Login Registre-se
Erro enviar certificado digital pelo protocolo TLSv1.2 no glassfish  XML
Índice dos Fóruns » NF-e / NFS-e / CT-e / CF-e / Certificados Digitais
Autor Mensagem
mhas22

JavaC Membro
[Avatar]

Membro desde: 12/07/2016 11:38:41
Mensagens: 6
Localização: Morrinhos - Goás
Offline

Fizemos a mudança aqui na nossa aplicação para passar o certificado digital usando o protocolo TLSv1.2, mas estamos enfrentando problemas.
Usando o tomcat comunica perfeitamente como todos os webservices do Sefaz.

Mas precisamos colocar a aplicação no glassfish, e no mesmo retorno o seguinte erro:
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Mudamos nas configurações do glassfish para usar como truststore o arquivo Cacerts gerado, mas aí retorna outro erro:
org.apache.axis2.AxisFault: Connection has been shutdown: javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown

Alguém já passou por esses problemas usando o glassfish? Encontraram alguma solução?
samuk.exe@hotmail.com

Moderador
[Avatar]

Membro desde: 31/08/2012 18:04:03
Mensagens: 1137
Localização: Goiás
Offline

Certificate_unknow e e Unknow CA são problemas comuns de alguns WebService (Goias por exemplo) com alguns tipos de certificados.

Alguns certificados mais novos não vem com as cadeias completas. Dai ocorre este erro.

Eu resolvo isso, em 90% dos casos Importanto o certificado para um computador que tenha todas as cadeias.
E depois exportanto para um novo arquivo marcando as opções de Exportar todas as propriedades extendidas.

Samuel Oliveira
Gerente de Projetos - Autocom Sistemas
Moderador (JavaC - Java Community)
samuk.exe@hotmail.com

API NFe/NFC-e -> http://www.javac.com.br/jc/posts/list/3160-biblioteca-javanfe-com-jaxb-nfenfce-simples-v-4001.page
API CTe -> http://www.javac.com.br/jc/posts/list/2765-projeto-api-javacte-com-jaxb-cte-simples-v-3001.page
API Certificado Digital -> http://www.javac.com.br/jc/posts/list/0/2869.page#14592
API Efd Icms -> http://www.javac.com.br/jc/posts/list/2812-projeto-biblioteca-javaefdicms-sped-simples-v-20200.page

Github - > https://github.com/Samuel-Oliveira
Github Java-NFe -> https://github.com/Samuel-Oliveira/Java_NFe
Github Java-CTe -> https://github.com/Samuel-Oliveira/Java_CTe
Github Java-MDFe -> https://github.com/Samuel-Oliveira/Java_MDFe
Github Java-Certificado -> https://github.com/Samuel-Oliveira/Java_Certificado
Github Java-Efd-Icms -> https://github.com/Samuel-Oliveira/Java-Efd-Icms
Github Java-Efd-Contribuicoes -> https://github.com/Samuel-Oliveira/Java-Efd-Contribuicoes
Github Java-Efd-Reinf -> https://github.com/Samuel-Oliveira/Java-Efd-Reinf
Github Java-eSocial -> https://github.com/Samuel-Oliveira/Java-eSocial
Github Java-SPC -> https://github.com/Samuel-Oliveira/Java-SPC

Membros do fórum,

Usem a tag [code] e [/code] quando postarem Códigos Java e ou exemplos de XMLs.
Evitem tópicos duplicados.
Tópico solucionado? Edite o primeiro post e coloque [RESOLVIDO] no final do título.
Evitem reviver tópicos antigos.

O tópico resolveu seu problema? Seja gentil, comente e ou agradeça quem contribuiu com a solução.

