Kategorie
KSeF O KonektoSmart

KSeF 2.0 w KonektoSmart: jak przygotować poświadczenia (token lub certyfikat) i dodać je w aplikacji

W związku z uruchamianiem usługi KSeF 2.0 w KonektoSmart prosimy o przygotowanie poświadczeń dostępu do KSeF. Do wyboru są dwa warianty — wybierają Państwo jeden (jeśli nie są Państwo pewni, który wybrać: prosimy o kontakt — podpowiemy).

Link do MCU (Moduł Certyfikatów i Uprawnień):
https://mcu.mf.gov.pl/web
(alternatywnie: https://ksef.mf.gov.pl/web)

Spis treści:

Szybki wybór: Token czy Certyfikat?

Jeśli nie mają Państwo czasu czytać całego wpisu, poniżej najprostsza ściąga:

  • Chcę szybko i prosto → wybierz Wariant A: Token (dostępny tylko do końca 2026 r.; później trzeba przejść na certyfikat).
  • Chcę rozwiązanie docelowe „na lata” → wybierz Wariant B: Certyfikat w MCU (rekomendowany).
  • Mam kilka systemów / integracji / dostawców → zwykle lepszy Certyfikat w MCU (łatwiej zarządzać).
  • Nie lubię technikaliów → zacznij od Tokenu, a potem zrobimy migrację do Certyfikatu.

WARIANT A: TOKEN KSeF (prostszy, ale tylko do końca 2026)

1) Jak wygenerować token w Aplikacji Podatnika KSeF

  1. Zaloguj się do Aplikacji Podatnika KSeF (Profil Zaufany lub certyfikat kwalifikowany).
  2. Wejdź w: Tokeny → Generuj token.
  3. Podaj nazwę tokena i wybierz uprawnienia, które mają być przypisane do tokena.
    Minimum: wystawianie faktur + przeglądanie faktur.
  4. Kliknij „Generuj token” i skopiuj wygenerowany token.
  5. Uwaga: token jest wyświetlany tylko jeden raz — później nie da się go podejrzeć.

2) Zasady bezpieczeństwa (ważne)

  • Token traktuj jak hasło do banku: nie wysyłaj mailem, nie wklejaj w komunikatory, nie udostępniaj osobom postronnym.
  • Jeśli podejrzewasz, że token wyciekł: wygeneruj nowy i unieważnij stary.

WARIANT B: CERTYFIKAT KSeF w MCU (docelowy / „na lata”)

1) Wejście do MCU

  1. Wejdź na: https://mcu.mf.gov.pl/web
  2. Zaloguj się (Profil Zaufany / certyfikat kwalifikowany).

2) Jak złożyć wniosek o certyfikat (krok po kroku)

  1. Menu: Certyfikaty → Wnioskuj o certyfikat.
  2. W kroku „Generowanie klucza…”:
    • Podaj nazwę certyfikatu (będzie też nazwą plików)
      Nie używaj spacji i polskich liter (np. ksef_auth_2026).
    • Ustaw hasło zabezpieczające klucz prywatny (zapisz je w bezpiecznym miejscu — nie da się go zresetować).
    • Kliknij „Generuj” — klucz prywatny zapisze się na Twoim komputerze jako plik .key (np. ksef_auth_2026.key).
  3. W kroku „Przesłanie wniosku”:
    • Wybierz przeznaczenie certyfikatu: „uwierzytelnienie”.
    • Ustaw datę „ważny od” (domyślnie dzisiaj).
    • Wyślij wniosek i poczekaj na zakończenie procesu (kilka minut).
  4. Pobierz certyfikat (format PEM) — od razu po wydaniu lub później z listy certyfikatów.
  5. Powtórz te same kroki dla drugiego certyfikatu z przeznaczeniem:
    „Podpis linku do weryfikacji wystawcy”.

3) Zasady bezpieczeństwa (bardzo ważne)

  • Plik klucza prywatnego (.key) i hasło do niego przechowuj bezpiecznie.
    To jest realnie „klucz do drzwi” KSeF — nie udostępniamy go nikomu.

Dodanie poświadczeń w KonektoSmart (Token lub Certyfikat)

Po przygotowaniu poświadczeń prosimy dodać je w KonektoSmart:

  1. Zaloguj się do KonektoSmart.
  2. Wejdź w: Ustawienia (prawy górny róg) → KSeF → Wybór uwierzytelnienia
    (nazwa może się minimalnie różnić w zależności od wersji panelu).
  3. Wybierz:
    • Wersja: KSeF 2.0
    • Typ uwierzytelnienia: Token lub Certyfikat KSeF (MCU)

Jeśli wybrano TOKEN

  • Wklej token
  • Nadaj nazwę (np. „KSeF – token – 2026”)
  • Środowisko: Produkcyjne
  • Zapisz

Jeśli wybrano CERTYFIKAT KSeF (MCU)

  • Środowisko: Produkcyjne
  • Typ certyfikatu: zgodnie z dodawanym kompletem (dodajemy kolejno):
    1. najpierw Uwierzytelnienie
    2. potem Podpis linku weryfikacyjnego
  • Wgraj certyfikat (PEM/CRT)
  • Wgraj klucz prywatny (.key)
  • Wpisz hasło do klucza (to ustawione w MCU)
  • Zapisz

Po dodaniu

  • Jeśli status tokenu/certyfikatu nie jest aktywny — aktywuj go.
  • Jeżeli mieli Państwo wcześniejsze poświadczenia:
    wyłączamy stare i dopiero potem włączamy nowe (żeby uniknąć konfliktów).

