Web Service Navigator

Colegas,

Tenho uma duvida. Para testar o Digital Signature, eu coloquei o seguinte no IE.

http:// ndrs81:50000/DigitalSignature/ws?style=document

Esse e o lugar onde esta instalado o certificado e o SLL-NFE-JWS (nosso caso esta junto com o ERP que e dual stack ABAP e JAVA).

Em seguida seguir o conselho do Henrique postado em outro thread:

No campo xml,

No campo referenceId, use 12345, que é o Id da tag b acima.

No campo checkCert, use o valor true.

Recebi esse erro:

An error has occurred. Maybe the request is not accepted by the server:

Exception in method sign.

Alguem comenta?

abs,

Phil

SAP Managed Tags:
SAP Electronic Invoicing for Brazil (SAP Nota Fiscal Eletronica)

You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.

Comment

Accepted Solutions (0)

Answers (1)

Phil,

minha sugestão na outra thread foi utilizar o valor

<a><b Id='12345'><data>teste...</data></b></a>

O referenceId tem q ser um Id existente em alguma tag nao-root do XML.

Abs,

Henrique.

You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.

Comment

Foi esse mesmo o valor que coloquei.

E o view e element do certificado? Vc preencheu corretamente, com os valores da entrada no Key Storage?

Abs,

Henrique.

Sim o key store view e entry estao corretos. A unica diferenca e o nosso landscape instalaram tudo no servidor do ERP, unica coisa que esta no PI e o XI content. Uma duvida....o servidor tem que estar habilitado para acessar a internet para chamar:

"http://ndrs81:50000/DigitalSignature/ws?style=document"

Ou isso e uma chamada interna? Outra coisa, tambem tenho o certificado instalado nos dois ambientes, ERP e o PI. Entao no CC eu uso o keystorage e view que esta dentro do PI enquanto para a assinatura uso o keystorage e view que esta instalado dentro do ERP.

abs,

Phil

Edited by: Phil Liu on Jun 18, 2009 5:13 PM

Phil,

como prereq na instalacao do componente SLL-NFE-JWS, existem 2 SWCV pre-reqs, o SAP_XI_AF e o SAP_XI_AFC. Eles foram instalados no ERP?

Ainda, o passo de configuracao da permissao de runtime p/ o assinador foi efetuado no Visual Admin, conforme manual?

Abs,

Henrique.

Ok depois de muita conversa decidimos installar o SLL-NFE-JWS (antes ele estava no ERP) no mesmo ambiente de PI. Agora estou com o seguinte erro:

Error accessing Keystore Status 5.

<?xml version="1.0" encoding="UTF-8"?>

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

<SOAP-ENV:Body xmlns:rpl="urn:DigitalSignatureVi">

<rpl:signResponse xmlns:rn0="http://schemas.xmlsoap.org/soap/encoding/" xmlns:rn1="java:sap/standard" xmlns:rn2="urn:com.sap.grc.nfe.dsig.core">

<rpl:Response>

<rn2:description>Error signing input XML: Error accessing Keystore</rn2:description>

<rn2:nfeid>12345</rn2:nfeid>

<rn2:status>5</rn2:status>

</rpl:Response>

</rpl:signResponse>

</SOAP-ENV:Body>

</SOAP-ENV:Envelope>

HTTP/1.1 200 OK

server: SAP NetWeaver Application Server 7.10 / AS Java 7.10

content-type: text/xml; charset=utf-8

date: Mon, 22 Jun 2009 15:52:47 GMT

connection: close

Set-Cookie: <value is hidden>

<?xml version="1.0" encoding="UTF-8"?><SOAP-ENV:Envelope xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:SOAP-ENV="http://schemas

Tenho que reinstallar o certificado?

Abs,

Phil

Edited by: Phil Liu on Jun 22, 2009 5:54 PM

Phil,

vc tem q acessar o wsnavigor da instancia Java onde o SLL-NFE-JWS e o certificado estao instalados.

Se vc quer testar com o AS Java do PI, ambos tb tem q estar instalados nesse ambiente.

Abs,

Henrique.

Bom dia Phil,

O erro "Error signing input XML: Error accessing Keystore" pode ser falta de permissão XiSecurityRuntimePermission. Veja mais informações em: Service Configuration.

