Resolvendo o Problema 403.7 Forbidden para Certificado A3 (ProtocolSocketFactory)

Olá Pessoal,

Um problema que vem tornando-se comum em projetos que utilizam Certificados A3 para emissão da NF-e é o erro 403.7 (Forbidden). Esse problema, acredito, tirou o sono de muita gente, inclusive o meu. Através do post de um dos membros do JavaC (chicocx) resolvi realizar alguns testes com o código proposto e criar um exemplo para compartilhar com todos.
Esse exemplo elimina também o uso das seguintes linhas de códigos antes de consumir os Web Service da NF-e:

Códigos desnecessários quando utilizado o método proposto:

O exemplo a seguir usa uma Classe que implementa ProtocolSocketFactory para criar um SSL dinâmico para a conexão Web Service. Vamos aos códigos.

Classe "SocketFactoryDinamico" (O segredo):

package br.com.javac.nfe;

import java.io.FileInputStream;
import java.io.IOException;
import java.net.InetAddress;
import java.net.InetSocketAddress;
import java.net.Socket;
import java.net.SocketAddress;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.Principal;
import java.security.PrivateKey;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.SocketFactory;
import javax.net.ssl.KeyManager;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509KeyManager;

import org.apache.commons.httpclient.ConnectTimeoutException;
import org.apache.commons.httpclient.params.HttpConnectionParams;
import org.apache.commons.httpclient.protocol.ProtocolSocketFactory;

public class SocketFactoryDinamico implements ProtocolSocketFactory {
	private SSLContext ssl = null;
	private X509Certificate certificate;
	private PrivateKey privateKey;
	private String fileCacerts;

public SocketFactoryDinamico(X509Certificate certificate,
			PrivateKey privateKey) {
		this.certificate = certificate;
		this.privateKey = privateKey;
	}

private SSLContext createSSLContext() {
		try {
			KeyManager[] keyManagers = createKeyManagers();
			TrustManager[] trustManagers = createTrustManagers();
			SSLContext sslContext = SSLContext.getInstance("TLS");
			sslContext.init(keyManagers, trustManagers, null);

return sslContext;
		} catch (KeyManagementException e) {
			error(e.toString());
		} catch (KeyStoreException e) {
			error(e.toString());
		} catch (NoSuchAlgorithmException e) {
			error(e.toString());
		} catch (CertificateException e) {
			error(e.toString());
		} catch (IOException e) {
			error(e.toString());
		}
		return null;
	}

private SSLContext getSSLContext() {
		if (ssl == null) {
			ssl = createSSLContext();
		}
		return ssl;
	}

public Socket createSocket(String host, int port, InetAddress localAddress,
			int localPort, HttpConnectionParams params) throws IOException,
			UnknownHostException, ConnectTimeoutException {
		if (params == null) {
			throw new IllegalArgumentException("Parameters may not be null");
		}
		int timeout = params.getConnectionTimeout();
		SocketFactory socketfactory = getSSLContext().getSocketFactory();
		if (timeout == 0) {
			return socketfactory.createSocket(host, port, localAddress,
					localPort);
		}

Socket socket = socketfactory.createSocket();
		SocketAddress localaddr = new InetSocketAddress(localAddress, localPort);
		SocketAddress remoteaddr = new InetSocketAddress(host, port);
		socket.bind(localaddr);
		try {
			socket.connect(remoteaddr, timeout);
		} catch (Exception e) {
			error(e.toString());
			throw new ConnectTimeoutException("Possível timeout de conexão", e);
		}

return socket;
	}

public Socket createSocket(String host, int port, InetAddress clientHost,
			int clientPort) throws IOException, UnknownHostException {
		return getSSLContext().getSocketFactory().createSocket(host, port,
				clientHost, clientPort);
	}

public Socket createSocket(String host, int port) throws IOException,
			UnknownHostException {
		return getSSLContext().getSocketFactory().createSocket(host, port);
	}

public Socket createSocket(Socket socket, String host, int port,
			boolean autoClose) throws IOException, UnknownHostException {
		return getSSLContext().getSocketFactory().createSocket(socket, host,
				port, autoClose);
	}

