Além do certificado ssl, é necessário a autenticação mTLS. Você pode verificar na nossa documentação: https://dev.gerencianet.com.br/docs/atualizacao-tls-12
Termos mais procurados:
Histórico de mensagens sobre mtls
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Repetição do Processo de Criação com txid
- Configuração de URLs para Recebimento de Status
- Consulta de Chave PIX na API de Envio
- Implementação da SDK do Pix em Next.js ou React
- Problemas com Token em Ambiente de Homologação
- Implementação do Módulo Gerencianet no Perfex CRM
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Endpoint para Recuperar Saldo
- Atualização de informações no Retentiva de Cobrança
- Teste de Status de Pagamento em Ambiente de Homologação
- Autenticação com Certificado em NextJS
- Recebimento de Pagamentos via QR Code e Arduino
- Geração de payment_token pelo Postman e teste em homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Integrações com o Laravel e SDK de PHP da EFI
- Cobrança em Período de Teste Grátis de 7 dias
- Especificação da URL do Webhook no Exemplo Pix
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Retenção de Pagamento no PIX em Marketplace
- Utilização de Endpoints e Payload no Pix
- Cancelamento de Boleto e Remoção do DDA
- Acionamento de Webhooks em Pagamentos e Devoluções
- Funcionamento do Webhook em Ambiente de Homologação
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Boa tarde <@!685103400672821260>, é isso que o <@!747457595060650014> comentou mesmo, são feitas duas requisições: 1ª sem o nosso certificado(deve ser recusada) e a 2ª com o certificado(deve se ser aceita). Pelo seu print a 1ª requisição foi aceita, então o nosso sistema entende que não tem o mTLS configurado.
Bom dia pessoal, montei um pequeno ambiente para testes do webhook, usei e modifiquei o nginx-proxy com acme-companion para poder gerar ssl com mtls. Criei 2 webhooks, um de prod e homlog que publica em uma fila e tem um worker consumindo (somente printa na tela) em .net que pode ser facilmente substituído por uma aplicação em outra linguagem. Acho que pode ajudar alguém... E caso queiram dar sugestão também... Vou criar a documentação ainda.
https://github.com/laenderoliveira/HubEventPix
Quem montou algo parecido relatou ter usado o API Gateway da Amazon, que permite fazer mTLS com CA privada como a da Gerencianet.
Eu acho que a melhor implementação desse tipo de coisa é seguir o exemplo da GN para nginx, e deixar na aplicação apenas um atendedor HTTP rodando em localhost para o qual o nginx faz proxy reverso. Aí você deixa todo o atendimento de https, incluindo a parte de mTLS, por conta do nginx.
Bom dia, alguém possui algum tutorial para configurar o mTLS para a linguagem Java?
const credenciais = {
clientIdProducao: process.env.GN_CLIENT_ID,
clientSecretProducao: process.env.GN_CLIENT_SECRET,
pathCertProducao: process.env.GM_CAMINHO_CERT,
clientIdHomologacao: process.env.GN_CLIENT_ID_HOMOLOGACAO,
clientSecretHomologacao: process.env.GN_CLIENT_SECRET_HOMOLOGACAO,
pathCertHomologacao: process.env.GM_CAMINHO_CERT_HOMOLOGACAO,
sandbox: process.env.GN_SANDBOX,
validateMtls: process.env.GN_VALIDATE_MTLS
}
clientIdProducao: process.env.GN_CLIENT_ID,
clientSecretProducao: process.env.GN_CLIENT_SECRET,
pathCertProducao: process.env.GM_CAMINHO_CERT,
clientIdHomologacao: process.env.GN_CLIENT_ID_HOMOLOGACAO,
clientSecretHomologacao: process.env.GN_CLIENT_SECRET_HOMOLOGACAO,
pathCertHomologacao: process.env.GM_CAMINHO_CERT_HOMOLOGACAO,
sandbox: process.env.GN_SANDBOX,
validateMtls: process.env.GN_VALIDATE_MTLS
}
usando o mtls.pix.ae como proxy não precisa de subdomínio diferenciado, pode mandar direto pro domínio que tá atrás do Cloudflare. e a restrição por IP não é uma necessidade, apesar de ser uma sugestão interessante. porém eu recomendaria que o cliente fizesse a consulta à cobrança na GN após o recebimento do callback, se tem a preocupação de notificação falsa, pois o IP do proxy pode mudar e como eu não armazeno nenhum dado de quem utiliza a solução, eu não teria como avisar com antecipação essa mudança.
Na verdade, tudo teria sido mais simples se o CloudFlare aceitasse o upload de um client certificate para fazer o mTLS. Em SSL/TLS, aba Client Certificates, é possível gerar um certificado para o cliente (o que é conceitualmente correto), mas não é possível carregar o que a GN fornece para que se faça esse teste.
(direto para o site, sem usar o mtls.pix.ae)
Não é a GN, foi o BACEN que estabeleceu mTLS como requisito de segurança.
Eu usaria CNAME, mas alguém que já fez preferiu IP por algum motivo. Os dois funcionam.
No nginx precisa criar um outro virtual host com mtls.exemplo.com.br e restringir o acesso ao IP do mtls.pix.ae.
No Cloudflare você configurar uma entrada DNS com proxy desabilitado, por exemplo mtls.exemplo.com.br. E na GN você informa o webhook como https://mtls.pix.ae/mtls.exemplo.com.br/
Então você precisar de uma alternativa. Pode ser o API Gateway do AWS, pode ser o proxy mTLS gratuito do pix.ae ...
Bom dia, <@!661729687180935182>! 😃
Não compreendi muito bem sua dúvida. É possível gerar QR Code dinâmico normalmente em servidores compartilhados também.
Ou você está se referindo à configuração do mTLS para o webhook em servidores compartilhados?
bom dia, depois de um pouco de trabalho o webhook nosso esta funcionando redondo numa instancia EC2 aws sem o ALB, mas precisava configurar um mTLS no ALB, ao botar o ALB na instancia o webhook para de funcionar, tem alguma sugestão para resolver isso?
Usar mTLS não é opcional. Desabilitar a checagem apenas transfere a responsabilidade de você fazer essa checagem na sua aplicação.
Boa noite! Pessoal, eu já consegui fazer toda a parte de geração do PIX, testei em produção com o valor de 0,01 e consegui pagar no aplicativo do meu banco, já até aparece lá no painel de vendas da GerenciaNet e tudo.
Eu configurei o webhook corretamente usando a biblioteca PHP da GerenciaNet usando a opção [x-skip-mtls-checking = true] porque não vou usar autenticação mTLS devido a restrições do meu servidor.
Para a implementação do recebimento das notificações, usei o script PHP que o <@!775350441965649951> me mandou. Já tem o subdiretório /pix e tudo direitinho.
O problema é que não estou recebendo nada lá. Para verificar se ALGUMA COISA está chegando, fiz até um log caso chegasse qualquer coisa naquele endereço, mas nada...
Alguém sabe me dizer o que posso fazer para tentar entender o que está acontecendo?
E pode ser algo menos óbvio que mtls.exemplo.com.br já que só você e a Gerencianet precisam saber o hostname exato. Poderia ser mdfjrhu4h13eqwnjdhfueqrq.exemplo.com.br .
Mas diferente do exemplo, como precisa configurar de forma diferente na Cloudflare, ficaria https://mtls.pix.ae/mtls.exemplo.com.br/