Jump to content
cjulio

Utilizar Webservices da AT

Recommended Posts

abrito
37 minutos atrás, paulofvoliveira disse:

"DIGITA Issuing CA2" e "DIGITA Root CA"

Onde estão estes certificados?

Estranhamente tenho duas máquinas onde não foi feito nenhuma instalação de certificados e continuam a comunicar!!!

esses certificados foram enviados juntamente com outros, não me lembro bem em qual deles a cadeia veio de certificação veio completa. mas alguns posts acima alguem postou os certificados.

Share this post


Link to post
Share on other sites
albertosilva
6 minutos atrás, Sergio. disse:

albertosilva não é totalmente correta a sua afirmação.

Esse contribuinte não sei de quem é.

No entanto é verdade que o ficheiro vem em zip protegido pelo numero de contribuinte do produtor de software, mas isto é igual para todos.

No entanto o certificado PublicChainCA2.p7b é igual para todos, por alguma razão vem com o nome Public.....

Não percebi o comentário ao número de contribuinte - a sequência 123456 e a abreviatura "por ex." pretendiam que cada um interpretasse que me referia ao seu NIF enquanto produtor de software - de todo o modo não é por ter "Public" no nome que vou preferir descarrega-lo de uma fonte desconhecida. 

Share this post


Link to post
Share on other sites
Sergio.

Estou sem palavras,

Perdemos um sábado a trabalhar e ainda sou acusado pelo Sr.  albertosilva de ser mal intencionado.

Portugal no seu melhor

Acho que já era altura de exigir à AT melhor suporte e informação.....mas deve ser uma ideia parva pensar nisso.

Bom Verão

  • Vote 1

Share this post


Link to post
Share on other sites
kalin

Bem já não via o forum desde sexta e quando vi hoje ........

O problema é que não tinha nenhuma reclamação de clientes!!

E a comunicação no meu software está a funcionar, não fiz nada!

  • Vote 1

Share this post


Link to post
Share on other sites
abrito
3 minutos atrás, Nuno Bagulho Marques disse:

Funciona

Alívio.

Queria agradecer a todos o esforço que fizeram, neste fim de semana de angústia. Angústia porque, como sabem, a culpa é sempre dos programadores.

A minha intuição era nada fazer e estava certo.

é lamentável, mais uma vez o Estado se isentar das suas responsabilidades. Isentar-se da responsabilidade de ter causado um transtorno a dezenas de pessoas que (essas pelo menos) aqui passaram, preocupados fundamentadamente.

um bem haja a todos

Isso não quer dizer que estava tudo bem, pelo contrario a comunicação sempre esteve mal. desde o inicio que isto deveria ser obrigatório para garantir a autenticação fidedigna.

portanto acho que se deveriam se preparar e tentar entender como se faz, para poderem contornar este tipo de situações facilmente.

O que eu acho é que foi uma tentativa de alterar um erro que desde o inicio esteve presente, sem que lhes sejam atribuídas culpas no cartório.

  • Vote 1

Share this post


Link to post
Share on other sites
ccorreia

Aqui também já funciona corretamente, sem efetuarmos qualquer alteração.

Share this post


Link to post
Share on other sites
RicardoM

Viva,

Antes de mais obrigado a todos os contributos, com os quais consegui também ultrapassar o problema na minha aplicação. Deixo aqui o que resultou no meu caso:

1/ Tenho uma implementação em java onde tinha o erro 

Connection closed during handshake

Seguindo a sugestão do Nuno (ei99045), adicionei ao meu certificado a cadeia de certificação da AT. Basicamente, quando a AT nos dá, aos editores de software, o nosso certificado (normalmente o_nosso_nif.cer) envia também o ficheiro PublicChainCA2.p7b, que contém a cadeia de certificação. Os certificados DGITA_Issuing_CA tão falados no forum estão dento deste ficheiro PublicChainCA2.p7b. Houve um utilizador que já os extraiu do ficheiro e os disponibilizou no forum, mas podem ser extraídos com o openssl. Obtidos esses certificados, foi apenas necessário adicionar os mesmos ao nosso certificado de produtor de software e ficou a funcionar.

[exemplo disponibilizado pelo Nuno]

keytool -importcert -noprompt -alias DGITA_Issuing_CA21 -file /path/to/DGITA_Issuing_CA2.pem.1 -keystore ClientCertificate-prod.p12 -storepass <password keystore>
keytool -importcert -noprompt -alias DGITA_Issuing_CA22 -file /path/to/DGITA_Issuing_CA2.pem.2 -keystore ClientCertificate-prod.p12 -storepass <password keystore>

 

2/ Tenho uma segunda implementação em nodejs onde, após efectuar o que descrevi no ponto anterior, tinha o erro

unable to verify the first certificate

A fazer experiências, peguei no certificado com a cadeia (que gerei no ponto 1) e adicionei, da mesma forma, os certificados que a AT enviou a semana passa, ou seja, o ficheiro portaldasfinancasgovpt.pem que parti primeiro em 3 pem's simplesmente copiando o conteúdo no notepad++ para 3 ficheiros diferentes. Uma vez mais usei o exemplo do Nuno como guia com a ferramenta keytool

Após isto, a minha implementação em nodejs ficou a funcionar.