Obrigado!
[Email] [WWW]
mhas22

JavaC Membro
[Avatar]

Membro desde: 12/07/2016 11:38:41
Mensagens: 6
Localização: Morrinhos - Goás
Offline

Já tentei adicionar a cadeia dos certificados também importando e exportando assim. Tinha uma aqui que dava sempre problema, mas assim resolveu. Mas mesmo assim, de nenhum jeito funciona no glassfish.
Mudei aqui pra usar aquela classe SocketFactoryDinamico pra enviar o certificado, e mudou o erro aqui:
Caused by: org.apache.axis2.AxisFault: Connection has been shutdown: javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair
geizon

JavaC Membro

Membro desde: 20/10/2015 09:12:50
Mensagens: 31
Offline

Aproveitando o embalo do tópico... o que devo fazer para utilizar o TLS 1.2 ? Sou do RS.

Li em alguns tópicos que devia alterar na classe SocketFactoryDinamic onde está

para


porém não realizei nenhuma mudança e está autorizando as notas com versão 4.00 sem alterar, tenho receio de que algo está errado e possa me complicar la na frente.
Unknown

JavaC Membro

Membro desde: 20/09/2017 11:26:34
Mensagens: 3
Offline

To autorizando 4.0 assim

geizon

JavaC Membro

Membro desde: 20/10/2015 09:12:50
Mensagens: 31
Offline

Unknown wrote:To autorizando 4.0 assim



Amigo, está autorizando na TLS dessa forma, porém em Julho vai trancar se você continuar a emitir desta forma.

O Correto é




Veja o que o pessoal do SEFAZ me informou:

Peço que desconsiderem a resposta anterior, pois ela está errada.

A resposta correta é a seguinte:

Existe essa recomendação para as empresas passarem a utilizar somente o protocolo TLS 1.2 devido a questões de segurança. Esta recomendação foi inserida na NT 2016.002.

Porém como a versão 3.10 ainda está vigente nos mesmos servidores da versão 4.00 não podemos bloquear as versões anteriores do TLS.

Este procedimento será executado somente após a desativação em definitivo da versão 3.10 no ambiente de produção.

Neste momento, ainda é possível emitir NF-e na versão 4.0 com protocolos anteriores ao TLS 1.2

Assim, não sabemos dizer com certeza qual é o protocolo de comunicação que está sendo usado em seu sistema. Vocês devem contatar o responsável pelo seu sistema, para verificar essa questão. Se o seu sistema estiver usando um protocolo anterior ao TLS 1.2, então vocês devem solicitar a atualização do protocolo.

Se o seu sistema não tiver o protocolo atualizado, então ele não conseguirá mais fazer a emissão de NF-e a partir de 02/07/2018, quando a versão 3.10 for desativada.


Abraço
robertop

JavaC Membro

Membro desde: 10/07/2013 20:08:36
Mensagens: 278
Offline

Boa tarde!
Então nós temos um ambiente de homologação (teste) mas que não testa. É isso?

Quantos programadores irão achar que esta tudo certo com o sistema e após sair a versão 3.10 vai começar os problemas.

é cada uma
geizon

JavaC Membro

Membro desde: 20/10/2015 09:12:50
Mensagens: 31
Offline

robertop wrote:Boa tarde!
Então nós temos um ambiente de homologação (teste) mas que não testa. É isso?

Quantos programadores irão achar que esta tudo certo com o sistema e após sair a versão 3.10 vai começar os problemas.

é cada uma


Exatamente...eu estava fazendo da forma que você e fiquei desconfiado...enviei alguns e-mails até conseguir a resposta certa hehe
Unknown

JavaC Membro

Membro desde: 20/09/2017 11:26:34
Mensagens: 3
Offline

Alterei para 1.2

Obrigado pelas informações.

FYI: Muito em breve pode ser que mude denovo: https://blogs.cisco.com/security/tls-version-1-3-change-is-here-and-encrypted-traffic-analytics-has-got-your-back
 
Índice dos Fóruns » NF-e / NFS-e / CT-e / CF-e / Certificados Digitais
Ir para:   
Powered by JForum 2.1.9 © JForum Team