Ci siamo quasi , tutti pronti ?
No.
Che cosa succede?
Avete ricevuto i nuovi certificati?
Ho ricevuto i certificati ma dopo averli installati non riesco più ad inviare le fatture. Questa mattina prima ha iniziato a non funzionare il vecchio certificato ci ritornava 403 su tutti gli invii, quindi l’abbiamo sostituito con i nuovi certificati che ci sono stati inviati e ci ritorna sempre 403 Forbidden “Could not connect to host”.
Ma a voi è arrivato il SistemaInterscambioFatturaPA.cer ? A noi no, ho anche chiesto a SDI direttamente ma mi hanno risposto che quando sarà cambiato lo faranno sapere. Quello che ho scade i primi di maggio.
Non è arrivato nemmeno a noi, ma noi non lo usiamo direttamente per la verifica del client di SdI.
Proprio per non doverlo aggiornare quando scade, abbiamo configurato l’autenticazione SSL in modo che verifichi che il certificato presentato da SdI abbia CN=“Sistema Interscambio Fattura PA” e sia firmato dalla CA dell’AdE (il cui certificato si trova in CAEntrate_prod.der e scade nel 2038).
Non sono troppo esperto di gestione certificati, voi su che web server siete? Io sto usando un IIS e onestamente non saprei da dove iniziare per fare una configurazione simile, hai qualche dritta?
Purtroppo no. Noi usiamo HAProxy come load balancer / reverse proxy, ed è quello che gestisce SSL. Lì la configurazione è estremamente semplice. In IIS non ho proprio idea.
Ho trovato il modo anche su IIS, grazie. Tornasse utile a qualcuno: nella sezione iisClientCertificateMappingAuthentication abilitare la manytoonemapping inserendo come NAME il BLOB del certificato CA dell’ADE (scadenza 2038).
Anche a me danno errore i nuovi certificati SDI-XXX-client.cer; la solita procedura usata al precedente rinnovo di tre anni fa per trasformarlo in pfx con openssl non permette di installarlo correttamente sul server, tu hai risolto? grazie
Primo ostacolo ufficiale superato stamattina?
Per quanto riguarda il certificato client, il nostro vecchio certificato scade il 10/5, quello nuovo che ci hanno inviato è valido dal 12/4.
Non l’ho ancora installato in produzione, ma ho verificato con curl e viene accettato dal server SDI.
Buongiormo,
ma solo a me risulta che il nuovo certificato client (loro client) NON sia firmato dalla solita caentrate.cer/der ?
Avevo attivato la verifica SSL client su nginx usando il caentrate ma da oggi alle 10 circa non va piu’ bene, eppure il nuovo SistemaInterscambioFatturaPA.cer_ dovrebbe essere stato firmato da quella, no ?
Oltretutto nella PEC con cui han mandato il SistemaInterscambioFatturaPA.cer_ parlano di allegata anche CA ma c’è UN solo file allegato…
bah…
Hai ragione, maledizione! Dalle 10 in poi non ci arrivano fatture. Nel log vedo errori di autenticazione SSL, ma non capisco perché.
Il nuovo certificato che ci hanno mandato (SistemaInterscambioFatturaPA.cer_) è firmato dalla stessa CA di sempre. Noi sul server non verifichiamo il certificato client specifico ma solo la CA e il CN del certificato client, che non è cambiato.
L’unica differenza che vedo è che il vecchio certificato aveva:
X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
mentre il nuovo ha solo:
X509v3 Key Usage: critical
Non Repudiation
Non vorrei che sia per questo che HAProxy lo rifiuta.
Io ne so poco di certificati purtroppo pero’ ho appunto visto che nginx non accetta la connessione da parte del client SDI se gli dico di verificare la catena con la CA “caentrate”:
ssl_verify_client on;
ssl_verify_depth 3;
ssl_client_certificate /etc/nginx/mycerts/prod/caentrate.cer;
ho dovuto disattivarlo 
secondo me han fatto casino, o hanno firmato male il nuovo cert o han cambiato quello di CA, ma non ha senso perchè in uscita (verso lo SDI) i certificati che ci han dato loro funzionano e son firmati con la vecchia CA…
mah!
Buongiorno,
anche il mio server e` dalle 10 di stamattina che non riesce a trasmettere e ricevere fatture.
Ho chiamato l’assistenza e ora sono riuscito a farmi mandare una fattura dal sistema di test.
Non ho modificato niente nella configurazione attuale di nginx
intanto chiariamo alcuni aspetti.
-
La CA del certificato è la stessa della volta scorsa e così sarà , si spera, per molto tempo, considerando che scade nel 2038 se ho letto bene.
-
Installando questo nuovo certificato, in effetti, l’utilizzo è ALL e non Client Authentication.
Probabilmente da qualche parte il vostro sistema è stringente su questa caratteristica? -
L’aggiornamento di stamattina non sposta di una virgola la parte di invio fatture.
A quanto pare sia HAProxy (che usiamo noi), sia nginx richiedono che il certificato client abbia clientAuth nel campo extendedKeyUsage.
Il nuovo certificato client del SdI non ce l’ha!!!
Il certificato client dell’ambiente di test (che hanno aggiornato a dicembre) invece sì, quindi il fatto che funzioni in ambiente di test non vuol dire che funzionerà in produzione.
1 Mi Piace
ah ecco, sogei ne ha combinata un’altra delle sue…
gli famo un DoS a forza di ticket ?
Comunque adesso ha ripreso a funzionare senza alcun cambio di configurazione, quindi devono aver sostituito il certificato.
Nel frattempo avevo scoperto come si faceva a disabilitare la verifica del key usage in HAProxy 
1 Mi Piace