on 06-18-2009 2:40 PM
Colegas,
Tenho uma duvida. Para testar o Digital Signature, eu coloquei o seguinte no IE.
http:// ndrs81:50000/DigitalSignature/ws?style=document
Esse e o lugar onde esta instalado o certificado e o SLL-NFE-JWS (nosso caso esta junto com o ERP que e dual stack ABAP e JAVA).
Em seguida seguir o conselho do Henrique postado em outro thread:
No campo xml,
No campo referenceId, use 12345, que é o Id da tag b acima.
No campo checkCert, use o valor true.
Recebi esse erro:
An error has occurred. Maybe the request is not accepted by the server:
Exception in method sign.
Alguem comenta?
abs,
Phil
Phil,
minha sugestão na outra thread foi utilizar o valor
<a><b Id='12345'><data>teste...</data></b></a>
O referenceId tem q ser um Id existente em alguma tag nao-root do XML.
Abs,
Henrique.
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
Sim o key store view e entry estao corretos. A unica diferenca e o nosso landscape instalaram tudo no servidor do ERP, unica coisa que esta no PI e o XI content. Uma duvida....o servidor tem que estar habilitado para acessar a internet para chamar:
"http://ndrs81:50000/DigitalSignature/ws?style=document"
Ou isso e uma chamada interna? Outra coisa, tambem tenho o certificado instalado nos dois ambientes, ERP e o PI. Entao no CC eu uso o keystorage e view que esta dentro do PI enquanto para a assinatura uso o keystorage e view que esta instalado dentro do ERP.
abs,
Phil
Edited by: Phil Liu on Jun 18, 2009 5:13 PM
Ok depois de muita conversa decidimos installar o SLL-NFE-JWS (antes ele estava no ERP) no mesmo ambiente de PI. Agora estou com o seguinte erro:
Error accessing Keystore Status 5.
<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body xmlns:rpl="urn:DigitalSignatureVi">
<rpl:signResponse xmlns:rn0="http://schemas.xmlsoap.org/soap/encoding/" xmlns:rn1="java:sap/standard" xmlns:rn2="urn:com.sap.grc.nfe.dsig.core">
<rpl:Response>
<rn2:description>Error signing input XML: Error accessing Keystore</rn2:description>
<rn2:nfeid>12345</rn2:nfeid>
<rn2:status>5</rn2:status>
</rpl:Response>
</rpl:signResponse>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
HTTP/1.1 200 OK
server: SAP NetWeaver Application Server 7.10 / AS Java 7.10
content-type: text/xml; charset=utf-8
date: Mon, 22 Jun 2009 15:52:47 GMT
connection: close
Set-Cookie: <value is hidden>
<?xml version="1.0" encoding="UTF-8"?><SOAP-ENV:Envelope xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:SOAP-ENV="http://schemas
Tenho que reinstallar o certificado?
Abs,
Phil
Edited by: Phil Liu on Jun 22, 2009 5:54 PM
Bom dia Phil,
O erro "Error signing input XML: Error accessing Keystore" pode ser falta de permissão XiSecurityRuntimePermission. Veja mais informações em: Service Configuration.
Atenciosamente, Fernando Da Ró
Henrique,
Obrigado, boa lembrança.
Phil,
Ignore a questão de permissão quanto ao passo de autorização, conforme o Henrique lembrou não é necessário para o PI 7.1.
A mensagem consta como o componente assinador do GRC NFe (java) não consegue acessar o keystore, então certifique-se dos parametros keystore view e keystore entrie estarem iguais aos de onde o certificado está instalado (mesma máquina).
Observação: case sensitive
Fernando Da Ró
Se eu estou digitando no IE o URL http://ndrs84:50000/DigitalSignature/ws?style=document eu ja nao estaria acessando o JAVA? A empresa de hosting me informou que o SLL-NFE-JWS e o certificado foram instalado no servidor ndrs84 que e o PI/XI.
Nele eu indiquei o user J2EE_ADMIN e a senha.
Uma pergunta, no NWA cheguei a olhar o certificado. Em baixo no "KEY STORAGE VIEW DETAILS" so tenho um registro:
NFe Kraton Polymers do Brasil Sa PRIVATE KEY RSA Wed Feb 04 08:00:00 CST 2009 Thu Feb 04 08:00:00 CST 2010
E uma PRIVATE KEY, ou um CERTIFICADO?
