Як згенерувати сертифікат KSeF

Станом на 6 червня 2026 року сертифікат KSeF можна згенерувати в Aplikacja Podatnika KSeF 2.0. Після входу потрібно перевірити ідентифікатор, використаний для автентифікації, відкрити вкладку Certyfikaty, вибрати Wnioskuj o certyfikat, указати назву, встановити пароль і згенерувати локальний приватний ключ у файлі .key.

Потім вибирають одне призначення сертифіката, дату початку його дії та надсилають заявку. Після завершення процесу з застосунку завантажують публічний сертифікат у файлі .crt. Файли .key і .crt виконують різні функції, а для використання сертифіката потрібен правильний комплект обох файлів.

KSeF не зберігає приватний ключ .key і не дозволяє його відновити. Перш ніж закрити форму, перевірте, чи файл справді завантажився, збережіть пароль у безпечному місці та створіть резервну копію з контрольованим доступом.

Подати заявку на сертифікат може платник податків або уповноважена особа. В Aplikacja Podatnika KSeF 2.0 користувач проходить автентифікацію доступним засобом входу, зокрема довіреним підписом, кваліфікованим електронним підписом або кваліфікованою електронною печаткою. Сертифікат KSeF не використовується для входу до інтерфейсу Aplikacja Podatnika. Він може використовуватися для автентифікації у відповідно інтегрованому програмному забезпеченні, яке працює через API.

Перед початком перевірте як контекст, вибраний в Aplikacja Podatnika, так і ідентифікатор у використаному засобі автентифікації. Дані заявки завантажуються під час входу, а сертифікат буде виданий на ідентифікатор власника. Водночас контекст компанії та обсяг операцій не записуються в сертифікат назавжди. Під час подальшого використання KSeF перевіряє актуальні повноваження власника сертифіката.

Також заздалегідь підготуйте безпечне місце для файлу .key і спосіб збереження пароля. Не відкладайте це рішення до завершення процесу. Приватний ключ створюється локально, а його втрата означає необхідність отримати новий сертифікат.

Сертифікат KSeF видається на ідентифікатор, що випливає із засобу автентифікації. Це може бути NIP, PESEL або відбиток кваліфікованого сертифіката, якщо використаний підпис чи печатка не містять податкового ідентифікатора. Сертифікат сам по собі не надає повноважень і не прив'язаний назавжди до одного контексту компанії.

Тип 1 і тип 2 мають різне призначення та потребують окремих заявок. Тип 1 використовується для автентифікації, а тип 2 для підпису перевірочного посилання виставника в офлайн-режимах.

Найважливішим моментом процесу є збереження файлу .key. Публічний сертифікат .crt можна завантажити повторно, але приватний ключ і пароль до нього неможливо відновити з KSeF.

Застосунок показує два призначення сертифіката. Перше, Uwierzytelnienie w systemie KSeF, відповідає сертифікату типу 1. Друге, Podpis linku weryfikacyjnego wystawcy, відповідає сертифікату типу 2.

Один сертифікат не може поєднувати обидва призначення. Однак це не означає, що кожна компанія повинна мати два сертифікати. Вибір залежить від способу автентифікації інтеграції та від того, чи компанія виставляє рахунки в режимах offline24, недоступності системи або аварії.

Перед поданням заявки перевірте документацію програми, яка використовуватиме сертифікат. Постачальник повинен однозначно вказати потрібне призначення. Назви тип 1 і тип 2 допомагають у технічній комунікації, але у формі слід керуватися повною назвою призначення.

1. Відкрийте офіційну Aplikacja Podatnika KSeF 2.0 і почніть вхід. Не використовуйте застарілі інструкції, які ведуть до Moduł Certyfikatów i Uprawnień. Останнім днем подання заявок у цьому модулі було 25 січня 2026 року, а з 26 до 31 січня тривала технічна перерва перед запуском KSeF 2.0.

2. Пройдіть автентифікацію за допомогою підтримуваного засобу входу, наприклад довіреного підпису, кваліфікованого електронного підпису або кваліфікованої електронної печатки. Сертифікат KSeF не дозволяє увійти до інтерфейсу Aplikacja Podatnika. Подання заявки після автентифікації сертифікатом можливе у відповідно інтегрованому програмному забезпеченні через API, натомість автентифікація токеном KSeF не дозволяє подати заявку.

3. Перевірте контекст та ідентифікатор власника. Засіб, що містить PESEL, призводить до видачі сертифіката на цей ідентифікатор, а засіб із NIP суб'єкта до сертифіката з цим NIP. Якщо кваліфікований підпис або печатка не містять NIP чи PESEL, ідентифікатором може бути відбиток кваліфікованого сертифіката. Подальший доступ та обсяг операцій залежать від актуальних повноважень власника сертифіката.

