Dlaczego dostaję błąd 403 po wygenerowaniu certyfikatu KSeF?

Po wygenerowaniu certyfikatu KSeF musisz nadać sobie uprawnienia w sekcji 'Zarządzanie uprawnieniami'. Nadaj uprawnienia dla swojego PESEL-u do wszystkich potrzebnych funkcji.

Co zrobić gdy przeglądarka nie widzi certyfikatu?

Sprawdź czy certyfikat został poprawnie zainstalowany w magazynie certyfikatów przeglądarki. Każda przeglądarka wymaga osobnej instalacji certyfikatu.

Dlaczego KSeF zgłasza przekroczony limit certyfikatów?

W Aplikacji Podatnika jest limit certyfikatów. Użyj certyfikatów utworzonych w AP i wgraj je ręcznie, albo dezaktywuj nieużywane certyfikaty w AP.

KSeF błąd logowania certyfikatem - rozwiązania

Problemy z logowaniem certyfikatem do KSeF są częste, szczególnie po wygenerowaniu nowego certyfikatu KSeF. Część błędów wynika z uprawnień w Aplikacji Podatnika, inne z nieprawidłowej instalacji certyfikatu lub podpisu wyzwania autoryzacyjnego.

Rodzaje certyfikatów w KSeF i ich problemy

W KSeF można używać dwóch typów certyfikatów: certyfikatu kwalifikowanego (zewnętrznego) oraz certyfikatu KSeF (generowanego w systemie po złożeniu ZAW-FA).

Certyfikat kwalifikowany wymaga fizycznego nośnika (karta, token) lub instalacji w przeglądarce. Certyfikat KSeF jest generowany jako plik .p12 i musi być zainstalowany w przeglądarce.

Najczęstsze problemy to błąd 403 (brak uprawnień w Aplikacji Podatnika), błąd 401 (problem z uwierzytelnieniem), błędy autoryzacji z kodami 21111, 21115, 9103 oraz problemy z instalacją certyfikatu w przeglądarce.

Instrukcja krok po kroku

1. Sprawdź poprawność instalacji certyfikatu

W Chrome wejdź w Ustawienia > Prywatność i bezpieczeństwo > Zarządzaj certyfikatami. Sprawdź czy certyfikat jest widoczny w zakładce 'Osobiste' i czy ma przypisany klucz prywatny.

2. Zweryfikuj hasło do certyfikatu

Upewnij się, że używasz poprawnego hasła do certyfikatu. Hasło jest ustawiane podczas generowania certyfikatu KSeF lub importu certyfikatu kwalifikowanego.

3. Sprawdź ważność certyfikatu

Sprawdź daty ważności certyfikatu. Certyfikaty KSeF są ważne przez określony czas, po którym należy wygenerować nowy.

4. Nadaj uprawnienia po pierwszym logowaniu

Po pierwszym logowaniu certyfikatem KSeF (po ZAW-FA) musisz nadać sobie uprawnienia w sekcji 'Zarządzanie uprawnieniami' dla swojego PESEL-u.

5. Sprawdź kontekst logowania

Upewnij się, że logujesz się w odpowiednim kontekście - jako osoba fizyczna (PESEL) czy w imieniu firmy (NIP). Certyfikat musi być powiązany z odpowiednim podmiotem.

6. Sprawdź uprawnienia w Aplikacji Podatnika

W Aplikacji Podatnika wejdź w Uprawnienia > Nadawanie uprawnień. Wybierz rodzaj uprawnień i identyfikator, w Zakres uprawnień ustaw np. "Osoba będzie uprawniona do: wystawiania faktur" i zapisz. Uprawnienia nadaje właściciel firmy.

Najczęstsze problemy i rozwiązania

Błąd 403 po wygenerowaniu certyfikatu KSeF

Osoba logująca się certyfikatem nie ma uprawnień do wystawiania faktur. W Aplikacji Podatnika wejdź w Uprawnienia > Nadawanie uprawnień, wybierz rodzaj uprawnień i identyfikator, w Zakres uprawnień ustaw "Osoba będzie uprawniona do: wystawiania faktur" i zapisz. Uprawnienia nadaje właściciel firmy. Jeśli autoryzacja była niedawno, odczekaj kilka lub kilkanaście minut i spróbuj ponownie.