Atenciosamente, Fernando Da Ró

Em PI 7.1 a permissao nao é necessaria.

Abs,

Henrique.

Henrique,

Obrigado, boa lembrança.

Phil,

Ignore a questão de permissão quanto ao passo de autorização, conforme o Henrique lembrou não é necessário para o PI 7.1.

A mensagem consta como o componente assinador do GRC NFe (java) não consegue acessar o keystore, então certifique-se dos parametros keystore view e keystore entrie estarem iguais aos de onde o certificado está instalado (mesma máquina).

Observação: case sensitive

Fernando Da Ró

Se eu estou digitando no IE o URL http://ndrs84:50000/DigitalSignature/ws?style=document eu ja nao estaria acessando o JAVA? A empresa de hosting me informou que o SLL-NFE-JWS e o certificado foram instalado no servidor ndrs84 que e o PI/XI.

Nele eu indiquei o user J2EE_ADMIN e a senha.

Uma pergunta, no NWA cheguei a olhar o certificado. Em baixo no "KEY STORAGE VIEW DETAILS" so tenho um registro:

NFe Kraton Polymers do Brasil Sa PRIVATE KEY RSA Wed Feb 04 08:00:00 CST 2009 Thu Feb 04 08:00:00 CST 2010

E uma PRIVATE KEY, ou um CERTIFICADO?

Na tabstrip a direita (View Property) preciso ter alguma coisa?

Em cima no tabstrip (Security)

Tenho que flagar o grc_nfedsig?

Abs,

Phil

É um certificado que contem ambas sa chaves publica e privada.

Qual a view/entry dele? Verifique q esses dados sao case sensitive.

Pode mandar prints das telas q vc menciona?

Abs,

Henrique.

Como e que mando prints?

coloque em qq host free de imagens (e.g. imageshack) e cole os links aqui.

Abs,

Henrique.

Aqui esta um deles.

http://www.freeimagehosting.net/image.php?701200a91b.jpg

Outro:

http://www.freeimagehosting.net/image.php?06254bd105.jpg

Edited by: Phil Liu on Jun 22, 2009 10:53 PM

Phil,

acredito q um problema possivel pode ser relacionado ao nome do certificado, que é muito grande.

Esse nome nao é lido do arquivo, foi digitado no momento da importacao, correto?

Se sim, tente renomeá-lo para algo mais simples como "NFE" ou "Kraton" e teste de novo no wsnavigator.

Isso nao altera o conteudo do arquivo, apenas o nome da entrada no KeyStorage.

Com relacao às permissoes, aquela permissao é especificamente de "CREATE VIEW", que é para criar uma nova view via aplicacao, que nao é o caso aqui. Veja a "READ VIEW" na view NFE.

Abs,

Henrique.

Verifiquei na READ_ENTRY e GET_VIEW (nao achei a READ_VIEW) e as permissoes sao todas iguais.

Estarei renomeando o Key Entry.

Abs,

Phil

Eu renomiei o Key Store View e Entry e ainda nao funcionou. Tambem exportei o certificado e o importei denovo, nada. No WS navigator o erro e "Error accessing Keystore". Quando executo a proxy que verifica o status do servico o erro e:

<SAP:AdditionalText>com.sap.engine.interfaces.messaging.api.exception.MessagingException: iaik.security.ssl.SSLCertificateException: Peer certificate rejected by ChainVerifier</SAP:AdditionalText>

Alguem pode ajudar? Estou com o PI 7.1 e ele e um pouco differente. Eu tenho que dar permissao para qual Domain? Quais sao o Key Store Permission que devo usar?

No SLD, o sistema technico (PI) vejo la que o SLL_NFE_JWS esta la.

Mais uma coisa, nao temos o "sap.com_grcnfe_dsigdsigbean.jar" mas temos o "sap.com_grcnfe~dsig". Isso tem problema?

Qualquer ajuda sera bem vinda...

Abs,

Phil

Edited by: Phil Liu on Jun 23, 2009 7:49 AM

Phil,

qual versao do SP/patch de seu sistema? Aconselho subir pra ultima disponivel, havia alguns problemas com PI 7.1 há um tempo.

Com relacao ao certificado, vc importou/exportou ele pelo windows? Ao importar, marcou "set the private key as exportable"? Ao exportar, utilizou a opcao "include complete certificate chain" e desmarcou a opcao "enable strong protection"?