-
Na tabstrip a direita (View Property) preciso ter alguma coisa?
-
Em cima no tabstrip (Security)
Tenho que flagar o grcnfedsig?
Abs,
Phil
Aqui esta um deles.
http://www.freeimagehosting.net/image.php?701200a91b.jpg
Outro:
http://www.freeimagehosting.net/image.php?06254bd105.jpg
Edited by: Phil Liu on Jun 22, 2009 10:53 PM
Phil,
acredito q um problema possivel pode ser relacionado ao nome do certificado, que é muito grande.
Esse nome nao é lido do arquivo, foi digitado no momento da importacao, correto?
Se sim, tente renomeá-lo para algo mais simples como "NFE" ou "Kraton" e teste de novo no wsnavigator.
Isso nao altera o conteudo do arquivo, apenas o nome da entrada no KeyStorage.
Com relacao às permissoes, aquela permissao é especificamente de "CREATE VIEW", que é para criar uma nova view via aplicacao, que nao é o caso aqui. Veja a "READ VIEW" na view NFE.
Abs,
Henrique.
Eu renomiei o Key Store View e Entry e ainda nao funcionou. Tambem exportei o certificado e o importei denovo, nada. No WS navigator o erro e "Error accessing Keystore". Quando executo a proxy que verifica o status do servico o erro e:
<SAP:AdditionalText>com.sap.engine.interfaces.messaging.api.exception.MessagingException: iaik.security.ssl.SSLCertificateException: Peer certificate rejected by ChainVerifier</SAP:AdditionalText>
Alguem pode ajudar? Estou com o PI 7.1 e ele e um pouco differente. Eu tenho que dar permissao para qual Domain? Quais sao o Key Store Permission que devo usar?
No SLD, o sistema technico (PI) vejo la que o SLL_NFE_JWS esta la.
Mais uma coisa, nao temos o "sap.comgrcnfedsigdsigbean.jar" mas temos o "sap.comgrcnfe~dsig". Isso tem problema?
Qualquer ajuda sera bem vinda...
Abs,
Phil
Edited by: Phil Liu on Jun 23, 2009 7:49 AM
Phil,
qual versao do SP/patch de seu sistema? Aconselho subir pra ultima disponivel, havia alguns problemas com PI 7.1 há um tempo.
Com relacao ao certificado, vc importou/exportou ele pelo windows? Ao importar, marcou "set the private key as exportable"? Ao exportar, utilizou a opcao "include complete certificate chain" e desmarcou a opcao "enable strong protection"?
Abs,
Henrique.
Oi Henrique,
As informacoes do sistema sao essas:
SAP_ABA 710 0007 SAPKA71007 Cross-Application Component
SAP_BASIS 710 0007 SAPKB71007 SAP Basis Component
PI_BASIS 2006_1_710 0007 SAPKIPYN07 PI_BASIS 2006_1_710
ST-PI 2008_1_710 0000 - SAP Solution Tools Plug-In
SAP_BW 710 0007 SAPKW71007 SAP NetWeaver BI 7.1
ST-A/PI 01L_BCO710 0000 - Servicetools for other App./Netweaver200
Vou detalhar o procedimento que segui para exportar o certificado:
1. Importei/installei o certificado no IE
2. Selecionei la no IE para exportar o certificado
3. Selecionei export private key
4. Selecionei include all certificate in same path if possible
5. Selecionei enable strong strong protection
Fui la no NWA do PI:
1. Criei um View chamado SAPNFE
2. em baixo selecionei import from file ni view entries (KRATON)
3. Selecionei o tipo PKCS#12
4. indiquei o caminho e entrei a senha
5. agora estou com um PRIVATE KEY
No tab "Security" tenho os domains disponiveis:
ap.com/tcjejmxwsconnectorapp (Granted)
sap.com/tclmitsamuimainframe~wd (Granted)
sap.com/tclmitsamuinwawrapperwd (Granted)
sap.com/tclmwebadminmainframewd (Granted)
sap.com/tcseckeystore~wd (Granted)
sap.com/grcnfedsig (branco) ja tentei mudar esse domain para Granted, mas nao teve effeito.
Nao tenho esse no domain sap.comgrcnfedsigdsigbean.jar, precisa?
