Foros Club Delphi

Foros Club Delphi (https://www.clubdelphi.com/foros/index.php)
-   Envío de registros y sus respuestas (https://www.clubdelphi.com/foros/forumdisplay.php?f=66)
-   -   Pasar certificado pfx a pem para CURL (https://www.clubdelphi.com/foros/showthread.php?t=97694)

ermendalenda 19-09-2025 12:04:16

Cita:

Empezado por Decanato (Mensaje 567886)
Si, estoy poniendo -k en todos los comandos curl que utilizo en el programa, pero no entiendo eso de que "no se te van a actualizar solo los certificados de curl"... a qué te refieres??

Sí, el comando curl utiliza certificados SSL/TLS para conexiones seguras, y estos certificados tienen una fecha de caducidad, lo que puede causar el error "cURL 60" si el certificado está expirado o no es válido.
Esos certificados sd hayan en un fichero de la instalación curl, y probablemente, si es el curl de windows, se autoactualicen, pero si es un curl que instalas tú, no se van a actualizar automaticamente, con -k te olvidas de tener que actualizarlo, ya que no va a usar la comprobacion de conexion segura.

Decanato 23-09-2025 10:52:40

Bueno, pues parece que la cosa van viento en popa con el tema certificados y curl. En definitiva los problemas que me encontré derivaban de la versión de CURL, estoy utilizando en los clientes la versión 8.16.0 y va perfecto, no me complico y se la pongo a todos. Si os digo una pequeña cosa, y es que yo que trabajo en VB.Net hay un detalle que igual le puede marear a alguien y es que desde la línea de comandos todas las pruebas van ok porque al meter el path del curl en las variables de entorno pues ya desde allí pilla la versión nueva, pero cuando se hace el shell desde el programa curiosamente no toma esas variables de entorno, ojo con eso... Con lo cual he parametrizado la ruta del curl que me interesa y me quito de historias.

Muchas gracias a todos y en especial a ermendalenda y delphi.com.ar por la ayuda y la paciencia que demostráis siempre, y más andando todos tan justo de tiempo como andamos.;)

rcarteaga 13-11-2025 17:55:47

Error
 
Buenas tardes. Siguiendo con el problema con los certificados.
He conseguido que funcione por fin al instalar la nueva version de CURL.
Pero algunos certificados me dan el siguiente error:

could not parse PKCS12 file, check password, LibreSSL error error:23FFF071:PKCS12 routines:CRYPTO_internal:mac verify failure


En el mismo pc unos me funcionan y otros me dan este error. Alguien puede darme una idea de como solucionarlo?

Gracias

ermendalenda 13-11-2025 18:14:46

Cita:

Empezado por rcarteaga (Mensaje 569796)
Buenas tardes. Siguiendo con el problema con los certificados.
He conseguido que funcione por fin al instalar la nueva version de CURL.
Pero algunos certificados me dan el siguiente error:

could not parse PKCS12 file, check password, LibreSSL error error:23FFF071:PKCS12 routines:CRYPTO_internal:mac verify failure


En el mismo pc unos me funcionan y otros me dan este error. Alguien puede darme una idea de como solucionarlo?

Gracias

Si has extraido y generado desde uno existente o has exportado, seguramente haya algún fallo en esa exportación y lp hayas generado sin contraseña, suponiendo que no te estes equivicando con la contraseña claro.
Si lo has expirtado con openssl seguramnete le has dejado sin contraseña cuando la pide en la generacion del pfx/pt2

rcarteaga 13-11-2025 18:18:44

Cita:

Empezado por ermendalenda (Mensaje 569797)
Si has extraido y generado desde uno existente o has exportado, seguramente haya algún fallo en esa exportación y lp hayas generado sin contraseña, suponiendo que no te estes equivicando con la contraseña claro.
Si lo has expirtado con openssl seguramnete le has dejado sin contraseña cuando la pide en la generacion del pfx/pt2

Muchas gracias
Es un certificado directamente generado en FNMT. También he probado a exportarlo con y sin clave.
La contraseña se que no es el problema, por que se la pongo mal aposta y el error es el mismo. Es como si no llega a entrar en los cdatos del certificado.

ermendalenda 13-11-2025 18:28:49

Cita:

Empezado por rcarteaga (Mensaje 569798)
Muchas gracias
Es un certificado directamente generado en FNMT. También he probado a exportarlo con y sin clave.
La contraseña se que no es el problema, por que se la pongo mal aposta y el error es el mismo. Es como si no llega a entrar en los cdatos del certificado.

