menu di navigazione del network

Rinnovo dei certificati fallita perchè le chiavi private sono identiche

salve a tutti, qualche giorno fa avevo ricevuto questa mail che mi avvisava che a giorni avrei ricevuto i nuovi certificati:

I certificati necessari per l’interazione con il Sistema di Interscambio attraverso il Servizio SDICoop scadranno in data 31/05/2021
Il Sistema invierà automaticamente nuovi certificati all’indirizzo pec xxxxx@yyyyy.it generandoli a partire dalle ultime CSR inviate. Se si ha la necessità di utilizzare nuove CSR per i nuovi certificati, occorre procedere con una richiesta di Emissione nuovi certificati disponibile sul sito: http://www.fatturapa.gov.it/

Oggi ho ricevuto questa mail:

La generazione dei certificati per la richiesta con ID:XXXXXXX
non è andata a buon fine perché le CSR hanno chiavi private identiche.
Dovete fare una nuova richiesta caricando CSR con chiavi private diverse.

Cosa intendono per chiavi private identiche… Non capisco a cosa sia identica…

Il sospetto è che si riferiscano al fatto che le CSR per client e server sono state prodotte a partire dalla stessa chiave (cosa, credo, che abbiano fatto in tanti). Se così fosse, basterebbe produrre le due CSR a partire da chiavi diverse… Solo, non mi è chiaro se il problema sia questo, e non voglio innescare altri problemi…

Intanto ho trovato questo https://www.fatturapa.gov.it/it/news/Aggiornate-richieste-di-Certificate-signing-request-csr-e-chiavi-private-distinte/ che conferma il problema:

In fase di accreditamento SDICoop è necessario indicare due certificate signing request (csr) client e server che abbiano chiavi private (RSA-Key) distinte.
Nel caso in cui i certificati siano prossimi alla scadenza e presentino csr con chiavi private identiche, si richiede di rigenerarli in autonomia

Ciao, anche a me è arrivata la stessa mail, in effetti quando ho fatto la richiesta ho usato la stessa key e me li hanno generati lo stesso. Comunque ho richiesto i nuovi certificati che mi sono arrivati ma quando genero il certificati .pem quello client è andato a buon fine, quello server mi da un errore invalid argument in x509. Siamo messi bene, per generare i pfx si devono fare un bel po’ di passaggi con la speranza che poi funzionino. Qualcuno ha avuto lo stesso problema?
Grazie

1 Mi Piace

Finalmente risolto :slight_smile:

Uh, complimenti, come hai fatto?

Devi fare la procedura due volte con nomi file differenti, una per il server e una per il client.
PER IL SERVER
Il primo passo consiste nella Generazione della chiave RSA mediante il comando:
openssl genrsa -out key2021server.key 2048
Il secondo passo consiste nella Generazione della CSR mediante il comando:
openssl req -new -key key2021server.key -out key2021server.csr
A questo punto bisogna indicare i dati della richiesta del certificato.
Si ricorda che nel common name deve essere indicato il Codice Fiscale del Sottoscrittore preceduto da ‘SDI-’ (esempio: SDI-12345678901):
Country Name (2 letter code) [AU]: IT
State or Province Name (full name) [Some-State]: Roma
Locality Name (eg, city) []: Roma
Organization Name (eg, company) [Internet Widgits Pty Ltd]: SOCIETA SRL
Organizational Unit Name (eg, section) []: Server
Common Name (eg, YOUR name) []: SDI-12345678901
Email Address []:
Please enter the following ‘extra’ attributes to be sent with your certificate request
A challenge password []:
An optional company name []:

PER IL CLIENT
Il primo passo consiste nella Generazione della chiave RSA mediante il comando:
openssl genrsa -out key2021client.key 2048
Il secondo passo consiste nella Generazione della CSR mediante il comando:
openssl req -new -key key2021client.key -out key2021client.csr
A questo punto bisogna indicare i dati della richiesta del certificato.
Si ricorda che nel common name deve essere indicato il Codice Fiscale del Sottoscrittore preceduto da ‘SDI-’ (esempio: SDI-12345678901):
Country Name (2 letter code) [AU]: IT
State or Province Name (full name) [Some-State]: Roma
Locality Name (eg, city) []: Roma
Organization Name (eg, company) [Internet Widgits Pty Ltd]: SOCIETA SRL
Organizational Unit Name (eg, section) []: Client
Common Name (eg, YOUR name) []: SDI-12345678901
Email Address []:
Please enter the following ‘extra’ attributes to be sent with your certificate request
A challenge password []:
An optional company name []: