Foros Club Delphi

Foros Club Delphi (https://www.clubdelphi.com/foros/index.php)
-   Internet (https://www.clubdelphi.com/foros/forumdisplay.php?f=3)
-   -   Leer certificado pfx para webservice (https://www.clubdelphi.com/foros/showthread.php?t=96417)

isnagil 25-10-2023 15:15:13

Al final voy a crear dos componentes httprio, uno para cada certificado.



Al inicio le asigno a cada uno un certificado y realizo el envío del XML con cada componente según el certificado correspondiente.



Supongo que así funcionará.

Garada 25-10-2023 15:17:53

Lo de liberar el componente es no añadirlo al form o datasource y crearlo y borrarlo en codigo:

Código Delphi [-]
procedure PeticionWebService;
var
  R: THTTPRIO;
  S: TipoServicio;
  RP: TipoRespuesta;
begin
  R := THTTPRIO.Create(nil);
  try
    // Asignar propiedades, eventos, .. a R

    S := GetTipoServicio(False, '', R);
    RP := S.Peticion();

    // Tratar RP
  finally
    R.Free;
  end;
end;

Lo del orden es raro, debería estar en el orden que los añades. 🤷

Para evitar eso recorre ACertificateList y averigua el índice del que te interesa para devolverlo. Yo usaría SerialNum, CertName o Subject.

Garada 25-10-2023 18:30:59

Revisando como reiniciar encontré otra forma de pasar el certificado y siempre vuelve a leer el certificado en cada envío.

Lo he mirado en D11, así que la pregunta es.. en tu unidad System.Net.HttpClient.Win existe esta línea:
Código Delphi [-]
procedure TWinHTTPRequest.SetWinCertificate;

Y esta en la unidad Soap.SOAPHTTPTrans:

Código Delphi [-]
  TClientCertExt = class(TClientCert)
  private
    FStream: TStream;
    FFileName: TFileName;
    FPassword: string;
  public
    procedure Assign(ASource: TPersistent); override;
    property Stream: TStream read FStream write FStream;
  published
    property FileName: TFileName read FFileName write FFileName;
    property Password: string read FPassword write FPassword;
  end;

Si es así pon el código de procedure TWinHTTPRequest.SetWinCertificate para ver si tiene diferencias de D10.4 a D11 y podrías usar un stream para pasar el certificado antes de hacer las llamadas.

isnagil 26-10-2023 09:54:15

Cita:

Empezado por Garada (Mensaje 553044)
Lo de liberar el componente es no añadirlo al form o datasource y crearlo y borrarlo en codigo:

Código Delphi [-]
procedure PeticionWebService;
var
  R: THTTPRIO;
  S: TipoServicio;
  RP: TipoRespuesta;
begin
  R := THTTPRIO.Create(nil);
  try
    // Asignar propiedades, eventos, .. a R

    S := GetTipoServicio(False, '', R);
    RP := S.Peticion();

    // Tratar RP
  finally
    R.Free;
  end;
end;

Lo del orden es raro, debería estar en el orden que los añades. 🤷

Para evitar eso recorre ACertificateList y averigua el índice del que te interesa para devolverlo. Yo usaría SerialNum, CertName o Subject.


Sí, yo también creo el componente tal y como dices pero al liberarlo me da el típico error:

Invalid Pointer

Lo del orden, no hay problema ya lo solucioné consultando el serialNum

isnagil 26-10-2023 09:58:17

Cita:

Empezado por Garada (Mensaje 553049)
Revisando como reiniciar encontré otra forma de pasar el certificado y siempre vuelve a leer el certificado en cada envío.

Lo he mirado en D11, así que la pregunta es.. en tu unidad System.Net.HttpClient.Win existe esta línea:
Código Delphi [-]
procedure TWinHTTPRequest.SetWinCertificate;

Y esta en la unidad Soap.SOAPHTTPTrans:

Código Delphi [-]
  TClientCertExt = class(TClientCert)
  private
    FStream: TStream;
    FFileName: TFileName;
    FPassword: string;
  public
    procedure Assign(ASource: TPersistent); override;
    property Stream: TStream read FStream write FStream;
  published
    property FileName: TFileName read FFileName write FFileName;
    property Password: string read FPassword write FPassword;
  end;

Si es así pon el código de procedure TWinHTTPRequest.SetWinCertificate para ver si tiene diferencias de D10.4 a D11 y podrías usar un stream para pasar el certificado antes de hacer las llamadas.

