Histórico de mensagens sobre mtls em pix

Bom dia Branco! No momento sim, pois, servidores compartilhados não permitem que o cliente faça a inclusão de nosso CA e sem o mesmo o mTLS não ocorre, impossibilitando o cadastro do webhook. Mas estamos discutindo outras formas de contornar essa situação para os clientes que tem servidores compartilhados.

Na hora que registra a GN tenta um acesso sem certificado cliente e com certificado cliente para validar o mTLS.

Bom dia <@!673655288204754953>! Como informado pelo Rubens é uma exigência do BACEN a utilização do mTLS por motivos de segurança. Segue um print do trecho do Manual de Padrões para Iniciação do Pix https://gnetbr.com/HkxzJKQoCw .

BACEN impõe mTLS. Certificado vem daí.

fora o mTls

no caso o certificado que colocamos pra dentro do mTls

se o request não for enviado com a chave privada da GN, seu sistema já barra por falta do mTLS, então o request nem chega "no seu código" pra vc fazer esse tipo de validação

eu estou fazendo a validação por meio do mTLS

você já tem essa validação por meio do mTLS, no caso do Pix. não precisa validar headers dessa forma

to quase partindo pra produção tb logo, mas quero ver esse lance do mtls antes

<@!671762828046106646> so me confirma... o certificado de dev do pix deveria autenticar no mtls? se não, talvez seja esse meu problema hahah

Pessoal, tem algum passo a passo no nginx de como configurar o mTLS? Uso NGINX na Cloud e meu nginx dá erro quando tento fazer um proxy pass para o servidor que uso para api do gerencianet

Tem nginx para Windows, não seria uma solução mais funcional ? O IIS pode ser acionado pelo nginx mas deixando o mTLS para o nginx.

<@!781134406680838216> alguém chegou a config mtls no IIS?

seudominio.com.br pode ter um SSL let's encrypt mas especificamente o endpoint seudominio.com.br/webhook precisa de configurações no webserver (Apache, Nginx, Lightspeed ou o que for) que exijam o certificado da gerencianet nas conexões entrantes (canal mTLS)

Realmente pode ser algo na configuração do mTLS.
É isto mesmo, e deve conter também:

Para configurar o mTLS eu devo inserir no servidor:
SSLVerifyClient require
SSLVerifyDepth 3
SSLCACertificateFile /caminho_certificado/chain-pix-prod.crt

Ou eu preciso fazer alguma outra coisa?

Seu mTLS não ta configurado corretamente.

É necessário que você insira o nosso CA também na configuração de seu servidor, esta mensagem ocorre quando o mTLS não está ocorrendo. Temos alguns exemplos de configuração em que o CA é informado e o servidor exige o certificado no momento do cadastro https://dev.gerencianet.com.br/docs#section-webhook.

Sim, precisa configurar o seu servidor para ter o mTLS, com o certificado que passei (producao) tem outro certificado para desenvolvimento se for o caso para usar, recomendo fazer tudo logo em producao.