Configurações recomendadas para Certificados e WebServices (SSL/Crypt/HTTP)

[EMBarbosa]

 Esse tópico é um resumo das informações sobre configurações de conexão, criptografia e assinatura.

Se aplica a todos as soluções ACBr (componentes/Libs) que usam código do ACBrDFe e fazem comunicação com webservices (Ex..: NF-e, MDF-e, CT-e, GNRe, etc...)

Informações mais detalhadas estão nos links citados. Veja também nos posts abaixo como configurar/usar essa configuração na ACBrLIB e no ACBrMonitor.

Quais são as configurações atualmente recomendadas para SSL/Crypt/HTTP?

Independente do documento nossa recomendação padrão é que se use sempre certificados A1 e a configuração abaixo que vamos chamar de:

Recomendação 1

Geral.SSLLib        := libOpenSSL;
Geral.SSLCryptLib   := cryOpenSSL;
Geral.SSLHttpLib    := httpOpenSSL;
Geral.SSLXmlSignLib := xsLibxml2;
SSL.SSLType := LT_TLSv1_2;

Certificados.ArquivoPFX := CaminhoDoLocalEmQueEstaSalvoOArquivoPFX;
Certificados.Senha := SenhaDoPFX;

WebServices.TimeOut := 30000; //Veja observação sobre TimeOut mais abaixo nesse post.

Limitações dessa configuração:

• Isso exige as dlls da OpenSSL na mesma pasta do seu executável;
  • Você pode encontrar as Dlls da OpenSSL aqui.
  • Lembre-se de escolher de acordo com a arquitetura que compila sua aplicação!
• Não funciona para certificados A3;
• A Libxml2 não consegue buscar schemas em rede se o compartilhamento não estiver mapeado como um drive local ou como link simbólico;

 

O que fazer se eu preciso usar certificados A3?

Para certificados A3 use a seguinte configuração:

Recomendação 2

Geral.SSLLib        := libWinCrypt;
Geral.SSLCryptLib   := cryWinCrypt;
Geral.SSLHttpLib    := httpWinHttp;
Geral.SSLXmlSignLib := xsLibXml2;
SSL.SSLType := LT_TLSv1_2;

Certificados.NumeroSerie := NumeroSerieCertificado;

WebServices.TimeOut := 30000; //Veja observação sobre TimeOut mais abaixo nesse post.

Limitações dessa configuração:

• Certificados A3 dependem do software da certificadora e do hardware e causam muita dor de cabeça;
• Depende da atualização do Windows;
• A libxml2 não consegue buscar schemas em rede se o compartilhamento não estiver mapeado como um drive local ou como link simbólico;

Observação sobre TimeOut: O TimeOut é o tempo máximo em que o componente deve esperar uma resposta antes de desistir. Ele é definido em milissegundos. O Fisco considera aceitável uma espera de 60 segundos. Mas, para maioria dos casos sugerimos valores entre 25000 e 40000. No entanto, isso pode variar de acordo com o tempo de resposta do provedor. Se notar que a internet é lenta ou que ocorrem falhas, talvez queira colocar um valor superior como 60000 (60 segundos) ou mais.

Onde obter informações adicionais?

• Mais sobre certificados A1 e A3, veja o vídeo "instalando certificados A1 e A3", feito por @Daniel Simoes
• Mais sobre essas configurações, veja esse vídeo "Como configurar a SSLib" feito pelo @Régys Silveira.
• Mais sobre o ACBrDFeSSL que é base para todas essas configurações, veja o vídeos na área de vídeos "Conheça a ACBrDFeSSL"
• Mais sobre as dependências das bibliotecas externas, veja o tópico: OpenSSL/XMLSec ou CAPICOM, dependencia de bibliotecas externas

•  

Editado 26 Março por EMBarbosa
Atualizado descrição e valores de TimeOut recomendados