Drivers oficiais, middleware por fabricante, compatibilidade por sistema e soluções para os erros mais comuns de PKCS#11 — revisados e organizados por quem já integra A3 em produção.
Última verificação: abril de 2026 · ICP-Brasil · MP 2.200-2/2001
ICP-Brasil A1 e A3
Suporte completo
Windows · macOS · Linux
Assinador desktop nativo
Sem Java · sem applet
PKCS#11 direto
Teste em 2 minutos
Plano grátis
É o software entre o token USB e o seu navegador/aplicativo. Sem o middleware certo instalado, o certificado digital simplesmente não aparece.
O hardware físico que armazena a chave privada do certificado ICP-Brasil A3.
A biblioteca (SafeSign, SafeNet ou Watchdata) que expõe o token pelo padrão PKCS#11 para o sistema operacional.
Navegador, assinador desktop, portal do governo — lê o certificado e solicita a assinatura.
Regra prática: ~95% dos tokens A3 vendidos no Brasil caem em três famílias de middleware — SafeSign, SafeNet (SAC) e Watchdata/Feitian. O resto é rebrand ou reempacotamento.
Identifique a marca do seu token e baixe o middleware correto.
| Marca / modelo do token | Middleware | Guia |
|---|---|---|
| GD Burti | SafeSign | Ver guia → |
| StarSign Crypto | SafeSign | Ver guia → |
| SafeID | SafeSign | Ver guia → |
| eToken 5110 / 5100 | SafeNet (SAC) | Ver guia → |
| Gemalto | SafeNet (SAC) | Ver guia → |
| Thales | SafeNet (SAC) | Ver guia → |
| Watchdata | Watchdata | Ver guia → |
| Feitian ePass | Feitian / SafeSign | Ver guia → |
Em dúvida sobre o modelo? Verifique a etiqueta física do token ou consulte o PDF da sua Autoridade Certificadora.
Links oficiais redirecionados via SignDocs Brasil. Cada página traz versões por sistema operacional e passo a passo de instalação.
G&D / StarSign / GD Burti / SafeID. Middleware mais usado em certificados Certisign, Soluti e SafeID.
eToken 5110/5100, Gemalto, Thales. Segundo middleware mais comum em ICP-Brasil.
Tokens menos comuns, porém presentes em implantações ICP-Brasil específicas. Middleware redistribuído pelas ACs.
Dois recursos cobrem 90% dos problemas que vemos na prática.
"Certificado não encontrado", "PKCS#11 não carrega", token some do Firefox, certificado não aparece no Chrome — causas e soluções.
Abrir troubleshootingTabela cruzando sistema operacional × navegador × token. Saiba antes de comprar ou migrar.
Abrir matrizO que mais recebemos por e-mail e no suporte.
É o software que faz a ponte entre o token USB (hardware) e o sistema operacional/navegador. Sem ele, o certificado ICP-Brasil A3 não é reconhecido. Os três middlewares mais usados no Brasil são SafeSign, SafeNet (SAC) e Watchdata.
Pelo fabricante do token: GD Burti, StarSign e SafeID usam SafeSign; eToken 5110/5100, Gemalto e Thales usam SafeNet (SAC); Watchdata e Feitian usam seus próprios middlewares. Consulte a tabela nesta página para o mapa completo.
Sim. SafeSign tem versão oficial para Ubuntu 22.04; SafeNet tem builds para distribuições principais. O SignDocs Brasil possui assinador desktop para Linux que conversa diretamente com PKCS#11 — sem Java, sem applet, sem plugin de navegador.
Sim, mas com ressalvas: as versões de middleware para macOS costumam ser mais antigas que as de Windows e dependem do modelo do token. Consulte a matriz de compatibilidade antes de comprar.
No SignDocs Brasil, não. Nosso assinador desktop fala PKCS#11 diretamente, sem applets Java ou plugins de navegador. Outras plataformas ainda exigem Java em alguns fluxos — verifique antes de aceitar uma dependência que o seu time talvez não queira manter.
Crie uma conta grátis e teste seu certificado A3 agora — sem configuração complicada, sem Java, sem plugin.
