Créer et consommer des webservices sécurisés par HTTPS en VB.NET

Veillez à ce que IIS soit démarré en local sur votre machine
Ouvrez Visual Studio .NET
Faites « Fichier > Nouveau > Projet » et choisissez « Projets Visual Basic > Service web ASP.NET »
Indiquez dans Emplacement : « http://localhost/WebServicesHTTPS » puis « OK »

Une nouvelle Solution contenant un nouveau Projet est créée.
Un fichier « Service1.asmx » apparaît aussi, il contiendra la définition de notre Webservice.

Faites un clic droit sur Service1.asmx puis « Afficher le code »

À cet instant, vous devriez avoir votre projet qui ressemble à ça :

Nous allons maintenant écrire une WebMethod qui va prendre en paramètre deux entiers, les additionner et retourner le résultat.

Remplacez dans le code de Service1.asmx :

'<WebMethod()> Public Function HelloWorld() As String
'    HelloWorld = "Hello World"
' End Function

Par :

<WebMethod()> Public Function AddInteger(ByVal a As Integer, ByVal b As Integer) As Integer
    AddInteger = a + b
End Function

La mention <WebMethod()> permet d'indiquer que AddInteger doit être accessible à distance.

Appuyez sur « F5 », le webservice se compile et la fenêtre de votre navigateur par défaut se lance.
Vous pouvez alors tester votre webservice en cliquant sur « AddInteger »

Nous allons maintenant sécuriser ce webservice. Dans un premier temps, un certificat va être créé puis intégré dans IIS et associé à notre répertoire virtuel « http://localhost/WebServicesHTTPS ».

Nous allons maintenant créer un certificat qui sera stocké du côté du serveur uniquement et permettra d'autoriser la communication via HTTPS lors de la connexion d'un client.

Rendez-vous sur : http://www.slproweb.com/products/Win32OpenSSL.html
Téléchargez et installez : « Win32OpenSSL-v0.9.7e.exe » (fichier le plus récent au moment d'écrire cet article). On admettra que l'installation s'est déroulée dans « C:\OpenSSL ».
Lancez une fenêtre DOS et placez-vous dans le répertoire « C:\OpenSSL\bin »
Tapez la commande : « openssl genrsa -des3 -out TutoHTTPS.key 1024 ».
Indiquez une phrase comme demandé et ne l'oubliez pas.

Une clé privée « TutoHTTPS.key » est créée, ne la divulguez pas… elle est privée.

Tapez la commande suivante dans la fenêtre DOS : « openssl req -new -key TutoHTTPS.key -x509 -days 1095 -out TutoHTTPS.crt »
Entrez la phrase utilisée dans la génération de TutoHTTPS.key
Entrez ensuite les quelques informations qui vous sont demandées, mettez un « . » lorsque vous ne souhaitez pas répondre.

Le fichier « TutoHTTPS.crt » créé correspond à l'autorité de certification et est diffusable librement.

Le contenu de votre fenêtre DOS devrait ressembler à ça :

Sous Windows, allez dans « Panneau de configuration > Outils d'administration > Service Internet (IIS) »
Faites un « clic droit » sur « Site web par défaut » puis « Propriétés »
Sélectionnez l'onglet « Sécurité du répertoire » puis cliquez sur le bouton « Certificat de serveur… »

Dans l'assistant, choisissez de « Créer un certificat », donnez-lui comme Nom : « TutoHTTPSIIS ».
Suivez ensuite les instructions, laissez comme fichier de demande : « c:\certreq.txt » et allez jusqu'à cliquer sur « Terminer »

Nous allons maintenant signer le certificat généré par IIS en utilisant les clés précédemment créées.

Lancez une fenêtre DOS, placez-vous dans « c:\OpenSSL\bin »
Tapez : « openssl x509 -req -days 365 -in c:\certreq.txt -CA TutoHTTPS.crt -CAkey TutoHTTPS.key -CAcreateserial -out TutoHTTPSIIS.crt »
Entrez votre phrase secrète.

