Ir para conteúdo
  • Cadastre-se

dev botao

Como passar os certificados - PIX Cielo - Produção


Ver Solução Respondido por antonio.carlos,

Recommended Posts

  • Membros Pro
Postado

Boa tarde.

image.png.eea16dcf8a4ac32e4914b13fc0e76f3d.png

Gostaria de saber como, no caso do PIX Produção do Banco Cielo, eu passo os dados dos certificados.
Como podemos ver na imagem acima não existe a opção de certificados como no Banco Bradesco ou Sicoob por exemplo.

Agradeço desde já a atenção e no aguardo.

  • Moderadores
Postado

Boa tarde

pode usar o mesmo do Bradesco e Sicoob

pois internamente o componente descende de uma unica classe que contempla de igual

portanto o campos abaixo tem nelas também, lembrando das distinções de cada um pela sua extensão

ArqChavePrivada

Caminho e nome do arquivo KEY.

ArqCertificado

Caminho e nome do arquivo PEM.

ArqPFX

Caminho e nome do arquivo PFX.

SenhaPFX

Senha do arquivo PFX.

a nível de exemplificação abaixo também temos o código fonte que eles descendem

image.png

Consultor SAC ACBr Juliomar Marchetti
 

Projeto ACBr

skype: juliomar
telegram: juliomar
e-mail: [email protected]
http://www.juliomarmarchetti.com.br
MVP_NewLogo_100x100_Transparent-02.png
 

 

  • Membros Pro
Postado
56 minutos atrás, Juliomar Marchetti disse:

Boa tarde

pode usar o mesmo do Bradesco e Sicoob

pois internamente o componente descende de uma unica classe que contempla de igual

portanto o campos abaixo tem nelas também, lembrando das distinções de cada um pela sua extensão

ArqChavePrivada

Caminho e nome do arquivo KEY.

ArqCertificado

Caminho e nome do arquivo PEM.

ArqPFX

Caminho e nome do arquivo PFX.

SenhaPFX

Senha do arquivo PFX.

a nível de exemplificação abaixo também temos o código fonte que eles descendem

image.png

Boa tarde e obrigado pelo auxílio.

E qual é o nome da ACBRSessao que devo utilizar?

Eu tentei Cielo mas aparece o erro dizendo que não existe este atributo na Sessão. Já tentei como ArqCertificado e como ArquivoCertificado.

image.thumb.png.9d59a14fdc37b2881d0306fc98471d88.png
image.png.8a6d6a8ff86d2519dddf0ac95a02e160.png

3 minutos atrás, Messias Bittencourt disse:

Boa tarde e obrigado pelo auxílio.

E qual é o nome da ACBRSessao que devo utilizar?

Eu tentei Cielo mas aparece o erro dizendo que não existe este atributo na Sessão. Já tentei como ArqCertificado e como ArquivoCertificado.

image.thumb.png.9d59a14fdc37b2881d0306fc98471d88.png
image.png.8a6d6a8ff86d2519dddf0ac95a02e160.png

16/10/24 18:01:06:343 - LIB_ConfigGravarValor(Cielo, ArquivoCertificado, C:\dev\pix\certificado\GV-BUS.cer)
16/10/24 18:01:06:354 -    SetRetorno(-3, Chave [%s] não existe na Sessão [%s] no arquivo de configuração)
 

  • Membros Pro
Postado
15 minutos atrás, Messias Bittencourt disse:

Boa tarde e obrigado pelo auxílio.

E qual é o nome da ACBRSessao que devo utilizar?

Eu tentei Cielo mas aparece o erro dizendo que não existe este atributo na Sessão. Já tentei como ArqCertificado e como ArquivoCertificado.

image.thumb.png.9d59a14fdc37b2881d0306fc98471d88.png
image.png.8a6d6a8ff86d2519dddf0ac95a02e160.png

16/10/24 18:01:06:343 - LIB_ConfigGravarValor(Cielo, ArquivoCertificado, C:\dev\pix\certificado\GV-BUS.cer)
16/10/24 18:01:06:354 -    SetRetorno(-3, Chave [%s] não existe na Sessão [%s] no arquivo de configuração)
 

Mesmo problem para ArquivoChavePrivada ou ArqChavePrivada

  • Membros Pro
Postado
Agora, Juliomar Marchetti disse:

vou pedir para o pessoal que mantém a lib para conferir

Muito obrigado pela ajuda @Juliomar Marchetti.
Eu até cheguei a abrir o fonte da config em https://svn.code.sf.net/p/acbr/code/trunk2/Projetos/ACBrLib/Fontes/PIXCD/ACBrLibPIXCDConfig.pas.
Sicoob e Bradesco realmente tem estas properties. 
Mas o Cielo está sem as mesmas.

Agradeço se puder dar esta ajuda....

  • Consultores
Postado
43 minutos atrás, Messias Bittencourt disse:

Muito obrigado pela ajuda @Juliomar Marchetti.
Eu até cheguei a abrir o fonte da config em https://svn.code.sf.net/p/acbr/code/trunk2/Projetos/ACBrLib/Fontes/PIXCD/ACBrLibPIXCDConfig.pas.
Sicoob e Bradesco realmente tem estas properties. 
Mas o Cielo está sem as mesmas.

Agradeço se puder dar esta ajuda....

Teria documentação sobre uso dos certificados para o PSP Cielo ? 
Pois no componente ACBrPIXCD para uso do PSP Cielo, não contem estes campos para uso de certificado..
image.png

  • Membros Pro
Postado
55 minutos atrás, antonio.carlos disse:

Teria documentação sobre uso dos certificados para o PSP Cielo ? 
Pois no componente ACBrPIXCD para uso do PSP Cielo, não contem estes campos para uso de certificado..
image.png

Boa noite @antonio.carlos.

Vou ver se arrumo esta documentação e lhe passo.

De qq forma e antecipadamente, afirmo que existe sim o uso do certificado.

Já testei diretamente no Banco via postman. Homologação não precisa. Basta apenas clientId e clientSecret.

Em produção, também funcionou, mas além destas credenciais acima descritas, precisei utilizar os certificados que o proprietário da conta me forneceu. 

Att

  • Curtir 1
  • Membros Pro
Postado
14 horas atrás, Messias Bittencourt disse:

Boa noite @antonio.carlos.

Vou ver se arrumo esta documentação e lhe passo.

De qq forma e antecipadamente, afirmo que existe sim o uso do certificado.

Já testei diretamente no Banco via postman. Homologação não precisa. Basta apenas clientId e clientSecret.

Em produção, também funcionou, mas além destas credenciais acima descritas, precisei utilizar os certificados que o proprietário da conta me forneceu. 

Att

Bom dia @antonio.carlos.
Eles não possuem uma documentação em pdf. Mas acessei aqui o "https://developercielo.github.io/manual/apipix#segurança" com meu usu e senha e te passo abaixo a parte que fala de segurança. Se realizar um cadastro no site "https://desenvolvedores.cielo.com.br/api-portal/" poderá checar a documentação com mais profundidade. Pelo postman eu utilizei os .cer e .key obtendo sucesso.

Segurança

Devem ser observadas para desenvolver e implementar a API seguindo boas práticas de segurança, atendendo aos requisitos obrigatórios abaixo.

Requisitos de segurança obrigatórios:

  1. A conexão à API deve ser criptografada utilizando o protocolo TLS versão 1.2 ou superior, permitindo apenas cipher suites que atendam ao requisito de forward secrecy.
  2. O PSP deve implementar o framework OAuth 2.0 (RFC 6749) com TLS mútuo (mTLS – RFC 8705) para autenticação na API, conforme especificações abaixo:

a. Os certificados digitais dos clientes da API poderão ser emitidos pelo próprio PSP ou por ACs externas, conforme definido por cada PSP. Não deverão ser aceitos certificados auto-assinados pelo cliente. b. Cada PSP deve possuir seu próprio Authorization Server e Resource Server associado à API Pix, e ambos devem implementar TLS mútuo. c. O Authorization Server do PSP deve implementar a técnica de vinculação do certificado do cliente aos access tokens emitidos (“Client Certificate-Bound Access Tokens”), conforme seção 3 da RFC 8705. d. O Resource Server do PSP deve confirmar que o thumbprint do certificado associado ao access token apresentado pelo cliente é o mesmo do utilizado na autenticação TLS (proof-of-possession). e. O fluxo OAuth a ser utilizado é o “Client Credentials Flow”. f. Os escopos OAuth serão definidos na especificação Open API 3.0 da API Pix e permitirão associar diferentes perfis de autorização ao software cliente.

  1. O processo de cadastro/onboarding do cliente para acesso à API deve ser realizado em ambiente logado no PSP, e deve incluir um canal seguro para envio das credenciais ao usuário, de forma a permitir a rastreabilidade das ações executadas.
  2. A API deve suportar múltiplos níveis de autorização ou papéis, segregando as funcionalidades de acordo com perfis (escopos OAuth) dos usuários clientes.
  3. O PSP deve implementar tecnologia que permita garantir a alta disponibilidade da API.
  4. A API deve garantir a confidencialidade e a integridade das informações dos usuários e de suas transações, tanto em trânsito como em repouso.
  5. O PSP deve manter logs de auditoria dos acessos à API pelo período mínimo de 1 ano.
  6. A credencial de acesso utilizada na autenticação (Client_ID) deve ser vinculada ao CNPJ ou CPF do usuário recebedor e deve permitir acesso a recursos apenas de contas transacionais de titularidade do CNPJ ou CPF associado.
  7. Para a funcionalidade de webhooks, as notificações oriundas do PSP recebedor ao usuário recebedor trafegarão utilizando um canal mTLS.

a. Recomenda-se que os certificados utilizados para autenticação mútua no canal TLS do webhook sejam os mesmos da API Pix. De todo modo, não há objeção quanto à utilização de outros certificados, mediante acordo entre o PSP e o usuário recebedor.

O BC entende que os PSPs poderão adotar as tecnologias e soluções de segurança para a API que mais acharem apropriados, desde que sejam atendidos os requisitos obrigatórios de segurança e, sempre que possível, as recomendações descritas acima, com atenção também aos elementos listados nos tópicos a seguir.

  • Curtir 1
  • Consultores
Postado
41 minutos atrás, Messias Bittencourt disse:

Bom dia @antonio.carlos.
Eles não possuem uma documentação em pdf. Mas acessei aqui o "https://developercielo.github.io/manual/apipix#segurança" com meu usu e senha e te passo abaixo a parte que fala de segurança. Se realizar um cadastro no site "https://desenvolvedores.cielo.com.br/api-portal/" poderá checar a documentação com mais profundidade. Pelo postman eu utilizei os .cer e .key obtendo sucesso.

Segurança

Devem ser observadas para desenvolver e implementar a API seguindo boas práticas de segurança, atendendo aos requisitos obrigatórios abaixo.

Requisitos de segurança obrigatórios:

  1. A conexão à API deve ser criptografada utilizando o protocolo TLS versão 1.2 ou superior, permitindo apenas cipher suites que atendam ao requisito de forward secrecy.
  2. O PSP deve implementar o framework OAuth 2.0 (RFC 6749) com TLS mútuo (mTLS – RFC 8705) para autenticação na API, conforme especificações abaixo:

a. Os certificados digitais dos clientes da API poderão ser emitidos pelo próprio PSP ou por ACs externas, conforme definido por cada PSP. Não deverão ser aceitos certificados auto-assinados pelo cliente. b. Cada PSP deve possuir seu próprio Authorization Server e Resource Server associado à API Pix, e ambos devem implementar TLS mútuo. c. O Authorization Server do PSP deve implementar a técnica de vinculação do certificado do cliente aos access tokens emitidos (“Client Certificate-Bound Access Tokens”), conforme seção 3 da RFC 8705. d. O Resource Server do PSP deve confirmar que o thumbprint do certificado associado ao access token apresentado pelo cliente é o mesmo do utilizado na autenticação TLS (proof-of-possession). e. O fluxo OAuth a ser utilizado é o “Client Credentials Flow”. f. Os escopos OAuth serão definidos na especificação Open API 3.0 da API Pix e permitirão associar diferentes perfis de autorização ao software cliente.

  1. O processo de cadastro/onboarding do cliente para acesso à API deve ser realizado em ambiente logado no PSP, e deve incluir um canal seguro para envio das credenciais ao usuário, de forma a permitir a rastreabilidade das ações executadas.
  2. A API deve suportar múltiplos níveis de autorização ou papéis, segregando as funcionalidades de acordo com perfis (escopos OAuth) dos usuários clientes.
  3. O PSP deve implementar tecnologia que permita garantir a alta disponibilidade da API.
  4. A API deve garantir a confidencialidade e a integridade das informações dos usuários e de suas transações, tanto em trânsito como em repouso.
  5. O PSP deve manter logs de auditoria dos acessos à API pelo período mínimo de 1 ano.
  6. A credencial de acesso utilizada na autenticação (Client_ID) deve ser vinculada ao CNPJ ou CPF do usuário recebedor e deve permitir acesso a recursos apenas de contas transacionais de titularidade do CNPJ ou CPF associado.
  7. Para a funcionalidade de webhooks, as notificações oriundas do PSP recebedor ao usuário recebedor trafegarão utilizando um canal mTLS.

a. Recomenda-se que os certificados utilizados para autenticação mútua no canal TLS do webhook sejam os mesmos da API Pix. De todo modo, não há objeção quanto à utilização de outros certificados, mediante acordo entre o PSP e o usuário recebedor.

O BC entende que os PSPs poderão adotar as tecnologias e soluções de segurança para a API que mais acharem apropriados, desde que sejam atendidos os requisitos obrigatórios de segurança e, sempre que possível, as recomendações descritas acima, com atenção também aos elementos listados nos tópicos a seguir.

Obrigado por compartilhar, foi criada uma #TK-6118 para analise, logo daremos um retorno, combinado ?

  • 1 mês depois ...
  • Consultores
  • Solution
Postado

Foi enviado um commit, disponibilizando as propriedades para uso do certificado para PSP Cielo em Produção.
Na próxima compilação do ACBrLibPIXCD, atualize e faça os testes.

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
×
×
  • Criar Novo...

Informação Importante

Colocamos cookies em seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies, caso contrário, assumiremos que você está bem para continuar.

The popup will be closed in 10 segundos...