SDICOOP (canale web services) - Rinnovo Certificati

ok, hanno ripreso ad inviare e lo stanno facendo col nuovo certificato CA.
Appena ho visto i primi messaggi scartati, ho “girato” tutto su un altro server che aveva già su il nuovo certificato con le nuove CA e già ho i primi messaggi consegnati con successo.

A noi ancora non arriva niente, nessun messaggio dalle 10.24

Quattro notifiche ore 12.10 <-> 12.35 a cui IIS (abbiamo macchina Windows) ha risposto 403.
Poi il silenzio.
Però avevamo messo un validatore C# che a naso non è stato coinvolto, questo mi preoccupa. Il validatore verifica il certificato guardando il base64 del rawdata.
Ho installato a quel punto la nuova CA nei trusted root certification della macchina e il nuovo certificato nel other people, anche se secondo me questo secondo passaggio non sposta nulla. Il primo potrebbe essere quello che fa sì che IIS non respinga di suo la chiamata perché la vede autenticata lato client con un certificato di root sconosciuta (ora non lo è più).
Ma al momento silenzio radio.
Teniamoci allineati

Ok, appena ho nuove notizie aggiorno qui sul forum. Su IIS ho anche il FailedReqLogFiles vuoto, e sto monitorando le richieste con Wireshark. Ma ancora niente…

1 Mi Piace

confermo che dopo aver ricevuto una decina di messaggi da parte dello Sdi, non ricevo più niente dalle 12.40.

Grazie, ho solo un duibbio, i pfx vanno creati concatenando tutti i certificati come spiegato qui:

oppure e’ sufficiente il CAEntrate_prod.der?

E’ sufficiente CAEntrate_prod.der. Noi abbiamo fatto così:

openssl pkcs12 -export -out SDI-XXXXXXXXXXX_client.pfx -inkey SDI-XXXXXXXXXXX_client.key -in SDI-XXXXXXXXXXX_client.pem -certfile CAEntrate_prod.pem

(Il file CAEntrate_prod.der, nonostante l’estensione del file, è già in formato pem, mentre il certificato client va convertito dal formato der in pem)

Una notifica di ricevuta consegna appena arrivata e tutto ok.
Nessuna fattura ricevuta ancora, ma a questo punto sono fiducioso!

Ok, grazie.
Per il certificato client, a quale ti riferisci? A noi il SdI ha mandato i due certificati client e server (.cer) e il CAEntrate_prod.der…

Arrivano anche le fatture ricevute.
Direi che è tutto a posto, ora ci tocca fare l’altro giro, quello del rinnovo certificati da esporre sul server e da usare per spedire.
Mi auguro che tutti voi siate altrettanto messi bene!
Buon lavoro

Intendo il vostro certificato client SDI-XXXXXXXXXXX_client.cer, che è in formato der e va convertito in formato pem prima di usarlo per creare il file pfx col comando che ho indicato.

Anche qui ha iniziato ad arrivare qualcosa col nuovo certificato… Le spedizioni le stiamo facendo col nuovo già da qualche giorno, quindi tutto bene!

Anche a noi funziona tutto. Sia invio che ricezione.
Purtroppo in ricezione non abbiamo il logging del certificato quindi non riesco a vedere se stanno usando quello vecchio o quello nuovo.

Ah ok, tutto chiaro, grazie!

A noi sono arrivate solo 2 invocazioni per la ricezione fatture passive, ma ambedue in 403. Adesso ho installato il nuovo certificato CA…spero sia sufficiente

1 Mi Piace

Io ho concatenato vecchia e nuova CA, essendo su apache basta metterle nello stesso file… e sembra funzionare tutto… l’ultima fattura ricevuta è delle 16:30

Buon pomeriggio a tutti, spero possiate aiutarmi, perché inizio ad essere seriamente preoccupato.

Come tutti ho ricevuto una settimana fa un’e-mail che annunciava l’aggiornamento di oggi, 19/05/2021, del certificato “Sistema di InterscambioFatturaPa.cer”, con la formula: “Si ricorda che il nuovo certificato non comporta modifiche ai vostri sistemi a meno di avere implementato un controllo esplicito del vecchio certificato in scadenza.”.

