Leer certificado pfx para webservice

[Garada]

data es un parámetro del evento BeforePost del WebNode del HTTPRIO.

Al menos en D2010 viene declarado así:

Código Delphi [-]
procedure TformMain.HTTPRIO1HTTPWebNode1BeforePost(const HTTPReqResp: THTTPReqResp; Data: Pointer);

Si en D10.4 es diferente pásame la declaración a ver que ha cambiado.

[isnagil]

Ahora es:

HTTPRIO1HTTPWebNode1BeforePost(const HTTPReqResp: THTTPReqResp; Client: THTTPClient);

[Garada]

Pues por lo que veo (he instalado la versión Community Edition) en la versión 10.4 han hecho ese cambio.

Por ahora te puedo decir que todas las funciones del API para gestionar los certificados que estaban en CertHelper y las que te declaré en el ejemplo las vas a encontrar en System.Net.HttpClient.Win

No he podido averiguar que hacer con el THTTPClient que si tiene para elegir el certificado de la lista de los instalados en el sistema pero ni idea como pasarle un certificado de un fichero.
En un foro en inglés hablan de modificar un evento (DoClientCertificateAccepted) para que haga lo que te interesa.

Si averiguo algo más actualizo información. A mi en parte me interesa por si algún día me obligan a actualizar versión de Delphi.

[isnagil]

Ok, gracias.

Lo ideal sería cargar directamente el certificado del fichero pfx pero una solución menor sería seleccionar directamente el certificado instalado en almacén de windows sin que aparezca la ventana que le pregunta al cliente.

Voy a buscar información al respecto, aunque por lo que dices sabes como hacerlo.

Gracias por tu interés

[Garada]

He conseguido hacerlo, pero no muy elegantemente.

Delphi no da ninguna oportunidad para cargar un certificado, sólo elegir de la lista de instalados en el equipo.
La clase que se ocupa de todo no es pública y no se puede acceder a ella.

En un foro en inglés alguien comentó que parcheaba modificando las VMT (Virtual Method Table) para que llamara a su función. Pero eso se escapa de mis posibilidades.

El método bruto es copiar la unidad System.Net.HttpClient.Win en la carpeta de tu proyecto y Delphi la usará en vez de la suya.
El archivo está en "C:\Program Files (x86)\Embarcadero\Studio\22.0\source\rtl\net\System.Net.HttpClient.Win.pas"

En tu proyecto, en el evento HTTPRIO1HTTPWebNode1NeedClientCertificate pones el parametro AnIndex a cero. Con eso le indicas que quieres usar el primer certificado ya que si lo dejas como viene (-1) indicas que no elijes ninguno y no saltará la función que modificamos para cargar el certificado.

Código Delphi [-]
procedure TformMain.HTTPRIO1HTTPWebNode1NeedClientCertificate(
  const Sender: TObject; const ARequest: TURLRequest;
  const ACertificateList: TCertificateList; var AnIndex: Integer);
begin
  AnIndex := 0;
end;

Y en la unidad que copiaste, System.Net.HttpClient.Win buscas la función TWinHTTPClient.DoClientCertificateAccepted y le pones el código que se usaba con el D2010

Código Delphi [-]
function TWinHTTPClient.DoClientCertificateAccepted(const ARequest: THTTPRequest; const AnIndex: Integer): Boolean;

  procedure CheckError(Puntero: Pointer);
  begin
    if not Assigned(Puntero) then
      RaiseLastOSError;
  end;

const
  CERT_COMPARE_HAS_PRIVATE_KEY        = 21;
  CERT_FIND_HAS_PRIVATE_KEY           = CERT_COMPARE_HAS_PRIVATE_KEY shl CERT_COMPARE_SHIFT;

  Pass = 'LaContraseña';
var
  pStore: HCERTSTORE;
  pCert: PCERT_CONTEXT;
  DataBlob: CRYPT_DATA_BLOB;
  PFX: TBytes;

  LRequest: TWinHTTPRequest;
begin
  pStore := nil;
  pCert := nil;

  PFX := TFile.ReadAllBytes('certificado.pfx');

  try
    DataBlob.cbData := Length(PFX);
    DataBlob.pbData := @PFX[0];

    // Almacen temporal con el contenido del PFX
    pStore := PFXImportCertStore(@DataBlob, PWideChar(Pass), 0);
    CheckError(pStore);

