Leer certificado pfx para webservice

[isnagil]

Hola Garada, buenos días.

Muchas gracias por tu ayuda. Es maravillosa.

Una duda. Has hecho cambios cambios en el código respecto a la primera versión:

DataBlob: CRYPT_BIT_BLOB; por DataBlob: CRYPT_DATA_BLOB;
PKCS12_INCLUDE_EXTENDED_PROPERTIES = $0010 por 0

Es que entonces habría que cambiar la función:

Código:

function PFXImportCertStore(var pPFX: CRYPT_BIT_BLOB;
                          szPassword: LPCWSTR;
                          dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

¿Cuál es la versión correcta?

De todas formas si pongo

Código:

function PFXImportCertStore(
  var pPFX: CRYPT_BIT_BLOB; szPassword: LPCWSTR; dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

y cambio el tipo del datablob por un CRYPT_BIT_BLOB me sigue dando un error de "types of actual and formal var parameters must be identical"

[isnagil]

Hola,

He cambiado el sitio donde declaro la función PFXImportCertStore. Lo he cambiado aquí:

Código:

function CryptUIDlgSelectCertificateFromStore(hCertStore: HCERTSTORE;
                                              hwnd: HWND;
                                              pwszTitle: LPCWSTR;
                                              pwszDisplayString: LPCWSTR;
                                              dwDontUseColumn: DWORD;
                                              dwFlags: DWORD;
                                              pvReserved: Pointer): PCCERT_CONTEXT; stdcall; forward;
{$NODEFINE CryptUIDlgSelectCertificateFromStore}

function PFXImportCertStore(
  var pPFX: CRYPT_BIT_BLOB; szPassword: LPCWSTR; dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

Y ahora no me da error, cambiando el tipo de datablob.

Lo que pasa es que me da otros errores:

No me reconoce ni Enter ni Exit del tipo Monitor:

Código:

TMonitor.Enter(ARequest);

ni

Código:

TMonitor.Exit(ARequest);

Undeclared identifier

En dicha unidad: System.Net.HttpClient.Win;

[isnagil]

Al final he dejado el evento así:

Código Delphi [-]
function TWinHTTPClient.DoClientCertificateAccepted(const ARequest: THTTPRequest; const AnIndex: Integer): Boolean;
// Cambiamos el contenido del evento por el webservice
{var
  LRequest: TWinHTTPRequest;
begin
  inherited;
  LRequest := TWinHTTPRequest(ARequest);
  Result := WinHttpSetOption(LRequest.FWRequest, WINHTTP_OPTION_CLIENT_CERT_CONTEXT, FWinCertList[AnIndex], SizeOf(CERT_CONTEXT) );}
procedure CheckError(Puntero: Pointer);
  begin
    if not Assigned(Puntero) then
      RaiseLastOSError;
  end;

const
  CERT_COMPARE_HAS_PRIVATE_KEY = 21;
  PKCS12_INCLUDE_EXTENDED_PROPERTIES  = $0010;
  CERT_FIND_HAS_PRIVATE_KEY = CERT_COMPARE_HAS_PRIVATE_KEY shl CERT_COMPARE_SHIFT;

  Pass = 'XXXXXXXXX';
var
  pStore: HCERTSTORE;
  pCert: PCERT_CONTEXT;
  DataBlob: CRYPT_BIT_BLOB;
  PFX: TBytes;

  LRequest: TWinHTTPRequest;
begin
  pStore := nil;
  pCert := nil;

  PFX := TFile.ReadAllBytes('XXXXXXXXXXXXXXXX.pfx');
  // Se comprueba que existe el certificado
  {if not FileExists(ExtractFilePath(Application.ExeName) + 'XXXXXXXXXXXXXXXX.pfx') then
  begin
    Showmessage('El nombre del certificado es incorrecto o no se encuentra');
    Exit;
  end;

  PFX := TFile.ReadAllBytes(ExtractFilePath(Application.ExeName) + 'XXXXXXXXXXXXXXXX.pfx');}

  try
    DataBlob.cbData := Length(PFX);
    DataBlob.pbData := @PFX[0];

    // Almacen temporal con el contenido del PFX
    pStore := PFXImportCertStore(DataBlob, PWideChar(Pass), PKCS12_INCLUDE_EXTENDED_PROPERTIES);
    CheckError(pStore);

    // Buscar un certificado con clave privada
    // Solo debería haber uno
    pCert := CertFindCertificateInStore(pStore,
                                        X509_ASN_ENCODING,
                                        0,
                                        CERT_FIND_HAS_PRIVATE_KEY, //CERT_FIND_ANY,
                                        nil,
                                        nil);
    CheckError(pCert);

    // Pasarlo al servicio, aquí está el equivalente al antiguo data
    LRequest := TWinHTTPRequest(ARequest);
    Result := WinHttpSetOption(LRequest.FWRequest, WINHTTP_OPTION_CLIENT_CERT_CONTEXT, pCert, SizeOf(CERT_CONTEXT));
  finally
    if Assigned(pCert) then
      CertFreeCertificateContext(pCert);

    if Assigned(pStore) then
      CertCloseStore(pStore, 0);
  end;
end;

Quería comprobar que existía el archivo del certificado antes de leerlo pero si declaro en el uses Vcl.Forms para que reconozca el objeto Application no me compila.

