Termos mais procurados:
Podemos levar essa sugestão de implementação para a nossa equipe, guardando o certificado gerado por vocês e exigindo o mesmo para a comunicação. Mas no momento o que está valendo é o nosso CA, você deve configurar o mesmo em seu VirtualHost para ter o hand-shake.
na comunicação com a API, quem escolhe o arquivo de certificado sou eu. aí tanto faz quem emitiu, raízes, etc, a implantação é igual. mas só a CA não é suficiente no caso dos webhooks. pq o CF vai ter que validar o certificado específico na hora que receber o callback no hostname
No caso do certificado, para facilitar a emissão e manutenção, uma vez que nem todos dispõem de recursos para tal, optamos pela geração dos certificados
aí eu poderia enviar o certificado para a GN e aplicar a regra de firewall no API Shield da Cloudflare pra rejeitar as conexões sem o certificado
é que o Cloudflare oferece o mTLS gratuitamente, mas o certificado precisa ser gerado do lado deles (com CSR gerado por eles mesmos ou com CSR fornecido)
O BACEN não especifica isso. O que sugerimos e está sendo considerado pela GN é dos clientes mandarem um CSR e receberem um certificado. Ter todos os certificados na mesma Sub-CA é uma medida de escalabilidade bastante razoável, IMHO.
somente a GN pode prover o certificado para o mTLS ou pode ser o oposto (nós provermos o certificado para a GN)?
tentei na caixa e deu isso:
Transação não concluída. O certificado vinculado ao QRCode não se encontra ativo no PIX.
alguém sabe como corrigir?
Como a cadeia de certificados foi mudada eu imagino que mais bancos tenham mudado. Tem um QR dinâmico aí da GN para testar ?
Estou usando java, mas Feign no lugar do restTemplate...o que é importante colocar o certificado na hora de fazer o request... tem que criar um SSLSocketFactory p/ considerar o certificado de prod/desenv
o curl tem um parâmetro pra indicar o arquivo do certificado SSL. aí vc tem que pesquisar sobre SSL / mTLS em Java (não tem exemplos no site da GN)
esse serviço da AWS aparentemente é agnóstico em relação à tecnologia que vc usa. ele só vai receber o request https:// (fechando o canal mTLS com o seu certificado) e repassar a comunicação pro seu backend
sobre o mtls usando o gateway api na aws...cria um custom domain name (esse é o cara q vc vai registrar no webhook)...e ativa o mtls...o certificado que vc baixa no site da GN vc coloca no s3
Depois de estudar muito, finalmente passei de ano. Com a geração do certificado .pem (produção) efetuado com sucesso hoje . Agora a pouco consegui criar o token de produção com sucesso 🙌 . Na tentativa de gerar a primeira cobrança sem o bendito do postman ,que já tem mTLS nele, recebo = forbidden ao tentar criar a cobrança. Começa agora o quinto capítulo da mini-série "Indoidando com o PIX" 🤣 . Capítulo = mTLS.
Hoje antes de dormi posso escrever no meu diário "Fizemos Progresso". Finalmente, e com muita paciência, persistência e estudo, consegui criar o abençoado do certificado .pem em produção (Alô Produção), para criar o token de geração de cobranças, eu não uso linux aqui na máquina que estou. Mais hoje tirei o dia para resolver isso, procurei muito e encontrei uma solução for windows do openssl = https://slproweb.com/products/Win32OpenSSL.html usei este instalador = https://slproweb.com/download/Win64OpenSSL_Light-1_1_1h.exe e usei este comando openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes
Finalmente gerou e funcionou normalmente o certificado de produção 🙂
Iniciei os testes da api pix gerencianet no postman, mas infelizmente retorna o erro 500, com todas as orientações da equipe executadas e certificado incluído (também já vi orientações do vídeo), caso este também já apresentado pelo usuário hobinwood. Alguém sabe o que pode ser?
