Tiempo aproximado de lectura 5:00 min
Duda
¿Cómo generar la Solicitud de Fima de Certificado (Archivo CSR) para obtener un certificado digital para transmisión de facturas en AFIP?
Entorno
Cross Segmentos - TOTVS BackOffice (Línea Protheus) MI - Facturación (SIGAFAT) - Todas versiones
Solución
La Solicitud de Firma de Certificado (Certificate Signing Request) es un archivo de texto que puede ser generado con cualquier herramienta de algoritmos de seguridad, como por ejemplo, OpenSSL (https://www.openssl.org/).
Para generar el archivo CSR utilizando OpenSSL, básicamente, necesita usar el utilitario OpenSSL. Si tiene acceso a un servidor Unix/Linux, seguramente, ya lo tiene instalado. Si sólo tiene acceso a equipos Windows, puede bajar openSSL de:
Una vez que tiene el programa OpenSSL instalado, realice el siguiente procedimiento:
1. Generar Clave Privada (Private Key) de 2048 bits. Desde la línea de comando, ubicado en el directorio
de instalación de OpenSSL, ejecutar:
openssl genrsa -out privada 2048
Haga un backup de su clave privada para evitar futuros inconvenientes. Tenga en cuenta que la va a necesitar una vez que obtenga su certificado X.509, el cual no le va a servir de mucho si usted no dispone de la clave privada que le corresponde.
2. Generar el Pedido CSR (Certificate Signing Request). Desde la línea de comando, ubicado en el directorio de instalación de OpenSSL, ejecutar:
openssl req -new -key privada
-subj "/C=AR/O=subj_o/CN=subj_cn/serialNumber=CUIT subj_cuit"
-out pedido
Para ejecutar el comando, deberá reemplazar: subj_o por el nombre de su empresa, subj_cn por su nombre o server hostname, y subj_cuit por la CUIT sin guiones de la empresa o programador.
IMPORTANTE: En el serialNumber se escribe el texto “CUIT”, luego un espacio en blanco y a continuación el número de CUIT (sin guiones).
Según la tecnología que elija utilizar para llevar a cabo el desarrollo, puede llegar a necesitar el certificado en formato pkcs12 (certificado x509 + clave privada). Por ejemplo, para cliente en .NET. Para generarlo debe ejecutar desde la línea de comando:
openssl pkcs12 -export -inkey privada -in certificado.crt -out alias.p12
En algunos equipos Windows al invocar al WSAA para obtener su ticket de acceso puede llegar a obtener el siguiente mensaje de error: “La contraseña de red especificada no es válida”. Este error tiene que ver con el problema de que Windows parece no entender que el pkcs#12 generado con openssl no tiene password. La solución es importar el certificado al repositorio de Windows (Control panel/Internet Options/Contents/Certificates). Luego volver a exportarlo (hasta la versión 7 de Internet Explorer no es obligatorio ponerle password). Tener en cuenta que debe tildar la opción “Marcar esta clave como exportable”.
3. Utilizar el Certificado Digital. Una vez que haya generado correctamente su CSR, puede usarlo para obtener su certificado digital X.509, utilizando las instrucciones del Documento Técnico disponible en el sitio de AFIP. Luego deberá asociar el certificado al Web Service de Negocio que necesite, usando el servicio “Administrador de Relaciones de Clave Fiscal”. Para más información, por favor remítase a la documentación oficial disponible en el sitio de AFIP.
Conozca Más
Para obtener más conocimiento, acceda al siguiente enlace del sitio de AFIP:
AFIP - Documentación: WSAA (Webservice de Autenticación y Autorización)
0 Comentarios