Sertifikatet som er angitt i signaturen er ikke en del av en gyldig sertifikatkjede.

[kanelbolle]

Hei! Vi får følgende feilmelding når vi skal hente kvitteringer fra Difi/Digipost:

System.AggregateException: One or more errors occurred. ---> Difi.SikkerDigitalPost.Klient.Domene.Exceptions.SdpSecurityException: Sertifikatet som er angitt i signaturen er ikke en del av en gyldig sertifikatkjede.
at Difi.SikkerDigitalPost.Klient.XmlValidering.ResponseValidator.ValidateResponseCertificate()
at Difi.SikkerDigitalPost.Klient.XmlValidering.ResponseValidator.ValidateSignatureAndCertificate(String path)
at Difi.SikkerDigitalPost.Klient.Api.SikkerDigitalPostKlient.SecurityValidationOfMessageReceipt(XmlDocument kvittering, KvitteringsforespørselEnvelope kvitteringsforespørselEnvelope)
at Difi.SikkerDigitalPost.Klient.Api.SikkerDigitalPostKlient.d__17.MoveNext()
--- End of inner exception stack trace ---
at System.Threading.Tasks.Task`1.GetResultCore(Boolean waitCompletionNotification)
at Hemit.BizTalk.Felles.DigitalPost.DifiHelper.DifiSikkerDigitalPostClientProxy.HentKvitteringer(SikkerDigitalPostKlient _sikkerDigitalPostKlient, String log, Boolean ackOpenkvittering, Boolean consoleLog)
at Hemit.BizTalk.Felles.DigitalPost.DifiHelper.DifiSikkerDigitalPostClientProxy.HentKvittering()
at Hemit.BizTalk.Felles.DigitalPost.Orchestrations.HentKvittering.segment3(StopConditions stopOn)
at Microsoft.XLANGs.Core.SegmentScheduler.RunASegment(Segment s, StopConditions stopCond, Exception& exp)
---> (Inner Exception #0) Difi.SikkerDigitalPost.Klient.Domene.Exceptions.SdpSecurityException: Sertifikatet som er angitt i signaturen er ikke en del av en gyldig sertifikatkjede.
at Difi.SikkerDigitalPost.Klient.XmlValidering.ResponseValidator.ValidateResponseCertificate()
at Difi.SikkerDigitalPost.Klient.XmlValidering.ResponseValidator.ValidateSignatureAndCertificate(String path)
at Difi.SikkerDigitalPost.Klient.Api.SikkerDigitalPostKlient.SecurityValidationOfMessageReceipt(XmlDocument kvittering, KvitteringsforespørselEnvelope kvitteringsforespørselEnvelope)
at Difi.SikkerDigitalPost.Klient.Api.SikkerDigitalPostKlient.d__17.MoveNext()<---

Vi sender på vegne av fem organisasjoner. Å sende Digipost-forsendelsen går bra, men når vi henter kvitteringer så feiler det konsekvent for en av organisasjonene og av og til for en annen. De tre resterende fungerer fint. Vi har ikke siste versjonen av koden til Difi, men vi har ikke mulighet til å oppgradere akkurat nå. Har dere tips?

Hva er galt her? Kan dere hjelpe oss?

[StureForre]

Hei. Ser ut til at dere ikke klarer å validere responsen dere får fra meldingsformidler. Siden du skriver at dette skjer fra tid til annen; Kan det hende at dere kjører med lastbalanserer og at ikke rot-sertifikatet ligger i truststore på alle servere? https://begrep.difi.no/SikkerDigitalPost/1.2.6/sikkerhet/sertifikathandtering

[kanelbolle]

Bare for å være på den sikre siden: hvilket rot-sertifikat er det det er snakk om? From: Sture Førre [mailto:[email protected]] Sent: Tuesday, March 13, 2018 1:25 PM To: difi/sikker-digital-post-klient-dotnet <[email protected]> Cc: Aarbakke, Anne Staurland <[email protected]>; Author <[email protected]> Subject: Re: [difi/sikker-digital-post-klient-dotnet] Sertifikatet som er angitt i signaturen er ikke en del av en gyldig sertifikatkjede. (#204) Hei. Ser ut til at dere ikke klarer å validere responsen dere får fra meldingsformidler. Siden du skriver at dette skjer fra tid til annen; Kan det hende at dere kjører med lastbalanserer og at ikke rot-sertifikatet ligger i truststore på alle servere? https://begrep.difi.no/SikkerDigitalPost/1.2.6/sikkerhet/sertifikathandtering — You are receiving this because you authored the thread. Reply to this email directly, view it on GitHub<#204 (comment)>, or mute the thread<https://github.com/notifications/unsubscribe-auth/Ajmni7L6FmjyqfVNzA93l_xFc3dmyvNUks5td7qdgaJpZM4SogZN>.

[StureForre]

Tenkte da på sertifikatene det vises til her (scroll ned til "Kvalifiserte sertifikater" og "for produksjon"): https://begrep.difi.no/SikkerDigitalPost/1.2.6/sikkerhet/sertifikathandtering Som det står skal da rot-sertifikatene inn i trust store, og mellomliggende CA sertifikater skal ligge i CertStore

[Lerberg]

Hei! Jeg får denne nå i test nå:

	meldingsKvittering.melding	"Difi.SikkerDigitalPost.Klient.Domene.Exceptions.XmlParseException: Kunne ikke bygge Xml for Difi.SikkerDigitalPost.Klient.Envelope.Kvitteringsforespørsel.KvitteringsforespørselEnvelope (av type AbstractEnvelope). En mulig grunn til dette kan være at svar fra server har endret seg, eller at en feilaktig endring har blitt gjort. Sjekk inner exception for mer detaljer. ---> System.Security.Cryptography.CryptographicException: Keyset does not exist\r\n\r\n   at System.Security.Cryptography.Utils.CreateProvHandle(CspParameters parameters, Boolean randomKeyContainer)\r\n   at System.Security.Cryptography.Utils.GetKeyPairHelper(CspAlgorithmType keyType, CspParameters parameters, Boolean randomKeyContainer, Int32 dwKeySize, SafeProvHandle& safeProvHandle, SafeKeyHandle& safeKeyHandle)\r\n  

Jeg fikk samme feilmelding tidligere da sertifikatet hos meg var installert uten eksporterbar private key, men nå er det rettet og de andre kallene fungerer... (Vi er heller ikke på siste verjson av tjenesten). @StureForre

[Lerberg]

Nå får jeg svar... Henter getKvittering sertifikatet på en annen måte en sendDokument?

Jaja, så lenge det fungerer er jeg fornøyd!