PKI certifikáty pre Peppol — Testové a produkčné

Prečo Peppol potrebuje vlastné PKI certifikáty

PKI (Public Key Infrastructure) je systém digitálnych certifikátov, ktorý umožňuje overenie identity a zabezpečenie komunikácie v Peppol sieti. Každý Access Point musí mať platný Peppol PKI certifikát, ktorým digitálne podpisuje každú odoslanú správu.

Na rozdiel od bežných HTTPS certifikátov, ktoré vydávajú komerčné certifikačné autority (DigiCert, Let's Encrypt a podobne), Peppol PKI certifikáty vydáva priamo OpenPeppol prostredníctvom vlastnej certifikačnej autority. Dôvod je jednoduchý — Peppol sieť musí mať úplnú kontrolu nad tým, kto v sieti komunikuje. Ak by sa Access Point používal na odosielanie falošných faktúr, OpenPeppol mu môže certifikát okamžite zrušiť (revoke) a tým ho odstrihnúť od siete.

Dva typy Peppol PKI certifikátov

V Peppol sieti existujú dva odlišné PKI certifikáty, z ktorých každý slúži na iný účel a vydáva sa v inom štádiu akreditačného procesu.

Testovací certifikát (TEST)

Testovací Peppol PKI certifikát sa používa počas vývoja a testovania Access Pointu. Umožňuje vám:

• Pripojiť sa k testovaciemu prostrediu Peppol siete (ACC environment).
• Odosielať a prijímať testovacie dokumenty s inými účastníkmi v testovacom režime.
• Absolvovať Peppol Testbed — povinné testovanie pred akreditáciou.
• Ladiť AS4 implementáciu bez rizika ovplyvnenia produkčnej prevádzky.

Testovací certifikát nefunguje v produkčnom prostredí — dokumenty podpísané testovacím certifikátom budú produkčnými Access Pointmi odmietnuté.

Produkčný certifikát (PRODUCTION)

Produkčný Peppol PKI certifikát sa používa v ostrom prevádzkovom režime a umožňuje vám:

• Pripojiť sa k produkčnému prostrediu Peppol siete.
• Odosielať a prijímať reálne obchodné dokumenty (faktúry, dobropisy) medzi skutočnými firmami.
• Registrovať klientov v produkčnom SMP.

Produkčný certifikát získate až po úspešnej akreditácii — teda po absolvovaní všetkých krokov vrátane testov na Testbed a podpísaní Service Provider Agreement.

Ako získať testovací certifikát

Žiadosť o testovací Peppol PKI certifikát prebieha cez Peppol Service Desk (service.peppol.eu) a vyžaduje súhlas vašej národnej Peppol Authority.

Postup krok za krokom

1. Kontaktujte Finančnú správu SR — ako Peppol Authority na Slovensku musí FS SR odsúhlasiť vaše zaradenie do testovacieho prostredia. Informujte ich o vašom zámere stať sa digitálnym poštárom a požiadajte o súhlas s vydaním testovacieho certifikátu.

2. Vytvorte žiadosť na Peppol Service Desk — prihláste sa na service.peppol.eu a vytvorte ticket s požiadavkou na testovací certifikát. K žiadosti priložte:

• Potvrdenie členstva v OpenPeppol
• Názov vašej organizácie a kontaktné údaje
• Potvrdenie súhlasu od PA SK (Finančnej správy)

3. Vygenerujte CSR (Certificate Signing Request) — technický krok, pri ktorom na vašom serveri vygenerujete žiadosť o certifikát. CSR obsahuje váš verejný kľúč a identifikačné údaje. Privátny kľúč zostáva bezpečne uložený na vašom serveri.

4. Odošlite CSR — priložte vygenerovaný CSR k vašej žiadosti na Service Desk.

5. Prevzatie certifikátu — po spracovaní žiadosti (zvyčajne 3 – 5 pracovných dní) dostanete podpísaný testovací certifikát na stiahnutie.

Ako získať produkčný certifikát

Produkčný certifikát sa vydáva až po podpísaní Service Provider Agreement (SPA) — právne záväznej zmluvy medzi vami a OpenPeppol. Proces je prísnejší a vyžaduje viac dokumentácie.

