Boa tarde, @daniel.polifabro. Tudo bem?
Qual sua dúvida?
Você já possui um domínio apontado para algum servidor rodando Node, Apache, Nginx para que possa configurar o mTLS?
Termos mais procurados:
Histórico de mensagens sobre mtls
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Consulta de Chave PIX na API de Envio
- Implementação da SDK do Pix em Next.js ou React
- Configuração de URLs para Recebimento de Status
- Acionamento de Webhooks em Pagamentos e Devoluções
- Cobrança em Período de Teste Grátis de 7 dias
- Implementação do Módulo Gerencianet no Perfex CRM
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Repetição do Processo de Criação com txid
- Teste de Status de Pagamento em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Integrações com o Laravel e SDK de PHP da EFI
- Problemas com Token em Ambiente de Homologação
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Geração de Link de Pagamento e Reembolso
- Funcionamento do Webhook em Ambiente de Homologação
- Retenção de Pagamento no PIX em Marketplace
- Cancelamento de Boleto e Remoção do DDA
- Notificações de Pagamento de Boleto e Pix
- Integração de Pix no Bubble (Plataforma No-Code)
- Atualização de informações no Retentiva de Cobrança
- Utilização de Endpoints e Payload no Pix
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
A API de emissões não usa mTLS. Se tiver mTLS como obrigatório nessa URL, não vai funcionar.
Pode ser algo relacionado a configuração mTLS do meu servidor?
Experimente usar o exemplo da GN mas com "rejectUnauthorized: true". Aí na hora que nada mais no seu site funcionar, você vai saber que deu certo, pq vc estaria exigindo mTLS no site inteiro. Voltando pra false, aí entra a lógica que a GN fez para só exigir numa pasta específica.
O exemplo que tem na documentação da GN é assim:
const express = require("express");
const fs = require("fs");
const https = require("https");
var logger = require('morgan');
const httpsOptions = {
cert: fs.readFileSync(""), // Certificado fullchain do dominio
key: fs.readFileSync("/"), // Chave privada do domínio
ca: fs.readFileSync(""), // Certificado público da Gerencianet
minVersion: "TLSv1.2",
requestCert: true,
rejectUnauthorized: false, //Mantenha como false para que os demais endpoints da API não rejeitem requisições sem MTLS
};
const app = express();
const httpsServer = https.createServer(httpsOptions, app);
const PORT = 443;
app.use(logger('dev')); // Comente essa linha caso não queira que seja exibido o log do servidor no seu console
app.use(express.json());
app.use(express.urlencoded({ extended: false }));
// Endpoint para configuração do webhook, você precisa cadastrar https://SEUDOMINIO.com/webhook
app.post("/webhook", (request, response) => {
// Verifica se a requisição que chegou nesse endpoint foi autorizada
if (request.socket.authorized) {
response.status(200).end();
} else {
response.status(401).end();
}
});
// Endpoind para recepção do webhook tratando o /pix
app.post("/webhook/pix", (request, response) => {
if (request.socket.authorized){
//Seu código tratando a callback
/ EXEMPLO:
var body = request.body;
filePath = __dirname + "/data.json";
fs.appendFile(filePath, JSON.stringify(body) + "\n", function (err) {
if (err) {
console.log(err);
} else {
response.status(200).end();
}
})/
response.status(200).end();
}else{
response.status(401).end();
}
});
httpsServer.listen(PORT, () =>
console.log(Express server currently running on port ${PORT})
);
#Desenvolvido pela Consultoria Técnica da Gerencianet
const fs = require("fs");
const https = require("https");
var logger = require('morgan');
const httpsOptions = {
cert: fs.readFileSync(""), // Certificado fullchain do dominio
key: fs.readFileSync("/"), // Chave privada do domínio
ca: fs.readFileSync(""), // Certificado público da Gerencianet
minVersion: "TLSv1.2",
requestCert: true,
rejectUnauthorized: false, //Mantenha como false para que os demais endpoints da API não rejeitem requisições sem MTLS
};
const app = express();
const httpsServer = https.createServer(httpsOptions, app);
const PORT = 443;
app.use(logger('dev')); // Comente essa linha caso não queira que seja exibido o log do servidor no seu console
app.use(express.json());
app.use(express.urlencoded({ extended: false }));
// Endpoint para configuração do webhook, você precisa cadastrar https://SEUDOMINIO.com/webhook
app.post("/webhook", (request, response) => {
// Verifica se a requisição que chegou nesse endpoint foi autorizada
if (request.socket.authorized) {
response.status(200).end();
} else {
response.status(401).end();
}
});
// Endpoind para recepção do webhook tratando o /pix
app.post("/webhook/pix", (request, response) => {
if (request.socket.authorized){
//Seu código tratando a callback
/ EXEMPLO:
var body = request.body;
filePath = __dirname + "/data.json";
fs.appendFile(filePath, JSON.stringify(body) + "\n", function (err) {
if (err) {
console.log(err);
} else {
response.status(200).end();
}
})/
response.status(200).end();
}else{
response.status(401).end();
}
});
httpsServer.listen(PORT, () =>
console.log(Express server currently running on port ${PORT})
);
#Desenvolvido pela Consultoria Técnica da Gerencianet
Essas plataformas prontas dificilmente tem configuração versátil o suficiente para mTLS com CA privada... por isso que os exemplos da GN são para quem tem controle específico do webserver, seja Express, nginx, Apache etc.
