on 02-06-2014 6:18 PM
Olá pessoal, boa tarde.
Estou precisando da ajuda de vocês.
A interface de consultar o status serviço de SP no ambiente de homologação está dando o erro abaixo:
Analisando o blog "" do Ricardo Viana, o basis fez os seguintes passos:
1. Adicionou as novas cadeias de certificados na "TrustedCA".
Pegou as cadeias no link: https://www.fazenda.sp.gov.br/nfe/url_webservices/Certificados_NFe_CTe_SEFAZ_SP.zip
2. Atualizou as bibliotecas iSalSik pra ultima versão, "libs - library iaik_ssl.jar e w3c_http.jar".
Pelo que entendi só estes passos bastariam, alguém pode me da uma dica refente ao que mais posso fazer pra resolver este problema?
Abraços,
Leandro Machado.
Olá pessoal, quero primeiramente agradecer a todos pelo apoio.
E também dizer que o problema foi resolvido aplicando a nota 1405895 - Large messages from SOAP receiver channel fail.
Abraços a todos.
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
Fala Leandro!
Só SP está dando erro?
obs.: componente IAIK é um remédio controlado. Não sei se no blog está informando que, na dúvida, deve-se sair atualizando o componente como uma medida preventiva, mas se estiver está errado! A SAP é quem deve dizer se este componente deve ser atualizado ou não, de acordo com cada versão do PI.
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.
Olá pessoal, boa tarde.
Foi instalado o XPI Inspector, através do log percebemos que a versão do iSalSik é 3.18.
Será aberto um chamado na SAP para eles analisarem.
Leandro,
O handshake está sendo feito com sucesso? O debug mostra que a Sefaz aceitou a comunicação e ainda assim retornou este erro?
Você já verificou os certificados que estão sendo usados para SSL? São válidos? São os mesmos que estão em uso para outra Sefaz com sucesso?
Eu já tive esse problema e depois de perder muito tempo com as análises vi que era questão de cache .
Naquela ocasião, nenhuma limpeza de cache ajudou, então eu tive que pegar um canal de comunicação que estava funcionando e copiei ele para outro estado (no seu caso, pra SP) alterando apenas a URL do serviço.
Faça estes testes aí também.
Rafael Vieira.
Olá Eduardo.
Fiz alguns ajustes após analisar o log gerado pelo XPI Inspector e no momento não está indicando nenhum problema, mas mesmo assim continua dando o erro: "Message processing failed. Cause: com.sap.engine.interfaces.messaging.api.exception.MessagingException: java.net.SocketException: Connection reset"
Ja limpei o cache;
Mudei o nome do canal;
Vou postar o log, caso alguém tiver algum sugestão de qual o próximo passo:
Registered Security Providers
0. IAIK version 3.1810000000000005 : IAIK Security Provider v3.1810000000000005
1. SUN version 1.5 : SUN (DSA key/parameter generation; DSA signing; SHA-1, MD5 digests; SecureRandom; X.509 certificates; JKS keystore; PKIX CertPathValidator; PKIX CertPathBuilder; LDAP, Collection CertStores)
2. SunRsaSign version 1.5 : Sun RSA signature provider
3. SunJSSE version 1.5 : Sun JSSE provider(PKCS12, SunX509 key/trust factories, SSLv3, TLSv1)
4. SunJCE version 1.5 : SunJCE Provider (implements RSA, DES, Triple DES, AES, Blowfish, ARCFOUR, RC2, PBE, Diffie-Hellman, HMAC)
5. SunJGSS version 1.0 : Sun (Kerberos v5)
6. SunSASL version 1.5 : Sun SASL provider(implements client mechanisms for: DIGEST-MD5, GSSAPI, EXTERNAL, PLAIN, CRAM-MD5; server mechanisms for: DIGEST-MD5, GSSAPI, CRAM-MD5)
7. KeyStore version 4.0 : SAP J2EE Engine KeyStore provider version 7.0
8. JsafeJCE version 3.5 : RSA Security Inc. Crypto-J JCE Security Provider (implements RSA, DSA, Diffie-Hellman, AES, DES, Triple DES, DESX, RC2, RC4, RC5, PBE, MD2, MD5, SHA1, SHA224, SHA256, SHA384, SHA512, HMAC-MD5, HMAC-SHA1)
