Discussion :

[Lung]

Comment gérer le HTTPS dans un webservice (partie serveur) ?

On m'a mis sur un projet déjà écrit, dans lequel le HTTP fonctionne : quand je teste des appels avec postman, tout marche bien.
On me demande de gérer le HTTPS.

J'ai supposé qu'il fallait ajouter un TIdServerIOHandlerSSLOpenSSL, l'associer au TIdHTTPWebBrokerBridge, et paramétrer tout ça.
J'ai mis les mêmes paramètres qu'ici : https://synaptica.info/en/2016/09/21...r-with-delphi/

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
    LIOHandleSSL := TIdServerIOHandlerSSLOpenSSL.Create(FServer);
    LIOHandleSSL.SSLOptions.CertFile := FCertFile;        // <-- variable contenant le nom du fichier *.pem
    LIOHandleSSL.SSLOptions.RootCertFile := FRootCertFile;        // <-- variable contenant le nom du fichier *.pem
    LIOHandleSSL.SSLOptions.KeyFile := FKeyFile;        // <-- variable contenant le nom du fichier *.pem
    LIOHandleSSL.SSLOptions.Method := sslvSSLv23;
    LIOHandleSSL.SSLOptions.Mode := sslmBoth;
    LIOHandleSSL.SSLOptions.SSLVersions := [sslvSSLv2, sslvSSLv23, sslvSSLv3, sslvTLSv1, sslvTLSv1_1, sslvTLSv1_2];
    LIOHandleSSL.SSLOptions.VerifyDepth := 0;
    LIOHandleSSL.SSLOptions.VerifyMode := [sslvrfPeer];
    LIOHandleSSL.OnGetPassword := IOHandlerSSLOpenSSLGetPassword;
    LIOHandleSSL.OnVerifyPeer := IOHandlerSSLOpenSSLVerifyPeer;
    FServer.IOHandler := LIOHandleSSL;              // <-- FServer est le TIdHTTPWebBrokerBridge

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
procedure TLoyaltyWebServiceSrv.IOHandlerSSLOpenSSLGetPassword(var APassword: String);
begin
  APassword := 'monmdp';
end;
 
function TLoyaltyWebServiceSrv.IOHandlerSSLOpenSSLVerifyPeer(Certificate: TIdX509; AOk: Boolean; ADepth, AError: Integer): Boolean;
begin
  if ADepth = 0 then
    Result := AOk
  else
    Result := True;
end;

Je me suis souvenu d'une précédente discussion (https://www.developpez.net/forums/d2...error-tidhttp/) et j'ai bien vérifié la présence des 2 DLL (libeay32.dll et ssleay32.dll) qui sont en version 1.0.2.17.
J'ai bien le fichier certificat (*.pem) à côté de l'exe.

Mais, quand j'appelle à partir de postman avec la même url, mais en remplaçant le HTTP par un HTTPS, j'obtiens ça :

Le projet LoyaltyWebService.exe a déclenché la classe d'exception EIdOSSLAcceptError avec le message 'Erreur lors de l'acceptation de la connexion avec SSL.
EOF : violation du protocole'.

Qu'est ce que j'ai mal fait ?

[free07]

Bonjour,

Question bête : est ce que le serveur a été configuré pour accepter le https ?

[Lung]

Question bête : est ce que le serveur a été configuré pour accepter le https ?

C'est à dire ?
Il y a un paramétrage à faire dans un autre composant ?

[free07]

Je pense au niveau OS serveur et site, il y a longtemps on a eu un projet de passage de http à https pour des web service et il me semble qu'ils ont eu des config à faire ( et aussi intégrer les certificats ), c'était un serveur Windows.

Ce n'est pas moi qui m'en suis occupé de la partie serveur.

[Andnotor]

Le port est 443 ?

[Paul TOTH]

alors personnellement j'utilise un composant comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
object SSL: TIdServerIOHandlerSSLOpenSSL
  SSLOptions.Method = sslvTLSv1_2
  SSLOptions.SSLVersions = [sslvTLSv1_2]
  SSLOptions.Mode = sslmUnassigned
  SSLOptions.VerifyMode = []
  SSLOptions.VerifyDepth = 0
  Left = 136
  Top = 160
end

sslvTLSv1_2 est la norme maintenant, tout le reste est déprécié (et éventuellement plus supporté par OpenSSL)

d'ailleurs ta Method "sslvSSLv23" est probablement trop basse pour le navigateur

ensuite pour la clé j'utilise soit un certificat autosigné

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
    // Self signed
      SSL.SSLOptions.RootCertFile := '..\keystore\root.crt';
      SSL.SSLOptions.CertFile := '..\keystore\public.crt';
      SSL.SSLOptions.KeyFile := '..\keystore\private.key';

où root.crt est le certificat racine, public.crt le certificat public du domaine, et private.key sa clé privée

sinon avec Let's Encrypt (et éventuellement mon composant DelphiACME) je fais ça

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
      SSL.SSLOptions.RootCertFile := '';
      SSL.SSLOptions.CertFile := '..\keystore\domain.crt';
      SSL.SSLOptions.KeyFile := '..\keystore\domain.key';

le root n'étant pas nécessaire vu que c'est Let's Encrypt, il est donc publique.