Falha
Essa rejeição ocorre quando o Certificado de Assinatura está inválido.
Solução
Verificar o Certificado de Assinatura inválido:
-
Certificado de Assinatura inexistente na mensagem (*validado também pelo Schema).
-
Versão difere "3".
-
Se informado, Basic Constraint deve ser true (não pode ser Certificado de AC).
-
KeyUsage não define "Assinatura Digital" e “Não Recusa”.