Ok, io ho ricevuto oggi i certificati, faccio così anch’io…
Se utilizzo la CA (CAEntrate_prod.der) inviata con i nuovi certificati il server rifiuta l’autenticazione. Con la vecchia CA funziona regolarmente. Posso concatenare caentrate.der+CAEntrate_prod.der ma non risolvo il problema; il 1/6/2021 il sistema non funzionerà.
Grazie in anticipo
Oppure il 19 metti su la roba nuova al posto della vecchia.
Se SDI dalle 10.30 alle 12.30 cambia i certificati, li cambi anche tu nello stesso momento e sei allineato, no?
Noi faremo così.
Confidando ovviamente che non facciano miscugli nuovi più vecchi nelle chiamate un po’ e un po’
DIpende dal certificato che usano quando spediscono… Adesso stanno usando quello vecchio (quindi serve la CA vecchia). Quando useranno quello nuovo, servirà la CA nuova.
Noi li abbiamo chiamati per avvisarli che la nuova non andava.
ci hanno detto che è strano e di richiedere dei nuovi certificati.
la domanda a questo punto è … ma a qualcuno vanno i nuovi certificati?
Noi abbiamo dovuto generare le due chiave private diversificate per client/server perche’ inizialmente usavamo la stessa.
Ora abbiamo ricevuto i due nuovi .cer client/server ed il nuovo CAEntrate_prod.der; se preparo i due pfx client e server e li installo il 31/05 (tipo a mezzanotte) funzionera’ tutto, no? Senza che impazzisco con vecchio e nuovo certificato…
I pfx li creo tramite OpenSSL cosi:
openssl pkcs12 -export -out c:\SdiCoop\SDI-xxxxxxxxxxx-client.pfx -inkey c:\SdiCoop\client.key -in c:\SdiCoop\SDI-xxxxxxxxxxx-client.pem -certfile c:\SdiCoop\CAEntrate_prod.der
openssl pkcs12 -export -out c:\SdiCoop\SDI-xxxxxxxxxxx-server.pfx -inkey c:\SdiCoop\server.key -in c:\SdiCoop\SDI-xxxxxxxxxxx-server.pem -certfile c:\SdiCoop\CAEntrate_prod.der
Corretto o mi sfugge qualcosa?
Grazie a tutti
Noi abbiamo fatto con successo quanto segue:
- aggiunto la nuova CA a quella vecchia (il nostro server gestisce CA multiple) per la validazione del certificato client (SDI) che si collega al nostro server. Ad oggi si stanno collegando ancora con il vecchio certificato (quindi viene usata la vecchia CA per la validazione). Mi aspetto che domani inizino ad usare quello nuovo e quindi il nostro server dovrebbe validare il certificato con la nuova CA (a questo punto la vecchia si potrebbe anche togliere).
- impostato il nuovo certificato server per rispondere alle chiamate da parte di SDI (il vecchio lo abbiamo rimosso).
Quanto sopra per ricevere fatture e ricevute.
Per l’invio invece abbiamo già iniziato ad usare il certificato client nuovo, quindi quando noi chiamiamo SDI, li chiamiamo con il nuovo certificato.
Anche noi eravamo nella situazione di avere i due certificati client/server con la stessa chiave, abbiamo ricevuto email per la rigenerazione, abbiamo creato i due nuovi cert con due chiavi, spedito il file firmato e ci hanno mandato i due certificati che ora sono già installati.
Quindi per noi al momento sta funzionando tutto con i certificati nuovi, scopriremo domani se, quando sdi inizierà a chiamare con il nuovo certificato, funzionerà anche la nuova CA che è installata in parallelo a quella vecchia.
Scusate, ma per quanto riguarda la scadenza del 31/05 le tempistiche per la consegna dei certificati quali sono? Come altri ho dovuto fare una nuova richiesta a causa delle “vecchie” CSR a suo tempo uguali.
Richiesta inviata il giorno 11 maggio via pec, come da indicazioni, ma a parte la notifica di accettazione della pec non ho avuto altre comunicazioni e comincio ad essere un po’ in ansia
Ciao,
noi abbiamo fatto esattamente come te ma ho dei dubbi perché ho ricevuto solo una ricevuta di consegna e niente più (stranissimo).