Abs,

Henrique.

Oi Henrique,

As informacoes do sistema sao essas:

SAP_ABA 710 0007 SAPKA71007 Cross-Application Component

SAP_BASIS 710 0007 SAPKB71007 SAP Basis Component

PI_BASIS 2006_1_710 0007 SAPKIPYN07 PI_BASIS 2006_1_710

ST-PI 2008_1_710 0000 - SAP Solution Tools Plug-In

SAP_BW 710 0007 SAPKW71007 SAP NetWeaver BI 7.1

ST-A/PI 01L_BCO710 0000 - Servicetools for other App./Netweaver200

Vou detalhar o procedimento que segui para exportar o certificado:

1. Importei/installei o certificado no IE

2. Selecionei la no IE para exportar o certificado

3. Selecionei export private key

4. Selecionei include all certificate in same path if possible

5. Selecionei enable strong strong protection

Fui la no NWA do PI:

1. Criei um View chamado SAPNFE

2. em baixo selecionei import from file ni view entries (KRATON)

3. Selecionei o tipo PKCS#12

4. indiquei o caminho e entrei a senha

5. agora estou com um PRIVATE KEY

No tab "Security" tenho os domains disponiveis:

ap.com/tc_jejmx_wsconnectorapp (Granted)

sap.com/tc_lmitsam_uimainframe~wd (Granted)

sap.com/tc_lmitsam_uinwa_wrapperwd (Granted)

sap.com/tc_lmwebadmin_mainframewd (Granted)

sap.com/tc_seckeystore~wd (Granted)

sap.com/grc_nfedsig (branco) ja tentei mudar esse domain para Granted, mas nao teve effeito.

Nao tenho esse no domain sap.com_grcnfe_dsigdsigbean.jar, precisa?

Abs,

Phil

Edited by: Phil Liu on Jun 23, 2009 3:31 PM

Phil,

no 7.1, a questao do domain nao eh necessaria.

Note que a recomendacao é não selecionar a opcao "enable strong protection" ao exportar o certificado do windows.

Poderia retestar exportando sem esta opcao?

Se ainda der problema, sugiro testar a atualizacao pro ultimo SP/patch disponivel.

Abs,

Henrique.

Henrique,

Desta vez nao exportei usando a opcao "enable strong protection" e deu na mesma. Vou ver os "patch", mas vc esta referindo aos do PI ou SLL-NFE? Se for SLL-NFE entao estamos com o ultimo pach.

abs,

Phil

PI 7.1.

Abs,

Henrique.

Soh pra confirmar, na Instancia Java do ERP (q deve ser AS Java 7.0):

1. vc importou os componentes pre-req SAP-XI-AF e SAP-XI-AFC? Tem q ser versao 7.00;

2. vc retestou com esse outro certificado sem o strong protection e renomeado?

Abs,

Henrique.

Henrique,

Respondendo as suas perguntas:

1. Decidimos mudar o componente de assinatura para o PI antes ele estava no ERP. Entao la no PI ja ja tem os SAP-XI-AF e SAP-XI-AFC atualizados.

2. Sim testei o certificado com o nome simples e sem o strong protection.

Estava lendo uma nota que fala que a empresa que emitiu o certificado tinha que estar dentro do view TrustedCA. Fui la ve e a SERASA que foi a empresa que emitiu nosso certificado nao estava la. Importei o certificado mas ainda nao funcionou. Entao abri a pasta la onde se encontra o certificado e vi que exite 4. Tenho que colocar todos eles no TrustedCA? Ou nao precisa fazer esse passo?

Os 4 certificados sao:

1 Autoridade Certificadora Raiz Brasileira v1

2 SERASA Autoridade Certificadora Principal v1

3 SERASA Certificadora Digital v1

4 KRATON

Abs,

Phil

Ao menos o root tem q estar (autoridade certificadora raiz).

O que eu perguntei foi relativo aos testes no ambiente AS Java 7.0, nao ao PI 7.1.

Queria entender pq nao funcionou no seu AS Java 7.0.

Henrique.

