Firma
Il comando per firmare un file è il seguente:
openssl smime -sign –in DATA/dati –outform der –binary –nodetach -out DATA/dati.p7m -signer CERTS/FIRMA.PEM -passin pass:password
Dove:
dati è il nome del file da firmare;
dati.p7m è il nome del file di output che conterrà i dati firmati
password è la password impostata durante l’importazione delle chiavi di firma
Cifratura
Il comando per cifrare un file è il seguente:
openssl smime -encrypt –in DATA/dati –outform der –binary –des3 -out DATA/dati.enc CERTS/ sogeiunicocifra.pem
Dove:
dati è il nome del file da cifrare;
dati.enc è il nome del file di output che conterrà i dati cifrati
Il file cifrato è da inviare tassativamente in modalità binaria (es. FTP binario) in modo che non venga applicata alcuna trasformazione dei dati (code-page o altro) durante la fase di trasferimento.
Decifratura
Il file cifrato è da scaricare tassativamente in modalità binaria (es. FTP binario) in modo che non venga applicata alcuna trasformazione dei dati (code-page o altro) durante la fase di trasferimento.
Il comando per decifrare il file scaricato è il seguente:
openssl smime -decrypt –in DATA/dati.enc –inform der –binary -out DATA/dati –recip CERTS/CIFRA.PEM -passin pass:password
Dove:
dati.enc è il nome del file cifrato;
dati è il nome del file di output che conterrà i dati decifrati
password è la password impostata durante l’importazione delle chiavi di cifra
Verifica Firma
Il comando per verificare la firma su un file è il seguente:
openssl smime -verify –in DATA/dati.p7m –inform der –binary -out DATA/dati –CAfile CA.pem
Dove:
dati.p7m è il nome del file da verificare;
dati è il nome del file di output che conterrà i dati firmati.
Ho il PDF originale della Sogei, se volete ve lo invio per email.
Fantastico! 
Grazie!
Qualcuno ha delle indicazioni su come installare correttamente OpenSSH su Windows 2012 R2? Dopo l’installazione riesco a lanciarlo da riga di comando ma quando attivo il servizio mi ritorna un errore 1067 e il servizio non parte. Grazie in anticipo.
Pure il mio e’ un CAentrate.pem
Forse e’ la documentazione che forniscono che non e’ aggiornata
Comunque ho installato Openssl 1.1.1.0, su Win 10 pro
Modificata variabiel ambiente path per includere anche la directory di installazione di openssl.exe
Ma tentando la conversione chiavi e certificati in pem col comando consigliato (lo avvio da dentro un file batch)
openssl pkcs12 –in CERTS/(CF Responsabile)_cifra.p12 –out CERTS/CIFRA.PEM
mi viene restituito un “pkcs12: Use -help for summary”, come non riconoscesse il comando
Eppure lanciandolo da riga comando, dall’interno directory dove e’ presente il file batch che usavo prima, entra nell’ambiente openssl (con cursore OPENSSL> )
Avete mai avuto questo problema?
Allora sono riuscito ad estrarre CIFRA.PEM e FIRMA.PEM dai file forniti da Ade
Ora sto creando dei file batch per la:
-firma
-cifratura
-decifratura
-verifica
Sto seguendo pedissequamente le indicazioni sul documento Word MODALITA_PER_SCAMBIO_TELEMATICO.DOC contenuto nel KitTest.zip
Sto partendo da un .xml, che firmato dovrebbe diventare un .p7m, che cifrato dovrebbe diventare un .enc, che decifrato dovrebbe tornare un .p7m, che verificato dovrebbe tornare un .xml
La fase 3 di decifratura non vuol saperne di andare
Mi segnala:
Error decrypting PKCS#7 structure
2408:error:21070073:PKCS7 routines:PKCS7_dataDecode:no recipient matches certificate:crypto\pkcs7\pk_doit.c:488:
2408:error:21072077:PKCS7 routines:PKCS7_decrypt:decrypt error:crypto\pkcs7\pk_smime:500:
Ho controllato piu’ volte il comando inviato ma e’ esattamente come da manuale su documento Word
Le domande sono:
1- sapete da cosa possa dipendere l’errore?
2- posso decifrare un file che ho cifrato io (oppure posso farlo solo con quelli ricevuti da Ade)?
Ciao e grazie
Ciao Marco, scusa il disturbo. Ho visto che sei un esperto del problema. Ho ricevuto la PEC con tutta la documentazione per l’attivazione del canale SFTP. Sto impazzendo da due giorni e non ne sono ancor venuto a capo. Avresti modo di darmi indicazioni su quale software (ne ho provati di tutti e di più) e come configurare il servizio per poter far funzionare le comunicazioni. Grazie mille !!!
ciao sto seguendo i passi descritti nel manuale inviato da sogei per la firma e cifratura. Il comando per firmare mi restituisce “No signer certificate specified”, nonostante nella directory c’è il file .pem. C’è una soluzione?
