configurar certificados de confianza AFIP

Esta guia es genérica para el error de conexión "No se pudo establecer una relación de confizan, canal seguro SSL" o similares (could not establish trust...).

Y no se refiere al error "anulada la solicitud no se puede crear un canal seguro ssl/tls" en los servidores de prueba ni al anuncio de AFIP sobre cambios en el protocolo TLS para lo que debe versa esta guia:

Un certificado X.509 usado por AFIP permite que windows se conecte a la dirección de una página en modo https (seguro) y la reconozca como autentica. Generalmente se instala en forma transparente por el mismo Windows (no tiene relación con el certificado digital a nombre del cliente cuya función es inversa, que AFIP reconozca la conexión originada desde el cliente como auténtica). Pero en caso de recibir el error "No se pudo establecer una relación de confianza" o "Could not establish trust relationship" es necesario instalarlo manualmente .

Los certificados que autentican a la página de AFIP son emitidos por una entidad emisora que a su vez tiene su propio certificado de confianza (que la autentica como emisora válida) todos estos archivos de certificados deben estar incorporados al panel de control de Windows para que el navegador conecte con la página y la certifique como auténtica. Windows ya tiene incorporado los certificados de las entidades emisoras más comunes y suele hacer todo esto en forma automática.

La forma más rápida para probar que windows tiene todos los certificados de confianza es desde el navegador ir la URL del web sevice (cada web service de afip es un servidor diferente y tiene su propio certificado, recordar que el servidor de ticket de acceso, al que se conecta el método obtenerticketacceso es también un web service con su propio certificado de auntenticidad) y comprobar que el navegador muestra la página en modo https. Además todos los navegadores permiten, generalmente donde se ingresa la dirección de la página, hacer click en el modo https para inspeccionar el archivo de cetificado de esa página (y de la entidad emisora) y por ejemplo copiar esos archivos y moverlos a otra PC. Los certificados de confianza se pueden instalar en otra PC copiandolo y haciendo doble click sobre ellos. También todos los navegadores, en el caso que la página no se muestra en modo https, permiten hacer un click en el modo http y manualmente confirmar que esos certificados son válidos (el de AFIP y el de la entidad emisora) para que entonces si sean reconocidas como páginas autenticas. Recomendamos especial cuidado con estas operaciones, ya que instalar un certificados falso o que no es el verdadero hará que windows reconozca como autenticas páginas que no lo son. Solo bajar o instalar certificados de las URL oficiales. por ejemplo:

Desde el navegador ir a esta URL, en el caso del WSFEv1 producción es: https://servicios1.afip.gov.ar/wsfev1/service.asmx?wsdl

(las URL de todos los web service para cada modo figura en: en esta nota, teniendo en cuenta que todos los métodos para obtener ticket de acceso conectan al WSAA y cada método para autorizar conecta al servidor correspondiente como figura en el post)

Una vez identificada la URL del servidor que nos devuelve el error, seguir los pasos de esta guia (usando la URL obtenida en el paso anterior, la guia toma como base el WSFEv1 producción)

Dependiendo del navegador, nos aparecerá una pantalla como esta (solo es orientativa, no son los certificados actuales)

En este caso podemos ver claramente que al hacer click sobre la dirección de la página (en modo https) el navegador nos muestra que está página es autentica ya que están instalados en esta pc el certificado de confianza (porque el usuario los instaló manualmente o más probable porque le navegador los instaló automáticamente al reconocer que el certificado fue emitido por una entidad que ya tiene su certificado de confianza incluido en windows).

Si hacemos click e "conexion" veremos.

y en "datos del certificado" (imagen orientatativa, los certificados y nombre son renovados por AFIP):

En este caso el certificado que autentica al servidor WSFEv1 de AFIP fue emitido por una cadena de empresas certificantes.. Si alguno de estos certificados no estuvieran en la PC, la página no es reconocida como auténtica impidiendo la conexión. Recordar que cada web service es autenticado por sus propio archivo, por lo que es posible que en alguna pc se conecte a un web service y no a otra. Los archivos de confianza oficiales de AFIP suelen ser anunciados por la propia entidad en sus páginas (recordar solo instalar certificados de confianza si se está seguro de su procedencia).

Estos 2 certificados son incluidos en este archivo comprimido al pie de página (AFIP2020WSFEv1) (para el servidor real del WSFEv1 método f1caesolicitar), Para instalarlos descomprimirlos y hacer doble click en cada un de ellos (en orden primero raiz y luego intermedio) y seleccionando la opción "instalar certificado".

Aunque estos pasos pueden realizarse desde cualquier navegador. Como paso final asegurarse que la página del servidor pueda verse desde internet explorer. Ya que la interfaz usa windows para conectar y por ende el motor de internet explorer. En el caso de Windows XP (tener en cuenta que este sistema operativo ya no tiene soporte por parte de su fabricante) si la página puede verse desde otros navegadores pero no desde internet explorer aseguarse que windows XP esta completamente actualizado en especial con el SP 3. Ya que windows XP puede tener problemas para reconocer paginas certificados o cifradas con las últimas tecnologías.

En particular puede ser necesario instalar este parche de Microsoft y luego de reiniciar la PC volver a ejecutar los pasos de esta guia.

Para el caso del WSLSP además de esta guia tener en cuenta el método lspforzarCertificadoSSL como se muestra en el ejemplo