Para integrar um certificado digital em um sistema ERP, você precisa de um e-CNPJ A1 (arquivo .pfx) instalado no servidor do ERP e configurado dentro do módulo fiscal do sistema, informando a senha do certificado e a finalidade de uso (NF-e, NFS-e, NFC-e ou CT-e). O e-CNPJ A1 é o tipo recomendado para essa integração porque dispensa token físico, fica disponível 24 horas para assinatura automática e funciona tanto em ERPs locais (SAP, TOTVS, Sankhya) quanto em ERPs em nuvem (Bling, Tiny, Omie, Conta Azul). A S&E Soluções Digitais, credenciada ICP-Brasil, fornece o e-CNPJ A1 ou A3 pronto para integração e orienta no cadastro dentro do seu sistema de gestão.

Por que integrar o certificado digital ao ERP

Integrar o certificado digital ao ERP é o que permite que sua empresa emita NF-e, NFS-e, NFC-e e CT-e em lote, sem precisar assinar nota por nota manualmente. O ERP usa o certificado para assinar digitalmente cada documento fiscal e transmitir o XML diretamente para a SEFAZ ou para a prefeitura, dentro do padrão da Receita Federal.

Empresas com faturamento acima de R$ 4,8 milhões/ano são obrigadas a emitir NF-e no regime de Lucro Presumido ou Real, segundo a Receita Federal — e na prática, qualquer empresa que venda fisicamente já precisa de NF-e/NFC-e por exigência da SEFAZ estadual. Sem certificado integrado ao ERP, o fluxo trava: o vendedor não consegue fechar pedido, o estoque não dá baixa e o cliente não recebe o XML/DANFE. Por isso a integração é o primeiro item do projeto fiscal de qualquer implantação de ERP.

e-CNPJ A1 ou A3: qual usar para integrar com o ERP

Para integração com ERP, o e-CNPJ A1 é a escolha padrão na maioria das empresas: é um arquivo .pfx instalado no servidor, com validade de 1 ano, que o sistema acessa diretamente sem intervenção humana. O e-CNPJ A3, em token ou cartão, exige que alguém conecte o dispositivo no servidor e digite o PIN — o que inviabiliza a emissão automatizada em escala.

Existe ainda a opção do e-CNPJ A3 em nuvem, que combina a validade de até 3 anos com a possibilidade de acesso remoto via middleware. É uma boa alternativa para empresas que querem aproveitar o ciclo mais longo do A3 sem perder a automação.

Característica	e-CNPJ A1 (arquivo)	e-CNPJ A3 (token/nuvem)
Validade	1 ano	1 a 3 anos
Armazenamento	Arquivo .pfx no servidor	Token físico, cartão ou nuvem
Automação no ERP	Total — assina 24h sem intervenção	Token: limitada; Nuvem: total
Necessidade de hardware	Nenhuma	Token/leitora (físico) ou nenhuma (nuvem)
Custo médio anual	Mais baixo (validade menor)	Diluído em 2 a 3 anos
Backup do certificado	Cópia do .pfx criptografada	Vinculado ao dispositivo/nuvem
Indicação típica	Emissão automatizada em ERP	Uso humano + ERP em nuvem

Na prática, mais de 90% das integrações de ERP com SEFAZ no Brasil usam o e-CNPJ A1 instalado no servidor, justamente pela simplicidade. A S&E Soluções Digitais emite tanto o A1 quanto o A3 (token ou nuvem) e o cliente escolhe conforme a arquitetura do ERP.

Como instalar o e-CNPJ A1 no servidor do ERP

A instalação do e-CNPJ A1 segue um fluxo padrão: você recebe o arquivo .pfx (também chamado de PKCS#12) junto com a senha de instalação, copia o arquivo para o servidor onde o ERP roda e o importa no repositório de certificados do sistema operacional ou diretamente no ERP.

Em servidores Windows, o passo a passo é:

Copie o arquivo .pfx para uma pasta segura do servidor (ex.: C:\Certificados\) com permissões restritas.
Clique duas vezes no .pfx para abrir o assistente de importação.
Escolha o repositório Pessoal (usuário atual) ou Local Machine se o ERP rodar como serviço — importante, porque o ERP precisa acessar o certificado pelo usuário correto.
Digite a senha de instalação e marque "Marcar esta chave como exportável" apenas se você precisar fazer backup; caso contrário, deixe desmarcado por segurança.
Finalize e confirme em Gerenciar Certificados de Usuário ou certlm.msc que o certificado aparece com a thumbprint correta.

