Errore Bad Request Certificati - Software Inside srl

[allegiaco]

Buongiorno,

abbiamo ricevuto i certificati per eseguire l'Autenticazione e la Signature del jwt token, ma risulta che non siano validi - confrontandoci con altri vendors abbiamo potuto avere riscontro sulla non validità dei nostri certificati. L'errore che riceviamo è di Bad Request 400. Stiamo cercando di effettuare la chiamata per la validazione documento.

Gradiremmo ricevere assistenza sulla questione. Allego i certificati.

Cordialmente, Alessandro

A1#111SOFTWAREINSIDESRLXX.pem.txt S1#111SOFTWAREINSIDESRLXX.pem.txt

[vigliottim]

Buonasera, le chiediamo gentilmente di fornirci la risposta completa, comprensiva di traceId/govway-id. Grazie.

[allegiaco]

Buonasera, non riceviamo risposta completa, solo una risposta http 400 Bad Request; è anche questo che è strano.

[vigliottim]

Potrebbe allegare uno screenshot della risposta ricevuta dal sistema e i token utilizzati (FSE-JWT-Signature e Authorization Bearer Token)? Grazie.

[allegiaco]

Certamente, grazie per la celere risposta.

Authorization Bearer Token: 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.eyJpc3MiOiJhdXRoOlMxIzExMVNPRlRXQVJFSU5TSURFU1JMWFgiLCAiaWF0IjoiMTY5Njg2NTAzMiIsICJleHAiOiIxNjk2ODc1MDMyIiwgImp0aSI6IjE2OTY4NjUwMzI3NzMiLCAiYXVkIjoiaHR0cHM6Ly9tb2RpcGEtdmFsLmZzZS5zYWx1dGUuZ292Lml0L2dvdndheS9yZXN0L2luL0ZTRS9nYXRld2F5L3YxIiwgInN1YiI6IlBST1ZBWDAwWDAwWDAwMFleXl4mMi4xNi44NDAuMS4xMTM4ODMuMi45LjQuMy4yJklTTyJ9.LZD3OdHwjLenmULgeqr765JgtdKjiVEnVhC2sodJ8f8x6H8avuW-sdOqEW8yyhd7EisEQzF2c8e3OqM3Ctd7uLk21i8rxqADUA3durfvtxbMC817yxh-9EOxwDPs0CntOhS6LsjD-biMlyRiFnsB97bkipcRrZ52gZKXA9W5ZNFBoAubqjoghfQlORB77ewKB4ENrrmjXCjpKTxJALrp9039P4oy199k-TvAwwFHJ7Ev42V6__Rl2-VVfunR3dudp77a14DEyp8CzgkWPUXETIeA0xxI-5X8t5KhPPyFWrWPxVI6KYER6tJX9pVGNhOw-1OhjjBraSiwz6U4EjapZw

FSE-JWT-Signature: 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.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.HFQEVF7Zj8zs28Zt6ro0-WNIQ4Dw4pHzkgwWS1TPq6M41Xpoyu19UTnK9Z16dqmHaP8TxiQQ-H1kdFVdU1EPymHjDrzVw9eQLX9yb3J4UPAtvEcPB0zJ43jkQdaEVP9nHVn23NOojPeL-oCrU_SdGb-CUjtO2W80D2Ue3ejhxN77hVz7Yh9wxCjVnNZGrnK77vDmdVb2AtTWDTVH1cqB8vJvz1xOFajakoCTh8r20GMRVGNm-NvV0MsBgLitqRQOKW2GhXhg7onLYsCXo1EofxoE8skRb3JtelREEGos-FbBkax1n8r4q0dkvnjN7BFH_DNg3Pn6FCi7yvhVy6H8nw

Utilizziamo Java e Spring framework, l'errore che riceviamo è un secco 400 Bad Request.

[IStacchiotti]

Buonasera, grazie per aver condiviso quanto richiesto. Ci potreste confermare che state invocando il servizio di validazione online https://modipa-val.fse.salute.gov.it/govway/rest/in/FSE/gateway/v1/documents/validation? Grazie

[allegiaco]

Buonasera, confermo.

In allegato lascio anche uno screenshot del debug.

Ho anche provato ad utilizzare un certificato volutamente sbagliato, in tal caso ricevo (come aspettato) una handshake exception (vedi allegato "wrong_certificate).

[allegiaco]

mancava lo screenshot del debug, eccolo:

[IStacchiotti]

Buongiorno, Non essendo disponibili in questo caso gli identificativi della chiamata (traceId/govway-id), potrebbe cortesemente inviarci il dettaglio della chiamata che sta effettuando (url, request, header e pdf) al fine di proseguire le verifiche? Grazie per la collaborazione

[allegiaco]

Buongiorno,

certo, ecco qua tutti i dati:

url: https://modipa-val.fse.salute.gov.it/govway/rest/in/FSE/gateway/v1/documents/validation

request body: {"healthDataFormat": "CDA", "mode": "ATTACHMENT", "activity": "VALIDATION"}

header:

Content-Type: multipart/form-data Authorization: Bearer + token FSE-JWT-Signature: signature token accept: application/json

file pdf in allegato

output_pades.pdf

[allegiaco]

Aggiungo una cosa: abbiamo provato ad effettuare la chiamata utilizzando python, ed abbiamo ottenuto come errore:

Server certificate subject=/C=IT/ST=Roma/L=Roma/O=Sogei S.p.A./CN=modipa-val.fse.salute.gov.it issuer=/C=IT/ST=Bergamo/L=Ponte San Pietro/O=Actalis S.p.A./CN=Actalis Organization Validated Server CA G3

No client certificate CA names sent

"No client certificate CA names sent". Io notai che nel nostro certificato non vi è nessuna Certificate Chain, e l'errore che riceviamo qui sembra proprio collegato alla mancanza di qualsiasi riferimento alla CA. Mi nasce quindi un dubbio: non dovrebbe essere appeso alla Catena di Certificati anche il certificato della CA ?

[IStacchiotti]

Grazie per le informazioni, le confermiamo intanto la chiamata risulta ben formata.

Avete raccolto altre evidenze che vi fanno sospettare la non validità dei vostri certificati oltre a quella riportata nel messaggio precedente ("No client certificate CA names sent")?

Ci confermate inoltre:

1. che avete provveduto a generare i certificati p12 a partire dai pem, come descritto in questo thread su Slack?
2. che avete utilizzato il certificato di autenticazione (A11*.p12) per l'invocazione del servizio?

[allegiaco]

Salve,

probabilmente è qui che si trova l'impiccio. Non riesco ad aprire il link che mi ha fornito su Slack, mi richiede una mail con una estensione particolare (Puoi utilizzare qualsiasi account con il dominio: teamdigitale.governo.it agid.gov.it reply.it pagopa.it sogei.it)

Potrebbe spiegarmi meglio cosa intende nei punti 1) e 2) , oppure fornirmi gentilmente un link accessibile anche a chi non ha una mail con quelle estensioni ?

Grazie mille

[IStacchiotti]

Le condividiamo di seguito il messaggio su Slack al quale facevamo riferimento, con le istruzioni per generare i certificati p12:

Le lasciamo anche questo link alla documentazione, nel caso possa esservi utile, che chiarisce il diverso scopo dei certificati: il certificato di “autenticazione” (A11*.p12) è quello da utilizzare come certificato client per le chiamate https. Rimaniamo a disposizione per chiarimenti

[allegiaco]

okay ora è chiaro, la ringrazio, ma purtroppo non è questo il punto. Le istruzioni riportate riguardano la creazione del keystore in formato .p12 - cosa che noi già facciamo. Certamente utilizziamo il certificato che comincia con A1... per effettuare l'autenticazione.

Ricapitolando: noi mettiamo correttamente il certificato .pem ricevuto all'interno di un keystore assieme alla sua chiave privata. Nel momento in cui utilizziamo questo certificato per l'autenticazione della chiamata, riceviamo errore di bad request.

Sembrerebbe essere un errore di catena dei certificati, le riporto l'errore completo ricevuto tramite script python:

CONNECTED(000002B0) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A depth=1 C = IT, ST = Bergamo, L = Ponte San Pietro, O = Actalis S.p.A., CN = Actalis Organization Validated Server CA G3 verify error:num=20:unable to get local issuer certificate SSL_connect:SSLv3 read server certificate A SSL_connect:SSLv3 read server key exchange A SSL_connect:SSLv3 read server certificate request A SSL_connect:SSLv3 read server done A SSL_connect:SSLv3 write client certificate A SSL_connect:SSLv3 write client key exchange A SSL_connect:SSLv3 write change cipher spec A SSL_connect:SSLv3 write finished A SSL_connect:SSLv3 flush data SSL3 alert read:fatal:handshake failure SSL_connect:failed in SSLv3 read finished A 6872:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:.\ssl\s3_pkt.c:1487:SSL alert number 40 6872:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:.\ssl\s23_lib.c:177:

Certificate chain 0 s:/C=IT/ST=Roma/L=Roma/O=Sogei S.p.A./CN=modipa-val.fse.salute.gov.it i:/C=IT/ST=Bergamo/L=Ponte San Pietro/O=Actalis S.p.A./CN=Actalis Organization Validated Server CA G3 -----BEGIN CERTIFICATE-----

-----END CERTIFICATE----- 1 s:/C=IT/ST=Bergamo/L=Ponte San Pietro/O=Actalis S.p.A./CN=Actalis Organization Validated Server CA G3 i:/C=IT/L=Milan/O=Actalis S.p.A./03358520967/CN=Actalis Authentication Root CA -----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Server certificate subject=/C=IT/ST=Roma/L=Roma/O=Sogei S.p.A./CN=modipa-val.fse.salute.gov.it issuer=/C=IT/ST=Bergamo/L=Ponte San Pietro/O=Actalis S.p.A./CN=Actalis Organization Validated Server CA G3

No client certificate CA names sent Client Certificate Types: RSA sign, DSA sign, ECDSA sign Requested Signature Algorithms: ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:0x07+0x08:0x08+0x08:0x09+0x08:0x0A+0x08:0x0B+0x08:0x04+0x08:0x05+0x08:0x06+0x08:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:ECDSA+SHA1:RSA+SHA224:RSA+SHA1:DSA+SHA224:DSA+SHA1:DSA+SHA256:DSA+SHA384:DSA+SHA512 Shared Requested Signature Algorithms: ECDSA+SHA256:ECDSA+SHA384:ECDSA+SHA512:RSA+SHA256:RSA+SHA384:RSA+SHA512:ECDSA+SHA224:ECDSA+SHA1:RSA+SHA224:RSA+SHA1:DSA+SHA224:DSA+SHA1:DSA+SHA256:DSA+SHA384:DSA+SHA512 Peer signing digest: SHA256 Server Temp Key: ECDH, P-521, 521 bits

SSL handshake has read 4507 bytes and written 206 bytes

New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: 6A748230BAFCD29B0D574E4795872461A93967B38548C5CC611ECBD14311CBBA Session-ID-ctx: Master-Key: 433D40947FDACD3C112E317036A700AA9DA894B71548C152C0F41DE43819CE1285A69187C4CF44AE8305C1B14C60E032 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1696929958 Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate)

[IStacchiotti]

Grazie, le verifiche sono in corso: le daremo un riscontro appena possibile. Nel frattempo, le chiediamo cortesemente di eliminare dal thread il contenuto dei vostri certificati.

[LucaRogledi]

Buonasera, è possibile che il CSR di auth sia stato utilizzato per generare i certificato di firma e il CSR di firma per generare il certificato di trasporto. Potrebbe gentilmente effettuare una prova invertendo i certificati utilizzati? Quello di trasporto (A1…) andrebbe usato per la firma dei token e quello di firma (S1…) come trasporto. Grazie.

[allegiaco]

Buonasera,

la ringrazio per la risposta. Ho provato ad invertire i certificati come da lei suggerito: ricevo in tal caso un "401 Unauthorized".

[allegiaco]

Tornando poi a mettere i certificati nell'ordine iniziale dato, ricevo 400 bad request, come fino ad ora.

[IStacchiotti]

Buonasera,

la ringrazio per la risposta. Ho provato ad invertire i certificati come da lei suggerito: ricevo in tal caso un "401 Unauthorized".

Buongiorno, grazie per il riscontro. Potrebbe gentilmente riportare la risposta completa ricevuta in risposta dal sistema in questo caso?

[allegiaco]

Buongiorno, riceviamo solo 401 Unauthorized, niente di più.

[IStacchiotti]

Potreste ritentare cortesemente la chiamata utilizzando Postman e inviarci un'immagine della risposta ottenuta? Ci aspetteremmo infatti, nella parte in basso (tab "Body" > "Pretty"), dei parametri in risposta, come da screenshot riportato di seguito:

[allegiaco]

Gentilissimi,

ringraziamo per il supporto fornito. Dopo aver effettuato diversi controlli, abbiamo appurato che il problema si manifestava lato nostro in fase di decodifica della risposta ricevuta dal server.

Quindi: i nostri certificati funzionano e riusciamo a collegarci correttamente.

Ora tuttavia, da questa mattina si presenta un problema diverso: sembrerebbe che il servizio non sia raggiungibile: sapete indicarci quando tornerà nuovamente funzionante ?

Cordialmente, Alessandro

[LucaRogledi]

Grazie per la segnalazione. Come da comunicazione su Slack, stiamo registrando dei disservizi. Invieremo una nuova comunicazione appena saranno ripristinati.

[IStacchiotti]

Buongiorno, come da comunicazione su Slack, i disservizi sono stati risolti. Pertanto procediamo alla chiusura del presente ticket, rimanendo comunque a disposizione in caso di ulteriori richieste di supporto. Grazie

[allegiaco]

Siamo noi a ringraziare per la gentile e puntuale assistenza fornita. Buon Lavoro