La llamada a curl la haces apuntando al almacen dd certificados o al fichero?

rcarteaga 13-11-2025 18:35:55

Cita:

Empezado por ermendalenda (Mensaje 569799)
La llamada a curl la haces apuntando al almacen dd certificados o al fichero?

Al fichero. E inclui el parametro -k que aconsejabas anteriormente

ermendalenda 13-11-2025 19:14:29

Cita:

Empezado por rcarteaga (Mensaje 569800)
Al fichero. E inclui el parametro -k que aconsejabas anteriormente

Ok, le daré una vuelta.
Lo de -k también lenestoy dando una vuelta, por que lo hago sobre todo para saltarme la caduxidad del curl, pero es inswguro y no me fio que algun dia los envios con -k los bloqueen, nl por que lo detecten directamente, por que no se puede, pero puede provocar ciertos datos en la conexion que no le gistem de momento lo voy a dejar yp tambien, pero iré observando si curl va poniendo las actualizaciones de los certoficados para meterle una actualización automatica de los mismoa. Descargando desde h t t p s:/ /curl.se/ca/cacert.pem

ermendalenda 13-11-2025 20:58:28

Pon el comando tal cual lo pones (sim contraseñas)

ermendalenda 14-11-2025 06:30:27

Y si tienes instalado el openssl pon esto tambien y mndame del resultado: ojo, solo el encabezado.

openssl pkcs12 -info -in certificado.pfx

rcarteaga 14-11-2025 14:22:20

este es mi comando:
c:\CURL2\curl.exe -v "https://prewww1.aeat.es/wlpl/TIKE-CONT/ws/SistemaFacturacion/VerifactuSOAP" --cert-type P12 --cert "C:\Program Files (x86)\Certificados\certificado.p12":xxxxx -k -H "Content-Type: application/xml" --data-binary "@C:\Documentos-SAT\VeriFactu\2025\11\FA001530002\FA001530002.xml" --output C:\Documentos-SAT\VeriFactu\2025\11\FA001530002\FA001530002_respuesta.xml

Con algún certificado si funciona.
Uso la versión 8.17.0 de CURL, esta version usa libreSSL en vez de OpenSSL
me instalé OpenSSL, pero no se como hacer para que el CURL use OpenSSL en vez de LibreSSL

c:\curl\curl.exe version -V
curl 8.17.0 (x86_64-w64-mingw32) libcurl/8.17.0 LibreSSL/4.2.1 zlib/1.3.1.zlib-ng brotli/1.2.0 zstd/1.5.7 WinIDN libpsl/0.21.5 libssh2/1.11.1 nghttp2/1.68.0 ngtcp2/1.17.0 nghttp3/1.12.0
Release-Date: 2025-11-05
Protocols: dict file ftp ftps gopher gophers http https imap imaps ipfs ipns ldap ldaps mqtt pop3 pop3s rtsp scp sftp smb smbs smtp smtps telnet tftp ws wss
Features: alt-svc AsynchDNS brotli CAcert HSTS HTTP2 HTTP3 HTTPS-proxy IDN IPv6 Kerberos Largefile libz NTLM PSL SPNEGO SSL SSLS-EXPORT SSPI threadsafe UnixSockets zstd

rcarteaga 14-11-2025 14:39:09

Cita:

Empezado por ermendalenda (Mensaje 569813)
Y si tienes instalado el openssl pon esto tambien y mndame del resultado: ojo, solo el encabezado.

openssl pkcs12 -info -in certificado.pfx


Este es el resultado:
MAC: sha1, Iteration 1024
MAC length: 20, salt length: 20
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 1024
Bag Attributes
localKeyID: 32 23 0C E7 ED 55 CD 65 77 C3 AC 81 77 30 82 2D 94 B6 C5 01
friendlyName: xxxxxxx
Key Attributes: <No Attributes>

