Certificados de Autenticação para Conexões e Webhooks em APIs

para "consumir" a API, cada aplicação (par de client_id / client_secret), recebe um arquivo .p12 (contendo certificado + chave, que podem ser desmembrados em .cer e .key, se for necessário);

para receber os "callbacks" no seu endpoint de webhook, você precisa de um certificado específico para tal - este é único para todos os clientes.