Grazie
Nel frattempo ho messo su SFTP tramite OpenSSH su Windows Server 2012 R2 e funziona splendidamente, con accesso esclusivamente tramite chiave,. Se qualcuno avesse bisogno di info basta chiedere qui.
Molto bene, credo la tua esperienza possa essere mooolto utile a tanti operatori che leggono questi messaggi, per me lo sarebbe sicuramente
Se trovassi il tempo di fare una mini-guida sarebbe cosa molto gradita
Ciao
COME USARE CERTIFICATI .PUB ???
Ho bisogno dell’aiuto di chi abbia gia’ attivato un ftp server in ambiente Windows perche’ non riesco a capire se sto usando correttamente i certificati forniti da Sogei, sto parlando di:
- Sogei_SdI1.pub
- Sogei_SdI2.pub
1 QUESITO
Vedo che il loro contenuto e’ del tipo
ssh-rsa AAAAB3NzaC1yc2…cCoUMr fatturazione@SFTP-SDI1-AT.srv.sogei.it
Ma non dovrebbe essere una roba del tipo:
-----BEGIN CERTIFICATE-----
MIIEUzCCAzug…zfzauXhMNf9R
FiJlv5ptsg==
-----END CERTIFICATE-----
???
2 QUESITO
Sto facendo prove sia con l’ftp server di serie di un Win 10 pro, sia con FreeFTPd
Su FreeFTPd carico i certificati nella pagina di configurazione Sftp/Hostkey/RSA Key
C’e’ anche una funzione per caricare DSA Key ma immagino non sia quella giusta, e’ corretto?
Il punto e’ che la funzione prevede l’indicazione di un solo certificato, mentre Sogei ne ha inviati due
Forse c’e’ una funzione che permette di ‘accorpare’ due o piu’ certificati in un file unico?
Sul server ftp di Win10 dove si indicano i certificati da usare?
Salve a tutti,
sto implementando la comunicazione verso SdI e questa discussione è veramente utile!
Contattando l’agenzia delle entrate però dicono di ignorare la documentazione ufficiale SOGEI e che i files possono essere caricati nel canale FTP come XML senza firma digitale ne compressione di sorta.
Li abbiamo minimo 3/4 volte e la risposta è sempre la stessa, i files possono essere depositati nel canale (e letti dallo stesso) in formato XML puro.
Sono veramente confuso… avete riscontro di questo?
Grazie
@Sbraaa fa piacere dopo aver implementato le procedure per il file di quadratura, la firma e la cifratura… 
Se così fosse però vedrei un problema di sicurezza in più per l’architettura. Se mi bucassero il server oggi come oggi (sto toccando parti anatomiche opportune quando si fanno questo tipo di discorsi) in teoria avrebbero accesso solo a file criptati e non ai dati sensibili contenuti nelle fatture.
@fednikx sono propenso a pensare che il Vs lavoro non sia stato inutile e temo anzi che mi troverò una serie infinita di grattacapi nell’imminente futuro.
Quello che mi lascia basito è che su 4 telefonate, indicando chiaramente all’operatore che mi riferivo a sdiFTP, ho ottenuto la medesima risposta: xml flat in ingresso e in uscita.
Qualche altro riscontro?
ma come ignorare la documentazione ufficiale SOGEI? … carichi direttamente il file delle fatture senza la tua firma e la cifratura? … ma nelle specifiche c’è scritto che va caricato uno FIxxxxxxxxxx .zip … con all’interno gli .xml delle fatture e quadratura e questo va firmato e cifrato con le chiavi per il canale.
@Marco_Montresor : che ti devo dire… sue 4 telefonate la risposta è sempre stata la stessa.
senza voler offendere l’operato di nessuno… o e così oppure ho trovato 4 operatori ubriachi.
Sono anche io del parere che quella è la documentazione da seguire.
Quindi se ho capito bene, l’operatore ti ha detto di caricare direttamente nella cartella DatiVersoSdI i singoli file.xml (le singole fatture), senza creare nessun supporto FIxxxxxx.zip? 
@Marco_Montresor : si, però non ti consiglio di seguire questa prassi. Secondo me è sbagliato. mi piacerebbe capire se ci sono altri riscontri simili al mio
… io continuo nel crearmi singoli supporti FI.zip firmati e cifrati da me … e al loro interno i file.xml (fatture). I test così li ho superati, in produzione si vedrà … 