Histórico de mensagens sobre certificado

Boa tarde <@!727143156973436958>! Sim, o cliente vai abrir um ticket informando o número da conta(Caso o ticket não esteja associado a sua conta) o nome da aplicação e o ambiente que ele deseja o certificado.
Vamos retornar com o link do certificado e uma senha para libera-lo se for em produção. Não estamos retornando mais as credenciais, pois, são informações sensíveis do cliente e estas são as mesmas que a da aplicação que você informou na etapa anterior.
Sim, a chave Pix deve ser a mesma da conta Gerencianet em que você solicitou o certificado, gerada via nosso aplicativo.

Equipe GN, boa tarde!
Gostaria de confirmar o fluxo necessário para um usuário conseguir as credenciais (client id, client secret e certificado) do Pix.

i) Abrir um ticket no Gerencianet solicitando o envio do certificado da API Pix, informando ambiente de produção, a conta e o nome da aplicação desejada. O Gerencianet, irá responder com as chaves (tokens) necessários para configuração bem como um link para realização do download do certificado.
ii) A chave Pix deve ser vinculada a sua conta Gerencianet, que poderá ser feito pelo aplicativo.

Confere?

aquela chave .pem ali, é realmente necessária? se sim, ela tem que ser criada pela gente, por vocês ou por uma entidade certificadora?

Não foi feita nenhuma alteração que gerasse essa falha. Não sei ao certo de quando é a sua collection, mas você pode baixar a mais recente e tentar realizar a requisição, caso não funcione, eu verifico o seu certificado

Já para utilização do Pix, é necessário um certificado gerado por nós. Para isso, basta abrir um ticket acessando https://sistema.gerencianet.com.br/tickets/criar, e solicite o certificado para integração informando as seguintes informações.
Número da conta:
Nome da aplicação:
Ambiente: Homologação/Produção

Nesse link https://documenter.getpostman.com/view/13574984/TVetcm6R#0a6dfaa4-7375-4ec2-bc27-4d8c6b6b168f você encontra toda a explicação de como inserir o certificado e os consumos realizados pelo Postman

Isso mesmo, Renato. <@!585695073908293632>, pode ter sim SSL Lets Encrypt.

Neste caso, para que funcione em sua URL, você deve especificar a rota para exigir o certificado somente na rota /webhook. Da forma que está utilizando, irá exigir certificado a qualquer rota da sua URL

Para isso, para configurar utilize:

seudominio.com.br pode ter um SSL let's encrypt mas especificamente o endpoint seudominio.com.br/webhook precisa de configurações no webserver (Apache, Nginx, Lightspeed ou o que for) que exijam o certificado da gerencianet nas conexões entrantes (canal mTLS)

Eu dei uma olhada em sua resposta anterior, <@!775350441965649951> , entretanto, não faço as configurações do servidor, esse papel é um serviço terceirizado aqui na empresa. O certificado está sendo requisitado em uma rota específica, por exemplo: https://dominio.com.br/webhook
Não sei se isso vem ao caso, mas podemos utilizar o certificado SSL Lets Encrypt?

Como dito acima, quem gerencia o servidor é uma empresa terceirizada, mas não estou conseguindo passar a eles o que realmente eu preciso e/ou qual o problema..

Realmente pode ser algo na configuração do mTLS.
É isto mesmo, e deve conter também:

Para configurar o mTLS eu devo inserir no servidor:
SSLVerifyClient require
SSLVerifyDepth 3
SSLCACertificateFile /caminho_certificado/chain-pix-prod.crt

Ou eu preciso fazer alguma outra coisa?

pra ver se tá tudo no lugar (hostname, certificado, url, parâmetros)

mudou também o hostname (tirou o -h) além de trocar o certificado?

O arquivo do certificado está num diretório e tem as permissões que a biblioteca que você está usando tem acesso e acha permissível ?

O certificado de produção (o seu, não apenas a root ca) é diferente de desenvolvimento. Você já tem esse certificado ?

Você pode utilizar uma aplicação com Node por exemplo definindo uma porta e exigindo o certificado.

Já foi orientado e as credenciais não estão sendo enviados pela equipe, no entanto, a documentação estava desatualizada. Alterei para que o integrador informe o nome da aplicação e o ambiente para que possamos gerar o certificado.

Tenho outras integrações com a GN, essa alteração no meu servidor geraria algum problema com outros posts efetuados pela GN?
Além disso, teria a possibilidade de, ao invés do servidor requisitar o certificado, daria para que eu solicite o certificado por meio do código mesmo?

Já reclamei a mesma coisa, já prometerem adequar o procedimento lidando apenas com o nome da aplicação, mas continuam fazendo errado (e a resposta que confirma a geração do certificado ainda vem com Client_Id e Client_Secret de novo e é copiada por e-mail). Segurança zero nesse aspecto, GN...

Não precisa inserir em um local específico, você só precisa referenciar o diretório onde você baixou o certificado.
A privkey e o fullchain são gerados quando você configura o seu SSL com uma Autoridade Certificadora(Certificado que faz o seu domínio utilizar o HTTPS), caso já tenha você só precisa referenciá-los, caso não, pode utilizar um utilitário como Certbot.