Histórico de mensagens

Quando você certifica uma URL, é gerado um par de chaves, a chave pública e a chave privada. A chave pública é a parte que você conta para os outros, a privada é a que você usa para descriptografar o que foi enviado.
O certificado é a sua chave pública, assinada pela chave pública da autoridade certificadora.
Mas quando chegam os dados, você precisa da chave privada para entender o que te mandaram.

essa chave privada do domínio seria o que?

eita

Não testa.

Mas como eu testo isso a nível local? Rodando servidor na minha máquina mesmo, com HTTP e não HTTPS?

Você precisa tanto de um certificado para a sua URL, quanto a CA pública da Gerencianet para garantir que é a Gerencianet acionando o webhook. Então parece certo o exemplo com 3 objetos de certificado diferentes.