E’ sufficiente CAEntrate_prod.der. Noi abbiamo fatto così:
openssl pkcs12 -export -out SDI-XXXXXXXXXXX_client.pfx -inkey SDI-XXXXXXXXXXX_client.key -in SDI-XXXXXXXXXXX_client.pem -certfile CAEntrate_prod.pem
(Il file CAEntrate_prod.der, nonostante l’estensione del file, è già in formato pem, mentre il certificato client va convertito dal formato der in pem)
Una notifica di ricevuta consegna appena arrivata e tutto ok.
Nessuna fattura ricevuta ancora, ma a questo punto sono fiducioso!
Ok, grazie.
Per il certificato client, a quale ti riferisci? A noi il SdI ha mandato i due certificati client e server (.cer) e il CAEntrate_prod.der…
Arrivano anche le fatture ricevute.
Direi che è tutto a posto, ora ci tocca fare l’altro giro, quello del rinnovo certificati da esporre sul server e da usare per spedire.
Mi auguro che tutti voi siate altrettanto messi bene!
Buon lavoro
Intendo il vostro certificato client SDI-XXXXXXXXXXX_client.cer, che è in formato der e va convertito in formato pem prima di usarlo per creare il file pfx col comando che ho indicato.
Anche qui ha iniziato ad arrivare qualcosa col nuovo certificato… Le spedizioni le stiamo facendo col nuovo già da qualche giorno, quindi tutto bene!
Anche a noi funziona tutto. Sia invio che ricezione.
Purtroppo in ricezione non abbiamo il logging del certificato quindi non riesco a vedere se stanno usando quello vecchio o quello nuovo.
Ah ok, tutto chiaro, grazie!
A noi sono arrivate solo 2 invocazioni per la ricezione fatture passive, ma ambedue in 403. Adesso ho installato il nuovo certificato CA…spero sia sufficiente
Io ho concatenato vecchia e nuova CA, essendo su apache basta metterle nello stesso file… e sembra funzionare tutto… l’ultima fattura ricevuta è delle 16:30
Buon pomeriggio a tutti, spero possiate aiutarmi, perché inizio ad essere seriamente preoccupato.
Come tutti ho ricevuto una settimana fa un’e-mail che annunciava l’aggiornamento di oggi, 19/05/2021, del certificato “Sistema di InterscambioFatturaPa.cer”, con la formula: “Si ricorda che il nuovo certificato non comporta modifiche ai vostri sistemi a meno di avere implementato un controllo esplicito del vecchio certificato in scadenza.”.
Che io sappia i nostri sistemi non fanno alcun “controllo esplicito” (ma non sono un esperto di certificati, come posso accertarmene?) e comunque altri aggiornamenti con stessa identica comunicazione erano già avvenuti in almeno due occasioni precedenti: a ottobre del 2018 e a dicembre dello scorso anno. In entrambe le occasioni io non avevo fatto niente e il sistema aveva continuato a funzionare regolarmente e senza interruzioni.
L’aggiornamento di oggi è forse diverso da quello del 4 dicembre scorso?
Dalle 10:02 di stamattina non ho più ricevuto niente dallo SDI, con l’eccezione di una manciata di invocazioni finite in 403 (l’ultima alle 15:30). 
questa frase è un po’ ingannevole, molti infatti, secondo me, hanno il controllo esplicito senza rendersene conto, ad esempio chi usa IIS.
Il problema fondamentale è che da oggi l’AdE utilizza un certificato che ha una diversa CA che probabilmente non è censita dal tuo sistema.
Dovresti risolvere installando la nuova CA (caentrate.cer) fra i Trusted CA tuo server ( e rimuovere quella scaduta).
Molti hanno colto l’occasione per aggiornare col nuovo certificato server, operazione leggermente più complicata.
Ovviamente procedi solo se sai quel che stai facendo, io parlo dalla mia esperienza e non conoscendo assolutamente la tua configurazione su server, che potrebbe essere ben diversa… giusto per darti una possibile soluzione, voglio poter dormire tranquillo la notte 
Ahi… grazie Gianluca per la risposta, ma ho paura che stanotte sarò io a non dormire tranquillo… 
In effetti il mio server è un Windows Server, e usa proprio IIS.
