SDICOOP (canale web services) - Rinnovo Certificati

Fatturazione Elettronica
82

[contenuto del messaggio in inglese, le mie scuse]

Hello,

When we setup the ssl certs on first time, we received the following three files:

CA_Agenzia_delle_Entrate.pem
CA_Agenzia_delle_Entrate_all.pem
SDI-xxx-server.pem

For Haproxy, we concatenate SDI-server and our key to form the crt pem file:

cat SDI-xxx-server.pem my_user.key > SDI+key.pem

And this is the working configuration that we had running in Haproxy until now:

bind IP:443 ssl crt SDI+key.pem ca-file CA_Agenzia_delle_Entrate_all.pem ssl-min-ver TLSv1.0 verify optional

But the file that we received this week have different files:

SDI-xxx_client.cer
SDI-xxx_server.cer
CAEntrate_prod.der

I need to replace only the SDI-xxx_server.cer? For what are the _client.cer and _prod.der used for?

Thanks,

83

@Rica we never used the client certificate, until today we only used the SDI-xxx-server.cer to bind our SSL endpoint and to send invoices to SDICoop (it works).

The .der file contains the new CA (valid until 2038) needed to validate the certificates (the old CA will expire with current certificate at 31/5/2021)

HTH

84

@AlVann anche a noi l’invio funziona correttamente, ma siccome utilizziamo uno solo dei certificati (utilizziamo il certificato server sia per il binding del nostro endpoint che per inviare a SDI) se lo aggiorno riusciamo a spedire ma non a ricevere.

Aspetteremo, intanto non ho ancora avuto risposte ufficiali da SOGEI

85

@Negan When you call the “old CA”, what is exactly? the file called “CA_Agenzia_delle_Entrate.pem”?

Please, could you check if it have the same serial number that the one that I suppose?

$ openssl x509 -in CA_Agenzia_delle_Entrate.pem -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1073776 (0x106270)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C = IT, O = Agenzia delle Entrate, OU = Servizi Telematici, CN = CA Agenzia delle Entrate
Validity
Not Before: May 31 11:27:58 2011 GMT
Not After : May 31 11:26:11 2021 GMT

This is only for configure the SSL endpoint.

86

@Rica in our case the file was caentrate.der even the first time (now is caentrate_prod.der)

CA is the Certificate Authority, to import under Trusted Root Certification Authorities of your server.

Yes, 0x106270 il the old CA serial, the new one is longer because the new CA has a 4096 bit public key (the older one was 2048 bits)

87

Dopo aver fatto manualmente la richiesta per i nuovi certificati (avevamo anche noi il problema della stessa chiave per entrambi i certificati), abbiamo ricevuto, come gli altri, il file con i tre certificati: quello CA, il nostro certificato client e il nostro certificato server.

Rispetto al pacchetto di certificati che ci avevano dato nel 2018, mancano un sacco di cose:

  • Il certificato client usato da SdI quando si connette al web service del canale. Questo certificato è cambiato più volte nel tempo, ma è sempre firmato dalla loro CA e ha CN=“Sistema Interscambio Fattura PA”, che è quello che usiamo noi per autenticare il client SdI.
    La mia domanda è: quando inizieranno ad usare un certificato client firmato con il nuovo certificato CA? Il valore di CN sarà sempre uguale?
  • I certificati dell’ambiente di test. A differenza del server di produzione (servizi.fatturapa.it) che usa un normale certificato SSL, il server di test (testservizi.fatturapa.it) usa un certificato SSL firmato dalla loro CA di produzione. Il client dell’ambiente di test invece usa un certificato firmato dalla CA di test (in precedenza era nel file CAEntratetest.cer). Tutti questi certificati scadono il 31/5.
    Cosa succederà con l’ambiente di test? Come sarà il certificato client con cui si collegano al canale? Quando cambia?
1 Mi Piace
88

La risposta di SOGEI, manca ancora qualcosa

Gentile utente,
in attesa della scadenza stiamo inviando via pec il nuovo certificato server utilizzato per la connessione tls e il nuovo certificato client per autenticarsi a Sdi.
Manca il certificato client usato da Sdi (che sicuramente riceverete a breve sulla vostra mail) che, aggiornato insieme ai due, vi permetterà di caricare correttamente i nuovi CA. Fino a quel momento potete tranquillamente utilizzare i vecchi certificati, anche perchè validi fino al 30 maggio.
Cordiali saluti
Assistenza fatture e corrispettivi.

89

@Negan you’re right. The client cert isn’t needed, but if you configure it, it’ll work.

As example for others Haproxy users, the working conf:

Alternative 1:
bind IP:443 ssl crt /etc/ssl/certs/factura/SDI+key.pem ssl-min-ver TLSv1.0

Alternative 2 with client cert:
bind IP:443 ssl crt SDI+key.pem ca-file CA_Agenzia_delle_Entrate_all.pem ssl-min-ver TLSv1.0 verify required

Alternative workaround:
bind IP:443 ssl crt SDI+key.pem ca-file CA_Agenzia_delle_Entrate_all.pem ssl-min-ver TLSv1.0 verify optional ca-ignore-err all

But the CA_Agenzia_delle_Entrate_all.pem file contains inside two certs, the first one is the same that we commented before, just equal to the one on the file CA_Agenzia_delle_Entrate.pem, and the second one… maybe it’s an intermediate cert? but it’s invalid by date at this moment (but it works, extrange).

