Los ambientes disponibles para el WSAA (Webservice de Autenticación y Autorización) son:

• Ambiente de Testing/Homologación: https://wsaahomo.afip.gov.ar/ws/services/LoginCms?WSDL

• Ambiente de Producción: https://wsaa.afip.gov.ar/ws/services/LoginCms?WSDL

El error "Computador no autorizado a acceder a los servicios de AFIP" ocurre cuando:

• En el entorno de producción se envía un request al WSAA utilizando un certificado válido para el entorno de testing.

• En el entorno de testing se envía un request al WSAA utilizando un certificado válido para el entorno de producción.

El error "Certificado no emitido por AC de confianza" ocurre cuando:

• Se está utilizando un certificado no emitido por la Autoridad Certificante (AC) de la AFIP.

• Se está utilizando un certificado AFIP de producción para acceder a un webservice de homologación (o viceversa, usted esta usando un certificado AFIP de homologación para acceder a un webservice de producción). Para el ambiente de producción de la AFIP debe usar un certificado de producción. De forma similar, para el ambiente de homologación de la AFIP debe usar un certificado de homologación.

El error "Computador no autorizado a acceder al servicio" ocurre cuando:

• No se encuentre autorizado el certificado para acceder al servicio aun. Para subsanar esta situación debe seguir los pasos del capítulo 6 del Manual del Usuario del WSASS: http://www.afip.gob.ar/ws/WSASS/WSASS_manual.pdf
  En caso encontrarse en ambiente de producción, la autorización se denomina "delegación" y se hace acorde al manual: http:// www.afip.gob.ar/ws/WSAA/ADMINREL.DelegarWS.pdf

• Se firme el mensaje con otro certificado al que corresponde.

• No se haya ingresado el ID del servicio correcto en el elemento 'service' del ticket request.

Para solucionar este inconveniente, al momento de generar el TRA no deberán incluirse los campos “source” y “destination” (los mismos son opcionales).

Es aconsejable elegir esta opción para evitar inconvenientes en el futuro si se cambian los Distinguished Name (DN) de los certificados.

El error "El CEE ya posee un TA válido para el acceso al WSN solicitado" ocurre cuando:

• Se solicitan al Webservice de Autenticación y Autorización (WSAA) varios tickets de acceso (TA), para un mismo servicio, durante un corto lapso.
  Ese lapso preventivo es de 10 minutos en el WSAA de Testing y de 2 minutos en el WSAA de Producción. Debe tenerse en cuenta que estos valores pueden ser modificados dinámicamente y sin aviso previo.

• Si se solicita más de un ticket de acceso dentro del lapso de retención, estando vigente el anterior.
  El sistema debe solicitar al Webservice de Autenticación y Autorización un ticket de acceso y luego acceder al webservice de negocio múltiples veces mientras el TA siga vigente (12 horas). Cuando deja de estar vigente, debe volver a solicitar un TA nuevo. La vigencia del ticket de acceso es conocida mediante el campo “expirationTime”, valor recibido al obtener un TA exitoso.

El error “El tiempo de expiración es inferior a la hora actual” ocurre cuando:

• La sincronización de Clocks no fue realizada. La fecha y hora del computador que genera el LoginTicketRequest.xml (TRA) y recibe el ticket de acceso (TA) debe estar sincronizada. Dicha sincronización puede realizarse a través del protocolo NTP con el servidor “time.afip.gov.ar” u otro servidor que preste dicho servicio.

• El equipo donde corre el cliente tiene incorrectamente ajustada la zona horaria, la cual debe ser GMT-3.

Este error se da porque el valor del campo “expirationTime” del TRA (LoginTicketRequest.xml) es inferior a la hora actual.

El error “GenerationTime en el futuro o más de 24 horas de antigüedad” ocurre cuando:

• El formato de fecha/hora utilizados no cumple con el formato requerido. Un ejemplo del formato válido es: `2018-03-21T12:57:42`.

• El formato, aunque sea correcto, puede estar indicando una fecha posterior a la fecha actual. En este caso, debe verificarse que la computadora donde corre el sistema esté con la hora sincronizada contra un servidor NTP.
  Es aconsejable, que en la programación donde se construye el valor del “generationTime”, se tome el valor de fecha del sistema y se resten algunos minutos para ajustar potenciales problemas de sincronización.

Si el campo “generationTime” del LoginTicketRequest.xml (TRA) está correctamente generado, la causa del error puede ser alguna de las siguientes:

• La sincronización de Clocks no fue realizada. La fecha y hora del computador que genera el LoginTicketRequest.xml (TRA) y recibe el ticket de acceso (TA) debe estar sincronizada. Dicha sincronización puede realizarse a través del protocolo NTP con el servidor “time.afip.gov.ar” u otro servidor que preste dicho servicio.

• El equipo donde corre el cliente tiene incorrectamente ajustada la zona horaria, la cual debe ser GMT-3.

El error “GenerationTime en el futuro o más de 24 horas de antigüedad” indica que hay un problema en el valor provisto por el sistema en el campo 'generationTime' del LoginTicketRequest.xml (TRA).

El error "Firma inválida o algoritmo no soportado" (cms.sign.invalid, cms.bad y cms.bad.base64) ocurre cuando no se proporciona correctamente el mensaje criptográfico firmado.

Para subsanar la situación, se recomienda verificar que no se trate de un certificado inválido o expirado, que los parámetros sean los correctos (servicio o tiempo de vida), o se esté accediendo al ambiente equivocado (el certificado es de producción y el servidor de homologación, o viceversa.)

El error "No se ha podido interpretar el XML contra el SCHEMA" ocurre cuando:

• El formato XML del LoginTicketRequest.xml (TRA) es incorrecto. En este caso deben respetarse las mayúsculas y minúsculas del XML.

• El formato de la fecha en los campos “generationTime” y “expirationTime” del TRA es incorrecto. Un ejemplo de formato correcto de fecha es: `2018-01-29T13:52:57.467-03:00`.

• La fecha o la hora son inválidas (ejemplo: 31 de Febrero o que la hora sea 25:00).

• El ID de servicio excede los 35 caracteres.

• El mensaje firmado fue mal generado.