L’invio tramite i nuovi certificati client sempre regolare.
Per scrupolo li sto lasciando un altro po’ ma domani rimettere i vecchi certificati server.
Consigli?
Grazie.
Saluti.
Pian piano stanno arrivando le notifiche … magari solo dei rallentamenti
A noi hanno mandato i certificati dopo due giorni dalla richiesta.
Azz… Grazie per la risposta
Ultimo messaggio dallo Sdi ricevuto alle 10.24…hanno fermato tutto è stanno aggiornando imho. Mi aspetto che riparta verso le 12.30…ora limite annunciata.
Qualcuno ha ricevuto qualcosa?
Vediamo come va a finire…
Io sono fermo qui
May 19 07:05:56: 217.175.52.232:35008 [19/May/2021:07:05:55.954] sdi~ sdi-servers/mercury 126/0/0/2/+128 202 +85 - - ---- 35/1/1/1/0 0/0 {0,"/C=IT/O=Agenzia delle Entrate/OU=Servizi Telematici/CN=Sistema Interscambio Fattura PA","/C=IT/O=Agenzia delle Entrate/OU=Servizi Telematici/CN=CA Agenzia delle Entrate"} "POST /SDI/TrasmissioneFatture_service HTTP/1.1"
May 19 08:15:29: 192.35.168.16:58486 [19/May/2021:08:15:29.638] sdi/1: SSL handshake failure
May 19 11:26:08: 162.142.125.38:35342 [19/May/2021:11:26:07.871] sdi/1: SSL handshake failure
May 19 11:26:09: 162.142.125.38:34732 [19/May/2021:11:26:09.009] sdi/1: SSL handshake failure
May 19 11:26:10: 162.142.125.38:46478 [19/May/2021:11:26:09.376] sdi/1: SSL handshake failure
May 19 11:26:10: 162.142.125.38:52098 [19/May/2021:11:26:10.702] sdi/1: SSL handshake failure
May 19 11:26:10: 162.142.125.38:56544 [19/May/2021:11:26:10.842] sdi/1: SSL handshake failure
May 19 11:26:11: 162.142.125.38:35052 [19/May/2021:11:26:11.092] sdi/1: SSL handshake failure
May 19 11:43:42: 213.108.196.109:61013 [19/May/2021:11:43:39.730] sdi/1: SSL handshake failure
ultima trasmissione da SDI alle 7:05 con certificato vecchio, poi qualche errore (fortunatamente non dal solito IP di SDI).
Attendiamo fiduciosi…
ok, hanno ripreso ad inviare e lo stanno facendo col nuovo certificato CA.
Appena ho visto i primi messaggi scartati, ho “girato” tutto su un altro server che aveva già su il nuovo certificato con le nuove CA e già ho i primi messaggi consegnati con successo.
A noi ancora non arriva niente, nessun messaggio dalle 10.24
Quattro notifiche ore 12.10 <-> 12.35 a cui IIS (abbiamo macchina Windows) ha risposto 403.
Poi il silenzio.
Però avevamo messo un validatore C# che a naso non è stato coinvolto, questo mi preoccupa. Il validatore verifica il certificato guardando il base64 del rawdata.
Ho installato a quel punto la nuova CA nei trusted root certification della macchina e il nuovo certificato nel other people, anche se secondo me questo secondo passaggio non sposta nulla. Il primo potrebbe essere quello che fa sì che IIS non respinga di suo la chiamata perché la vede autenticata lato client con un certificato di root sconosciuta (ora non lo è più).
Ma al momento silenzio radio.
Teniamoci allineati
Ok, appena ho nuove notizie aggiorno qui sul forum. Su IIS ho anche il FailedReqLogFiles vuoto, e sto monitorando le richieste con Wireshark. Ma ancora niente…
1 Mi Piace
confermo che dopo aver ricevuto una decina di messaggi da parte dello Sdi, non ricevo più niente dalle 12.40.
Grazie, ho solo un duibbio, i pfx vanno creati concatenando tutti i certificati come spiegato qui:
oppure e’ sufficiente il CAEntrate_prod.der?