menu di navigazione del network

DAS Elettronico

Buongiorno a tutti,
non riesco a risolvere un problema con l’invio del DAS Elettronico ai WebService dell’Agenzia delle Dogane.
Sto sviluppando un client in C# e quando invio il messaggio SOAP ho sempre lo stesso errore:
403 Forbidden - You don’t have permission to access this resource.
Ho provato anche con SOAP-UI, ma l’errore non cambia.
Per l’autenticazione ho generato il certificato di autenticazione client con il software DesktopDogane fornito dall’agenzia delle entrate; ho generato, sempre con DesktopDogane, la firma digitale per firmare i dati XML.

Qualcuno si è imbattuto nel mio stesso problema?
Serve qualcos’altro per essere abilitati all’invio del DAS Elettronico?

Da una faq pubblicata sul sito delle dogane, il loro firewall è molto stringente sugli accessi da web. Quindi, se provi ad accedere agli endpoint da browser e ti chiede il certificato, dovrebbe essere sufficiente.
Per la firma ci sto provando anche io, e penso che il certificato ottenuto da Desktop Dogane non sia valido, in quanto non è un ente accreditato (sempre leggendo i loro documenti). Credo che sia necessario un certificato esterno (di quelli disponibili su Smart Card o USB).

Ciao Giuseppe,
ho provato anche da browser per vedere se riuscivo a raggiungere in servizi, ma ho lo stesso errore.
Imposto l’URL https://interoptest.agenziadoganemonopoli.gov.it/MovimentazioniDASWeb/services/MovimentazioniDAS
seleziono il certifica generato con DesktopDogane e mi da lo stesso errore:

Comunque per inviare il DAS Elettronico non uso il browser.
Sto sviluppando un’applicazione che invia il messaggio SOAP ai loro WebService .
Tu riesci ad inviare il DAS ai WebService?

Grazie
Fabrizio

Prima che ti esca questo errore, ti chiede un certificato? Se si, allora va tutto bene, da codice devi solo instaurare una comunicazione https con un binding di tipo secure. Se no, devi installare il certificato nel browser.

L’invio riesco a farlo, ma mi dà errore firma…

Prima dell’errore mi chiede il certificato.
Seleziono il certificato che ho generato con DesktopDogane, e comunque dopo mi compare l’errore 403.
Il certificato è installato nel browser.

Si comporta come se il certificato non fosse valido o come se mancassero delle autorizzazioni.

Oltre al certificato di autorizzazione client, serve qualche altra abilitazione?

Per generare il certificato di autenticazione con DesktopDogane ho utilizzato il codice di Autorizzazione dell’azienda ed il codice AIC.

Anche per la Firma Digitale ho utilizzato DesktopDogane come riportato nella guida online del sito del Servizio Telematico delle dogane. La firma l’ho generata con il codice di autorizzazione della persona fisica che è stata registrata con Sottoscrittore.

Per l’autenticazione hai seguito delle procedure differenti?

Grazie mille, per il supporto.

Per l’accesso al web service, va tutto bene… Il loro Firewall è molto selettivo, e non fa vedere nulla. Ma se ti chiede il certificato, riesci a comunicare. Per la firma non saprei, sto ancora informandomi, ma trovo molto poco. Che tu sappia ci sono dei canali di assistenza tecnica direttamente con Sogei?

Direttamente con Sogei non credo.
Puoi chiamare l’agenzie delle dogane al 800-257428.
Ho aperto un ticket lunedì scorso (proprio per questo problema) e sollecitato quasi tutti i giorni e sono ancora in attesa che mi contattino dall’assistenza tecnica di Sogei.

Mi puoi confermare che è sufficiente il certificato di autenticazione (*.p12) e che non serve nessuna altra abilitazione per inviare le richieste al WebService?

Cosa usi per fare l’invio ai WebService?
Ho provato anche con SOAP-UI per fare dei test, ma ottengo sempre lo stesso errore.

…ci ho litigato abbastanza anch’io con questo webservice.
In sostanza anzitutto devi controllare per bene chi è l’intestatario del certificato, il quale deve essere Gestore delegato (persona fisica) per conto della “ditta carburanti”, essersi autenticato sul PUDM tramite SPID (non ho provato CNS) ed avere le autorizzazioni per DAS e Certificati.
Una volta ottenute queste certificazioni devi provvedere a generare il relativo certificato (fino a poche settimane fa, con alcuni comandi SSL ma ora è possibile utilizzare anche un’interfaccia piuttosto comoda - istruzioni sul PUDM).
Il certificato generato in sostanza incrocia una tua private key con la public key delle dogane (in questo modo sei autorizzato).
Per provarlo non inviare XML ma usa solo il metodo “welcomeTest”.

Per quanto riguarda la firma degli XML, devono essere firmati in XADES-BES (ovvero firma certificata embedded nel XML) e pertanto hai bisogno di un ulteriore certificato per la firma (tipo CNS o usb key Aruba).

In questo momento riesco a generare il DE815, inviarlo in automatico al webservice (senza che chieda conferme, password o altro), ricevere la risposta, interrogare gli esiti, recuperare il PDF col glifo etc…

Vorrei chiedere se qualcuno sa se esiste un servizio (in teoria dovrebbe esserci) per avere la lista degli eDAS ricevuti.
Inoltre ho ancora difficoltà ad interpretare il rapporto di ricezione (DE818) soprattutto in merito al “Dettaglio” (che è piuttosto confuso) e se qualcuno ha info, lo prego di darmi delle dritte…

Desktop Dogane non va bene né per certificato di autenticazione (che serve solo per la trasmissione) né per firmare il file XML.
Per l’autenticazione devi seguire passo-passo le istruzioni fornite dalle Dogane (entrando come Gestore Delegato nel portale con SPID), ovvero 1) generare le tue chiavi .der (rek e key), 2) caricare la request sul portale, 3) richiedere il certificato basato sulla tua req 4) scaricare il .cer del certificato generato, 5) trasformarlo nel formato .pem, 6) unirlo alla tua private key e generare così il .p12 del certificato, 7) installare il certificato nei certificati utente.

Per quanto riguarda la firma del XLM (XaDES-BES embedded) devi usare la CNS o chiavetta (Aruba o altro). Dike non ce la fa (solo Dike Pro) ma per fare dei test puoi usare FP6 (file protector, infocamere, free)

Ciao @FabrizioD, sei riuscito a risolvere qualcosa? Io pensavo di aver superato il problema, ma si è ripresentato nuovamente…

Ciao @meltigel, purtroppo sono ancora fermo.
Ho chiamato il numero verde delle Dogane e mi hanno spiegato che sia per il certificato di autenticazione che per la firma digitale si fa tutto dal portale delle Dogane entrando con lo SPID2 della persona nominata come gestore incaricato.
Purtroppo una telefonata precedente sempre all’assistenza delle Dogane mi aveva indirizzato male facendomi scaricare il software DesktopDogane che a quanto pare non funziona per i Web Service del DAS.
Adesso sono i attesa che il cliente si procuri lo SPID2 del gestore incaricato.
Solo allora potrò fare le verifiche.

Quindi il certificato ottenuto mediante il software “Desktop Dogane”, da “Gestione Certificati di Autenticazione” non è più valido? Perchè io ho quello, ma continua a darmi errore… Se mi dai conferma che è cosi, contatto anche io il mio cliente per dotarsi di SPID.

Questo è quello che mi ha detto l’assistenza tecnica l’ultima volta.
Mi è sembrato più competente rispetto ad altri che invece mi hanno portato sulla strada di Desktop Dogane (che a quanto pare serve per interrogare gli altri servizi offerti dalle Dogane).
Lo SPID deve essere di livello 2.
Purtroppo non ti so dare un riscontro diretto perchè non sono ancora riuscito a fare una verifica.
Se vuoi una conferma ti consiglio di chiamare il numero verde 800-257-428 e poi premi 4 (assistenza per l’invio di transazioni accise)

Vi confermo che il certificato di autenticazione generato dal Desktop Dogane non va bene per la trasmissione. Per generare il certificato di trasmissione bisogna attenersi alle istruzioni delle dogane (il Gestore Delegato si collega con SPID etc etc etc).
Fabrizio, non mi risulta che il certificato di firma digitale si possa generare dal portale dogane. Infatti per la firma XaDES è richiesto un livello di certificato piuttosto alto. Questo livello richiede che il certificato sia emesso da una CA riconosciuta (e Dogane non lo è) e che il certificato risieda su dispositivo sicuro (pertanto o CNS o USB tipo Aruba Key).
Per inciso anche a me le Dogane per 2 volte avevano dato risposte simili alle tue, ma poi ad una terza telefonata ho trovato qualcuno che ne capiva un po’ di più e mi ha detto che per la firma serve un certificato “certificato” (scusate il gioco di parole).

Grazie mille @col.Straker, a quanto pare è difficile ricevere un’assistenza completa in una botta sola :slight_smile:
Ti chiedo una cosa: per la firma come fai a fare le prove se il dispositivo (CNS o USB) è in possesso del cliente? Per le prove posso utilizzare anche firme non “certificate” o che non appartengono al gestore delegato?

Per fare le prove ti serve il certificato di trasmissione del cliente (basta il file, non credo serva nemmeno la password…). Per firmare il file ti basta una qualsiasi CNS/USB. Tecnicamente (per le prove) basta che il file sia firmato correttamente ed attualmente non vi è controllo di corrispondenza tra chi firma e la ditta o il gestore.
Il firmatario del XML è il responsabile di quel XML, quindi per le prove va bene anche una CNS “qualunque” purché valida. In produzione, ovviamente, meglio di no…

Scrivo qui come promemoria qualora qualche utente dovesse trovarsi nella stessa situazione.
Ho generato il certificato correttamente e ho scaricato due files (uno con estensione p12 secondo le direttive dogane, ed uno CADoganeMonopoli.pem). Quest’ultimo non so che farmene, nonostante lo abbia aggiunto nei certificati del pc, l’altro lo uso per impostare una connessione sicura con la Web Service.
Dopo una giornata passata sempre dietro lo stesso errore (‘Impossibile stabilire relazioni di trust per il canale sicuro SSL/TLS con l’autorità ‘interoptest.agenziadoganemonopoli.gov.it’.), decido di chiamare il numero verde di SOGEI e di aprire un ticket.
Mi rispondono cosi:
E’ stata impostata una delega diretta ad un codice fiscale di persona fisica. La delega diretta deve essere effettuata al codice fiscale della software house che al suo interno deve avere un delegato persona fisica per la gestione certificati (tramite l’applicazione Mio Profilo). Il certificato di autenticazione deve essere effettuato a nome della software house.
Se invece l’utente è un dipendente dell’azienda obbligata all’invio allora la delega deve essere “per mandato” e i due certificati di autenticazione, uno per l’ambiente di prova e uno per il reale, devono essere generati a nome dell’azienda obbligata

Ora, io ho nominato come gestore lo stesso proprietario dell’azienda, ho richiesto le due autorizzazioni, e ho impostato come delega il gestore precedentemente nominato. Ho generato i certificati.

A questo punto mi resta solo di chiedere un esempio di codice o di richiesta SOAP per capire come impostare i vari parametri…

Seguiranno aggiornamenti, se qualcuno ha novità si faccia avanti

…per la richesta SOAP dipende molto dal sistema di sviluppo che utilizzi. Il metodo migliore è importare il wsdl fornito dalle dogane e usare quello attivando il certificato sulla richiesta http… Ma, ripeto, dipende moltissimo dal tuo ambiente di sviluppo…

Finalmente funziona! Ho dovuto ricreare il certificato perchè era stato creato con delega “DIRETTA”, e non con delega “MANDATO”. Il sistema ovviamente restituisce un codice di tipo “FIRMA NON VALIDA”, perchè ovviamente sto firmando un documento con un certificato intestato ad una persona diversa da quella autorizzata alla comunicazione su Web Service.

@col.Straker volevo chiederti:
Come funziona il metodo “WelcomeTest”? Se gli passo un XML firmato mi restituisce il codice “-1”. E’ corretto? Sulla documentazione neanche lo nomina questo metodo…

In verità non ho capito bene nemmeno io come funziona.
Comunque io lo uso inviando unicamente i dati di base (cioè senza il file xml) e mi restituisce un errore in quanto appunto manca il file… Però così facendo verifico che la comunicazione sia corretta, nel senso che il certificato usato per la trasmissione sia corretto.
…dicevi che ti ritorna un “firma non valida” ma il web service non esegue il controllo sulla firma del xml ma solo sulla sua correttezza formale. Cioè puoi firmare il file con la CNS di chissà chi, non necessariamente con quello del gestore. magari ho interpretato male il tuo post, ma per me quel l’errore indica che il tuo sistema di firma del xml non funziona… (Ok, risolvibile)