No, en la unidad System.Net.HttpClient.Win no existe SetWinCertificate. :(

Garada 26-10-2023 18:00:25

Cita:

Empezado por isnagil (Mensaje 553059)
No, en la unidad System.Net.HttpClient.Win no existe SetWinCertificate. :(

Vaya, que pena. En D11 han metido código para leer de un fichero o un stream el certificado. Aunque aún así le tuve que hacer algún retoque pq no iba del todo ok.

El error que te da al liberar puede ser algo que se liberó antes de tiempo.

La opción de borrar el certificado para que lo pida de nuevo... es que no tengo de idea de como hacer que la sesión del WinHTTP borre el certificado. Si se averigua la llamada al API para hacerlo se podría añadir al código para borrar la caché SSL.

Y para terminar... ¿en tu System.Net.HttpClient.Win existe procedure TWinHTTPRequest.DoPrepare; ?
O como mínimo tu THTTPRequest tiene procedure DoPrepare; virtual; abstract; ?
Si es así se puede poner código donde cargar el certificado en cada llamada.

isnagil 27-10-2023 09:26:50

Sí, existe TWinHTTPRequest.DoPrepare;

De todas maneras no te preocupes, con dos componentes HTTPRio, uno para cada certificado lo he solucionado.

Por otra parte, si libero el componente, como te decía, me da el error "Invalid Pointer", es posible que esté relacionado con el modo en el que se llama al webservice, mediante una función Invokable.

Código Delphi [-]
CC515CV1 = interface(IInvokable)
  ['{1526E88D-1356-5848-234A-9734B73E6ED8}']

    // Cannot unwrap:
    //     - Output part does not refer to an element
    //     - Input element wrapper name does not match operation's name
    function  CC515CV1(const CC515CV1Ent: CC515CV1Ent): CC515CV1Sal; stdcall;

Además, si libero el componente en cada llamada, también aumento el tiempo de procesamiento. En fin, no quiero perder más tiempo con esto, como funciona lo voy a dejar como ha quedado.

Muchas gracias por tu ayuda

razorxxx 27-06-2024 15:00:47

Buenas a todos.

Hasta ahora, para cargar un certificado desde archivo antes de realizar una petición con un objeto HTTPRIO utilizaba la librería capicom.dll desde el método OnBeforePost. Pero como ya sabemos, el método había cambiado desde la versión 10.3 de Delphi, ya que el Data: Pointer lo cambiaron a Client: THTTPClient.

Pues bien, después de mucho batallar, he conseguido hacerlo funcionar simplemente usando métodos nativos de la librería crypt32.dll de Windows.

Primeramente, antes de llamar al bloque "implementation" de nuestro código, poner la siguiente línea:

Código Delphi [-]
function PFXImportCertStore(var pPFX: CRYPT_DATA_BLOB; szPassword: LPCWSTR; dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

Luego en el método
Código Delphi [-]
HTTPRIOHTTPWebNodeBeforePost(const HTTPReqResp: THTTPReqResp; Client: THTTPClient)
se pone lo siguiente:

Código Delphi [-]
const
     PKCS12_INCLUDE_EXTENDED_PROPERTIES  = $0010;
     CERT_COMPARE_HAS_PRIVATE_KEY        = 21;
     CERT_FIND_HAS_PRIVATE_KEY           = CERT_COMPARE_HAS_PRIVATE_KEY shl CERT_COMPARE_SHIFT;
var
   Almacen: HCERTSTORE;
   Certificado: PCERT_CONTEXT;
   DataBlob: CRYPT_DATA_BLOB;
   PFX: TBytes;
begin
     Almacen := nil;
     Certificado := nil;
     PFX := TFile.ReadAllBytes(Cert.Text);
     Try
        DataBlob.cbData := Length(PFX);
        DataBlob.pbData := @PFX[0];

