SDICOOP (canale web services) - Rinnovo Certificati

noi siamo due giorni che combattiamo

Hai verificato nei log IIS se le chiamate vengono rifiutate col codice 403 16 o 403 7 ?
In caso devi aggiungere il certificato caentrate.cer tra le autorità radice attendibili

io non l’ho inserito nel morecer… Io ho combinato solo il vecchio caentrate.der con il nuovo CAEntrate_prod.der e poi con questi ho generato i 2 pfx (server e client).
Poi ho installato il CAEntrate_prod.der tra le Autorità radice (non ho importato il pfx…).
Su IIS immagino tu abbia già assegnato il nuovo certificato nel Binding del WS giusto?

No, io come da indicazioni loro e come avevo fatto 3 anni fa ho combinato caentrate_prod + SistemaInterscambioFatturaPA trasformato in pem e ho generato poi i pfx. poi per far vedere ad iis il certificato server lo devo importare nei certificati. quando faccio questo mi aggiunge automaticamente il ca entrate e ilSistemaInterscambioFatturaPA. Negli attendibili li ho aggiunti io manualmente, ma questa procedura ha funzionato 3 anni fa. Inizio a non dormire più

Hai provato ad interrogare il tuo webservice?
io ad esempio se chiamo la pagina https://miosito/RicezioneFatture_service.asmx mi viene richiesto il certificato per accedere… Se seleziono il certificato client che ho generato mi fa accedere e visualizzo i servizi… Tu riesci o ti da accesso negato?

accedo alla perfezione, mi chiede il mio certificato client e accedo regolarmente

ha ripreso a funzionareeeeeeeeeeeeeeeeeee misteri della fede

ottimo… Probabilmente problemi di bufferizzazione …

Anche a noi! Noi eravamo su un canale dedicato, per questioni di traffico… Abbiamo parlato con dei loro tecnici segnalando il problema, ci hanno switchato sul canale standard e… MAGIA! Tutto ok dalle 10:40 circa…

comunque continuano ad arrivare chiamate 403 7 poi quando rifanno l’invio notifiche o fatture arrivano correttamente. Non è il massimo

Buongiorno a tutti,
noi abbiamo ricevuto la mail in cui viene indicato:
Mancata generazione certificati SDICoop
La generazione dei certificati per la richiesta con ID: xxxxx
non è andata a buon fine perchè le CSR hanno chiavi private identiche. Doveta fare una nuova richiesta caricando CSR con chiavi private diverse.

La richiesta è ormai chiaro che si faccia da qui: https://sdi.fatturapa.gov.it/SdI2FatturaPAWebSpa/AccediAlServizioAction.do?pagina=gestire_canale&l=it

Ma qualcuno ha la modalità per creare chiavi private diverse?

Ho cercato nel forum ma non ho trovato la risposta, ma sicuramente è stato un problema in comune a molti.

Grazie anticipatamente a chiunque abbia delle info.

Con OpenSSL basta scrivere questi due comandi per creare le due chiavi distinte (il nome del file .key puoi sceglierlo a piacere):

 openssl.exe genrsa -out client.key 2048
 openssl.exe genrsa -out server.key 2048

Grazie.
Ricapitolo per tutti, la procedura va fatta due volte con nomi file differenti, una per il server e una per il client.

PER IL SERVER

Il primo passo consiste nella Generazione della chiave RSA mediante il comando:

openssl genrsa -out key2021server.key 2048

Il secondo passo consiste nella Generazione della CSR mediante il comando:

openssl req -new -key key2021server.key -out key2021server.csr

A questo punto bisogna indicare i dati della richiesta del certificato.

Si ricorda che nel common name deve essere indicato il Codice Fiscale del Sottoscrittore preceduto da ‘SDI-’ (esempio: SDI-12345678901):

Country Name (2 letter code) [AU]: IT

State or Province Name (full name) [Some-State]: Roma

Locality Name (eg, city) []: Roma

Organization Name (eg, company) [Internet Widgits Pty Ltd]: SOCIETA SRL

Organizational Unit Name (eg, section) []: Server

Common Name (eg, YOUR name) []: SDI-12345678901

Email Address []:

Please enter the following ‘extra’ attributes to be sent with your certificate request

A challenge password []:

An optional company name []:

PER IL CLIENT

Il primo passo consiste nella Generazione della chiave RSA mediante il comando:

openssl genrsa -out key2021client.key 2048

Il secondo passo consiste nella Generazione della CSR mediante il comando:

openssl req -new -key key2021client.key -out key2021client.csr

A questo punto bisogna indicare i dati della richiesta del certificato.

