FAQ — Perguntas Frequentes
Geral
O que é o PKIGuardian?
O PKIGuardian é uma plataforma de Gerenciamento do Ciclo de Vida de Certificados (CLM) e Infraestrutura de Chave Pública (PKI). Ele automatiza a emissão, renovação, revogação e monitoramento de certificados digitais em todas as CAs, nuvens e dispositivos da sua organização — de servidores TLS a dispositivos IoT.
Qual a diferença entre o PKIGuardian e ferramentas como Venafi ou DigiCert?
O PKIGuardian oferece funcionalidades equivalentes às soluções enterprise, porém com preços transparentes e publicados, partindo de US$ 79/mês. Venafi e DigiCert não possuem planos self-service e exigem contratos enterprise a partir de US$ 60.000–100.000/ano. Além disso, o PKIGuardian possui IoT nativo, analytics com ML e um plano Guest gratuito para auto-hospedagem.
O PKIGuardian é open source?
Sim. O núcleo da plataforma é open source (licença Apache 2.0) e disponível no GitHub. O plano Guest é gratuito e pode ser auto-hospedado sem restrição de certificados ou usuários. Os planos pagos adicionam funcionalidades SaaS como analytics avançado, IoT, conformidade e suporte dedicado.
O PKIGuardian funciona on-premises?
Sim. O plano Enterprise pode ser executado localmente via Docker em minutos. O plano Enterprise inclui opção de implantação on-premises com suporte dedicado, incluindo implantação em ambientes air-gapped.
Certificados e CAs
Posso migrar certificados de outra ferramenta para o PKIGuardian?
Sim. A plataforma suporta importação de certificados via arquivo PFX/PEM ou por varredura de descoberta automática. Guias de migração a partir de Venafi, AppViewX e KeyFactor estão disponíveis na documentação.
Quais Certificate Authorities são suportadas?
O PKIGuardian suporta nativamente: Microsoft AD CS, Let’s Encrypt (ACME), DigiCert CertCentral, Sectigo/Comodo, Entrust, GlobalSign Atlas, EJBCA, HashiCorp Vault PKI, AWS ACM Private CA, Azure Key Vault e Google Cloud CA Service.
O PKIGuardian emite os próprios certificados?
O PKIGuardian é uma plataforma de gerenciamento, não uma CA. Ele se conecta às suas CAs existentes para orquestrar a emissão, renovação e revogação. Para ambientes self-hosted, você pode usar o EJBCA ou HashiCorp Vault como CA interna gerenciada pelo PKIGuardian.
Como funciona a renovação automática?
Você configura políticas por CA, tipo de certificado ou domínio definindo o número de dias de antecedência para renovação. O PKIGuardian monitora continuamente os vencimentos e solicita a renovação automaticamente via protocolo ACME, SCEP ou API da CA, sem nenhuma intervenção manual.
É possível usar o PKIGuardian para certificados de código-fonte (Code Signing) e S/MIME?
Sim. O PKIGuardian suporta gerenciamento completo de certificados Code Signing (integrado a pipelines CI/CD), S/MIME (email seguro), certificados SSH e certificados de assinatura de documentos.
Segurança e Conformidade
Como o PKIGuardian armazena chaves privadas?
Chaves privadas nunca são armazenadas em texto plano. A plataforma suporta armazenamento em HSMs (Thales Luna, SafeNet, AWS CloudHSM, Azure Managed HSM) e HashiCorp Vault. No modo sem HSM, as chaves são protegidas com criptografia AES-256 em repouso.
O PKIGuardian suporta autenticação com SSO corporativo?
Sim. A plataforma suporta SSO via SAML 2.0, OpenID Connect e integrações nativas com Microsoft Entra ID (Azure AD), Okta e ADFS, disponíveis nos planos Professional e acima.
Quais frameworks de conformidade são suportados?
PCI-DSS v4.0, ISO/IEC 27001:2022, SOC 2 Type II, GDPR (Art. 32), NIST SP 800-57 e HIPAA. Os dashboards são pré-configurados e prontos para exportação de evidências para auditores externos.
O PKIGuardian é FIPS 140-2 / FIPS 140-3 compatível?
Sim, quando configurado com um HSM certificado FIPS 140-2/3. O plano Enterprise inclui documentação de configuração para ambientes FIPS.
