Problemer med kvittering.

[ErikZc]

Hei,

får sendt til SDP men får ikke kvittering til å fungere.

Får feilmeldingen "Validering av signatur og digest på respons feilet" i GUI. Feilmelding i trace : Klarte ikke ? finne ut hvilken type Transportkvittering som ble tatt inn. Sjekk r?data for mer informasjon. En mulig grunn til dette kan v?re at svar fra server har endret seg, eller at en feilaktig endring har blitt gjort.

Mer info kan sendes i privat overføring.

Er det mulig få noe rask hjelp på dette. Har sjekket saken internt og fått melding om at dette trolig ligger i klientbiblioteket.

[asjafjell]

Heisann, @ErikZc! Vi trenger nok ikke så mye hemmelig informasjon for å skjønne hva som er problemet. Det vi trenger er en kompilerende kodesnutt (kan lastes opp på gist.github.com) og hvilken versjon dere kjører.

[aberner]

Hei, Dersom du ønsker kan du også oppgi virksomheten du sender for så kan vi sjekke mer omkring forsendelsen du har sendt inn i de konkrete testene.

[ErikZc]

Hei,

Jeg gir dere gjerne informasjonen jeg kan MEN jeg er ingen utvikler så mulig det er noen begrensninger. Om du har mulighet må du gjerne ringe meg på 91124590 så skal jeg gi dere så mye informasjon som mulig. Sitter nå ute hos kunden hvor vi veldig gjerne skulle hatt dette til å fungere.

Til info fikk jeg dette fra utvikler i går :

Her er call stacken: [cid:image001.png@01D23445.3F0CFFD0]

Slik jeg tolker denne, så kaller vår kode (nederste linje) inn i Difi sin klient kode. Difi sin klient kode henter kvittering (GetTransportKrittering), men den klarer ikke å tolke svaret den får fra serveren.

I vår SDP ver 1.1 for SP8 så benytter vi versjon 1.2 av DIFI sin klient (Difi.SikkerDigitalPost.Klient.dll ver. 1.2).

-Erik

From: Arne Berner [mailto:notifications@github.com] Sent: tirsdag 1. november 2016 13.36 To: difi/sikker-digital-post-klient-dotnet sikker-digital-post-klient-dotnet@noreply.github.com Cc: Zcimarzceck Erik erik.zcimarzceck@tieto.com; Mention mention@noreply.github.com Subject: Re: [difi/sikker-digital-post-klient-dotnet] Problemer med kvittering. (#190)

Hei, Dersom du ønsker kan du også oppgi virksomheten du sender for så kan vi sjekke mer omkring forsendelsen du har sendt inn i de konkrete testene.

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHubhttps://github.com/difi/sikker-digital-post-klient-dotnet/issues/190#issuecomment-257555875, or mute the threadhttps://github.com/notifications/unsubscribe-auth/AWHaB_2zkB1b3HRBDQlYhhuTKPOmnAUDks5q5zIqgaJpZM4KmB-A.

[asjafjell]

Vi har ingen versjon av klienten som kun er versjon 1.2, så det er ikke så lett å teste dette. Men det jeg vet er at første versjon av 1.2 ble sluppet for over et år siden og mye har skjedd siden da. Jeg anbefaler dere å oppgradere til siste stabile versjon.

@aberner rapporterer at det fungerte hos dere 24.10, men ikke 25.10. Vi har sjekket opp hva som er gjort av endringer hos oss på disse datoene, og her er det ikke gjort endringer som skal påvirke klienten.

[ErikZc]

Hei igjen,

Dette ligger jo i et system som er levert. Vi ser at det fungerer mot produksjon på to andre miljøer men ikke mot test. Vet ikke hvor feilen ligger og blir kastet rundt. Vet du hvordan vi kan få verifisert innstillinger og se hvorfor det ikke fungerer mot test ? Hvis jeg setter dette miljøet til å kjøre mot prod og får det til å fungere der, vil det være ett bevis til å kunne få noe hjelp ? (Systemene skal være like i begge ender, både hos oss og dere. Jeg vet ikke hva som er feil, får en kryptisk feilmelding men blir bare kastet rundt. Hvem kan bistå meg med å finne løsningen ?) Jeg har heller ikke klart å finne ut hva som ble gjort mellom 24. 10. og 25.10. De jeg har snakket med sier at vi aldri har fått bekreftet leveranse i test.

