1.

a. b.

FF - Gestión de certificados para servicios web en los ambientes de homologaciónContenido

ContenidoIntroducciónConceptos básicosComo generar una solicitud de certificado (CSR) usando OpenSSLComo crear una autorización de accesoCómo hago para generar un certificado para la CUIT de una empresaFiscal Flow – Creación de una Nueva compañía Modo Testing IMPORTANTE

IntroducciónEl presente manual tiene como objetivo capacitar al usuario que desee implementar aplicaciones que consuman de los webservices de AFIP, para ello se dispone de la herramienta WSASS (Autogestión de certificados para Servicios Web en los ambientes de homologación). WSASS es una aplicación online que permite al usuario gestionar sus certificados digitales para el Entorno de Testing .exclusivamente

Conceptos básicosUsando el WSASS se podrá solicitar acceso a los diversos webservices (denominados “servicios”) que están disponibles en el ambiente de testing/homologación de la AFIP. Básicamente, el WSASS genera certificados digitales para testing. Dichos certificados digitales no son de aplicación para el ambiente de producción.

Para poder acceder a un servicio en ambiente de testing, la aplicación a programar debe utilizar el certificado generado en el WSASS. Entre otras cosas, el certificado contiene un Distinguished Name (DN) que incluye una CUIT. Cada DN será identificado por un “alias” o “nombre simbólico”, que actúa como una abreviación.

Como generar una solicitud de certificado (CSR) usando OpenSSLPara obtener el certificado por primera vez, hay que dar de alta al DN. Para esto hay que presentar una “solicitud de certificado” o “Certificate Signing Request” (CSR). El CSR se genera usando la herramienta OpenSSL. En caso de no tenerlo instalado, puede bajar el utilitario de:

http://www.slproweb.com//products/Win32OpenSSL.html

http://www.openssl.org

Ahora bien, los pasos siguientes son:

Generación de la clave privada

La misma debe ser en formato PKCS10 con un mínimo de 2048 bits.

Abrir una ventana de comando cuya carpeta inicial sea la sub carpeta bin donde se instaló openssl:   C: \OpenSSL\binEjecutar desde la línea de comando:  openssl genrsa -out privada 2048

1.

2.

a.

 

El archivo de la clave se guardará en la sub carpeta donde se instaló OPENSSLprivada bin .

IMPORTANTE: Conservar el archivo de la clave privada en un lugar seguro. Será necesaria, junto con el certificado creado a partir de ella, para firmar los mensajes.

Generación del CSR 

Certificate Signing Request, que es la solicitud del certificado.

En la misma ventana de comando cuya carpeta inicial era la sub carpeta bin donde se instaló openssl:  C: \OpenSSL\bin ejecutamos el siguiente archivo generado de la siguiente manera:

                   openssl req

                   -new

                   -key MiClavePrivada.key

                   -subj "/C=AR/O=Empresa/CN=Sistema/serialNumber=CUIT nnnnnnnnnnn"

                   -out MiPedidoCSR.csr

           Donde hay que reemplazar:

           MiClavePrivada.key por nombre del archivo elegido en el primer paso ( )privada

           Empresa por el nombre de su empresa

           Sistema por el nombre de su sistema cliente

           nnnnnnnnnnn por la CUIT (sólo los 11 dígitos, sin guiones) de la empresa o del programador (persona jurídica)

           MiPedidoCSR.csr por el nombre del archivo CSR que se va a crear ( )pedido

 

2.

1.

  Por ejemplo, para una empresa llamada “ ”, un sistema llamado “ ”, la CUIT , con un archivo de clave privada llamado , así se crearía el CSR:Maria del Carmen Rudel Fiscal Flow 20123456789 privada

 

     openssl req -new -key  -subj "/C=AR/O= /CN= /serialNumber=CUIT " -out privada MiEmpresa Fiscal Flow 20123456789 pedido

    b. Al finalizar esta primera parte en la carpeta bin habrá 2 archivos: privada y pedido (el cual será utilizado al momento de obtener el DN y el certificado). El archivo pedido deberá abrirlo con un editor (en lo posible block de notas o uno similar asegurándose que sea un editar que no agregue caracteres extras al abrirlo) y el contenido del archivo será similar a esto:

-----BEGIN CERTIFICATE REQUEST-----

MIIClTCCAX0CAQAwUDELMAkGA1UEBhMCQVIxEjAQBgNVBAoTCVNPUE9SVEVXUzES

MBAGA1UEAxMJU09QT1JURVdTMRkwFwYDVQQFExBDVUlUIDIwMTkwMTc4MTU0MIIB

IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyu7TZTjKEdXEZPR4wIhFOw1S

...

