CA Manager

Disponível

API de certificados mTLS para autenticação de parceiros B2B.

Emita, renove e revogue certificados mTLS via API REST. CRL e OCSP responder hospedados em CDN dedicada. Trilha de auditoria incluída. Construído para fintechs brasileiras que autenticam dezenas a centenas de parceiros B2B em integrações privadas, sem ter que operar PKI internamente.

Assinar no AWS MarketplaceLer a referência da API

O caso de uso

Autenticação de parceiros B2B, em produção.

Fintechs brasileiras que integram com ecossistemas de parceiros, processadores de pagamento, subadquirentes, clientes BaaS, consumidores de serviços financeiros, enfrentam o mesmo problema operacional: dezenas a centenas de conexões mTLS autenticadas por certificado para gerenciar.

Cada parceiro precisa de um certificado. Cada certificado tem um ciclo de vida. E cada evento desse ciclo é trabalho operacional que não diferencia o seu produto: emissão, renovação, revogação, consulta OCSP.

O caminho tradicional é montar a própria CA privada: escolher uma stack PKI, escrever scripts, configurar distribuição de CRL, custodiar a chave raiz em hardware dedicado, construir mecanismo de download presigned, escrever logs de auditoria, e manter tudo isso enquanto a sua base de parceiros cresce.

O CA Manager substitui essa stack inteira por uma API REST. A sua fintech mantém controle total sobre quais parceiros recebem certificados e quais são revogados. A Swepay cuida de tudo que não agrega valor ao seu produto.

Onde o CA Manager se encaixa na sua stack

Sua fintechSwepay CA Managerca.swepay.com.brInfra CA gerenciadaca-cdn.swepay.com.brManaged key custodyParceiros B2BmTLS · OCSPTRILHA DE AUDITORIA

O que vem na caixa

Ciclo de vida completo do certificado, gerenciado.

API REST para o ciclo de vida inteiro

Emita, renove, revogue e consulte certificados via uma única superfície de API. Autenticação JWT bearer. Sem formulários em portal, sem etapas de aprovação manual.

CA privada por tenant

Cada tenant Swepay tem uma CA privada dedicada, isolada dos outros tenants. Sua chave raiz é gerada em custódia criptográfica gerenciada e não é extraível. A sua hierarquia intermediária é sua.

CRL e OCSP em CDN dedicada

A Lista de Revogação de Certificados é publicada automaticamente conforme certificados são revogados, servida em ca-cdn.swepay.com.br com cacheamento de borda. O OCSP responder suporta as variantes POST (RFC 6960) e GET (RFC 6960 §A.1). CRL Distribution Points e Authority Information Access estão embarcados em cada certificado. Os clientes mTLS dos seus parceiros validam status de revogação sem acoplamento à API administrativa.

Quatro formatos de entrega por emissão

Cada certificado emitido é devolvido em quatro formatos na mesma resposta da API: PEM inline, URL pre-signed para baixar PEM, PFX em base64 com senha gerada, ou URL pre-signed para baixar PFX. Escolha o formato que cabe no runtime do parceiro, sem scripts de conversão.

Trilha de auditoria com retenção configurável

Toda chamada de API deixa registro de auditoria imutável. Retenção configurável por plano (30 dias a 1 ano). Consultável quando um auditor pede evidência, auditoria interna, regulatória, ou exigida por parceiro.

Billing via AWS Marketplace

Pague na sua fatura AWS. Assine em cinco minutos. Faça upgrade entre tiers sem ciclos de procurement. Cancele a qualquer momento.

Multi-tenant por design

Construído desde o dia um para fintechs que precisam de isolamento de tenant. Clientes, ambientes e pares de chaves são escopados por tenant da API até a camada de armazenamento.

De zero à produção

Seis passos, seis chamadas de API.

Um ciclo de vida completo de certificado, demonstrado. Autentique com um JWT bearer entregue após a assinatura no AWS Marketplace. API administrativa em https://ca.swepay.com.br; infraestrutura PKI (CRL, OCSP) em https://ca-cdn.swepay.com.br.

  1. 0. Inicialize sua CA (uma única vez)

    Antes de emitir certificados, inicialize a Autoridade Certificadora privada do seu tenant. A chave raiz é gerada e armazenada em custódia criptográfica gerenciada dentro da infra da Swepay, não acessível externamente, não extraível.

    Requestbash
    curl -X POST https://ca.swepay.com.br/v1/ca/initialize \
  -H "Authorization: Bearer ${SWEPAY_JWT}" \
  -H "Content-Type: application/json" \
  -d '{
    "commonName": "Your Fintech Root CA",
    "organization": "Your Fintech S.A.",
    "country": "BR",
    "validityYears": 10
  }'
    Responsejson
    {
  "caId": "8f3c9b2e-1a4d-4e5f-9c8a-2b3d4e5f6a7b",
  "certificatePem": "-----BEGIN CERTIFICATE-----\nMIIDXTCCAk...",
  "expiresAt": "2036-05-22T14:30:00Z"
}

  2. 1. Emita um certificado de cliente

    Forneça atributos de identidade. O CA Manager gera o par de chaves e devolve o certificado em quatro formatos de entrega, escolha a que se encaixa no seu runtime.

