Buckminster
(usa Debian)
Enviado em 29/10/2025 - 07:58h
O tipo de certificado é A1 (arquivo .pfx ou .p12) ou é certificado A3 (cartão ou token físico, tipo eToken, SafeNet, GD Burti etc.)?
Pelo que pesquisei, caso você queira um certificado oficial válido, você terá de comprar um, pois para certas coisas não vale um certificado gerado no sistema:
https://loja.serpro.gov.br/certificacao?utm_source=assinadordigital&utm_medium=portalexterno&...
https://www.serpro.gov.br/links-fixos-superiores/assinador-digital/assinador-serpro
O thumbprint é um identificador único de um certificado digital.
Ele é calculado a partir de todo o conteúdo do certificado usando um algoritmo de hash (normalmente SHA-1 ou SHA-256).
O thumbprint é como uma impressão digital do certificado — nenhum outro certificado terá o mesmo.
Ele serve para verificar a autenticidade de um certificado, identificar qual certificado usar entre vários instalados e detectar se o certificado foi alterado.
Se você rodar no terminal:
keytool -list -v -storetype PKCS12 -keystore certificado.pfx
(ou, se for autoassinado:)
openssl x509 -in certificado.crt -noout -fingerprint -sha1
Você verá algo como:
SHA1 Fingerprint=AB:CD:EF:12:34:56:78:90:12:34:56:78:9A:BC:DE:F0:12:34:56:78
Esse código hexadecimal é o thumbprint.
Quando o assinador da SEFAZ ou de outro órgão público é executado, ele procura um certificado cujo thumbprint corresponda ao que o sistema está pedindo.
Se o certificado correto não está carregado (A1 não lido, A3 não montado, etc.) ou se o certs.config aponta para o arquivo errado ou se o assinador espera um certificado diferente do que foi configurado o programa exibe exatamente a mensagem que você viu:
“Não foi possível encontrar um certificado com o thumbprint informado”.
Para visualizar o thumbprint do seu certificado se for A1 (arquivo .pfx ou .p12):
keytool -list -v -storetype PKCS12 -keystore certificado.pfx
ou
openssl pkcs12 -in certificado.pfx -nodes | openssl x509 -noout -fingerprint -sha1
Se for A3 (token USB):
Depende do middleware, mas alguns permitem listar certificados com:
pkcs11-tool --list-objects --type cert
(se o pacote opensc estiver instalado).
Sobre a pasta "Pessoal", descubra onde está o cacerts do Java, normalmente fica em:
/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts
Confirme com o comando:
readlink -f $(which java)
e então siga o caminho até o diretório lib/security/cacerts.
Apesar de que no Linux existem vários arquivos paralelos onde os certificados podem ficar, não existe uma única pasta como no Windows.
Por exemplo:
em ~/.mozilla/firefox/*.default-release/cert9.db no Firefox/Thunderbird no Banco de dados NSS (Netscape Security Services);
em /etc/ssl/certs/ + /usr/share/ca-certificates/Aplicativos do sistema, curl, wget, etc. são os certificados de CA (autoridades emissoras);
em /usr/lib/jvm/java-8-openjdk/jre/lib/security/cacerts no Java e IcedTea onde armazena certificados conhecidos pelo Java
em arquivo .pfx/.p12 com senha de certificado pessoal (A1) onde você quiser armazenar.
_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!