        // Defino mi almacén con el único certificado seleccionado, en lugar del almacén con todos los certificados de Windows
        Almacen := PFXImportCertStore(DataBlob, PWideChar(Pwd.Text), PKCS12_INCLUDE_EXTENDED_PROPERTIES);
        If not Assigned(Almacen) Then
            Salida.Lines.Add('[ERROR] No se pudo importar el certificado seleccionado.')  //RaiseLastOSError;
        Else
        Begin
             Certificado := CertFindCertificateInStore(Almacen, X509_ASN_ENCODING, 0, CERT_FIND_HAS_PRIVATE_KEY, nil, nil);
             If not Assigned(Certificado) Then
                 Salida.Lines.Add('[ERROR] No se pudo encontrar el certificado digital en el contexto actual, o bien no tiene clave privada.');  //RaiseLastOSError;
        End;
     Finally
            If Assigned(Certificado) Then CertFreeCertificateContext(Certificado);
            If Assigned(Almacen) Then CertCloseStore(Almacen, 0);
     End;
end;

, sabiendo que la ruta completa al certificado .pfx o .p12 está en un campo TEdit llamado 'Cert', y su contraseña en otro TEdit llamado 'Pwd'.

Creo que el código también es compatible con Delphi 12.1 Athens.

No olviden asignar este método al OnBeforePost del objeto HTTPRIO que realiza la petición al webservice, de lo contrario recibirán el error Received content of invalid Content-Type setting: text/html - SOAP expects "text/xml".

De esta manera, conseguimos 3 mejoras:
1. Poder cambiar el certificado digital y su contraseña a petición del usuario justo antes de hacer la llamada al webservice.
2. Nos libramos de tener que modificar los fuentes de las librerías de Delphi.
3. Prescindimos de la antigua librería capicom.dll.

Tenéis mi mención a esto mismo en el foro del SII: https://www.clubdelphi.com/foros/sho...387#post556387

Espero haber ayudado. Saludos.

razorxxx 28-06-2024 16:02:22

Nada, olviden lo anterior. Seguía dando problemas para conectar, porque faltaba asignarle el certificado al objeto HTTPReqResp, parece ser que me estaba cogiendo el primero que veía en el almacén de certificados.

Pero lo he solucionado. Todo es más fácil de lo que pensaba.

El método
Código Delphi [-]
HTTPRIOHTTPWebNode1BeforePost(const HTTPReqResp: THTTPReqResp; Client: THTTPClient)
debe quedar así:

Código Delphi [-]
var
   CertStream: TMemoryStream;
begin
     CertStream := TMemoryStream.Create;
     CertStream.LoadFromFile(Cert.Text);
     HTTPReqResp.ClientCertificate.Stream := CertStream;
     HTTPReqResp.ClientCertificate.Password := Pwd.Text;
end;

Ahora ya puedo seleccionar el certificado que quiera antes de cualquier petición y prescindir de la librería CAPICOM.

Saludos.

Garada 29-06-2024 10:49:01

Sí, más o menos es a lo que se había llegado durante el hilo.

Como añadido, un problema que tiene el sistema de selección de certificado de un PFX y que me di cuenta hace unos meses:
En la carpeta %appdata%Microsoft\Crypto\RSA\S-1-5-21-algomas se van creado archivos temporales con las claves que no se eliminan y puedes terminar con miles de archivos (o en la carpeta equivalente en %programdata% si se usa el almacén de la máquina en vez del usuario)

La solución pasa por usar este código al terminar el uso del certificado:

Código Delphi [-]
procedure CertContexFree(pCert: PCERT_CONTEXT; pStore: HCERTSTORE);
var
  hProv: HCRYPTPROV;
  c: Cardinal;
  Info: PCRYPT_KEY_PROV_INFO;
  ContainerName,
  ProvName: WideString;
  ProvType: Cardinal;
begin
  if Assigned(pCert) then
  begin
    CertGetCertificateContextProperty(pCert, CERT_KEY_PROV_INFO_PROP_ID, nil, c);
    Info := AllocMem(c);
    CertGetCertificateContextProperty(pCert, CERT_KEY_PROV_INFO_PROP_ID, Info, c);
    ContainerName := Info.pwszContainerName;
    ProvName := Info.pwszProvName;
    ProvType := Info.dwProvType;
    FreeMem(Info);

    CertFreeCertificateContext(pCert);
 
    CryptAcquireContext(hProv, PWideChar(ContainerName), PWideChar(ProvName), ProvType, CRYPT_DELETEKEYSET);
  end;

  if Assigned(pStore) then
    CertCloseStore(pStore, 0);
end;

razorxxx 01-07-2024 11:28:56

Cita:

Empezado por Garada (Mensaje 556460)
Sí, más o menos es a lo que se había llegado durante el hilo.

