TICKET BAI (TicketBAI); Nuevo sistema de la Agencia Tributaria del Pais Vasco

[luismartin]

Cita:

Empezado por canfora

Buenos días,

Me acabo de poner con la programación en php para el envío de XML a TBAI a Gipuzkoa.
Estoy utilizando el código que sugerís a continuación y recibo en todo momento el siguiente error:
"
No se puede conectar con la TBAI GIP.

Error: unable to use client certificate (no key found or wrong pass phrase?)

Respuesta de la TBAI GIP: 312
"
Tengo un certificado pfx, el cual indico en la línea de declaración del CURLOPT_SSLCERT y añado la siguiente linea:
curl_setopt($soap_do, CURLOPT_SSLCERTPASSWD, $pass);

Si utilizo una conexión más sencilla, como la que indico a continuación, recibo el siguiente error:

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $server);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 100);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_CUSTOMREQUEST, "POST");
curl_setopt($ch, CURLOPT_POSTFIELDS, $requestXML);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);

ERROR:
"
01
Rechazado
Baztertua

001
Error: No se ha utilizado certificado de cliente.
Errorea: Ez da erabili bezeroaren ziurtagiririk.
"

Muchísimas gracias por vuestra ayuda.

Hola Canfora, a ver si esto te puede ayudar, ya que llegué a ese punto, y finalmente la conexión me la validó (aunque ahora estoy con otro problema):
como te indica Bilbur, debes usar un certificado de tipo PEM, pero según he hecho yo, generando 3 ficheros PEM por separado (usando el comando openssl): el del cliente, el de la clave privada, y el de la autoridad certificadora:

Cita:

openssl pkcs12 -in abcd.pfx -out ca.pem -cacerts -nokeys
openssl pkcs12 -in abcd.pfx -out client.pem -clcerts -nokeys
openssl pkcs12 -in abcd.pfx -out key.pem -nocerts

No he podido poner el enlace de la fuente por ser un usuario nuevo Y lo que tampoco tengo aún claro, es cómo hacer esta conversión de forma automática, sin necesidad de user input.

Al final, el código de la petición cURL es este:

Código PHP:

        $xmlStr = file_get_contents($rutaFacturaXML);
        
        $ch = curl_init($url);
        curl_setopt($ch, CURLOPT_POST, 1);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_SSLCERT, PATH_TEMP . '/client.pem');
        curl_setopt($ch, CURLOPT_SSLKEY, PATH_TEMP . '/key.pem');
        curl_setopt($ch, CURLOPT_CAINFO, PATH_TEMP . '/ca.pem');
        curl_setopt($ch, CURLOPT_SSLKEYPASSWD, $clave);
        curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 1);
        curl_setopt($ch, CURLOPT_POSTFIELDS, $xmlStr);
        curl_setopt($ch, CURLOPT_HTTPHEADER, array('Content-Type: application/xml; charset=utf-8')); 
        $resp = curl_exec($ch); 


[luismartin]

Hola a todos, soy nuevo en el foro, aunque ya lo llevo usando un tiempo, y me ha sido de gran ayuda para la generación de las facturas TBAI.

El problema con el que me encuentro ahora, es que al realizar el envío, recibo este error:

Código:

(002) Error: El fichero de alta TicketBAI no cumple el esquema XSD. No se permite firma Enveloping.

En la documentación de TBAI, vi que esto se debe a que la firma que genero, se hace en formato Enveloping, cuando debería ser Enveloped.

Para la generación de la firma en el documento, utilizo el comando de la aplicación Autofirma, con las siguientes opciones:

Código:

autofirma  sign -i ruta/fichero.xml -o ruta/fichero.firmado.xml -format xades -store pkcs12:certificado.pfx -password ***** -filter "imported"

El fichero generado, fichero.firmado.xml, pasa la validación de estos validadores que he encotrado en este mismo hilo:
Uno de chilkat
Y otro de uanataca (lo siento, aún no puedo poner enlaces al ser usuario nuevo)

Posteriormente, vi el mensaje #470 en el hilo, y añadí la opción que indica poner:

Código:

-config="format=XAdES Enveloped\npolicyIdentifier=h......"

Pero al hacerlo, recibo el error de formato no permitido.

Alguien sabría decirme qué más debo hacer para obtener la firma en el formato Enveloped??

Gracias!

[tejano]

Cita:

Empezado por luismartin

Hola a todos, soy nuevo en el foro, aunque ya lo llevo usando un tiempo, y me ha sido de gran ayuda para la generación de las facturas TBAI.

El problema con el que me encuentro ahora, es que al realizar el envío, recibo este error:

Código:

(002) Error: El fichero de alta TicketBAI no cumple el esquema XSD. No se permite firma Enveloping.

