Salve a tutti,
ho la necessità di ricreare i certificati.
Immagino l’unica strada sia riaccreditare il canale.
Una volta fatto, occorre eliminare il vecchio? in che modo?
Avete qualche indicazione sulla procedura?
grazie
No, se devi solo cambiare i certificati non è necessario riaccreditare il canale.
Se vai nella sezione “Strumenti” del sito della fattura elettronica:
https://www.fatturapa.gov.it/export/fatturazione/it/strumenti.htm
nella sezione “Gestire il canale” troverai una funzione chiamata “Emettere nuovi certificati.”
ottimo grazie.
mi era sfuggito
suppongo di dover fare una nuova richiesta.
Ho però un’altra domanda: quando faccio la richiesta mi chiede solo i csr di produzione e non mi da la possibilità di differenziare quelli di test (che hanno un altro dominio testdominio.it)
Pertanto se devo installare il certificato server per il test mi trovo quello di produzione che ha nel csr inserito il CN dominio.it e non test.dominio.it
quindi?
faccio una richiesta per il test e poi la rifaccio quando vado in produzione?
Scusa, pensavo tu fossi già in produzione.
Mi sa che quella funzione sia pensata appunto per chi è già in produzione. Se sei ancora in fase di test, mi sa che ti tocca rifare la richiesta di accreditamento. Prova a sentire l’assistenza.
Sulle istruzioni durante l’accreditamento scrivevano di inserire sul CN SDI-xxxxxxxxxx che chiaramente va bene per il client ma nel server dipende dal dominio (scriverlo come promemoria non sarebbe stato male)
adesso che provo le notifiche sto installando il certificato e chiaramente me lo da non valido
…
Chi te lo dà non valido? Il client del SdI se ne frega del nome del host, va a verificare solo se il certificato è quello che ti hanno fornito. Noi abbiamo messo come CN proprio SDI-xxxxxxxx e funziona correttamente.
Volendo puoi anche mettere il hostname, ma dato che il certificato è firmato dall’AdE non è comunque considerato valido dai browser (a meno di non installare la CA dell’AdE nel sistema).
Adesso sul browser ho questa situazione:
NET::ERR_CERT_AUTHORITY_INVALID
Subject: SDI-xxxxxxxxxxxxxxxx
Issuer: CA Agenzia delle Entrate
Expires on: 31 mag 2021
Current date: 2 gen 2019
segni rossi ovunque. Non posso andare in linea così, anche funzionasse
altrimenti ho il mio certificato validissimo che però non va con l’agenzia delle entrate.
hanno detto che mi chiamerà SOGEI…mmmmm
mi conviene ritornare al mio certificato e provare ad imcapsulare la richiesta…ma caspita, nemmeno certificati validi rilasciano?
Ah, penso di aver capito… stai cercando di mettere il tuo applicativo web sullo stesso hostname del web service per il SdI?
Non si può fare. Ci sono altri topic qui in giro sull’argomento, ma la sintesi è che:
- Il client del SdI richiede di vedere sul server il certificato fornito dall’AdE
- Il certificato fornito dall’AdE non è considerato valido dai browser.
Quindi non è possibile usare lo stesso hostname per entrambe le cose.
Ti tocca usare un hostname separato per i collegamenti dal SdI. Puoi metterli entrambi sullo stesso server, ma c’è un altro problema:
Il client del SdI non supporta SNI. Questo vuol dire che hai due alternative:
- Usare anche due indirizzi IP separati
- Usare lo stesso indirizzo IP, ma esporre il certificato dell’AdE come default per i client che non supportano SNI.
ottimo, sai anche il motivo tecnico di questa perla? 
Fortunatamente sul server ho 2 IP statici, attiverò un applicazione solo per le notifiche.
ok grazie mille.
domani ormai, ora ho finito le batterie. Vediamo se riesco a metterlo in piedi in python.
Perché il certificato era emesso da una CA privata, che quindi nessun browser web riconosce. Segnalo che da alcuni mesi i certificati sono firmati con Let’s Encrypt quindi è possibile avere un sito web e l’endpoint di ricezione notifiche sullo stesso IP.
Questo è vero per il certificato server usato sui server del SdI, ma lo è anche per il certificato da usare sul proprio server?
Inoltre, da quello che ricordo, il CN del certificato era “SDI-XXXXXXXXXXX” (dove XXXXXXXXXXX è la propria partita IVA) e quindi non sarebbe comunque riconosciuto come valido da un browser. È cambiato qualcosa?
Si.
Questo è per il certificato client che usi per autenticarti presso lo SdI in luogo di user/password, ma il certificato che installis il tuo server ha come CN il nome a dominio.
I certificati vecchi (quelli che abbiamo noi sono stati rilasciati a ottobre 2018 con scadenza a maggio 2021) avevano entrambi (sia quello client che quello server) come CN la partita IVA.
Forse adesso le cose sono diverse però c’è qualcosa che non mi torna: come fa l’AdE a far firmare i certificati a Let’s Encrypt per dei domini di cui non ha il controllo e che non vengono verificati in alcun modo? Oppure la procedura di generazione dei certificati è cambiata e viene in qualche modo verificato il dominio?
Ora quello che installi sul tuo server deve avere l’hostname, quello client può avere, a tua scelta, SDI-nnnn o lo stesso hostname. La validazione del dominio di fatto c’è nel momento in cui passi i test richiesti per l’accreditamento. I certificati firmati con Let’s Encrypt sono quelli di produzione.
Non mi torna ancora…
Il certificato server di produzione che hai sul tuo server, lo fai firmare tu a Let’s Encrypt (usando il client apposito) e l’AdE si fida di un certificato firmato da terzi (purché il hostname corrisponda), o hai mandato la CSR all’AdE e loro ti hanno restituito il certificato firmato da Let’s Encrypt?