Como añadido, un problema que tiene el sistema de selección de certificado de un PFX y que me di cuenta hace unos meses:
En la carpeta %appdata%Microsoft\Crypto\RSA\S-1-5-21-algomas se van creado archivos temporales con las claves que no se eliminan y puedes terminar con miles de archivos (o en la carpeta equivalente en %programdata% si se usa el almacén de la máquina en vez del usuario)

La solución pasa por usar este código al terminar el uso del certificado:

Código Delphi [-]
procedure CertContexFree(pCert: PCERT_CONTEXT; pStore: HCERTSTORE);
var
  hProv: HCRYPTPROV;
  c: Cardinal;
  Info: PCRYPT_KEY_PROV_INFO;
  ContainerName,
  ProvName: WideString;
  ProvType: Cardinal;
begin
  if Assigned(pCert) then
  begin
    CertGetCertificateContextProperty(pCert, CERT_KEY_PROV_INFO_PROP_ID, nil, c);
    Info := AllocMem(c);
    CertGetCertificateContextProperty(pCert, CERT_KEY_PROV_INFO_PROP_ID, Info, c);
    ContainerName := Info.pwszContainerName;
    ProvName := Info.pwszProvName;
    ProvType := Info.dwProvType;
    FreeMem(Info);

    CertFreeCertificateContext(pCert);
 
    CryptAcquireContext(hProv, PWideChar(ContainerName), PWideChar(ProvName), ProvType, CRYPT_DELETEKEYSET);
  end;

  if Assigned(pStore) then
    CertCloseStore(pStore, 0);
end;

Hola Garada, tienes razón, cada vez que se hace la llamada al OnBeforePost del HTTPRIO se crea un fichero temporal con la clave privada encriptada del certificado y no se borran solos, así que al final del año puedes tener centenares o miles de estos ficheros. No obstante, en mi equipo tenía mas de 500 archivos en dicha carpeta y no ocupaban más de 2MB.

En mi caso, como ya no hago uso de la librería Crypt32.dll para cargar el certificado, pues no tengo manera de borrarlos con el método que has propuesto. Así que lo único que se me ocurre es vaciar la carpeta antes de cerrar el programa o justo tras finalizar la gestión de la respuesta del webservice. La numeración del nombre de esa carpeta es distinta según el equipo, así que si por lo menos siempre empieza por S-1-5-21, tendré que buscar por esa y borrar su contenido.

Garada 07-07-2024 11:15:12

Imagínate, yo lo descubrí en un equipo que hace automáticamente consultas a un web service cada 30 minutos y lleva años funcionando. La de archivos que había en esa carpeta. 😲

Lo de borrar la carpeta, cuidado por que también estarían claves legítimas de los certificados que estén instalados.

Una pena que Delphi no gestione correctamente el uso de certificados en los componentes SOAP, más de 10 años y ahora empiezan a hacer algo en el código para que sea más transparente.

_Io 02-06-2025 07:48:18

Cita:

Empezado por razorxxx (Mensaje 556426)
Nada, olviden lo anterior. Seguía dando problemas para conectar, porque faltaba asignarle el certificado al objeto HTTPReqResp, parece ser que me estaba cogiendo el primero que veía en el almacén de certificados.

Pero lo he solucionado. Todo es más fácil de lo que pensaba.

El método
Código Delphi [-]
HTTPRIOHTTPWebNode1BeforePost(const HTTPReqResp: THTTPReqResp; Client: THTTPClient)
debe quedar así:

Código Delphi [-]
var
   CertStream: TMemoryStream;
begin
     CertStream := TMemoryStream.Create;
     CertStream.LoadFromFile(Cert.Text);
     HTTPReqResp.ClientCertificate.Stream := CertStream;
     HTTPReqResp.ClientCertificate.Password := Pwd.Text;
end;

Ahora ya puedo seleccionar el certificado que quiera antes de cualquier petición y prescindir de la librería CAPICOM.

Saludos.

Buenos día.

Estoy intentando utilizar este procedimiento para asignar el certificado (ClienteCertificate.Stream), pero no me funciona, he abierto este hilo con los problemas que tengo.
Si te funciona, me puedes decir como lo haces?, algo se me debe estar pasando.

Muchas gracias.


La franja horaria es GMT +2. Ahora son las 06:16:42.

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi