Caros amigos da GN estou curioso porque a recomendação de usar ssl_verify_client optional;
Termos mais procurados:
Histórico de mensagens sobre ssl
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Consulta de Chave PIX na API de Envio
- Repetição do Processo de Criação com txid
- Endpoint para Recuperar Saldo
- Recebimento de Pagamentos via QR Code e Arduino
- Teste de Status de Pagamento em Ambiente de Homologação
- Implementação da SDK do Pix em Next.js ou React
- Autenticação com Certificado em NextJS
- Implementação do Módulo Gerencianet no Perfex CRM
- Configuração de URLs para Recebimento de Status
- Problemas com Token em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Geração de payment_token pelo Postman e teste em homologação
- Cobrança em Período de Teste Grátis de 7 dias
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Especificação da URL do Webhook no Exemplo Pix
- Atualização de informações no Retentiva de Cobrança
- Utilização de Endpoints e Payload no Pix
- Retenção de Pagamento no PIX em Marketplace
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Acionamento de Webhooks em Pagamentos e Devoluções
- Funcionamento do Webhook em Ambiente de Homologação
- Cancelamento de Boleto e Remoção do DDA
EXIBINDO CONVERSAS RECENTES:
Texto: ssl
O da Mozilla é legal de base também, mas no SSL Labs dá para testar se está certinho:
https://wiki.mozilla.org/Security/Server_Side_TLS
Em tempo: SSL 2, SSL 3, TLS 1.0 e TLS 1.1 são vulnerabilidades de segurança. As escolhas hoje são TLS 1.2, 1.3 ou ambos. https://www.ssllabs.com/ssltest/ pode auxiliar o @sibeliusseraphini a configurar o TLS do webhook em boa forma na escolha de protocolos e ciphers.
Essa mensagem ocorre quando o seu TLS está abaixo da versão 1.2 ou se você não configurou o nosso CA em seu virtual Host. Uma outra questão a ser verificada é se o seu domínio está configurado com um SSL válido, você pode gerar um gratuito pelo serviço do certbot https://certbot.eff.org/.
ok = openssl pkcs12 -in cert.p12 -out certi.pem -nodes
executei esse comando ---> openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes
Pessoal que é mais DevOps.. o servidor (apache) aqui do sistema que estou fazendo a integração com o Pix já possui o certificado ssl. Não tem como substituir o certificado que usamos pelo o disponibilizado da GN, então a solução seria criar um microserviço ou tem como dentro do VirtualHost (que usa um certificado A) informar um outro certificado para uma rota específica?
openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes
Eles deixam o comando do OpenSSL para você efetuar a conversão
Ficando: SSLVerifyDepth 10
Troca o SSLVerifyDepth de 1 para 10
No meu caso configurei assim:
SSLVerifyClient require
SSLVerifyDepth 1
private PixAPI getPixAPI() {
PixAPI pixAPI = Feign.builder()
.decoder(new GsonDecoder())
.logLevel(feign.Logger.Level.FULL)
.logger(new MyLogger())
.client(new Client.Default(getSSLSocketFactory(), null))
.target(PixAPI.class, pixRestUrl);
return pixAPI;
}
SSLSocketFactory getSSLSocketFactory() {
try {
URL keyMaterialUrl;
File file = ResourceUtils.getFile(pixRestCertPemPath);
if (!file.exists()) {
log.error("File not found: " + pixRestCertPemPath);
URL resource = Thread.currentThread().getContextClassLoader().getResource(pixRestCertPemPath);
if (resource != null) {
log.info("Resource found : " + resource);
keyMaterialUrl = resource;
} else {
throw new RuntimeException("Resource not found : " + pixRestCertPemPath);
}
} else {
keyMaterialUrl = file.toURI().toURL();
}
SSLContext sslContext = SSLContextBuilder
.create()
.setKeyStoreType("PKCS12")
.loadKeyMaterial(keyMaterialUrl, null, null)
.build();
return sslContext.getSocketFactory();
} catch (Exception e) {
e.printStackTrace();
throw new RuntimeException("Could not configure SSLSocketFactory", e);
}
}
PixAPI pixAPI = Feign.builder()
.decoder(new GsonDecoder())
.logLevel(feign.Logger.Level.FULL)
.logger(new MyLogger())
.client(new Client.Default(getSSLSocketFactory(), null))
.target(PixAPI.class, pixRestUrl);
return pixAPI;
}
SSLSocketFactory getSSLSocketFactory() {
try {
URL keyMaterialUrl;
File file = ResourceUtils.getFile(pixRestCertPemPath);
if (!file.exists()) {
log.error("File not found: " + pixRestCertPemPath);
URL resource = Thread.currentThread().getContextClassLoader().getResource(pixRestCertPemPath);
if (resource != null) {
log.info("Resource found : " + resource);
keyMaterialUrl = resource;
} else {
throw new RuntimeException("Resource not found : " + pixRestCertPemPath);
}
} else {
keyMaterialUrl = file.toURI().toURL();
}
SSLContext sslContext = SSLContextBuilder
.create()
.setKeyStoreType("PKCS12")
.loadKeyMaterial(keyMaterialUrl, null, null)
.build();
return sslContext.getSocketFactory();
} catch (Exception e) {
e.printStackTrace();
throw new RuntimeException("Could not configure SSLSocketFactory", e);
}
}
Estou usando java, mas Feign no lugar do restTemplate...o que é importante colocar o certificado na hora de fazer o request... tem que criar um SSLSocketFactory p/ considerar o certificado de prod/desenv
o curl tem um parâmetro pra indicar o arquivo do certificado SSL. aí vc tem que pesquisar sobre SSL / mTLS em Java (não tem exemplos no site da GN)
Hoje antes de dormi posso escrever no meu diário "Fizemos Progresso". Finalmente, e com muita paciência, persistência e estudo, consegui criar o abençoado do certificado .pem em produção (Alô Produção), para criar o token de geração de cobranças, eu não uso linux aqui na máquina que estou. Mais hoje tirei o dia para resolver isso, procurei muito e encontrei uma solução for windows do openssl = https://slproweb.com/products/Win32OpenSSL.html usei este instalador = https://slproweb.com/download/Win64OpenSSL_Light-1_1_1h.exe e usei este comando openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes
Finalmente gerou e funcionou normalmente o certificado de produção 🙂
TLSv1.2 (IN), TLS handshake, Finished (20):
SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
seria isso?
# Gerar certificado e chave em único arquivo
openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes
Não é necessário senha para o certificado. Tenta inserir uma senha vazia, ou então este comando:
openssl pkcs12 -in certificado.p12 -out certificado.pem -nodes