Wie erstellt man ein KSeF-Zertifikat?

Nach dem Stand vom 6. Juni 2026 kann ein KSeF-Zertifikat in der KSeF-Steuerzahleranwendung 2.0 erstellt werden. Nach der Anmeldung müssen Sie die für die Authentifizierung verwendete Kennung prüfen, den Bereich Zertifikate öffnen, Zertifikat beantragen wählen, einen Namen vergeben, ein Passwort festlegen und den lokalen privaten Schlüssel als .key-Datei erzeugen.

Anschließend wählen Sie genau einen Verwendungszweck sowie den Beginn der Gültigkeit und senden den Antrag ab. Nach Abschluss des Verfahrens laden Sie das öffentliche Zertifikat als .crt-Datei aus der Anwendung herunter. Die Dateien .key und .crt erfüllen unterschiedliche Aufgaben. Für die Verwendung des Zertifikats benötigen Sie den zusammengehörigen vollständigen Satz.

KSeF speichert den privaten .key-Schlüssel nicht und ermöglicht keine Wiederherstellung. Prüfen Sie vor dem Schließen des Formulars, ob die Datei heruntergeladen wurde, speichern Sie das Passwort an einem sicheren Ort und erstellen Sie eine kontrollierte Sicherungskopie.

Ein Zertifikat kann vom Steuerpflichtigen oder von einer berechtigten Person beantragt werden. In der KSeF-Steuerzahleranwendung 2.0 authentifiziert sich der Benutzer mit einem verfügbaren Anmeldeverfahren, unter anderem mit der Vertrauenssignatur, einer qualifizierten elektronischen Signatur oder einem qualifizierten elektronischen Siegel. Das KSeF-Zertifikat wird nicht zur Anmeldung in der Benutzeroberfläche der Steuerzahleranwendung verwendet. Es kann zur Authentifizierung in entsprechend integrierter Software dienen, die über die API arbeitet.

Prüfen Sie vor Beginn sowohl den in der Steuerzahleranwendung ausgewählten Kontext als auch die Kennung, die im verwendeten Authentifizierungsmittel enthalten ist. Die Antragsdaten werden bei der Anmeldung übernommen und das Zertifikat wird für die Kennung des Inhabers ausgestellt. Der Unternehmenskontext und der Umfang der zulässigen Vorgänge werden jedoch nicht dauerhaft im Zertifikat gespeichert. Bei der späteren Verwendung prüft KSeF die aktuellen Berechtigungen des Zertifikatsinhabers.

Bereiten Sie außerdem einen sicheren Speicherort für die .key-Datei und eine Methode zur Aufbewahrung des Passworts vor. Verschieben Sie diese Entscheidung nicht bis zum Ende des Verfahrens. Der private Schlüssel entsteht lokal. Sein Verlust bedeutet, dass ein neues Zertifikat beantragt werden muss.

Das KSeF-Zertifikat wird für die Kennung ausgestellt, die sich aus dem Authentifizierungsmittel ergibt. Dies kann NIP, PESEL oder der Fingerabdruck eines qualifizierten Zertifikats sein, wenn die verwendete Signatur oder das Siegel keine steuerliche Kennung enthält. Das Zertifikat erteilt selbst keine Berechtigungen und ist nicht dauerhaft einem einzigen Unternehmenskontext zugeordnet.

Typ 1 und Typ 2 haben unterschiedliche Verwendungszwecke und erfordern getrennte Anträge. Typ 1 dient der Authentifizierung. Typ 2 dient dem Signieren des Verifizierungslinks des Ausstellers in Offline-Verfahren.

Der wichtigste Moment des Verfahrens ist das Speichern der .key-Datei. Das öffentliche .crt-Zertifikat kann erneut heruntergeladen werden, der private Schlüssel und sein Passwort können jedoch nicht aus KSeF wiederhergestellt werden.

Die Anwendung zeigt zwei Verwendungszwecke des Zertifikats an. Der erste lautet Authentifizierung im KSeF-System und entspricht dem Zertifikat vom Typ 1. Der zweite lautet Signatur des Verifizierungslinks des Ausstellers und entspricht dem Zertifikat vom Typ 2.

Ein Zertifikat kann nicht beide Verwendungszwecke verbinden. Das bedeutet jedoch nicht, dass jedes Unternehmen zwei Zertifikate benötigt. Die Wahl hängt davon ab, wie sich die Integration authentifiziert und ob das Unternehmen Rechnungen im Offline24-Modus, bei Nichtverfügbarkeit des Systems oder bei einer Störung ausstellt.

