Jak wygenerować certyfikat KSeF

Według stanu na 5 czerwca 2026 r. certyfikat KSeF można wygenerować w Aplikacji Podatnika KSeF 2.0. Po zalogowaniu trzeba sprawdzić identyfikator użyty do uwierzytelnienia, otworzyć zakładkę Certyfikaty, wybrać Wnioskuj o certyfikat, nadać nazwę, ustawić hasło i wygenerować lokalny klucz prywatny w pliku .key.

Następnie wybiera się jedno przeznaczenie certyfikatu, datę początku ważności i wysyła wniosek. Po zakończeniu procesu z aplikacji pobiera się certyfikat publiczny w pliku .crt. Pliki .key i .crt pełnią różne funkcje i do użycia certyfikatu potrzebny jest ich właściwy komplet.

KSeF nie przechowuje klucza prywatnego .key i nie pozwala go odzyskać. Przed zamknięciem formularza sprawdź, czy plik został pobrany, zapisz hasło w bezpiecznym miejscu i przygotuj kopię bezpieczeństwa z kontrolowanym dostępem.

O certyfikat może wystąpić podatnik albo osoba uprawniona. W Aplikacji Podatnika KSeF 2.0 użytkownik uwierzytelnia się dostępnym środkiem logowania, między innymi podpisem zaufanym, kwalifikowanym podpisem elektronicznym albo kwalifikowaną pieczęcią elektroniczną. Certyfikatu KSeF nie używa się do logowania w interfejsie Aplikacji Podatnika; może on służyć do uwierzytelnienia w odpowiednio zintegrowanym oprogramowaniu korzystającym z API.

Przed rozpoczęciem sprawdź zarówno kontekst wybrany w Aplikacji Podatnika, jak i identyfikator zawarty w użytym środku uwierzytelnienia. Dane wniosku są pobierane podczas logowania, a certyfikat zostanie wydany na identyfikator właściciela. Kontekst firmy i zakres operacji nie są jednak zapisane w certyfikacie na stałe - podczas późniejszego użycia KSeF sprawdza bieżące uprawnienia właściciela certyfikatu.

Przygotuj również bezpieczne miejsce na plik .key oraz sposób zapisania hasła. Nie odkładaj tej decyzji na koniec procesu. Klucz prywatny powstaje lokalnie i jego utrata oznacza konieczność uzyskania nowego certyfikatu.

Certyfikat KSeF jest wydawany na identyfikator wynikający ze środka uwierzytelnienia. Może to być NIP, PESEL albo odcisk palca certyfikatu kwalifikowanego, jeżeli użyty podpis lub pieczęć nie zawierają identyfikatora podatkowego. Certyfikat nie nadaje samodzielnie uprawnień i nie jest na stałe przypisany do jednego kontekstu firmy.

Typ 1 i typ 2 mają różne zastosowania i wymagają osobnych wniosków. Typ 1 służy do uwierzytelniania, a typ 2 do podpisu linku weryfikacyjnego wystawcy w trybach offline.

Najważniejszym momentem procesu jest zapis pliku .key. Certyfikat publiczny .crt można ponownie pobrać, ale klucza prywatnego i jego hasła nie da się odzyskać z KSeF.

Aplikacja pokazuje dwa przeznaczenia certyfikatu. Pierwsze to Uwierzytelnienie w systemie KSeF, odpowiadające certyfikatowi typu 1. Drugie to Podpis linku weryfikacyjnego wystawcy, odpowiadające certyfikatowi typu 2.

Jeden certyfikat nie może łączyć obu zastosowań. Nie oznacza to jednak, że każda firma musi mieć dwa certyfikaty. Wybór zależy od sposobu uwierzytelniania integracji oraz od tego, czy firma wystawia faktury w trybach offline24, niedostępności systemu lub awarii.

