Emissão de Boleto do Sicoob via API Authorization Code

[Jhonlenon Ribeiro]

Para cooperado novos que vão começar a emitir boleto não é liberado mais a API de Cobrança V1 agora é V2...só pra deixar explicado para os amigos

2 horas atrás, duduccosta disse:

Eu gerei as credenciais de produção, tanto pra PIX quanto pra cobrança bancária v2.
Habilitei meu IP, coloquei o certificado PEM e mesmo assim, ainda dá erro 404.

Você recebeu no seu e-mail um confirmação de liberação de IP? quando agente solicita as credenciais pelo portal do developers agente recebe um e-mail da solicitação...depois quando o IP é liberado agente recebe outro e-mail confirmando a liberação do IP

[_asseinfo]

A gente até vem conseguindo a liberação do uso da V1, mas é um inferno .

Eu estou me organizando aqui pra colocar um par de devs pra reescrever nossa integração pra V2. O que mais está nos ferrando mesmo é essa exigência maluca de ter um IP fixo para liberar no firewall dos caras. Vamos ter que ter uma infra adicional por conta disso (e custos desnecessários).

É uma pena o suporte deles ser tão omisso. Não tem nem chance de conversar com ninguém a respeito do problema, pois eles só respondem o que é conveniente.

Outro pé no saco é que só vai dar pra atender quem tem A1. Depois eu vou fazer um teste se o certificado precisa ser do correntista ou se ele usa somente para certificar o autor da comunicação (como acontece na NF-e: o XML precisa ser assinado pelo certificado do emissor, mas a transmissão pode ser feita com o certificado de um terceiro).

Se o certificado só servir para a comunicação então aqui nós podemos usar o da própria softhouse. Assim, licenciados que possuem o A3 não ficarão na mão.

Vamos trocando uma ideia por aqui.

[duduccosta]

16 horas atrás, JHONLENON disse:

duduccosta Boa noite amigo....eu ainda não consegui obter sucesso com autenticação do token...eu recebo o erro 401....só que esse erro de 404 é de IP não cadastrado na API...lá no portal do developers quando agente solicita as credenciais em produção eles pedi pra informar um IP FIXO (Real) pra liberar a api...se eu testar no postman fora do meu IP fixo recebo erro 404 amigo...

Consegui as credenciais, agora aqui também dá erro 401, esse erro de mTLS.
Complicado.

[duduccosta]

Em 22/04/2022 at 17:50, JHONLENON disse:

Você conseguiu gerar o token na API de Cobrança V2? aqui só dá esse erro...

{

    "httpCode": "401",

    "httpMessage": "Unauthorized",

    "moreInformation": "Client certificates for mutual TLS in the API request does not match the registered certificate."

}

Consegui contato do pessoal de T.I. do sicoob e eles me explicaram que pelo motivo do serviço requerir o mTLS, é necessário que a aplicação esteja rodando embaixo de https e o webserver estar habilitado para mTLS.
Aqui está um video explicando como ativar o mTLS no IIS: https://www.youtube.com/watch?v=mamqb3BHa-0

 

[Jhonlenon Ribeiro]

1 hora atrás, duduccosta disse:

Consegui contato do pessoal de T.I. do sicoob e eles me explicaram que pelo motivo do serviço requerir o mTLS, é necessário que a aplicação esteja rodando embaixo de https e o webserver estar habilitado para mTLS.
Aqui está um video explicando como ativar o mTLS no IIS: https://www.youtube.com/watch?v=mamqb3BHa-0

 

Você conseguiu resolver o problema no 401 no sicoob na V2?

[duduccosta]

4 horas atrás, JHONLENON disse:

Você conseguiu resolver o problema no 401 no sicoob na V2?

Ainda não, mas como disse, acredito que se você testar via postman, não vai dar certo no ambiente de produção, já que o servidor da sicoob trabalha com mTLS, ou seja, parece que é necessário que a requisição seja originada de um servidor com HTTPS.

