hai ragione !
ho provato a riattivare la verifica client, confermo che ora ricevo correttamente.
Meglio pero’ tener d’occhio il log per un po’,non si sa mai…
Perfetto.
Risolto il mistero.
Nel frattempo, da circa un’ora, non funziona più nulla ad altri utenti che avevano correttamente modificato le configurazioni stamattina alle 10.30, perché tra le segnalazioni che avranno ricevuto e queste quattro righe che sono state scritte qui sul forum, stanno facendo un po’ di rollback a caso utilizzando i vecchi certificati.
Stiamo scrivendo altre pagine vergognose di questa entusiasmante saga.
2 Mi Piace
Buonasera a tutti,
scrivo qui perché siete la mia ultima risorsa per risolvere il mio problema;
noi abbiamo ricevuto a febbraio la PEC con questo avviso:
"I certificati necessari per l’interazione con il Sistema di Interscambio attraverso il Servizio SDICoop scadranno in data 26/04/2024 Il Sistema invierà automaticamente nuovi certificati all’indirizzo pec.xxxx@pec.xxx.it generandoli a partire dalle ultime CSR inviate. Se si ha la necessità di utilizzare nuove CSR per i nuovi certificati, occorre procedere con una richiesta di Emissione nuovi certificati disponibile sul sito: http://www.fatturapa.gov.it/ "
Ovviamente non abbiamo ricevuto nessun certificato. Purtroppo il collega che si occupava della gestione dei certificati (pubblici e privati) si è licenziato senza lasciare una sorta di memorandum su come procedere.
Ho provato a contattare il servizio clienti ma nessuno mi sa dare una risposta quindi chiedo a voi nella speranza di ottenere delle dritte o dei consigli in merito.
Vi ringrazio anticipatamente per la collaborazione.
Stefano
Chiedo venia. Non è stato rollback usando vecchi certificati (magari!!!), ma un certificato nuovo di zecca, fatto alle 14:56 di oggi pomeriggio 29 aprile, che ovviamente rompe la validazione di chi, pedissequamente, aveva validato non la CA, ma proprio il certificato stesso.
Se qualcuno è bloccato deve fare richiesta del certificato in esplicito a Sogei tramite l’assistenza.
Controllate la PEC. A noi i certificati vecchi scadono il 10/5. Il 12/3 ci hanno mandato una mail uguale a quella da te citata (di “promemoria”) e poi il 17/4 ci hanno mandato i nuovi certificati.
In ogni caso è sempre possibile generare certificati nuovi (come indicato nella mail dell’AdE), ma per farlo vi serve il file zip che è stato usato per la richiesta di accreditamento, che viene usato per autenticarsi al servizio “Gestire il canale” disponibile qui:
Come fare poi a installare i nuovi certificati, dipende dai vostri sistemi. Il certificato server va installato sul server web, mentre quello client probabilmente nell’applicativo, ma dipende tutto dal linguaggio/ambiente usato.
Grazie Vladan,
gli unici certificati che abbiamo ricevuto sono i seguenti:
- Certificato definitivo client
- Certificato definitivo server
- Certificato CA
già installati senza problemi.
La seconda PEC è stata quella di reminder in cui si avvisava che "Il certificato Sistema di InterscambioFatturaPa.cer, prossimo alla scadenza, parte pubblica del certificato CLIENT utilizzato dal Sistema di Interscambio per invocare i servizi da voi esposti, verrà sostituito il 29 aprile 2024 nella fascia oraria 10,00 11,00."
Queste sono le uniche PEC ricevute.
I certificati che ci aspettavamo di ricevere sono quelli che hanno questa denominazione:
edoc_italy_key_prod_000000000
ovvero i “private certificates” per ogni società ma non è arrivato nulla per questo non riusciamo a capire se dobbiamo richiederne degli altri o se c’è stato qualche disguido per cui si sono dimenticati di inviarceli… e la cosa fantastica è che il servizio clienti non sa darmi mezza spiegazione, l’ultimo operatore con cui ho parlato mi ha detto che dovrei chiamare SAP… da impazzire.
Grazie ancora
Stefano
Questo non credo che c’entri niente con SdI. E dal nome direi che contiene una chiave privata, corrispondente ad un qualche certificato.
Quando parli di “società”, intendi che avete canali SdI multipli, o che sullo stesso canale ricevete le fatture per aziende multiple?
Un canale SdI ha solo due chiavi e due certificati in gioco. In fase di accreditamento (o anche dopo, con la funzione che ho citato), uno si crea le due chiavi private e le corrispondenti CSR che l’AdE provvede a firmare, creando i due certificati, uno da usare per il proprio server, l’altro per il client. Quando i certificati scadono, l’AdE provvede a rilasciarne due nuovi, usando le stesse CSR originarie (e quindi le chiavi non cambiano).
Mi pare di capire che vi abbiano mandato i nuovi certificati e che li avete installati con successo.
La seconda mail riguarda invece il rinnovo del certificato client che loro usano per connettersi ai canali ed è quello di cui discutevamo ieri in questo thread. Anche questo l’hanno mandato via PEC, ma siccome era fatto male, ieri l’hanno cambiato, quindi quello inviato in precedenza è inutile. Se per autenticare il client di SdI usavate il solo certificato CA, questa parte continua a funzionare. Se verificavate puntualmente il certificato client, non funzionerà e dovete chiedere che vi mandino il nuovo certificato client di SdI.
Questo però non credo c’entri niente con i file di cui stai chiedendo. “edoc_italy_key_prod_000000000” non è sicuramente un nome generato dall’AdE. Nei certificati che mandano c’è sempre solo la partita IVA, mai il nome della società. Quindi è normale che il servizio assistenza dell’AdE non sappia aiutarti.
O si tratta della chiave corrispondente a uno dei certificati del canale, ma col nome cambiato, nel qual caso non serve fare niente perché i nuovi certificati usano le stesse chiavi, oppure è qualcosa che riguarda il vostro software e non SdI.
Noi abbiamo accreditato una sola società (la Capogruppo), infatti le PEC di aggiornamento arrivano solo sulla pec della Capogruppo. Ti confermo che i nuovi certificati, parte pubblica, li abbiamo ricevuti normalmente.
Ieri abbiamo provato ad emettere una fattura ma il messaggio di errore è stato questo:
quindi da quello che abbiamo capito, ma vorrei una conferma, il problema è che senza i certificati “private” il nostro SAP non si parla con lo SDI.
Posso chiederti come si chiamano i certificati che avete ricevuto voi il 17/4?
Grazie mille
La mail che abbiamo ricevuto, ha lo stesso contenuto di quella che avete ricevuto voi:
Alleghiamo i nuovi certificati necessari per interagire con il Sistema d’Interscambio secondo le modalità descritte all’indirizzo: http://www.fatturapa.gov.it/
In allegato:
- Certificato definitivo client
- Certificato definitivo server
- Certificato CA
Si ricorda di installare i nuovi certificati entro il 31/05/2021
In allegato c’era il file certificati.zip, con i seguenti 3 file:
- SDI-99999999999_client.cer
- SDI-99999999999_server.cer
- CAEntrate_prod.der
dove 99999999999 è la nostra partita IVA.
Non capisco cosa si intenda per certificati “private”.
Normalmente SSL/TLS prevede un “certificato” che contiene la chiave pubblica e i metadati e, in un file separato, la “chiave privata” corrispondente a quella pubblica (c’è solo la chiave senza metadati, non è un certificato!). Il certificato in sé è considerato “pubblico”. Volendo il certificato e la chiave possono essere combinati in un unico file (che deve rimanere privato) che può essere usato per l’autenticazione.
Ciao a tutti,
sto provando ad installare i nuovi certificati in scadenza a maggio 2024.
Sembra però che il certificato server nella voce Extended Key Usage abbia doppio valore client e server
X509v3 Extended Key Usage:
TLS Web Client Authentication, TLS Web Server Authentication
Infatti quando provo ad installarlo sul server Windows invece di installarmi i due certificati Client e Server Authentication mi sovrascrive quello client.
Qualcuno ha avuto lo stesso problema?
Sapete come si può risolvere?
Il problema della tipologia del certificato l’ho risolto andando a modificare le impostazioni del certificato direttamente sul pannello certificati di windows.
Ovviamente è sorto un altro problema. Sembra che il thumbprint del certificato SistemaInterscambioFatturaPA.cer che ci è stato inviato via mail non corrisponda a quello che effettivamente viene utilizzato dell’Sdi per contattare i nostri sistemi.
Questo ovviamente ha creato problemi in quanto le notifiche e le fatture in entrata sono state rifiutate dal nostro sistema dopo la verifica del certificato.
Possibile che il certificato che ci hanno mandato abbia un thumbprint diverso?
Esattamente quello che è successo.
Devi fare richiesta del nuovo in esplicito, solo che oggi è sabato.
Ho capito modifico la validazione per verficare la CA cosi da non avere più problemi nel prossimo rollback