Endpoint WS TrasmissioneFatture

Buonasera,
in fase di accreditamento ho inserito i seguenti endpoint:

  • prod: https://-dominio-/TrasmissioneFatture/TrasmissioneFatture.asmx
  • test: https://-dominio-/TrasmissioneFattureTest/TrasmissioneFatture.asmx

Sullo stesso server dove ho installato i ws gira all’indirizzo https://-dominio- l’applicazione web per la quale sto sviluppando l’integrazione di FE.
L’applicazione risponde già sulla porta 443 con un certificato diverso da quello ottenuto dall’Ade.

Leggendo in diversi punti di questo forum mi sembra di aver capito che non sia possibile avere sulla stessa macchina più di un servizio in ascolto sulla 443 se si vuol ricevere dallo SDI.
Questo vuol dire che devo dedicare completamente un nuovo server ai ws di TrasmissioneFatture?
Siccome gli endpoint che ho specificato in accreditamento sono dipendenti dal dominio associato ad un altro certificato, devo fare un nuovo accreditamento?
In questo caso dovrei prima procedere alla revoca del canale oppure posso procedere direttamente con un nuovo accreditamento in quanto la prima procedura non è stata terminata?

Grazie,
Alessandro

Non è necessario un nuovo server.

È sufficiente che -dominio- se chiamato dall’esterno restituisca esattamente n. 2 certificati: il certificato dell’AdE e quello della CA Entrate. Puoi verificarlo con questo tool: https://www.ssllabs.com/ssltest/

Non fare la verifica con un comune browser o con altri tool, in quanto i risulterà fuorviante poiché supportano di default una tecnologia che lo SDI non prevede (SNI).

Buongiorno Marco,
ma come si riesce a fare in modo che sulla stessa porta il server emetta due certificati differenti??
Installando i certificati dell’agenzia i webservice funzionano perfettamente ma la nostra web application non è più raggiungibile.
Ho pensato di configurare un altro virtualhost su una altra porta (ad esempio la 444) in modo da utilizzare come endpoint un indirizzo del tipo:
https://www.dominio.it:444/fe/server/trasmissione-fatture.php?wsdl
Ma non sono sicuro che funzioni e cmq dovrei anche revocare ed inserire nuovamente la richiesta di accreditamento (con tutto l’iter connesso). Se riuscissi a risolvere senza ri-accreditamento sarebbe una salvezza.

<VirtualHost *:443>
ServerName www.xxxxxxx.it
DocumentRoot C:/AppServ/www
ErrorLog C:/AppServ/Apache24/logs/error.log
CustomLog C:/AppServ/Apache24/logs/access.log combined

SSLEngine on 
#mycert
SSLCertificateFile C:/AppServ/Apache24/conf/ssl/localhost.cert
SSLCertificateKeyFile C:/AppServ/Apache24/conf/ssl/localhost.key
SSLCertificateChainFile C:/AppServ/Apache24/conf/ssl/intermediate_cert.cert

#fe-------------------

SSLCertificateFile “C:/AppServ/Apache24/conf/ssl/fe/SDI-xxxxxxxx-SERVER.pem”

SSLCertificateKeyFile “C:/AppServ/Apache24/conf/ssl/fe/keyserver.key”

SSLCertificateChainFile “C:/AppServ/Apache24/conf/ssl/fe/caentrate.der”

SSLCACertificateFile “C:/AppServ/Apache24/conf/ssl/fe/all.pem”

SSLStrictSNIVHostCheck off

Se i webservice funzionano, significa che i certificati sono corretti. La vostra applicazione non funziona perché il certificato della CA Entrate non è presente nella lista dei certificati fidati del sistema operativo o del browser.

Non puoi aggiungere altri certificati per quel dominio. Quando parlo di due certificati mi riferisco a quello rilasciato dall’AdE più quello della CA Entrate.

L’endpoint deve avere necessariamente porta 443, altrimenti il modulo di richiesta di accredito non ti lascia nemmeno proseguire.

Hai due possibilità:

  1. esporre la web application su un altro dominio, sottodominio o porta;
  2. cambiare l’endpoint e impostare un reverse proxy dal vecchio url al nuovo per evitare di ripetere la procedura di accredito.

Se la web application è usata solo internamente, e se non usate Chrome, puoi anche decidere di trustare il certificato della CA Entrate nel sistema operativo (se usate Firefox, va installato anche nel browser).

Grazie molte della risposta.
Sono molto interessato al punto 2 in relazione alla possibilità di non ripetere la procedura di accredito:
" cambiare l’endpoint e impostare un reverse proxy dal vecchio url al nuovo per evitare di ripetere la procedura di accredito."
Ma per cambiare l’endpoint, l’agenzia mi ha risposto che devo necessariamente revocare la richiesta ed aggiungerne una nuova (quindi immagino che i test eseguiti vengano azzerati).
Avessi avuto la possibilità di cambiare solo gli endpoint, avrei già potuto aggiungere allo stesso server un altro dominio specifico per gestire gli endpoint (con un virtual host - standard cioè come il primo della lista).
Quindi, sullo stesso server, un virutal host per gestire l’attuale dominio con la sua web application ed un altro virtual host (con un nuovo dominio) per gestire solo gli endpoint.
Ma purtroppo rimane la questione del ri-accreditamento salvo mi sfugga qualcosa.

G.

Al punto 2 intendevo dire che imposti sul tuo web server un reverse proxy dal vecchio URL al nuovo, tramite una direttiva di configurazione. Il reverse proxy è analogo un redirect, ma totalmente trasparente, in questo modo non devi riaccreditarti. L’AdE continuerà a inviarti fatture e notifiche sul vecchio endpoint e il tuo webserver farà da tunnel, in maniera completamente trasparente, con il nuovo endpoint.

PS: non fare redirect 301/302 perché non sono supportati da SdI.