Verify Local SSL Client Key Pair
Private Key View/Entry: NFE/NFE_MI
Algorithm: RSA
Format: PKCS#8
Found Certificate chain with 4 elements:
SubjectDN: EMAIL=XXXXXXX@XXXXXXXXX,CN=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX,OU=ID - 4303352,OU=Assinatura Tipo A1,OU=Autenticado por Autoridade de Registro CNB SP,O=ICP-Brasil,C=BR
IssuerDN: CN=AC Certisign Multipla G5,OU=Certisign Certificadora Digital S.A.,O=ICP-Brasil,C=BR
SubjectDN: CN=AC Certisign Multipla G5,OU=Certisign Certificadora Digital S.A.,O=ICP-Brasil,C=BR
IssuerDN: CN=AC Certisign G6,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
SubjectDN: CN=AC Certisign G6,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
IssuerDN: CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
SubjectDN: CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
IssuerDN: CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Self Signed CA
Verify Remote SSL Server Certificate
Client Certificates
Certificate #1 Subject DN:XXXXXXXXXXXXXXXXXXXXXXXX@XXXX.XXXX,CN=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX LTDA,OU=ID - 4303352,OU=Assinatura Tipo A1,OU=Autenticado por Autoridade de Registro CNB SP,O=ICP-Brasil,C=BR
Certificate #2 Subject DN:CN=AC Certisign Multipla G5,OU=Certisign Certificadora Digital S.A.,O=ICP-Brasil,C=BR
Certificate #3 Subject DN:CN=AC Certisign G6,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
Certificate #4 Subject DN:CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Trusted Certificates
Certificate #1 Subject DN:CN=homologacao.nfe.fazenda.sp.gov.br,OU=ID - 5619505,OU=Assinatura Tipo A1,OU=Autenticado por AR Imprensa Oficial,O=ICP-Brasil,C=BR
Certificate #2 Subject DN:CN=Deutsche Telekom Root CA 1,OU=T-TeleSec Trust Center,O=Deutsche Telekom AG,C=DE
Certificate #3 Subject DN:CN=VeriSign Class 3 Public Primary Certification Authority - G3,OU=(c) 1999 VeriSign, Inc. - For authorized use only,OU=VeriSign Trust Network,O=VeriSign, Inc.,C=US
Certificate #4 Subject DN:CN=AC Certisign G3,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Certificate #5 Subject DN:CN=SERASA Certificadora Digital v2,O=ICP-Brasil,C=BR
Certificate #6 Subject DN:OU=VeriSign Trust Network,OU=(c) 1998 VeriSign, Inc. - For authorized use only,OU=Class 1 Public Primary Certification Authority - G2,O=VeriSign, Inc.,C=US
Certificate #7 Subject DN:CN=Autoridade Certificadora Raiz Brasileira v1,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Certificate #8 Subject DN:OU=VeriSign Trust Network,OU=(c) 1998 VeriSign, Inc. - For authorized use only,OU=Class 2 Public Primary Certification Authority - G2,O=VeriSign, Inc.,C=US
Certificate #9 Subject DN:CN=AC Imprensa Oficial G3,OU=Imprensa Oficial do Estado S A IMESP,O=ICP-Brasil,C=BR
Certificate #10 Subject DN:CN=AC Instituto Fenacon RFB,OU=Secretaria da Receita Federal do Brasil - RFB,O=ICP-Brasil,C=BR
Certificate #11 Subject DN:CN=VeriSign Class 2 Public Primary Certification Authority - G3,OU=(c) 1999 VeriSign, Inc. - For authorized use only,OU=VeriSign Trust Network,O=VeriSign, Inc.,C=US
Certificate #12 Subject DN:CN=Entrust.net Secure Server Certification Authority,OU=(c) 1999 Entrust.net Limited,OU=www.entrust.net/CPS incorp. by ref. (limits liab.),O=Entrust.net,C=US
Certificate #13 Subject DN:OU=VeriSign Trust Network,OU=(c) 1998 VeriSign, Inc. - For authorized use only,OU=Class 4 Public Primary Certification Authority - G2,O=VeriSign, Inc.,C=US
Certificate #14 Subject DN:CN=Entrust.net Client Certification Authority,OU=(c) 1999 Entrust.net Limited,OU=www.entrust.net/Client_CA_Info/CPS incorp. by ref. limits liab.,O=Entrust.net,C=US