    Requestbash
    curl -X POST https://ca.swepay.com.br/v1/certificates \
  -H "Authorization: Bearer ${SWEPAY_JWT}" \
  -H "Content-Type: application/json" \
  -d '{
    "clientId": "partner_001",
    "commonName": "partner.example.com",
    "organization": "Partner Inc",
    "organizationalUnit": "B2B Integrations",
    "country": "BR",
    "validityDays": 365,
    "responseFormat": "Text",
    "passwordProtected": true
  }'
    Responsejson
    {
  "certificateId": "a1b2c3d4-5e6f-7a8b-9c0d-1e2f3a4b5c6d",
  "serialNumber": "01:23:45:67:89:AB:CD:EF",
  "certificatePem": "-----BEGIN CERTIFICATE-----\nMIIDXT...",
  "privateKeyPem": "-----BEGIN PRIVATE KEY-----\nMIIE...",
  "expiresAt": "2027-05-22T14:30:00Z",
  "pfxBase64": "MIIK1QIBAzCC...",
  "password": "p@ssw0rd-Gen3rated"
}

  3. 2. Consulte o status de um certificado

    Obtenha detalhes completos do certificado por ID, status, validade, contagem regressiva de expiração.

    Requestbash
    curl https://ca.swepay.com.br/v1/certificates/a1b2c3d4-5e6f-7a8b-9c0d-1e2f3a4b5c6d \
  -H "Authorization: Bearer ${SWEPAY_JWT}"
    Responsejson
    {
  "certificateId": "a1b2c3d4-5e6f-7a8b-9c0d-1e2f3a4b5c6d",
  "status": "Active",
  "issuedAt": "2026-05-22T14:30:00Z",
  "expiresAt": "2027-05-22T14:30:00Z",
  "daysUntilExpiration": 365
}

  4. 3. Revogue um certificado

    Revogue com motivo seguindo a RFC 5280. O certificado entra na CRL em minutos.

    Requestbash
    curl -X POST https://ca.swepay.com.br/v1/certificates/a1b2c3d4-.../revoke \
  -H "Authorization: Bearer ${SWEPAY_JWT}" \
  -H "Content-Type: application/json" \
  -d '{
    "reason": "Private key suspected compromised on partner side",
    "reasonCode": "KeyCompromise"
  }'
    Responsejson
    {
  "certificateId": "a1b2c3d4-5e6f-7a8b-9c0d-1e2f3a4b5c6d",
  "revokedAt": "2026-05-23T10:15:00Z"
}

  5. 4. Monitore certificados que vão expirar

    Consulte certificados que expiram dentro de uma janela. Útil para automação proativa de renovação.

    Requestbash
    curl "https://ca.swepay.com.br/v1/certificates/expiring?days=30" \
  -H "Authorization: Bearer ${SWEPAY_JWT}"
    Responsejson
    {
  "days": 30,
  "certificates": [
    {
      "certificateId": "...",
      "commonName": "partner.example.com",
      "expiresAt": "2026-06-15T14:30:00Z",
      "daysUntilExpiry": 24
    }
  ]
}

  6. 5. Lado do parceiro: valide via OCSP

    O cliente mTLS do seu parceiro consulta o OCSP responder na CDN durante o handshake. RFC 6960 padrão.

    Requestbash
    openssl ocsp \
  -issuer ca.pem \
  -cert partner-cert.pem \
  -url https://ca-cdn.swepay.com.br/v1/tenants/${TENANT_ID}/ocsp \
  -resp_text
    Responsejson
    Response verify OK
partner-cert.pem: revoked
  This Update: May 23 10:15:00 2026 GMT
  Revocation Time: May 23 10:15:00 2026 GMT
  Revocation Reason: keyCompromise (0x1)

Referência completa da API, spec OpenAPI e detalhes de arquitetura na página de desenvolvedores. Para perguntas técnicas, escreva para [email protected].

Pricing

Pague pelo que usar. Sem piso, sem surpresa em overage.

Os planos diferem pelo volume de certificados incluído. Todos os planos têm a mesma API, a mesma trilha de auditoria, o mesmo OCSP responder, o mesmo SLA de resposta de suporte. Assine e faça upgrade via AWS Marketplace.