Przed złożeniem wniosku sprawdź dokumentację programu, który będzie korzystał z certyfikatu. Dostawca powinien jednoznacznie wskazać wymagane przeznaczenie. Nazwy typu 1 i typ 2 pomagają w rozmowie technicznej, ale w formularzu należy kierować się pełną nazwą przeznaczenia.

1. Wejdź do oficjalnej Aplikacji Podatnika KSeF 2.0 i rozpocznij logowanie. Nie korzystaj z historycznych instrukcji prowadzących do Modułu Certyfikatów i Uprawnień. Ostatnim dniem składania tam wniosków był 25 stycznia 2026 r., a od 26 do 31 stycznia trwała przerwa techniczna przed uruchomieniem KSeF 2.0.

2. Uwierzytelnij się obsługiwanym środkiem logowania, na przykład podpisem zaufanym, kwalifikowanym podpisem elektronicznym albo kwalifikowaną pieczęcią elektroniczną. Certyfikatem KSeF nie zalogujesz się do interfejsu Aplikacji Podatnika. Wnioskowanie po uwierzytelnieniu certyfikatem jest możliwe w odpowiednio zintegrowanym oprogramowaniu przez API, natomiast uwierzytelnienie tokenem KSeF nie pozwala złożyć wniosku.

3. Sprawdź kontekst i identyfikator właściciela. Środek zawierający PESEL prowadzi do wydania certyfikatu na ten identyfikator, a środek zawierający NIP podmiotu do certyfikatu z tym NIP. Jeżeli kwalifikowany podpis lub pieczęć nie zawierają NIP ani PESEL, identyfikatorem może być odcisk palca certyfikatu kwalifikowanego. Późniejszy dostęp i zakres operacji zależą od bieżących uprawnień właściciela certyfikatu.

4. Otwórz zakładkę Certyfikaty i wybierz Wnioskuj o certyfikat.

5. Nadaj certyfikatowi nazwę. Powinna mieć od 5 do 100 znaków i może zawierać polskie litery, cyfry, spacje, myślnik oraz podkreślenie. Nazwa KSeF_FirmaX_uwierzytelnienie_2026 jest przykładem porządkującym archiwum, a nie wymogiem Ministerstwa Finansów.

6. Ustaw i powtórz hasło do klucza prywatnego. Hasło musi mieć od 15 do 32 znaków, zawierać małą i wielką literę bez polskich znaków diakrytycznych, cyfrę oraz co najmniej jeden znak z zestawu !@#$%^&*()-_=+. Hasła nie można później zresetować.

7. Wybierz Generuj. Przeglądarka zapisze na urządzeniu klucz prywatny w pliku .key. Natychmiast sprawdź folder pobierania i upewnij się, że plik rzeczywiście istnieje. Nie przechodź dalej, dopóki tego nie potwierdzisz.

8. Wybierz jedno przeznaczenie certyfikatu: Uwierzytelnienie w systemie KSeF albo Podpis linku weryfikacyjnego wystawcy. Jeżeli potrzebujesz obu funkcji, przeprowadź osobny proces dla każdego certyfikatu.

9. Wybierz datę początku ważności. Certyfikat może być ważny maksymalnie 2 lata, a jego ważność może rozpocząć się w przyszłości. Przy wymianie zaplanuj okres pozwalający aktywować i przetestować nowy certyfikat przed wycofaniem poprzedniego.

10. Wybierz Wyślij wniosek o wydanie certyfikatu. Odświeżaj ekran do zakończenia procesu, a następnie użyj opcji Pobierz certyfikat.

11. Sprawdź komplet. Powinien obejmować lokalny klucz prywatny .key, certyfikat publiczny PEM z rozszerzeniem .crt oraz zapisane hasło. Sam plik .crt nie wystarczy do użycia certyfikatu bez odpowiadającego mu klucza prywatnego.

Plik .key nie jest certyfikatem. Zawiera klucz prywatny wygenerowany lokalnie w przeglądarce i chroniony ustawionym hasłem. Nie należy wysyłać go pocztą elektroniczną, umieszczać we wspólnym katalogu bez kontroli dostępu ani udostępniać osobom, które nie odpowiadają za integrację.

Plik .crt jest certyfikatem publicznym w formacie PEM. Można go ponownie pobrać z listy aktywnych certyfikatów, ale taki plik nie zastąpi utraconego .key. Para musi należeć do tego samego procesu generowania.

Najbezpieczniej przechowywać klucz w zaszyfrowanym magazynie z ograniczonym dostępem, wykonać kontrolowaną kopię bezpieczeństwa i zapisać hasło oddzielnie. W firmowej procedurze warto wskazać właściciela certyfikatu, system wykorzystujący klucz oraz osobę odpowiedzialną za wymianę przed wygaśnięciem.

W zakładce Certyfikaty można sprawdzić listę wydanych certyfikatów. Aplikacja rozróżnia statusy aktywny, zablokowany, unieważniony i wygasły. Samo posiadanie pliku .crt nie potwierdza więc, że certyfikat nadal nadaje się do użycia.

Na liście zwróć uwagę na przeznaczenie, identyfikator właściciela, datę ważny od, datę ważny do oraz datę ostatniego użycia. Te pola pomagają wychwycić certyfikat wydany na niewłaściwy identyfikator, zbliżające się wygaśnięcie albo nieużywany klucz.

Aktywny plik .crt można pobrać ponownie. Lista nie pozwala jednak odzyskać prywatnego pliku .key. Jeśli go nie masz, samo pobranie certyfikatu publicznego nie przywróci możliwości uwierzytelniania lub podpisywania.

Najpoważniejsze pomyłki powstają przed kliknięciem Wyślij wniosek. Błędnie rozpoznany identyfikator właściciela lub złe przeznaczenie mogą sprawić, że wydany certyfikat nie będzie odpowiadał planowanemu zastosowaniu. Kontekst trzeba sprawdzić organizacyjnie przed rozpoczęciem wniosku, ale nie jest on na stałe zapisywany jako zakres działania certyfikatu.

Druga grupa błędów dotyczy plików. Użytkownik pobiera .crt, ale nie zauważa, że wcześniej przeglądarka nie zapisała .key. Tego problemu nie da się naprawić ponownym pobraniem certyfikatu publicznego.

KSeF stosuje limit wydawanych certyfikatów, ale jego wartości nie należy zakładać na podstawie starszych instrukcji lub materiałów dostawców. Jeżeli aplikacja zgłasza przekroczenie limitu, sprawdź bieżący limit i uporządkuj nieużywane certyfikaty bez zgadywania liczby.

Certyfikat należy unieważnić niezwłocznie, gdy istnieje podejrzenie ujawnienia klucza prywatnego, skopiowania go przez nieuprawnioną osobę albo utraty kontroli nad urządzeniem lub magazynem, w którym był zapisany. Samo usunięcie lokalnego pliku nie zmienia statusu certyfikatu w KSeF.

Aplikacja przewiduje trzy powody unieważnienia: zastąpienie certyfikatu nowym, naruszenie bezpieczeństwa klucza prywatnego oraz powód nieokreślony. Wybierz przyczynę zgodną ze stanem faktycznym i zanotuj decyzję w firmowym rejestrze dostępów.

Certyfikaty unieważnia się pojedynczo i w zakresie własnych certyfikatów. Po unieważnieniu sprawdź systemy, które używały starego klucza, i zaplanuj kontrolowaną wymianę na nowy komplet.

Po zakończeniu procesu przejdź przez wszystkie punkty, zanim przekażesz pliki administratorowi lub dostawcy oprogramowania. Ta kontrola pomaga wykryć błąd wtedy, gdy nadal pamiętasz kontekst wniosku i miejsce zapisania klucza.

