Qui da me, da un quarto d’ora a questa parte, la situazione sembra essersi sbloccata e mi sono già arrivate una dozzina di fatture e 4 notifiche. Incrocio le dita.
Anche a me la situazione si è improvvisamente sbloccata verso le 20 ma sono arrivate fatture e notifiche con presentazione sia del certificato nuovo che vecchio (saranno state in canna prima dello stop di stamattina?). Usando IIS, ho per ora riattivato anche il mapping al certificato SistemaInterscambioFatturaPA usato fino a stamattina che avevo disabilitato.
fino alle prime ore del 20/05 arrivavano le fatture ma le notifiche andavano in errore 403 7 poi non è arrivato piu nulla fino all 23 del 20/05 dopodichè tutto in errore 403 7 e 403 16. Preoccupatissimo
dipende molto dagli interventi che hai fatto.
- hai installato le nuove Certification Authority? (quelli di Allegati.zip)
- Ne hai approfittato per aggiornare il certificato server ? (quello specifico per il tuo server)
Se non hai fatto nessuno dei 2 punti va almeno fatto il punto 1. Come spiegato da me e @Morris a @AngeloV negli scambi precedenti. (ammesso che tu abbia IIS)
direi di si ho fatto tutti e due i passaggi, nell’allegato zip ci sono due file SistemaInterscambioFatturaPA.cer e caentrate_new.cer (che lo stesso che mi hanno mandato con i miei certificati ed è CAEntrate_prod.der) ho generato i miei due pfx il client per la trasmissione funziona. ho sostituito quello server con quello nuovo (intendi questo nel passo 2? ) ma nulla sempre stesso errore
La CA nuova la riconosce ? Casomai se hai un log puoi verificare come mai va in 403…
Da noi gira tutto bene e stiamo ricevendo tutto con il nuovo certificato + nuova CA cioè
cert
“/C=IT/O=Agenzia delle Entrate/OU=Servizi Telematici/CN=Sistema Interscambio Fattura PA”
ca
“/C=IT/O=Agenzia delle Entrate/CN=CA Agenzia delle Entrate”
non ho rimosso quelli vecchi ma non credo possa influire. non ho toccatto il mapping dei certificati da iis avete modificato il mapping voi?
Io non ho IIS quindi non ti so rispondere su questo, posso immaginare che i vecchi si possano rimuovere visto che da me arriva tutto col nuovo, ma non so se ad altri sta arrivano un mix vecchio/nuovo.
rimuovi i vecchi CA e prova (se hai cambiato anche il tuo del server non servono più visto che l’adE usa il nuovo certificato… dovresti comunque averli e se vuoi essere più sicuro prima di rimuoverli li esporti e li salvi, essendo solo chiavi pubbliche dovrebbe farti fare l’export).
Io ad esempio ho dovuto rimuoverli perchè altrimenti IIS si rincoglioniva e non funzionava.
@Rambaldi forse ha un problema più importante.
Dico: il comportamento diverso di notifiche e fatture ricevute non dovrebbe avvenire, a meno che non si sia fatto qualche gioco sadomaso sulle configurazioni.
Hai messo le mani nella sezione del onetomany, manytomany, e ste robe qua? --> https://docs.microsoft.com/en-us/troubleshoot/iis/configure-many-to-one-client-mappings
https://docs.microsoft.com/en-us/iis/manage/configuring-security/configuring-one-to-one-client-certificate-mappings
Questa roba di “mapping” non è solo nell’esposizione del proprio certificato server, ma può scendere più in profondità nella validazione delle chiamate.
In quel caso è un po’ più tortuosa la strada.
IO farei che disabilitare quella roba, fidandomi del certificato e stop: se l’hai censito nella root CA nei TRUSTED, sei a posto. Torna indietro nel punto 2 perché può anche essere che il nuovo certificato che hai esposto lato server non sia buono, o il binding che hai messo su IIS sia sbagliato.