 

Share this post


Link to post
Share on other sites
chesser
1 minuto atrás, Sergio. disse:

Acho que já era altura de exigir à AT melhor suporte e informação.....mas deve ser uma ideia parva pensar nisso.

Tens toda a razão. Por mim, já enviei um email à ASI e deixei uma mensagem no e-balcao a questionar o porquê de andarem a dizer que a culpa era dos produtores de softaware.

Agora só tenho de ligar aos clientes que fizeram questão de nos ligar a dizer que o nosso programa é que tinha a culpa, para lhes dizer que, como lhes tínhamos dito antes, afinal não tínhamos culpa nenhuma. Depois de todo o stress, até que vai ser uma tarde bem passada. :) Afinal não temos mais nada para fazer.

  • Vote 1

Share this post


Link to post
Share on other sites
Solskajer

Resposta da AT agora... 12:26...

Citação

 

Exm.os Senhores:

  Após uma intervenção do nosso operador de comunicações agradecíamos que confirmassem se conseguem invocar o serviço.

Cumprimentos,

ASI - Certificados Digitais

 

que lol!!!!!!
 

Share this post


Link to post
Share on other sites
FernandoPereira

Como outro colegas por aqui,

Tudo o que fiz fica sem efeito... Pois os clientes já me dizem que está tudo a trabalhar normalmente

E não fiz nada..

Conclusão, andamos aqui a perder tempo à custa deles, e passamos nós por ser os "maus da fita".

Share this post


Link to post
Share on other sites
Bruno_2sp

Sim esta a funcionar agora, mas como eu na sexta feira a tive problemas no nosso software da parte da tarde e ainda por cima estava quase na hora dos funcionários públicos saírem, vi logo que o problema ia manter-se até hoje. Ficamos nós a penar no fim de semana a tentar perceber se o problema era nosso.

Share this post


Link to post
Share on other sites
Sergio.

O problema é que nosso clientes trabalham TODO o fim de semana.
 

A quase que aposto que se algum foi multado, só mesmo em tribunal é que provavelmente lhe tiram a multa...provavelmente....

Obrigado a todos

Share this post


Link to post
Share on other sites
abrito
Agora, Sergio. disse:

O problema é que nosso clientes trabalham TODO o fim de semana.
 

A quase que aposto que se algum foi multado, só mesmo em tribunal é que provavelmente lhe tiram a multa...provavelmente....

Obrigado a todos

Pois claro, ele poderia comunicar as guias pelo telefone. Acho que nem em tribunal a tiram.

  • Vote 1

Share this post


Link to post
Share on other sites
davdew05

Bom dia a todos,

Desde já obrigado a este forum por toda a informação disponibilizada.

Após ter conseguido, finalmente, por a comunicação a trabalhar na minha máquina de desenv e ter documentado os passos a fazer nos meus clientes, não é que todo começa a trabalhar e a comunicar ser ter feito nada...

Enfim... sem comentários. Lá terão visto o erro e corrigido...

Grande abraço a todos. 

Edited by davdew05

Share this post


Link to post
Share on other sites
pedrocerqueira22

Ola,

 

Agora mais a frio, porque é que existem aqui pessoas ao qual não funcionava e istalaram a CA e ROOT da dgita e passou a funcionar?

Dado que o problema era do lado deles, nao deveriam continuar com problemas mesmo com o a CA e ROOT da dgita?

 

Obrigado

Share this post


Link to post
Share on other sites
albertosilva
9 minutos atrás, Sergio. disse:

Estou sem palavras,

Perdemos um sábado a trabalhar e ainda sou acusado pelo Sr.  albertosilva de ser mal intencionado.

Portugal no seu melhor

Sérgio, o meu comentário, que pretendia informar as diversas pessoas que questionaram a origem do tal ficheiro por certamente terem consciência das implicações de instalar certificados nos seus computadores e de clientes, começava por "Não querendo questionar a boa vontade de quem tem disponibilizado os certificados para instalação..." para evitar ferir suscetibilidades, o que pelos vistos não consegui, por isso recomendo que marque os como abusivos.

Share this post


Link to post
Share on other sites
trs80

A minha aplicação é em Java

Adicionar o DGITA ao roots do sistema operativo nao funciona, mas adicionar ao cacerts tambem não

É mesmo necessário acrescentar o DGITA CA 2 ao pfx.

Um obrigado ao Nuno Silva que referiu esta questao

Efetivamente o TesteWebservices.pfx INCLUI este certificado.

O comando para quem precisar:

openssl pkcs12 -export -in XXX.cer -inkey XXX.key -certfile DGITA_Issuing_CA2.cer -out XXXX.pfx

em que XXXX sao os ficheiros recebidos apos o pedido de certificado

  • Vote 1

Share this post


Link to post
Share on other sites
abrito
7 horas atrás, pedrocerqueira22 disse:

Ola,

 

Agora mais a frio, porque é que existem aqui pessoas ao qual não funcionava e istalaram a CA e ROOT da dgita e passou a funcionar?

Dado que o problema era do lado deles, nao deveriam continuar com problemas mesmo com o a CA e ROOT da dgita?

 

Obrigado

Foi como eu comentei anteriormente. Isto não esta mal, pelo contrario assim e que a comunicação esta bem feita.

o que eles fizeram foi ir a este servidor e retirar a necessidade de autenticação da Ligação.

apenas deicharam ficar a autenticação dos produtores de software.

Share this post


Link to post
Share on other sites
Sergio.
7 horas atrás, pedrocerqueira22 disse:

Ola,

 

Agora mais a frio, porque é que existem aqui pessoas ao qual não funcionava e istalaram a CA e ROOT da dgita e passou a funcionar?

Dado que o problema era do lado deles, nao deveriam continuar com problemas mesmo com o a CA e ROOT da dgita?

 

Obrigado

Bem colocado a questão,

A resposta é que o servidor não exige autenticação do utilizador/site que está a comunicar a guia.

E eles depois da atualização do certificado, só se esqueceram de desactivar isso....

Share this post


Link to post
Share on other sites
trs80
4 minutes ago, trs80 said:

A minha aplicação é em Java

Adicionar o DGITA ao roots do sistema operativo nao funciona, mas adicionar ao cacerts tambem não

É mesmo necessário acrescentar o DGITA CA 2 ao pfx.

Um obrigado ao Nuno Silva que referiu esta questao

Efetivamente o TesteWebservices.pfx INCLUI este certificado.

O comando para quem precisar:

openssl pkcs12 -export -in XXX.cer -inkey XXX.key -certfile DGITA_Issuing_CA2.cer -out XXXX.pfx

em que XXXX sao os ficheiros recebidos apos o pedido de certificado

Na prática não sei se isto funcionou pois aparentemente a AT mudou algo e o processo antigo passou a funcionar

Share this post


Link to post
Share on other sites
Carlos M F Matos

Olá a todos.

Hoje de manhã os meus sócios comunicaram-me que os clientes se estavam a queixar que não conseguiam comunicar documentos/guias desde sexta feira passada ao fim do dia. A minha resposta foi de imediato dizer que não iria implementar nada até que a AT dissesse o que foi alterado para além do certificado de acesso deles ao portal deles e que os clientes iriam ter que esperar que a AT resolvesse o problema. Sim, claro que fui pressionado pelos clientes e pelos meus sócios porque fui eu que implementei a comunicação aos WebServices da AT e portanto, sou eu que tenho que resolver os problemas relacionados com este assunto quando estes surgem.

E não é que devo ser bruxo. Tinha 99% de certeza que o problema deveria ser da AT. Caramba, era mesmo. Não sei a forma de comunicarmos está correta ou não, mas o que é certo é que sempre funcionou e se alguma coisa eles pretendam alterar, terão que avisar antecipadamente e documentar muito bem.

Deixo um conselho a todos e que não terão que seguir, caso o não pretendam, como é lógico: da próxima vez queixem-se à AT, mas em massa, como eu fiz, para eles resolverem o problema ou que digam o que é necessário alterar da parte dos produtores de software.

Bom trabalho.

  • Vote 1

Share this post


Link to post
Share on other sites
joaofrsousa
19 minutes ago, Solskajer said:

Resposta da AT agora... 12:26...

que lol!!!!!!
 

Confirmo recebi o mesmo….. enfim

Share this post


Link to post
Share on other sites
Pedro Alex

Boa tarde.

Acho que devíamos retirar algumas conclusões deste pequeno sismo.

A quem pedir responsabilidades sobre os contribuintes que circularam estes dias sem Códigos da AT?

E se alguns forma detetados e autuados?

A quem pedir responsabilidades sobre o desgaste técnico e comercial provocado nos vários softwares que não comunicavam?

Quem regula este setor?

Quem defende os programadores que não tiveram qualquer culpa neste lapso e que até tentaram alterar a ASI para a situação?

O que poderemos fazer para evitar que se volte a repetir?

Deveríamos discutir e pensar nisto?

Deixo aqui a reflexão..

Share this post


Link to post
Share on other sites
trs80
16 minutes ago, Sergio. said:

Bem colocado a questão,

A resposta é que o servidor não exige autenticação do utilizador/site que está a comunicar a guia.

E eles depois da atualização do certificado, só se esqueceram de desactivar isso....

Correto, mas se a chain estiver lá não faz mal... e o PFX de teste sempre incluiu, estou a considerar na próxima renovação incluir também - mal não fará...

  • Vote 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.