Histórico de mensagens sobre certificados

oi <@!671762828046106646> . Pois é. já me certifiquei disso. Inclusive testei removendo-os e recebi o erro específico para o cenário em que esses certificados não existem.

sslOptions = {
key: fs.readFileSync('./ssl/ssls/pixblack_in.pem'),
cert: fs.readFileSync('./ssl/ssls/pixblack.in.crt'),
ca: fs.readFileSync('./ssl/ssls/chain-pix-prod.crt'),
minVersion: 'TLSv1.2', // força o uso de TLS da versão 1.2 para cima
requestCert: true, // força que o cliente envie um certificado de cliente (mtls)
rejectUnauthorized: false // rejeita clientes que não enviarem certificados válidos
};

Uma dúvida, os certificados de autenticação são os mesmos para quaisquer conexão, ou cada AppId e AppSecret recebe o seu certificado?

A respeito do discutido em https://discord.com/channels/775322853884821504/775328670784159744/796748024566120519:

A GN poderia oferecer na parte de API > Aplicações, uma opção para compartillhar os direitos de acesso à essa aplicação com um integrador parceiro por dentro da plataforma da GN, que poderia ver o client_id e client_secret e solicitar certificados.

Assim não dependeria do cliente fazer o processo de obtenção de credenciais, solicitar certificado, receber senha por SMS (que tem período de validade relativamente curto - 4 horas) e depois encaminhar tudo isso pro integrador por fora do sistema.

Ops. Defendo a GN. Todo o procedimento efetuado desde o o inicio até a geração final do PIX foi efetuada com toda cautela e segurança máxima no envio dos tokens e certificados. E mesmo que alguém pegue o meu Client_Id e Client_Secret em desenvolvimento ... vão fazer o que com eles ? Nada. 🙂

Os certificados para ambiente de produção e homologação são diferentes, você pode no Postman inserir os dois, cada qual para a url de autenticação de seu ambiente. Alguns certificados de produção foram gerados com o nome developer, isso pode levar ao entendimento de que seja de homologação.

Bom dia pessoal tudo bem? Estou com problemas para realizar a conexão mutua do TLS, já verifiquei a questão da versão do TLS, adicionei os certificados e tudo mais, porém quando tento adicionar o webhook ocorre erro de TLS. No ambiente de desenvolvimento funciona certinho tanto adicionar via PUT quando consultar via GET (não sei se validam da mesma forma). Porém no ambiente de produção ainda não obtive sucesso.

Pessoal boa tarde, estou preparando o ambiente para as chamadas em produtção. Além do certificados temos que solicitar um CLient_Id e Client_secret correto?

Sim, vou fazer essa implementação. Preciso testar os certificados com o Cloudflare

Ai complica, seria muito bom se este processo de certificados e tudo mais ficasse na responsabilidade da GN, ai só iriamos consumir a API da GN e não fazer uma ponte entre GN e Banco Central.. Não sei como é todas as regras mas está me parecendo que estamos indo direto no Banco Central para pegar estas informação...

Verifique se na em seu servidor está configurado para exigir a autenticação com o CA. Exemplo em node:

Pessoal, se puderem dar uma força com meu ticket 🙂 1633607 só preciso dos meus certificados de prod para desenvolver... É que se não vou ter que parar por hoje rsss..

Influencia. Muitas aplicações com chaves e certificados testam isso.

Isso mesmo. A plataforma está sendo finalizada, dessa forma já vai ajudar, uma vez que os certificados e credenciais serão gerados automaticamente. Não vai ser mais necessário abrir um ticket informando a aplicação para enviarmos o certificado .p12

Bom dia <@!291558720670924801> , agora pela manhã vamos emitir todos os certificados solicitados, em breve você irá receber o seu!

[#duvida] Tendo em vista que todos os certificados emitidos pela GN de validação do mTLS são iguais para todos os utilizadores , isso quer dizer que um outro utilizador pode de má fé tentar registrar uma outra rota de destino do webhook na GN e assim pode também enviar status de "RECEBIDA" para o utilizador atacado. Antes era um meio mTLS, agora serve para que mesmo este mTLS ? Se todas as chaves dadas pela GN são iguais para todos. Basta saber a chave .pem e ter o certificado .pem do atacado. Neste cenário , preciso esconder o máximo o nome da minha url de recebimento e o arquivo .pem gerado do meu .p12 . Correto ? Alguém desenha para que serve o mTLS ?

Boa noite. Você se refere à API Pix? Ela, sim, precisa de certificados (mesmo em homologação). A API principal de cobranças da GN (para boleto e cartão) só precisam do token e/ou do par de credenciais (Client_ID e Client_Secret), pelo que eu pude ver no SDK: https://dev.gerencianet.com.br/docs/instalacao-sdk-php

<@!440035527127990273> é isso mesmo que o Magno falou. Os certificados não são os mesmos. Você pode solicitar o certificado de produção por ticket ( https://sistema.gerencianet.com.br/tickets/criar ), informando o número da conta e o nome da aplicação que deseja ativar o Pix.

São certificados diferentes enviados , o de produção é um e o de dev é outro , com tokens diferentes. No ticket que você abriu solicitando o certificado eles enviam as informações e a senha por SMS no seu celular.

Os tokens de produção e desenvolvimento são diferentes sim:) E os certificados .p12 também 🙂