Buonasera a tutti,
chiedo scusa per il disturbo, l’azienda per cui lavoro si è accreditata some Soggetto Aggregatore per Enti Pubblici (in particolare spid-publicsector-fullaggregator) e, dall’inizio di novembre, i nostri metadata non vengono più accettati (precedentemente ne avevamo inviati diversi senza problemi).
Abbiamo scritto diverse email ai vari contatti di spid e, alla fine, ci hanno risposto dicendo che adesso i metadata vengono validati con un nuovo strumento messo a disposizione in ambiente demo.
Naturalmente i nostri metadata non superano più i test di validazione e avremmo bisogno di qualche chiarimento sugli errori riscontrati.
Lo strumento di validazione dei pacchetti ZIP non mostra il dettaglio degli errori, quindi ci siamo rifatti alla sezione “check extra” per la validazione del singolo metadata :
186 SPID Compliant Certificates basicConstraints must be not critical
198 SPID Compliant Certificates policy 1.3.76.16.4.2.1 must be present
Gli errori sembrano da imputare al certificato che, però, è stato generato stesso da agid, dobbiamo fare richiesta per un nuovo certificato?
Oppure gli errori riguardano qualcos’altro?
Scusate ancora per il disturbo e grazie per l’attenzione.
Partiamo ragionando sugli OID del campo CertificatePolicies dei certificati:
L’OID 1.3.76.16.4.2.1 è quello prevista dall’Avviso 29 per i certificati relativi ai Service Provider pubblici.
Per gli Aggregatori full di Service Provider pubblici (spid-publicsector-fullaggregator), l’OID previsto dall’Avviso 19 è 1.3.76.16.4.2.2.
Un primo test che puoi fare è quindi verificare se il certificato che stai usando ha l’OID corretto. Puoi usare questo tool per decodificare le specifiche del certificato in tuo possesso.
In generale, il problema mi sembra derivare dal fatto che la piattaforma sembra considerare il tuo metadata come quello di un Service Provider pubblico invece che di un Aggregato di un Aggregatore di Servizi pubblici.
Se non ricordo male, l’Ambiente Demo permetteva la validazione di Aggregati, quindi il sospetto è che:
Vi sia un errore nel vostro metadata che trae in inganno l’Ambiente di validazione, oppure
La verifica che puoi fare è scaricare l’engine di validazione che sottende all’Ambiente Demo e lanciare da linea di comando una validazione con l’apposito parametro profile.
Dovresti ottenere indicazioni più precise.
Usando il tool per decodificare il certificato mi sembra che sia presente l’OID corretto :
X509v3 Certificate Policies:
Policy: 0.4.0.1862.1.6.2
Policy: 1.3.76.16.6
User Notice:
Explicit Text: Electronic certificate conforming with AGID Guidelines
User Notice:
Explicit Text: Certificato elettronico conforme alle Linee guida AgID
**Policy: 1.3.76.16.4.2.2**
User Notice:
Explicit Text: SPID: **aggregatore 'full' di servizi pubblici**
User Notice:
Explicit Text: SPID: public-services 'full' Aggregator
Policy: 0.4.0.2042.1.3
Policy: 1.3.76.16.4
CPS: https://eidas.agid.gov.it/cps/AgID_eIDAS_rootCA_cps.pdf
Policy: 0.4.0.1862.1.5
CPS: https://eidas.agid.gov.it/cps/AgID_eIDAS_rootCA_cps.pdf
Per quanto riguarda il tool di validazione, purtroppo al momento non ho un ambiente linux a disposizione e non riesco a buildarlo con docker, dovrò fare qualche ulteriore tentativo.
Nel frattempo, però, abbiamo ricevuto una mail da spid.techaggr@agid.gov.it dove ci hanno comunicato che i metadata sono validi.
Naturalmente sono un po’ confuso al momento, perché per il validator online i metadata continuano a non essere validi.
Inoltre, ad ora, funzionano solo su Aruba, TeamSystems, Lepida e Sielte.