e-mail wskazany we wniosku certyfikacyjnym postępuje zgodnie z zawartą w tej wiadomości instrukcją w celu uzyskania klucza prywatnego i certyfikatu do pliku PKCS#12.
Użytkownik importuje certyfikat do Oprogramowania VPN.
Certyfikat SSL dla karty kryptograficznej
Potwierdza bezpieczeństwo szyfrowania danych przesyłanych pomiędzy użytkownikiem (operatorem) a SI CEPiK 2.0 (serwerem).
Sposób wnioskowania o certyfikat dla karty kryptograficznej:
1. Wniosek o wydanie certyfikatu dla operatora (w pliku)
2. Wniosek o wydanie certyfikatu dla operatora (na kartę)
PRZYGOTOWANIE WNIOSKU CERTYFIKACYJNEGO operatora (w pliku)
a) Użytkownik wchodzi na stronę www.cepik.gov.pl i wybiera z menu „System Informatyczny CEPiK 2.0”, następnie „Informacje szczegółowe o certyfikatach- informacje ogólne”
b) Użytkownik zapoznaje się z informacjami dostępnymi na stronie i przechodzi do linku „WYPEŁNIJ WNIOSEK”.
c) Użytkownik wybiera z listy rozwijanej pozycję „Komornik Sądowy”; „Straż miejska” lub
inne.
WAŻNE! Jeśli zmieniasz siedzibę lub pomieszczenie, w którym znajduje się stacja dostępowa do SI CEPiK - poinformuj o tym COI oddział Katowice. Wyślij pismo informujące o zmianie. W piśmie podaj:
adres nowej siedziby lub nowej lokalizacji pomieszczenia,
datę i numer decyzji wydanej przez Ministra Cyfryzacji (ew. przez Ministra Spraw Wewnętrznych),
dane osoby reprezentującej podmiot (stanowisko, telefon, adres e-mailowy)
dane osoby uprawnionej do kontaktów w sprawach technicznych.
d) Użytkownik wybiera z listy dostępnych formularzy „WNIOSEK O WYDANIE CERTYFIKATU DLA OPERATORA (W PLIKU)”.
e) Użytkownik wypełnia formularz wniosku o certyfikat SSL.
UWAGA!!! W podstawie prawnej Użytkownik wpisuje numer Decyzji na dostęp do CEPiK wydanej przez MSWiA/MSW/MC
f) Użytkownik drukuje i podpisuje wypełniony wniosek. Wniosek o certyfikat musi być podpisany przez osobę uprawnioną do reprezentowania podmiotu. Jeżeli zgodnie z KRS do reprezentowania konieczna jest więcej niż jedna osoba (np. dwóch członków zarządu) wniosek winien być podpisany przez osoby wymagane
g) Użytkownik wysyła wniosek certyfikacyjny na adres:
Centralny Ośrodek Informatyki
z dopiskiem: WNIOSEK SSL do CEPiK 2.0
ul. Gdańska 47/49
90-729 Łódź
lub na skrzynkę epuap /coi/Cepikcert wg "Instrukcji adresowania pism w systemie ePUAP Cepikcert".
W celu przyspieszenia realizacji wniosku prosimy podmioty (np. Komornicy Sądowi, Straż Miejska), które posiadają dostęp do SI CEPiK na podstawie decyzji na udostępnienie danych z CEPiK za pośrednictwem sieci publicznej z wykorzystaniem urządzeń teletransmisji o dołączenie kopii dokumentu.
h) Użytkownik wysyła zgłoszenie certyfikacyjne w formacie PKCS#10 (tzw. CSR)** wygenerowane zgodnie z instrukcją obsługi danej karty kryptograficznej na adres cc.coi@coi.gov.pl.
WAŻNE! Użytkownik nie wysyła do Centrum Certyfikacji dla SI CEPiK 2.0 kart kryptograficznych!
Proszę pamiętać, iż w ramach Polityki Certyfikacji dla Operatorów CEPiK 2.0 dopuszcza się wystawianie Subskrybentom tylko certyfikatów kluczy publicznych przeznaczonych do stosowania w algorytmie RSA 2048 bitów.
Instrukcje do obsługi karty kryptograficznej, zakupionej przez użytkownika są dostępne bezpośrednio w oprogramowaniu do obsługi danej karty dostarczonej przez producenta lub na stronach internetowych producentów kart kryptograficznych.
Zgłoszenie certyfikacyjne (CSR) musi zostać wysłane z maila, który został wpisany we wniosku. W temacie maila użytkownik wpisuje nawę kancelarii lub urzędu. Np. Zgłoszenie certyfikacyjne Komornik Sądowy imię i nazwisko; Straż miejska miejscowość lub inny organ.
UZYSKANIE CERTYFIKATU
Użytkownik, po otrzymaniu wiadomości na adres e-mail wskazany we wniosku certyfikacyjnym postępuje zgodnie z zawartą w tej wiadomości instrukcją i importuje certyfikat na kartę kryptograficzną.