public KeyManager[] createKeyManagers() {
		HSKeyManager keyManager = new HSKeyManager(certificate, privateKey);

return new KeyManager[] { keyManager };
	}

public TrustManager[] createTrustManagers() throws KeyStoreException,
			NoSuchAlgorithmException, CertificateException, IOException {
		KeyStore trustStore = KeyStore.getInstance("JKS");

trustStore.load(new FileInputStream(fileCacerts), "changeit".toCharArray());
		TrustManagerFactory trustManagerFactory = TrustManagerFactory
				.getInstance(TrustManagerFactory.getDefaultAlgorithm());
		trustManagerFactory.init(trustStore);
		return trustManagerFactory.getTrustManagers();
	}

class HSKeyManager implements X509KeyManager {

private X509Certificate certificate;
		private PrivateKey privateKey;

public HSKeyManager(X509Certificate certificate, PrivateKey privateKey) {
			this.certificate = certificate;
			this.privateKey = privateKey;
		}

public String chooseClientAlias(String[] arg0, Principal[] arg1,
				Socket arg2) {
			return certificate.getIssuerDN().getName();
		}

public String chooseServerAlias(String arg0, Principal[] arg1,
				Socket arg2) {
			return null;
		}

public X509Certificate[] getCertificateChain(String arg0) {
			return new X509Certificate[] { certificate };
		}

public String[] getClientAliases(String arg0, Principal[] arg1) {
			return new String[] { certificate.getIssuerDN().getName() };
		}

public PrivateKey getPrivateKey(String arg0) {
			return privateKey;
		}

public String[] getServerAliases(String arg0, Principal[] arg1) {
			return null;
		}
	}

public void setFileCacerts(String fileCacerts) {
		this.fileCacerts = fileCacerts;
	}

/**
	 * Log Error.
	 * @param log
	 */
	private static void error(String log) {
		System.out.println("ERROR: " + log);
	}

}

Conteúdo do arquivo SmartCard.cfg:

Exemplo da Consulta do Status do Serviço utilizando a Classe acima:

package br.com.javac.nfe;

import java.net.URL;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.Provider;
import java.security.Security;
import java.security.cert.X509Certificate;

import org.apache.axiom.om.OMElement;
import org.apache.axiom.om.util.AXIOMUtil;
import org.apache.commons.httpclient.protocol.Protocol;

import br.inf.portalfiscal.www.nfe.wsdl.nfestatusservico2.NfeStatusServico2Stub;

public class NFeStatusServicoFactoryDinamicoA3 {
	private static final int SSL_PORT = 443;

public static void main(String[] args) {
        try {
            String codigoDoEstado = "42";
            URL url = new URL("https://homologacao.nfe.sefazvirtual.rs.gov.br/ws/NfeStatusServico/NfeStatusServico2.asmx");

/**
             * Informações do Certificado Digital A3.
             */
            String configName = "SmartCard.cfg";
            String senhaDoCertificado = "1234";
            String arquivoCacertsGeradoTodosOsEstados = "NFeCacerts";

Provider p = new sun.security.pkcs11.SunPKCS11(configName);
    		Security.addProvider(p);
    		char[] pin = senhaDoCertificado.toCharArray();
    		KeyStore ks = KeyStore.getInstance("pkcs11", p);
    		ks.load(null, pin);

/**
    		 * Resolve o problema do 403.7 Forbidden para Certificados A3 e A1 
    		 * e elimina o uso das cofigurações:
    		 * - System.setProperty("javax.net.ssl.keyStore", "NONE");
    		 * - System.setProperty("javax.net.ssl.keyStoreType", "PKCS11");
    		 * - System.setProperty("javax.net.ssl.keyStoreProvider", "SunPKCS11-SmartCard");
    		 * - System.setProperty("javax.net.ssl.trustStoreType", "JKS");
    		 * - System.setProperty("javax.net.ssl.trustStore", arquivoCacertsGeradoTodosOsEstados);
    		 */
            String alias = "";
            Enumeration<String> aliasesEnum = ks.aliases();
    		while (aliasesEnum.hasMoreElements()) {
    			alias = (String) aliasesEnum.nextElement();
    			if (ks.isKeyEntry(alias)) break;
    		}
    		X509Certificate certificate = (X509Certificate) ks.getCertificate(alias);
    		PrivateKey privateKey = (PrivateKey) ks.getKey(alias, senhaDoCertificado.toCharArray());
    		SocketFactoryDinamico socketFactoryDinamico = new SocketFactoryDinamico(certificate, privateKey);
    		socketFactoryDinamico.setFileCacerts(arquivoCacertsGeradoTodosOsEstados);

Protocol protocol = new Protocol("https", socketFactoryDinamico, SSL_PORT);  
            Protocol.registerProtocol("https", protocol);    		
    		
    		/**
             * Xml de Consulta.
             */
            StringBuilder xml = new StringBuilder();
            xml.append("<?xml version=\"1.0\" encoding=\"UTF-8\"?>")
                .append("<consStatServ versao=\"2.00\" xmlns=\"http://www.portalfiscal.inf.br/nfe\">")
                .append("<tpAmb>2</tpAmb>")
                .append("<cUF>")
                .append(codigoDoEstado)
                .append("</cUF>")
                .append("<xServ>STATUS</xServ>")
                .append("</consStatServ>");

OMElement ome = AXIOMUtil.stringToOM(xml.toString());
            NfeStatusServico2Stub.NfeDadosMsg dadosMsg = new NfeStatusServico2Stub.NfeDadosMsg();
            dadosMsg.setExtraElement(ome);

NfeStatusServico2Stub.NfeCabecMsg nfeCabecMsg = new NfeStatusServico2Stub.NfeCabecMsg();
            /**
             * Código do Estado.
             */
            nfeCabecMsg.setCUF(codigoDoEstado);

/**
             * Versao do XML
             */
            nfeCabecMsg.setVersaoDados("2.00");
            NfeStatusServico2Stub.NfeCabecMsgE nfeCabecMsgE = new NfeStatusServico2Stub.NfeCabecMsgE();
            nfeCabecMsgE.setNfeCabecMsg(nfeCabecMsg);

NfeStatusServico2Stub stub = new NfeStatusServico2Stub(url.toString());
            NfeStatusServico2Stub.NfeStatusServicoNF2Result result = stub.nfeStatusServicoNF2(dadosMsg, nfeCabecMsgE);

info(result.getExtraElement().toString());
        } catch (Exception e) {
            error(e.toString());
        }
	}

/**
	 * Log Info.
	 * @param log
	 */
	private static void info(String log) {
		System.out.println("INFO: " + log);
	}

/**
	 * Log Error.
	 * @param log
	 */
	private static void error(String log) {
		System.out.println("ERROR: " + log);
	}
	
}

Para gerar o arquivo NFeCacerts utilize o código de exemplo em: http://www.javac.com.br/jc/posts/list/34-nfe-geracao-do-arquivo-cacerts-para-todos-os-estados-unico-arquivo.page

Duvidas sobre NF-e? Crie um novo tópico aqui: http://www.javac.com.br/jc/forums/show/11.page

Agradecimentos e referências:

Membros:
chicocx (http://a4t.in/xwiki/bin/view/Blog/ForbiddenNFe);
edmilson;

Referências:
Ninformáticos (http://ninformaticos.wordpress.com/2011/04/04/dinamic-ssl-com-axis-2/);

Espero que ajude em seus projetos.

JavaC Membro Membro desde: 05/10/2011 16:30:52 Mensagens: 6 Offline

Olá!

Utilizei este código, porém tenho tido problemas. Segue:

log4j:WARN No appenders could be found for logger (org.apache.axiom.om.util.StAXUtils).
log4j:WARN Please initialize the log4j system properly.
ERROR: org.apache.axis2.AxisFault: Error signing certificate verify

Já gerei o arquivo NFeCacerts e verifiquei a validade do cartão com um outro código muito bom seu.
Sabe como solucionar este problema?

Rebeca,

Acontece com todos os estados?

JavaC Membro Membro desde: 05/10/2011 16:30:52 Mensagens: 6 Offline

Bom dia Maciel!