-Erik

From: Aleksander Sjåfjell [mailto:notifications@github.com] Sent: tirsdag 1. november 2016 14.24 To: difi/sikker-digital-post-klient-dotnet sikker-digital-post-klient-dotnet@noreply.github.com Cc: Zcimarzceck Erik erik.zcimarzceck@tieto.com; Mention mention@noreply.github.com Subject: Re: [difi/sikker-digital-post-klient-dotnet] Problemer med kvittering. (#190)

Vi har ingen versjon av klienten som kun er versjon 1.2, så det er ikke så lett å teste dette. Men det jeg vet er at første versjon av 1.2 ble sluppet for over et år siden og mye har skjedd siden da. Jeg anbefaler dere å oppgradere til siste stabile versjon.

@abernerhttps://github.com/aberner rapporterer at det fungerte hos dere 24.10, men ikke 25.10. Vi har sjekket opp hva som er gjort av endringer hos oss på disse datoene, og her er det ikke gjort endringer som skal påvirke klienten.

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHubhttps://github.com/difi/sikker-digital-post-klient-dotnet/issues/190#issuecomment-257565220, or mute the threadhttps://github.com/notifications/unsubscribe-auth/AWHaB5N-_dyw6zG8f4w9lbU1IKX14_SFks5q5z11gaJpZM4KmB-A.

[3150ihe]

Hei!

Dette har aldri fungert i test, de får hentet kvittering men får feil i valideringen av signaturen. I MF ser alt ok ut når de har hentet kvittering. Tror de validerer med feil sertifikat.

[aberner]

For at du skal få ordentlig bistand her @ErikZc tror jeg det er viktig å få inn teknisk kompetanse fra sak/arkiv leverandøren som kan svare på spørsmål om f.eks:

• hvilket sertifikat valideres kvitteringen mot når du henter kvitteringer i test?
• Hvilken konkret 1.2.x versjon av klientbiblioteket blir brukt?
• Kan det hentes ut mer konkrete exceptions som beskriver problemet i mer detalj?

akkurat nå sitter vi med litt for lite informasjon til at vi klarer å feilsøke alt fra vår side.

[ErikZc]

Hei igjen,

Jeg jobber for leverandøren og har tilgang til sertifikater, logger osv. på server men jeg er ikke utvikler og er derfor ikke så langt ned i koden at jeg vet hvilken versjon av klientbiblioteket deres som blir brukt.

-Erik

From: Arne Berner [mailto:notifications@github.com] Sent: tirsdag 1. november 2016 15.37 To: difi/sikker-digital-post-klient-dotnet sikker-digital-post-klient-dotnet@noreply.github.com Cc: Zcimarzceck Erik erik.zcimarzceck@tieto.com; Mention mention@noreply.github.com Subject: Re: [difi/sikker-digital-post-klient-dotnet] Problemer med kvittering. (#190)

For at du skal få ordentlig bistand her @ErikZchttps://github.com/ErikZc tror jeg det er viktig å få inn teknisk kompetanse fra sak/arkiv leverandøren som kan svare på spørsmål om f.eks:

• hvilket sertifikat valideres kvitteringen mot når du henter kvitteringer i test?
• Hvilken konkret 1.2.x versjon av klientbiblioteket blir brukt?
• Kan det hentes ut mer konkrete exceptions som beskriver problemet i mer detalj?

akkurat nå sitter vi med litt for lite informasjon til at vi klarer å feilsøke alt fra vår side.

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHubhttps://github.com/difi/sikker-digital-post-klient-dotnet/issues/190#issuecomment-257582590, or mute the threadhttps://github.com/notifications/unsubscribe-auth/AWHaB8EWqzdnA5GPHaO9YTxyKjFqXO8hks5q506OgaJpZM4KmB-A.

[aberner]

Ok, så bra.

Ved at både @asjafjell , @3150ihe og meg har undersøkte på server siden uten at vi har klart å finne noe mer informasjon enn nye spørsmål. Vi er ikke kjent med at det er forskjeller i Leveringskvitteringene i test og produksjon. Det skal kun være miljømessige forskjeller slik som nettopp sertifikater, mellomliggende sertifikater og rot sertifikater som det er viktig å ha kontroll på. Jeg håper at du kan få tak i det konkrete versjonsnummeret på klientbiblioteket dere bruker. Det vil kunne hjelpe oss fremover litt.