QMNYAgJ/J2Zyy2JzxtsHzZDN1oM1SJbG9KyA5Rp02QZMMMsMWIIYKQLsoM5QAPQH

DWxkDa8dm7tBylM3u5+XT5G+w1xH4WjRHViAmUH2U+hTmaVAj7qSxsQzR/5HWoKX

cnMXsTGvi/5Y9q9kuOw6csm43z5XvxT4BBBKZn6FqWqSwUKxVuaJU8Q=

-----END CERTIFICATE REQUEST-----

Como crear un certificado nuevo

Para crear un certificado nuevo, necesitamos tener acceso al portal de AFIP con CUIT y Clave Fiscal para ingresar a la aplicación web interactiva WSASS (Autogestión de certificados para Servicios Web en los ambientes de homologación). Aquí se detallará cómo adherirse a la misma.

Acceder con clave fiscal en el portal de AFIP http://www.afip.gob.ar

2. Ingresar la CUIT del usuario y su contraseña

3.

4.

Seleccionar el servicio “Administrador de Relaciones de Clave Fiscal”

En el Administrador de Relaciones pulsar “Adherir servicio”.

5.

6.

Seleccionar “Servicios interactivos” de AFIP

Elegir en la lista el servicio WSASS – Autogestión Certificados Homologación

        7.  Confirmo la operación

           8. Cerrar la sesión y volver a acceder con clave fiscal. El servicio WSASS estará disponible

           9.  Al entrar a este servicio es posible que el navegador no lo reconozca como auténtico, como estamos generando un certificado de prueba, sin validez legal, podes seleccionar en opciones avanzadas continuar para forzar a que muestre la página, ignorando las cuestiones de seguridad.

           10.  Desde el panel a la izquierda podemos administrar todo lo referidos a certificados (no solo para el CUIT de la clave fiscal sino para otros CUIT por ejemplo, empresas) RECORDAR que se trata de certificados para homologación, sin valor fiscal.

Seleccionamos "nuevo certificado".

          11.  Los campos a ingresar en el formulario son:

              1. . Es el alias o nombre simbólico del DN a crear. Este será el identificador por lo que debe ingresar un alias que no exista.Nombre simbólico del DN

              2. . Es la CUIT del contribuyente (persona física). Debe ser la mismo CUIT que se incluyó en la solicitud del certificado CSR (en el campo serialNumber del CSR). Este campo tiene CUIT del contribuyenteautomáticamente la CUIT del usuario conectado al WSASS y no puede editarse.

              3. . Es la solicitud de certificado (Certificate Signing Request, CSR) en formato PKCS10. El CSR debe contener en el SerialNumber el valor “CUIT nnnnn”, donde nnnnn Solicitud de certificado en formato PKCS10es el número de CUIT del usuario conectado al WSASS.

              Aquí, debemos ir a buscar el archivo generado cuando realizamos la solicitud de CSR (3.2. Generación del CSR. b)), el cual se encuentra en la sub carpeta bin donde se instaló openssl.

              Copiamos el contenido y lo pegamos en la celda 3. Solicitud de certificado en formato PKCS10

              Luego presionar “Crear DN y Obtener Certificado”.

              Si no hay errores, el sistema devuelve un certificado x509 en formato PEM.

              El aspecto del certificado es similar a lo siguiente:

-----BEGIN CERTIFICATE-----

MIIDSzCCAjOgAwIBAgIIS7JIkcfpQhswDQYJKoZIhvcNAQENBQAwMzEVMBMGA1UEAwwM

Q29tcHV0YWRvcmVzMQ0wCwYDVQQKDARBRklQMQswCQYDVQQGEwJBUjAeFw0xNjA5

MzAxMTUzMjhaFw0xODA5MzAxMTUzMjhaMDYxGTAXBgNVBAMMEENlcnRfZ2xhcnJpZX

JhXzExGTAXBgNVBAUTEENVSVQgMjAxOTAxNzgxNTQwggEiMA0GCSqGSIb3DQEBAQUA

A4IBDwAwggEKAoIBAQDK7tNlOMoR1cRk9HjAiEU7

...

z2JEQXFPkcxcG6DE9v4Q/8WSaiPRxbzjOkC5+cEuEtqxlwGsCDeFjSRco05XFWmzXg8jLrJIEk

8ljFRvrIR9Shm/p6RxU6ZeBkyeNAu3c5ShTyL0tntIEoXDpx4wqZ2ZkA4tinmbbI7LnnCyaniK

w27hbkQkLybJPc1LIzJb9tRzFQUu9PreRj1ggnhzzo/qtCicv6oVoi7nZW05lO5mG8JxJQhEFfn

VgZqw0QRQQb4/Ouequfgw84C1/dD2TKH9RsjiJ8tiVvsCuz5tjkb727tH/ZW3ce2bG9t4QQ==

-----END CERTIFICATE-----

            12. Copiamos y pegamos en un archivo de texto nuevo (usar preferentemente bloc de notas a un editor simple que no agregue caracteres de formato) para grabarlo en su disco duro local (por ejemplo, en un archivo c).ertificado.pem

Como crear una autorización de accesoEl certificado que creamos en la sección anterior debe ser asociado al web service a usar. Es por ello que necesitamos crear una autorización.