Henrique,

Aconteceu algo interessante. Eu instalei o certificado raiz e nao funcionou. Entao vi la dentro do certificado e ele referencia os outros 3 certificados. Entao instalei todos. Ai o erro de SSL sumiu mas veio outro erro de PARSER. Verifiquei o meu CC e vi que o SOAP Action estava errado. Depois de ter corrigido isso eu executei o programa /XNFE/CHECK_SRV_STATUS. Tive successo! Vi o status "Servico em operacao". Fui la no SXMB_MONI para confirmar, mas as minhas menssagens nao estavam la. Entao entrei no Netweaver Runtime Work Bench e vi que as minhas menssagens foram recebidas com success pela SEFAZ SP. Sera que foi sucesso mesmo?

Mas tem up porem. Nao consegui fazer o WS Navigator funcionar.

Abs,

Phil

O Check Status Service nao tem assinatura, por isso foi com sucesso.

Se o teste do WSNavigator funcionou, provavelmente qdo tentar enviar uma nota, vai falhar a assinatura.

Com relacao ao fato de as msgs nao aparecerem na MONI, é pq por default ela nao loga msgs sincronas.

Se quiser ver, vá na SXMB_ADM -> Integration Engine Configuration e defina um novo parametro RUNTIME LOGGING_SYNC com valor 1 (se esse parametro já existir com valor diferente, apenas mude o valor pra 1).

Abs,

Henrique.

Bom dia Henrique,

Uma pergunta. Vi aqui que o PI e 7.1 e tem AS JAVA e AS ABAP 7.1. O SLL-NFE-JWS onde esta o programa de assinatura nao funciona com AS 7.1? Sera que seria esse o motivo do WS Navigator nao estar funcionando? Caso sim quais sao os passos que tenho que tomar?

abs,

Phil

Phil,

oficialmente nao foi liberado para o AS Java 7.1, mas temos diversos cases de clientes que implementaram com o PI 7.1 e funcionou. Inclusive internamente fizemos alguns testes bem sucedidos. A questao é apenas de liberacao formal mesmo.

Abs,

Henrique.

Ok vou pedir o pessoal para applicar os SP mais recentes. Os atuais no nosso PI 7.1 sao: SLL-NFE XI CONTENT - SP007 e para o SLL-NFE-JWS - SP005. Vi la que tem SP mais recentes para esses dois componentes.

Abs,

Phil

É uma boa, esqueci de comentar a questao do SP do SLL-NFE-JWS.

Abs,

Henrique.

Ok me falaram que o SLL-NFE-JWS estava na ultima versao...SP8, mas o PI content nao esta. Entao vou esperar eles atualizarem e testar denovo. Caso nao resolva entao nao sei mais o que fazer. Acho que vou abrir chamado na SAP pois tenho certeza que fiz upload da chave corretamente. Essa chave inclusive esta sendo usado no sistema NFE da empresa. Acho que e sistema da propria SEFAZ.

Abs,

Phil

Garanta que o ABAP tb está no mesmo SP (mas isso nao eh a causa do erro no seu teste).

Se nada resolver, abra o chamado.

Abs,

Henrique.

Henrique,

Muito obrigado pela ajuda. A SAP recomendou a implementacao da nota 1256002. Fizemos isso e funcionou! Pelo menos e o que o resultado do WS me diz. Espero nao ter esse problema nos scenarios de assinatura.

<?xml version="1.0" encoding="UTF-8"?>

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

<SOAP-ENV:Body xmlns:rpl="urn:DigitalSignatureVi">

<rpl:signResponse xmlns:rn0="http://schemas.xmlsoap.org/soap/encoding/" xmlns:rn1="java:sap/standard" xmlns:rn2="urn:com.sap.grc.nfe.dsig.core">

<rpl:Response>

<rn2:description>Successful XML Signature.</rn2:description>

<rn2:nfeid>12345</rn2:nfeid>

<rn2:status>0</rn2:status>

Abs,

Phil

Edited by: Phil Liu on Jun 29, 2009 8:11 PM

Edited by: Phil Liu on Jun 29, 2009 8:14 PM

Phil,

perfeito!

A nota indica que era um bug no próprio Key Storage standard do AS Java, não diretamente um issue do NFE.

Como o PI 7.1 é mais novo, é mais propenso a esse tipo de issues.

Mas acredito que a partir do SP08, ele está bem mais estável.

Abraços,

Henrique.

Ask a Question

Top Q&A Solution Author

User

Count