Jeg ser også at du har lagt ved en skjermdump av en callstack, men det bildet har ikke kommet med på github ser jeg. håper du kan legge ved en fullstacktrace her.

[ErikZc]

Hei,

Jeg har nå forsøkt å teste litt mer.

Det jeg har kommet frem til er at tester vi med test sertifikat så krasjer ekspederingen, vi klarer ikke å sende. Tester vi med prod-sertifikat så fungerer det å ekspedere men vi klarer ikke å lese kvitteringen. (Endrer kun kundens sertifikat / thumbprint.) Endrer jeg tilbake så feiler det igjen. Test i annet kundemiljø fungerer både i test og produksjon.

Vi har nå sammenlignet 3 forskjellige «kunder» hvor begge de to andre fungerer men det feiler hos oss.

Noen tips til hvordan komme videre ?

-Erik

From: Arne Berner [mailto:notifications@github.com] Sent: tirsdag 1. november 2016 19.45 To: difi/sikker-digital-post-klient-dotnet sikker-digital-post-klient-dotnet@noreply.github.com Cc: Zcimarzceck Erik erik.zcimarzceck@tieto.com; Mention mention@noreply.github.com Subject: Re: [difi/sikker-digital-post-klient-dotnet] Problemer med kvittering. (#190)

Ok, så bra.

Ved at både @asjafjellhttps://github.com/asjafjell , @3150ihehttps://github.com/3150ihe og meg har undersøkte på server siden uten at vi har klart å finne noe mer informasjon enn nye spørsmål. Vi er ikke kjent med at det er forskjeller i Leveringskvitteringene i test og produksjon. Det skal kun være miljømessige forskjeller slik som nettopp sertifikater, mellomliggende sertifikater og rot sertifikater som det er viktig å ha kontroll på. Jeg håper at du kan få tak i det konkrete versjonsnummeret på klientbiblioteket dere bruker. Det vil kunne hjelpe oss fremover litt.

Jeg ser også at du har lagt ved en skjermdump av en callstack, men det bildet har ikke kommet med på github ser jeg. håper du kan legge ved en fullstacktrace her.

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHubhttps://github.com/difi/sikker-digital-post-klient-dotnet/issues/190#issuecomment-257656886, or mute the threadhttps://github.com/notifications/unsubscribe-auth/AWHaB4wfNJYklh0QRaHCwtGvepoSA2VNks5q54iagaJpZM4KmB-A.

[aberner]

Hei,

Når du skriver: "Tester med prod-sertifikat" så oppfatter jeg at du bruker et produksjonssertifikat mot testmiljøet. Dette fungerer pt. men vil feil når vi innfører bedre validering i meldingsformidler, ref: https://samarbeid.difi.no/varsel/2016/10/posten-meldingsformidler-avsendere-som-sender-i-test-med-produksjonssertifikat

Jeg tror da at problemet må være sertifikat valideringen, og sertifikat kjeden. Hvilke ROT sertifikat og mellomliggende sertifikater har dere installert og hvordan er disse installert? Mulig dere mangler tillit til test-CA for Buypass, eller test-intermediate-sertifikatet til Buypass. ref: http://begrep.difi.no/SikkerDigitalPost/1.2.3/sikkerhet/sertifikathandtering Dere må ha lagt inn tilit på:

• http://begrep.difi.no/SikkerDigitalPost/1.2.3/sikkerhet/sertifikater/test/Buypass_Class_3_Test4_Root_CA.cer
• http://begrep.difi.no/SikkerDigitalPost/1.2.3/sikkerhet/sertifikater/test/Buypass_Class_3_Test4_CA_3.cer

jeg er ikke ekspert på dotnet, så jeg vet ikke hvor og hvordan sertifikatene skal installeres for at dere skal få tillit til disse. Mulig @asjafjell kan hjelpe der, men da må vi først få vite hvilken konkrete versjon av klientbiblioteket dere bruker. Da kan ha se på hvordan sertifikatene er håndtert i den konkrete versjonen av klientbiblioteket.

