openssl s_client -connect nomedelserver:443
CONNECTED(00000150)
depth=0 C = IT, O = Agenzia delle Entrate, OU = Fatturazione Elettronica, OU = Server, CN = SDI-XXX
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = IT, O = Agenzia delle Entrate, OU = Fatturazione Elettronica, OU = Server, CN = SDI-XXX
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
0 s:/C=IT/O=Agenzia delle Entrate/OU=Fatturazione Elettronica/OU=Server/CN=SDI-XXX
i:/C=IT/O=Agenzia delle Entrate/CN=CA Agenzia delle Entrate
---
Server certificate
-----BEGIN CERTIFICATE-----
XXX
-----END CERTIFICATE-----
subject=/C=IT/O=Agenzia delle Entrate/OU=Fatturazione Elettronica/OU=Server/CN=SDI-XXX
issuer=/C=IT/O=Agenzia delle Entrate/CN=CA Agenzia delle Entrate
---
No client certificate CA names sent
---
SSL handshake has read 1531 bytes and written 650 bytes
---
New, TLSv1/SSLv3, Cipher is AES128-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : AES128-SHA
Session-ID: XXX
Session-ID-ctx:
Master-Key: XXX
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1621521155
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
read:errno=10054senza fare altre manovre,
dopo decine di notifiche nella giornata di oggi finite con 403
ho appena ricevuto una notifica di scarto!!!
Questo mi fa pensare che non è configurata la validazione lato server del certificato del client… o che perlomeno non è specificato un elenco di CA possibili.
Salve Michele, ha verificato se l’errore nel log di IIS è il 403.17?
In questo caso trova la soluzione reinstallando il certificato su IIS tramite console e comando netsh impostando
verifyclientcertrevocation= Disable (se hai il certificato scaduto)
clientcertnegotiation=Enable
Io dopo aver installato i nuovi certificati (Da gestore Certificati) ricevevo ancora errori 403.17 dopo averlo reinstallato con netsh non ho più avuto scarti…
gli errori sono alternati 403 7 e 403 16
il 403.7 lo risolvi col mio post
netsh http show sslcert
ti restituisce l’elenco dei certificati installati
copiati il risultato prendi ID applicazione e Hash certificato del certificato installato sul tuo WebService
Disinstalla il certificato col comando
netsh http delete sslcert ipport=tuoip:porta
e installa il certificato col comando
netsh http add sslcert ipport=tuoip:porta certhash=hash_del_certificato_che_hai_cancellato appid={id_certificato_che_hai_cancellato} certstorename=My verifyclientcertrevocation=disable
Per l’errore 403.16 io lo ricevevo quando non avevo il certificato caentrate.der installato nell’autorità di certificazione attendibili ( deve essere installato sia in Account dell’utente che in Account del Computer)…
Questo può fare la differenza. IIS infatti utilizza un account amministrativo o comunque diverso da quello dell’utente loggato. Io ho specificato di installarlo ignorantemente in entrambi infatti.
come si vede dai miei screen il caentrate.der è installato correttamente provo a rimnuoverlo e reimportarlo grazie
Salve Michele, io non ho installato il SistemaInterscambioFatturaPA.cer tra i certificati delle autorità di certificazione radice attendibile… Nello screen che hai messo non si capisce se lo hai messo li… in caso prova a rimuoverlo…
P.S.: io ho anche mantenuto il vecchio caentrate…
beh avendolo inserito nei morecer quando importo il pfx mi importa automaticamente anche quelli
Buongiorno,
da ieri noi non stiamo più ricevendo nulla da SDI. Dopo il cambio certificato sembrava tutto ok e ricevevamo parecchio, dopo di che è morto tutto.
Qualcuno nello stesso problema?
Da SDI dicono che sia tutto ok, ma come ogni volta che ci sono problemi…
noi siamo due giorni che combattiamo 
Hai verificato nei log IIS se le chiamate vengono rifiutate col codice 403 16 o 403 7 ?
In caso devi aggiungere il certificato caentrate.cer tra le autorità radice attendibili
io non l’ho inserito nel morecer… Io ho combinato solo il vecchio caentrate.der con il nuovo CAEntrate_prod.der e poi con questi ho generato i 2 pfx (server e client).
Poi ho installato il CAEntrate_prod.der tra le Autorità radice (non ho importato il pfx…).
Su IIS immagino tu abbia già assegnato il nuovo certificato nel Binding del WS giusto?
No, io come da indicazioni loro e come avevo fatto 3 anni fa ho combinato caentrate_prod + SistemaInterscambioFatturaPA trasformato in pem e ho generato poi i pfx. poi per far vedere ad iis il certificato server lo devo importare nei certificati. quando faccio questo mi aggiunge automaticamente il ca entrate e ilSistemaInterscambioFatturaPA. Negli attendibili li ho aggiunti io manualmente, ma questa procedura ha funzionato 3 anni fa. Inizio a non dormire più
Hai provato ad interrogare il tuo webservice?
io ad esempio se chiamo la pagina https://miosito/RicezioneFatture_service.asmx mi viene richiesto il certificato per accedere… Se seleziono il certificato client che ho generato mi fa accedere e visualizzo i servizi… Tu riesci o ti da accesso negato?
accedo alla perfezione, mi chiede il mio certificato client e accedo regolarmente