[Juliomar Marchetti]

1 hora atrás, duduccosta disse:

Ainda não, mas como disse, acredito que se você testar via postman, não vai dar certo no ambiente de produção, já que o servidor da sicoob trabalha com mTLS, ou seja, parece que é necessário que a requisição seja originada de um servidor com HTTPS.

pera como assim? https? o https é do lado do server deles e não do seu. o TLS é questão de segurança e que deve de ter o windows atualizado o seu lado para rodar. salvo enganos

[Jhonlenon Ribeiro]

8 horas atrás, duduccosta disse:

Ainda não, mas como disse, acredito que se você testar via postman, não vai dar certo no ambiente de produção, já que o servidor da sicoob trabalha com mTLS, ou seja, parece que é necessário que a requisição seja originada de um servidor com HTTPS.

Não funciona assim amigo! fizemo uma reunição de negocio pelo Microsoft Teams...onde estava presente o supervidor de integração da API do Sicoob, Fornecedor da API e Responsavél pela equipe de integração, no caso eu....ficamos 2 horas com esse erro no postman e eles não conseguiram resolver....removeram o certificado e cadastraram varias vezes e não deu certo. me pediram alguns dias para analisar a situação e até hoje nada...isso já faz uns 20 dias. Em relação ao mTLS isso é no servidor da API do sicoob...seu Windows só precisa está com TLS de segurança atualizado e recomedamos o Windows 10. Fizemos a integração com API do Inter agora na V2 também que usa certificado digital e oauth 2.0...é o mesmo processo do sicoob só que o INTER funciona....nossa integração com INTER foi concluida 100% na V2....o problema é que o suporte do sicoob é muito ruim...eles não estou nem ai para o cooperado ou desenvolvedor...pra mim consegui a integração com V1 na epoca tive procotolocar um reclamação em Brasilia falando do descaso que eles fazia com cooperado e desenevolvedor. no postman posso testar API em Homologação e Produção tanto faz....

6 horas atrás, Juliomar Marchetti disse:

pera como assim? https? o https é do lado do server deles e não do seu. o TLS é questão de segurança e que deve de ter o windows atualizado o seu lado para rodar. salvo enganos

Isso mesmo Juliomar...mTLS é no servidor da API...no cliente é so TLS está atualizado

Editado 28 Abril, 2022 por JHONLENON

[duduccosta]

O que eu quis dizer, é que se você chamar o servidor da Sicoob via localhost, sem https, não vai funcionar.

[Jhonlenon Ribeiro]

16 minutos atrás, duduccosta disse:

O que eu quis dizer, é que se você chamar o servidor da Sicoob via localhost, sem https, não vai funcionar.

Ai vc teria que ser mais claro no seu comentário....vc está falando que se desenvolver uma API Server pra gerenciar as requisição solicitada do lado do client (Cliente) precisa usar protocolo https seguro..isso ai já é outra historia...eu pelo menos tenho IP FIXO cadastrado no na API de Cobrança do Sicoob vinculada ao esse meu cliente (cooperado). Vamos por parte...primeiro é colocar a API de Cobrança V2 pra funcionar....1ª Opção seria desenvolver uma API Server para gerenciar as requisições, 2ª cooperado (Cliente) ter IP FIXO

Editado 28 Abril, 2022 por JHONLENON

[Jonathan Trindade]

Na documentação não mostrada todos os scopos, precisa autenticar pela api online deles no painel.

https://developers.sicoob.com.br/#!/apis

cobranca_boletos_prorrogacoes_data_vencimento

Depois de autenticar ele vai listar o que selecionou.

Editado 2 Maio, 2022 por Jonathan Trindade

[Jhonlenon Ribeiro]

Boa tarde pessoal na quinta-feira 05/05/2022 estarei fazendo uma nova reunição com supervidor de integração de API do Sicoob, Fornecedor da API e minha equipe....vamos tentar resolver esse problema....

{

    "httpCode": "401",

    "httpMessage": "Unauthorized",

    "moreInformation": "Client certificates for mutual TLS in the API request does not match the registered certificate."

}

Editado 3 Maio, 2022 por JHONLENON

[_asseinfo]

@JHONLENON putz! Que oportunidade, cara.

A melhor maneira desse problema ser resolvido seria eles facilitando esse processo.

Nós temos software web há 8 anos e emitimos boletos via API há 4,5 anos via PJBank (fará cinco agora no mês 7). Temos integração com diversos bancos e o mais sofrido é o Sicoob (temos também outro software Desktop com 21 anos - usando acbr).

Nós implementamos a V1 com o fluxo de autenticação antigo e temos diversos licenciados rodando. Foi bem chatinho de fazer.

 

Em nossa avaliação o novo fluxo de autenticação é um tiro no pé do próprio banco. Eis alguns motivos:

a. Nem todo fornecedor de ERP tem experiência com web. Vários irão pelo caminho de fazer diretamente no desktop. Isso fará com que o custo do IP fixo + certificado acabe caindo para o licenciado. A gente sabe que muitos correntistas que optam pelo Sicoob é pelo baixo preço do boleto.

b. Quem se aventurar em montar um servidor web para fazer o papel de proxy entre o banco e o ERP desktop terá que ter cuidado redobrado com o aplicativo. Se a pessoa não tiver experiência, pode acabar deixando brechas para ataques. Sem contar que esse software precisa ser constantemente atualizado - frameworks envelhecem rápido. Lembrando que o certificado A1 provavelmente terá que ficar nessa máquina para assinar o request. A web não é brincadeira - ainda mais quando se trata de transações financeiras.

c. Acreditamos que a explosão de IP fixos pode ser bem chato para o firewall do banco no futuro.

d. Mesmo nós que estamos na web, ter IP fixo é chato. A gente trabalha com elastic cloud e nunca sabemos os IPs e nem mesmo quantos servidores estão rodando. Teremos que alugar um IP fixo e tunelar nossa comunicação com o Sicoob através dele.

 

Entendemos que o banco precisa de segurança, mas acreditamos que existem outros meios mais acessíveis pra isso. Um exemplo é o Banco Inter. Você mesmo emite o certificado no Internet Banking deles e o IP fixo não é requerido. Seria muito parecido com o novo fluxo do Sicoob.

 

Se for do seu interesse, eu posso até gravar um vídeo falando sobre o que eu escrevi acima.

Muito obrigado.

[Jhonlenon Ribeiro]

51 minutos atrás, _asseinfo disse:

@JHONLENON putz! Que oportunidade, cara.

A melhor maneira desse problema ser resolvido seria eles facilitando esse processo.

Nós temos software web há 8 anos e emitimos boletos via API há 4,5 anos via PJBank (fará cinco agora no mês 7). Temos integração com diversos bancos e o mais sofrido é o Sicoob (temos também outro software Desktop com 21 anos - usando acbr).

Nós implementamos a V1 com o fluxo de autenticação antigo e temos diversos licenciados rodando. Foi bem chatinho de fazer.

 

Em nossa avaliação o novo fluxo de autenticação é um tiro no pé do próprio banco. Eis alguns motivos:

a. Nem todo fornecedor de ERP tem experiência com web. Vários irão pelo caminho de fazer diretamente no desktop. Isso fará com que o custo do IP fixo + certificado acabe caindo para o licenciado. A gente sabe que muitos correntistas que optam pelo Sicoob é pelo baixo preço do boleto.

b. Quem se aventurar em montar um servidor web para fazer o papel de proxy entre o banco e o ERP desktop terá que ter cuidado redobrado com o aplicativo. Se a pessoa não tiver experiência, pode acabar deixando brechas para ataques. Sem contar que esse software precisa ser constantemente atualizado - frameworks envelhecem rápido. Lembrando que o certificado A1 provavelmente terá que ficar nessa máquina para assinar o request. A web não é brincadeira - ainda mais quando se trata de transações financeiras.

c. Acreditamos que a explosão de IP fixos pode ser bem chato para o firewall do banco no futuro.

d. Mesmo nós que estamos na web, ter IP fixo é chato. A gente trabalha com elastic cloud e nunca sabemos os IPs e nem mesmo quantos servidores estão rodando. Teremos que alugar um IP fixo e tunelar nossa comunicação com o Sicoob através dele.

 

Entendemos que o banco precisa de segurança, mas acreditamos que existem outros meios mais acessíveis pra isso. Um exemplo é o Banco Inter. Você mesmo emite o certificado no Internet Banking deles e o IP fixo não é requerido. Seria muito parecido com o novo fluxo do Sicoob.

 

Se for do seu interesse, eu posso até gravar um vídeo falando sobre o que eu escrevi acima.

Muito obrigado.

Amigo eu concordo com vc....eu já tinha até desistido dessa integração....já fiz integração com com 11 bancos via webservice e API...fiz o sicoob na v1 também. Muita burocracia pra emitir um simples boleto....mais esses bancos e cooperativas não esculta ninguém amigo....só eles estão certo e pronto. 

[Jhonlenon Ribeiro]

Boa noite....hoje 06/05/2022 fiz uma reunião por video conferência com pessoal do sicoob...ficamos quase 2 horas e não conseguimos resolver o erro do 401.

{

    "httpCode": "401",

    "httpMessage": "Unauthorized",

    "moreInformation": "Client certificates for mutual TLS in the API request does not match the registered certificate."

}

Mais começei e entender o motivo....pelo que vi o problema está no servidor mTLS do sicoob...fiz tudo como eles mandaram no postman..eles estava vendo a minha tela no postman. Mais um vez me pediram pra mim aguardar...na reunião era 5 pessoas comigo. No final da reunião ai pedi pra relatar alguns detalhes sobre a API de Cobrança do Sicoob... _asseinfo comentei tudo isso ai que vc falou e mais um pouco...poxa pra gerar um simples boleto precisava de tudo isso? falei pra eles que o cooperado sempre corta gasto por mais que o valor seja pequeno...CERTIFICADO DIGITAL...IP FIXO e outras situações...falei pra eles que era mais facil o cooperado trocar de banco ou cooperativa do quer arcar com os custo pra emissão de boleto. Eles me falaram que o cooperativa tem esses criterios rigidos mesmo. Eu novamente falei pra eles....nada disso que vcs fazem pra dificultar a emissão de um boleto...vai impedir de alguém falsificar um boleto. Segundo eles...já receberam alguns questionamento sobre o IP FIXO.....o certificado digital é dificil eles tirar....porque está incluso no projeto do PIX..que o banco central exige um certificado digital. Mais a questão do IP FIXO talves mude no futuro. Eu sinceramente estou quase desistindo do sicoob. Tenho cooperado rodando na V1...quando desativar ela..ai os cooperados troca de banco ou fica sem emitir boleto.

[blodinho]

Nem o próprio Sicoob sabe como implementar essa Client Credentials, que fase...

[_asseinfo]

@JHONLENON obrigado por reforçar a mensagem lá para os caras. Eu estou com um ticket aberto com eles lá em Brasília com mais de 60 dias.

Essa semana vou gravar um vídeo com os argumentos que havia te dito e mandar pra eles em um novo ticket. Vou também gravar como é o processo do Inter - com a geração do certificado digital por eles mesmo - pra ver a simplicidade.

Pra gente aqui o Sicoob se tornou um pesadelo. Inclusive, suspendemos a liberação da rotina pra novos licenciados (e estamos perdendo algumas vendas por conta disso). Tivemos até gerente desinformando dando uma de técnico de informática para o nosso cliente e dizendo que nosso software é inseguro porque não temos IP fixo . O mesmo cara que oferece título de capitalização como investimento é o mesmo que agora é especialista em segurança digital .

Haja paciência.

[cristianocruzzz]

Estou no mesmo barco, estamos homologando a API de cobrança V2 e não funciona de jeito nenhum.

O retorno é esse:

 Client certificates for mutual TLS in the API request does not match the registered certificate.

Infelizmente eles não conseguem ajudar!

Alguém conseguiu mais alguma coisa?

[Jhonlenon Ribeiro]

1 hora atrás, cristianocruzzz disse:

Estou no mesmo barco, estamos homologando a API de cobrança V2 e não funciona de jeito nenhum.

O retorno é esse:

 Client certificates for mutual TLS in the API request does not match the registered certificate.

Infelizmente eles não conseguem ajudar!

Alguém conseguiu mais alguma coisa?

É meu amigo....o pessoal do sicoob já fez 2 reunião comigo tentando resolver esse problema ai e não deram conta.....falaram que ia fazer outra reunião mais acho dificil isso acontecer...

[Juliomar Marchetti]

Bom dia a todos.

pelo tópico estar extenso demais e ainda não ter chego a uma solução, vamos estar fechando ele.

dai pedimos que para cada situação seja aberto um tópico novo para que possa ser facilmente achado quando necessário pesquisar sobre.

obrigado pela compreensão de todos.