Prüfen Sie vor der Antragstellung die Dokumentation des Programms, das das Zertifikat verwenden soll. Der Anbieter sollte den erforderlichen Verwendungszweck eindeutig angeben. Die Bezeichnungen Typ 1 und Typ 2 sind im technischen Gespräch hilfreich. Im Formular sollten Sie sich jedoch nach dem vollständigen Namen des Verwendungszwecks richten.

1. Öffnen Sie die offizielle KSeF-Steuerzahleranwendung 2.0 und starten Sie die Anmeldung. Verwenden Sie keine veralteten Anleitungen, die zum Modul für Zertifikate und Berechtigungen führen. Der 25. Januar 2026 war dort der letzte Tag für Anträge. Vom 26. bis 31. Januar dauerte die technische Unterbrechung vor dem Start von KSeF 2.0.

2. Authentifizieren Sie sich mit einem unterstützten Anmeldeverfahren, zum Beispiel mit der Vertrauenssignatur, einer qualifizierten elektronischen Signatur oder einem qualifizierten elektronischen Siegel. Mit einem KSeF-Zertifikat können Sie sich nicht in der Benutzeroberfläche der Steuerzahleranwendung anmelden. Ein Antrag nach Authentifizierung mit einem Zertifikat ist über entsprechend integrierte Software und die API möglich. Die Authentifizierung mit einem KSeF-Token erlaubt dagegen keine Antragstellung.

3. Prüfen Sie den Kontext und die Kennung des Inhabers. Ein Authentifizierungsmittel mit PESEL führt zur Ausstellung des Zertifikats für diese Kennung. Enthält das Mittel die NIP des Unternehmens, wird das Zertifikat für diese NIP ausgestellt. Enthält eine qualifizierte Signatur oder ein qualifiziertes Siegel weder NIP noch PESEL, kann der Fingerabdruck des qualifizierten Zertifikats als Kennung verwendet werden. Der spätere Zugang und der Umfang der Vorgänge hängen von den aktuellen Berechtigungen des Zertifikatsinhabers ab.

4. Öffnen Sie den Bereich Zertifikate und wählen Sie Zertifikat beantragen.

5. Vergeben Sie einen Namen für das Zertifikat. Er muss 5 bis 100 Zeichen lang sein und darf polnische Buchstaben, Ziffern, Leerzeichen, Bindestriche und Unterstriche enthalten. Der Name KSeF_FirmaX_Authentifizierung_2026 ist ein Beispiel für eine übersichtliche Ablage und keine Vorgabe des polnischen Finanzministeriums.

6. Legen Sie das Passwort für den privaten Schlüssel fest und wiederholen Sie es. Das Passwort muss 15 bis 32 Zeichen lang sein, einen Kleinbuchstaben und einen Großbuchstaben ohne polnische diakritische Zeichen, eine Ziffer sowie mindestens ein Zeichen aus der Gruppe !@#$%^&*()-_=+ enthalten. Das Passwort kann später nicht zurückgesetzt werden.

7. Wählen Sie Erzeugen. Der Browser speichert den privaten Schlüssel als .key-Datei auf dem Gerät. Prüfen Sie sofort den Download-Ordner und vergewissern Sie sich, dass die Datei tatsächlich vorhanden ist. Fahren Sie erst fort, nachdem Sie dies bestätigt haben.

8. Wählen Sie genau einen Verwendungszweck: Authentifizierung im KSeF-System oder Signatur des Verifizierungslinks des Ausstellers. Wenn Sie beide Funktionen benötigen, führen Sie für jedes Zertifikat ein separates Verfahren durch.

9. Wählen Sie den Beginn der Gültigkeit. Das Zertifikat kann höchstens 2 Jahre gültig sein und seine Gültigkeit kann zu einem zukünftigen Datum beginnen. Planen Sie beim Wechsel einen Zeitraum ein, in dem das neue Zertifikat vor der Außerbetriebnahme des bisherigen Zertifikats aktiviert und getestet werden kann.

10. Wählen Sie Antrag auf Ausstellung eines Zertifikats senden. Aktualisieren Sie die Ansicht, bis das Verfahren abgeschlossen ist, und verwenden Sie anschließend die Option Zertifikat herunterladen.

11. Prüfen Sie den vollständigen Satz. Er muss den lokalen privaten Schlüssel als .key-Datei, das öffentliche PEM-Zertifikat mit der Erweiterung .crt und das gespeicherte Passwort enthalten. Die .crt-Datei allein reicht ohne den zugehörigen privaten Schlüssel nicht zur Verwendung des Zertifikats aus.

Die .key-Datei ist kein Zertifikat. Sie enthält den privaten Schlüssel, der lokal im Browser erzeugt und mit dem festgelegten Passwort geschützt wurde. Senden Sie ihn nicht per E-Mail, legen Sie ihn nicht ohne Zugriffskontrolle in einem gemeinsamen Verzeichnis ab und geben Sie ihn nicht an Personen weiter, die nicht für die Integration verantwortlich sind.

Die .crt-Datei ist das öffentliche Zertifikat im PEM-Format. Sie kann aus der Liste aktiver Zertifikate erneut heruntergeladen werden, ersetzt aber keinen verlorenen .key-Schlüssel. Beide Dateien müssen aus demselben Erzeugungsverfahren stammen.

Am sichersten ist es, den Schlüssel in einem verschlüsselten Speicher mit beschränktem Zugriff aufzubewahren, eine kontrollierte Sicherungskopie zu erstellen und das Passwort getrennt zu speichern. Das interne Verfahren sollte den Zertifikatsinhaber, das System, das den Schlüssel verwendet, und die für den Wechsel vor Ablauf verantwortliche Person benennen.

Im Bereich Zertifikate können Sie die Liste der ausgestellten Zertifikate prüfen. Die Anwendung unterscheidet die Status aktiv, gesperrt, widerrufen und abgelaufen. Der Besitz einer .crt-Datei allein bestätigt daher nicht, dass das Zertifikat weiterhin verwendet werden kann.

Achten Sie in der Liste auf den Verwendungszweck, die Kennung des Inhabers, das Datum gültig ab, das Datum gültig bis und das Datum der letzten Verwendung. Diese Felder helfen dabei, ein Zertifikat mit einer falschen Kennung, ein bevorstehendes Ablaufdatum oder einen nicht verwendeten Schlüssel zu erkennen.

Die .crt-Datei eines aktiven Zertifikats kann erneut heruntergeladen werden. Die Liste ermöglicht jedoch keine Wiederherstellung der privaten .key-Datei. Ist sie nicht mehr vorhanden, stellt der erneute Download des öffentlichen Zertifikats die Möglichkeit zur Authentifizierung oder Signatur nicht wieder her.

Die schwerwiegendsten Fehler entstehen vor dem Absenden des Antrags. Eine falsch bestimmte Kennung des Inhabers oder ein falscher Verwendungszweck können dazu führen, dass das ausgestellte Zertifikat nicht zur geplanten Anwendung passt. Der Kontext muss vor Beginn des Antrags organisatorisch geprüft werden, wird aber nicht dauerhaft als Tätigkeitsumfang des Zertifikats gespeichert.

Die zweite Fehlergruppe betrifft die Dateien. Der Benutzer lädt .crt herunter, bemerkt aber nicht, dass der Browser zuvor die .key-Datei nicht gespeichert hat. Dieses Problem lässt sich nicht durch einen erneuten Download des öffentlichen Zertifikats beheben.

KSeF begrenzt die Anzahl ausgestellter Zertifikate. Der konkrete Wert sollte jedoch nicht aus älteren Anleitungen oder Unterlagen von Softwareanbietern übernommen werden. Meldet die Anwendung eine Überschreitung, prüfen Sie das aktuelle Limit und bereinigen Sie nicht verwendete Zertifikate, ohne eine Zahl zu erraten.

Ein Zertifikat muss unverzüglich widerrufen werden, wenn der Verdacht besteht, dass der private Schlüssel offengelegt, von einer unberechtigten Person kopiert oder die Kontrolle über das Gerät oder den Speicherort verloren wurde. Das bloße Löschen der lokalen Datei ändert den Status des Zertifikats in KSeF nicht.

Die Anwendung sieht drei Gründe für den Widerruf vor: Ersatz durch ein neues Zertifikat, Verletzung der Sicherheit des privaten Schlüssels und nicht näher bestimmter Grund. Wählen Sie den tatsächlich zutreffenden Grund und dokumentieren Sie die Entscheidung im internen Zugriffsregister.

Zertifikate werden einzeln und nur im Bereich der eigenen Zertifikate widerrufen. Prüfen Sie nach dem Widerruf die Systeme, die den alten Schlüssel verwendet haben, und planen Sie den kontrollierten Wechsel auf einen neuen Satz.

Gehen Sie nach Abschluss des Verfahrens alle Punkte durch, bevor Sie die Dateien an den Administrator oder Softwareanbieter übergeben. So lässt sich ein Fehler erkennen, solange Sie den Kontext des Antrags und den Speicherort des Schlüssels noch genau kennen.

1. Das Zertifikat wurde für die richtige Kennung des Inhabers ausgestellt.

2. Der richtige Verwendungszweck wurde gewählt: Authentifizierung oder Signatur des Verifizierungslinks des Ausstellers.

3. Beginn und Ende der Gültigkeit entsprechen dem Einführungsplan.

4. Die .key-Datei befindet sich in einem sicheren Speicher.

5. Die .crt-Datei wurde heruntergeladen und demselben Satz zugeordnet.

6. Das Passwort wurde geprüft und getrennt gespeichert.

7. Es wurde eine kontrollierte Sicherungskopie des Schlüssels erstellt.

8. Nur die festgelegten Personen oder Systeme haben Zugriff.

9. Das Ablaufdatum wurde in den Kalender oder das Register eingetragen.

10. Der Zertifikatswechsel vor Ablauf der Gültigkeit wurde geplant.

Warten Sie mit dem Wechsel nicht bis zum letzten Gültigkeitstag. Erfassen Sie im Zertifikatsregister den Inhaber, den Verwendungszweck, das System, das den Schlüssel nutzt, das Ablaufdatum und die für die Einführung des Nachfolgers verantwortliche Person.

Beginnen Sie rechtzeitig, erzeugen Sie einen neuen vollständigen Satz und testen Sie ihn in einem kontrollierten Wartungsfenster. Das neue und das bisherige Zertifikat können während eines geplanten Zeitraums parallel funktionieren. So lässt sich die Konfiguration prüfen, bevor der bisherige Schlüssel außer Betrieb genommen wird.

Prüfen Sie nach der Umstellung die Authentifizierung oder die Signatur des Verifizierungslinks und überwachen Sie die ersten Vorgänge. Entfernen Sie den alten Schlüssel erst danach aus den Systemen. Wurde der alte Schlüssel offengelegt, warten Sie nicht auf den geplanten Wechsel, sondern widerrufen Sie das Zertifikat sofort.

Nach der Erstellung eines KSeFGPT-Kontos führt Sie das Onboarding durch die erste Konfiguration. Fügen Sie ein Unternehmen hinzu und wählen Sie anschließend die Verbindung mit KSeF. Das System leitet Sie zum Modul Einstellungen, zum Bereich KSeF-Verbindung und zum Abschnitt KSeF-Zugangsdaten weiter.

1. Öffnen Sie in den Einstellungen den Bereich KSeF-Verbindung und suchen Sie den Abschnitt KSeF-Zugangsdaten für das richtige Unternehmen.

2. Wenn Sie das Unternehmen über ein Zertifikat verbinden, wählen Sie den privaten Schlüssel im Format .key oder .pem sowie das zugehörige Zertifikat im Format .crt, .cer oder .pem. Beide Dateien müssen aus demselben Verfahren zur Zertifikatserstellung stammen. Ist der Schlüssel verschlüsselt, geben Sie das bei seiner Erstellung festgelegte Passwort ein.

3. Wenn Sie einen Token verwenden, wählen Sie die Option Token und geben Sie den Token ein, der im Kontext des richtigen Unternehmens und mit den für die geplanten Vorgänge erforderlichen Berechtigungen erzeugt wurde.

4. Prüfen Sie das ausgewählte Unternehmen und die Authentifizierungsmethode und speichern Sie anschließend die Zugangsdaten.

5. Wechseln Sie nach dem erfolgreichen Speichern der Verbindung zum Modul Rechnungen. Bei der Authentifizierung mit einem Zertifikat prüft KSeF die aktuellen Berechtigungen des Zertifikatsinhabers. Bei einem Token hängt der Zugriff vom Kontext und den im aktiven Token gespeicherten Berechtigungen ab. Sind die Voraussetzungen erfüllt, können Sie die verfügbaren Rechnungen abrufen und anzeigen.

Senden Sie Zertifikat, privaten Schlüssel oder Token nicht per E-Mail oder Messenger. Fügen Sie diese Daten direkt im Formular KSeF-Zugangsdaten in Ihrem Konto hinzu.

Wenn Sie eine Authentifizierungsmethode auswählen, lesen Sie KSeF-Token oder Zertifikat? Praktischer Leitfaden zur Autorisierung. Verwenden Sie diesen Beitrag als Vergleich der Methoden und folgen Sie für das aktuelle Verfahren zur Zertifikatserstellung der Anleitung in diesem Artikel.

Die nächsten Arbeitsschritte beschreiben die Leitfäden Rechnungen an KSeF senden: vollständiger Leitfaden 2026 und UPO in KSeF: Was ist die amtliche Empfangsbestätigung?.

Vor einer breiteren Einführung sollten Sie außerdem Die häufigsten Herausforderungen bei der KSeF-Einführung und wie man sie bewältigt lesen.