Termos mais procurados:
Boa tarde <@!685103400672821260>, é isso que o <@!747457595060650014> comentou mesmo, são feitas duas requisições: 1ª sem o nosso certificado(deve ser recusada) e a 2ª com o certificado(deve se ser aceita). Pelo seu print a 1ª requisição foi aceita, então o nosso sistema entende que não tem o mTLS configurado.
Bom dia pessoal, montei um pequeno ambiente para testes do webhook, usei e modifiquei o nginx-proxy com acme-companion para poder gerar ssl com mtls. Criei 2 webhooks, um de prod e homlog que publica em uma fila e tem um worker consumindo (somente printa na tela) em .net que pode ser facilmente substituído por uma aplicação em outra linguagem. Acho que pode ajudar alguém... E caso queiram dar sugestão também... Vou criar a documentação ainda.
https://github.com/laenderoliveira/HubEventPix
Quem montou algo parecido relatou ter usado o API Gateway da Amazon, que permite fazer mTLS com CA privada como a da Gerencianet.
Eu acho que a melhor implementação desse tipo de coisa é seguir o exemplo da GN para nginx, e deixar na aplicação apenas um atendedor HTTP rodando em localhost para o qual o nginx faz proxy reverso. Aí você deixa todo o atendimento de https, incluindo a parte de mTLS, por conta do nginx.
Bom dia, alguém possui algum tutorial para configurar o mTLS para a linguagem Java?
usando o mtls.pix.ae como proxy não precisa de subdomínio diferenciado, pode mandar direto pro domínio que tá atrás do Cloudflare. e a restrição por IP não é uma necessidade, apesar de ser uma sugestão interessante. porém eu recomendaria que o cliente fizesse a consulta à cobrança na GN após o recebimento do callback, se tem a preocupação de notificação falsa, pois o IP do proxy pode mudar e como eu não armazeno nenhum dado de quem utiliza a solução, eu não teria como avisar com antecipação essa mudança.
Na verdade, tudo teria sido mais simples se o CloudFlare aceitasse o upload de um client certificate para fazer o mTLS. Em SSL/TLS, aba Client Certificates, é possível gerar um certificado para o cliente (o que é conceitualmente correto), mas não é possível carregar o que a GN fornece para que se faça esse teste.
Eu usaria CNAME, mas alguém que já fez preferiu IP por algum motivo. Os dois funcionam.
No nginx precisa criar um outro virtual host com mtls.exemplo.com.br e restringir o acesso ao IP do mtls.pix.ae.
No Cloudflare você configurar uma entrada DNS com proxy desabilitado, por exemplo mtls.exemplo.com.br. E na GN você informa o webhook como https://mtls.pix.ae/mtls.exemplo.com.br/
Então você precisar de uma alternativa. Pode ser o API Gateway do AWS, pode ser o proxy mTLS gratuito do pix.ae ...
Bom dia, <@!661729687180935182>! 😃
Não compreendi muito bem sua dúvida. É possível gerar QR Code dinâmico normalmente em servidores compartilhados também.
Ou você está se referindo à configuração do mTLS para o webhook em servidores compartilhados?
bom dia, depois de um pouco de trabalho o webhook nosso esta funcionando redondo numa instancia EC2 aws sem o ALB, mas precisava configurar um mTLS no ALB, ao botar o ALB na instancia o webhook para de funcionar, tem alguma sugestão para resolver isso?
Usar mTLS não é opcional. Desabilitar a checagem apenas transfere a responsabilidade de você fazer essa checagem na sua aplicação.
Boa noite! Pessoal, eu já consegui fazer toda a parte de geração do PIX, testei em produção com o valor de 0,01 e consegui pagar no aplicativo do meu banco, já até aparece lá no painel de vendas da GerenciaNet e tudo.
Eu configurei o webhook corretamente usando a biblioteca PHP da GerenciaNet usando a opção [x-skip-mtls-checking = true] porque não vou usar autenticação mTLS devido a restrições do meu servidor.
Para a implementação do recebimento das notificações, usei o script PHP que o <@!775350441965649951> me mandou. Já tem o subdiretório /pix e tudo direitinho.
O problema é que não estou recebendo nada lá. Para verificar se ALGUMA COISA está chegando, fiz até um log caso chegasse qualquer coisa naquele endereço, mas nada...
Alguém sabe me dizer o que posso fazer para tentar entender o que está acontecendo?
E pode ser algo menos óbvio que mtls.exemplo.com.br já que só você e a Gerencianet precisam saber o hostname exato. Poderia ser mdfjrhu4h13eqwnjdhfueqrq.exemplo.com.br .
Mas diferente do exemplo, como precisa configurar de forma diferente na Cloudflare, ficaria https://mtls.pix.ae/mtls.exemplo.com.br/
