SHA1 con OpenSSL (SOLUCIONADO)

Humberto · Mensaje por **Humberto** » Mié Ene 26, 2011 12:12 pm

Hola a TODOS.

Hoy amanecí recibiendo llamadas de mis clientes con la noticia de que el validador del SAT ahora responde con El sello del comprobante es Inválido, el sello debe estar en SHA1 para los CFDs emitidos en el 2011.

Yo genero el sello con OpenSSL con al instrucción:
openssl dgst -out sign.bin -sign KEY.PEM CadOri.txt

Les agradecría muchísimo si me pudieran ilustrar por favor cómo se genera el sello con SHA1 en OpenSSL para, como nos dice Dado en otro post, comenzar el resellado de todos estos CFDs y re-enviarlos a los clientes.

Agradeciendo de antemano sus atenciones y respuetas reciban un cordial saludo.

Mensaje por **Dado** » Mié Ene 26, 2011 12:19 pm

Humberto escribió:Hola a TODOS.

Hoy amanecí recibiendo llamadas de mis clientes con la noticia de que el validador del SAT ahora responde con El sello del comprobante es Inválido, el sello debe estar en SHA1 para los CFDs emitidos en el 2011.

Yo genero el sello con OpenSSL con al instrucción:
openssl dgst -out sign.bin -sign KEY.PEM CadOri.txt

Les agradecría muchísimo si me pudieran ilustrar por favor cómo se genera el sello con SHA1 en OpenSSL para, como nos dice Dado en otro post, comenzar el resellado de todos estos CFDs y re-enviarlos a los clientes.

Agradeciendo de antemano sus atenciones y respuetas reciban un cordial saludo.

Es un poco "mas atras" en tu codigo, ahi ya solo aplicas el sello, busca en todo tu codigo un -md5 y cambialo a -sha1

Humberto · Mensaje por **Humberto** » Mié Ene 26, 2011 12:42 pm

Dado,

En ningún lado hay un -md5. En ralidad yo sólo uso tres instrucciones con OpenSSL y me funcionaba muy bien. Todos los CFDs se validaban correctamente tanto en el validador del SAT como en el que tú amablemente nos has proporcionado.

Las instrucciones son las siguientes:

openssl pkcs8 -inform DER -in archivo.key -passin pass:XXXXXXXX -out KEY.PEM
openssl dgst -out sign.bin -sign KEY.PEM CadOri.txt
openssl enc -in sign.bin -a -A -out signB64.txt

Así que en nigúna parte hay el -md5. ¿Alguna sugerencia?

Gracias y saludos.

Mensaje por **Dado** » Mié Ene 26, 2011 12:51 pm

Humberto escribió:Dado,

En ningún lado hay un -md5. En ralidad yo sólo uso tres instrucciones con OpenSSL y me funcionaba muy bien. Todos los CFDs se validaban correctamente tanto en el validador del SAT como en el que tú amablemente nos has proporcionado.

Las instrucciones son las siguientes:

openssl pkcs8 -inform DER -in archivo.key -passin pass:XXXXXXXX -out KEY.PEM
openssl dgst -out sign.bin -sign KEY.PEM CadOri.txt
openssl enc -in sign.bin -a -A -out signB64.txt

Así que en nigúna parte hay el -md5. ¿Alguna sugerencia?

Gracias y saludos.

Hay "cien" formas de calcular el hash, es posible que estes usando otra libreria o alguna rutina, aver "platicame" como generas CadOri.txt

Humberto · Mensaje por **Humberto** » Mié Ene 26, 2011 1:14 pm

El CadOri.txt es la cadena original tal cual se presenta en el CFD con sus pipes y todo:

||2.0|NC|2|2011-01-26T11:55:15|78136|2011|egreso|PAGO EN UNA SOLA EXHIBICION|20.00|0.00|20.00|XXX890201E20|PUBLICIDAD, S.A. DE C.V.|Paseo de la Reforma|XXX|Col. Lomas de Chapultepec|Miguel Hidalgo|Miguel Hidalgo|D.F.|México|01780|Paseo de la Reforma NO.XXX|Col. Lomas de Chapultepec|Miguel Hidalgo|Miguel Hidalgo|D.F.|México|01780|CTE010203ABC|AAACLIENTE PRUEBA|Calle de Prueba No. 1|S/N|Colonia de Prueba|*|*|*|México|12345|1|---|NCR|PRUEBA CFD 02|20.00|20.00|IVA|16.00|0.00|0.00||

esta se graba en el CadOri.txt y luego desencripta el .key con:
openssl pkcs8 -inform DER -in archivo.key -passin pass:XXXXXXXX -out KEY.PEM

Crea el sello digital en binario con:
openssl dgst -out sign.bin -sign KEY.PEM CadOri.txt

Convierte el sello digital de binaro a B64
openssl enc -in sign.bin -a -A -out signB64.txt

Saludos.

Mensaje por **Dado** » Mié Ene 26, 2011 1:33 pm

Humberto escribió:El CadOri.txt es la cadena original tal cual se presenta en el CFD con sus pipes y todo:

||2.0|NC|2|2011-01-26T11:55:15|78136|2011|egreso|PAGO EN UNA SOLA EXHIBICION|20.00|0.00|20.00|XXX890201E20|PUBLICIDAD, S.A. DE C.V.|Paseo de la Reforma|XXX|Col. Lomas de Chapultepec|Miguel Hidalgo|Miguel Hidalgo|D.F.|México|01780|Paseo de la Reforma NO.XXX|Col. Lomas de Chapultepec|Miguel Hidalgo|Miguel Hidalgo|D.F.|México|01780|CTE010203ABC|AAACLIENTE PRUEBA|Calle de Prueba No. 1|S/N|Colonia de Prueba|*|*|*|México|12345|1|---|NCR|PRUEBA CFD 02|20.00|20.00|IVA|16.00|0.00|0.00||

esta se graba en el CadOri.txt y luego desencripta el .key con:
openssl pkcs8 -inform DER -in archivo.key -passin pass:XXXXXXXX -out KEY.PEM

Crea el sello digital en binario con:
openssl dgst -out sign.bin -sign KEY.PEM CadOri.txt

Convierte el sello digital de binaro a B64
openssl enc -in sign.bin -a -A -out signB64.txt

Saludos.

Y estas seguro que si validan tus sellos?

Normalmente el hash MD5 se hace junto con el sellado, con la instruccion asi :

openssl dgst -md5 -out sign.bin -sign KEY.PEM CadOri.txt

Pero claro que no es obligatorio si CadOri ya esta "digerida" antes.

Hay dos caminos para hacer el sello :

1. Formas la cadena, la conviertes a UFT8
................AAAAAHHHH YA ME ACORDE !!!!!

Va de nuevo.........

Si, para FIRMAR una cadena DEBES USAR :

openssl dgst -md5 -out sign.bin -sign KEY.PEM CadOri.txt

PERO SI NO ESPECIFICAS EL -MD5 ESTE SE SELECCIONA POR DEFAULT y por eso "ni en cuenta" porque por default usa -MD5

bueno, ahora tienes que usar :

openssl dgst -sha1 -out sign.bin -sign KEY.PEM CadOri.txt

Y eso es todo, CHECALO!!

Humberto · Mensaje por **Humberto** » Mié Ene 26, 2011 2:58 pm

SOLUCIONADO.

Como simpre, Dado, tienes toda la razón. Ya hice unas pruebas y funcionó perfectamente.

El opensssl dgst, si no se especificas nada por default lo hace con MD5. Agregando -SHA1 todo resulta perfectamente bien.

MUCHAS GRACIAS nuevamente por tu apoyo y por tus prontas y acertadas respuestas.

Ahora a programar un poco para corregir los CFDs que se emitieron desde el 01/ENE/2011.

Saludos.

paccozuniga · Mensaje por **paccozuniga** » Mar Feb 08, 2011 8:27 am

Tengo una duda sobre todo este proceso, en que parte interviene el HSM que requiere Hacienda? todos estos puntos los puedes hacer dependiente a esto?

saludos
pziniga

Mensaje por **Dado** » Mar Feb 08, 2011 8:48 am

paccozuniga escribió:Tengo una duda sobre todo este proceso, en que parte interviene el HSM que requiere Hacienda? todos estos puntos los puedes hacer dependiente a esto?

saludos
pziniga

No he leido sobre el HSM.....que es?

paccozuniga · Mensaje por **paccozuniga** » Mar Feb 08, 2011 10:07 am

En la matriz de controles el punto 24.8 ( El dispositivo que almacena la llave privada del SAT debe contar con recubrimiento especial, sensible, que prevenga que el dispositivo sea abierto, o que al ser abierto, impida el acceso a la información ), para los que estamos desarrollando para ser PAC, mi duda, todo este proceso de usar openSSL puede ser independiente al hsm o es necesario comenzar con este, o hasta que punto podemos avanzar sin tener todavia el hsm

ValidaCFD

SHA1 con OpenSSL (SOLUCIONADO)

SHA1 con OpenSSL (SOLUCIONADO)

Re: SHA1 con OpenSSL

Re: SHA1 con OpenSSL

Re: SHA1 con OpenSSL

Re: SHA1 con OpenSSL

Re: SHA1 con OpenSSL

Re: SHA1 con OpenSSL

Re: SHA1 con OpenSSL (SOLUCIONADO)

Re: SHA1 con OpenSSL (SOLUCIONADO)

Re: SHA1 con OpenSSL (SOLUCIONADO)