Gerenciador de Certificado Digital

2. "Imagine que..."

Toda empresa que emite NFe, transmite SPED, manda eSocial ou usa Conectividade Social tem certificado digital. ICP-Brasil. Validade típica: 1 a 3 anos. Custa R$ 200-600.

E todo ano, em alguma empresa do Brasil, na sexta-feira às 17h, alguém descobre que o certificado venceu há 3 horas. NFe trava. Cliente espera. Faturamento para. Liga pra Certisign no sábado, paga emergência, espera segunda. Perde 2-3 dias de operação. R$ 30, R$ 50, R$ 200 mil que não saíram.

Isso é evitável. O Neurawlink tem um scheduler que olha pra cada certificado todo dia 3h da manhã, dispara alerta nos pontos críticos (60, 30, 15, 7, 1 e zero dias antes do vencimento), abre a renovação assistida e nunca deixa o cenário do parágrafo anterior acontecer.

3. Sem Neurawlink × Com Neurawlink

4. O que esse módulo faz

• Suporte A1 e A3 — A1 (arquivo.pfx, 1 ano) sobe direto pelo painel; A3 (token físico, smart card, 3 anos) integra via PKCS#11 no servidor habilitado.
• Master key obrigatória — CERTIFICATE_MASTER_KEY 32 bytes (64 hex chars) carregada no boot via loadCertificateMasterKey. Boot crasha se ausente. Sem fallback silencioso.
• Scheduler universal 0 3 * * * — escaneia TODOS os tenants ativos todo dia às 3h UTC. Cadência 60/30/15/7/1/0 dias = 6 alertas. Eventos disparados: CERTIFICATE_EXPIRING_INFO (60d), _WARNING (30d), _HIGH (15d), _CRITICAL (7d), _IMMEDIATE (1d), _EXPIRED (0d ou passado).
• 9 rotas REST /certificates/* com requirePermission: certificate:read (GET), certificate:manage (mutações), certificate:sign (uso operacional). AuditLog em toda mutação. Senha nunca gravada em newData — substituída por '***MASKED***'.
• Múltiplos certificados por tenant — matriz, filiais, certificado fiscal vs. operacional, A1 + A3 simultâneos.
• Uso automático — NFe, NFCe, NFSe, CTe, MDFe, EFD-ICMS/IPI, EFD-Contribuições, ECD, ECF, EFD-Reinf, eSocial, e-Financeira, Conectividade Social CAIXA. O sistema sabe qual certificado usar pra qual obrigação.
• Procuração eletrônica e-CAC — vincula CNPJ do cliente ao certificado do contador autorizado. Monitora validade da procuração junto com a do certificado.
• 2 assinadores XML distintos (crítico): NFe usa xml-crypto enveloped (<ds:Signature>); NFS-e Nacional usa XAdES-BES com <xades:SignedProperties>. Confundir = rejeição garantida.

5. Quanto isso custaria sem o Neurawlink

[TBD plano final cobre tudo isso. Comercial valida.]

6. Vídeo demo

Placeholder — 25s mostrando: dashboard com 5 certificados ativos coloridos por status, click num com 30 dias pra vencer, renovação assistida abrindo, novo arquivo subido, status virando ACTIVE.

7. Para quem é

1. Empresa que emite NFe/NFSe/CTe — qualquer modelo, qualquer UF.
2. Empresa que transmite SPED (qualquer um) — SPED exige assinatura ICP-Brasil válida.
3. Empresa com folha + eSocial — eSocial exige certificado pra envio dos eventos.
4. Escritório contábil ou BPO com múltiplos clientes — N tenants × N certificados, gestão centralizada.
5. Empresa imune (CEBAS, OSCIP) com EFD-Reinf R-4020 — também precisa de certificado.

8. Como funciona

Etapa 1. Você sobe o .pfx (A1) ou conecta o token (A3) pelo painel. Senha encriptada com CERTIFICATE_MASTER_KEY antes de tocar disco. Senha original some — só fica o cifrado.

Etapa 2. O sistema lê metadados do certificado: CN, CNPJ vinculado, validade, cadeia ICP-Brasil. Cria binding com tenant.

Etapa 3. Scheduler diário às 3h UTC. Pra cada certificado: daysUntilExpiry. Se ∈ {60, 30, 15, 7, 1}, dispara evento. Se ≤ 0, transiciona para EXPIRED.

Etapa 4. Eventos chegam no Telegram, e-mail ou WhatsApp do responsável fiscal (configuração por tenant).

Etapa 5. Renovação assistida: link pra certificadora, checklist (revogar anterior, atualizar token, testar primeira NFe), confirmação pós-troca.