Suggerisci che dovrei risolvere installando la nuova caentrate.cer ma non so da dove iniziare ma, purtroppo per me, sono uno sviluppatore “applicativo” e i certificati non sono il mio forte.
Nel file “Allegati.zip” ricevuto una settimana fa c’erano i files “caentrate_new.cer_” e “SistemaInterscambioFatturaPA.cer_”, e non ho idea di cosa farne.
Ma perché sono così complicati allo SDI?
E della loro assistenza non parliamone proprio.
Angelo… provo ad aiutarti e sappi che sono ignorante di certificati.
Purtroppo il thread parla di 3 cose contemporaneamente
Rinnovo certificato client per spedire le fatture
Rinnovo certificato server che espone la tua macchina che accoglie le fatture ricevute e le notifiche
Riconoscimento dei certificati client che SdI usa quando consegna fatture e notifiche
Il caos di oggi è sul punto 3.
SDI arriva consegnandoci notifica o fattura attraverso un proprio biglietto da visita che è un certificato suo client. Nella mail che hai ricevuto giorni fa, ti era stato indicato che nella giornata di oggi avrebbero modificato quel biglietto da visita, lasciandoti tranquillo con quel “devi preoccuparti solo se…”.
E invece se usi IIS devi preoccuparti a prescindere. IIS rimbalza, a meno di configurazioni cervellotiche, le chiamate che usano un certificato che non venga considerato “attendibile”; troverai errori del tipo 403.16.
Affinché sia attendibile, segui semplicemente quanto indicato da Gianluca pocanzi: installa la nuova CA tra i trusted ca del tuo server. Come fai? Doppio click, poi invece che dire “scegli da solo dove mettere” fai tu la scelta esplicita e seleziona “trusted…” dalle cartelle. Se ce l’ho fatta io, puoi farcela anche tu.
Consiglio: fallo per l’utente, ma se riesci installato proprio per la macchina. È la prima cosa che ti chiede l’installatore di certificati al doppio click.
Se poi ci tieni, installa anche il certificato ulteriore da qualche altra parte (io l’ho messo in other) in modo da sapere quando scadrà.
A quel punto, sei tranquillo.
Io poi ho fatto che verificare anche in modo più forte ancora il certificato entrante, ma suppongo tu non abbia questo controllo lato codice.
Grazie Morris, e grazie anche a Gianluca.
Ti chiedo solo se puoi indicarmi meglio cosa fare dei 2 files con estensione .cer_ che erano allegati alla famigerata mail.
Devo solo rinominare la caentrate_new.cer_ (se sì, che nome darle?) o devo farci qualcosa d’altro per arrivare al certificato “installabile” con il doppio click che mi hai indicato?
Rinominalo togliendo il carattere Underscore al fondo così al doppio click parte da solo a installare.
Il nome non conta nulla vai sereno.
È una procedura molto semplice.
Grazie Morris, ci provo subito.
Tutto fermo dalle 16.10 del pomeriggio…ma è normale?
La mia ipotesi e che in emergenza hanno fermato tutto per sistemare…ma mi sembra strano, visto che si sta protraendo un po’ troppo…voi avete ricevuto qualcosa dopo le 16 ?
Macchè…
Io, come suggerito da te e da Morris, ho poi installato i certificati caentrate_new.cer e SistemaInterscambioFatturaPA.cer, già più di un’ora fa, ma continuo a non ricevere niente.
Anche nei log di IIS non mi risulta nessuna chiamata dallo SDI fin dalle 15:30.
Almeno se ci fossero chiamate con stato 403, capirei che il certificato non è stato installato correttamente (o altri problemi del genere) e invece, niente, il nulla cosmico.
Qui sono arrivate in tutto 6 fatture dopo il cambio certificato, tutte con il nuovo certificato.
Oggi abbiamo spedito con i nuovi certificati circa 700 fatture ma per ora nessuna ricevuta (invio comunque ok).