Le fichier « TutoHTTPSIIS.crt » est maintenant créé dans « c:\OpenSSL\bin »

La fenêtre DOS correspondant à ces manipulations devrait ressembler à ça :

De nouveau, allez dans « Panneau de configuration > Outils d'administration > Service Internet (IIS) »
Faites un « clic droit » sur « Site web par défaut » puis « Propriétés »
Sélectionnez l'onglet « Sécurité du répertoire » puis cliquez sur le bouton « Certificat de serveur… »
Choisissez dans l'assistant de « Traiter la demande en attente et installer le certificat »
Sélectionnez ensuite le nouveau certificat : « C:\OpenSSL\bin\TutoHTTPSIIS.crt »
Puis continuez l'assistant jusqu'à « Terminer »
Cliquez sur OK dans la fenêtre de propriétés.

Le certificat de serveur est maintenant installé sur IIS.
Utilisons ce certificat sur le répertoire virtuel du webservice « WebServicesHTTPS »

Dans « Site web par défaut », faites un clic droit sur le répertoire virtuel « WebServicesHTTPS » puis « Propriétés »
Sélectionnez l'onglet « Sécurité du répertoire » puis « Communications sécurisées > Modifier… »
Dans la fenêtre qui apparaît, cochez « Requérir un canal sécurisé » puis « OK ». « OK » encore dans la fenêtre de propriétés puis « OK » dans la fenêtre « Héritages outrepassés »

Cette étape est facultative, elle permet d'associer un utilisateur Windows à la connexion HTTPS au webservice et donc de gérer l'authentification de manière non anonyme (par défaut IIS associe toute connexion à un répertoire virtuel à l'utilisateur ASPNET).
Si cette étape n'est pas suivie, alors la liaison HTTPS servira uniquement à garantir la confidentialité des données.

Dans le code de l'étape 2.3, nous dissocierons les deux cas : avec ou sans authentification.

Dans « Site web par défaut », faites un clic droit sur le répertoire virtuel « WebServicesHTTPS » puis « Propriétés »
Sélectionnez l'onglet « Sécurité du répertoire » puis « Connexions anonymes et contrôle d'authentification > Modifier… »
Dans la fenêtre qui apparaît, décochez « Connexion anonyme »

Créons un utilisateur sous Windows qui sera utilisé pour l'authentification dans notre exemple.

Sous Windows, allez dans « Panneau de configuration > Outils d'administration > Gestion de l'ordinateur »
Déroulez « Utilisateurs et groupes locaux » puis cliquez sur le répertoire « Utilisateurs »
Sélectionnez le menu « Action > Nouvel utilisateur… »
Indiquez les paramètres suivants et cliquez sur « Créer » et fermez la fenêtre de « Gestion de l'ordinateur » :

- Nom d'utilisateur : userHTTPS ;
- Nom complet : userHTTPS ;
- Mot de passe : titi ;
- Confirmer le mot de passe : titi ;
- « L'utilisateur doit changer de mot de passe… » : décoché ;
- « L'utilisateur ne peut pas changer de mot de passe » : coché ;
- « Le mot de passe n'expire jamais » : coché ;
- « Le compte est désactivé » : décoché.

Ouvrez la solution « WebServicesHTTPS » dans Visual Studio si vous l'aviez fermée
Faites « Fichier > Nouveau > Projet… » et choisissez « Projets Visual Basic > Application Windows »
Cochez « Ajouter à la solution » et donnez comme nom : « WinCalculService », puis « Ok »
Placez sur la Form, les contrôles comme ci-dessous :

Référençons le Webservice :

Dans le projet « WinCalculService », faites un clic droit sur « Référence » puis « Ajouter une référence web… »
Dans la fenêtre qui apparaît, indiquez dans le champ URL : « https://localhost/WebservicesHTTPS/Service1.asmx » puis cliquez sur « Allez à »
Répondez « Oui » à chaque fenêtre de demande de confirmation
Lorsque le Webservice est chargé (le lien vers AddInteger doit apparaître dans la zone centrale), indiquez comme « Nom de la référence web » la valeur : « com.minosis.services » (c'est un exemple bien sûr)
Cliquez sur « Ajouter la référence »

Dans le projet, un dossier « web References » a dû apparaître avec en contenu : « com.minosis.services ».