Etapa 6. Em uso operacional, o assinador correto é selecionado: xml-crypto (NFe), XAdES-BES (NFS-e Nacional). Guard assertNotNfseElement('infNFSe') evita confundir os dois.

9. Case (placeholder)

[TBD após cliente beta.]

"Holding com 14 CNPJs ativos. Antes do Neurawlink, equipe fiscal usava planilha pra rastrear 18 certificados (matriz + filiais + 2 contadores externos). Em 2024, perdeu 3 dias de NFe em 2 incidentes. Após Neurawlink, zero incidente em 8 meses, com média de 47 dias de antecipação na renovação."

10. Integrações relacionadas

• /modulos/nfe-nfse-cte — emite com certificado correto
• /modulos/sped-automatico — transmite com TED + certificado
• /modulos/folha-esocial — eSocial assinado
• /modulos/lalur-automatico — ECD com dupla assinatura (eCPF + eCNPJ)
• /modulos/fiscal-watchdog — alerta de procuração vencendo

11. FAQ

Vocês suportam A1 e A3?

Sim. A1 (arquivo.pfx) é upload direto pelo painel. A3 (token físico ou smart card) requer servidor habilitado com PKCS#11 — a Neurawlink documenta a configuração. Múltiplos certificados por tenant, com binding por uso (NFe, SPED, eSocial, ECD-contador, ECD-empresa).

Como vocês armazenam a senha do certificado?

A senha do .pfx é encriptada com CERTIFICATE_MASTER_KEY (32 bytes hex) antes de tocar disco. A MASTER_KEY é exigida em todos os ambientes (dev/staging/prod) — boot crasha se ausente, sem fallback silencioso. Senha original some após upload. Em logs de auditoria, qualquer campo de senha aparece como '***MASKED***'.

Quando vocês me avisam que o certificado vai vencer?

6 alertas escalonados em D-60, D-30, D-15, D-7, D-1 e D-0. Cada um é um evento distinto (CERTIFICATE_EXPIRING_INFO/WARNING/HIGH/CRITICAL/IMMEDIATE/EXPIRED) que cai no canal configurado: e-mail, Telegram ou WhatsApp.

O alerta de SHA-384 do eSocial me obriga trocar certificado?

Não. SHA-384 é mudança no certificado TLS do servidor gov.br (transporte). Seu eCNPJ continua RSA 2048 + SHA-256. Node.js 18+ com OpenSSL 3.x suporta SHA-384 automaticamente. Se algum software te disse pra trocar certificado por causa de SHA-384, ele está errado.

Posso usar o novo Selo Eletrônico (SE-S / SE-H) para tudo?

Não. Resolução ITI 211/2024, Art. 4°: Selo SE-S/SE-H (novos certificados PJ pós-2029) não pode ser usado para manifestação de vontade — contratos, distratos, procurações. OK para NFe, SPED, eSocial. NÃO OK para contrato (assinatura é juridicamente inválida). O Neurawlink bloqueia uso indevido.

NFe e NFS-e Nacional usam o mesmo assinador?

Não. NFe usa xml-crypto com <ds:Signature> enveloped padrão XMLDSig. NFS-e Nacional (DPS) usa XAdES-BES com <xades:SignedProperties>. O Neurawlink tem assinadores separados e um guard que impede confundir os dois (+). Confundir = rejeição garantida.

Vocês têm rotas REST com permissão correta?

Sim. As 9 rotas /certificates/* exigem requirePermission: certificate:read para leitura, certificate:manage para mutações, certificate:sign para uso operacional. Toda mutação grava AuditLog com user/IP/timestamp. Roles: ADMIN e TENANT_ADMIN têm acesso completo; FISCAL_ANALYST e EXTERNAL_ACCOUNTANT têm leitura + assinatura; outros não têm acesso.

12. Módulos relacionados

• /modulos/nfe-nfse-cte
• /modulos/sped-automatico
• /modulos/folha-esocial
• /modulos/lalur-automatico
• /modulos/fiscal-watchdog

13. CTA final

• Primário: "Quero gestão de certificado sem susto" → /demo
• Secundário: "Testar grátis 14 dias" → /trial

15. Links externos oficiais

• ITI — Instituto Nacional de Tecnologia da Informação: https://www.gov.br/iti/pt-br
• Resolução ITI 211/2024 (Selo Eletrônico): https://www.gov.br/iti/pt-br/assuntos/legislacao
• Receita Federal — Certificado Digital e-CNPJ/e-CPF: https://www.gov.br/receitafederal/pt-br/servicos/orientacao-tributaria/certificado-digital
• ICP-Brasil — cadeia raiz e ARs: https://www.gov.br/iti/pt-br/assuntos/icp-brasil