Histórico de mensagens sobre ssl em pix

voce fez a configuração no servidor que o webhook pede?

server {
#
# ...
#
listen [::]:443 ssl ipv6only=on;
listen 443 ssl;
ssl_certificate server_ssl.crt.pem;
ssl_certificate_key server_ssl.key.pem;
ssl_client_certificate /root/chain-pix-webhooks-prod.crt;
ssl_verify_client optional;
ssl_verify_depth 3;
#
# ...
#
location /webhook {
if ($ssl_client_verify != SUCCESS) {
return 403;
}
proxy_pass /webhook;
}
}
#Desenvolvido pela Consultoria Técnica da Efí

boa noite, alguém pode me ajudar com esta mensagem para api pix?
cURL error 58: could not load PEM client certificate from ../../../certs/meu_cert.p12, OpenSSL error error:0909006C:PEM routines:get_name:no start line, (no key found, wrong pass phrase, or wrong file format?) (see http://curl.haxx.se/libcurl/c/libcurl-errors.html)

onde gero o .pem de produção e homologação?

IP ? SSL não pode ser IP numérico

javax.net.ssl.SSLProtocolException: Received close_notify during handshake

OpenSSL SSL_connect: SSL_ERROR_ZERO_RETURN in connection to api-pix.gerencianet.com.br:443 alguém com esse erro.? sabe como resolver?

Boa tarde, fiz os testes para criar QRCodes de pagamento com cob normal, e consegui rodar tudo direitinho na minha máquina com Wampserver e Windows 10, porém quando tento rodar as mesmas páginas no servidor LINUX, as páginas retornam com erros no meu site, como está dando certo no meu pc não é o código que está errado, acredito que seja a configuração do servidor LINUX, as permissões, teria algum link contendo as informações para alterar as configurações do servidor? Tipo 1 manual de instruções? Eu estou usando o material da Efí mesmo, aquela pasta 'exemplo-pix'. Um dos erros que aparecem lá é "cURL Error #:could not load PEM client certificate, OpenSSL error error:02001002:system library:fopen:No such file or directory, (no key found, wrong pass phrase, or wrong file format?)", o caminho está certo, pois quando copio e colo no navegador ele retorna o certificado corretamente

Que no SSL Test, se sua configuração de mTLS estiver certa, vai dar uma mensagem de erro de que a conexão falhou. Como no seu não tem isso, significa que na hora que a Efí fizesse o teste de mTLS, ia te dizer que mTLS não está configurado.
Mas não é o seu problema, ainda.

O que https://www.ssllabs.com/ssltest/ mostra dessa URL ?

server {
#
# ...
#
listen [::]:443 ssl ipv6only=on;
listen 443 ssl;
ssl_certificate server_ssl.crt.pem;
ssl_certificate_key server_ssl.key.pem;
ssl_client_certificate /root/chain-pix-webhooks-prod.crt;
ssl_verify_client optional;
ssl_verify_depth 3;
#
# ...
#
location /webhook {
if ($ssl_client_verify != SUCCESS) {
return 403;
}
proxy_pass /webhook;
}
}
#Desenvolvido pela Consultoria Técnica da Efí

Tentando 54.242.231.66:443... Conectado ao pix-h.api.efipay.com.br (54.242.231.66) porta 443 (#0) ALPN, oferecendo http/1.1 CAfile: /etc/ssl/ certs/ca-certificates.crt CApath: /etc/ssl/certs Conexão SSL usando TLSv1.3 / TLS_AES_256_GCM_SHA384 ALPN, servidor aceito para usar http/1.1 Certificado do servidor: subject: C=BR; ST=MINAS GERAIS; L=OURO PRETO; O=EFI SA - INSTITUIÇÃO DE PAGAMENTO; CN=.api.efipay.com.br data de início: 17 de maio 19:31:27 2023 GMT data de expiração: 17 de junho 19:31:26 2024 GMT subjectAltName: host "pix-h.api.efipay. com.br" certificado correspondente ".api.efipay.com.br" emissor: C=BE; O=GlobalSign nv-sa; CN=GlobalSign RSA OV SSL CA 2018 Certificado SSL verificado ok. > PUT /v2/webhook/9f86e12a-370d-44dd-bd47-4b6a0b17bae5 HTTP/1.1 Host: pix-h.api.efipay.com.br User-Agent: GuzzleHttp/7 Content-Type: application/json Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 ..VrAQ4hHRYVRvl9dzWsvX79j_VvtOcz-fSvo0LxuaQgY api-sdk: efi-php-1.6.1 x-skip-mtls-checking: false Content-Length: 51 ID de sessão SSL antigo está obsoleto, removendo Marcar pacote como não compatível com multiuso < HTTP/1.1 400 Solicitação incorreta Conexão #0 ao host pix-h.api.efipay.com.br deixada intacta 400
webhook_invalido Uma URL informada respondeu com o código HTTP 400

Comparando com a configuração exemplo da Efí, o que tem de diferente ?

não tem jeito não estou conseguindo passar desta parte server {
#
# ...
#
listen [::]:443 ssl ipv6only=on;
listen 443 ssl;
ssl_certificate server_ssl.crt.pem;
ssl_certificate_key server_ssl.key.pem;
ssl_client_certificate /root/chain-pix-webhooks-prod.crt;
ssl_verify_client optional;
ssl_verify_depth 3;
#
# ...
#
location /webhook {
if ($ssl_client_verify != SUCCESS) {
return 403;
}
proxy_pass /webhook;
}
}
#Desenvolvido pela Consultoria Técnica da Efí

Trying 54.242.231.66:443... Connected to pix-h.api.efipay.com.br (54.242.231.66) port 443 (#0) ALPN, offering http/1.1 CAfile: /etc/ssl/certs/ca-certificates.crt CApath: /etc/ssl/certs SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 ALPN, server accepted to use http/1.1 Server certificate: subject: C=BR; ST=MINAS GERAIS; L=OURO PRETO; O=EFI S.A. - INSTITUICAO DE PAGAMENTO; CN=.api.efipay.com.br start date: May 17 19:31:27 2023 GMT expire date: Jun 17 19:31:26 2024 GMT subjectAltName: host "pix-h.api.efipay.com.br" matched cert's ".api.efipay.com.br" issuer: C=BE; O=GlobalSign nv-sa; CN=GlobalSign RSA OV SSL CA 2018 SSL certificate verify ok. > POST /oauth/token HTTP/1.1 Host: pix-h.api.efipay.com.br api-sdk: efi-php-1.6.1 User-Agent: GuzzleHttp/7 Content-Type: application/json Authorization: Basic Q2xpZW50X0lkXzlmMzFlNDA2MTE5MzkzZGJhYWRkMmEyN2FhOGM4YTVlYTdjZWY1ZTM6Q2xpZW50X1NlY3JldF83ZmM0MmU3NTMxNDgxY2UzYjcwNDg2NGIyZTJiZWI3YTQ5NGQyYjI5 Content-Length: 35 old SSL session ID is stale, removing Mark bundle as not supporting multiuse < HTTP/1.1 401 Unauthorized < Server: nginx < Date: Wed, 10 Jan 2024 16:00:20 GMT < Content-Type: application/json; charset=utf-8 < Content-Length: 80 < Connection: keep-alive < x-request-id: 411782c3-632f-4de9-9dda-b8f4231547f4 < vary: Origin < access-control-allow-credentials: true < cache-control: no-store < pragma: no-cache < www-authenticate: Basic realm="Efi",error:"invalid_client",error_description:"Invalid or inactive credentials" < etag: W/"50-mYFuecoP6wm/sG/LkLliU5qp17I" < Connection #0 to host pix-h.api.efipay.com.br left intact 401
invalid_client
Invalid or inactive credentials

vc diz o certificado p2 ou o ssl?

Essa é minha configuração atual:
server {
listen 443 ssl http2;
server_name pay.peticoesonline.com.br;
root /home/bichofresquim/public_html;
index index.php index.html index.htm;
ssl_certificate /etc/letsencrypt/live/pay.peticoesonline.com.br/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/pay.peticoesonline.com.br/privkey.pem;
#ssl_client_certificate /etc/letsencrypt/live/pay.peticoesonline.com.br/chain.pem;
ssl_client_certificate /home/paypo//chain-pix-prod.crt;
ssl_verify_client optional;
ssl_verify_depth 3;
include snippets/ssl.conf;
include snippets/security.conf;

location /webhook {
if ($ssl_client_verify != SUCCESS) {
return 403;
}
proxy_pass /webhook;
}

location / {
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header Accept-Encoding "";
proxy_pass http://apache;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Connection "Upgrade";
proxy_connect_timeout 600s;
proxy_send_timeout 600s;
proxy_read_timeout 600s;
proxy_ignore_client_abort on;

}

}

Comparando a sua configuração de Apache com a do exemplo da Efí (abaixo), o que é igual e o que é diferente ?

Putz! eu confundi o SHA com RSA e na hora de descrever aqui usei o SHA, três dias batendo a cabeça com isso e o raciocínio já não está legal..rs
de qualquer forma, na hora de gerar o client.pem, usei o sha512 em detrimento do sha256 e não obtive sucesso :
openssl x509 -req -in my_client.csr -CA RootCA.pem -CAkey RootCA.key -set_serial 01 -out my_client.pem -days 3650 -sha512

Oi, @ranulfosouza. De acordo com o que está no ssllabs do seu domínio, o certificado SSL está correto.
O certificado CA que foi mencionado, serio o utilizado para fazer o hand-shake do mTLS, que seria este https://pix.sejaefi.com.br/webhooks/chain-prod.crt.

eu segui o passo do tutorial da startto, lá usamos o .crt da gerencianet para concatenar com o certificado gerado pela openssl, resultando em um .pem usado no aws