SignDocs Brasil Logo SignDocs Brasil
Testar grátis
Middleware SafeSign

Como instalar o SafeSign passo a passo

O middleware mais usado em tokens A3 no Brasil — GD Burti, StarSign, SafeID e rebrands compatíveis. Guia definitivo para Windows, macOS e Linux.

Tempo estimado: 10 minutos · Última verificação: abril de 2026

Seu token A3 não está funcionando?

Se você está vendo erros como:

  • "Certificado não encontrado"
  • "Token não detectado"
  • Problema com PKCS#11 no Chrome ou Firefox
  • Certificado A3 não aparece no navegador

O problema quase sempre está na configuração do SafeSign. Neste guia, você aprende a instalar e configurar corretamente em menos de 10 minutos.

O que é o SafeSign

SafeSign é o middleware (desenvolvido pela Giesecke+Devrient) usado pela maioria dos tokens A3 no Brasil. Ele faz a ponte entre:

  • Seu token físico (USB)
  • O sistema operacional
  • Navegadores e aplicações de assinatura digital (padrão PKCS#11)

Sem ele instalado corretamente, o certificado simplesmente não funciona — nem no navegador, nem em portais do governo, nem em assinadores desktop.

1

Baixar o SafeSign

Baixe a versão compatível com o seu sistema operacional. Os links abaixo passam pelo SignDocs Brasil para garantir que você pegue a versão oficial mais recente do distribuidor.

Windows

10, 11 (32 e 64 bits)

Baixar

macOS

12 Monterey ou superior

Baixar

Linux

Ubuntu 22.04 e derivados

Baixar
Dica: se o seu certificado foi emitido por uma Autoridade Certificadora específica (Certisign, Soluti, Serasa, Valid, etc.), a AC costuma distribuir uma versão validada do SafeSign no próprio site — use essa em caso de dúvida.
2

Executar o instalador

  1. Execute o instalador baixado (clique com botão direito → "Executar como administrador" no Windows).
  2. Clique em Next / Avançar.
  3. Aceite os termos de uso.
  4. Escolha "Complete" quando solicitado (inclui o PKCS#11 library + Token Administration Tool).
  5. Finalize a instalação.

Reinicie o computador

Depois de instalar. Isso resolve muitos problemas invisíveis de variáveis de ambiente, cache de drivers e serviços de cartão inteligente.

3

Conectar o token A3

  1. Insira o token USB em uma porta livre (preferencialmente USB 2.0 direto na placa-mãe, não em hub).
  2. Aguarde 5–10 segundos para o sistema carregar o dispositivo.
  3. O SafeSign deve detectar automaticamente.

Se o LED do token não acender, troque a porta USB antes de seguir para o passo 4.

4

Verificar se o certificado foi reconhecido

  1. Abra o SafeSign Token Administration.
  2. Vá até a área de certificados / "Digital IDs".
  3. Você deve ver: seu nome, CPF ou CNPJ, e a data de validade do certificado.

Se não aparecer:

  • Troque a porta USB.
  • Reinstale o SafeSign.
  • Verifique se o token está funcionando em outro computador.
  • Consulte o guia de erros PKCS#11.
5

Usar o certificado no navegador

Google Chrome & Edge

Usam o repositório de certificados do sistema operacional. Funciona automaticamente após instalação correta do SafeSign.

Mozilla Firefox

Usa seu próprio repositório. Configure PKCS#11 manualmente:

  1. Configurações → Privacidade e Segurança
  2. Certificados → Dispositivos de Segurança
  3. Carregar → apontar para aetpkss1.dll (Win) ou libaetpkss.dylib (Mac)

Caminhos comuns da biblioteca PKCS#11:

# Windows
C:\Windows\System32\aetpkss1.dll

# macOS
/Library/Frameworks/eToken.framework/Versions/A/libaetpkss.dylib

# Linux
/usr/lib/libaetpkss.so

Problemas comuns

Token não aparece

Tente, nesta ordem:

  1. Troque a porta USB (prefira USB direto na placa-mãe)
  2. Reinicie o serviço Smart Card (Windows) ou pcscd (Linux)
  3. Reinstale o SafeSign
  4. Teste o token em outro computador para descartar defeito físico
Erro de PKCS#11

Confirme que o módulo está carregado corretamente. Caminho típico no Windows: C:\Windows\System32\aetpkss1.dll. Veja o guia completo de erros PKCS#11.

Certificado não aparece no sistema

Verifique se o SafeSign está na versão mais recente; reinicie o computador; reinstale o middleware. Se persistir, verifique com sua AC se o certificado não foi revogado.

PIN bloqueado

Três tentativas erradas de PIN bloqueiam o token. Use o código PUK fornecido pela sua Autoridade Certificadora para desbloquear dentro do SafeSign Token Administration. Se bloquear o PUK também, o certificado precisa ser re-emitido.

Teste seu certificado A3 agora, grátis

Depois de configurar tudo, o próximo passo é validar. No SignDocs Brasil você pode:

  • Verificar se o certificado está funcionando
  • Assinar documentos na hora (PAdES, CAdES)
  • Sem Java · sem applet · sem plugin de navegador
Testar grátis no SignDocs

Guias relacionados

Erros PKCS#11

Troubleshooting completo

SafeNet (SAC)

Para tokens eToken 5110, Gemalto e Thales

Matriz de compatibilidade

SO × navegador × token