1.
a. b.
FF - Gestión de certificados para servicios web en los ambientes de homologaciónContenido
ContenidoIntroducciónConceptos básicosComo generar una solicitud de certificado (CSR) usando OpenSSLComo crear una autorización de accesoCómo hago para generar un certificado para la CUIT de una empresaFiscal Flow – Creación de una Nueva compañía Modo Testing IMPORTANTE
IntroducciónEl presente manual tiene como objetivo capacitar al usuario que desee implementar aplicaciones que consuman de los webservices de AFIP, para ello se dispone de la herramienta WSASS (Autogestión de certificados para Servicios Web en los ambientes de homologación). WSASS es una aplicación online que permite al usuario gestionar sus certificados digitales para el Entorno de Testing .exclusivamente
Conceptos básicosUsando el WSASS se podrá solicitar acceso a los diversos webservices (denominados “servicios”) que están disponibles en el ambiente de testing/homologación de la AFIP. Básicamente, el WSASS genera certificados digitales para testing. Dichos certificados digitales no son de aplicación para el ambiente de producción.
Para poder acceder a un servicio en ambiente de testing, la aplicación a programar debe utilizar el certificado generado en el WSASS. Entre otras cosas, el certificado contiene un Distinguished Name (DN) que incluye una CUIT. Cada DN será identificado por un “alias” o “nombre simbólico”, que actúa como una abreviación.
Como generar una solicitud de certificado (CSR) usando OpenSSLPara obtener el certificado por primera vez, hay que dar de alta al DN. Para esto hay que presentar una “solicitud de certificado” o “Certificate Signing Request” (CSR). El CSR se genera usando la herramienta OpenSSL. En caso de no tenerlo instalado, puede bajar el utilitario de:
http://www.slproweb.com//products/Win32OpenSSL.html
http://www.openssl.org
Ahora bien, los pasos siguientes son:
Generación de la clave privada
La misma debe ser en formato PKCS10 con un mínimo de 2048 bits.
Abrir una ventana de comando cuya carpeta inicial sea la sub carpeta bin donde se instaló openssl: C: \OpenSSL\binEjecutar desde la línea de comando: openssl genrsa -out privada 2048
1.
2.
a.
El archivo de la clave se guardará en la sub carpeta donde se instaló OPENSSLprivada bin .
IMPORTANTE: Conservar el archivo de la clave privada en un lugar seguro. Será necesaria, junto con el certificado creado a partir de ella, para firmar los mensajes.
Generación del CSR
Certificate Signing Request, que es la solicitud del certificado.
En la misma ventana de comando cuya carpeta inicial era la sub carpeta bin donde se instaló openssl: C: \OpenSSL\bin ejecutamos el siguiente archivo generado de la siguiente manera:
openssl req
-new
-key MiClavePrivada.key
-subj "/C=AR/O=Empresa/CN=Sistema/serialNumber=CUIT nnnnnnnnnnn"
-out MiPedidoCSR.csr
Donde hay que reemplazar:
MiClavePrivada.key por nombre del archivo elegido en el primer paso ( )privada
Empresa por el nombre de su empresa
Sistema por el nombre de su sistema cliente
nnnnnnnnnnn por la CUIT (sólo los 11 dígitos, sin guiones) de la empresa o del programador (persona jurídica)
MiPedidoCSR.csr por el nombre del archivo CSR que se va a crear ( )pedido
2.
1.
Por ejemplo, para una empresa llamada “ ”, un sistema llamado “ ”, la CUIT , con un archivo de clave privada llamado , así se crearía el CSR:Maria del Carmen Rudel Fiscal Flow 20123456789 privada
openssl req -new -key -subj "/C=AR/O= /CN= /serialNumber=CUIT " -out privada MiEmpresa Fiscal Flow 20123456789 pedido
b. Al finalizar esta primera parte en la carpeta bin habrá 2 archivos: privada y pedido (el cual será utilizado al momento de obtener el DN y el certificado). El archivo pedido deberá abrirlo con un editor (en lo posible block de notas o uno similar asegurándose que sea un editar que no agregue caracteres extras al abrirlo) y el contenido del archivo será similar a esto:
-----BEGIN CERTIFICATE REQUEST-----
MIIClTCCAX0CAQAwUDELMAkGA1UEBhMCQVIxEjAQBgNVBAoTCVNPUE9SVEVXUzES
MBAGA1UEAxMJU09QT1JURVdTMRkwFwYDVQQFExBDVUlUIDIwMTkwMTc4MTU0MIIB
IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyu7TZTjKEdXEZPR4wIhFOw1S
...
