Histórico de mensagens sobre certificado em pix

Influencia. Muitas aplicações com chaves e certificados testam isso.

Blz, <@!780500321994539068> , entendi... só que a mensagem diz que não pode carregar o certificado... nesse caso a permissão de escrita influencia?

Baixei o certificado emitido pela Gerencianet, mas na hora de testar (logo no início, quando tento gerar o token de acesso), me dá a mensagem:

Boa tarde pessoal.. eu solicitei em um ticket o certificado para fazer os testes com a API, vcs sabem se demora para a vcs gerarem o arquivo pra eu começar os testes aqui?

Estes client_id e client_secret são de desenvolvimento?
Verifique também se o certificado configurado é de desenvolvimento

O certificado de produção consegui converter, porem o de desenvolvimento da esse erro ai

Boa noite, quando tento gerar o certificado .pem a partir do .p12 mostra uma mensagem de erro, até agora não consegui resolver isso

e o header que você falou é o certificado em formato .pem

no php e etc direto pelo curl vc passa o path do certificado, mas no postman ta diferente

Bom dia pessoal n sei se alguem pode me ajudar mas o header x-client-cert-pem é o certificado em base64 ou algo assim? nao consegui encontrar nada a respeito

Só lembrando que o seu segmento é vetado nos atuais termos de uso da GN...

... a GN tem uma separação no painel por aplicações. Se você gerar um certificado para uma das aplicações e não para outra, já não vai conseguir usar a API na outra.

Eu só não lembro se tem como na criação de chave associar a uma aplicação específica. Tenho impressão que não.

para configurar o certificado no servidor

rsrs, saquei, vou pedir o certificado de prod entao rsrs 🙂

entendi, beleza, ah tá, eu uso o CA do certificado que eles emitiram pra mim pra verificar o certificado que eles estão me enviando?

então, to usando c#, transformando o certificado do endpoint em um x509certificate2 , tem um metódo Verify(), ele já não meio que faz todas essas verificações?

Retornando um Verify() true, conferindo o Issuer == "[email protected], CN=api-pix-h.gerencianet.com.br, OU=Infraestrutura, O=Gerencianet Pagamentos do Brasil Ltda, S=Minas Gerais, C=BR"

Restringindo também (como comentou) o IP, eu nem precisaria verificar o thumbprint? já estaria validado?

Se a CA da GN tiver um CRL, você pode checar se o certificado está valido nessa CRL.

De que o certificado é da CA raiz da GN. E quando ela fizer roll-over de CA, ter a velha e a nova até a velha ser phased out.

Mas se ele restringir o thumbprint do certificado final, vai ter surpresa em poucos meses... pq esse tende a mudar bem mais do que o da CA.

Pelo contrário, chaves privadas tem que ser trocadas de tempos em tempos. Então o que é esperado é que o certificado cliente seja assinado pela CA deles, e que seja trocado a cada 3 a 12 meses. Já o da CA, talvez a cada 2 a 5 anos, com algum período de sobreposição.

Fala galera uma dúvida, o certificado da GerenciaNet que vão enviar os webhooks, pra eu fazer a validação no recebimento do meu webhook, pode ser modificado com o tempo? Ou se for modificado vocês nos avisariam com antecedência? Pergunto isso, pois ou coloco direto o thumbprint pra fazer a validação ou então, vou escrever um código que a cada request que ele receber, pra verificar ele vai dar um get no {endpoint do certificado} calcular o thumbprint e conferir... Mas ai pra cada webhook que eu receber eu vou acabar floodando o endpoint do certificado de vocês