Certyfikaty i tokeny dostępowe KSeF

Opublikowano 30 grudnia 2025aktualizacja 04 maja 2026

⚠️ Wybierz właściwy typ certyfikatu

KSeF generuje dwa rozłączne typy certyfikatów — przy składaniu wniosku w Aplikacji Podatnika KSeF wybierasz Przeznaczenie certyfikatu. Zgodnie z oficjalną informacją Ministerstwa Finansów: „Nie jest możliwe wygenerowanie jednego certyfikatu obejmującego jednocześnie dwa zastosowania".

Typ Oficjalna nazwa Działa w TaxMachine?
Typ 1 „Uwierzytelnienie w systemie KSeF" ✅ TAK — to wybierz do logowania programu
Typ 2 „Podpis linku do weryfikacji wystawcy" (offline) ❌ Nie do logowania — używany przez TaxMachine dodatkowo przy fakturach w trybie offline/awaryjnym

Wczytanie do pola „Certyfikat KSeF" w TaxMachine certyfikatu Typu 2 kończy się błędem „brak uprawnień" mimo że hasło i klucze są poprawne. Jeśli pomyłkowo wygenerowałeś nie ten typ — wygeneruj nowy z opcją „Uwierzytelnienie w systemie KSeF" (limit 6 certyfikatów / miesiąc).

Stary Typ 2 zachowaj — TaxMachine użyje go automatycznie do wystawiania faktur offline przy awarii KSeF (jeśli nie masz Typu 2, faktury offline są niedostępne).

Typ	Oficjalna nazwa	Działa w TaxMachine?
Typ 1	„Uwierzytelnienie w systemie KSeF"	✅ TAK — to wybierz do logowania programu
Typ 2	„Podpis linku do weryfikacji wystawcy" (offline)	❌ Nie do logowania — używany przez TaxMachine dodatkowo przy fakturach w trybie offline/awaryjnym

Wczytywanie certyfikatów do TaxMachine

Certyfikaty i tokeny dostępowe do KSeF 2.0 podaje się w oknie edycji firmy (podmiotu), zakładka "KSeF 2.0". Można tutaj wczytać wygenerowany wcześniej certyfikat. Certyfikaty generuje się:

dla wersji produkcyjnej w Aplikacji Podatnika: https://ap.ksef.mf.gov.pl/web/,
dla wersji demo (przedprodukcyjnej) w Aplikacji Podatnika DEMO pod adresem: https://ap-demo.ksef.mf.gov.pl/web/,

Certyfikat KSeF składa się z dwóch plików: klucza prywatnego z rozszerzeniem nazwy pliku ".key" i klucza publicznego z rozszerzeniem nazwy pliku ".crt". Program umożliwia wczytanie obydwu plików i utworzenie jednego certyfikatu PEM.
Aby wczytać klucz prywatny należy wpisać hasło podane w Aplikacji Podatnika podczas jego generowania, podanie błędnego hasła spowoduje błąd OpenSSL. W razie braku hasła najlepszym rozwiązaniem będzie anulowanie poprzedniego certyfikatu i wygenerowanie nowego. Pamiętajmy jednak o limitach, maksymalnie można wygenerować 6 certyfikatów w ciągu miesiąca, jest to ograniczenie wprowadzone przez Ministerstwo Finansów.

W wersji TaxMachine dla biur rachunkowych możliwe jest stosowanie certyfikatu biura do pobierania i wysyłania faktur klientów biura. W tym celu należy dla każdego klienta dodać uprawnienia do przeglądania i/lub wystawiania faktur dla osoby na którą wystawiono certyfikat biura. Klient musi być przypisany do biura w programie, w oknie edycji klienta należy wskazać biuro fakturujące usługi księgowe.

Do końca 2026 można także korzystać z tokenów dostępowych, są one łatwiejsze do wygenerowania i wprowadzenia do programu (należy wkleić token w polu "Token"), ale w obecnym stanie prawnym od 2027 i tak trzeba będzie przejść na certyfikaty, tak więc należy się zastanowić czy nie lepiej od razu wygenerować i wprowadzić do programu certyfikaty. Tokeny mają też taką wadę, że nie umożliwiają dostępu dla podmiotu innego niż podmiot który go wygenerował (uprawnienia są przypisane do tokena), nie ma więc możliwości logowania się tokenem biurowym na konto klienta, należałoby podać tokeny dla wszystkich klientów.

W oknie edycji firmy można sprawdzić czy podany certyfikat lub token jest prawidłowy, program sprawdza to poprzez próbę otwarcia sesji KSeF dla podanego certyfikatu lub tokena. Można też podejrzeć treść pól certyfikatu po kliknięciu "Pokaż informacje o certyfikacie".

Testowanie certyfikatów i tokenów możliwe jest tylko w systemie w którym zostały wygenerowane, certyfikat czy token wygenerowany w systemie produkcyjnym nie będzie działał w systemie przedprodukcyjnym.

ZAW-FA(3) dla podmiotów bez pieczęci kwalifikowanej

UWAGA! Dla podmiotów innych niż osoby fizyczne (spółki, fundacje, JST) bez kwalifikowanej pieczęci elektronicznej z NIP należy złożyć w urzędzie skarbowym ZAW-FA(3) wskazujący jedną osobę fizyczną.

⚠️ Pułapka: ZAW-FA(3) daje wskazanej osobie tylko prawo do nadawania uprawnień — nie do wystawiania ani odbierania faktur. Osoba ta po pierwszym zalogowaniu do Aplikacji Podatnika KSeF musi najpierw nadać sobie samej uprawnienia Wystawianie faktur i Przeglądanie faktur, dopiero potem generować certyfikat KSeF dla TaxMachine.

Bez nadania sobie uprawnień operacyjnych program TaxMachine wczytuje certyfikat poprawnie, ale przy próbie wysyłki/pobrania faktury KSeF zwraca „brak uprawnień".

Pełna procedura nadawania pierwszych uprawnień: Nadawanie uprawnień w KSeF.

JDG nie wymaga ZAW-FA(3) — właściciel ma pełne uprawnienia automatycznie po zalogowaniu Profilem Zaufanym.