Como é feita a separação de dados entre tenants no modo multi-tenant?
O PKIGuardian utiliza isolamento de dados por tenant via query filters no ORM (Entity Framework Core), garantindo que consultas nunca retornem dados de outros tenants. O isolamento é validado por testes automatizados de segurança em cada release.
Integrações e API
Como faço para integrar o PKIGuardian com meu pipeline CI/CD?
O PKIGuardian possui GitHub Action oficial (
pkiguardian/issue-cert-action), templates para GitLab CI e Azure DevOps, e suporte a Certificate-as-Code via YAML. Consulte o Guia de Integração DevOps para exemplos completos.
Qual é o rate limit da API REST?
O rate limit varia por plano: Starter — 100 req/min; Professional — 500 req/min; Business — 2.000 req/min; Enterprise — sem limite configurado por contrato. Todas as respostas incluem os headers
X-RateLimit-RemainingeX-RateLimit-Reset.
Existem SDKs disponíveis?
Sim. SDKs oficiais estão disponíveis para Python (
pip install pkiguardian-sdk), JavaScript/TypeScript (npm install @pkiguardian/sdk), .NET/C# (dotnet add package PKIGuardian.SDK), Java (Maven/Gradle) e Go (go get github.com/pkiguardian/sdk-go).
O PKIGuardian tem webhooks?
Sim. É possível configurar webhooks para eventos como: certificado próximo de expirar, certificado renovado, certificado revogado, falha de renovação e novo dispositivo IoT registrado. Os payloads seguem o padrão CloudEvents.
Planos, Preços e Faturamento
O que conta como “certificado gerenciado” no limite do plano?
Cada certificado único ativo rastreado pela plataforma — seja emitido, descoberto por varredura ou importado manualmente. Certificados expirados e revogados permanecem no histórico mas não contam para o limite ativo.
Posso testar antes de assinar?
Sim. Todos os planos pagos oferecem 14 dias de trial gratuito, sem necessidade de cartão de crédito. Ao final do trial, você escolhe o plano e só então é cobrado.
Posso mudar de plano a qualquer momento?
Upgrade é imediato, com cobrança proporcional pelo restante do período. Downgrade entra em vigor no próximo ciclo de faturamento. Cancelamento pode ser feito a qualquer momento pelo painel de administração.
Existe desconto para faturamento anual?
Sim, 20% de desconto para qualquer plano pago com faturamento anual.
IoT e Dispositivos
O PKIGuardian suporta dispositivos IoT com recursos limitados (ex.: sensores LoRaWAN)?
Sim. O PKIGuardian suporta CoAP (Constrained Application Protocol) com EST-over-CoAP para enrollment de certificados em dispositivos com processamento e memória restritos, além de LoRaWAN e CMP (Certificate Management Protocol) para dispositivos industriais legados.
Como funciona o Zero-Touch Provisioning?
Dispositivos são registrados automaticamente ao serem conectados à rede. O processo usa QR code ou NFC para associar o dispositivo ao tenant correto, com atestado de identidade via TPM (Trusted Platform Module) para garantir a autenticidade do hardware. Nenhuma configuração manual é necessária após a configuração inicial do template.
É possível revogar certificados de uma frota inteira de dispositivos ao mesmo tempo?
Sim. O PKIGuardian suporta revogação em massa por grupo de dispositivos, tag, localização ou CA. A revogação é propagada automaticamente para todas as CRLs e responders OCSP configurados.
Suporte e SLA
Qual é o suporte incluído em cada plano?
Guest: fórum e GitHub Issues. Starter: email em horário comercial (resposta em até 2 dias úteis). Professional: email + chat (resposta em até 8 horas úteis). Business: suporte prioritário 8×5 com SLA de 99,9% de uptime. Enterprise: suporte dedicado 24×7 com SLA de 99,95% e Customer Success Manager.
Onde reportar bugs ou solicitar funcionalidades?
Bugs podem ser reportados via GitHub Issues. Sugestões de funcionalidades podem ser enviadas pelo portal de feedback ou diretamente para
product@pkiguardian.io.
Existe documentação em português?
Sim. A documentação técnica, guias de início rápido e este FAQ estão disponíveis em Português (PT-BR) e Inglês.