QMNYAgJ/J2Zyy2JzxtsHzZDN1oM1SJbG9KyA5Rp02QZMMMsMWIIYKQLsoM5QAPQH
DWxkDa8dm7tBylM3u5+XT5G+w1xH4WjRHViAmUH2U+hTmaVAj7qSxsQzR/5HWoKX
cnMXsTGvi/5Y9q9kuOw6csm43z5XvxT4BBBKZn6FqWqSwUKxVuaJU8Q=
-----END CERTIFICATE REQUEST-----
Como crear un certificado nuevo
Para crear un certificado nuevo, necesitamos tener acceso al portal de AFIP con CUIT y Clave Fiscal para ingresar a la aplicación web interactiva WSASS (Autogestión de certificados para Servicios Web en los ambientes de homologación). Aquí se detallará cómo adherirse a la misma.
Acceder con clave fiscal en el portal de AFIP http://www.afip.gob.ar
2. Ingresar la CUIT del usuario y su contraseña
3.
4.
Seleccionar el servicio “Administrador de Relaciones de Clave Fiscal”
En el Administrador de Relaciones pulsar “Adherir servicio”.
5.
6.
Seleccionar “Servicios interactivos” de AFIP
Elegir en la lista el servicio WSASS – Autogestión Certificados Homologación
7. Confirmo la operación
8. Cerrar la sesión y volver a acceder con clave fiscal. El servicio WSASS estará disponible
9. Al entrar a este servicio es posible que el navegador no lo reconozca como auténtico, como estamos generando un certificado de prueba, sin validez legal, podes seleccionar en opciones avanzadas continuar para forzar a que muestre la página, ignorando las cuestiones de seguridad.
10. Desde el panel a la izquierda podemos administrar todo lo referidos a certificados (no solo para el CUIT de la clave fiscal sino para otros CUIT por ejemplo, empresas) RECORDAR que se trata de certificados para homologación, sin valor fiscal.
Seleccionamos "nuevo certificado".
11. Los campos a ingresar en el formulario son:
1. . Es el alias o nombre simbólico del DN a crear. Este será el identificador por lo que debe ingresar un alias que no exista.Nombre simbólico del DN
2. . Es la CUIT del contribuyente (persona física). Debe ser la mismo CUIT que se incluyó en la solicitud del certificado CSR (en el campo serialNumber del CSR). Este campo tiene CUIT del contribuyenteautomáticamente la CUIT del usuario conectado al WSASS y no puede editarse.
3. . Es la solicitud de certificado (Certificate Signing Request, CSR) en formato PKCS10. El CSR debe contener en el SerialNumber el valor “CUIT nnnnn”, donde nnnnn Solicitud de certificado en formato PKCS10es el número de CUIT del usuario conectado al WSASS.
Aquí, debemos ir a buscar el archivo generado cuando realizamos la solicitud de CSR (3.2. Generación del CSR. b)), el cual se encuentra en la sub carpeta bin donde se instaló openssl.
Copiamos el contenido y lo pegamos en la celda 3. Solicitud de certificado en formato PKCS10
Luego presionar “Crear DN y Obtener Certificado”.
Si no hay errores, el sistema devuelve un certificado x509 en formato PEM.
El aspecto del certificado es similar a lo siguiente:
-----BEGIN CERTIFICATE-----
MIIDSzCCAjOgAwIBAgIIS7JIkcfpQhswDQYJKoZIhvcNAQENBQAwMzEVMBMGA1UEAwwM
Q29tcHV0YWRvcmVzMQ0wCwYDVQQKDARBRklQMQswCQYDVQQGEwJBUjAeFw0xNjA5
MzAxMTUzMjhaFw0xODA5MzAxMTUzMjhaMDYxGTAXBgNVBAMMEENlcnRfZ2xhcnJpZX
JhXzExGTAXBgNVBAUTEENVSVQgMjAxOTAxNzgxNTQwggEiMA0GCSqGSIb3DQEBAQUA
A4IBDwAwggEKAoIBAQDK7tNlOMoR1cRk9HjAiEU7
...
z2JEQXFPkcxcG6DE9v4Q/8WSaiPRxbzjOkC5+cEuEtqxlwGsCDeFjSRco05XFWmzXg8jLrJIEk
8ljFRvrIR9Shm/p6RxU6ZeBkyeNAu3c5ShTyL0tntIEoXDpx4wqZ2ZkA4tinmbbI7LnnCyaniK
w27hbkQkLybJPc1LIzJb9tRzFQUu9PreRj1ggnhzzo/qtCicv6oVoi7nZW05lO5mG8JxJQhEFfn
VgZqw0QRQQb4/Ouequfgw84C1/dD2TKH9RsjiJ8tiVvsCuz5tjkb727tH/ZW3ce2bG9t4QQ==
-----END CERTIFICATE-----
12. Copiamos y pegamos en un archivo de texto nuevo (usar preferentemente bloc de notas a un editor simple que no agregue caracteres de formato) para grabarlo en su disco duro local (por ejemplo, en un archivo c).ertificado.pem
Como crear una autorización de accesoEl certificado que creamos en la sección anterior debe ser asociado al web service a usar. Es por ello que necesitamos crear una autorización.
1. 2. 3. 4. 5.
Los pasos son los siguientes:
a. Ingresamos al servicio WSASS Autoservicio de Acceso a Webservice. Seleccionar Crear Autorización a servicio.
Los campos a ingresar en el formulario son:
Nombre simbólico del DN a autorizar. Es el alias o nombre simbólico del DN a autorizar acceso al servicio. Debe haberse creado previamente. Elegir el alias de la lista desplegable.CUIT del DN a autorizar. Es la CUIT del DN existente, que va a ser autorizado a usar el servicio en representación de un contribuyente. Este campo no puede modificarse.CUIT representado. Es la CUIT representada por el DN. Ingresar la CUIT de una persona física o jurídica (empresa).CUIT de quien genera la autorización. Es la CUIT de quien genera esta autorización (CUIT autorizante). Este campo tiene automáticamente la CUIT del usuario conectado al WSASS y puede editarse.noServicio al que desea acceder. Es el nombre del servicio al que el DN será autorizado a acceder, que se elige de la lista de servicios desplegable. Asociarlo al servicio deseado.
b. Luego presionar el botón “Crear Autorización de Acceso”.
Ver que no se produjeron errores. Caso contrario, la Autorización fue creada.
Cómo hago para generar un certificado para la CUIT de una empresaLos certificados generados por WSASS se emiten para la CUIT de una persona física. Para crear una autorización para una CUIT REPRESENTADA (por ejemplo, la de una empresa), hay que crear una siempreautorización para el certificado (Crear Autorización a Servicio), indicando como la de la empresa representar y seleccionar el servicio deseado.CUIT REPRESENTADA
Otros servicios disponibles en WSASS
1.
Las funcionalidades disponibles en el menú del WSASS son:
Servicios: Muestra el catálogo de servicios disponibles.Certificados: Muestra la lista de certificados que ha creado el usuario.Eliminar autorización a servicio: Formulario para eliminar una autorización de acceso a servicio por parte de un certificado.Autorizaciones: Muestra la lista de autorizaciones creadas por el usuario.Agregar certificado a alias: Formulario para solicitar la creación de un certificado adicional asociado.
Fiscal Flow – Creación de una Nueva compañía Modo Testing IMPORTANTEConexión a la consola de administración de Fiscal Flow
La consola de administración es una herramienta Web, por lo tanto la conexión a la consola podrá ser remota o local, a través del uso de un browser como Internet Explorer, Mozilla Firefox o Chrome.
Para conectarse a la consola es necesario ingresar a la página:
URL: http://www.fiscalflow.com.ar/
Una vez conectado a la consola, el sistema solicitará las credenciales de acceso, con lo cual se deberá ingresar el nombre de usuario y la contraseña en los campos habilitados
Email:
Password:
Compañía:
Iniciar sesión
2. Compañías
Para acceder a esta pantalla se debe seleccionar la opción del menú “Negocio/Compañías”.
2.1 Creación de una nueva compañía
Para crear una nueva compañía se debe oprimir el botón “Nuevo”, completar los campos requeridos y luego presionar “Guardar”
- ¿Modo Testing? IMPORTANTE. Tildar la opción, es fundamental ya que estamos configurando una nueva compañía para el Entorno de Testing exclusivamente.
- ¿Envía factura por correo al cliente?
- Código
- Nombre
- Dirección
- Ciudad
- Teléfono
- Nro Identificación
- Nro. IIBB
- Inicio de actividades
- Rubro
- Expiración de la cuenta
- Aquí utilizaremos el archivo que generamos a través de WSASS Autoservicio de Acceso a WebServices (Punto 3 Como generar una solicitud de certificado (CSR)). El mismo lo encontraremos en la sub Clave Privada carpeta bin donde se instaló openssl con el nombre que le hayamos dado durante su creación ( ).privada
- Aquí utilizaremos el archivo de texto nuevo que generamos a través de WSASS Autoservicio de Acceso a WebServices (Punto 5 Como crear un certificado nuevo. Item m.). El mismo lo encontraremos en Certificado la sub carpeta bin donde se instaló openssl con el nombre que le hayamos dado durante su creación ( ).certificado.pem
- ¿Habilita factura electrónica? Tildar la opción
- ¿Habilita impresoras 2G?
- ¿Activo? Tildar la opción
3. Tiendas
Para poder operar, necesitamos crear una tienda de prueba.
Para acceder a esta pantalla se debe seleccionar la opción del menú “Negocio/Tiendas”.
3.1 Creación de una nueva tienda
Para crear una nueva tienda se debe oprimir el botón “Nuevo”, completar los campos requeridos y luego presionar “Guardar”
- Código
- Nombre
- Empresa (seleccionando de la lista de empresas disponibles, seleccionaremos la compañía creada en Modo Testing)
- ¿Activo? Tildar la opción