4. Відкрийте вкладку Certyfikaty і виберіть Wnioskuj o certyfikat.

5. Укажіть назву сертифіката. Вона повинна містити від 5 до 100 символів і може включати польські літери, цифри, пробіли, дефіс та підкреслення. Назва KSeF_FirmaX_uwierzytelnienie_2026 є прикладом для впорядкування архіву, а не вимогою Міністерства фінансів.

6. Установіть і повторіть пароль до приватного ключа. Пароль повинен містити від 15 до 32 символів, малу й велику літеру без польських діакритичних знаків, цифру та щонайменше один символ із набору !@#$%^&*()-_=+. Скинути цей пароль пізніше неможливо.

7. Виберіть Generuj. Браузер збереже на пристрої приватний ключ у файлі .key. Відразу перевірте папку завантажень і переконайтеся, що файл справді існує. Не переходьте далі, доки не підтвердите це.

8. Виберіть одне призначення сертифіката: Uwierzytelnienie w systemie KSeF або Podpis linku weryfikacyjnego wystawcy. Якщо потрібні обидві функції, виконайте окремий процес для кожного сертифіката.

9. Виберіть дату початку дії. Сертифікат може діяти щонайбільше 2 роки, а його дія може починатися в майбутньому. Під час заміни заплануйте період, який дозволить активувати і перевірити новий сертифікат до виведення з експлуатації попереднього.

10. Виберіть Wyślij wniosek o wydanie certyfikatu. Оновлюйте екран до завершення процесу, а потім скористайтеся опцією Pobierz certyfikat.

11. Перевірте комплект. Він повинен містити локальний приватний ключ .key, публічний сертифікат PEM із розширенням .crt і збережений пароль. Самого файлу .crt недостатньо для використання сертифіката без відповідного приватного ключа.

Файл .key не є сертифікатом. Він містить приватний ключ, згенерований локально в браузері та захищений установленим паролем. Не надсилайте його електронною поштою, не зберігайте у спільній папці без контролю доступу і не передавайте особам, які не відповідають за інтеграцію.

Файл .crt є публічним сертифікатом у форматі PEM. Його можна повторно завантажити зі списку активних сертифікатів, але він не замінить втрачений файл .key. Обидва файли повинні походити з одного процесу генерування.

Найбезпечніше зберігати ключ у зашифрованому сховищі з обмеженим доступом, створити контрольовану резервну копію і зберегти пароль окремо. У внутрішній процедурі варто вказати власника сертифіката, систему, яка використовує ключ, і особу, відповідальну за заміну до завершення строку дії.

У вкладці Certyfikaty можна переглянути список виданих сертифікатів. Застосунок розрізняє статуси активний, заблокований, анульований і прострочений. Отже, сама наявність файлу .crt не підтверджує, що сертифікат усе ще придатний до використання.

У списку зверніть увагу на призначення, ідентифікатор власника, дати початку і завершення дії та дату останнього використання. Ці поля допомагають виявити сертифікат, виданий на неправильний ідентифікатор, наближення завершення строку або ключ, який не використовується.

Активний файл .crt можна завантажити повторно. Однак список не дозволяє відновити приватний файл .key. Якщо його немає, саме повторне завантаження публічного сертифіката не відновить можливість автентифікації або підписання.

Найсерйозніші помилки виникають до натискання Wyślij wniosek. Неправильно визначений ідентифікатор власника або помилкове призначення можуть призвести до того, що виданий сертифікат не відповідатиме запланованому застосуванню. Контекст потрібно перевірити організаційно перед початком подання заявки, але він не записується назавжди як обсяг дії сертифіката.

Друга група помилок стосується файлів. Користувач завантажує .crt, але не помічає, що раніше браузер не зберіг .key. Повторне завантаження публічного сертифіката не розв'яже цієї проблеми.

KSeF застосовує ліміт виданих сертифікатів, але його значення не слід визначати за старими інструкціями або матеріалами постачальників. Якщо застосунок повідомляє про перевищення ліміту, перевірте актуальне значення і впорядкуйте невикористовувані сертифікати, не вгадуючи кількість.

Сертифікат потрібно анулювати негайно, якщо є підозра на розкриття приватного ключа, його копіювання неуповноваженою особою або втрату контролю над пристроєм чи сховищем, де він був записаний. Саме видалення локального файлу не змінює статус сертифіката в KSeF.

Застосунок передбачає три причини анулювання: заміна сертифіката новим, порушення безпеки приватного ключа і невизначена причина. Виберіть причину, що відповідає фактичній ситуації, і зафіксуйте рішення у внутрішньому реєстрі доступів.

Сертифікати анулюються окремо і лише в межах власних сертифікатів. Після анулювання перевірте системи, які використовували старий ключ, і заплануйте контрольовану заміну на новий комплект.