Certificate #15 Subject DN:CN=AC Secretaria da Receita Federal do Brasil,O=ICP-Brasil,C=BR
Certificate #16 Subject DN:CN=AC Secretaria da Receita Federal do Brasil v3,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
Certificate #17 Subject DN:OU=Class 1 Public Primary Certification Authority,O=VeriSign, Inc.,C=US
Certificate #18 Subject DN:CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Certificate #19 Subject DN:CN=VeriSign Class 1 Public Primary Certification Authority - G3,OU=(c) 1999 VeriSign, Inc. - For authorized use only,OU=VeriSign Trust Network,O=VeriSign, Inc.,C=US
Certificate #20 Subject DN:CN=VeriSign Class 4 Public Primary Certification Authority - G3,OU=(c) 1999 VeriSign, Inc. - For authorized use only,OU=VeriSign Trust Network,O=VeriSign, Inc.,C=US
Certificate #21 Subject DN:CN=SERASA Autoridade Certificadora Principal v2,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
Certificate #22 Subject DN:CN=SERASA Autoridade Certificadora v2,OU=CSPB-4,O=ICP-Brasil,C=BR
Certificate #23 Subject DN:OU=Class 3 Public Primary Certification Authority,O=VeriSign, Inc.,C=US
Certificate #24 Subject DN:OU=Class 2 Public Primary Certification Authority,O=VeriSign, Inc.,C=US
Certificate #25 Subject DN:CN=AC Certisign Multipla G3,OU=Certisign Certificadora Digital S.A.,O=ICP-Brasil,C=BR
Certificate #26 Subject DN:EMAIL=server-certs@thawte.com,CN=Thawte Server CA,OU=Certification Services Division,O=Thawte Consulting cc,L=Cape Town,ST=Western Cape,C=ZA
Certificate #27 Subject DN:CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Certificate #28 Subject DN:OU=VeriSign Trust Network,OU=(c) 1998 VeriSign, Inc. - For authorized use only,OU=Class 3 Public Primary Certification Authority - G2,O=VeriSign, Inc.,C=US
Certificate #29 Subject DN:CN=AC Imprensa Oficial SP G3,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
Certificate #30 Subject DN:CN=AC Certisign Multipla G5,OU=Certisign Certificadora Digital S.A.,O=ICP-Brasil,C=BR
Certificate #31 Subject DN:CN=Autoridade Certificadora Raiz Brasileira v1,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Using Transport Protocol: HTTPS
Handshake Timeout: 0
Keep alive: false
TCP No Delay: false
Begin SSLTransport Trace:
Peer ID: 201.55.62.10:443
Peer Name: homologacao.nfe.fazenda.sp.gov.br
Remote IP Address: homologacao.nfe.fazenda.sp.gov.br/201.55.62.10
Peer Supported Cipher Suite:
Active Cipher Suite: null
Peer Supported Compresssion Methods:
Active Compression Method: null
Active Protocol Version: 0
Use Client Mode: true
End SSLTransport Trace.
Found Certificate chain with 3 elements:
SubjectDN: CN=homologacao.nfe.fazenda.sp.gov.br,OU=ID - 5619505,OU=Assinatura Tipo A1,OU=Autenticado por AR Imprensa Oficial,O=ICP-Brasil,C=BR
IssuerDN: CN=AC Imprensa Oficial G3,OU=Imprensa Oficial do Estado S A IMESP,O=ICP-Brasil,C=BR
SubjectDN: CN=AC Imprensa Oficial G3,OU=Imprensa Oficial do Estado S A IMESP,O=ICP-Brasil,C=BR
IssuerDN: CN=AC Imprensa Oficial SP G3,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
SubjectDN: CN=AC Imprensa Oficial SP G3,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
IssuerDN: CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Begin Analyzing Certificate Chain:
The certificate #0 was signed by the certificate #1
The certificate #1 was signed by the certificate #2
The certificate with DN = {CN=AC Imprensa Oficial SP G3,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR} appears to be signed by {CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR}, however, the signing certificate was not provided in the chain.
End Analyzing Certificate Chain.
Begin IAIK Examination:
The default IAIK chain verifier trusts this chain.
End IAIK Examination.
