Histórico de mensagens sobre mtls em pix

Pessoal, achamos o problema, graças ao amigo <@!620895261568401428> !

Para usar o serviço de mtls na amazon usando uma API Gateway, é preciso criar um Alias ( enão um cname comum). Ai sucesso!

Configura o mTLS e envia para testarmos

Oi Pessoal, bom dia!

Estamos com dificuldades em configurar o MTLS. Configuramos 3 host:

1) https://webhook.site/528aa31a-0858-4b51-b923-6a07f9f877c1
Resposta da API da Gerencianet:
{
"nome": "webhook_invalido",
"mensagem": "A autenticação de TLS mútuo não está configurada na URL informada"
}
Esse post chega em nosso ambiente: "evento": "teste_webhook".

2) https://mtls-pix.clicksign.me/pix - Sem MTLS - Não chega o POST ( "evento": "teste_webhook")
{
"nome": "webhook_invalido",
"mensagem": "A requisição na URL informada falhou com o erro: ERR_TLS_CERT_ALTNAME_INVALID"
}
Esse post não chega em nosso ambiente.

3) https://mtls-pix.clicksign.dev/pix - Com MTLS - Não chega o POST ( "evento": "teste_webhook")
{
"nome": "webhook_invalido",
"mensagem": "A requisição na URL informada falhou com o erro: ERR_TLS_CERT_ALTNAME_INVALID"
}
Esse post não chega em nosso ambiente.

o certificado eh o utilizado no MTLS ?

está com a mesma resposta, tenho um arquivo index.php que retorna uma string 200 que está com as permissões ok, e o header ja testei com x-skip-mtls-checking = true, x-skip-mtls-checking = false mais sempre da 403

Mandando de novo aqui...

Estou tentando fazer o hand-shake em minha url webhook mas acontece esses erros. A chave crt é a fornecida pela GN e a url "https://api.suasorte.com.br/webhook/pix" está configurada pela AWS API Gateway com mTLS configurado com a .crt que a GN também forneceu. O que ainda preciso fazer para que funcione isso? Eu não sei mais o que fazer... 😔

Estou tentando fazer o hand-shake em minha url webhook mas acontece esses erros. A chave crt é a fornecida pela GN e a url "https://api.suasorte.com.br/webhook/pix" está configurada pela AWS API Gateway com mTLS configurado com a .crt que a GN também forneceu. O que ainda preciso fazer para que funcione isso? Eu não sei mais o que fazer... 😔

Encontrei este tutorial aqui da AWS que ensina passo a passo a configuração com mTLS, outros integradores utilizarem ele, pode ser útil https://aws.amazon.com/pt/blogs/compute/introducing-mutual-tls-authentication-for-amazon-api-gateway/ . Vou buscar mais informações e retorno para você caso não consiga configurar.

O .p12 é para realizar as requisições como a autenticação, o .crt deve ser inserido em seu Virtual Host que vamos utilizar para enviar as requisições e verificar se o seu domínio está apto pra o hand-shake do mTLS.

Boa tarde pessoal. Eu estou implementando o retorno de callbacks para meu webhook através da API Gateway da Amazon AWS. Mas lá me pede o certificado em .pem para gerar a autenticação mútua. E a gerencianet me passa um arquivo .crt para que seja usado nessa autenticação. Como gerar o .pem para poder configurar corretamente meu mTLS?

é só você fazer em uma pasta que não precisa do mtls

Por enquanto só em produção.
Edit: mas você pode acionar você mesma o webhook para ver como seu sistema se comporta, só precisa fazer isso numa rota sem mTLS.

x-skip-mtls-checking (eu acho)

O teste está sendo feito sem o /pix. Talvez passar o x-skip-mtls-checking (ou a sua grafia correta) ajude.

@Efí, o erro “A requisição na URL informada falhou com o erro: ERR_TLS_CERT_ALTNAME_INVALID” parece estar relacionado com o certificado da Amazon.

Ele ocorre para os dois cenários a seguir:

Webhook COM mTLS hospedado na Amazon, com certificado HTTPS emitido pela Amazon:
https://mtls.menur.app/vbeta1/establishments/mana/pix

Webhook SEM mTLS hospedado na Amazon, com certificado HTTPS emitido pela Amazon:
https://mtls.api.menur.app/vbeta1/establishments/mana/pix

Entretanto se acessar SEM mTLS com hospedagem no Heroku e certificado Let’s Encrypt o erro que dá é esperado:
https://api.menur.app/vbeta1/establishments/mana/pix

"A autenticação de TLS mútuo não está configurada na URL informada"

E agora? Vocês poderiam verificar o motivo? Obrigado!

Agora está certo sim: https://www.ssllabs.com/ssltest/analyze.html?d=mtls.menur.app

Qual dos dois seria o PEM correto para colocar como truststore para o mTLS? Lembrando que a AWS pede uma truststore, e ainda no formato PEM.

<@!620895261568401428> Você precisa gerar um certificado válido para

O meu testador preferido de SSL é este:
https://www.ssllabs.com/ssltest/analyze.html?d=mtls.menur.app&s=54.156.62.10&ignoreMismatch=on&latest

Olá, @Efí

Ainda na labuta do Webhook em ambiente PaaS. Fiz os seguintes passos e creio estar quase lá:

- Criei uma conta na Amazon para o projeto
- Cadastrei o cartão de crédito
- Provisionei o Amazon API Gateway
- Configurei um custom domain nele
- Configurei o domínio no meu Registrar
- Habilitei o custom domain no API Gateway
- Criei certificado e habilitei o HTTPS
- Baixei o cert webhook da Gerencianet
- Criei uma Trust Store PKCS12
- Coloquei a cadeia da GN lá
- Converti a TS para o formato PEM
- Provisionei um armazenamento Amazon S3
- Subi a TS.pem
- Finalizei a configuração do custom domain
- Ativei o mTLS neste domínio
- Criei uma rota de API para o meu server
- Associei a rota ao custom domain com mTLS

Fui configurando e testando a cada passo. Quase tudo funcionando. A única coisa que não consigo é fazer uma requisição client para testar o mTLS já que não tenho o cert client do webhook.

Então…

- Invoquei o serviço PUT /webhook/{chave} passando no body a url e recebi o seguinte body com o status 400:

{
"nome": "webhook_invalido",
"mensagem": "A requisição na URL informada falhou com o erro: ERR_TLS_CERT_ALTNAME_INVALID"
}

Supus ser algum erro no pem que usei para configurar o mTLS. E já experimentei o seguinte:

- Usei exatamente o CRT que baixei das docs da GN
- Fiz a conversão como citei acima (criando a TS)

Se vocês puderem fazer uma requisição mTLS com o certificado client correto para testar, a UTR é esta:

POST https://mtls.menur.app/vbeta1/establishments/mana/pix

O serviço está retornando 204 fixo para qualquer body json (não obrigatório).

Alguma luz? 🙏