En la documentación de TBAI, vi que esto se debe a que la firma que genero, se hace en formato Enveloping, cuando debería ser Enveloped.

Para la generación de la firma en el documento, utilizo el comando de la aplicación Autofirma, con las siguientes opciones:

Código:

autofirma  sign -i ruta/fichero.xml -o ruta/fichero.firmado.xml -format xades -store pkcs12:certificado.pfx -password ***** -filter "imported"

El fichero generado, fichero.firmado.xml, pasa la validación de estos validadores que he encotrado en este mismo hilo:
Uno de chilkat
Y otro de uanataca (lo siento, aún no puedo poner enlaces al ser usuario nuevo)

Posteriormente, vi el mensaje #470 en el hilo, y añadí la opción que indica poner:

Código:

-config="format=XAdES Enveloped\npolicyIdentifier=h......"

Pero al hacerlo, recibo el error de formato no permitido.

Alguien sabría decirme qué más debo hacer para obtener la firma en el formato Enveloped??

Gracias!

Te doy las instrucciones para la DBF con la línea de comando de autofirma "autofirmacommandline"

AutoFirmaCommandLine.exe sign
-i nombre_fichero
-o nombre_fichero_firmado
-store pkcs12:nombre_certificado.p12
-password contraseña_certificado
-filter nombre_certificado.p12
-format xades -xml
-config "format=XAdES Enveloped
\npolicyIdentifier=https://www.batuz.eus/fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf
\npolicyIdentifierHash=Quzn98x3PMbSHwbUzaj5f5KOpiH0u8bvmwbbbNkO9Es=
\npolicyIdentifierHashAlgorithm=http://www.w3.org/2001/04/xmlenc#sha256
\npolicyQualifier=https://www.batuz.eus/fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf

A mi me funciona bien, aunque tarda unos 3 sg por cada fichero.

Esto lo pusieron en el foro hace algún tiempo y me ayudo mucho.

[luismartin]

Cita:

Empezado por tejano

Te doy las instrucciones para la DBF con la línea de comando de autofirma "autofirmacommandline"

AutoFirmaCommandLine.exe sign
-i nombre_fichero
-o nombre_fichero_firmado
-store pkcs12:nombre_certificado.p12
-password contraseña_certificado
-filter nombre_certificado.p12
-format xades -xml
-config "format=XAdES Enveloped
\npolicyIdentifier=..../fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf
\npolicyIdentifierHash=Quzn98x3PMbSHwbUzaj5f5KOpiH0u8bvmwbbbNkO9Es=
\npolicyIdentifierHashAlgorithm=..../2001/04/xmlenc#sha256
\npolicyQualifier=.../fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf

A mi me funciona bien, aunque tarda unos 3 sg por cada fichero.

Esto lo pusieron en el foro hace algún tiempo y me ayudo mucho.

Hola tejano. Sí, justo eso es lo que decía que había probado después del primer error. Lo he probado de nuevo, y sigo con el mismo error (de nuevo tengo que quitar los enlaces que hay dentro del formato, porque de momento, no me deja publicar si los pongo):

Código:

No se reconoce el parametro -config=format=XAdES Enveloped
policyIdentifier=...sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf
policyIdentifierHash=Quzn98x3PMbSHwbUzaj5f5KOpiH0u8bvmwbbbNkO9Es=
policyIdentifierHashAlgorithm=.../2001/04/xmlenc#sha256
policyQualifier=.../fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf

[tejano]

Cita:

Empezado por luismartin

Hola tejano. Sí, justo eso es lo que decía que había probado después del primer error. Lo he probado de nuevo, y sigo con el mismo error (de nuevo tengo que quitar los enlaces que hay dentro del formato, porque de momento, no me deja publicar si los pongo):

Código:

No se reconoce el parametro -config=format=XAdES Enveloped
policyIdentifier=...sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf
policyIdentifierHash=Quzn98x3PMbSHwbUzaj5f5KOpiH0u8bvmwbbbNkO9Es=
policyIdentifierHashAlgorithm=.../2001/04/xmlenc#sha256
policyQualifier=.../fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf

Creo que te faltan unas comillas y sobre el símbolo "=" debería ser así
-config "format=XAdES Enveloped

[Sistel]

Cita:

Empezado por tejano

Te doy las instrucciones para la DBF con la línea de comando de autofirma "autofirmacommandline"

AutoFirmaCommandLine.exe sign
-i nombre_fichero
-o nombre_fichero_firmado
-store pkcs12:nombre_certificado.p12
-password contraseña_certificado
-filter nombre_certificado.p12
-format xades -xml
-config "format=XAdES Enveloped
\npolicyIdentifier=https://www.batuz.eus/fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf
\npolicyIdentifierHash=Quzn98x3PMbSHwbUzaj5f5KOpiH0u8bvmwbbbNkO9Es=
\npolicyIdentifierHashAlgorithm=http://www.w3.org/2001/04/xmlenc#sha256
\npolicyQualifier=https://www.batuz.eus/fitxategiak/batuz/ticketbai/sinadura_elektronikoaren_zehaztapenak_especificaciones_de_la_firma_electronica_v1_0.pdf

A mi me funciona bien, aunque tarda unos 3 sg por cada fichero.

Esto lo pusieron en el foro hace algún tiempo y me ayudo mucho.

Hola tejano,

Yo también probé Autofirma para este tema de TicketBAI.
(Aunque odio con todas mis fuerzas las aplicaciones en Java )
Y también noté que tardaba del orden de segundos la firma de cada fichero.

Me puse a desarrollarlo en PHP (y sin librerías externas).
Y ahora la generación del XML y su firma tardan en total unos 15 milisegundos.

Saludos

[luismartin]

Cita:

Empezado por Sistel

Hola tejano,

Yo también probé Autofirma para este tema de TicketBAI.
(Aunque odio con todas mis fuerzas las aplicaciones en Java )
Y también noté que tardaba del orden de segundos la firma de cada fichero.

Me puse a desarrollarlo en PHP (y sin librerías externas).
Y ahora la generación del XML y su firma tardan en total unos 15 milisegundos.

Saludos

Y, ese programa PHP que hiciste para la firma... se puede compartir??

[Sistel]

Cita:

Empezado por luismartin

Y, ese programa PHP que hiciste para la firma... se puede compartir??

Hola luismartin,

Estaba atrancado con la firma (me daba errores).
Nuestro colega Bilbur publicó su clase Firmador en PHP en este mismo hilo
Que funciona de maravilla y me permitió entender los errores que hasta entonces tenía.

La tienes en:
https://www.clubdelphi.com/foros/sho...&postcount=539

Saludos

[luismartin]

Cita:

Empezado por Sistel

Hola luismartin,

Estaba atrancado con la firma (me daba errores).
Nuestro colega Bilbur publicó su clase Firmador en PHP en este mismo hilo
Que funciona de maravilla y me permitió entender los errores que hasta entonces tenía.


Saludos

Ah, genial! No lo había visto!
Voy a probarlo con ello. Gracias a los dos!

[Sistel]

Cita:

Empezado por luismartin

Código PHP:

        $xmlStr = file_get_contents($rutaFacturaXML);
        
        $ch = curl_init($url);
        curl_setopt($ch, CURLOPT_POST, 1);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_SSLCERT, PATH_TEMP . '/client.pem');
        curl_setopt($ch, CURLOPT_SSLKEY, PATH_TEMP . '/key.pem');
        curl_setopt($ch, CURLOPT_CAINFO, PATH_TEMP . '/ca.pem');
        curl_setopt($ch, CURLOPT_SSLKEYPASSWD, $clave);
        curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 1);
        curl_setopt($ch, CURLOPT_POSTFIELDS, $xmlStr);
        curl_setopt($ch, CURLOPT_HTTPHEADER, array('Content-Type: application/xml; charset=utf-8')); 
        $resp = curl_exec($ch); 


Hola luismartin,

Cuando ya tienes convertido el certificado a formato PEM, ya no necesitas la clave.
Puedes quitar la línea curl_setopt($ch, CURLOPT_SSLKEYPASSWD, $clave);
Tampoco se necesita el certificado CA de la Autoridad Certificadora.
Así que puede quitar también curl_setopt($ch, CURLOPT_CAINFO, PATH_TEMP . '/ca.pem');

Saludos

[luismartin]

Cita:

Empezado por Sistel

Hola luismartin,

Cuando ya tienes convertido el certificado a formato PEM, ya no necesitas la clave.
Puedes quitar la línea curl_setopt($ch, CURLOPT_SSLKEYPASSWD, $clave);
Tampoco se necesita el certificado CA de la Autoridad Certificadora.
Así que puede quitar también curl_setopt($ch, CURLOPT_CAINFO, PATH_TEMP . '/ca.pem');

Saludos

Gracias Sistel! No tenía ni idea. El tema de los certificados y firmas digitales es muy alien para mi.

[Sistel]

Cita:

Empezado por luismartin

Gracias Sistel! No tenía ni idea. El tema de los certificados y firmas digitales es muy alien para mi.

Normal.
Para mí también el tema de certificados digitales era territorio comanche ... hasta hace poco.

Saludos