VERIFICA DELLA FIRMA FALLITA errore dopo aggiornamento certificati

factory20 · 9 Gennaio 2024, 4:56pm

Ho completato l’installazione dello script SPID-CIE-PHP (disponibile su GitHub - italia/spid-cie-php: Software Development Kit for easy SPID/CIE access integration with simplesamlphp - developed and mantained by Michele D'Amico (@damikael)), seguendo attentamente i requisiti di installazione forniti.

2.Successivamente, ho configurato le impostazioni dello script, personalizzandole in base al mio service provider e generato il certificato X.509 necessario per la registrazione nell’ambiente di validazione.

3.Ho assicurato di mantenere aggiornati i metadati del service provider forniti durante la fase iniziale di installazione.

Dopo l’integrazione dello script di autenticazione e login nel nostro ambiente di sviluppo, durante il tentativo di login, ho ricevuto un messaggio di avviso indicante “VERIFICA DELLA FIRMA FALLITA”. L’errore specifico è stato “Impossibile stabilire l’autenticità della richiesta di autenticazione - Contattare il gestore del servizio”. Inoltre, il codice errore visualizzato è stato “CODICE ERRORE: undefined”.

5.Per provare a risolvere questo problema, ho esaminato attentamente la validazione dei certificati e verificato che tutti i dati necessari per la corretta configurazione del nostro service provider (OAR) fossero corretti.

Sebbene abbia seguito tutti i passaggi correttamente, rimane ancora da risolvere l’errore di verifica della firma.

Qualcuno ha suggerimenti utili?

AGS · 11 Gennaio 2024, 3:30pm

Non ho capito la situazione.
Il tuo è un SP già federato nella Federazione SPID, oppure stai sviluppando un SP ex-novo?

Nel primo caso, ogni aggiornamento del metadato va comunicato ad AgID. In pratica devi ripetere le lettere a-c, e, f del punto 5 della procedura.

Nel secondo caso è normale ricevere quell’errore: finchè non completi la procedura di adesione gli Identity Provider non riconoscono il tuo Service Provider.

factory20 · 24 Gennaio 2024, 6:52pm

Buonasera Giovanni,

grazie degli input. Il metadata è già federato come SPID e l’aggiornamento riguardava solo i certificati.
Al momento AGID ha respinto il metadata per non validità della firma.
Proveremo a ripetere gli step del punto 5 della proocedura nuovamente anche se già ripercorsi più volte.

L’errore fornito dal loro validatore è il seguente:

the metadata signature MUST be valid stderr:
func=xmlSecOpenSSLEvpDigestVerify:file=digests.c:line=274:obj=sha256:subj=unknown:error=12:invalid
data:data and digest do not match FAIL SignedInfo References (ok/all): 0/1 Manifests References (ok/all):
0/0 Error: failed to verify file “/tmp/tmpo51poshv.xml”

AGS · 27 Gennaio 2024, 12:18pm

L’errore riportato sembra indicare che:

Dopo la modifica del metadata non lo avete rifirmato, oppure
Dopo la firma avete modificato qualcosa all’interno del metadata (a volte anche un copia ed incolla del contenuto del metadata può introdurre/eliminare tabulazioni non visibili ad occhio nudo)