[SandGrainOne]

Dette er en veldig random ide, men BuyPass skrudde nylig av et sett med hosts for verifisering av sertifikater. De har et nytt set med maskiner på andre IP adresser. Er det mulig det er noen brannmurer som må åpnes?

[aberner]

takk for tipset. et mulig longshot. Dette burde da ha gitt problemer både for validering av test og produksjonssertifikatene.

@asjafjell kan kanskje svare på om klienten gjør eksterne OCSP oppslag for å validere sertifikatene eller ikke. Men har da behov for å vite hvilken konkrete versjon av klientbiblioteket som blir brukt.

[asjafjell]

Det gjøres ingen OCSP-oppslag i klienten, så det vil ikke være årsaken.

Så lenge vi ikke vet versjonen av klienten som brukes så kan vi dessverre heller ikke finne ut om det er en bug som skaper problemer for dere. Dere bruker en av de første versjonene av klienten, så jeg vil på det aller sterkeste anbefale å oppgradere. Særlig sertifikathåndtering og feilmelding om man bruker f.eks. produksjonssertifikat i testmiljø er forbedret.

[ErikZc]

I vår SDP ver 1.1 for SP8 så benytter vi versjon 1.2 av DIFI sin klient (Difi.SikkerDigitalPost.Klient.dll ver. 1.2).

Nøyaktig versjon: [cid:image001.png@01D234F7.8B525180]

Assembly versjon: 1.2.5604.27872

MEN ett spørsmål til :

Vi har en klar mistanke om at CRL oppslag er stengt vil det kunne være årsaken ?

Har fått følgende påstand : CRL oppslagene ligger i .net/Windows, så dette skjer uansett om koden i klienten gjør eksplisitte oppslag eller ikke. Var borti et tilsvarende problem for ikke så lenge siden og da så vi i fiddler at crl oppslagene timet ut i brannmuren og da fungerte ikke dispatch.

Jeg hadde vært veldig glad om du kan ringe meg så vi kan ta dette direkte.

[aberner]

@ErikZc dere har vel oversikt over den kommunikasjon som går ut av serveren når dere tester og som eventuelt blir stoppet i brannmur hos dere. Et CRL/OCSP oppslag vil jo gå fra dere direkte til Buypass.

[ErikZc]

Hei,

Dessverre har jeg ikke oversikt over det. Som sagt før er dette en kunde med strenge regler og internett er kort og godt forbudt fra disse serverne. Det er mange regler vi må forholde oss til og vi må nå søke tillatelse til «endringer» for å feilsøke videre. Jeg har mange å forholde meg til, det er egne folk/avdelinger på hvert eneste ledd. Det er også noe av årsaken til at jeg ikke liker dette verktøyet / dialogen som ligger åpen på internett. Savner at vi kan ha dialogen direkte fremfor denne «bordtenniskampen».

-Erik

From: Arne Berner [mailto:notifications@github.com] Sent: onsdag 2. november 2016 12.27 To: difi/sikker-digital-post-klient-dotnet sikker-digital-post-klient-dotnet@noreply.github.com Cc: Zcimarzceck Erik erik.zcimarzceck@tieto.com; Mention mention@noreply.github.com Subject: Re: [difi/sikker-digital-post-klient-dotnet] Problemer med kvittering. (#190)

@ErikZchttps://github.com/ErikZc dere har vel oversikt over den kommunikasjon som går ut av serveren når dere tester og som eventuelt blir stoppet i brannmur hos dere. Et CRL/OCSP oppslag vil jo gå fra dere direkte til Buypass.

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHubhttps://github.com/difi/sikker-digital-post-klient-dotnet/issues/190#issuecomment-257838853, or mute the threadhttps://github.com/notifications/unsubscribe-auth/AWHaB0rG4rwtjerx6zN5u9YAztZWi9sgks5q6HOAgaJpZM4KmB-A.

[aberner]

alternativ kanal for dialog er via idporten@difi.no og kontaktpunktet oppgitt her: https://samarbeid.difi.no/

Da vil det være @3150ihe som du nok vil treffe.

