search

ministero-salute / it-fse-support

https://ministero-salute.github.io/it-fse-support/
33 stars 20 forks source link

certificati per crash-program regione Abruzzo #1004

Closed alessandropassamonti closed 1 day ago

alessandropassamonti commented 3 days ago

Buongiorno, Ho ricevuto dal referente della regione Abruzzo i certificati da utilizzate per il crash-program. i certificati A1#130#ABRUZZO_ALS1_TEST e S1#130#ABRUZZO_ALS1_TEST hanno dei problemi. Quando tento di generare il certificato utilizzando la chiave privata ottengo questo errore:

"No cert in -in file 'A1#130#ABRUZZO_ASL1_TEST.pem' matches private key"

Nessun problema per gli altri certificati A1#130#ABRUZZO_ASL2_TEST,S1#130#ABRUZZO_ASL2_TEST,A1#130#ABRUZZO_ASL4_TEST,S1#130#ABRUZZO_ASL4_TEST

ho fatto un check con openssl tra csr e chiave privata e i valori corrispondono invece il valore di controllo del certificato non corrisponde

i comandi usati sono

openssl rsa -noout -modulus -in cert.key | openssl md5
openssl req -noout -modulus -in file.csr | openssl md5
openssl x509  -noout -modulus -in cert.pem | openssl md5

Infine, non mi tornano gli issuer. per la ASL 1 combacia con il CN del certificato (anche se errato ALS1 invece di ASL1) mentre nei certificati della ASL2 e ASL4 , i CN non corrispondono:

Ho il timore che l'autenticazione potrebbe fallire

Grazie

vigliottim commented 3 days ago

Buonasera, sono state effettuate delle correzioni sul db. Pertanto, le chiediamo di testare i certificati relativi ad ASL2, ASL3, ASL4. Per quelli relativi a ASL1, può usare i certificati con ALS1 oppure può effettuare una nuova richiesta per avere i certificati con il nome corretto. Grazie.

vigliottim commented 2 days ago

Buongiorno, la avvisiamo che le sono stati inviati i nuovi certificati con il nome corretto (ASL1 anziché ALS1) mentre i precedenti sono stati revocati. Rimaniamo a disposizione.

alessandropassamonti commented 2 days ago

Buonasera, sto provando la validazione di un CDA con il certificato S1#130#ABRUZZO_ASL2_TEST e ricevo errore {"type":"https://govway.org/handling-errors/403/AuthorizationContentDeny.html","title":"AuthorizationContentDeny","status":403,"detail":"Unauthorized request content","govway_id":"9b51ecc5-76aa-11ef-b8bd-005056ae54fa"}

grazie

vigliottim commented 1 day ago

Buongiorno, dalle analisi effettuate sui log della chiamata indicata, l'errore sembrerebbe essere causato dall'errata valorizzazione dei seguenti campi contenuti nel token FSE-JWT-Signature:

FSE-JWT-Signature Token:

"sub": "PROVAX00X00X000Y" -> esso deve contenere il codice fiscale dell’utente o partita iva dell'azienda che fa richiesta del servizio di interoperabilità in formato codifica conforme alle specifiche IHE (ITI TF-3) Esempio: VRDMRC67T20I257E^^^&2.16.840.1.113883.2.9.4.3.2&ISO

"person_id": "PSSLSN76B20G482T" -> esso rappresenta il codice identificativo dell’assistito a cui si riferisce la richiesta o del genitore/tutore che ha richiesto l’operazione\il codice identificativo dell’assistito, del genitore o del tutore, codificato secondo il tipo di dato CX HL7 V2.5 (per come indicato alle specifiche IHE TF-3) Saranno trattati tutti i soggetti presenti in ANA. Esempio: RSSMRA75C03F839K^^^&2.16.840.1.113883.2.9.4.3.2&ISO

La invitiamo a riprovare dopo aver applicato le correzioni indicate. Per maggiori informazioni sulla valorizzazione dei campi contenuti nei JWT può consultare la documentazione al link: integrazione-gateway#131-campi-contenuti-nei-jwt Rimaniamo a disposizione nel caso avesse bisogno di ulteriore supporto.

alessandropassamonti commented 1 day ago

Grazie, ora il Gtw risponde con esisto positivo.

Testati con esito positivo i certificati

LucaRogledi commented 1 day ago

Ringraziamo per il feedback e procediamo con la chiusura della issue.