Dans la Form1, double-cliquez sur le bouton « button1 », la fenêtre de code s'ouvre
Ajoutez en haut, les appels aux références suivants :

Imports System.Web.Services
Imports System.Web.Services.Protocols
Imports System.Security.Cryptography.X509Certificates
Imports System.Net

Remplacez ce code :

Private Sub button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles button1.Click
End Sub

Par :

1er cas : vous n'avez pas suivi l'étape 1.4, donc pas de gestion de l'authentification, mettez ce code :

Private Sub button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles button1.Click

Try

    ' On indique la validation automatique des demandes d'acceptation des certificats
    System.Net.ServicePointManager.CertificatePolicy = New TrustAllCertificatesPolicy

    ' Instanciation de la classe proxy permettant l'appel distant au Webservice
    Dim serviceAdd As com.minosis.services.Service1 = New com.minosis.services.Service1

    ' Conversion des valeurs String en int 
    Dim a As Integer = Int32.Parse(textBox1.Text)
    Dim b As Integer = Int32.Parse(textBox2.Text)

    ' Appel à la méthode distante. Son résultat étant un int, on le convertit en String
    textBox3.Text = serviceAdd.AddInteger(a, b).ToString()

Catch ' Si une exception est levée, on affiche "Erreur" dans la zone de résultat

    textBox3.Text = "Erreur"

End Try

End Sub

' Classe implémentant l'interface System.Net.ICertificatePolicy
' Permet de toujours autoriser l'acceptation des certificats
Public Class TrustAllCertificatesPolicy
Implements ICertificatePolicy
    Public Function CheckValidationResult(ByVal sp As ServicePoint, _
    ByVal cert As X509Certificate, ByVal request As WebRequest, ByVal problem As Integer) As Boolean _
    Implements ICertificatePolicy.CheckValidationResult
        Return True
    End Function
End Class

Par :

2e cas : vous avez suivi l'étape 1.4, l'application devra s'identifier avec l'utilisateur « userHTTPS »

Private Sub button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles button1.Click

Try

    ' On indique la validation automatique des demandes d'acceptation des certificats
    System.Net.ServicePointManager.CertificatePolicy = New TrustAllCertificatesPolicy

    ' Instanciation de la classe proxy permettant l'appel distant au Webservice
    Dim serviceAdd As com.minosis.services.Service1 = New com.minosis.services.Service1

    ' Authentification de l'utilisateur dédié au webservice : userHTTPS
    serviceAdd.Credentials = New NetworkCredential("userHTTPS", "titi")

    ' Conversion des valeurs String en int 
    Dim a As Integer = Int32.Parse(textBox1.Text)
    Dim b As Integer = Int32.Parse(textBox2.Text)

    ' Appel à la méthode distante. Son résultat étant un int, on le convertit en String
    textBox3.Text = serviceAdd.AddInteger(a, b).ToString()

Catch ' Si une exception est levée, on affiche "Erreur" dans la zone de résultat

    textBox3.Text = "Erreur"

End Try

End Sub

' Classe implémentant l'interface System.Net.ICertificatePolicy
' Permet de toujours autoriser l'acceptation des certificats
Public Class TrustAllCertificatesPolicy
Implements ICertificatePolicy
    Public Function CheckValidationResult(ByVal sp As ServicePoint, _
    ByVal cert As X509Certificate, ByVal request As WebRequest, ByVal problem As Integer) As Boolean _
    Implements ICertificatePolicy.CheckValidationResult
        Return True
    End Function
End Class

Vous remarquerez que seule une ligne supplémentaire est nécessaire pour cette authentification :

' Authentification de l'utilisateur dédié au webservice : userHTTPS
serviceAdd.Credentials = New NetworkCredential("userHTTPS", "titi")

Pour tester maintenant :
Faites un clic droit sur le projet « WinCalculService » puis « Déboguer > Démarrer une nouvelle instance »

Si la compilation s'est bien déroulée, la WinForm créée devrait s'afficher et vous pouvez ainsi tester la consommation du webservice « WebServicesHTTPS ».