Histórico

Sim, gerei certificado Wildcard

Você criou um certificado wildcard?

Uma coisa estranha é que não tem o nome desse site especificamente no certificado:
https://www.ssllabs.com/ssltest/analyze.html?d=doss-api.azurewebsites.net

E a API Pix não permite uso de certificado wildcard. Mas isso já deveria ter dado erro na ativação do webhook.

Não usou (wildcard) no certificado, né ?

Esse tutorial tem uma falha que é sugerir o uso de certificado wildcard (). O problema é que depois de fazer isso, mesmo deixando de usar é um parto fazer funcionar.

Só que NÃO siga a parte de usar hostname com (wildcard). Nunca faça isso. Sempre coloque um sub-domínio único específico, como webhook.exemplo.com.br e nunca

Não pode usar wildcard (), é vetado pelo Banco Central... e todo mundo que colocou com isso, depois teve problema para usar AWS mesmo tirando.

Se você pesquisar aqui no canal, vai ver que tem motivo para chorar... isso normalmente acontece quando se segue um vídeo que incorretamente diz para colocar (wildcard). O problema é que por algum bug no AWS, mesmo quando se tira, isso gruda.

Eu acho que não, pq a questão de não poder wildcard vem direto dos manuais do Banco Central...

Bom dia, @_olinto! Tudo bem?
Geralmente, essa falha ocorre quando se utiliza um certificado auto assinado ou um certificado wildcard.

Boa tarde, @usuario1995! Tudo joia?
Geralmente, essa falha ocorre quando se utiliza um certificado auto-assinado ou um certificado wildcard.

Fala galera! Baaaum? [REPOSTANDO]

Resolvi o erro ERR_TLS_CERT_ALTNAME_INVALID ao usar API Gateway da AWS.
Após assistir ao tutorial do @danielciolfi, fiz o mesmo procedimento com um domínio registrado externamente, no meu caso namecheap, mas ao tentar registrar a Webhook o erro ERR_TLS_CERT_ALTNAME_INVALID era retornado. Tentei de tudo, gerar novo certificado sem wildcard("."), refazer truststore.pem, gerar certificado direto no “api.” mas não funcionava. Percebi também que ao acessar diretamente pelo navegador, o certificado era sempre relacionado ao domínio principal, e nunca ao “api.”.

Ai lendo algumas soluções aqui no Discord, como a do Ranulfo souza, resolvi fazer da seguinte forma e resolveu:

0 - (Opcional) Antes de começar, recomendo apagar tudo que foi feito, exceto pela API Gateway e o truststore.pem gerado.
(Deletei o nome de domínio personalizado, removi os registros no namecheap e deletei os certificados criados);

1 - Comprar um domínio no Google Domains só para esse uso;
Domínio fictício para fins didáticos: pixok.com

2 - Na AWS, em Route 53, criar nova zona hospeda e no nome do domínio, inserir o domínio comprado (pixok.com) e criar zona;

3 – Ao navegar na zona criada, você vai ver o registro do tipo NS com os links, ai é só adicionar todos no Google Domains em Servidores de nome personalizados do seu domínio. Por padrão, o Google não usa os nomes personalizados, ai é só clicar em aplicar na aba Servidores de nome personalizados;

4 – Criar certificado com o nome api.pixok.com, navegar até o certificado, clicar em Criar registros no Route 53 e confirmar clicando em criar. Isso fará o certificado ser verificado;

5 – Após o certificado ser verificado, ir na API Gateway e criar nome de domínio personalizado com o nome api.pixok.com, selecionando o novo certificado. E também já configurar o mapeamento de API para sua API;

6 – Em Route 53, na zona hospedada, no domínio pixok.com, criar novo registro com as seguintes informações:
- Nome do registro: api
- Tipo de registro: A
- Ativar Alias
- Escolher endpoint para: Alias para API do API Gateway
- Escolher o servidor que você está trabalhando, no meu caso “us-east-1”
- E no terceiro campo que aparecer, já vai carregar automaticamente o
“Nome de domínio do API Gateway” que você encontra no domínio personalizado que criou.
Ai é só finalizar criando o registro e aguardar a propagação que pode levar alguns minutos, no meu caso levou mais de 5 minutos.

7 – Antes de ativar o TLS mútuo no domínio personalizado, eu fiz testes solicitando POST com o postman para api.pixok.com/prod/webhook até ter algum retorno, assim eu sei que toda configuração acima tá funcionando corretamente e foi propagado.

8 – Ativar TLS mútuo como feito anteriormente, aguardar o status ficar ativo e testar o registro da webhook com o seu link 😊


Obrigado Ranulfo souza e a todos que comentaram sobre o assunto. 👊

Pode, e apesar de requerer um bom número de passos, funciona. Mas se procurar vídeos disso, diferente do que disser o vídeo, jamais coloque (wildcard) em certificados ou entradas DNS.