Abs,
Phil
Edited by: Phil Liu on Jun 23, 2009 3:31 PM
Phil,
no 7.1, a questao do domain nao eh necessaria.
Note que a recomendacao é não selecionar a opcao "enable strong protection" ao exportar o certificado do windows.
Poderia retestar exportando sem esta opcao?
Se ainda der problema, sugiro testar a atualizacao pro ultimo SP/patch disponivel.
Abs,
Henrique.
Henrique,
Respondendo as suas perguntas:
1. Decidimos mudar o componente de assinatura para o PI antes ele estava no ERP. Entao la no PI ja ja tem os SAP-XI-AF e SAP-XI-AFC atualizados.
2. Sim testei o certificado com o nome simples e sem o strong protection.
Estava lendo uma nota que fala que a empresa que emitiu o certificado tinha que estar dentro do view TrustedCA. Fui la ve e a SERASA que foi a empresa que emitiu nosso certificado nao estava la. Importei o certificado mas ainda nao funcionou. Entao abri a pasta la onde se encontra o certificado e vi que exite 4. Tenho que colocar todos eles no TrustedCA? Ou nao precisa fazer esse passo?
Os 4 certificados sao:
1 Autoridade Certificadora Raiz Brasileira v1
2 SERASA Autoridade Certificadora Principal v1
3 SERASA Certificadora Digital v1
4 KRATON
Abs,
Phil
Henrique,
Aconteceu algo interessante. Eu instalei o certificado raiz e nao funcionou. Entao vi la dentro do certificado e ele referencia os outros 3 certificados. Entao instalei todos. Ai o erro de SSL sumiu mas veio outro erro de PARSER. Verifiquei o meu CC e vi que o SOAP Action estava errado. Depois de ter corrigido isso eu executei o programa /XNFE/CHECK_SRV_STATUS. Tive successo! Vi o status "Servico em operacao". Fui la no SXMB_MONI para confirmar, mas as minhas menssagens nao estavam la. Entao entrei no Netweaver Runtime Work Bench e vi que as minhas menssagens foram recebidas com success pela SEFAZ SP. Sera que foi sucesso mesmo?
Mas tem up porem. Nao consegui fazer o WS Navigator funcionar.
Abs,
Phil
O Check Status Service nao tem assinatura, por isso foi com sucesso.
Se o teste do WSNavigator funcionou, provavelmente qdo tentar enviar uma nota, vai falhar a assinatura.
Com relacao ao fato de as msgs nao aparecerem na MONI, é pq por default ela nao loga msgs sincronas.
Se quiser ver, vá na SXMB_ADM -> Integration Engine Configuration e defina um novo parametro RUNTIME LOGGING_SYNC com valor 1 (se esse parametro já existir com valor diferente, apenas mude o valor pra 1).
Abs,
Henrique.
Ok me falaram que o SLL-NFE-JWS estava na ultima versao...SP8, mas o PI content nao esta. Entao vou esperar eles atualizarem e testar denovo. Caso nao resolva entao nao sei mais o que fazer. Acho que vou abrir chamado na SAP pois tenho certeza que fiz upload da chave corretamente. Essa chave inclusive esta sendo usado no sistema NFE da empresa. Acho que e sistema da propria SEFAZ.
Abs,
Phil
Henrique,
Muito obrigado pela ajuda. A SAP recomendou a implementacao da nota 1256002. Fizemos isso e funcionou! Pelo menos e o que o resultado do WS me diz. Espero nao ter esse problema nos scenarios de assinatura.
<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body xmlns:rpl="urn:DigitalSignatureVi">
<rpl:signResponse xmlns:rn0="http://schemas.xmlsoap.org/soap/encoding/" xmlns:rn1="java:sap/standard" xmlns:rn2="urn:com.sap.grc.nfe.dsig.core">
<rpl:Response>
<rn2:description>Successful XML Signature.</rn2:description>
<rn2:nfeid>12345</rn2:nfeid>
<rn2:status>0</rn2:status>
Abs,
Phil
Edited by: Phil Liu on Jun 29, 2009 8:11 PM
Edited by: Phil Liu on Jun 29, 2009 8:14 PM
User | Count |
---|---|
13 | |
2 | |
2 | |
1 | |
1 | |
1 | |
1 | |
1 | |
1 | |
1 |
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.