@morris nessun gioco sadomaso, ho importato i pfx sia client (che funziona) sia server. nel binding ho cambiato solo il certificato. ha iniziato a dare codici 200 e 403 così random poi dopo lo stop di ieri solo piu 403. bella storia
Buongiorno a tutti! Premetto che non ho seguito tutta la procedura dall’inizio perchè l’ha seguita un mio collega. Però sono riuscita ad aggiornare i certificati. Non so se ho utilizzato il metodo corretto perchè da quanto ho capito noi stavamo andando ancora coi certificati di test.
Ho seguito i seguenti step:
-
openssl x509 -inform der -in SDI-<p.iva>-client.cer -out SDI-<p.iva>-client.pem
openssl x509 -inform der -in SDI-<p.iva>-server.cer -out SDI-<p.iva>-server.pem -
openssl x509 -inform der -in SistemaInterscambioFatturaPA.cer -out SistemaInterscambioFatturaPA.pem
-
Unire i file caentrate.cer + servizi.fatturapa.it.cer + SistemaInterscambioFatturaPA.pem per creare morecert.pem
(Non so se sia necessario SistematInterscambioFatturaPA. Io l’ho aggiunto comunque) -
openssl pkcs12 -export -out SDI-<p.iva>-client.pfx -inkey .key -in SDI-<p.iva>-client.pem -certfile morecert.pem
openssl pkcs12 -export -out SDI-<p.iva>-server.pfx -inkey .key -in SDI-<p.iva>-server.pem -certfile morecert.pem
Ho poi installato i certificati sul server.
In teoria da quanto ho capito dal mio collega, nel OneToOne di IIS c’è un utente con la chiave del certificato SistemaInterscambioFatturaPAtest. Pensavo quindi di doverlo aggiornare con quello NON di test. Ma se lo faccio, non funziona più niente.
Altra cosa, i certificati che ho installato hanno scadenza il 31/05… non sembra si siano aggiornati quindi… non vorrei ritrovarmi il 1° di giugno con tutta la gente che deve fatturare e il servizio che non funziona…
Anche a voi dà quella scadenza?
Grazie in anticipo del supporto 
ma servizi.fatturapa.it.cer dove lo prendi? io ho solo quello vecchio scaduto
Un saluto a tutti, anche noi nella stessa barca:
da pochi giorni abbiamo rinnovato i nostri certificati client e server SDI-XXXXX che erano in scadenza, tutto ha funzionato per qualche giorno, poi da ieri pomeriggio improvvisamente errore 403 sulle notifiche (RicevutaConsegna, NotificaScarto,…).
L’invio fatture funziona senza problemi (riceviamo risposta con codice identificativo).
Già sentita assistenza, mi hanno richiamato dicendo che dovevo installare il nuovo certificato CAEntrate_prod.der.
Così abbiamo fatto ma niente sempre 403,
abbiamo ricreato i file .pfx concatenando CAEntrate_prod.der ma niente sempre 403.
Siamo in attesa di ulteriore risposta da assistenza
ah, ho tenuto sempre quello vecchio anch’io. Anche perchè loro ci hanno mandato solo quei due file di cui parlavano qua sopra nel forum…
A titolo informativo,
non abbiamo ancora aggiornato i certificati quindi fino al 31 maggio dovrebbero andare.
dalle 10:23 del 19 maggio non riceviamo più notifiche o fatture…
grandioso…
bella storia, ho rifatto i certificati diverse volte, invio correttamente ma non ricevo più nulla e anche mettendo i certificati vecchi che dovrebbero funzionare fino al 31/5 non funzionano manco più quelli
Daniele, nel tuo caso devi limitarti a installare i due soli certificati che ti hanno mandato da SDI nello ZIP, quelli con cui ti chiamano loro e che il tuo sistema deve riconoscere! Guarda le precedenti risposte date a @AngeloV
GIà provato e il certificato non viene riconosciuto.
quindi stiamo usando quelli con scadenza al 31 maggio che devono andare…
e invece nulla.
Inoltre, proprio su suggerimento di Sogei, abbiamo richiesto dei nuovi certificati che non stanno arrivando.
dai log ora ci arrivano richieste tramite un certificato selfsigned non riconosciuto in SSL3 o TLS1