Przeglądarka nie widzi certyfikatu

Sprawdź czy certyfikat został poprawnie zainstalowany. Każda przeglądarka wymaga osobnej instalacji certyfikatu.

Chrome: Ustawienia > Prywatność i bezpieczeństwo > Zarządzaj certyfikatami > Importuj. Wybierz plik .p12 i wprowadź hasło.

Edge: Ustawienia > Prywatność, wyszukiwanie i usługi > Zarządzanie certyfikatami > Importuj. Wybierz plik .p12 i wprowadź hasło.

Firefox: Ustawienia > Prywatność i bezpieczeństwo > Certyfikaty > Wyświetl certyfikaty > Twoje certyfikaty > Importuj. Wybierz plik .p12 i wprowadź hasło.

Safari (macOS): Program Keychain (Keychain Access) > Plik > Importuj elementy. Wybierz plik .p12 i wprowadź hasło. Na iOS: Ustawienia > Ogólne > O profilach > Importuj plik.

Opera: Ustawienia > Zaawansowane > Prywatność i bezpieczeństwo > Zarządzaj certyfikatami > Importuj. Wybierz plik .p12 i wprowadź hasło.

Błąd 415 (brak uprawnień osoby podpisującej)

Plik autoryzacyjny (wyzwanie) musi podpisać właściciel firmy lub osoba z uprawnieniami nadanymi w KSeF. W Aplikacji Podatnika sprawdź zakładkę Uprawnienia. W spółkach potrzebny jest złożony ZAW-FA albo podpis kwalifikowany lub pieczęć elektroniczna z NIPem spółki.

Błąd 400 - Brak podpisu

KSeF nie rozpoznaje podpisu. Częste przyczyny: zły certyfikat, wygasły podpis, uszkodzony plik. Pobierz wyzwanie ponownie, podpisz je jednym aktualnym podpisem i nie edytuj pliku po podpisaniu.

Błąd 'Nieprawidłowy certyfikat' (kod 21115) przy logowaniu

Sprawdź czy certyfikat nie wygasł, czy hasło jest poprawne i czy certyfikat jest przeznaczony dla właściwego podmiotu (PESEL vs NIP). Certyfikat z Aplikacji Podatnika DEMO nie działa w wersji produkcyjnej KSeF i odwrotnie - certyfikaty muszą być wygenerowane w tym samym środowisku (DEMO albo produkcja).

Błąd 21111 - Nieprawidłowe wyzwanie autoryzacyjne

Wyzwanie jest jednorazowe. Przy przerwanej sesji lub nieaktualnym wyzwaniu ponów cały proces autoryzacji i podpisz aktualne wyzwanie.

Błąd 9103 - Przekroczona liczba dozwolonych podpisów

KSeF dopuszcza tylko jeden podpis w dokumencie autoryzacyjnym. Upewnij się, że plik jest podpisany tylko raz i właściwą metodą (Profil Zaufany, podpis kwalifikowany lub pieczęć).

Konto przekroczyło limit dostępnych certyfikatów

W Aplikacji Podatnika może być ograniczona liczba certyfikatów. Jeśli wcześniej generowano certyfikaty w AP, użyj certyfikatów utworzonych tam i wgraj je ręcznie w miejscu logowania. Przy jednej firmie możesz w AP dezaktywować nieużywane certyfikaty, aby zwolnić limit.

Certyfikat działa w jednej przeglądarce, ale nie w innej

Certyfikaty muszą być instalowane osobno w każdej przeglądarce. Firefox ma własny magazyn certyfikatów, oddzielny od systemu Windows/Chrome.

Różnice między typami certyfikatów

Certyfikat kwalifikowany: Wydawany przez zewnętrzne urzędy certyfikacji (np. Certum, KIR), wymaga fizycznego nośnika lub instalacji. Kosztuje około 100-300 zł rocznie.

Certyfikat KSeF: Bezpłatny, generowany w systemie po złożeniu ZAW-FA, ważny przez określony czas. Wymaga nadania uprawnień po pierwszym logowaniu.

Certyfikat testowy: Tylko dla środowiska testowego, nie można używać w produkcji.

Instalacja certyfikatu w różnych przeglądarkach

Chrome/Edge: Ustawienia > Prywatność i bezpieczeństwo > Zarządzaj certyfikatami > Importuj > Wybierz plik .p12 > Wprowadź hasło.

Firefox: Ustawienia > Prywatność i bezpieczeństwo > Certyfikaty > Wyświetl certyfikaty > Twoje certyfikaty > Importuj.

Safari: Keychain Access > Plik > Importuj elementy > Wybierz certyfikat.

Typowe błędy i ich znaczenie

SSL_ERROR_BAD_CERT_DOMAIN: Certyfikat nie pasuje do domeny - sprawdź czy używasz właściwego certyfikatu.

SEC_ERROR_PKCS12_INVALID_MAC: Błędne hasło do certyfikatu .p12.

SSL_ERROR_NO_CYPHER_OVERLAP: Problem z algorytmami szyfrowania - zaktualizuj przeglądarkę.

ERR_BAD_SSL_CLIENT_AUTH_CERT: Przeglądarka nie może znaleźć odpowiedniego certyfikatu.

Błędy autoryzacji z kodami KSeF (400, 403, 415, 21111, 21115, 9103)

400 Brak podpisu: KSeF nie weryfikuje podpisu - pobierz wyzwanie ponownie i podpisz je jednym aktualnym podpisem.

403: Brak uprawnień do wystawiania faktur - nadaj uprawnienia w Aplikacji Podatnika (Uprawnienia > Nadawanie uprawnień).

415: Plik autoryzacyjny musi podpisać właściciel firmy lub osoba uprawniona w KSeF.

21111 Nieprawidłowe wyzwanie: Wyzwanie jest jednorazowe - ponów proces autoryzacji i podpisz aktualne wyzwanie.

21115 Nieprawidłowy certyfikat: Certyfikat z DEMO nie działa w produkcji i odwrotnie - użyj certyfikatu z tego samego środowiska.

9103 Przekroczona liczba podpisów: Dozwolony jest tylko jeden podpis w dokumencie autoryzacyjnym.

FAQ

Czy mogę używać tego samego certyfikatu na różnych komputerach?

Tak, ale musisz zainstalować certyfikat (plik .p12) na każdym komputerze osobno. Pamiętaj o bezpiecznym przechowywaniu pliku certyfikatu i hasła.

Co zrobić gdy zapomniałem hasła do certyfikatu?

Hasła do certyfikatu nie można odzyskać. Musisz wygenerować nowy certyfikat KSeF lub skontaktować się z wystawcą certyfikatu kwalifikowanego.

Dlaczego certyfikat działa w API, ale nie w przeglądarce?

API i przeglądarka używają różnych sposobów obsługi certyfikatów. W API certyfikat jest przekazywany bezpośrednio, w przeglądarce musi być zainstalowany w magazynie certyfikatów.

Czy certyfikat KSeF można używać do innych celów?

Nie, certyfikat KSeF jest przeznaczony wyłącznie do logowania i operacji w systemie KSeF. Nie można go używać do podpisywania innych dokumentów.

Co oznacza błąd 21111 (Nieprawidłowe wyzwanie autoryzacyjne)?

Wyzwanie autoryzacyjne jest jednorazowe. Jeśli sesja została przerwana lub upłynął czas, ponów cały proces autoryzacji i podpisz nowe wyzwanie.

Dlaczego pojawia się komunikat o przekroczonym limicie certyfikatów?

W Aplikacji Podatnika obowiązuje limit certyfikatów. Jeśli wcześniej generowano certyfikaty w AP, wgraj je ręcznie w miejscu logowania. Możesz też dezaktywować nieużywane certyfikaty w AP, aby zwolnić limit.

Powiązane tematy

Przydatne serwisy

Status KSeF

Pierwszy serwis prezentuje informacje o statusie samego KSeF, drugi – komunikaty techniczne Ministerstwa Finansów.