Starter

$199/mês

Certificados inclusos
100
Overage
$2.25
Retenção de auditoria
30 dias
Suporte
E-mail, horário comercial
Indicado para
Fintechs começando com integrações B2B de parceiros
Assinar

Growth

$449/mês

Certificados inclusos
500
Overage
$1.02
Retenção de auditoria
90 dias
Suporte
E-mail, horário comercial
Indicado para
Fintechs escalando ecossistemas de parceiros
Assinar

Scale

$799/mês

Certificados inclusos
1,000
Overage
$0.90
Retenção de auditoria
180 dias
Suporte
E-mail + canal Slack
Indicado para
PSPs e adquirentes com programas de parceiros maduros
Assinar

Volume

$1,999/mês

Certificados inclusos
5,000
Overage
$0.49
Retenção de auditoria
365 dias
Suporte
E-mail + Slack + resposta prioritária
Indicado para
BaaS providers e grandes fintechs
Assinar

Quer ver o produto em ação antes?

Solicite uma demonstração guiada antes de assinar. Escreva para [email protected] com o seu nome, empresa e uma breve descrição do seu cenário de integração B2B. Agendamos um walkthrough técnico de 30 minutos.

Solicitar demonstração

Mais de 5.000 certificados por mês?

Fale com engenharia para um Private Offer do AWS Marketplace com volume customizado, suporte dedicado, SLA contratual e taxa de overage negociada.

Falar com engenharia

Avalie em um sandbox antes

Solicite um sandbox de 15 dias com 5 certificados para rodar emissão, OCSP e revogação contra a sua própria integração antes de assinar. Sem contrato no AWS Marketplace.

Solicitar acesso ao sandbox

Sejamos honestos sobre escopo

O que o CA Manager não é.

Infraestrutura financeira brasileira tem padrões que se sobrepõem. A gente quer que você saiba exatamente quando o CA Manager não é a ferramenta certa.

Posso usar o CA Manager para o Open Finance Brasil?

Não. O CA Manager é uma CA privada. Os certificados que ele emite não são confiados pelo diretório do Open Finance Brasil. Para Open Finance Brasil, obtenha certificados de provedores brasileiros estabelecidos como Soluti, Serpro, Certisign ou Valid Certificadora.

Posso usar o CA Manager para conexões Pix ou SPB?

Não. Integrações com DICT do Pix e SPB exigem certificados que o CA Manager não emite. Para esses cenários, siga o mesmo caminho do Open Finance: obtenha certificados de Soluti, Serpro, Certisign ou Valid Certificadora.

Posso usar certificados do CA Manager na internet pública?

Não. Os certificados do CA Manager são assinados pela sua CA privada, que não está nos repositórios de confiança de browsers ou sistemas operacionais. Eles são desenhados para mTLS entre a sua fintech e parceiros que você explicitamente confia. Para certificados TLS de internet pública, use Let's Encrypt, AWS Certificate Manager ou DigiCert.

Quem gera a chave privada dos certificados que eu emito?

O CA Manager gera o par de chaves no servidor no momento da emissão e entrega para você em uma de quatro formas, na mesma resposta da API: PEM inline, URL pre-signed para baixar o PEM, PFX em base64 com senha gerada, ou URL pre-signed para baixar o PFX. As URLs pre-signed expiram em curto prazo. A Swepay não retém a chave privada do certificado emitido após a entrega. A única chave que permanece na infra da Swepay é a chave raiz da CA do seu tenant, em custódia criptográfica gerenciada e não acessível externamente, inclusive não acessível para operadores da Swepay em operação normal.

Para que tipo de integração o CA Manager foi desenhado?

O CA Manager foi desenhado para autenticação mTLS de parceiros B2B em integrações privadas, onde a sua fintech define a relação de confiança contratualmente, gerencia o onboarding de parceiros, e opera o truststore de ambos os lados. Cenários típicos: processadores de pagamento autenticando sub-adquirentes, BaaS autenticando tenants, fintechs autenticando consumidores de serviços financeiros. O CA Manager não é desenhado para TLS de internet pública ou para cenários que exigem certificados confiáveis em browsers ou trust stores de sistemas operacionais.

O CA Manager é compatível com FAPI ou OAuth2?

O CA Manager é mTLS apenas. Ele não emite tokens OAuth2, não valida JWTs e não implementa OIDC. Para essa camada, veja o Native Guard, atualmente em validação técnica.

O CA Manager é usado em produção por processadores de pagamento brasileiros que autenticam integrações com parceiros B2B.

Quatro formas de começar.

Contratação direta via AWS Marketplace

Assine em cinco minutos. Credenciais JWT no seu e-mail. Emita o primeiro certificado hoje.

Assinar CA Manager

Veja antes de assinar

Solicite uma demonstração guiada de 30 minutos. Passamos pelo seu cenário de integração B2B, mostramos a API em ação, respondemos perguntas.

Solicitar demonstração

Contratos com volume e integração customizada

Para PSPs, BaaS providers e grandes fintechs com necessidades de volume customizado, assistência de integração ou SLAs contratuais.

Falar com engenharia

Teste em um sandbox

Um sandbox de 15 dias com 5 certificados. Rode emissão, OCSP e revogação contra a sua integração antes de assinar.

Solicitar acesso ao sandbox