"Falha no reconhecimento da autoria" quando usando OpenSSL

[wrmedeiros]

Boa tarde.

Uso CAPICOM no Delphi para NFC-e, como também CAPICOM no ACBrMonitor para uma outra aplicação que estamos desenvolvendo em Java e funciona muito bem.

Um outro desenvolvedor configurou o ACBrMonitor para usar OpenSSL, selecionou o PFX (certificado A1 da SOLUTI), senha, etc. e tentou emitor o NFCe, o ACBrMonitor retornou a seguinte mensagem:

XMotivo=Rejeicao: Falha no reconhecimento da autoria ou integridade do arquivo digital

Fui no ACBrMonitor, mudei de OpenSSL para CAPICOM, tentei emitir o mesmo NFC-e, e funcionou (ou seja, não é erro de XML, namespace, etc. como ocorreu em outros tópicos que relatam esse problema).

Fizemos uma outra NFC-e com os mesmos itens, mas dessa vez usamos um certificado de outra empresa (CertSign), e ajustamos a configuração para OpenSSL, funcionou.

Em resumo:

Certificados CertSign funcionaram com OpenSSL e CAPICOM

Certificados SOLUTI funcionaram com CAPICOM e falharam com OpenSSL ("falha no reconhecimento de autoria").

Creio não ser um problema no ACBrMonitor, e sim algo mais baixo nível (talvez o ACBrNFe ou até mesmo algum ajuste na configuração do OpenSSL, tal como "cadeias de certificado", etc.).

Estou preparando o ambiente para debugar melhor o ACBrMonitor via Lazarus, mas decidi postar para que os amigos possam dar alguma opinião sobre o tema, pois como sabemos o CAPICOM funciona relativamente bem, mas não é multiplataforma e pelo que li a Microsoft não tem lançado mais atualizações pra ele.

Versão do ACBrMonitor: ACBrMonitorPLUS 0.1.11.4

SO: Windows 7 x64

[Juliomar Marchetti]

Bom primeira situação!

atualize o mesmo! já está na vresão 03.03.5

[wrmedeiros]

@Juliomar Marchetti bem que eu desconfiei que o design do aplicativo no meu notebook pessoal estava bem diferente do instalado no notebook da empresa

Na empresa eu estou usando o 03.03.5, em casa por descuido instalei uma versão mais velha.

De qualquer forma, desinstalei a versão velha, instalei a nova, e o mesmo problema ocorre.

[Juliomar Marchetti]

Confere senão precisa de alguma cadeia de certificados a mais em função desse especifico!

no site do fabricante deve ter especificações das cadeias!

[wrmedeiros]

Precisa sim @Juliomar Marchetti ! E as instalei, tanto que funciona perfeitamente via CAPICOM (que usa os certificados/cadeias instalados no IE);

A pergunta é, como instalar as cadeias quando usando OpenSSL? Pois ele não usa os certificados/cadeias que estão instalados no IE, e via ACBrMonitor informo apenas o path do pfx e senha.

Acredito que o certificado da Certsign funciona via OpenSSL pois o ROOT CA é conhecido pelo OpenSSL (observe que no IE já vem "de fábrica" vários root's CA´s configurados, tais como GlobalSign, Verisign, etc.), já no caso da SOLUTI, pelo que vi o ROOT CA é a ICP Brasil, e certamente não vem na lista de root´s ca´s do OpenSSL.  #Chute

[wrmedeiros]

Senhores, bom dia.

Teria algum problema se eu migrasse esse tópico para o fórum aberto?

Creio que mais pessoas tendo acesso ao problema será mais fácil achar uma solução.

[André Ferreira de Moraes]

Anexe um arquivo assinado com OpenSSL e outro com a CAPICOM para que possamos analisar as diferenças.

[wrmedeiros]

Chegar em casa eu providencio.

Adianto que acho pouco provável ser problema de XML, pois eu só altero de OpenSSL para CAPICOM no ACBrMonitor e o sistema consegue emitir.

Editado 31 Maio, 2016 por welkson

[Régys Silveira]

Eu tive alguns problemas com SOLUTI no passado, não sei se eles melhoraram, mas acontecia muito disso que você relatou.

Se não estou enganado eles tem um instalador que instala tudo que é necessário e deve ser rodado também para certificados A1 para que ele instale corretamente a cadeia de certificados que é necessária para que ele funcione corretamente.

[wrmedeiros]

Entendi @Régys Silveira !

Eu fiz a instalação, e funciona bem com CAPICOM, o problema ocorre quando usando OpenSSL.

O instalador deles é só Windows, e pretendo usar o sistema principalmente no Linux, e lá só terei o OpenSSL disponível.

Estou devendo os 2 xmls que André pediu... vou gerar e envio.

[wrmedeiros]

Segue os 2 arquivos.

Um feito com OpenSSL (falha), outro com CAPICOM (OK).

O sistema automaticamente incrementa o número da nota, mas os itens são os mesmos... 

Basicamente eu abri o ACBrMonitor, defini como "OpenSSL", fui no PDV e mandei emitir. O erro surgiu, copiei o XML.

Fui novamente no ACBrMonitor, mudei para "CAPICOM", e mandei emitir novamente, deu certo, e por fim copiei o XML.

 

CAPICOM_OK_13160606183532000198650010000070021000070005-nfe.xml

OPENSSL_ERRO_13160606183532000198650010000070011000070008-nfe.xml

Editado 2 Junho, 2016 por welkson

[wrmedeiros]

Estou com algumas outras broncas urgentes aqui e não vou ter como continuar os testes, mas desconfio disso:

ATENÇÃO: Chave RSA Privada NÃO pode ser lida no arquivo "swh.ini".

No nosso outro sistema (Delphi usando o componente em vez do Monitor) lembro de ter configurado a chave RSA no componente de assinatura (ACBrEAD acho).

Vou dar uma busca nos fóruns para ver como configura isso no swh.ini e reporto pra vocês.

O estranho é o motivo do OpenSSL funcionar com certificados da Certsign e não funcionar com Soluti.. se fosse falta dessa chave RSA deveria falhar nos 2.

 

[André Ferreira de Moraes]

1 hora atrás, welkson disse:

Segue os 2 arquivos.

Um feito com OpenSSL (falha), outro com CAPICOM (OK).

O sistema automaticamente incrementa o número da nota, mas os itens são os mesmos... 

Basicamente eu abri o ACBrMonitor, defini como "OpenSSL", fui no PDV e mandei emitir. O erro surgiu, copiei o XML.

Fui novamente no ACBrMonitor, mudei para "CAPICOM", e mandei emitir novamente, deu certo, e por fim copiei o XML.

 

CAPICOM_OK_13160606183532000198650010000070021000070005-nfe.xml

OPENSSL_ERRO_13160606183532000198650010000070011000070008-nfe.xml

Preciso do mesmo XML assinado nas duas versões para poder comparar as diferenças.

[André Ferreira de Moraes]

O problema está na função AjustarXMLAssinado da unit ACBrDFeSSL.pas, amanhã irei tentar debugar e encontrar a melhor solução.

[AllanFC]

15 horas atrás, André Ferreira de Moraes disse:

O problema está na função AjustarXMLAssinado da unit ACBrDFeSSL.pas, amanhã irei tentar debugar e encontrar a melhor solução.

Boa tarde.

Aqui tivemos diversos casos em que os clientes geraram um novo certificado e passou a ocorrer a mensagem "Certificado Assinatura Invalido".

Usamos Delphi e OpenSSL, mas tivemos que alterar a aplicação para utilizar CAPICOM, onde essa mensagem não ocorreu mais.

Pode ter a ver com este problema?

[wrmedeiros]

Pode sim @AllanFC ! É exatamente o que ocorre comigo! Via CAPICOM funciona perfeitamente.

O problema de usar CAPICOM é que você vai ficar preso ao Windows, e nossa ideia em usar o ACBrMonitor é permitir o PDV no Linux.

[Daniel Simoes]

Enviei uma possível correção para o SVN... (em conjunto com várias outras modificações)... Favor ler os arquivos "*-change-log.txt"

[wrmedeiros]

Obrigado @Daniel Simoes !

Vou testar e aviso para vocês.

[AllanFC]

Fizemos alguns testes aqui com a nova liberação e não ocorreu mais o erro  Certificado Assinatura Invalido com OpenSSL.

Muito obrigado aos envolvidos.