dopo aver effettuato la registrazione al Canale di Accreditamento ho ricevuto dallo SDI la cartella KitDiTest, con i vari certificati al suo interno, e il Certificato Client CER_CLIENT_xxxxxxxxxxx.cer. Ma secondo la guida SAP che sto seguendo, (e secondo anche diverse discussioni che ho letto su questo forum) avrei dovuto ricevere anche un certificato _.sdi..cer, che però manca.
Avete riscontrato anche voi questa problematica? Credete possa aver sbagliato qualcosa in fase di registrazione?
Non mi risulta che sia mai esistito un certificato con il nome che finisce in _sdi.cer. Forse ti riferisci ai certificati SDI-<piva>_client.cer e SDI-<piva>_server.cer?
Da quello che hai scritto ho il sospetto che invece del file SDI-<piva>_client.cer ti hanno mandato il file CER_CLIENT_<piva>.cer (e analogaamente per il certificato server), ma dovrebbero essere la stessa cosa (ovvero dei certificati corrispondenti ai csr che hai caricato in fase di registrazione).
Si magari la denominazione _sdi.cer usata nella guida SAP non è corretta, ma comunque mi riferivo al certificato Server relativo al CSR Server che ho caricato.
Il CSR Client caricato ha come CN=”sdi-”, e per quello lo SDI mi ha restituito CER_CLIENT_.cer. Mentre il CSR Server l’ho creato usando come CN il dominio che uso per esporre gli endpoint del webservice della mia piattaforma. Può essere questo il motivo per cui non ho ricevuto il Certificato Server? O avrei dovuto riceverlo anche in questo caso?
Potrebbe essere, anche se in questo caso mi sarei aspettato qualche errore.
Non so cosa dicano le istruzioni adesso, ma quelle vecchie dicevano di mettere ‘SDI-<piva>’ nel CN di entrambi i csr, anche se in pratica l’AdE sostituisce sempre il Subject nel certificato finale, quindi non so se un CN diverso da quello atteso crei problemi o no.
Prova a vedere se puoi rigenerare i certificati con nuovi csr, mettendo il CN giusto. Se anche così non te li mandano, non ti resta che contattare l’assistenza.
In ogni caso non puoi avere il tuo dominio nel CN del certificato. Il certificato sarà ad esclusivo uso di SdI. E devi pure dedicargli un indirizzo IP, non potendo usare SNI.
La guida ufficiale sulla generazione delle CSR dice che si può fare, ma solo per il certificato del server:
per la CSR server si può scegliere se procedere come per la CSR client oppure se inserire nel Common Name l’hostname del server che ospita il servizio
In effetti SNI (cos’è SNI?) non è supportato, ma si può benissimo usare un server che viene usato anche per l’hosting di altre cose, purché a chiamate dirette all’indirizzo IP risponda il servizio SOAP della fatturazione.
Hai ragione, mi ero dimenticato che avevano introdotto questa possibilità (quando abbiamo fatto l’accreditamento noi, non era possibile). Però è un po’ inutile, dato che il certificato è firmato dalla CA dell’AdE che non è riconosciuta dai browser, quindi non lo puoi usare per il sito web.
Anche questo è vero, se sai come fare questa configurazione. Dai topic su questo forum sembra che la difficoltà maggiore nel mettere su un canale sia proprio la configurazione dei certificati (sia server che client), per questo do sempre il consiglio “usa un indirizzo IP dedicato”, perché è più semplice.