SDICOOP (canale web services) - Rinnovo Certificati

openssl s_client -connect nomedelserver:443
    
CONNECTED(00000150)
    depth=0 C = IT, O = Agenzia delle Entrate, OU = Fatturazione Elettronica, OU = Server, CN = SDI-XXX
    verify error:num=20:unable to get local issuer certificate
    verify return:1
    depth=0 C = IT, O = Agenzia delle Entrate, OU = Fatturazione Elettronica, OU = Server, CN = SDI-XXX
    verify error:num=21:unable to verify the first certificate
    verify return:1
    ---
    Certificate chain
     0 s:/C=IT/O=Agenzia delle Entrate/OU=Fatturazione Elettronica/OU=Server/CN=SDI-XXX
       i:/C=IT/O=Agenzia delle Entrate/CN=CA Agenzia delle Entrate
    ---
    Server certificate
    -----BEGIN CERTIFICATE-----
    XXX
    -----END CERTIFICATE-----
    subject=/C=IT/O=Agenzia delle Entrate/OU=Fatturazione Elettronica/OU=Server/CN=SDI-XXX
    issuer=/C=IT/O=Agenzia delle Entrate/CN=CA Agenzia delle Entrate
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 1531 bytes and written 650 bytes
    ---
    New, TLSv1/SSLv3, Cipher is AES128-SHA
    Server public key is 2048 bit
    Secure Renegotiation IS supported
    Compression: NONE
    Expansion: NONE
    No ALPN negotiated
    SSL-Session:
        Protocol  : TLSv1.2
        Cipher    : AES128-SHA
        Session-ID: XXX

        Session-ID-ctx:
        Master-Key: XXX
        Key-Arg   : None
        PSK identity: None
        PSK identity hint: None
        SRP username: None
        Start Time: 1621521155
        Timeout   : 300 (sec)
        Verify return code: 21 (unable to verify the first certificate)
    ---
    read:errno=10054

senza fare altre manovre,
dopo decine di notifiche nella giornata di oggi finite con 403
ho appena ricevuto una notifica di scarto!!!

Questo mi fa pensare che non è configurata la validazione lato server del certificato del client… o che perlomeno non è specificato un elenco di CA possibili.

mmm guarda allegato

e ancora


immagino debba richiedere nuovamente i certificati

Salve Michele, ha verificato se l’errore nel log di IIS è il 403.17?
In questo caso trova la soluzione reinstallando il certificato su IIS tramite console e comando netsh impostando
verifyclientcertrevocation= Disable (se hai il certificato scaduto)
clientcertnegotiation=Enable

Io dopo aver installato i nuovi certificati (Da gestore Certificati) ricevevo ancora errori 403.17 dopo averlo reinstallato con netsh non ho più avuto scarti…

gli errori sono alternati 403 7 e 403 16

il 403.7 lo risolvi col mio post

netsh http show sslcert
ti restituisce l’elenco dei certificati installati

copiati il risultato prendi ID applicazione e Hash certificato del certificato installato sul tuo WebService

Disinstalla il certificato col comando

netsh http delete sslcert ipport=tuoip:porta

e installa il certificato col comando

netsh http add sslcert ipport=tuoip:porta certhash=hash_del_certificato_che_hai_cancellato appid={id_certificato_che_hai_cancellato} certstorename=My verifyclientcertrevocation=disable

Per l’errore 403.16 io lo ricevevo quando non avevo il certificato caentrate.der installato nell’autorità di certificazione attendibili ( deve essere installato sia in Account dell’utente che in Account del Computer)…

Questo può fare la differenza. IIS infatti utilizza un account amministrativo o comunque diverso da quello dell’utente loggato. Io ho specificato di installarlo ignorantemente in entrambi infatti.

come si vede dai miei screen il caentrate.der è installato correttamente provo a rimnuoverlo e reimportarlo grazie

@computerscenter Fatto tutto con netsh sempre uguale.

Salve Michele, io non ho installato il SistemaInterscambioFatturaPA.cer tra i certificati delle autorità di certificazione radice attendibile… Nello screen che hai messo non si capisce se lo hai messo li… in caso prova a rimuoverlo…
P.S.: io ho anche mantenuto il vecchio caentrate…

beh avendolo inserito nei morecer quando importo il pfx mi importa automaticamente anche quelli

Buongiorno,
da ieri noi non stiamo più ricevendo nulla da SDI. Dopo il cambio certificato sembrava tutto ok e ricevevamo parecchio, dopo di che è morto tutto.
Qualcuno nello stesso problema?
Da SDI dicono che sia tutto ok, ma come ogni volta che ci sono problemi…

noi siamo due giorni che combattiamo :frowning:

Hai verificato nei log IIS se le chiamate vengono rifiutate col codice 403 16 o 403 7 ?
In caso devi aggiungere il certificato caentrate.cer tra le autorità radice attendibili

io non l’ho inserito nel morecer… Io ho combinato solo il vecchio caentrate.der con il nuovo CAEntrate_prod.der e poi con questi ho generato i 2 pfx (server e client).
Poi ho installato il CAEntrate_prod.der tra le Autorità radice (non ho importato il pfx…).
Su IIS immagino tu abbia già assegnato il nuovo certificato nel Binding del WS giusto?

No, io come da indicazioni loro e come avevo fatto 3 anni fa ho combinato caentrate_prod + SistemaInterscambioFatturaPA trasformato in pem e ho generato poi i pfx. poi per far vedere ad iis il certificato server lo devo importare nei certificati. quando faccio questo mi aggiunge automaticamente il ca entrate e ilSistemaInterscambioFatturaPA. Negli attendibili li ho aggiunti io manualmente, ma questa procedura ha funzionato 3 anni fa. Inizio a non dormire più

Hai provato ad interrogare il tuo webservice?
io ad esempio se chiamo la pagina https://miosito/RicezioneFatture_service.asmx mi viene richiesto il certificato per accedere… Se seleziono il certificato client che ho generato mi fa accedere e visualizzo i servizi… Tu riesci o ti da accesso negato?

accedo alla perfezione, mi chiede il mio certificato client e accedo regolarmente