Content of CA_Agenzia_delle_Entrate_all.pem:

Certificate1:
Data:
Version: 3 (0x2)
Serial Number: 1073776 (0x106270)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C = IT, O = Agenzia delle Entrate, OU = Servizi Telematici, CN = CA Agenzia delle Entrate
Validity
Not Before: May 31 11:27:58 2011 GMT
Not After : May 31 11:26:11 2021 GMT

Certificate2:
Data:
Version: 3 (0x2)
Serial Number: 7166 (0x1bfe)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C = it, O = Agenzia delle Entrate, OU = Servizi Telematici, CN = CA Agenzia delle Entrate Test
Validity
Not Before: Dec 6 15:22:45 2010 GMT
Not After : Dec 6 15:21:52 2020 GMT

Up until this momment, please, correct if I’m wrong:

Old CA_Agenzia_delle_Entrate.pem (s/n 1073776) will be replaced by new CAEntrate_prod.der (s/n 2376274465471078202)

But what is going to replace CA_Agenzia_delle_Entrate_all.pem, in fact the second certificate (s/n 7166)? Is this the file that we’re going to receive by mail?

Thanks,

Note: Get serial number with “openssl x509 -in CAEntrate_prod.der -noout -text”

90

Buongiorno a tutti,
anche noi abbiamo il problema della chiave identica per i 2 certificati e dopo aver fatto la richiesta di nuovi certificati e inviato via pec a sdi01@pec.fatturapa.it il file prodotto da loro e firmato oggi mi scartano il file come se fosse una fattura elettrinca… con questi erroro:

<ListaErrori>
    <Errore>
        <Codice>00200</Codice>
        <Descrizione>File non conforme al formato</Descrizione>
        <Suggerimento>Verificare che il file inviato sia conforme al formato previsto</Suggerimento>
    </Errore>
    <Errore>
        <Codice>00200</Codice>
        <Descrizione>File non conforme al formato : La versione indicata in fattura non è presente tra quelle ammesse</Descrizione>
        <Suggerimento>Verificare che il file inviato sia conforme al formato previsto</Suggerimento>
    </Errore>
</ListaErrori>

sapete dirmi in cosa ho sbagliato? O se avete un link per scrivere direttamente a Sogei (sono passati più di 2 anni da quando ne ho avuto bisogno…).
Grazie per l’aiuto

Aggiornamento:
sono riuscito a contattare telefonicamente l’assistenza e mi hanno aperto un ticket…
Vi farò sapere cosa mi diranno ma mi hanno anticipato che è un problema noto…

91

A noi oggi sono arrivati i certificati CA e client per validazione chiamate da SDI.

Certificati server e client nostri invece ancora niente dopo aver inviato la richiesta con le due csr con chiavi diverse via pec. Quanti giorni ci mettono a riemettere i certificati ?
grazie

92

Abbiamo ricevuto anche noi la comunicazione relativa al fallimento della generazione dei nuovi certificati a causa delle CSR identiche.
Tralasciando i commenti, penso che il caricamento delle nuove CSR possa essere effettuato dalla pagina “Gestire il canale”, ma non ho ben chiaro se:

  • la loro validità diverrà immediata
  • riceveremo subito i nuovi certificati
    Questo per non andare giù con i servizi di invio/ricezione.
    Grazie a tutti
93

Mi autorispondo, sono arrivati ora anche i certificati client e server (un giorno e mezzo dopo la richiesta).

94

Si possono usare anche quelli vecchi fino a scadenza.

95

Oggi ci è arrivata una mail avente come oggetto “[FatturaPA] Sostituzione certificato client SDI” ed allegato uno zip, contenente :
caentrate_new.cer_
SistemaInterscambioFatturaPA.cer_
Domanda : ma di questi certificati cosa ne dobbiamo fare ?
Grazie in anticipo

1 Mi Piace
96

Servono se autenticate le chiamate da parte di SDI ai servizi esposti da voi.

97

Anche noi abbiamo ricevuto il certificato client SDI con relativa CA. Nella mail è specificato che questo certificato sarà sostituito il 19 maggio 2021 nella fascia oraria 10,30 – 12,30

98

Ciao Andrea, grazie mille. intendi fino alla scadenza del 31/05, giusto?
A te sta continuando a funzionare tutto con i vecchi certificati anche se hai ricevuto i nuovi certificati client e server?

99

Ciao, fino a qualche minuto fa funzionava tutto e non avevo ancora toccato nulla.
Da 10 minuti circa ho installato il nuovo certificato server e la nuova CA (in aggiunta a quella vecchia) e ho ricevuto alcune notifiche quindi continua a funzionare.
Le notifiche le hanno mandate col vecchio certificato quindi è indispensabile tenere la vecchia CA in aggiunta a quella nuova.

100

@avb2b in che senso hai tenuto la vecchia CA con la nuova? Hai fatto un pem concatenando entrambe, del tipo:

copy /b caentrate.der+CAEntrate_prod.der CA_Agenzia_delle_Entrate_all.pem

dove caentrate.der è la CA vecchia, mentre CAEntrate_prod.der quella nuova?

E poi lo piazzi come certificato unico della CA, del tipo su Apache sarebbe:

SSLCACertificateFile "CA_Agenzia_delle_Entrate_all.pem"

101

Si esatto ho convertito tutto in PEM e noi usiamo altro sistema non Apache, comunque il principio è quello di averle entrambe per validare entrambi i certificati, quello nuovo e quello vecchio.

1 Mi Piace