Ważne:
Nie przesyłamy tokenów ani kluczy prywatnych mailem. Najbezpieczniej jest dodać je samodzielnie bezpośrednio w KonektoSmart.

Test poprawności (self-check) – zanim zgłosisz problem

Jeśli po dodaniu poświadczeń coś „nie działa”, w 90% przypadków to jedna z poniższych rzeczy. Prosimy przejść punkt po punkcie.

Krok 0: Sprawdź, czy jesteś w dobrej wersji KSeF i dobrym środowisku (najczęstszy błąd)

W KonektoSmart upewnij się, że wybrałeś:

  • Wersja: KSeF 2.0 (nie 1.0)
  • Środowisko: Produkcyjne (jeśli pracujesz „na żywo”)

Uwaga na środowiska – łatwo je pomylić:

  • DEMO – środowisko pokazowe / szkoleniowe (dane nie są „prawdziwe”, integracja może nie odzwierciedlać produkcji).
  • TEST – środowisko testowe KSeF/MCU (do prób; token/certyfikat z TEST nie zadziała na produkcji).
  • PRODUKCJA – środowisko docelowe (na żywo).

✅ Zasada prosta: Token/certyfikat wygenerowany na TEST działa tylko na TEST.
Token/certyfikat z PRODUKCJI działa tylko na PRODUKCJI.
Jeśli wygenerowałeś poświadczenia „gdzieś indziej” niż to, co masz ustawione w KonektoSmart — system będzie je odrzucał.

Krok 1: Czy poświadczenie jest aktywne w KonektoSmart?

Po zapisaniu:

  • sprawdź status poświadczenia,
  • jeśli nie jest aktywne – aktywuj je.

Czasem poświadczenie jest dodane poprawnie, ale „nie działa”, bo jest po prostu nieaktywne. Brutalnie proste.

Krok 2: Jeśli używasz TOKENU – sprawdź 3 rzeczy

  1. Czy token skopiowano poprawnie?
  • bez spacji na początku/końcu,
  • bez dodatkowych znaków (czasem wkleja się „enter” albo cudzysłów).
  1. Czy token ma wymagane uprawnienia?
    Minimum:
  • wystawianie faktur
  • przeglądanie faktur
    Jeśli uprawnień brakuje – wygeneruj nowy token z właściwymi uprawnieniami (i unieważnij stary).
  1. Czy token jest z właściwego środowiska?
  • token z TEST → nie zadziała na PRODUKCJI
  • token z PRODUKCJI → nie zadziała na TEST

Krok 3: Jeśli używasz CERTYFIKATU (MCU) – checklista „must-have”

  1. Czy dodano dwa certyfikaty?
    W KSeF 2.0 w praktyce dodajesz dwa komplety (każdy komplet = certyfikat + klucz .key + hasło):
  • Certyfikat: Uwierzytelnienie
  • Certyfikat: Podpis linku do weryfikacji wystawcy

Jeżeli dodano tylko jeden – integracja może się wysypać na etapie, w którym potrzebuje tego drugiego.

  1. Czy wybrano właściwy „Typ certyfikatu” w KonektoSmart?
    Bardzo częsty błąd:
  • wgrywasz certyfikat „uwierzytelnienie”, ale wybierasz typ „podpis linku” (albo odwrotnie).
  1. Czy pliki pasują do siebie (certyfikat ↔ klucz)?
  • certyfikat PEM/CRT musi odpowiadać temu konkretnemu kluczowi .key,
  • jeśli wgrasz certyfikat od A i klucz od B — nie zadziała.
  1. Czy hasło do .key jest poprawne?
  • jedno przekręcone hasło = „nie działa”, a wygląda jak błąd systemu.
  1. Czy certyfikat jest z właściwego środowiska?
  • certyfikat/klucz wygenerowany na TEST → nie działa na PRODUKCJI

Krok 4: Jeśli wymieniasz poświadczenia – właściwa kolejność (żeby nie odciąć integracji)

Jeśli masz stare poświadczenia i dodajesz nowe:

  1. Dodaj nowe poświadczenie
  2. Aktywuj nowe
  3. Upewnij się, że działa
  4. Dopiero wtedy wyłącz stare

To minimalizuje ryzyko przerwy w działaniu.

Krok 5: Gdy nadal nie działa – co wysłać do wsparcia (bez wysyłania poświadczeń!)

Prosimy wysłać:

  • NIP firmy
  • środowisko ustawione w KonektoSmart: DEMO / TEST / PRODUKCJA
  • typ: Token czy Certyfikat
  • zrzut ekranu z błędu/statusu
  • data i godzina próby

Nie wysyłamy: tokenów, plików .key, haseł.

Migracja: Token → Certyfikat (bez przestoju)

Można zacząć od tokenu i później przejść na certyfikat:

  1. Dodaj certyfikat (MCU) w KonektoSmart.
  2. Wyłącz token.
  3. Dopiero włącz certyfikat.

Filmy instruktażowe (YouTube)

Poniżej filmy krok po kroku:

Mini-poradnik bezpieczeństwa (5 zasad)

  1. Token/klucz prywatny traktuj jak dane bankowe — nie wysyłamy mailem.
  2. Hasło do klucza .key przechowuj w bezpiecznym miejscu (np. menedżer haseł).
  3. Dostęp do poświadczeń w firmie tylko dla upoważnionych osób.
  4. Zmiana personelu (np. odejście pracownika) → rozważ rotację poświadczeń.
  5. Podejrzenie wycieku → natychmiast generacja nowych poświadczeń + kontakt z biurem.

Powiązane artykuły: