on 06-09-2009 2:08 PM
Amigos,
Estou recebendo NF no GRC e ao enviar para o PI para efetuar a assinatura digital, está dando erro 403 Forbidden.
Importamos o certificado digital no servidor através do Visual Administrator, foi instalado no WebBrowser também. O usuário está está com as seguintes roles:
SAP_BC_JSF_COMMUNICATION, SAP_BC_JSF_COMMUNICATION_RO, SAP_BC_SRV_USER
SAP_BC_USER_ADMIN, SAP_J2EE_ADMIN, SAP_J2EE_GUEST, SAP_XI_ADMINISTRATOR_J2EE
SAP_XI_CONFIGURATOR_J2EE, SAP_XI_CONTENT_ORGANIZER_J2EE, SAP_XI_DEVELOPER_J2EE
SAP_XI_DISPLAY_USER_J2EE, SAP_XI_MONITOR_J2EE, SAP_XI_RWB_SERV_USER.
Agradeço a ajuda fornecida.
Att Cláudio Argolo
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
- <!-- Call Adapter
-->
- <SAP:Error xmlns:SAP="http://sap.com/xi/XI/Message/30" xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" SOAP:mustUnderstand="">
<SAP:Category>XIServer</SAP:Category>
<SAP:Code area="INTERNAL">HTTP_RESP_STATUS_CODE_NOT_OK</SAP:Code>
<SAP:P1>403</SAP:P1>
<SAP:P2>Forbidden</SAP:P2>
<SAP:P3 />
<SAP:P4 />
<SAP:ApplicationFaultMessage namespace="" />
<SAP:Stack>HTTP response contains status code 403 with the description Forbidden Error while sending by HTTP (error code: 403, error text: Forbidden)</SAP:Stack>
<SAP:Retry>N</SAP:Retry>
</SAP:Error>
Amigos,
o problema foi resolvido com a eliminação de toda SLD e a criação novamente.
Obrigado a todos.
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
Amigos,
Estou também com este problema, porém o erro ocorre na comunicação com a SEFAZ.
- <SAP:Error xmlns:SAP="http://sap.com/xi/XI/Message/30" xmlns:SOAP="http://schemas.xmlsoap.org/soap/envelope/" SOAP:mustUnderstand="1">
<SAP:Category>XIAdapterFramework</SAP:Category>
<SAP:Code area="MESSAGE">GENERAL</SAP:Code>
<SAP:P1 />
<SAP:P2 />
<SAP:P3 />
<SAP:P4 />
<SAP:AdditionalText>com.sap.aii.af.ra.ms.api.DeliveryException: invalid content type for SOAP: TEXT/HTML; HTTP 403 Forbidden</SAP:AdditionalText>
<SAP:ApplicationFaultMessage namespace="" />
<SAP:Stack />
<SAP:Retry>M</SAP:Retry>
</SAP:Error>
Já é a terceira implantação com GRC que realizo e ainda não tinha tido este problema. Vocês tem noção do que pode causar isto?
Abraços
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
Não resolvido ainda
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
Bom dia Claudio,
O último erro postado "Error signing input XML: Error accessing Keystore", é quando o aplicativo assinador não consegue acessar o certificado, que deve estar armazenado no Keystore.
Você disse que teve problemas de criar/setar a permissão porém não disse que problema é esse. Você seguiu os passos do link ? O que está acontecendo ? Que parte você não conseguiu fazer ? Fez com o usuário correto ?
Atenciosamente, Fernando Da Ró
Parece que ele está tentando fazer uma comunicação segura com o serviço assinador, porém esta comunicação não é via SSL.
Verifique se no communication channel para o serviço assinador você informou os dados de keystore (opções do certificado), se informou retire.
Atenciosamente, Fernando Da Ró
Fernando,
Verifiquei o communication channel e não está passando as informações do keystore.
Estou passando as seguintes informações:
Adapter Type = SOAP
Receiver = X
Connection Parameters
Target URL = http://euro21:50100/DigitalSignature/ws?style=document
Configure user authentication = X
User = j2ee_admin e senha
Adapter Status
Status Active.
Atencisoamente,
Cláudio Argolo
Oi Henrique,
Dentro do PI na SXMB_ADM -> Integration Engine Configuration, está a seguinte configuração:
Função Business System = HUB Servidor de integração
Serv.integração correspondente = dest://XI_INTEGRATION_SERVER
XI_INTEGRATION_SERVER
Host Destino = euro21 nº serviço 8003
Pref/Caminho = /sap/xi/engine/?type=entry
Atenciosamente,
Cláudio Argolo
Claudio,
se o path prefix está exatamente como vc mandou, então está errado.
Está com uma barra a mais, antes da interrogacao.
Verifique aqui o valor certo: http://help.sap.com/saphelp_nw70/helpdata/en/85/78af1bf407434796aaf8dbd6d4e7b7/frameset.htm
Abs,
Henrique.
Bom tarde Claudio,
O problema já foi resolvido?
Tive um erro parecido com o seu, no meu caso, o XI não estava conseguindo enviar respostar ao GRC, e o problema estava na configuração do Adapter do tipo XI.
O Adapter do tipo XI precisa ser configurado para o Adressing Type = HTTP Destination e no HTTP Destination = .
Se não for seu caso, favor desconsidere ok.
Esta dica está no Blog do Henrique.
Abs
Marco
Qual usuário você está usando?
O usuário que deve ser usado para configuração do canal de comunicação acima é o
J2EE_ADMIN com sua respectiva senha.
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
Estou usando esse mesmo, o J2EE_ADMIN.
No canal de comunicação do tipo SOAP, estou informando esse usuário
para o seguinte caminho http://
:
/DigitalSignature/ws?style=document.No canal de comunicação é necessário configurar "Configure Certificate Authentication", infomando o
Keystore Entry e Keystore View?
Abs,
Cláudio Argolo
O KeyStore é parametrizado na transação SPRO no GRC, no caminho "SAP GRC Nota Fiscal Eletronica, Configure System Response for Each Tax Number (CNPJ)".
No canal de comunicação você não precisa informar o KeyStore.
Edited by: Jose Nunes on Jun 9, 2009 3:52 PM
Conseguiu resolver o problema? Qual foi a solução?
Claudio,
esse problema já foi resolvido?
De qq maneira, vc nao tem q ter configuracao do certificado no CC de assinatura nao.
É estranho dar erro 403 nessa comunicacao; vc configurou alguma coisa de SSO (single-sign on) nessa instancia Java?
J2EE_ADMIN com user/senha deveria ser suficiente. A senha está correta?
Não é problema de role, senão daria o erro 401 Unauthorized. De qq maneira, a unica role necessária é a SAP_J2EE_ADMIN.
Teste ainda seu user/senha atráves do WebServices Navigator.
http://server:port/wsnavigator -> na lista de WSs, clique sobre o DigitalSignature, depois vá em Test e escolha o método Sign. Preencha os campos com valores de certificado corretamente, no campo xml use por exemplo o valor abaixo:
<a><b Id='12345'><data>dados de teste</data></b></a>
No campo referenceId, use 12345, que é o Id da tag b acima.
No campo checkCert, use o valor true.
Entre usuário e senha e verifique o retorno.
Abs,
Henrique.
Henrique,
Esse problema ainda não foi resolvido.
Em relação ao SSO nós temos alguns parâmetros habilitados no perfil da instância ABAP, porém nada foi configurado na instância J2EE.
Referente ao teste solicitado, obtive a seguinte resposta.
No campo Description(string) veio com a seguinte informação: Error signing input XML: Error accessing Keystore
HTTP/1.1 200 OK
Connection: close
Set-Cookie:
Vc configurou corretamente os parametros de seguranca do EJB de Assinatura Digital, conforme indicado na configuracao do GRC?
http://help.sap.com/saphelp_grcnfe10/helpdata/en/d1/f142ed96224be8aca04746abde48b2/frameset.htm
Ainda, o keystore element e view que vc informou no teste foram os corretos??
Vc instalou no PI e na instancia Java do assinador tb??
Abs,
Henrique.
Henrique,
Sim, estão corretos os keystore element e view.
Não entendi a sua pergunta "Vc instalou no PI e na instancia Java do assinador tb?" ?
Verificando o link da documentação do GRC, dentro da parte Configure service for digital signature
existem um ponto que não configuramos, que é o XiSecurityRuntimePermission.
"On tab page Protection Domains , you can select the domain of the digital signature service for SAP NFE under sap.com grcnfedsig .
By selecting EJBContaine applicationjars , you can select the bean entry sap.comgrcnfedsigdsigbean.jar and switch to edit mode for granting the XiSecurityRuntimePermission permission to the domain."
Em nosso sistema não tinha esse parâmetro, criamos, mas não estamos conseguindo atribuir.
Claudio,
1o, desmarque o flag de "Mark your questions as answered" pois está confuso, parece q seu problema já foi resolvido.
2o, eu perguntei se vcs fizeram deploy do componente Java do GRC (SLL-NFE-JWS) no mesmo stack Java do XI ou se instalaram outro stack Java separado. E se foi outro separado, se vcs instalaram o certificado nos 2 ambientes.
3o, qual problema vcs estão tendo em atribuir o parametro ao EJB?
Att.
Henrique.
User | Count |
---|---|
15 | |
4 | |
2 | |
1 | |
1 | |
1 | |
1 | |
1 | |
1 | |
1 |
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.