Y me pide la clave PEM , que no se que es ni cual es

Y es curioso, en un certificado que si me funciona. Al poner esto del openSSL no reconoce la contraseña, y de seguro que es correcta

ermendalenda 14-11-2025 14:44:23

Cita:

Empezado por rcarteaga (Mensaje 569845)
Este es el resultado:
MAC: sha1, Iteration 1024
MAC length: 20, salt length: 20
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 1024
Bag Attributes
localKeyID: 32 23 0C E7 ED 55 CD 65 77 C3 AC 81 77 30 82 2D 94 B6 C5 01
friendlyName: xxxxxxx
Key Attributes: <No Attributes>

Y me pide la clave PEM , que no se que es ni cual es

Y es curioso, en un certificado que si me funciona. Al poner esto del openSSL no reconoce la contraseña, y de seguro que es correcta

La clave pen es la contraseña del certificado, está mal detallado por openssl

ermendalenda 14-11-2025 14:47:01

Prueba esto a ver si es que ese pfx esta generado con un sistema antiguo:
openssl pkcs12 -legacy -in certificado.pfx -info

ermendalenda 14-11-2025 14:47:39

Y dame wl error que te devuelve xon wl anterior comando openssl
Y pruwba a darle a enter wn la clave, si te funciona con enter, no tiene clave

rcarteaga 14-11-2025 14:58:35

Cita:

Empezado por ermendalenda (Mensaje 569849)
Y dame wl error que te devuelve xon wl anterior comando openssl
Y pruwba a darle a enter wn la clave, si te funciona con enter, no tiene clave

Lo primero muchas gracias por tu paciencia y tu ayuda.
Resumo un poco
El certificado A me funciona correctamente con CURL al enviar el XML a Verifactu
El certificado A con OPENSSL (al final no da error):
Enter Import Password:
MAC: sha1, Iteration 1024
MAC length: 20, salt length: 20
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 1024
Bag Attributes
localKeyID: AF 4F D1 09 DA 5F 9E 7E 6F 16 AE 1B 2E CD 37 31 3D E0 2F 81
friendlyName: xxxx_NIF
Key Attributes: <No Attributes>

El certificado B da error al usar CURL para el envio a Verifactu
could not parse PKCS12 file, check password, LibreSSL error error:23FFF071:PKCS12 routines:CRYPTO_internal:mac verify failure
El certificado B con OPENSSL:
MAC: sha1, Iteration 1024
MAC length: 20, salt length: 20
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 1024
Bag Attributes
localKeyID: 32 23 0C E7 ED 55 CD 65 77 C3 AC 81 77 30 82 2D 94 B6 C5 01
friendlyName: xxxx:NIF
Key Attributes: <No Attributes>

ermendalenda 14-11-2025 15:05:13

Si estas seguro de que estas usando la contraseña correctamente el certificado B, está corrupto.
Lo dice en el mismo error:.
could not parse PKCS12 file, check password
mac verify failure

Tiene la Mac rota
O se ha exportado con una proteccion openssl/libressl
Puedes peobar a regenerarlo
Ahora tw digo

ermendalenda 14-11-2025 15:08:57

Ejecuta este comando dd windows: certmgr.msc
Selecciona el certificado B
Exportalo, incluyendo la clave privada
Swlwcciona AES-256-SHA256 si te deja,
Ponle una xontraweña clara sin espaxios ni cafacteres especiales, que a ver ai es eso?
Guqrdalo como .pfx

Si esta dañada la Mac no te va a dejar

rcarteaga 14-11-2025 15:12:07

Gracias. Pedire que lo vuelvan a generar

rcarteaga 14-11-2025 15:13:57

Cita:

Empezado por ermendalenda (Mensaje 569853)
Ejecuta este comando dd windows: certmgr.msc
Selecciona el certificado B
Exportalo, incluyendo la clave privada
Swlwcciona AES-256-SHA256 si te deja,
Ponle una xontraweña clara sin espaxios ni cafacteres especiales, que a ver ai es eso?
Guqrdalo como .pfx

Ninguno de los 2 certificados estan instalados.
Pero he probado a instalar el B y se instalo, por eso se que la pwd es correcta.
EN principio ya hice lo que dijiste, pero lo intento de nuevo


La franja horaria es GMT +2. Ahora son las 22:36:20.

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi