Histórico de mensagens sobre certificado

"A Gerencianet irá fazer 2 requisições para o seu domínio(servidor).

1ª Requisição: Vamos certificar que seu servidor esteja exigindo uma chave pública da Gerencianet. Isso será feito ao enviar uma requisição sem certificado e seu servidor não deverá aceitar a requisição. Uma vez respondido com a recusa será enviado a 2º requisição.

2ª Requisição: Enviaremos a notificação junto com a nossa chave pública, o seu servidor que deve conter a chave pública disponibilizada deverá realizar o "Hand-Shake" e assim a comunicação ser estabelecida."

Caso contrário implementamos o certificado, handshake mas um bad actor poderia ignorar toda esta sequencia, já que está optional e não on ?

#atualização Mais um capítulo hoje da SAGA DO PIX. Podemos escrever nos nossos Diários "FIZEMOS PROGRESSO" e desta vez com o bendito do mTLS. Se você não tem a mínima noção de como ter : Um Servidor VPS no Brasil, a instalação dos Certificados de Desenvolvimento e Produção da GN, as duas habilitações do mTLS para o seu negócio ... PERGUNTE-ME COMO !!! mTLS , a segurança do seu sistema conversando com o webhook da Gerencianet, receba o seu retorno de webhook 🙂 Amanhã teremos mais um capítulo da mini-série = "Conversando com o webhook, um papo de valor" 🙂

É o mesmo, mas nós temos a chave privada que assina o certificado

Me pareceu que no caso da GN é o mesmo sim. Mas lembrando que o certificado é um par chave pública/chave privada, então para abrir uma conexão mTLS com ele precisa da chave privada da GN, não apenas da chave pública que está presente no certificado.

O certificado é o mesmo disponibilizado em nossa documentação. Para acontecer o Hand-Shake, o seu sistema deve apresentar o nosso certificado e vamos entregar o nosso também

O certificado utilizado para fazer o callback é diferente do certificado para receber?

<@!781944293739986984> Os únicos dois que funcionaram sem problemas no ambiente Windows foi o Rest Framework da Embarcadero e o NetHttpClient nativo o qual o mesmo framework foi baseado.
Em ambos os casos, é necessário implementar o evento OnNeedClientCertificate
(unit System.Net.Url.Client -> TNeedClientCertificateEvent -> procedure(const Sender: TObject; const ARequest: TURLRequest; const ACertificateList: TCertificateList; var AnIndex: Integer) of object)
do componente usado. Este evento é acionado quando ao comunicação solicita o certificado do cliente, então deve-se implementar uma lógica que indique qual certificado deve ser utilizado com base nos certificados carregados do storage do Windows, o qual são fornecidos como um parâmetro do evento (const ACertificateList: TCertificateList)
Então por via de regra, o certificado deve estar no storage, ou seja, instalado na maquina em questão.
Basta informar na variável Aindex o índice do certificado na lista.
O Windows e o componente cuidarão do resto.
Quanto a versões, o Framework só da acesso a este método no Delphi 10.2.2

no codigo falta so essa configuração do certificado

Este erro não é do certificado, da uma olhada nos outros parametros, voce importou o .p12 no postman ?

executei esse comando ---> openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes

Pessoal que é mais DevOps.. o servidor (apache) aqui do sistema que estou fazendo a integração com o Pix já possui o certificado ssl. Não tem como substituir o certificado que usamos pelo o disponibilizado da GN, então a solução seria criar um microserviço ou tem como dentro do VirtualHost (que usa um certificado A) informar um outro certificado para uma rota específica?

bom dia, eu converti a extensao do certificado de .p12 para .pem
porem não esta funcionando, alguem de vcs está com o mesmo problema?

No caso da API do Registro.br, que tem também TLS com certificados server-side e client-side, a gente já diz que precisa ser ambiente não compartilhado.

<@!781944293739986984> Para solicitar o certificado é só abrir um tiket através do link https://gerencianet.com.br/fale-conosco/ informando o número da sua conta e o nome da aplicação. Através do tiket enviaremos o arquivo .p12

openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes

o pessoal da gerencia net manda o certificado como .pem?

O mTLS é simples de configurar, aqui fizemos com apache, você cria um subdomínio pix.sualoja.com.br e faz a configuração do mTLS seguindo a documentação da gerencianet, é necessária a criação desse subdomínio pra não impedir o acesso ao dominio principal pois só quem possui a outra "parte do certificado" terá acesso que é a gerencianet, isso torna o ambiente bem mais seguro

se o mTLS estiver implementado corretamente (que é requisito pra Gerencianet validar o setup) e não mexer depois (tirar o requisito de certificado do endpoint do webhook) estará protegida contra isso

Acredito que não, pois só consegue acessar a url quem tiver o certificado, logo é a gerencianet