Histórico de mensagens sobre mtls

então cuidade. Se tu tem acesso root, configurar o mtls é de boa

boa tarde pessoal! Para cadastrar webhook, o servidor que receberá as informações, precisa estar com o mTLS configurado. Eu entrei em contato com a locaweb para saber se no plano de hospedagem VPS deles, dá suporte à essa autenticação mTLS. o pessoal do suporte mandou o atendente me perguntar qual seria o nome do módulo para essa autenticação...
e, eu igual um zé mané não soube responder (até porque eu só faço as coisas, mas não sei o nome (teoricamente falando), só sei do que estou fazendo, praticando). Se alguém puder me quebrar essa aí, agradeço!

Boa tarde pessoal.

Desenvolvemos uma página para um cliente para visualizar os Pix que o mesmo recebe via chave/QR Code no caixa, já estamos com tudo funcionando corretamente, entretanto, não recebemos os webhooks da Gerencianet.

Já temos o servidor configurado com o certificado mTLS em perfeito estado, adicionamos via Postman o webhook, que inclusive foi validado tudo certinho, mas quando é enviado um Pix para a chave do cliente não recebemos a notificação.

É possível que tenhamos deixado passar algo? Nosso servidor não registra nenhum log de acesso vindo da Gerencianet.

Boa noite <@!691086570467622964> ! Você está obtendo esse retorno porque no header dessa requisição o parâmetro 'x-skip-mtls-checking' está setado como 'false' e o mTLS não está configurado no seu servidor.

Há dois mTLS distintos envolvidos: o do acesso e o de notificação. No do acesso, você usa seu certificado emitido pela Gerencianet para mostrar que você é você mesmo, e compara o certificado da Gerencianet com as CAs confiadas para saber se é a Gerencianet mesmo. No de notificação, você apresentar uma CA confiada e a Gerencianet apresenta um certificado dela emitido pela CA dela.

Coloquei no servidor de producao que tem o mtls configurarado.

E continuo recebendo:

java.io.IOException: Server returned HTTP response code: 403 for URL: https://api-pix.gerencianet.com.br/oauth/token

Java pra mim é café... 😉
Mas talvez comparar com esta lista: https://discuss.aerospike.com/t/how-to-use-mutual-authentication-tls-mtls-in-java/7314

Eu estava usando assim:

let options = {
sandbox: false,
clientIdProducao: process.env.clientIdProducao,
clientSecretProducao: process.env.clientSecretProducao,
validateMtls: false,
pathCertProducao: path.resolve(__dirname, '')
};

let gerencianet = new Gerencianet(options);



Alterei agora assim, e funcionou:

let options = {
sandbox: false,
client_id: process.env.clientIdProducao,
client_secret: process.env.clientSecretProducao,
validateMtls: false,
pix_cert: path.resolve(__dirname, '')
};

let gerencianet = new Gerencianet(options);

se você já possui nginx na sua aplicação, tenta criar uma configuração só para a URL do webhook seguindo o tutorial:
https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-entendendo-o-padr-o-mtls

tentamos implementar o mTLS diretamente na linguagem que utilizamos na aplicação (PHP), mas acabou ficando bem complexo devido a diversas camadas de proxy e firewall.
daí veio a idéia de subir um node com nginx só pra tratar as chamadas do webhook, tem funcionado muito bem

<@!374639640092737536> no meu caso, eu fiz no node com http e fiz a autenticação mTLS via Nginx

Você consegue ver detalhes sobre tal em nossa documentação https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-entendendo-o-padr-o-mtls

Boa Tarde <@!828703254900113409> !
Tudo bom ?
O mTLS é uma validação de segurança que fazemos

Bom dia, <@!832737541189926984>. Como vai?
Na Umbler ou Netlify você pode utilizar para configurar o webhook.
No caso da Umbler sei que tem servidores compartilhados para aplicações PHP. Neste caso, tem a possibilidade de configurar o webhook, mas com algumas limitações.
Já em uma VPS rodando node ou php por exemplo, você vai conseguir configurar o mTLS. Para isso você pode utilizar um de nossos exemplos que disponibilizamos em nossa documentação: https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-exemplos-de-configura-es-de-servidor

Alguém com experiência com cloudflare / webhook pix pode me auxiliar pfv?

To tentando criar um webhook pix em um subdomínio que NÃO está passando pelo proxy da cloudflare. Criei esse subdomínio especificamente pra não usar o proxy da cloudflare e evitar o problema de handshake com o mtls.
Criei e instalei um certificado válido da Let's Encrypt nesse subdomínio.
Porém quando eu tento chamar /v2/webhook/(minha chave) pra criar um webhook, meu servidor responde com um 403 nas 2 etapas da validação do webhook. No log do apache, recebo isso em ambas as etapas:

Beleza.
Para facilitar essa configuração com o Apache, uma dica seria configurar um subdomínio com o mTLS dedicado para o webhook, ex www.webhook.seu_dominio.com.br. Que com um subdomínio fica fácil fazer o redirecionamento do /pix. Veja um exemplo completo:

Uso o setup do mTLS recomendado na documentação da GN

Bom dia, <@!451559045543886860>. Te passei no privado alguns detalhes sobre o skip-mTLS em caso de hospedagens compartilhadas ou que possuem restrições com a inserção de nosso certificado.

Todo mundo aqui no canal que já citou Google Cloud foi com não solução disso. Uma alternativa para considerar:

Bom dia, tudo bem?
Preciso de uma ajuda com o mTLS do webhook pix.
Estamos usando o Google Cloud App Engine para a nossa solução

A documentação oficial diz "SSL support for your App Engine app goes above and beyond basic SSL by offering globally-distributed SSL endpoints and built-in load balancing to serve your app securely, reliably, and quickly to a worldwide audience." (https://cloud.google.com/appengine/docs/standard/nodejs/securing-custom-domains-with-ssl)
E aqui diz "Google Cloud load balancers don't support client certificate-based authentication (mutual TLS, mTLS)." (https://cloud.google.com/load-balancing/docs/ssl-certificates#ssl-certificate-limits)

Voces já solucionaram algum caso parecido? Têm alguma ideia de alternativa? Alguma sugestão doq fazer?

Desde já, muito obrigado 🙂