Histórico de mensagens sobre mtls em pix

Você poderia tentar com o mtls.pix.ae, que faz a terminação de mTLS da GN e chama uma URL sua.

Boa tarde pessoal tudo bem? Tenho um problema em relação ao WebHook, alguém já configurou o certificado mTLS na Azure?

Boa tarde, <@!666766641358438413>. Para receber notificações de Pix enviados e Pix recebidos é necessário tem um webhook associado a sua chave Pix, o webhook é cadastrado utilizando o endpoint (PUT /v2/webhook/:chave) e os detalhes para a configuração do servidor e sobre o mTLS você encontra aqui: https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-webhooks

As informações dos pagamentos recebidos, sim. Isso inclui quantas vendas você fez e quanto arrecadou, mas dados de clientes só se você pedir alguma coisa no campo solicitacaoPagador. Mas você recebe também, pois o mtls.pix.ae reencaminha.

mais as informações não iria para o site https://mtls.pix.ae ?

Uma alternativa é o pix.ae do @anoni_mato:

O problema é não haver suporte aparente do Firebase ou de qualquer recurso do GCE para mTLS. Eu já alertei uma pessoa do Google que o BACEN está pondo mTLS em tudo por aqui (Pix, Open Banking).

Boa tarde, não entendi muito bem, essa seria a configuração para recebimento das respotas do webhook ou para o cadastro do mesmo? Porque para o cadastro deve-se fazer uma requisição para PUT /v2/webhook/:chave informando o x-skip-mtls-checking": false, no cenário de hospedagem compartilhada. Posteriormente você vai precisar de uma rota para o recebimento das notificações do webhook, aí sim viria as configurações de request.socket.authorized.
Mais detalhes aqui: https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-webhooks
Caso queira, também disponibilizamos SDK's com todos os endpoints da API Pix disponíveis: https://github.com/gerencianet

´´´app.put("/webhook", (request, response) => {

response.set({ "x-skip-mtls-checking": false })
response.header("x-skip-mtls-checking", false)

let data = request.body;

if (request.socket.authorized) {
response.status(200).end(JSON.stringify(data));
} else {
response.status(401).end(JSON.stringify({ erro: "Não autorizado", data: data }));
}
});´´´

Texto interessante de um fabricante de equipamentos de balanceamento de carga sobre mTLS:
https://www.f5.com/labs/articles/education/what-is-mtls

Essa falha é referente a tentativa de cadastro em seu webhook, no entanto, não foi possível verificar o certificado (CA) da Gerencianet que pode ser obtido por este link (https://pix.gerencianet.com.br/webhooks/chain-pix-prod.crt) no caso de produção. Recomendo verificar a documentação do mTLS e os exemplos disponibilizados (https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-entendendo-o-padr-o-mtls).
Em resumo, a Gerencianet faz 2 requisições ao seu servidor, a primeira sem verificar o certificado e a segunda verificando. Seu servidor deve estar configurado para rejeitar a primeira e aceitar a segunda, fazendo um "hand-shake"

$config = [
"certificado" => "./gerenciamento.pem",
"client_id" => "XXXXX",
"client_secret" => "XXXXX"
];
$autorizacao = $chaveiro["access_token"];

$curl = curl_init();
curl_setopt_array($curl, array(
CURLOPT_URL => 'https://api-pix.gerencianet.com.br/v2/webhook/XXXXX',
CURLOPT_RETURNTRANSFER => true,
CURLOPT_ENCODING => '',
CURLOPT_MAXREDIRS => 10,
CURLOPT_TIMEOUT => 0,
CURLOPT_FOLLOWLOCATION => true,
CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
CURLOPT_CUSTOMREQUEST => 'PUT',
CURLOPT_SSLCERT => $config["certificado"], // Caminho do certificado
CURLOPT_SSLCERTPASSWD => $chaveiro["access_token"],
CURLOPT_POSTFIELDS =>'{
"webhookUrl": "https://XXXXX/webhook.php"
}',
CURLOPT_HTTPHEADER => array(
"Authorization: Bearer $autorizacao",
'x-client-cert-pem: ./gerenciamento.pem',
'x-skip-mtls-checking: false'
),
));
$response = curl_exec($curl);
curl_close($curl);
echo $response;

Olá!
Não estou conseguindo fazer funcionar seguindo a referencia desse segundo exemplo proposto na documentação.


:443> # Porta HTTPS
#
# ...
#

ServerName dominiodetestes.com.br
SSLCertificateFile /etc/letsencrypt/live/pixspeak.com.br/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/pixspeak.com.br/privkey.pem

# mTLS Gerencianet
SSLVerifyClient none

SSLVerifyClient require
SSLVerifyDepth 3


#
# ...
#



o retorno que recebo é o seguinte:

{
"nome": "webhook_invalido",
"mensagem": "A URL informada respondeu com o código HTTP 403"
}

____
porem se eu uso o primeiro modelo de exemplo que é indicado para sub-dominios, então funciona.
Enfim, preciso configurar o apache para que os certificados sejam solicitados apenas quando a url for (dominiodetestes.com.br/webhook), mas assim como comentado acima, mesmo usando o modelo da documentação, não estou conseguindo. O que será que estou fazendo de errado?

Mas nessa documentação e nas aí linkadas não diz como colocar uma CA privada e configurar mTLS para ela...

Não configura. Use um outro servidor para atender essa conexão, que pode ser um VPS seu mesmo, o API Gateway da AWS, o mtls.pix.ae do @anoni_mato...

Sim, o requisito de mTLS é checado também na homologação. O que é bom, quanto mais perto da produção sem ser produção, melhor.

certo, estou pesquisando para entender melhor como aplicar o mTLS ao Firebase, porém com dificuldade, uma vez que ele possui uma lib para as functions e já aplica um SSL.

mTLS é necessário sempre, independente do seu ambiente.

Para definir qual URL será o seu endereço de retorno, você deverá consumir o endpoint PUT /v2/webhook/:chave_pix passando no body da requisição o parâmetro webhookUrl com sua URL.

Complementando, é importante que em seu domínio que representa o seu servidor, esteja configurado a chave pública da Gerencianet para que ocorra a autenticação mútua (mTLS).
Você encontra mais detalhes em: https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-webhooks