Salve,
dove trovo il certificato X.509 contenente la chiave pubblica per la verifica della firma XAdES in una ricevuta di consegna?
Estrarlo dall’elemento <ds:X509Certificate> contenuto nella ricevuta stessa non sarebbe sicuro: chiunque potrebbe creare una ricevuta di consegna e firmarla con un proprio certificato.
Dove trovo la chiave pubblica del certificato “ufficiale”?
Posso usare quello presente nei file di esempio (Fatturazione elettronica PA - Documentazione Sistema d'Interscambio > Esempio di Ricevuta di consegna versione 1.0)?
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Grazie
Salve,
esaminando una ricevuta di consegna proveniente da SdI, sembra che il certificato da usare per la verifica della firma sia il seguente:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
È il certificato corretto?
Grazie
vbato
24 Marzo 2022, 5:10pm
3
Da quello che vedo, il certificato usato nella ricevuta di consegna risulta a sua volta firmato dal certificato root dell’AdE (“CA Agenzia delle Entrate”) che viene fornito dall’AdE (nome del file “CAEntrate_prod.der”, anche se è in formato pem) quando si attiva il canale SdI e nei successivi aggiornamenti che arrivano via PEC (l’ultimo a maggio 2021, mi pare).
vbato
25 Marzo 2022, 6:39pm
5
Quello è il vecchio certificato CA, scaduto il 31/5/2021, come puoi verificare tu stesso.
Il nuovo certificato CA è il seguente:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Come potrai verificare tu stesso, la chiave è quella usata per firmare il certificato che hai trovato nella ricevuta di consegna.
tappoz
26 Marzo 2022, 2:37pm
6
Grazie per il certificato! Da dove arriva? C’è un link o una pagina web pubblica dai quali si può scaricare questo certificato? Grazie ancora
vbato
27 Marzo 2022, 10:26pm
7
Come ho scritto in un precedente messaggio, il certificato CA dell’AdE viene fornito via PEC a tutti quelli che attivano un canale SdI (anche perché è usato per firmare i certificati client e server del canale, nonché il certificato client del SdI), ma non sembra che l’abbiano pubblicato online.@danilopiazza , ma lì c’è ancora il certificato vecchio. Credo che banalmente si siano dimenticati di aggiornare la pagina.