Si ricorda che nel common name deve essere indicato il Codice Fiscale del Sottoscrittore preceduto da ‘SDI-’ (esempio: SDI-12345678901):

Country Name (2 letter code) [AU]: IT

State or Province Name (full name) [Some-State]: Roma

Locality Name (eg, city) []: Roma

Organization Name (eg, company) [Internet Widgits Pty Ltd]: SOCIETA SRL

Organizational Unit Name (eg, section) []: Client

Common Name (eg, YOUR name) []: SDI-12345678901

Email Address []:

Please enter the following ‘extra’ attributes to be sent with your certificate request

A challenge password []:

An optional company name []:

A questo punto si otterranno i due file csr, che se non erro, basta rinominare in *.DER ed essere inviati per ottenere il file di RichiestaEmissioneCertificati.zip da inviare via pec a sdi01@pec.fatturapa.it.

Screenshot richiesta chiavi771×431 102 KB

<IdentificativoSdI>5115910992</IdentificativoSdI>
<NomeFile>RichiestaEmissioneCertificati.zip</NomeFile>
<Hash>755d98807b67b642fe159eb50e7622bd7993736745d818be1527d43cf5b787ce</Hash>
<DataOraRicezione>2021-05-24T17:17:13.000+02:00</DataOraRicezione>
<ListaErrori>
    <Errore>
        <Codice>00001</Codice>
        <Descrizione>Nome file non valido : Nome file non valido</Descrizione>
        <Suggerimento>Il file deve essere conforme alle regole di nomenclatura (idFiscale-inviante_progressivo.xml|p7m|zip), oppure (idFiscale-inviante_DF_progressivo.xml|p7m|zip) per i dati fatture  consultare il disciplinare tecnico per ulteriori dettagli</Suggerimento>
    </Errore>
</ListaErrori>

A parte il fatto che nella schermata viene comunicato un nome di file ma poi ne viene scaricato un altro… Ma a questo punto come va trattato questo zip scaricato?

Il file zip deve essere firmato prima di mandarlo via PEC a sdi01@pec.fatturapa.it (deve diventare un .p7m per capirci) c’e’ scritto nella schermata di generazione dei nuovi certificati!

Per completezza:
il file scaricato RichiestaEmissioneCertificati.zip è corretto anche se compare un altro nome file. Il file zip deve essere firmato ed inviato alla pec indicata. Non badate se dal supporto qualcuno vi indica di rinominare il file xml all’interno come se fosse una fattura…

Anche noi abbiamo messo oggi il certificato server nuovo e pure su macchina nuova con nuovo IIS.
Fatto un po’ di avvitamenti dopo iniziale serie di errorini (413 per dimensioni insufficienti della post, always on su app pool), ma permane una roba fastidiosa.
Nei log di IIS ogni tanto spara indietro http code 0. Zero.
Le cause possono essere molteplici ma noi abbiamo installato solo i certificati nuovi, quelli vecchi non li abbiamo messi proprio.
Che ogni tanto SDI chiami con root ca antica che noi non abbiamo proprio e li rimbalza diretto IIS? O qualcuno ha suggerimenti?
Ah, faccio presente che non abbiamo cambiato gli endpoint: abbiamo girato i DNS verso la nuova macchina.
Grazie

Dai nostri log hanno smesso di usare il vecchio certificato il giorno 19 alle 7:05 e hanno iniziato a usare il nuovo sempre il 19 alle 16:03.
Non ci risultano connessioni con “problemi” dagli IP di SDI.
Parliamo comunque di soli circa 2500 documenti quindi chi riceve molte più connessioni potrebbe avere altri esiti…

Grazie @avb2b
Il problema della terna
sc-status 0
sc-substatus 0
sc-win32-status 64
ha una casistica abbastanza ampia, ciò che mi preoccupa è che sulla vecchia macchina con il vecchio certificato server non lo dava mai.
Dev’essere qualche diavoleria di IIS, poi gli errori intermittenti così sono più difficili da individuare.
Se qualcuno avesse un’idea…

Non so se puo’ aiutare, ma questo link mi aveva salvato con gli errori random che avevo ogni tot chiamate:

Buongiorno a tutti,
noi a suo tempo avevamo utilizzato chiavi diverse per la generazione delle CSR, e infatti non ci è arrivato nessun errore, ma ad oggi sulla PEC non abbiamo ancora ricevuto i certificati nuovi e la cosa mi preoccupa. C’è qualcun altro in questa situazione? Dite che è meglio che faccio una nuova richiesta?