Você precisa de 2 coisas para receber webhook:
1) Configuração do servidor web para que numa pasta ou sub-domínio seja exigido mTLS com CA da Gerencianet
2) Um atendedor nessa pasta ou sub-domínio para / e para /pix.
Então com seu servidor configurado com mTLS em seu domínio (ex: https://seudominio.com.br/webhook), você irá consumir o endpoint PUT /v2/webhook/:chave uma única vez para registrar seu webhookUrl vinculado à sua chave Pix.
Com isto, todo Pix gerado com sua chave Pix e que possua um txid, serão enviados as notificações para sua URL.
Uma opção para serviços onde não seja fácil configurar mTLS com CA privada é o mtls.pix.ae:
Pra quem tem dificuldades de implementar os webhooks por falta de suporte em hospedagem compartilhada para configurar mTLS, o Pix.ae agora oferece proxy de callbacks com mTLS.
Pra usar é muito simples: é só prefixar o seu domínio com mtls.pix.ae/. Por exemplo:
Para: https://exemplo.com.br/webhookpix
Use: https://mtls.pix.ae/exemplo.com.br/webhookpix
Obs: no ambiente de homologação, prefixe com mtls-h.pix.ae/
Pra usar é muito simples: é só prefixar o seu domínio com mtls.pix.ae/. Por exemplo:
Para: https://exemplo.com.br/webhookpix
Use: https://mtls.pix.ae/exemplo.com.br/webhookpix
Obs: no ambiente de homologação, prefixe com mtls-h.pix.ae/
E mesmo nos planos pagos mais baratos da Cloudflare também não tem mTLS com CA privada, só no plano Enterprise.
Estou em duvida de como configurar o mTLS. Estou utilizando a SDK do PHP
Sim, tem. A não ser que você tenha plano Enterprise da Cloudflare, ela não suporta mTLS com CA privada.
Não me parece que o Heroku tenha suporte a mTLS com CA privada, que é requisito para o webhook.
const httpsOptions = {
cert: fs.readFileSync(""), // Certificado fullchain do dominio
key: fs.readFileSync("/"), // Chave privada do domínio
ca: fs.readFileSync(""), // Certificado público da Gerencianet
minVersion: "TLSv1.2",
requestCert: true,
rejectUnauthorized: false, //Mantenha como false para que os demais endpoints da API não rejeitem requisições sem MTLS
};
Recebendo Callbacks
Esse serviço está protegido por uma camada de autenticação mTLS. Os callbacks são enviados pela Gerencianet via POST /pix quando há uma alteração no status do Pix.
O primeiro request é sem nada mesmo. Depois da GN confirmar o mTLS, aí (em produção apenas) o webhook é acionado em pagamentos.
Você também está integrando com API Pix ? As configurações de mTLS não se aplicam a assinaturas, e se vc tiver configurado os requisitos do mTLS, não vai receber notificações...
Bom dia <@!666766641358438413> ! Tudo bem?
Nesse link da nossa documentação você pode conhecer um pouco sobre o mTLS que é um padrão de segurança na utilização do webhook para o PIX
https://dev.gerencianet.com.br/docs/api-pix-endpoints#section-webhooks
ola boa tarde, estou com uma probleminha
estou realizando um pesquisa de carne pelo o id do carne e recebo a mensagem 'Unauthorized'
com as seguinte configurações de uso
sandbox: false,
client_id: secreto,
client_secret: secreto,
pathCertHomologacao: '',
validateMtls: false,
aplicação em javascript
estou querendo utilizar a base de dados real com os cliente cadastrados
Bom dia, <@!229769812740407296>! A exigência do mTLS hoje veio do próprio BACEN e para adequar as normas e requerimentos da API Pix realizamos tal exigência no cadastro do webhook. Você pode utilizar também o endpoint GET /v2/pix para consultar os Pix recebidos, no entanto, recomendamos que se atente a boas práticas de consumo e evite fazer um pooling de forma exacerbada, pois a nossa equipe de infraestrutura acompanha este tipo de consulta e pode levar a restrições no IP nestes casos.