QNetworkAccessManager: "SSL handshake failed"

Bonjour,

J'essaye d'accéder à un web service SOAP protégé par certificat (le certificat serveur est auto-signé ; le certificat client doit être présenté).
J'utilise Qt 4.5 de qt-copy (dans kde) mais j'avais le même problème avec Qt 4.4.x

J'utilise le code suivant:

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

qDebug() << "setting up SSL configuration: " << m_sslKeyFile; QSslConfiguration sslConfiguration = request.sslConfiguration(); QFile sslCertificateFile(m_sslKeyFile); if (sslCertificateFile.open(QIODevice::ReadOnly)) { QSslCertificate certif(&sslCertificateFile); sslCertificateFile.close(); if (certif.isNull()) { qDebug() << "Failed to load certificate"; } qDebug() << "certif version=" << certif.version() << ", serial=" << certif.serialNumber() << ", issuer=" << certif.issuerInfo(QSslCertificate::Organization) << " and subject=" << certif.subjectInfo(QSslCertificate::CommonName); sslConfiguration.setLocalCertificate(certif); sslCertificateFile.close(); sslCertificateFile.open(QIODevice::ReadOnly); QSslKey key(&sslCertificateFile, QSsl::Rsa, QSsl::Pem, QSsl::PrivateKey); qDebug() << "key isNull ? " << key.isNull(); sslConfiguration.setPrivateKey(key); sslConfiguration.setProtocol(QSsl::SslV2); sslConfiguration.setPeerVerifyMode(QSslSocket::QueryPeer); request.setSslConfiguration(sslConfiguration); } ... qDebug() << "send post"; m_networkReply = m_networkAccessManager->post(request, m_tempFile); // m_networkAccessManager est QNetworkAccessManager ... void QSoapServiceClient::slotNetworkReplyError(QNetworkReply::NetworkError) { qDebug() << "QSoapServiceClient::slotNetworkReplyError: " << m_networkReply->errorString(); m_answer = ""; }

---

Et j'obtiens à l'exécution:

Code:

---

1 2 3 4 5 6 7

setting up SSL configuration: "/path/to/pem/file" certif version= "" , serial= "" , issuer= "xxx" and subject= "yyy" key isNull ? false send post connecting reply signals sent QSoapServiceClient::slotNetworkReplyError: "SSL handshake failed"

---

A noter: en utilisant un QProcess qui lance un curl avec les options -k et -E, ça marche... Donc le certificat est bon. C'est bien son utilisation dans mon code qui est mauvaise...

Une idée ?

Salut.
Il me semble que tu doit compiler Qt avec le support openSSL


http://giminik.developpez.com/articl...ebird-openssl/

Merci pour ta réponse mais je crains que ce ne soit pas ça.

Tout d'abord, j'aurais du préciser que je suis sous Linux (Mandriva 2009).

Le support de openssl est effectif par défaut et il est testé avec succès, je viens de vérifier. D'ailleurs le programme de test fourni sur la page que tu cites indique que la compilation devrait échouer dans le cas contraire. Enfin, j'arrive bien à utiliser un certain nombre de fonctions SSL pour charger mon certificat et récupérer la clé privée. Ce qui échoue, c'est le hanshake.

Je suppose que je ne configure pas la connexion comme il faut mais je ne vois pas en quoi.

Il est possible qu'il faille que tu invoquies ignoreSslErrors() sur certaines erreurs ssl. Essaie d'abord de connecter QNetworkAccessManager::sslErrors(QNetworkReply * reply, const QList<QSslError> & errors) à un slot et de voir les erreurs qui se produisent. Je pense que QSslError::SelfSignedCertificate et/ou QSslError::SelfSignedCertificateInChain est levée ce qui n'est pas bloquant dans ton cas, mais il faut probablement que tu les ignores explicitement.

kinji1: Merci. En fait, j'avais déjà connecté le signal sslErrors de la QNetworkReply. Après ton message, j'ai aussi connecté celui du QNetworkAccessManager.

Ce qui est surprenant, c'est qu'aucun des deux n'est levé. Seul le signal error de la QNetworkReply est levé.

Voici mes connexions:

Code:

---

1 2 3 4 5 6 7

m_networkReply = m_networkAccessManager->post(request, m_tempFile); qDebug() << "connecting reply signals"; connect(m_networkReply, SIGNAL(readyRead()), this, SLOT(slotNetworkReplyReadyRead())); connect(m_networkReply, SIGNAL(finished()), this, SLOT(slotNetworkReplyFinished())); connect(m_networkReply, SIGNAL(sslErrors(const QList<QSslError>&)), this, SLOT(slotSslErrors(const QList<QSslError>&))); connect(m_networkReply, SIGNAL(error(QNetworkReply::NetworkError)), this, SLOT(slotNetworkReplyError(QNetworkReply::NetworkError)));

---

et dans le constructeur de ma classe:

Code:

---

1 2	connect(m_networkAccessManager, SIGNAL(sslErrors ( QNetworkReply * , const QList<QSslError> & ) ), this, SLOT(slotSslErrors(QNetworkReply*, const QList<QSslError>&)));

---

Et enfin:

Code:

---

1 2 3 4 5 6 7

void QSoapServiceClient::slotNetworkReplyError(QNetworkReply::NetworkError) { qDebug() << "QSoapServiceClient::slotNetworkReplyError: " << m_networkReply->errorString(); m_answer = ""; m_error = m_networkReply->errorString(); }

---

Aucune des méthodes slotSslErrors n'est exécutée. Pourtant, la méthode slotNetworkReplyError affiche:

Code:

---

1 2	QSoapServiceClient::slotNetworkReplyError: "SSL handshake failed"

---

N'est-ce pas bizarre ?

Oui c'est assez étrange surtout que d'après la doc:
"QNetworkReply::SslHandshakeFailedError : the SSL/TLS handshake failed and the encrypted channel could not be established. The sslErrors() signal should have been emitted."

Donc normalement le signal sslErrors devrait être déclenché le slot. Peut-être un bug Qt ?

Moui. Je commence à le croire. D'autant plus que je viens de vérifier ce qui se passe avec wireshark et la connexion avec QNetworkAccessManager utilise SSLv3 alors que celle avec curl utilise TLSv1. Pourtant, j'ai bien fait un

Code:

---

sslConfiguration.setProtocol(QSsl::TlsV1);

---

... Et un

Code:

---

qDebug() << "send post" << request.sslConfiguration().protocol();

---

affiche bien "2" ce qui est la valeur pour TLSv1 !

Je vais peut-être aller tracer le code de QNetworkAccessManager... Décidément, c'est bien le logiciel libre. J'aurais du mal à faire ça avec une bib prorprio.