[aberner]

http://difi.github.io/sikker-digital-post-klient-dotnet/v1.2/#installeresertifikater

[aberner]

@asjafjell i dokumentasjonen for versjon 1.2.x om sertifikater her: http://difi.github.io/sikker-digital-post-klient-dotnet/v1.2/#installeresertifikater

så er det referert til et konkret sertifikat som meldingsformidler bruker i test, og ikke en referanse til rot-ca og mellomliggende sertifikater som nok er mer riktig. Blant annet er det en lenke til: Test_Digipost.cer som ikke lenger er tilgjengelig.

Kan du gi noe mer dokumentasjon om hvordan man skal håndtere sertifikater i versjon 1.2.x og hvilke sertifikater som skal installeres. Eller kan du eventuelt peke på hvor Test_Digipost.cer finnes dersom den må brukes på den versjonen av klientbiblioteket?

[asjafjell]

Det kan jeg få fikset, men det blir ikke før på mandag, @aberner.

[asjafjell]

Det var bare linken til Test_Digipost.cer som var blitt feil etter flytting av dokumentasjonen. Dette er nå fikset. Jeg har nå testet versjon v1.2.5604.28026. Ved å bruke Test_Digipost.cer som mottakersertifikat og kjøre mot qaoffentlig så fungerer sendingen av en helt enkel digital forsendelse. Jeg får en Leveringskvittering tilbake og får bekreftet denne.

Er det mulig å få mer info om hva slags type brev som sendes og hvilket miljø som brukes, slik at jeg kan få testet det aktuelle caset?

Edit Jeg har testet den versjonen som er nærmest den versjonen dere sier det brukes fordi jeg ikke kan finne at den versjonen er publisert.

[ErikZc]

Hei,

Det er mulig å få mer informasjon men da må vi ta dialogen direkte og ikke på ett nettsted som ligger åpent. Du er mer enn velkommen til å kontakte meg eller Sture.

-Erik

From: Aleksander Sjåfjell [mailto:notifications@github.com] Sent: mandag 7. november 2016 11.04 To: difi/sikker-digital-post-klient-dotnet sikker-digital-post-klient-dotnet@noreply.github.com Cc: Zcimarzceck Erik erik.zcimarzceck@tieto.com; Mention mention@noreply.github.com Subject: Re: [difi/sikker-digital-post-klient-dotnet] Problemer med kvittering. (#190)

Det var bare linken til Test_Digipost.cer som var blitt feil etter flytting av dokumentasjonen. Dette er nå fikset. Jeg har nå testet versjon v1.2.5604.28026https://github.com/difi/sikker-digital-post-klient-dotnet/releases/tag/v1.2.5604.28026. Ved å bruke Test_Digipost.cer som mottakersertifikat og kjøre mot qaoffentlig så fungerer sendingen av en helt enkel digital forsendelse. Jeg får en Leveringskvittering tilbake og får bekreftet denne.

Er det mulig å få mer info om hva slags type brev som sendes og hvilket miljø som brukes, slik at jeg kan få testet det aktuelle caset?

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHubhttps://github.com/difi/sikker-digital-post-klient-dotnet/issues/190#issuecomment-258794090, or mute the threadhttps://github.com/notifications/unsubscribe-auth/AWHaBzCgNOdNiYHK1JcO6ZPEpQpuxsCnks5q7vefgaJpZM4KmB-A.

[asjafjell]

Beklager om jeg var litt uklar der, men det jeg lurer på er ikke innholdet i brevet, men hvilken type forsendelse dere lager. Er det en digital forsendelse som vist i dokumentasjonen her eller er det fysisk post som vist her?

[ErikZc]

Hei, Regnet ikke med at du ville ha innholdet men greit med en klargjøring. Slik jeg har forstått det forsøker vi å sende en melding / brev til SDP / Digipost (digital postkasse) men feiler allerede i første forsøk på å kontakte reservasjonsregisteret.

[asjafjell]

Her kan sikkert @aberner komme med litt tilleggsinfo, men slik jeg ser det nå så er det altså Oppslagstjenesten/Kontakt og reservasjonsregisteret som er problemet, altså ikke SDP-klienten?

[asjafjell]

Siden dette issuet er blitt en samletråd for diskusjon som ikke fører fram til noe resultat og har mange ubesvarte spørsmål så lukker jeg den. Hvis det kommer noen konkrete spørsmål knyttet til klientbiblioteket så kan et nytt issue opprettes.