Na verdade não é você que envia o certificado da GN. A GN conecta na sua URL e manda um certificado dela, que está assinado pela CA privada deles... e esse certificado de CA privada que você precisa ter na configuração para saber validar o certificado que eles apresentam.
Você envia um certificado do seu servidor, tipo webhook.exemplo.com.br, assinado por uma CA reconhecida no mercado.