1. Certyfikat został wydany na właściwy identyfikator właściciela.

2. Wybrano właściwe przeznaczenie: uwierzytelnienie albo podpis linku weryfikacyjnego wystawcy.

3. Data początku i końca ważności odpowiada planowi wdrożenia.

4. Plik .key znajduje się w bezpiecznym magazynie.

5. Plik .crt został pobrany i przypisany do tego samego kompletu.

6. Hasło zostało sprawdzone i zapisane oddzielnie.

7. Powstała kontrolowana kopia bezpieczeństwa klucza.

8. Dostęp mają wyłącznie wskazane osoby lub systemy.

9. Data wygaśnięcia została wpisana do kalendarza lub rejestru.

10. Zaplanowano wymianę certyfikatu przed końcem ważności.

Nie czekaj z wymianą do ostatniego dnia ważności. W rejestrze certyfikatów zapisz właściciela, przeznaczenie, system korzystający z klucza, datę wygaśnięcia oraz osobę odpowiedzialną za wdrożenie następcy.

Rozpocznij proces odpowiednio wcześniej, wygeneruj nowy komplet i przetestuj go w kontrolowanym oknie serwisowym. Nowy i stary certyfikat mogą przez zaplanowany okres działać równolegle, co pozwala sprawdzić konfigurację przed wycofaniem poprzedniego klucza.

Po przełączeniu sprawdź uwierzytelnienie albo podpis linku weryfikacyjnego, monitoruj pierwsze operacje i dopiero wtedy wycofaj stary klucz z systemów. Jeśli stary klucz został ujawniony, nie czekaj na planową rotację - unieważnij certyfikat natychmiast.

Po założeniu konta KSeFGPT zobaczysz onboarding, który prowadzi przez pierwszą konfigurację. Dodaj firmę, a następnie wybierz połączenie z KSeF. System przekieruje Cię do modułu Ustawienia, zakładki Połączenie KSeF i sekcji Poświadczenia KSeF.

1. W Ustawieniach otwórz zakładkę Połączenie KSeF i znajdź sekcję Poświadczenia KSeF dla właściwej firmy.

2. Jeżeli łączysz firmę certyfikatem, wybierz klucz prywatny w formacie .key lub .pem oraz odpowiadający mu certyfikat w formacie .crt, .cer lub .pem. Oba pliki muszą pochodzić z tego samego procesu generowania certyfikatu. Jeśli klucz jest zaszyfrowany, podaj hasło ustawione podczas jego generowania.

3. Jeżeli korzystasz z tokena, wybierz opcję Token i wpisz token wygenerowany w kontekście właściwej firmy, z uprawnieniami wymaganymi do planowanych operacji.

4. Sprawdź wybraną firmę i metodę uwierzytelnienia, a następnie zapisz poświadczenie.

5. Po poprawnym zapisaniu połączenia przejdź do modułu Faktury. Przy uwierzytelnieniu certyfikatem KSeF sprawdzi bieżące uprawnienia właściciela certyfikatu. Przy tokenie dostęp zależy od kontekstu i uprawnień zapisanych w aktywnym tokenie. Jeżeli warunki są spełnione, możesz pobrać i wyświetlić dostępne faktury.

Nie wysyłaj certyfikatu, klucza prywatnego ani tokena pocztą elektroniczną lub komunikatorem. Dodaj je bezpośrednio w formularzu Poświadczenia KSeF na swoim koncie.

Jeżeli wybierasz metodę uwierzytelnienia, przeczytaj Token czy certyfikat KSeF? Praktyczny przewodnik autoryzacji. Traktuj go jako porównanie metod, a aktualną procedurę uzyskania certyfikatu wykonuj według instrukcji z tego artykułu.

Dalsze etapy pracy opisują poradniki Wysyłka faktur do KSeF - kompletny poradnik 2026 oraz UPO w KSeF - co to jest Urzędowe Poświadczenie Odbioru?.

Przed szerszym uruchomieniem procesu warto też przeczytać Najczęstsze wyzwania przy wdrożeniu KSeF i jak je pokonać.