Potrebné dokumenty

K žiadosti o produkčný certifikát musíte priložiť:

• Podpísaný Member Form — formulár potvrdzujúci vaše členstvo a záväzky.
• Výpis z obchodného registra — aktuálny výpis z OR SR (nie starší ako 3 mesiace), v angličtine alebo s úradným prekladom.
• Úspešný Testbed report — doklad o absolvovaní povinných testov.
• Potvrdenie od PA SK — súhlas Finančnej správy SR s vydaním produkčného certifikátu.
• CSR — nový Certificate Signing Request (iný ako testovací).

Časový rámec

Celý proces od podania žiadosti po vydanie produkčného certifikátu trvá zvyčajne 2 – 4 týždne. Závisí od rýchlosti spracovanie na strane OpenPeppol a kompletnosti vašej dokumentácie.

Komerčný HTTPS certifikát

Okrem Peppol PKI certifikátov potrebujete pre prevádzku Access Pointu aj štandardný TLS/HTTPS certifikát od komerčnej certifikačnej autority. Tento certifikát zabezpečuje šifrované spojenie na transportnej vrstve (HTTPS).

Dôležité pravidlá:

• Self-signed certifikáty nie sú povolené — ani pre testovací, ani pre produkčný režim. Certifikát musí byť vydaný uznanou CA.
• Odporúčané CA: DigiCert, Sectigo, GlobalSign alebo Let's Encrypt (bezplatný, ale s kratšou platnosťou).
• Doména musí zodpovedať — certifikát musí byť vydaný pre doménu, na ktorej prevádzkujete Access Point.
• Podpora pre TLS 1.2+ — starší protokoly (TLS 1.0, 1.1) nie sú v Peppol sieti povolené.

Platnosť a obnova certifikátov

Peppol PKI certifikáty majú obmedzenú platnosť — zvyčajne 2 roky od dátumu vydania. Pred uplynutím platnosti musíte certifikát obnoviť, inak váš Access Point prestane fungovať.

Harmonogram obnovy

• 3 mesiace pred vypršaním — začnite proces obnovy. Podajte žiadosť cez Peppol Service Desk.
• 1 mesiac pred vypršaním — nový certifikát by mal byť vydaný a nainštalovaný na vašom serveri.
• 2 týždne pred vypršaním — otestujte nový certifikát v testovacom prostredí.
• Deň D — prepnite na nový certifikát v produkčnom prostredí.

Upozornenie: Ak certifikát vyprší bez obnovy, váš Access Point okamžite prestane fungovať. Ostatní účastníci siete odmietnu správy podpísané neplatným certifikátom. Obnovenie nefunkčného certifikátu je urgentný proces, ale aj tak trvá minimálne niekoľko dní.

Bezpečnostné odporúčania

Peppol PKI certifikáty sú kritickým bezpečnostným prvkom vašej infraštruktúry. Ak sa privátny kľúč dostane do nesprávnych rúk, útočník môže odosielať falošné faktúry pod vaším menom. Preto dodržiavajte tieto odporúčania:

Ochrana privátneho kľúča — uložte privátny kľúč v HSM (Hardware Security Module) alebo minimálne v šifrovanom keystorom. Nikdy ho neukladajte v plain-texte na disk.

Obmedzený prístup — prístup k certifikátu a privátnemu kľúču by mali mať len nevyhnutní členovia tímu. Implementujte princíp minimálnych oprávnení (least privilege).

Monitoring — sledujte použitie certifikátu a nastavte alerty na neobvyklú aktivitu (napríklad podpisovanie správ mimo pracovných hodín alebo z neznámej IP adresy).

Zálohovanie — vytvorte bezpečnú zálohu certifikátu a privátneho kľúča pre prípad havárie servera. Zálohu uložte na samostatné, šifrované úložisko.

Revokácia — ak máte podozrenie na kompromitáciu privátneho kľúča, okamžite kontaktujte Peppol Service Desk a požiadajte o revokáciu certifikátu. Následne požiadajte o vydanie nového. Lepšie je mať Access Point krátkodobo nefunkčný než riskovať bezpečnostný incident.

Audit trail — uchovávajte záznamy o všetkých operáciách s certifikátmi — vydanie, inštalácia, obnova, revokácia. Tieto záznamy môžu byť vyžiadané pri audite zo strany PA SK alebo OpenPeppol.