[Garada]

No hay que darlas.

Los cambios viene a que en esa unidad (System.Net.HttpClient.Win) ya viene declarado todo lo que necesitas y que antes estaba en Certhelper o declaradas a mano.

PKCS12_INCLUDE_EXTENDED_PROPERTIES es opcional, sólo informa que se quiere importar el certificado con las propiedades extendidas. Este flag sí que no estaba declarado en la unidad y como no afecta al funcionamiento, lo descarté.

El resto pues lo comentado, ya está en la unidad sin necesidad de añadir nada al USES. De hecho me extraña que no te diera error por declarar dos veces la función PFXImportCertStore

Si tienes que añadir alguna unidad al USES, añádela al principio de la lista para que no afecte a los originales (tendrán preferencia sobre las tuyos)

Cita:

Empezado por isnagil

Hola Garada, buenos días.

Muchas gracias por tu ayuda. Es maravillosa.

Una duda. Has hecho cambios cambios en el código respecto a la primera versión:

DataBlob: CRYPT_BIT_BLOB; por DataBlob: CRYPT_DATA_BLOB;
PKCS12_INCLUDE_EXTENDED_PROPERTIES = $0010 por 0

Es que entonces habría que cambiar la función:

Código:

function PFXImportCertStore(var pPFX: CRYPT_BIT_BLOB;
                          szPassword: LPCWSTR;
                          dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

[isnagil]

Entonces es que supongo que no tenemos el mismo código en la unidad System.Net.HttpClient.Win

En el que tengo yo en el que no aparece por ningún lado la función PFXImportCertStore, como te decía la he tenido que declarar yo y si declaro la unidad Vcl.Forms

Código Delphi [-]
function ShowSelectCertificateDialog(AParentWnd: UIntPtr;
  const ATitle, ADisplayString: string; var ACertificate): Boolean;

implementation

uses
  System.SysUtils,
  System.Classes,
  System.Generics.Collections,
  System.SyncObjs,
  System.Net.URLClient,
  System.NetConsts,
  System.Net.HttpClient,
  System.Types,
  Winapi.Windows,
  Winapi.WinHTTP,
  System.NetEncoding,
  System.Net.Mime,
  //Vcl.Forms,
  Vcl.Dialogs,
  System.IOUtils;

me salen errores:

Código Delphi [-]
TMonitor.Enter(ARequest);

Undeclared identifier: 'Enter'

[Garada]

Ok, yo lo he probado en Delphi 11 ya que la 10.4 ya me había caducado.

Es correcto entonces añadir la función a mano.

Para el error, cambia Tmonitor por System.Tmonitor

[isnagil]

ok, muchas gracias.

Con el system me funciona bien.

Ahora me piden otra cosa al respecto que me he jodido todo el invento.

Poder seleccionar un certificado según un parámetro que se le pasaría al componente HTTPRIO. Si condición elegimos el certificado 1 sino el 2

El problema es que al estar el procedimiento en la unidad System.Net.HttpClient.Win y no en el componente HTTPRIO no puedo pasarle ningún parámetro. He pensado en pasar el procedimiento al evento OnNeedClientCertificate pero los parámetros no son los mismos:

Código Delphi [-]
NeedClientCertificate(
  const Sender: TObject; const ARequest: TURLRequest;
  const ACertificateList: TCertificateList; var AnIndex: Integer);

Código Delphi [-]
DoClientCertificateAccepted(const ARequest: THTTPRequest; const AnIndex: Integer): Boolean;

El problema estaría aquí:

Código Delphi [-]
LRequest := TWinHTTPRequest(ARequest);
Result := WinHttpSetOption(LRequest.FWRequest, WINHTTP_OPTION_CLIENT_CERT_CONTEXT, pCert, SizeOf(CERT_CONTEXT));

[Garada]

Si añades al USES la unidad con el HTTPRIO puedes acceder a él.

Si quieres separarlo, podrías usar el parámetro AnIndex que es numérico y ya lees el certificado que te interese según su valor.

[isnagil]

El problema es que he creado una clase heredada de THTTPRIO

TMi_HTTPRIO = class(THTTPRIO)

Y como envío y recibo varios tipos de XML, voy creando distintos HTTPRIOs para cada tipo de XML que se envía, con lo cual no puedo acceder a él desde System.Net.HttpClient.Win, principalmente porque no sé ni cuál es.

Otra cosa, he comentado el procedimiento DoClientCertificateAccepted que he modificado en la unidad System.Net.HttpClient.Win y la aplicación elige el primer certificado que encuentra en el almacén y lo utiliza sin preguntar. O sea que realmente no sé si realiza alguna función. ¿Si desinstalo los certificados que tengo instalados cogerá el certificado que le indico del fichero pfx?

De todas formas sin poder seleccionarlo desde esta unidad no me sirve para mucho.

Por otra parte si utilizo el evento httWebNodeNeedClientCertificate cómo sé qué certificado tengo en según el parámetro AnIndex. Es decir si tengo varios instalados como sé cuál es cuál.