certificados SSL – Algoritmo de encripción SHA-2

Inicio Foros Foro principal Ayuda certificados SSL – Algoritmo de encripción SHA-2

Etiquetado: , , ,

Viendo 3 entradas - de la 1 a la 3 (de un total de 3)
  • Autor
    Entradas
  • #46265
    Federico De TittaFederico De Titta
    Participante

    Hola, les hago una consulta.
    La semana pasada me llego un mail de AFIP informando que a partir del 1/11/2016 se cambiara el algoritmo de encripcion de los certificados SSL de SHA-1 a SHA-2.
    Les consulto si los que usamos factura electrónica con libertya ¿tendríamos hacer algún cambio para que siga funcionando a partir de dicha fecha?

    Desde ya muchas gracias. Saludos

    #46266
    Diego RucciDiego Rucci
    Participante

    Por lo que entiendo, todo depende de cómo generaste el certificado con openssl.
    Si generaste un certificado SHA-1, debería darse de baja y realizar el pedido de uno nuevo.

    No he podido comprobarlo aún, pero tengo entendido que en la página de AFIP dice si los certificados son SHA-1 o SHA-2

    De todas maneras, estoy siguiendo el hilo de este grupo de google:
    https://groups.google.com/forum/#!msg/pyafipws/oNRJ4XQo_iA/E0kAJwtFAgAJ

    Adhiero a la consulta de Federico, si alguien pudiera clarificar.
    Gracias!

    #46312
    Diego RucciDiego Rucci
    Participante

    Bien, no he podido probar esto con una factura real… Si alguien puede, se lo agradezco.

    Para ver si el certificado actual es SHA-1, hacer lo siguiente:

    Tecla Windows+R y ejecutar ‘CMD’

    C:\> cd C:\OpenSSL-Win32\bin
    C:\OpenSSL-Win32\bin\> openssl.exe x509 -in c:\pyafipws_prod\SU-CERTIFICADO.CRT -text -noout

    Explicit Text: Certificado para computadores solo valido par
    a entornos productivos

    Signature Algorithm: sha1WithRSAEncryption

    Se ve claramente que es un certificado SHA1

    Debemos generar un certificado SHA2 (familia SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256)
    Para ello simplemente generamos una nueva key. En el manual se indica 1024, asi que cambiamos ese valor por 2048
    También generamos el pedido CSR y con este archivo vamos a solicitar un nuevo certificado a AFIP.

    C:\OpenSSL-Win32\bin\> openssl.exe genrsa -out EMPRESA.KEY 2048
    C:\OpenSSL-Win32\bin\> openssl.exe req -new -key EMPRESA.KEY -out EMPRESA.CSR -config afip-openssl.cnf

    Con el nuevo EMPRESA.CSR gestionamos el certificado y lo descargamos.
    Comprobamos nuevamente y vemos que ahora dice SHA512

    C:\OpenSSL-Win32\bin\> openssl.exe x509 -in c:\pyafipws_prod\NUEVO-CERTIFICADO.CRT -text -noout\
        Signature Algorithm: sha512WithRSAEncryption

    Solo resta cambiar el archivo properties.ini para colocar la nueva KEY y el nuevo certificado.

    Si estoy equivocado, que me disculpen dado que no he podido probar si con el nuevo certificado genera correctamente las facturas electrónicas.

    • Esta respuesta fue modificada hace 4 años, 9 meses por Diego RucciDiego Rucci.
    • Esta respuesta fue modificada hace 4 años, 9 meses por Diego RucciDiego Rucci.
Viendo 3 entradas - de la 1 a la 3 (de un total de 3)
  • Debes estar registrado para responder a este debate.