Histórico de mensagens sobre certificado

então já possui esse certificado para um subdomínio, mas como eu configuro ele no servidor, para onde eu apontaria nas httpsOptions?

Dá para usar sim, mas tem que ter muito cuidado de nunca gerar um certificado com wildcard. Gere um certificado para um sub-domínio específico (ex: webhook.exemplo.com.br, api.exemplo.com.br).

Boa tarde pessoal, em relação a geração dos certificados no servidor, alguém já precisou utilizar com o certificado da aws pois estou utilizando load balance?

Da mesma forma que faz com nodejs, PHP, Ruby, curl etc... Você consegue com qualquer outra linguagem, bastante configurar seu servidor para receber os certificados, e cadastrar sua URL de callback, no meu caso implementei na minha aplicação em nodejs, usando o nginx conforme no vídeo acima que eu acabei de mandar aqui. Mais a lógica do retorno do webhook que vai vir pra URL que você cadastrou aí você é claro terá que implementar no nestjs de acordo com sua aplicação

O certificado pix vai ter que ser renovado né?

Bom dia.
Minha rota para gerar pix sem txid ta retornando "FALHA AO LER O CERTIFICADO", porém estava funcionando normal. Não mexi em nada... Mudou algo?

Você esta tentando autenticar e esta retornando 401? As suas credenciais (client_id e client_secret) e o certificado informado são do mesmo ambiente (produção)?

Na requisição do token precisa de clientid, clientsecret e certificado. E esses você deve ter colocado... mas nas demais, precisa do token e do certificado, não só do token.

Fiz tudo certinho, coloquei o certificado no postman, coloquei as client id e cliente secret, salvei uma environments tudo certin

Sim, o BACEN só estabelece comunicação com os participantes, através de uma rede segregada. A Gerencianet é uma das opções, mas a única a citar aqui pois é um servidor Discord da mesma.

As contas criadas via API de Contas permitem que você tenha acesso às credenciais e certificados, os clientes não precisam passá-los para você. Eles só precisam confirmar os dados cadastrais e que você irá gerar transações em nome deles.

Essa ultima eu nao sei se entendi. Somente os Participantes do PIX conseguem se comunicar com os servidores do BACEN? Então a única opção seria eu criar contas para os meus clientes na GerenciaNet? Se sim, como fica o processo de certificados e configurações da API PIX de cada novo correntista que eu criasse pela API de Contas? Há como fazer isso pela API de Contas? Ou eu deveria pedir pros meus clientes criarem a conta e configurarem?

Isso mesmo @dersonsena, o certificado do Certbot é configurado no seu servidor

Só para frizar, esse certificado que esta aí na requisição é o que a gerencianet nos fornece

https://www.edivaldobrito.com.br/como-gerar-certificados-ssl-lets-encrypt-usando-o-certbot/

O certificado precisa ser emitido por uma CA reconhecida, não auto-assinado.

certificado esta configurado corretamente

Não é certificado o problema aí... pode ter problema de certificado também, mas por enquanto é problema de configuração do webserver interno (aquele para o qual você manda via proxy_pass no nginx).

Como se não tivesse certificado

Sim... curioso que o request para eles deu (HTTP/1.1 502 Bad Gateway) , pior ainda que o 401/403 que a Gerencianet está tendo.

O que deu para notar, mas que não explicam os resultados com 401/403/502:
- Certificado wildcard para o domínio, e isso não pode ser usado na API Pix. O certificado deveria ser para api.dominio
- Configurações de ciphers TLS que apesar de atender ao mínimo da API Pix (incluir o TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256), tem muitos ciphers fracos. Seguir o especificado em https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29 deve melhorar isso.

Se você tira o location e tenta acessar via browser o endereço, o que acontece ?

Galera, além do arquivo nginx.conf, tem outro lugar que eu precise passar o certificado chain-pix-prod.crt?