Sim acontecia isso.
Depois de algum tempo eu desisti de implementar utilizando o mac, pois a Certisign não deu suporte. E minha leitora era da Serasa então eu acreditava que o cartão tbm fosse.
Acabei demorando para perceber este problema.
Eu acredito que o erro estava relacionado a isso, pois era um certificado A3.

Consegui implementar utilizando windows, porém o arquivo NFeCacerts não estava sendo gerado pois um dos webservices de homologação da receita estava fora do ar.
Então usei o nfe-cacerts de sp msm e nem tive problemas.

Agora encomendei o A1, pois estou fazendo uma aplicação web.

Muito obrigada pelos excelentes códigos! E pela dedicação com o fórum!

[]'s
Rebeca

Rebeca,

Obrigado, quando precisar podes contar conosco.

JavaC Membro Membro desde: 25/04/2011 23:19:36 Mensagens: 8 Offline

Estou tendo o mesmo problema da Rebeca, sem solução aparente. Consigo apresentar os dados do certificado, porém ao consumir os WSs a exception ocorre. O cacerts está correto, pois uso o mesmo arquivo com um certificado A1, sem problemas.

Alguma luz?

JavaC Membro Membro desde: 25/04/2011 23:19:36 Mensagens: 8 Offline

Pessoal, boa tarde!

Agora sim, um problema muito estranho. Consegui fazer tudo funcionar adequadamente. Applet, com certificados A1 e A3 (SmartCard e eToken), porém está funcionando apenas uma vez a cada abertura do browser.

Fiz um client "bobinho" para consulta do Status de Serviço, rodo ele, ele retorna com o serviço em operação, na segunda tentativa, tenho o erro de SSL Handshake. Existe algum bloqueio no SEFAZ? Nunca vi nada parecido, alguém já passou por isso?

Olá dodi,

O problema acontece com certificado A3? Se for esse o caso, você deve criar o certificado (KeyStore) apenas uma fez. Compartilhe a mensagem de erro para que eu possa ajudá-lo.

Att,

Olá todos!

Estou utilizando certificado A3, quando consulto o status retorna o seguinte erro:

ERROR: org.apache.axis2.AxisFault: org.xml.sax.SAXException: SimpleDeserializer encountered a child element, which is NOT expected, in something it was trying to deserialize.

O erro ocorre aqui:

O que pode ser? Vi que o conteúdo de dadosMsg e nfeCabecMsgE é

dadosMsg = br.inf.portalfiscal.www.nfe.wsdl.nfestatusservico2.NfeStatusServico2Stub$NfeDadosMsg@1438dbe
nfeCabecMsgE = br.inf.portalfiscal.www.nfe.wsdl.nfestatusservico2.NfeStatusServico2Stub$NfeCabecMsgE@ece36

Tá correto?

Abraços

Alguém já viu algo parecido?

Acredito que o erro acontece antes do envio, pois não vejo o xml de retorno.

Erro corrigido, estava usando a URL errada.

É importante sempre ir no site da Sefaz confirmar as URLs atuais. É básico mas me pegou.

Abraços.

Pessoal,

Ótima observação do "Sir Camelot", o importante é sempre conferir se as URLs de comunicação com os Web Services não foram alteradas. Para consulta você pode utilizar o site http://www.nfe.fazenda.gov.br.

Att,

Eu to recebendo o seguinte erro ? alguma ideia do por que ?

JavaC Membro Membro desde: 02/10/2013 09:39:01 Mensagens: 1 Offline

Boa tarde

estou usando a rotina do appletnfe
para fazer uma consulta de serviço no sefaz estou usando o

keystore do windows , mas qdo chamo a class SocketFactoryDinamico()

e ele monta o certifcate e privateKey baseado no keystore

tenho o retorno de chave invalida

se eu mudo o keystore para KeyStore.getInstance("PKCS12")
keyStore.load(new FileInputStream(certificado), senha.toCharArray());

a rotina consulta normamente o sefaz , alguem sabe como eu continuo essa rotina sem passar fisicamente um arquivo A1 para o Keystore e apenas usando o certificados instalados no windows ?