Termos mais procurados:
Enquanto você estiver testando sem mTLS, true.
A URL chamada é a que você passa na chamada e basta retornar um código HTTP válido. Aí quando vier pagamento a Efí adiciona /pix na URL e também basta retornar um código HTTP válido.
Estou em fase de desenvolvimento, e tentando sem a validação mTLS. O parâmetro x-skip-mtls-checking deve ficar true ou false? a url passada precisa retornar algo no exato momento da configuração do webhook, isto é a Efí já realiza alguma consulta ao meu webhook?
Você pode, @brun06830, mas é altamente recomendado que você faça algumas validações próprias, como verificar se quem está comunicando com você é a Efí pela verificação de IP, e também pela utilização de chaves conhecidas por você. Em nossa documentação você encontra mais detalhes sobre o skip-mTLS: https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls
Boa tarde, @brun06830! Tudo joia?
Vai ser preciso verificar na documentação da plataforma, se é possivel configurar o mtls.
Caso não seja, você consegue cadastrar uma URL para receber notificações, sem que seja realizado a validação mTLs
ja configurei mtls e tudo, quando executo o arquivo via navegador ele faz a função dele, porem quando pago, mesmo registrado o webhook não faz o acionamento da url cadastrada
Temos este vídeo mostrando um exemplo de configuração com servidor Apache e mTLS: https://www.youtube.com/watch?v=hdyUHzNwVLY&list=PLRqvcUTH2VsWufBmzOdTVeLEOTGrPNoiu&index=14
Olá @rodrigoataides ! Tudo bem? Em seu domínio que representa o seu servidor, deverá ser feita uma configuração para exigir a chave pública (https://pix.sejaefi.com.br/webhooks/chain-prod.crt) para que ocorra a autenticação mútua. Disponibilizamos alguns exemplos de configuração de servidor na nossa documentação: https://dev.gerencianet.com.br/docs/api-pix-endpoints#exemplos-de-configura%C3%A7%C3%B5es-de-servidor . Você chegou a realizar essa configuração?
Caso opte por utilizar o atributo skip mTLS, ou seja, sem a validação mTLS no seu servidor, você deverá implementar medidas para garantir que quem está enviando as notificações ao seu servidor é de fato a Efí. Disponibilizamos algumas sugestões aqui: https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls
Isso significa que esse servidor é bom apenas para homologação, não para produção... o regulamento do Pix exige usar mTLS.
Boa noite pessoal, tudo bem?
Por limitações do servidor que estou usando vou ter que usar o header x-skip-mtls-checking. Criei o webhook com um hash ao fim da URL como consta na documentação. Já fiz a verificação se o ip que envia o callback é o ip do Efí (34.193.116.226). Como posso agora fazer a verificação se o hash corresponde com o que inseri no webhook?
Não, achei que x-skip-mtls-checking = true significava que a config do apache fosse desnecessaria.
OI, @victorzac. Neste caso, você pode usar o parâmetro x-skip-mtls-checking = true no header da requisição de registro do webhook. Segue a documentação:
https://dev.gerencianet.com.br/docs/api-pix-endpoints#skip-mtls
Vale ressaltar que, caso opte por utilizar o atributo skip mTLS, ou seja, sem a validação mTLS no seu servidor, você deverá implementar medidas para garantir que quem está enviando os webhooks ao seu servidor é de fato a Efí.
Pode me indicar um tutorial /passo a passo/ link para me orientar a implementar o webhook e mTls em meu servidor que é compartilhado
Obrigado pelos links, na documentação continua os antigos, no entanto ao alterar o crt continuo com o mesmo erro ao validar o certificado: FAILED:unable to verify the first certificate 😕
Vou tentar usar o skip-mTLS
Bom dia, @sarmanho.. Como vai?
Recomendo o usa da SDK de PHP. Basta fazer a instalação e inserir suas credenciais conforme descrito em nosso GitHub (https://github.com/gerencianet/gn-api-sdk-php). Apos a configuração, pode usar o exemplo (https://github.com/gerencianet/gn-api-sdk-php/blob/master/examples/pix/cob/pixCreateImmediateCharge.php) para criar a cobrança Pix.
Para o recebimento de notificação, você vai precisar de um servidor configurado com mTLS. Para fazer isso, recomendo acompanhar o vídeo Configurando servidor Apache e mTLS (https://youtu.be/hdyUHzNwVLY?list=PLRqvcUTH2VsWufBmzOdTVeLEOTGrPNoiu). Veja a playlist completa do curso (https://youtube.com/playlist?list=PLRqvcUTH2VsWufBmzOdTVeLEOTGrPNoiu).
Entendi, se eu ativar a função "x-skip-mtls-checking", Funcionará normalmente? ou pode ter algum tipo de problema?
Boa tarde, @leonardo.amaral!
Tudo joia? Você precisa configurar o mTLs em seu servidor. Em nossa documentação explicamos este proceso.
Segue o link: https://dev.gerencianet.com.br/docs/api-pix-endpoints#webhooks
Entendi.
Existe a possibilidade de você remover a validação mTLs e adicionar um token na URL e quando for realizado alguma notificação, este token será informado na requisição.
Você consegue validar se o token que enviamos é o mesmo que você cadastrou e ai você consegue evitar notifcações de terceiros.