Begin IAIK Debug:
ssl_debug(134291): Starting handshake (iSaSiLk 4.31)...
ssl_debug(134291): Sending v3 client_hello message to homologacao.nfe.fazenda.sp.gov.br:443, requesting version 3.2...
ssl_debug(134291): Received v3 server_hello handshake message.
ssl_debug(134291): Server selected SSL version 3.1.
ssl_debug(134291): Server created new session E7:01:00:00:B1:80:96:D2...
ssl_debug(134291): CipherSuite selected by server: TLS_RSA_WITH_AES_128_CBC_SHA
ssl_debug(134291): CompressionMethod selected by server: NULL
ssl_debug(134291): Received certificate handshake message with server certificate.
ssl_debug(134291): Server sent a 2048 bit RSA certificate, chain has 3 elements.
ssl_debug(134291): ChainVerifier: Found a trusted certificate, returning true
ssl_debug(134291): Received server_hello_done handshake message.
ssl_debug(134291): Sending client_key_exchange handshake...
ssl_debug(134291): Sending change_cipher_spec message...
ssl_debug(134291): Sending finished message...
ssl_debug(134291): Received change_cipher_spec message.
ssl_debug(134291): Received finished message.
ssl_debug(134291): Session added to session cache.
ssl_debug(134291): Handshake completed, statistics:
ssl_debug(134291): Read 6459 bytes in 3 records, wrote 462 bytes in 4 records.
ssl_debug(134291): Shutting down SSL layer...
ssl_debug(134291): Sending alert: Alert Warning: close notify
ssl_debug(134291): Read 0 bytes in 0 records, 0 bytes net, 0 average.
ssl_debug(134291): Wrote 0 bytes in 0 records, 0 bytes net, 0 average.
ssl_debug(134291): Closing transport...
ssl_debug(134291): Closing transport...
End IAIK Debug.
Is Remote SSL Server Certificate Trusted
SubjectDN: CN=homologacao.nfe.fazenda.sp.gov.br,OU=ID - 5619505,OU=Assinatura Tipo A1,OU=Autenticado por AR Imprensa Oficial,O=ICP-Brasil,C=BR
IssuerDN: CN=AC Imprensa Oficial G3,OU=Imprensa Oficial do Estado S A IMESP,O=ICP-Brasil,C=BR
SubjectDN: CN=AC Imprensa Oficial G3,OU=Imprensa Oficial do Estado S A IMESP,O=ICP-Brasil,C=BR
IssuerDN: CN=AC Imprensa Oficial SP G3,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
SubjectDN: CN=AC Imprensa Oficial SP G3,OU=Autoridade Certificadora Raiz Brasileira v2,O=ICP-Brasil,C=BR
IssuerDN: CN=Autoridade Certificadora Raiz Brasileira v2,OU=Instituto Nacional de Tecnologia da Informacao - ITI,O=ICP-Brasil,C=BR
Abraços,
Leandro,
O handshake foi feito com sucesso. Deve ser algum problema na configuração do PI.
Se vc verificou que a consulta de status está funcionando direitinho para outros estados, acho que o teste ideal seria vc copiar apenas a URL do serviço de homologação de SP e jogar em algum dos canais de comunicação de outro estado que esteja funcionando.
Dispare um teste pela sproxy alterando o código do estado pra 35 antes de enviar (não sei se vc tem experiência em testes via sproxy, mas não pode faltar o Commit) e verifique na moni.
Garanta que a URL seja a correta do layout 2.00 (https://homologacao.nfe.fazenda.sp.gov.br/nfeweb/services/NfeStatusServico2.asmx) fonte: http://hom.nfe.fazenda.gov.br/portal/webServices.aspx#SP
Se vc fizer este teste e pegar o mesmo erro, acho que é hora de abrir um chamado na SAP.
Poste aqui os resultados.
Abraço!
Rafael Vieira.
Olá Rafael, fiz isso. executei o proxy e outros estados funciona corretamente.
Acredito que não seja configuração já que antes de ter a mudança na SEFAZ estava funcionando.
No Receiver Determination está parametrizado todos os estados.
Também criei com cópia um canal de um estado que esta funcionando e também não deu certo.
Acho que terei que abrir um chamado na SAP mesmo.
Mas antes gostaria de entender algo.
Na TrustedCA eu adicionei os 4 certificados abaixo:
No handshake eu vejo a cifra usada "TLS_RSA_WITH_AES_128_CBC_SHA" .
