Komunikat „Zestaw kluczy nie istnieje” to jeden z częstszych błędów, na które natknąć się mogą użytkownicy Comarch ERP Optima podczas wysyłki e-Deklaracji, plików JPK lub e-Sprawozdań. Problem jest szczególnie podchwytliwy, gdy pracownik korzysta z programu przez połączenie pulpitu zdalnego (RDP) — w takim przypadku standardowe rozwiązanie nie wystarczy. W tym artykule wyjaśniam, skąd pochodzi błąd i jak skutecznie go naprawić.

Co oznacza błąd „Zestaw kluczy nie istnieje”?

Komunikat ten pojawia się, gdy system Windows nie może znaleźć kontenera klucza prywatnego powiązanego z certyfikatem kwalifikowanym. Innymi słowy: certyfikat jest widoczny w systemie, ale system operacyjny nie ma dostępu do jego klucza prywatnego, niezbędnego do podpisania dokumentu.

Najczęstsze przyczyny to:

  • Brak certyfikatu w magazynie Windows – certyfikat nie został zainstalowany w odpowiednim miejscu (Osobisty → Certyfikaty w certmgr.msc)
  • Zły magazyn certyfikatów – certyfikat trafił do gałęzi „Inne osoby” zamiast „Osobisty”
  • Zduplikowane lub uszkodzone wpisy – np. po aktualizacji sterowników, migracji profilu lub reinstalacji systemu
  • Nieaktualny lub nieprawidłowy sterownik karty kryptograficznej – szczególnie dotyczy oprogramowania IDProtect i kart Sigillum
  • Praca przez RDP bez certyfikatu na serwerze – to specyficzna i często pomijana przyczyna

Dlaczego RDP komplikuje sprawę?

Przy połączeniu przez Remote Desktop Protocol (RDP) Comarch Optima działa na komputerze zdalnym (serwerze), a nie na maszynie lokalnej pracownika. Oznacza to, że certyfikat zainstalowany wyłącznie na laptopie lub komputerze pracownika jest dla programu całkowicie niewidoczny.

Certyfikat kwalifikowany musi być zainstalowany w magazynie certyfikatów konta użytkownika na serwerze RDP, z którego korzysta dany pracownik — a nie na jego lokalnym sprzęcie.

Rozwiązanie krok po kroku – praca przez RDP

Poniżej znajdziesz instrukcję dla administratora IT, który musi naprawić ten błąd u pracownika korzystającego z Comarch Optima przez pulpit zdalny.

Krok 1 – Zaloguj się na serwer jako dany użytkownik

Połącz się z serwerem RDP na konto tego samego użytkownika, który zgłasza problem. Certyfikat musi być zainstalowany w profilu konkretnego użytkownika, nie globalnie.

Krok 2 – Otwórz menedżer certyfikatów

  1. Naciśnij Win + R, wpisz certmgr.msc i naciśnij Enter
  2. Przejdź do: Osobisty → Certyfikaty
  3. Sprawdź, czy certyfikat kwalifikowany pracownika jest już na liście

Krok 3 – Zainstaluj certyfikat na serwerze

Jeśli certyfikatu nie ma, należy go zainstalować:

  1. Skopiuj plik certyfikatu (.pfx lub .cer) na serwer – np. przez schowek RDP lub udostępniony folder
  2. Kliknij plik prawym przyciskiem myszy → Zainstaluj certyfikat
  3. Wybierz opcję: Bieżący użytkownik
  4. Wskaż magazyn: Osobisty
  5. Zakończ instalację i potwierdź

⚠️ Jeżeli certyfikat jest na karcie kryptograficznej (np. Sigillum), podłącz czytnik bezpośrednio do serwera lub skorzystaj z przekierowania urządzeń USB w ustawieniach RDP.

Krok 4 – Sprawdź ustawienia trybu terminalowego w Comarch Optima

W programie Comarch ERP Optima wejdź do:

Konfiguracja → Stanowisko → Ogólne → Parametry

Sprawdź, czy opcja „Wymiana danych z komputerem lokalnym w trybie terminalowym” jest właściwie ustawiona. Jeśli certyfikat jest zainstalowany na serwerze, opcja ta powinna być wyłączona. Jeśli była włączona – odznacz ją i zrestartuj program.

Krok 5 – Ponów wysyłkę dokumentu

Po instalacji certyfikatu wróć do Comarch Optima i ponownie spróbuj wysłać e-Deklarację lub plik JPK. Przy wyborze certyfikatu wskaż ten z imieniem i nazwiskiem pracownika.

Rozwiązanie dla kart kryptograficznych (Sigillum, IDProtect)

Jeżeli pracownik korzysta z podpisu kwalifikowanego na karcie i czytnik jest przekierowany przez RDP, wykonaj dodatkowo:

  1. Otwórz certmgr.msc i usuń wszystkie certyfikaty wystawione przez „CUZ Sigillum – QCA1″ z gałęzi Osobisty
  2. Odinstaluj sterownik IDProtect (Panel sterowania → Programy i funkcje)
  3. Podłącz czytnik ponownie – system automatycznie ponownie zaimportuje certyfikaty
  4. Uruchom Sigillum Menedżer → Ustawienia i zaznacz opcję „Użyj mechanizmu CSP”
  5. Ponów wysyłkę w Comarch Optima

Dobre praktyki na przyszłość

Aby uniknąć nawrotów problemu, warto wdrożyć kilka dobrych nawyków:

  • Dokumentuj, na których profilach użytkowników zainstalowane są certyfikaty – szczególnie w środowiskach wielostanowiskowych z RDP
  • Regularnie aktualizuj sterowniki kart kryptograficznych i oprogramowanie Sigillum Menedżer
  • Pilnuj terminów ważności certyfikatów – wygasły certyfikat generuje podobne błędy
  • Nie migruj profili użytkownika „na sucho” – po przeniesieniu zawsze weryfikuj magazyn certyfikatów
  • Testuj podpis po każdej większej aktualizacji systemu Windows lub Comarch Optima

Podsumowanie

Błąd „Zestaw kluczy nie istnieje” w Comarch Optima jest irytujący, ale możliwy do szybkiego usunięcia – pod warunkiem, że wiesz, gdzie szukać przyczyny. W przypadku pracy przez RDP kluczowe jest zainstalowanie certyfikatu bezpośrednio na serwerze, w profilu konkretnego użytkownika. Jeśli po wykonaniu powyższych kroków problem nadal występuje, skontaktuj się z dostawcą certyfikatu kwalifikowanego lub sprawdź, czy karta/certyfikat nie wymagają odnowienia.