Grazie mille Vladan.
Buongiorno a tutti!
Va rifatta la procedura da capo per produrre il certificato utilizzato dal client in PFX o c’è qualche modo per aggiornare quest’ultimo?
Grazie.
Se ho capito bene, l’AdE invierà il nuovo certificato CA e un nuovo certificato client che usa la stessa chiave pubblica del CSR originario. Bisognerà quindi creare un nuovo file .pfx combinando il certificato client, il certificato della CA e la chiave privata originaria.
Ciao,
si infatti ho creato il nuovo pfx…ora la ca dell’agenzia delle entrate è da 4096 contro il i 2048 della precedente, ma all’invio della fattura risponde 403 forbidden, forse lato loro devono ancora abilitare il tutto.
Ho aperto un ticket, girerò la loro risposta per l’utilità di tutti.
Grazie.
salve a tutti, oggi ho ricevuto questa mail:
La generazione dei certificati per la richiesta con ID:XXXXXXX
non è andata a buon fine perché le CSR hanno chiavi private identiche.
Dovete fare una nuova richiesta caricando CSR con chiavi private diverse.
Cosa intendono per chiavi private identiche… Non capisco a cosa sia identica…
Il sospetto è che si riferiscano al fatto che le CSR per client e server sono state prodotte a partire dalla stessa chiave (cosa, credo, che abbiano fatto in tanti). Se così fosse, basterebbe produrre le due CSR a partire da chiavi diverse… Solo, non mi è chiaro se il problema sia questo, e non voglio innescare altri problemi…
Ciao @AlVann Ma quindi tu hai già ricevuto il nuovo certificato? Lo hai richiesto o te lo hanno mandato automaticamente?
Ciao @cesco69. Hai fatto una richiesta di nuovi certificati? Forse si riferiscono al fatto che le CSR inviate per la nuova richiesta utilizzano le stesse chiavi private utilizzate per i certificati emessi in precedenza che sono in scadenza a fine mese? E’ un’ipotesi… 
@LuigiC No, non ho fatto una nuova richiesta… mi avrebbero dovuto inviare i nuovi certificati (generati da loro). La mail di oggi si riferisce al fatto che tale generazione sia fallita a causa del fatto che le CSR hanno chiavi private identiche. Ma non capisco identiche a cosa… cioè, hanno fatto tutto loro da soli 
insomma se era un problema, lo era anche in fase di accreditamento, e li non hanno battuto ciglio sulle CSR inviate… mentre adesso boh… chi ci capisce niente…
A me non è arrivato ancora nulla ma anche noi abbiamo usato la stessa chiave per i due CSR.
@avb2b ma credo che tutti abbiano fatto così, perchè anche l’esempio proposto da loro suggeriva questo 
Intanto ho trovato questo Fatturazione elettronica PA - Aggiornate richieste di Certificate signing request (csr) e chiavi private distinte che conferma il problema:
In fase di accreditamento SDICoop è necessario indicare due certificate signing request (csr) client e server che abbiano chiavi private (RSA-Key) distinte.
Nel caso in cui i certificati siano prossimi alla scadenza e presentino csr con chiavi private identiche, si richiede di rigenerarli in autonomia
verrebbe da chiedersi allora, perchè in fase di accreditamento non facciano lo stesso controllo, evitando che dopo tre anni uno debba ricordarsi 'sto dettaglio di come sono state generate le CSR
Non so dirvi perchè (sono passati due anni e mezzo e non me lo ricordo!) ma noi avevamo chiavi private diverse per client e server. Proprio pochi minuti fa abbiamo ricevuto i nuovi certificati con indicazione di installarli entro il 06/06.
Appena possibile proverò a generare i PFX con i nuovi certificati inviati e le chiavi private che creammo 2 anni fa. Incrociamo le dita!!! 
Ciao a tutti, no non li ho richiesti sono arrivati di punto in bianco.
Il bello è che: come prima prova (consigliato da loro nella fase di accreditamento)
punto da browser a https://servizi.fatturapa.it/ricevi_file, scelgo il nuovo pfx che ho generato e accedo correttamente.
Invece impostando il nuovo certificato pfx nel client java per la spedizione delle fatture rispondono 403, mi puzza di “non abbiamo ancora aperto i rubinetti” come mi risposero la prima volta nel 2018, da ticket invece mi dicono che posso inviare con il nuovo certificato ma per ricevere le ricevute devo usare il vecchio fino a nuovo contrordine…
Vai di maalox!
Ecco arrivato anche a noi il KO…
Ecco, io mi chiedevo proprio questo. Il loro certificato CA, con cui è firmato il loro certificato client, scade il 31/5. Nel momento in cui lo sostituiscono, l’autenticazione del loro client da parte del nostro server fallirà, quindi sarebbe importante sapere quando hanno intenzione di farlo.
Dovrebbe però essere possibile configurare il server in modo che accetti certificati client firmati sia col vecchio certificato CA che con quello nuovo.
Mi sono accorto adesso che noi lo facciamo già per il servizio di test (il loro certificato client per i test è firmato con un certificato CA diverso) che noi abbiamo esposto sullo stesso host.
@AlVann anche noi abbiamo ricevuto automaticamente i 3 certificati rigenerati da loro (CA, client e server), abbiamo aggiornato regolarmente sulla nostra macchina virtuale, ma le richieste nei log sono quasi tutte 403: quasi tutte, perché’ stranamente alcune invece arrivavano correttamente (dallo stesso IP remoto di SDI, quindi immagino dalla stessa macchina).
Ovviamente abbiamo verificato tutto, compreso il clientcertnegotiation=Enable sul binding SSL del nostro server, che cambiando certificato si disabilita.
Per il momento abbiamo ripristinato i vecchi certificati, aspetteremo ancora un po’.
Evidentemente c’e’ qualcosa lato loro che non e’ pronto (i certificati che ci hanno mandato hanno validità dal 5/5/2021)…mah
Si 5/5/21 e 2038 il loro CA
Abbiamo scritto anche noi a SOGEI, giusto per avere qualcosa di ufficiale, attendiamo
Buongiorno,
volevo aggiungere che riesco a spedire le fatture attive con il nuovo certificato.
openssl pkcs12 -export -out sdi–client.pfx -inkey SDICoop-client.key -in SDI-xxxxxxxxxx_client.pem -certfile CAEntrate_prod.der
SDICoop-client.key è la chiave ottenuta in fase di accreditamento.
Per quanto riguarda la ricezione degli esiti cambieremo il certificato a nuova comunicazione di Sogei