Bom dia, @otherpaulo, tudo bem?
Neste caso seria preciso que você consiga referenciar o caminho em que estas chaves para o SSL serão criadas, sem isso você não conseguirá criar o servidor HTTPS em questão dessa forma. Você também pode buscar soluções de implementações de servidores HTTPS Node com o easyPanel e replicar em seu ambiente realizando os ajustes para que haja o mTLS
opa, bom dia! estou na parte de configuração do meu webhook pix onde preciso adicionar um certificado e uma key gerados pelo certbot, porém, no estou usando o easyPanel que ao realizar o deploy ele já cria um certificado ssl automaticamente e gostaria de saber se consigo dar continuidade na lógica mesmo não passando o cert e o key, deixando somente o ca da gerencianet.
const httpsOptions = {
cert: fs.readFileSync(""), // Certificado fullchain do dominio
key: fs.readFileSync("/"), // Chave privada do domínio
ca: fs.readFileSync(""), // Certificado público da Efí
minVersion: "TLSv1.2",
requestCert: true,
rejectUnauthorized: true, //Caso precise que os demais endpoints não rejeitem requisições sem mTLS, você pode alterar para false
};
Eu só preciso saber como configura skipe-mtls e não tem vídeos sobre isso
Oi, @freitas_73582. Bom dia!
Nos vídeos a seguir, você pode acompanhar como configurar o mTLS em um servidor apache, e também como definir sua webhook URL.
https://youtu.be/hdyUHzNwVLY?list=PLRqvcUTH2VsWufBmzOdTVeLEOTGrPNoiu
https://youtu.be/XB9bcZFTV3M?list=PLRqvcUTH2VsWufBmzOdTVeLEOTGrPNoiu
eu precisava de um supporte personalizado para configurar skipe-mtls
Se você usa AWS, pode usar o API Gateway da AWS que implementa mTLS.
Boa tarde, @marcosvinicius0759! Tudo bem?
Em nossa documentação explicamos como implementar sem a configuração do MLTS: https://dev.efipay.com.br/docs/api-pix/webhooks
Fica na seção Skip-mTLS
para eu não precisar configurar o mtls como faria ?
Não é pq seja serviço de Cloud que não tenha suporte a mTLS com CA privado. AWS e Oracle são duas que suportam.
olá Marcos, consegue configura sim sem precisar do mtls
ola boa tarde ? estava vendo um video sobre api de vocês , eu posso utilzar o webhook semprecisar configurar o mtls
public JSONObject configHook(){
JSONObject options = configuringJsonObject();
options.put("x-skip-mtls-checking", "true");
HashMap params = new HashMap<>();
params.put("chave", "2d9c6bfd-d19e-4123-8a35-c2f0caac55db");
JSONObject body = new JSONObject();
body.put("webhookUrl", "https://bde1-45-170-222-201.ngrok-free.app/webhook/");
try {
EfiPay efi = new EfiPay(options);
JSONObject response = efi.call("pixConfigWebhook", params, body);
System.out.println(response);
return response;
Mas aí seria TLS e não mTLS. Para ser mTLS, o ngrok precisaria checar se é certificado da Efí... então precisa do x-skip-mtls sim para esse ambiente dev.
desativa o pulo da checagem mtls e tenta de novo
JSONObject options = configuringJsonObject();
options.put("x-skip-mtls-checking", "true");
HashMap params = new HashMap<>();
params.put("chave", "minhachave");
JSONObject body = new JSONObject();
body.put("webhookUrl", "https://37c3-45-170-222-201.ngrok-free.app/webhook/");
try {
EfiPay efi = new EfiPay(options);
JSONObject response = efi.call("pixConfigWebhook", params, body);
System.out.println(response);
return response;
}catch (EfiPayException e){
System.out.println(e.getError());
System.out.println(e.getErrorDescription());
return null;
}
principalmente sobre mTLS
O que eu percebo mais é dificuldade com a questão de mTLS...
Sim, ngrok usando a opção X-Skip-mTLS-Check é uma opção para testes, sejam no ambiente de homologação ou de produção pra Efí. Só não vale usar em produção externa, pois a falta do mTLS te colocaria em oposição ao regulamento do Pix.
Mas basicamente, será necessário a inserção de uma chave pública da Efí em seu servidor para que a comunicação obedeça o padrão mTLS. No domínio que representa o seu servidor, você deverá configurar a exigência da chave pública (mTLS) que estamos disponibilizando, para que ocorra a autenticação mútua.
A Efí irá fazer 2 requisições para o seu domínio (servidor):
Primeira Requisição: Vamos certificar que seu servidor esteja exigindo uma chave pública da Efí. Para isso, enviaremos uma requisição sem certificado e seu servidor não deverá aceitar a requisição. Caso seu servidor responda com recusa, enviaremos a 2ª requisição.
Segunda Requisição: Seu servidor, que deve conter a chave pública disponibilizada, deverá realizar o "Hand-Shake" para que a comunicação seja estabelecida.
A não ser que você use o plano Enterprise da Cloudflare, não tem como configurar mTLS com o certificado da Efí lá.