Em servidores Linux, o procedimento usa OpenSSL para converter o .pfx em .pem (ou .key + .crt), e o ERP consome o caminho do arquivo + senha pelo módulo de assinatura. Não há repositório do SO equivalente ao do Windows; o controle de acesso é feito por permissões de arquivo.

Como saber se a instalação deu certo

Após instalar, abra o navegador (ou o utilitário de validação do ERP) e verifique se o certificado é listado entre os certificados pessoais. Faça também um teste de conexão com o ambiente de homologação da SEFAZ — todos os ERPs oferecem essa opção antes de emitir em produção. Se o handshake TLS com a SEFAZ falhar, geralmente é problema de cadeia de certificação ICP-Brasil ausente; basta instalar a cadeia da AC SERPRO/SERASA/SOLUTI correspondente.

Como configurar o certificado dentro do ERP

Com o certificado instalado no servidor, o próximo passo é cadastrá-lo no módulo fiscal do ERP. Independente do fornecedor, a tela costuma pedir: tipo do certificado (A1 ou A3), thumbprint ou caminho do arquivo, senha do certificado, CNPJ vinculado e finalidades habilitadas (NF-e, NFS-e, NFC-e, CT-e, MDF-e).

É comum o ERP exigir que você habilite o certificado por filial e por finalidade: a mesma empresa pode ter um certificado para emissão de NF-e na matriz e outro em filial. Verifique no contrato social qual CNPJ deve estar vinculado ao certificado emitido antes de comprar — o CNPJ do certificado precisa bater exatamente com o emissor da nota, segundo a regra da SEFAZ.

Senha do certificado: onde guardar

A senha do e-CNPJ A1 é solicitada uma vez na instalação. O ERP armazena essa senha criptografada para conseguir assinar as notas em segundo plano. Por isso, na S&E Soluções Digitais recomendamos que o cliente tenha um cofre de senhas (1Password, Bitwarden, KeePass) ou, no mínimo, um documento criptografado guardado fora do servidor — se o servidor falhar, você precisa da senha para reinstalar o certificado.

Principais ERPs brasileiros e a configuração do certificado

Cada ERB tem sua tela específica, mas todos seguem o mesmo princípio: apontar para o certificado já instalado e informar a senha. Veja onde fica nos sistemas mais usados no Brasil:

SAP ECC e SAP S/4HANA: configuração via SPRO → NF-e → Cadastro de Certificados, com integração ao Adapter Engine para assinatura.
TOTVS Protheus: cadastro em SIGAFIS → Parâmetros → Certificado Digital; o sistema lê do repositório do Windows pela thumbprint.
Sankhya: módulo Sankhya-W em Certificado Digital, suporta tanto A1 quanto A3 com middleware.
Bling: em Preferências → Notas Fiscais → Certificado Digital, basta fazer upload do .pfx e digitar a senha — o Bling armazena o certificado em nuvem.
Tiny ERP: configuração em Configurações → NF-e → Certificado Digital com upload direto do arquivo.
Omie: aba Configurações → Certificado Digital, suporta apenas A1 (limitação de ERPs em nuvem que não acessam token físico).
Conta Azul: em Configurações → Notas Fiscais, upload do .pfx e senha.
SAP Business One: extensão fiscal via parceiros como TOTVS ou Mastersaf, com configuração no GRC Brazil.

Se o ERP for hospedado em nuvem (Bling, Tiny, Omie, Conta Azul), você só consegue usar e-CNPJ A1, porque o servidor que assina as notas está em datacenter do fornecedor — não há como conectar um token físico lá. Para ERPs on-premise (SAP, TOTVS, Sankhya), as duas opções funcionam, com preferência clara pelo A1 quando a emissão é automatizada.

Boas práticas de segurança do certificado no ERP

O certificado integrado ao ERP assina documentos em nome da empresa: é como entregar o carimbo digital do CNPJ ao sistema. Por isso, a segurança da chave privada é tão importante quanto a senha do administrador do servidor.

As práticas mínimas recomendadas pelo Instituto Nacional de Tecnologia da Informação (ITI) e adotadas pela S&E Soluções Digitais são:

Acesso restrito ao servidor: só administradores fiscais e de TI podem fazer login no host onde o certificado está instalado.
Não exportar a chave privada após a instalação, salvo para fins de backup criptografado.
Backup do arquivo .pfx em local protegido (cofre digital ou storage com criptografia em repouso), separado do servidor de produção.
Logs de assinatura: habilite no ERP o log de cada NF-e assinada, para auditoria. A SEFAZ pode exigir o XML autenticado a qualquer momento.
Renovação antecipada: comece o processo de renovação do e-CNPJ A1 com 30 dias de antecedência ao vencimento; sem certificado válido, o ERP para de emitir NF-e e bloqueia o faturamento.
Revogação imediata em caso de comprometimento — entre em contato com a AC emissora para revogar o certificado e emita um novo.

Empresas que processam mais de 10.000 NF-e por mês costumam adotar HSM (Hardware Security Module) para guardar a chave privada, mas isso é opcional e não obrigatório pela ICP-Brasil. A grande maioria dos clientes da S&E Soluções Digitais opera com e-CNPJ A1 em servidor com permissões corretas, sem necessidade de hardware adicional.

Resumo

Integrar certificado digital ao ERP exige e-CNPJ A1 instalado no servidor (ou A3 em nuvem) e configurado no módulo fiscal do sistema, com a senha do certificado e as finalidades de uso (NF-e, NFS-e, NFC-e, CT-e).
O e-CNPJ A1 é o padrão para integração porque permite assinatura automática 24 horas por dia, sem token físico — ideal para ERPs em nuvem como Bling, Tiny, Omie e Conta Azul.
O e-CNPJ A3 em nuvem combina validade de até 3 anos com automação remota e funciona em ERPs on-premise (SAP, TOTVS, Sankhya).
A instalação em Windows usa o arquivo .pfx no repositório Pessoal ou Local Machine; em Linux, exige OpenSSL para converter para .pem.
Cada ERP tem uma tela específica de cadastro, mas todos exigem o mesmo conjunto: certificado, senha, CNPJ vinculado e finalidades.
Boas práticas: acesso restrito ao servidor, backup criptografado do .pfx, logs de assinatura e renovação com 30 dias de antecedência — orientações seguidas pela S&E Soluções Digitais, credenciada ICP-Brasil.

Para emitir ou renovar o e-CNPJ A1 ou A3 que vai integrar com o seu sistema ERP, conte com a S&E Soluções Digitais. Somos credenciados ICP-Brasil, atendemos todo o Brasil por videoconferência e orientamos a instalação do certificado no seu servidor ou ERP em nuvem. Confira nossos planos e fale com um especialista.

Perguntas Frequentes sobre integrar certificado digital em sistema ERP

Qual certificado digital usar no ERP: A1 ou A3?

Para emissão automática de NF-e em ERP, use o e-CNPJ A1 (arquivo .pfx no servidor) — ele dispensa token físico e assina 24 horas por dia sem intervenção. O A3 em nuvem também funciona para automação; o A3 em token físico não é recomendado para ERPs em nuvem porque o servidor está em datacenter remoto.

Posso usar o mesmo e-CNPJ em vários ERPs ao mesmo tempo?

Sim. O e-CNPJ A1 pode ser instalado em mais de um servidor ou ERP simultaneamente, desde que o CNPJ emitido seja o mesmo. Já o A3 em token físico só funciona onde o dispositivo está conectado; o A3 em nuvem permite múltiplos acessos remotos.

O ERP em nuvem é seguro para armazenar meu certificado A1?

Sim, desde que o fornecedor seja confiável e ofereça criptografia em repouso e em trânsito. Bling, Tiny, Omie e Conta Azul armazenam o .pfx em datacenters certificados. Em todo caso, mantenha um backup do .pfx em local separado para reinstalação em caso de troca de fornecedor.

Preciso reinstalar o certificado no ERP toda vez que renovar?

Sim. A cada renovação do e-CNPJ A1 (1 ano) ou A3 (até 3 anos), você recebe um novo arquivo ou novo certificado vinculado ao token/nuvem, e precisa cadastrar o novo certificado no ERP, substituindo o anterior. A S&E Soluções Digitais entrega o certificado renovado pronto para nova instalação no mesmo dia.

O que acontece se o certificado vencer com o ERP em produção?

O ERP para de emitir NF-e imediatamente — a SEFAZ rejeita qualquer documento assinado com certificado vencido. Por isso a renovação deve ser feita com no mínimo 30 dias de antecedência ao vencimento, evitando paralisação do faturamento.

A integração do certificado no ERP é cobrada à parte?

Depende do fornecedor do ERP. A emissão do e-CNPJ pela S&E Soluções Digitais não inclui configuração no ERP, mas a equipe orienta o cadastro nos sistemas mais usados (SAP, TOTVS, Bling, Tiny, Omie). A configuração técnica no ERP é normalmente feita pelo parceiro de implantação do sistema ou pela TI interna.