Fernando, o certificado da empresa, é (deveria ser) o certificado adquirido pelo cliente, o eCNPJ.

O cliente tem diversas plantas emissoras de NF-e. Também, completando a informação, existe um servidor ECC, um GRC NFe SP11 e um PI 7.01, portanto o processo que eu entendo que deve ser feito é:

- Importação de todos os certificados de cada planta na STRUST do GRC NFe, para assinatura dos XMLs outbound;

- Importação de 1 destes eCNPJs no Visual Admin do PI para SSL.

- Importação do ICP Brasil (raiz) no Visual Admin, em TrustedCAs.

Com isso, seria possível o envio dos XMLs de qualquer planta, assinatura GRC NFe e comunicação entre PI e Sefaz (considerando que a nota esteja correta). É isso mesmo ou estou falando besteira?

Existe algo nesse contexto de assinatura e certificados digitais que eu não esteja considerando aqui?

Muito obrigado novamente !!

Rafael.

Obrigado Tiago! Vou revisar a cadeia aqui, mas não funciona nem pra Service Status Check.

As mensagem de saida e de retorno aparecem na sxmb_moni do PI com sucesso, mas nesse caso sucesso indica que a comunicação foi com sucesso. O XML de retorno diz Rejeição: Certificado Transmissor difere ICP-Brasil (285).

Eu recebi o certificado que tinha sido usado e instalei na minha máquina e tentei aceso o WS de service status check de SP e continuava retornando 403.

Depois recebi o outro certificado e depois de instalar ele, consigo acessar o serviço da Sefaz pela minha máquina.

Então esse último certificado foi enviado para importação no Visual Admin (basis). Além disso, tem que ser importado dentro da Trusted CAs no Visual Admin o root ICP Brasil.

O cenário continua recebendo 403 da Sefaz mas a informação que a equipe de basis passa é que ICP Brasil já foi importado na Trusted CA do VA no PI.

O processo correto é este mesmo ? Onde eu consigo esse certificado (talvez estejamos importando o errado)?

Valeu !

Não foi feito restart do serviço.

O adapter eu já ativei algumas vezes, inclusive trocando as informações de certificado, mas continua com erro.

Com este novo certificado, o erro no rodapé do GRC depois de executar o report de SRVSC, é o genérico 70, e no PI red light (System Error) com mensagem com.sap.aii.af.ra.ms.api.DeliveryException: SOAP: response message contains an error XIAdapter/HTTP/ADAPTER.HTTP_EXCEPTION - HTTP 403.

Com o certificado anterior, o erro no GRC era o 285 com bandeira quadriculada na Moni do PI e o erro ref. ao status Rejeição: Certificado Transmissor difere ICP-Brasil (285)

Bom dia Rafael,

Como está a cadeia dos certificados, o Raiz é o ICP?

Veja exemplo:

E sabe se foi importado o .pfx com esta cadeia completa? Para o caso do ICP-Brasil não seria para fazer o deploy na TrustedCA's mas ele estaria no próprio certificado digital (cadeia completa) como o da foto.

Na SAP Note 1524196 você encontra os .pdfs que ensinam como gerar este .pfx a partir do internet explore, como importar....

Atenciosamente, Fernando Da Rós

Fernando, eu fiz como o pdf diz.

Importar o .pfx, colocar pwd e marcar alguns checkboxes. Depois faz o procedimento de export, marcando também os checkboxes igual manda o pdf, gerei um novo pfx com uma pwd novo e foi o que foi passado para basis importar.

A estrutura está assim:

A raíz não aparece com ICP Brazil, então como devo fazer para alterar e corrigir?

Mto obrigado!

Bom dia Rafael,

Este seu é a versão 2, clicando nele e View Certificate você encontrará as informações ICP-Brasil como Owner (o meu exemplo ainda é versão 1.0).

Voltando.. Você agora está recebendo erro 403 que acontece entre seu client e o servidor Sefaz, você já trocou o certificado e já restartou o J2EE... Vamos pra frente:

- Importou na TrustedCA's os certificados públicos das Sefazes? Nem todas exigem mas algumas sim, falar nisso...

- Já testou este novo certificado em SRVSC de outras Sefazes? O erro é o mesmo?

- Este servidor já conseguiu alguma vez com sucesso SSL com Sefaz? Você está usando proxy para chegar à internet?

Atenciosamente, Fernando Da Rós

Fernando,

Tinha importado o ICP Brasil no VA e só.

A nota 1524196 tem um pdf NFe Dig Signature Guide onde o topico 2.2 é Import CA certificates, mas está dentro da parte Inbound e diz pra instalar os certificados do link

http://www.iti.gov.br/twiki/bin/view/Certificacao/RepositoriodaACRaiz

É esse passo que vc se refere quando diz certificados públicos das Sefazes?

Nenhuma Sefaz estava funcionando, todas com 403.

Só não tinha feito ainda o restart do serviço Java. Um full cache refresh resolveu.

O cenário de status do serviço está comunicando com sucesso com a Sefaz agora.

Muito obrigado pela força!

Rafael Vieira.

Bom dia Rafael,

Os certificados que precisa no TrustedCA's (não exigido por todas as Sefazes, nem sei qual exige de fato) são os certificados públicos da própria Sefaz e você baixa isto do próprio site... Mas só se engasgar.

O que você encontrou na nota é para o incoming e o upload é na STRUST (ABAP) não no VA para outgoing...

Tinha entendido que você já havia feito restart. O J2EE faz cache dos certificados digitais, então quando você os troca eles não são assumidos imediatamente, apenas através de 2 ações:

- restart ta instância J2EE <-- recomendado pois irá recarregar todos os certificados após seu primeiro uso

- fazer modificação dummy no communication channel e ativá-lo <-- teria que fazer isso para cada CC que use o certificado

Por favor marque a discussão como respondida.

Atenciosamente, Fernando Da Rós