Si el certificado con el comando openssl req -in Pedido.crs -noout -text
Te informa Public-Key: (2048 bit) o un numero superior, no tenes que hacer ningun cambio. Si en cambio dice 1024, anda generando un certificado nuevo porque el 1/11 te vas a acordar de la madre del jefe de AFIP y tus clientes de tu mamá... Saludos, Pancho Córdoba Argentina El lun., 12 sept. 2016 a las 17:27, Lic Claudio E. Segretin (< [email protected]>) escribió: > Muchas gracias y muy claro. Sólo me queda una pregunta… ¿A partir de > cuándo se puede empezar a usar los nuevos certificados en producción? ¿Hay > que esperar o ya se puede empezar a hacer el cambio? Digo para no llegar al > último día. > > > > > > Saludos… > > Claudio E. Segretin > > Este mensaje se dirige exclusivamente a su destinatario y puede contener > información CONFIDENCIAL sometida a secreto profesional o cuya divulgación > este prohibida en virtud de la legislación vigente. Si ha recibido este > mensaje por error, le rogamos que nos lo comunique inmediatamente por esta > misma vía y proceda a su destrucción. > > (This message is intended exclusively for its address and may contain > information that is CONFIDENTIAL and protected by a professional privilege > or whose disclosure is prohibited by law. If this message has been received > in error, please immediately notify us via e-mail and delete it.) > > > > > > *De:* [email protected] [mailto:[email protected]] *En nombre de *francisco > prieto > *Enviado el:* lunes, 12 de septiembre de 2016 16:19 > > > *Para:* GUFA List Member <[email protected]> > > *Asunto:* [GUFA] Re: [GUFA] RE: [GUFA] RE: [GUFA] Rv: Renovación de > Certificados SSL > > > > Grupo, > > > > Me respondieron de AFIP: > > Este fue mi mail... > > > Si sigo las indicaciones de http://www.afip.gob.ar/ws/ > > > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > > 20179571219" -out Pedido.crs > > > > Es decir lo único que cambio es la longitud de la clave y ejecuto el > OppenSSL > > en modo verificación de la siguiente forma: > > > > openssl req -in Pedido.crs -noout -text > > > > Me da la siguiente informacion: > > > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > > =CUIT 20179571219 > > Public Key Algorithm: rsaEncryption > > Public-Key: (2048 bit) > > Signature Algorithm: sha1WithRSAEncryption > > > > Dice claramente SHA1... es decir esta mal! > > > > Ahora bien si hago el siguiente cambio > > > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > > 20179571219" -out Pedido.crs -sha256 > > > > y luego de eso vuelvo realizar la comprobacion me devuelve la siguiente > > informacion > > > > Subject: C=AR, O=FRANCISCO_ANGEL_JAVIER_PRIETO, CN=SAYSHELL/serialNumber > > =CUIT 20179571219 > > Subject Public Key Info: > > Public Key Algorithm: rsaEncryption > > Public-Key: (2048 bit) > > Signature Algorithm: sha256WithRSAEncryption > > > > Ahora si es SHA2!!! > > > > Ya genere el certificado como SHA2 en homologación y me funciona, pero > también > > me funciona si solo cambio la longitud de la clave... cual es lo > correcto para > > el 1/11. > > > > Y esta fue la respuesta de AFIP > > Estimado: > > Si, es correcto. Sha256 es sólo para los certificados de los servidores, > que > es independiente al certificado que se utiliza para obtener el ticket de > acceso en el WSAA. Puede usar sha1 en ese certificado sin problemas > > Atte. > __________________________________________ > División Mesa de Ayuda > Departamento de Soporte Técnico > Dirección de Operaciones Informáticas > > Esto significa que lo único que habría que respetar es que la longitud de > la clave tenga al menos 2048 caracteres de largo. > > Para averiguar la longitud de la clave para cada cliente simplemente > ejecuta el comando > > openssl req -in Pedido.crs -noout -text > > Donde Pedido.crs es el archivo que se genera con el comando > > > C:\OpenSSL-Win64\bin\openssl genrsa -out privada.key 2048 > C:\OpenSSL-Win64\bin\openssl req -new -key privada.key -subj > "/C=AR/O=FRANCISCO_ANGEL_JAVIER_PRIETO/CN=SAYSHELL/serialNumber=CUIT > 20179571219" -out Pedido.crs > > Saludos, > > Pancho > > > > > > El lun., 12 sept. 2016 a las 16:02, Lic Claudio E. Segretin (< > [email protected]>) escribió: > > Estuve leyendo algo más y lo que entiendo es que lo que cambia son los > certificados, pero el código que se usa para la autorización sigue siendo > válido. ¿Entendí bien? > > > > Desde ya muchas gracias por la ayuda. > > > > > > Saludos… > > Claudio E. Segretin > > Este mensaje se dirige exclusivamente a su destinatario y puede contener > información CONFIDENCIAL sometida a secreto profesional o cuya divulgación > este prohibida en virtud de la legislación vigente. Si ha recibido este > mensaje por error, le rogamos que nos lo comunique inmediatamente por esta > misma vía y proceda a su destrucción. > > (This message is intended exclusively for its address and may contain > information that is CONFIDENTIAL and protected by a professional privilege > or whose disclosure is prohibited by law. If this message has been received > in error, please immediately notify us via e-mail and delete it.) > > > > > > *De:* [email protected] [mailto:[email protected]] *En nombre de *Lic Claudio > E. Segretin > > > *Enviado el:* lunes, 12 de septiembre de 2016 14:51 > > *Para:* GUFA List Member <[email protected]> > > > *Asunto:* [GUFA] RE: [GUFA] Rv: Renovación de Certificados SSL > > > > A mí también me llegó. Alguien tiene idea de lo que implica? > > > > Gracias desde ya. > > > > > > Saludos… > > Claudio E. Segretin > > Este mensaje se dirige exclusivamente a su destinatario y puede contener > información CONFIDENCIAL sometida a secreto profesional o cuya divulgación > este prohibida en virtud de la legislación vigente. Si ha recibido este > mensaje por error, le rogamos que nos lo comunique inmediatamente por esta > misma vía y proceda a su destrucción. > > (This message is intended exclusively for its address and may contain > information that is CONFIDENTIAL and protected by a professional privilege > or whose disclosure is prohibited by law. If this message has been received > in error, please immediately notify us via e-mail and delete it.) > > > > > > > > *De:* [email protected] [mailto:[email protected] <[email protected]>] *En > nombre de *Ricardo Ruben Benitez > *Enviado el:* sábado, 10 de septiembre de 2016 10:57 > *Para:* GUFA List Member <[email protected]> > *Asunto:* [GUFA] Rv: Renovación de Certificados SSL > > > > Hola a todos, me ha llegado estode afip, lo comparto. > > > > Abrazo, > > Ricardo Benitez. > > > > *rrb-calo* > > > > > ----- Mensaje reenviado ----- > *De:* MailMaster - AFIP <[email protected]> > *Para:* > *Enviado:* Viernes, 9 de septiembre, 2016 20:06:31 > *Asunto:* Renovación de Certificados SSL > > > > El 01/11/2016 se renovarán los certificados SSL utilizados por los > Webservices de AFIP. Los nuevos certificados utilizarán el algoritmo de > encripción SHA-2. > > > > SHA-1 vs SHA-2 > > El algoritmo SHA-1 es ampliamente utilizado en los certificados SSL que > permiten mantener una comunicación cifrada y segura en la Web. Desde > > el año 2005, se conocieron ciertas deficiencias en dicho algoritmo, que > demostraron que el mismo dejó de brindar la seguridad para el > > cual había sido desarrollado. Debido a ello, en 2011 la Organización de > Autoridades Certificantes y Proveedores de Navegadores Web (CA/B), > > determinó dejar de utilizar este algoritmo, declarándolo como obsoleto. > > Microsoft, Google, Apple, Mozilla y Opera entre otros, como miembros del > CA/B, anunciaron que sus navegadores: Internet Explorer, Google Chrome, > > Safari, Opera, etc. dejarán de aceptar como válidos los certificados que > utilicen el algoritmo SHA-1 a partir del año 2017. > > Asimismo, las Autoridades Certificantes Comerciales, también miembros del > CA/B, que emiten los Certificados SSL utilizados por los servicios del > > Organismo, no emiten certificados empleando SHA-1 con vencimiento posterior > al 31 de diciembre de 2016. > > Por ello, antes del 31 de diciembre de 2016, resulta necesario actualizar > todos los certificados utilizados por esta Organización para las > comunicaciones SSL, > > reemplazándolos por nuevos certificados que empleen el algoritmo SHA-2. > > Los usuarios de Webservices provistos por AFIP deberán analizar si estos > cambios generan algún tipo de impacto en sus desarrollos. Para ello se > actualizaron > > en el mes de abril de 2015 los Certificados Digitales del entorno de > Homologación, utilizando ya para los nuevos certificados > > el algoritmo SHA-2. Los principales servicios de Homologación que ya están > actualizados con certificados SHA-2 son: > > WSAA- WebService de Autenticación y Autorización > > Factura Electrónica - Webservices de Factura Electrónica > (WSFE/WSFEX/WSFECA/WSMTXCA/WSCDC) > > BFE - Webservice de Bonos Fiscales Electrónicos > > CTG - Webservice de Código de Trazabilidad de Granos > > Webservice de Juegos de Azar (JAZA) > > Webservice de Consulta a Padrón > > Webservice de Consulta y Lectura de Comunicaciones de eVentanilla > > Los cambios en el entorno de Producción se harán efectivos el día Martes > 01/11/2016. Por lo tanto se sugiere efectuar las modificaciones pertinentes > > antes de esa fecha. > > Es importante aclarar que este cambio NO AFECTA a los usuarios que utilizan > los servicios web de la AFIP con sus navegadores de Internet. > > Sólo deberán evaluar el impacto aquellos usuarios de Webservices SOAP. > > Todo lo informado en el presente correo se encuentra publicado en el > micrositio de Webservices (http://www.afip.gob.ar/ws/) > > > > DIRECCION DE INFRAESTRUCTURA TECNOLOGICA > > DIRECCION DE OPERACIONES INFORMATICAS > > SUBDIRECCION GENERAL DE SISTEMAS Y TELECOMUNICACIONES > > > >
