Skip to Content
0

Erro SSL na SEFAZ-AN.

Jul 06, 2017 at 07:39 PM

250

avatar image
Former Member

Pessoal;

Estou com um erro de SSL somente para a SEFAZ de contingência Ambiente Nacional, quando rodo o programa /XNFE/NFE_CHECK_SRV_STATUS_MAN para a SEFAZ RJ, recebo o erro:

SVC-RS funciona, mas SVC-AN não.

Na SXMB_MONI do PI aparece o erro:

<SAP:AdditionalText>com.sap.engine.interfaces.messaging.api.exception.MessagingException: iaik.security.ssl.SSLCertificateException: Peer certificate rejected by ChainVerifier</SAP:AdditionalText>

Já baixamos a cadeia de certificado nas webservices desta SEFAZ e instalamos na NWA sob a entry TrustedCas.

No trace SSL do XPI_INSPECTOR para a URL de status da SVC SEFAZ-AN retorna os seguintes erros:

Using Transport Protocol: HTTPS Trying to connect through the following proxy: zscalerproxy.md-man.biz:9400 Handshake Timeout: 0 Begin SSLTransport Trace: Peer ID: hom.svc.fazenda.gov.br:443 Peer Name: hom.svc.fazenda.gov.br Remote IP Address: hom.svc.fazenda.gov.br/189.9.67.86 Peer Supported Cipher Suite: Active Cipher Suite: null Peer Supported Compresssion Methods: Active Compression Method: null Active Protocol Version: 0 Use Client Mode: true End SSLTransport Trace. Found Certificate chain with 1 elements: Certificate: #0Certificate: #0 SubjectDN: CN=hom.svc.fazenda.gov.br,OU=Autoridade Certificadora do SERPRO Final SSL,OU=ARSERPRO,OU=Equipamento A1,O=ICP-Brasil,C=BR IssuerDN: CN=Bad Server Certificate,O=Bad Server Certificate [invalid server certificate],L=Sunnyvale,ST=California,C=US Begin Analyzing Certificate Chain: The certificate with DN = {CN=hom.svc.fazenda.gov.br,OU=Autoridade Certificadora do SERPRO Final SSL,OU=ARSERPRO,OU=Equipamento A1,O=ICP-Brasil,C=BR} appears to be signed by {CN=Bad Server Certificate,O=Bad Server Certificate [invalid server certificate],L=Sunnyvale,ST=California,C=US}, however, the signing certificate was not provided in the chain. No chain, single certificate. End Analyzing Certificate Chain. Begin IAIK Examination: ERROR: The default IAIK chain verifier does not trust this chain! End IAIK Examination

O cliente usa um proxy de terceiros:

https://www.zscaler.com

E estão garantindo que a liberação foi feita no Firewall e no Proxy Zscaler por Host (Não por IP)

Neste mesmo ambiente, estão funcionando sem erros as SEFAZ-RJ, SEFAZ-AM e SVC-RS.

Alguém saberia onde mais pode estar gerando este erro ? Algum teste ou evidência que possa comprovar ?

ssl1.jpg (12.0 kB)
ssl4.jpg (93.9 kB)
ssl0.jpg (68.5 kB)
10 |10000 characters needed characters left characters exceeded
* Please Login or Register to Answer, Follow or Comment.

1 Answer

Jose Nunes
Jul 07, 2017 at 06:08 PM
0

Boa tarde José,

pelo trace do XPI Inspector dá pra ver que o certificado do servidor não está vindo corretamente. O correto seria aparecer 4 certificados do servidor, sendo o certificado principal (hom.svc.fazenda.gov.br), os certificados intermediarios (Autoridade Certificadora do SERPRO Final SSL e Autoridade Certificadora SERPRO v4) e o certificado raiz(Autoridade Certificadora Raiz Brasileira v5).

No trace temos:
Found Certificate chain with 1 elements:

Certificate: #0
Certificate: #0
SubjectDN: CN=hom.svc.fazenda.gov.br,OU=Autoridade Certificadora do SERPRO Final SSL,OU=ARSERPRO,OU=Equipamento A1,O=ICP-Brasil,C=BR
IssuerDN: CN=Bad Server Certificate,O=Bad Server Certificate [invalid server certificate],L=Sunnyvale,ST=California,C=US

Begin Analyzing Certificate Chain: The certificate with DN = {CN=hom.svc.fazenda.gov.br,OU=Autoridade Certificadora do SERPRO Final SSL,OU=ARSERPRO,OU=Equipamento A1,O=ICP-Brasil,C=BR} appears to be signed by {CN=Bad Server Certificate,O=Bad Server Certificate [invalid server certificate],L=Sunnyvale,ST=California,C=US},

Ou seja, ele está dizendo que o certificado do servidor hom.svc.fazenda.gov.br foi emitido pelo certificado intermediario/raiz "Bad Server Certificate".

Isso deve ser um problema no proxy da Zscaler, talvez em alguma ferramenta de proteção de SSL deles OU tem algum outro "serviço" no meio do caminho causando problemas (DNS spoof?).

Como identificar a causa raiz? Pedir um outro servidor de proxy que não seja Zscale ou liberando o acesso direto do PI p/ o servidor da SEFAZ.

[]'s

JN

Share
10 |10000 characters needed characters left characters exceeded