Після завершення процесу перевірте всі пункти, перш ніж передавати файли адміністратору або постачальнику програмного забезпечення. Така перевірка допомагає знайти помилку, поки ви ще пам'ятаєте контекст заявки і місце збереження ключа.

1. Сертифікат виданий на правильний ідентифікатор власника.

2. Вибрано правильне призначення: автентифікація або підпис перевірочного посилання виставника.

3. Дати початку і завершення дії відповідають плану впровадження.

4. Файл .key перебуває в безпечному сховищі.

5. Файл .crt завантажено і прив'язано до того самого комплекту.

6. Пароль перевірено і збережено окремо.

7. Створено контрольовану резервну копію ключа.

8. Доступ мають лише визначені особи або системи.

9. Дату завершення дії внесено до календаря або реєстру.

10. Заплановано заміну сертифіката до завершення строку дії.

Не відкладайте заміну до останнього дня дії. У реєстрі сертифікатів запишіть власника, призначення, систему, що використовує ключ, дату завершення дії та особу, відповідальну за впровадження наступного сертифіката.

Почніть процес завчасно, згенеруйте новий комплект і перевірте його в контрольоване сервісне вікно. Новий і старий сертифікати можуть працювати паралельно протягом запланованого періоду, що дозволяє перевірити конфігурацію перед виведенням попереднього ключа.

Після перемикання перевірте автентифікацію або підпис перевірочного посилання, проконтролюйте перші операції й лише потім видаліть старий ключ із систем. Якщо старий ключ було розкрито, не чекайте планової ротації, а негайно анулюйте сертифікат.

Після створення облікового запису KSeFGPT ви побачите початкове налаштування, яке проведе через першу конфігурацію. Додайте компанію, а потім виберіть з'єднання з KSeF. Система перенаправить вас до модуля Ustawienia, вкладки Połączenie KSeF і секції Poświadczenia KSeF.

1. В Ustawienia відкрийте вкладку Połączenie KSeF і знайдіть секцію Poświadczenia KSeF для потрібної компанії.

2. Якщо підключаєте компанію за допомогою сертифіката, виберіть приватний ключ у форматі .key або .pem і відповідний сертифікат у форматі .crt, .cer або .pem. Обидва файли повинні походити з одного процесу генерування сертифіката. Якщо ключ зашифрований, укажіть пароль, установлений під час його генерування.

3. Якщо використовуєте токен, виберіть опцію Token і введіть токен, згенерований у контексті потрібної компанії, з повноваженнями, необхідними для запланованих операцій.

4. Перевірте вибрану компанію і спосіб автентифікації, а потім збережіть облікові дані.

5. Після правильного збереження з'єднання перейдіть до модуля Faktury. Під час автентифікації сертифікатом KSeF перевірить актуальні повноваження власника сертифіката. Для токена доступ залежить від контексту і повноважень, записаних в активному токені. Якщо умови виконано, ви зможете завантажити і переглянути доступні рахунки.

Не надсилайте сертифікат, приватний ключ або токен електронною поштою чи через месенджер. Додавайте їх безпосередньо у формі Poświadczenia KSeF у своєму обліковому записі.

Де згенерувати сертифікат KSeF після 1 лютого 2026 року? - Сертифікат можна отримати в Aplikacja Podatnika KSeF 2.0 або через програмне забезпечення, яке використовує API KSeF 2.0. Історичний Moduł Certyfikatów i Uprawnień приймав заявки до кінця 25 січня 2026 року, після чого почалася технічна перерва перед запуском KSeF 2.0.

Чи може один сертифікат використовуватися для автентифікації та офлайн-режиму? - Ні. Сертифікат для автентифікації в KSeF і сертифікат для підпису перевірочного посилання виставника мають різне призначення. Якщо компанії потрібні обидва способи використання, вона повинна отримати два окремі сертифікати.

Чи можна відновити втрачений файл .key? - Ні. Приватний ключ генерується і зберігається локально на пристрої користувача, а KSeF його не зберігає. Активний публічний сертифікат .crt можна завантажити повторно, але це не відновить втрачений ключ .key.

Скільки часу діє сертифікат KSeF? - Сертифікат KSeF діє не довше ніж 2 роки від зазначеної початкової дати або від дати видачі, якщо пізнішу дату не вказано. Початкова дата дії не може бути ранішою за день подання заявки.

Якщо ви вибираєте спосіб автентифікації, прочитайте Токен чи сертифікат KSeF? Практичний посібник з авторизації. Використовуйте його для порівняння методів, а актуальну процедуру отримання сертифіката виконуйте за інструкцією з цієї статті.

Подальші етапи роботи описують посібники Надсилання рахунків до KSeF - повний посібник 2026 та UPO в KSeF - що таке офіційне підтвердження отримання?.

Перед ширшим запуском процесу також варто прочитати Найпоширеніші виклики при впровадженні KSeF і способи їх подолання.