    // Buscar un certificado con clave privada
    // Solo debería haber uno
    pCert := CertFindCertificateInStore(pStore,
                                        X509_ASN_ENCODING,
                                        0,
                                        CERT_FIND_HAS_PRIVATE_KEY, //CERT_FIND_ANY,
                                        nil,
                                        nil);
    CheckError(pCert);

    // Pasarlo al servicio, aquí está el equivalente al antiguo data
    LRequest := TWinHTTPRequest(ARequest);
    Result := WinHttpSetOption(LRequest.FWRequest, WINHTTP_OPTION_CLIENT_CERT_CONTEXT, pCert, SizeOf(CERT_CONTEXT));
  finally
    if Assigned(pCert) then
      CertFreeCertificateContext(pCert);

    if Assigned(pStore) then
      CertCloseStore(pStore, 0);
  end;
end;

[isnagil]

Hola Garada, buenos días.

Muchas gracias por tu ayuda. Es maravillosa.

Una duda. Has hecho cambios cambios en el código respecto a la primera versión:

DataBlob: CRYPT_BIT_BLOB; por DataBlob: CRYPT_DATA_BLOB;
PKCS12_INCLUDE_EXTENDED_PROPERTIES = $0010 por 0

Es que entonces habría que cambiar la función:

Código:

function PFXImportCertStore(var pPFX: CRYPT_BIT_BLOB;
                          szPassword: LPCWSTR;
                          dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

¿Cuál es la versión correcta?

De todas formas si pongo

Código:

function PFXImportCertStore(
  var pPFX: CRYPT_BIT_BLOB; szPassword: LPCWSTR; dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

y cambio el tipo del datablob por un CRYPT_BIT_BLOB me sigue dando un error de "types of actual and formal var parameters must be identical"

[isnagil]

Hola,

He cambiado el sitio donde declaro la función PFXImportCertStore. Lo he cambiado aquí:

Código:

function CryptUIDlgSelectCertificateFromStore(hCertStore: HCERTSTORE;
                                              hwnd: HWND;
                                              pwszTitle: LPCWSTR;
                                              pwszDisplayString: LPCWSTR;
                                              dwDontUseColumn: DWORD;
                                              dwFlags: DWORD;
                                              pvReserved: Pointer): PCCERT_CONTEXT; stdcall; forward;
{$NODEFINE CryptUIDlgSelectCertificateFromStore}

function PFXImportCertStore(
  var pPFX: CRYPT_BIT_BLOB; szPassword: LPCWSTR; dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';

Y ahora no me da error, cambiando el tipo de datablob.

Lo que pasa es que me da otros errores:

No me reconoce ni Enter ni Exit del tipo Monitor:

Código:

TMonitor.Enter(ARequest);

ni

Código:

TMonitor.Exit(ARequest);

Undeclared identifier

En dicha unidad: System.Net.HttpClient.Win;

[Garada]

No hay que darlas.

Los cambios viene a que en esa unidad (System.Net.HttpClient.Win) ya viene declarado todo lo que necesitas y que antes estaba en Certhelper o declaradas a mano.

PKCS12_INCLUDE_EXTENDED_PROPERTIES es opcional, sólo informa que se quiere importar el certificado con las propiedades extendidas. Este flag sí que no estaba declarado en la unidad y como no afecta al funcionamiento, lo descarté.

El resto pues lo comentado, ya está en la unidad sin necesidad de añadir nada al USES. De hecho me extraña que no te diera error por declarar dos veces la función PFXImportCertStore

Si tienes que añadir alguna unidad al USES, añádela al principio de la lista para que no afecte a los originales (tendrán preferencia sobre las tuyos)

Cita:

Empezado por isnagil

Hola Garada, buenos días.

Muchas gracias por tu ayuda. Es maravillosa.

Una duda. Has hecho cambios cambios en el código respecto a la primera versión:

DataBlob: CRYPT_BIT_BLOB; por DataBlob: CRYPT_DATA_BLOB;
PKCS12_INCLUDE_EXTENDED_PROPERTIES = $0010 por 0

Es que entonces habría que cambiar la función:

Código:

function PFXImportCertStore(var pPFX: CRYPT_BIT_BLOB;
                          szPassword: LPCWSTR;
                          dwFlags: DWORD): HCERTSTORE; stdcall; external 'Crypt32.dll';