Histórico de mensagens sobre Client_ID em pix

recebi junto com client_id e client_secret

<@!798679248633856000> Em seu ticket você nos informou o nome da aplicação, mas ela ainda não está criada em sua conta. Para isso, acesse nosso site, no menu API > Minhas aplicações você criará uma aplicação com o nome desejado, onde serão gerados 2 pares de chaves Client_Id e Client_Secret, sendo um par para utilização em ambiente de Produção e outro para Homologação. Após isto me informe que lhe retornamos com o certificado

Bom dia!
<@!798679248633856000> Para utilizar a API PIX precisa de um certificado gerado por nós.
Em nosso painel web, no caminho API > Minhas aplicações você criará uma aplicação que são gerados 2 pares de chaves Client_Id e Client_Secret, sendo um par para utilização em ambiente de Produção e outro para Homologação.

Abra um ticket acessando https://sistema.gerencianet.com.br/tickets/criar, e solicite o certificado para integração informando número da sua conta e nome da aplicação que criou.

Em nossa documentação(https://dev.gerencianet.com.br/docs) você encontra os nossos endpoints com explicações detalhadas, você pode verificar também a Collection da Gerencianet com todos os endpoints já configurados para o consumo (https://dev.gerencianet.com.br/docs#section-collection-postman-gerencianet-api-pix).

Você citou que "Vi também, se não estou enganado, que não é possivel gerar uma cobrança que não seja para o "dono" da conta GN."
Se você não tem acesso ao certificado, Client_Id e Client_Secret de uma conta/chave não conseguirá fazer nenhuma cobrança relativa a essa conta/chave.

para "consumir" a API, cada aplicação (par de client_id / client_secret), recebe um arquivo .p12 (contendo certificado + chave, que podem ser desmembrados em .cer e .key, se for necessário);

para receber os "callbacks" no seu endpoint de webhook, você precisa de um certificado específico para tal - este é único para todos os clientes.

example.com/pix?Client_Id=ASD

A solução encontrada pela Gerencianet foi enviar o Client_Id como parâmetro.

function getAccessToken($pix_url_auth, $arq_certificado, $client_id, $client_secret)
{
/
# Esta rotina consome um endpoid POST da Gerencianet para realizar a geração do AccessToken
/

$curl = curl_init();

$authorization = base64_encode("$client_id:$client_secret");

curl_setopt_array($curl, array(
CURLOPT_URL => $pix_url_auth, // Rota base, desenvolvimento ou produção
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => "",
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => "POST",
CURLOPT_POSTFIELDS => '{"grant_type": "client_credentials"}',
CURLOPT_SSLCERT => $arq_certificado, // Caminho do certificado
CURLOPT_SSLCERTPASSWD => "",
CURLOPT_HTTPHEADER => array(
"Authorization: Basic $authorization",
"Content-Type: application/json"
),
));

$response = curl_exec($curl);

curl_close($curl);

return json_decode($response, true);
}

Equipe GN, boa tarde!
Gostaria de confirmar o fluxo necessário para um usuário conseguir as credenciais (client id, client secret e certificado) do Pix.

i) Abrir um ticket no Gerencianet solicitando o envio do certificado da API Pix, informando ambiente de produção, a conta e o nome da aplicação desejada. O Gerencianet, irá responder com as chaves (tokens) necessários para configuração bem como um link para realização do download do certificado.
ii) A chave Pix deve ser vinculada a sua conta Gerencianet, que poderá ser feito pelo aplicativo.

Confere?

Já reclamei a mesma coisa, já prometerem adequar o procedimento lidando apenas com o nome da aplicação, mas continuam fazendo errado (e a resposta que confirma a geração do certificado ainda vem com Client_Id e Client_Secret de novo e é copiada por e-mail). Segurança zero nesse aspecto, GN...

De na hora de ativar o webhook, eles tentarem com /pix?client_id=xxxxx, e fazerem fall-back para o anterior sem /pix se não der certo. Assim eles não precisam fazer uma virada de chave combinada, as pessoas vão migrando.

<@!671762828046106646> Alguma previsão de quando vai ser incluído o /pix? E em relação ao Client_Id?

Ter os Client_Id e Client_Secret sem o certificado .p12 não vale nada, não serve de nada na pratica.

Analisamos a sua demanda e nesse caso peço por gentileza que nos informe a conta que deseja que geremos o certificado. Nos informe também as credenciais (client_id e client_secret) de sua aplicação para podermos saber qual api deverá ser liberada para o consumo dos endpoints do pix.

Acabaram de pedir Client_Id e Client_Secret no chat

Super Dica de Ouro, já façam todos os seus testes com o Client_Id e Client_Secret e o Certificado .pem em modo PRODUÇÃO, pois em modo DESENVOLVIMENTO não podemos pagar o PIX para receber o retorno do WEBHOOK. #ficaadica 🙂 Bom Dia.

Ops. Defendo a GN. Todo o procedimento efetuado desde o o inicio até a geração final do PIX foi efetuada com toda cautela e segurança máxima no envio dos tokens e certificados. E mesmo que alguém pegue o meu Client_Id e Client_Secret em desenvolvimento ... vão fazer o que com eles ? Nada. 🙂

Fora que pedem para escrever Client_Id e Client_Secret no ticket, totalmente inseguro!!!

Nesse caso, pode pedir o cliente pra solicitar via ticket, informando o número da conta e client_id e secret da aplicação

com certificado de prod e Client_Id e CLient_Secret iguais aos utiilizados em hml