PRZYGOTOWANIE WNIOSKU CERTYFIKACYJNEGO dla operatora (na kartę)
a) Użytkownik wchodzi na stronę www.cepik.gov.pl i wybiera z menu „Dla podmiotów uprawninych” następnie "Certyfikaty do CEPiK 2.0"
b) Użytkownik zapoznaje się z informacjami dostępnymi na stronie i przechodzi do linku „WYPEŁNIJ WNIOSEK”.
c) Użytkownik wybiera z listy rozwijanej pozycję „Komornik Sądowy”; „Straż miejska” lub inne.
d) Użytkownik wybiera z listy dostępnych formularzy „WNIOSEK O WYDANIE CERTYFIKATU DLA OPERATORA (na kartę)”.
e) Użytkownik wypełnia formularz wniosku o certyfikat SSL.
UWAGA!!! W podstawie prawnej Użytkownik wpisuje numer Decyzji na dostęp do CEPiK wydanej przez MSWiA/MSW/MC
f) Użytkownik drukuje i podpisuje wypełniony wniosek. Wniosek o certyfikat musi być podpisany przez osobę uprawnioną do reprezentowania podmiotu. Jeżeli zgodnie z KRS do reprezentowania konieczna jest więcej niż jedna osoba (np. dwóch członków zarządu) wniosek winien być podpisany przez osoby wymagane
g) Użytkownik wysyła wniosek certyfikacyjny na adres:
Centralny Ośrodek Informatyki
z dopiskiem: WNIOSEK SSL do CEPiK 2.0
ul. Gdańska 47/49
90-729 Łódź
lub na skrzynkę epuap /coi/Cepikcert wg "Instrukcji adresowania pism w systemie ePUAP Cepikcert".
WAŻNE! Do wniosku o certyfikat dla operatora (na kartę) - nie wysyła się kart kryptograficznych!!!!
UZYSKANIE CERTYFIKATU
Użytkownik, po otrzymaniu wiadomości na adres e-mail wskazany we wniosku certyfikacyjnym postępuje zgodnie z zawartą w tej wiadomości instrukcją i importuje certyfikat na kartę kryptograficzną.
Po spełnieniu tych warunków powinno zostać nawiązane połączenie z systemem CEPiK 2.0
PAMIĘTAJ! Wnioski o certyfikat VPN i SSL przesyłaj na wskazany wyżej adres listem poleconym priorytetem lub kurierem – chodzi o to, żeby maksymalnie skrócić czas między podpisaniem wniosku a jego dostarczeniem do Centrum Certyfikacji.
Orientacyjny czas realizacji wniosku to do 30 dni kalendarzowych od momentu wpływu wniosku do Ministerstwa Cyfryzacji.
W czasie oczekiwania na rozpatrzenie wniosków regularnie sprawdzaj swój adres email podany we wniosku o wydanie certyfikatu, zwłaszcza foldery do których trafia SPAM.
Wniosek może zostać zweryfikowany negatywnie, dzieje się tak w następujących przypadkach:
- Użytkownik, który złożyła wniosek nie posiada wydanej decyzji – wówczas wniosek jest odrzucany i proces zostaje zakończony.
- Użytkownik, który złożyła wniosek został wyznaczony na Zastępcę Komornika nie posiada wydanej decyzji wówczas pracownicy Centrum Certyfikacji kontaktują się z Użytkownikiem za pośrednictwem poczty elektronicznej lub telefonicznie i informują Użytkownika jak ma dalej postępować- wówczas wniosek jest zawieszany do momentu wydania decyzji.
- Użytkownik, który złożyła wniosek posiada decyzję, ale zmieniła lokalizację wówczas pracownicy Centrum Certyfikacji kontaktują się z Użytkownikiem za pośrednictwem poczty elektronicznej lub telefonicznie i informują Użytkownika jak ma dalej postępować- wówczas wniosek jest zawieszany do momentu przeprowadzenia ponownego audytu.
- Wniosek zawiera błędy lub braki formalne – wówczas pracownicy Centrum Certyfikacji kontaktują się z Użytkownikiem za pośrednictwem poczty elektronicznej lub telefonicznie i informują o potrzebie uzupełnienia danych lub ponownego złożenia wniosku.
Dlaczego mój wniosek certyfikacyjny został odrzucony / anulowany / pozostał bez rozpatrzenia?
Najczęstsze powody odrzucania wniosków to:
- wniosek certyfikacyjny jest nieczytelny;
- wniosek certyfikacyjny zawiera nieprawidłowe dane;
- wniosek certyfikacyjny nie został podpisany;
- do wniosku certyfikacyjnego wymagającego przesłania zgłoszenia certyfikacyjnego (CSR) nie przesłałeś tego zgłoszenia w terminie 30 dni od dnia wpływu wniosku do COI oddział Łódź;
W sprawach certyfikatów prosimy dzwonić w godzinach pracy Infolinii:
Centrum Certyfikacji
Infolinia w godzinach 8.00-13.00
42 253 5471
Email: cc.coi@coi.gov.pl
W sprawach technicznych prosimy dzwonić do Help Desk COI w Łodzi
42 253 54 54
42 253 54 99
Email: service_desk_portal@coi.gov.pl,
za pośrednictwem dedykowanego portalu zgłoszeniowego - Help Desk