Nome abreviado | Nome longo | Descrição |
3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | Triple-DES SHA (168 bits) |
33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | RC4 SHA (40 bits) |
34 | SSL_RSA_WITH_RC4_128_MD5 | RC4 MD5 (128 bits) |
39 | SSL_RSA_WITH_DES_CBC_SHA | DES SHA (56 bits) |
35 | SSL_RSA_WITH_RC4_128_SHA | RC4 SHA (128 bits) |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | AES SHA (256 bits) |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | AES SHA (128 bits) |
36 | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 A especificação criptografada 36 requer o Netscape Navigator V4.07; ele não funciona em versões anteriores dos navegadores Netscape. | RC2 MD5 (40 bits) |
Cifras SSLv3:
DES-CBC3-SHA | 168 bits |
RC4-SHA | 128 bits |
RC4-MD5 | 128 bits |
Cifras TLSv1:
AES256-SHA | 256 bits |
AES128-SHA | 128 bits |
DES-CBC3-SHA | 168 bits |
RC4-SHA | 128 bits |
RC4-MD5 | 128 bits |
Cifras Preferenciais:
SSLv3 | RC4-SHA | 128 bits |
TLSv1 | AES128-SHA | 128 bits |
Aparentemente as Cifra está correta.
O que eu gostaria de saber é se é necessário adicionar os 4 certificados mesmo?
A minha analise das Cifras estão corretas?
Outra coisa, resolvi também postar o print da configuração, as vezes posso ter comido bola em algum ponto!
Receiver Determination
resultado do teste feito na sproxy para o estado do Rio:
Print do Canal:
Abraços,
Leandro Machado.
Sua análise está correta.
Mas, o teste que eu queria que vc fizesse é pegar a URL do status check de SP e simplesmente colocasse ele em um cenário que já esteja funcionando (pela sua evidência, o 33 RJ).
Com isso vc já consegue validar se é questão da Sefaz ou da configuração do PI.
- Abra o canal de comunicação SVRS (para o Rio de Janeiro, 33)
- Remova a URL atual (guarde em algum lugar pra voltar a configuração depois do teste)
- Coloque a URL da Sefaz de SP e execute um teste.
Se retornar 107, significa que tem problema na configuração do adapter de SP (acho que nem cabe um chamado na SAP neste caso).
Olá Rafael,
Fiz isso, no canal do Rio coloquei as URL de SP, mas passei o código 33 para ele pode poder chamar o canal parametrizado e retornou o erro: Message processing failed. Cause: com.sap.engine.interfaces.messaging.api.exception.MessagingException: java.net.SocketException: Connection reset"
Depois fiz mais um teste, agora passando a URL do Rio no canal de SP, passando o código 35 para pegar o canal parametrizado, e a comunicação deu certo, só retornou o erro de a UF informado não é atendida pelo WS, então o problema não é configuração.
Segue o print:
O teste era justamente pra chegar nesta conclusão que vc chegou: o problema não é a configuração.
O seu servidor PI está no Brasil?
Já tentou entrar em contato com a Sefaz e verificar se existe alguma restrição para o seu IP?
Acho que esta seria a última verificação antes de abrir um chamado na SAP.
obs. Vejo que a thread está marcada como respondida. Está? Se sim, poste aqui a solução. Pode ajudar em outros casos semelhantes.
ok, sem problemas.
Com relação à restrição do IP, ainda que a Sefaz diga que o IP não esteja bloqueado, é necessário solicitar que eles adicionem o IP do seu landscape NF-e PI na base de exceções deles. Isso faz sentido se o seu servidor PI estiver com um endereço IP fixo. Se for dinâmico, vc pode não ter problemas hoje mas pode passar a ter a qualquer momento com a variação de IP.
Detalhe: Se não me engano, a Sefaz não cadastra range de IPs.
Esta medida deve ser tomada para qualquer servidor PI que não fique no Brasil pois na eventualidade de um ataque ao ambiente da Sefaz, ela toma medidas de restringir a comunicação apenas aos IPs que constam no catálogo de exceções. Se não estiver lá, não conseguirá comunicar com a Sefaz SP.
Caso o servidor não esteja usando um endereço IP fixo, é mais um ponto que vc deve alertar a equipe de redes.
Algumas opções são: uso de Proxy Server ou WebDispatcher na DMZ.
Rafael Vieira.
User | Count |
---|---|
12 | |
3 | |
1 | |
1 | |
1 | |
1 | |
1 | |
1 | |
1 | |
1 |
You must be a registered user to add a comment. If you've already registered, sign in. Otherwise, register and sign in.