Che io sappia i nostri sistemi non fanno alcun “controllo esplicito” (ma non sono un esperto di certificati, come posso accertarmene?) e comunque altri aggiornamenti con stessa identica comunicazione erano già avvenuti in almeno due occasioni precedenti: a ottobre del 2018 e a dicembre dello scorso anno. In entrambe le occasioni io non avevo fatto niente e il sistema aveva continuato a funzionare regolarmente e senza interruzioni.

L’aggiornamento di oggi è forse diverso da quello del 4 dicembre scorso?
Dalle 10:02 di stamattina non ho più ricevuto niente dallo SDI, con l’eccezione di una manciata di invocazioni finite in 403 (l’ultima alle 15:30). :frowning_face:

questa frase è un po’ ingannevole, molti infatti, secondo me, hanno il controllo esplicito senza rendersene conto, ad esempio chi usa IIS.
Il problema fondamentale è che da oggi l’AdE utilizza un certificato che ha una diversa CA che probabilmente non è censita dal tuo sistema.
Dovresti risolvere installando la nuova CA (caentrate.cer) fra i Trusted CA tuo server ( e rimuovere quella scaduta).
Molti hanno colto l’occasione per aggiornare col nuovo certificato server, operazione leggermente più complicata.

Ovviamente procedi solo se sai quel che stai facendo, io parlo dalla mia esperienza e non conoscendo assolutamente la tua configurazione su server, che potrebbe essere ben diversa… giusto per darti una possibile soluzione, voglio poter dormire tranquillo la notte :smiley:

Ahi… grazie Gianluca per la risposta, ma ho paura che stanotte sarò io a non dormire tranquillo… :scream:

In effetti il mio server è un Windows Server, e usa proprio IIS.
Suggerisci che dovrei risolvere installando la nuova caentrate.cer ma non so da dove iniziare ma, purtroppo per me, sono uno sviluppatore “applicativo” e i certificati non sono il mio forte.
Nel file “Allegati.zip” ricevuto una settimana fa c’erano i files “caentrate_new.cer_” e “SistemaInterscambioFatturaPA.cer_”, e non ho idea di cosa farne.
Ma perché sono così complicati allo SDI?
E della loro assistenza non parliamone proprio.

Angelo… provo ad aiutarti e sappi che sono ignorante di certificati.

Purtroppo il thread parla di 3 cose contemporaneamente

  1. Rinnovo certificato client per spedire le fatture

  2. Rinnovo certificato server che espone la tua macchina che accoglie le fatture ricevute e le notifiche

  3. Riconoscimento dei certificati client che SdI usa quando consegna fatture e notifiche

Il caos di oggi è sul punto 3.
SDI arriva consegnandoci notifica o fattura attraverso un proprio biglietto da visita che è un certificato suo client. Nella mail che hai ricevuto giorni fa, ti era stato indicato che nella giornata di oggi avrebbero modificato quel biglietto da visita, lasciandoti tranquillo con quel “devi preoccuparti solo se…”.
E invece se usi IIS devi preoccuparti a prescindere. IIS rimbalza, a meno di configurazioni cervellotiche, le chiamate che usano un certificato che non venga considerato “attendibile”; troverai errori del tipo 403.16.
Affinché sia attendibile, segui semplicemente quanto indicato da Gianluca pocanzi: installa la nuova CA tra i trusted ca del tuo server. Come fai? Doppio click, poi invece che dire “scegli da solo dove mettere” fai tu la scelta esplicita e seleziona “trusted…” dalle cartelle. Se ce l’ho fatta io, puoi farcela anche tu.
Consiglio: fallo per l’utente, ma se riesci installato proprio per la macchina. È la prima cosa che ti chiede l’installatore di certificati al doppio click.
Se poi ci tieni, installa anche il certificato ulteriore da qualche altra parte (io l’ho messo in other) in modo da sapere quando scadrà.
A quel punto, sei tranquillo.
Io poi ho fatto che verificare anche in modo più forte ancora il certificato entrante, ma suppongo tu non abbia questo controllo lato codice.

3 Mi Piace