1. 2. 3. 4. 5.

Los pasos son los siguientes:

   a. Ingresamos al servicio WSASS Autoservicio de Acceso a Webservice. Seleccionar Crear Autorización a servicio.

       Los campos a ingresar en el formulario son:

Nombre simbólico del DN a autorizar. Es el alias o nombre simbólico del DN a autorizar acceso al servicio. Debe haberse creado previamente. Elegir el alias de la lista desplegable.CUIT del DN a autorizar. Es la CUIT del DN existente, que va a ser autorizado a usar el servicio en representación de un contribuyente. Este campo no puede modificarse.CUIT representado. Es la CUIT representada por el DN. Ingresar la CUIT de una persona física o jurídica (empresa).CUIT de quien genera la autorización. Es la CUIT de quien genera esta autorización (CUIT autorizante). Este campo tiene automáticamente la CUIT del usuario conectado al WSASS y puede editarse.noServicio al que desea acceder. Es el nombre del servicio al que el DN será autorizado a acceder, que se elige de la lista de servicios desplegable. Asociarlo al servicio deseado.

    b. Luego presionar el botón “Crear Autorización de Acceso”.

    Ver que no se produjeron errores. Caso contrario, la Autorización fue creada.

Cómo hago para generar un certificado para la CUIT de una empresaLos certificados generados por WSASS se emiten para la CUIT de una persona física. Para crear una autorización para una CUIT REPRESENTADA (por ejemplo, la de una empresa), hay que crear una siempreautorización para el certificado (Crear Autorización a Servicio), indicando como la de la empresa representar y seleccionar el servicio deseado.CUIT REPRESENTADA

Otros servicios disponibles en WSASS

1.

Las funcionalidades disponibles en el menú del WSASS son:

Servicios: Muestra el catálogo de servicios disponibles.Certificados: Muestra la lista de certificados que ha creado el usuario.Eliminar autorización a servicio: Formulario para eliminar una autorización de acceso a servicio por parte de un certificado.Autorizaciones: Muestra la lista de autorizaciones creadas por el usuario.Agregar certificado a alias: Formulario para solicitar la creación de un certificado adicional asociado.

Fiscal Flow – Creación de una Nueva compañía Modo Testing IMPORTANTEConexión a la consola de administración de Fiscal Flow

La consola de administración es una herramienta Web, por lo tanto la conexión a la consola podrá ser remota o local, a través del uso de un browser como Internet Explorer, Mozilla Firefox o Chrome.

Para conectarse a la consola es necesario ingresar a la página:

URL: http://www.fiscalflow.com.ar/

Una vez conectado a la consola, el sistema solicitará las credenciales de acceso, con lo cual se deberá ingresar el nombre de usuario y la contraseña en los campos habilitados

Email: 

Password:

Compañía:

 

Iniciar sesión

         

       2. Compañías

Para acceder a esta pantalla se debe seleccionar la opción del menú “Negocio/Compañías”.

        2.1  Creación de una nueva compañía

Para crear una nueva compañía se debe oprimir el botón “Nuevo”, completar los campos requeridos y luego presionar “Guardar”

-        ¿Modo Testing? IMPORTANTE. Tildar la opción, es fundamental ya que estamos configurando una nueva compañía para el Entorno de Testing exclusivamente.

-        ¿Envía factura por correo al cliente?

-        Código

-        Nombre

-        Dirección

-        Ciudad

-        Teléfono

-        Email

-        Nro Identificación

-        Nro. IIBB

-        Inicio de actividades

-        Rubro

-        Expiración de la cuenta

-        Aquí utilizaremos el archivo que generamos a través de WSASS Autoservicio de Acceso a WebServices (Punto 3 Como generar una solicitud de certificado (CSR)). El mismo lo encontraremos en la sub Clave Privada carpeta bin donde se instaló openssl con el nombre que le hayamos dado durante su creación ( ).privada

-        Aquí utilizaremos el archivo de texto nuevo que generamos a través de WSASS Autoservicio de Acceso a WebServices (Punto 5 Como crear un certificado nuevo. Item m.). El mismo lo encontraremos en Certificado la sub carpeta bin donde se instaló openssl con el nombre que le hayamos dado durante su creación ( ).certificado.pem

-        ¿Habilita factura electrónica?  Tildar la opción

-        ¿Habilita impresoras 2G?

-        ¿Activo? Tildar la opción

     3. Tiendas

Para poder operar, necesitamos crear una tienda de prueba.

Para acceder a esta pantalla se debe seleccionar la opción del menú “Negocio/Tiendas”.

 

        3.1 Creación de una nueva tienda

Para crear una nueva tienda se debe oprimir el botón “Nuevo”, completar los campos requeridos y luego presionar “Guardar”

-        Código

-        Nombre

-        Empresa (seleccionando de la lista de empresas disponibles, seleccionaremos la compañía creada en Modo Testing)

-        ¿Activo? Tildar la opción