请求SSL：CERTIFICATE_VERIFY_FAILED，带有verify =“ ./ cabundle.crt”

Question

问题

简短说明：当使用自己的卡包连接到服务器时，python请求不断抛出SSL：CERTIFICATE_VERIFY_FAILED：

In [1]:  import requests
In [3]: requests.get('https://activeo.monitowl.com', verify=True)      
Out[3]: <Response [200]>
In [4]: requests.get('https://activeo.monitowl.com', verify="./ca_bundle.crt")
---------------------------------------------------------------------------
SSLError                                  Traceback (most recent call last)
<ipython-input-3-c92a3091d6ce> in <module>()
----> 1 requests.get('https://activeo.monitowl.com', verify="./ca_bundle.crt")

/home/vagrant/.virtualenvs/test/local/lib/python2.7/site-packages/requests/api.pyc in get(url, params, **kwargs)
     67 
     68     kwargs.setdefault('allow_redirects', True)
---> 69     return request('get', url, params=params, **kwargs)
     70 
     71 

/home/vagrant/.virtualenvs/test/local/lib/python2.7/site-packages/requests/api.pyc in request(method, url, **kwargs)
     48 
     49     session = sessions.Session()
---> 50     response = session.request(method=method, url=url, **kwargs)
     51     # By explicitly closing the session, we avoid leaving sockets open which
     52     # can trigger a ResourceWarning in some cases, and look like a memory leak

/home/vagrant/.virtualenvs/test/local/lib/python2.7/site-packages/requests/sessions.pyc in request(self, method, url, params, data, headers, cookies, files, auth, timeout, allow_redirects, proxies, hooks, stream, verify, cert, json)
    463         }
    464         send_kwargs.update(settings)
--> 465         resp = self.send(prep, **send_kwargs)
    466 
    467         return resp

/home/vagrant/.virtualenvs/test/local/lib/python2.7/site-packages/requests/sessions.pyc in send(self, request, **kwargs)
    571 
    572         # Send the request
--> 573         r = adapter.send(request, **kwargs)
    574 
    575         # Total elapsed time of the request (approximately)

/home/vagrant/.virtualenvs/test/local/lib/python2.7/site-packages/requests/adapters.pyc in send(self, request, stream, timeout, verify, cert, proxies)
    429         except (_SSLError, _HTTPError) as e:
    430             if isinstance(e, _SSLError):
--> 431                 raise SSLError(e, request=request)
    432             elif isinstance(e, ReadTimeoutError):
    433                 raise ReadTimeout(e, request=request)

SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:581)

In [5]: requests.get('https://activeo.monitowl.com', verify="./ca_bundle_ff.crt")    
[same error]
In [7]:  import ssl; ssl.OPENSSL_VERSION
Out[7]: 'OpenSSL 1.0.1k 8 Jan 2015'
In [8]: import sys; print (sys.version)
2.7.9 (default, Mar  1 2015, 12:57:24) 
[GCC 4.9.2]
In [2]: requests.__version__
Out[2]: '2.7.0'

故事

我们正在MonitOwl代理中使用请求与API服务器进行通信。 几天前，我们为* .monitowl.com订购了新证书，并将其部署到新实例，我们的颁发者是nazwa.pl 。 将Web浏览器指向https://activeo.monitowl.com可以正常工作，在设置verify =“ ./ cabundle.crt”时，请求似乎有一些问题。

技术说明

在处理ssl的龙卷风服务器之前，有一个“透明” haproxy检查SNI并重新分配流量，这是配置文件的一部分：

acl app_activeo req_ssl_sni -i activeo.monitowl.com
use_backend bk_activeo if app_activeo

由于安全问题和部署脚本，我们需要提供自己的包来控制接受的内容。 我们到处都在使用debian jessie。

我已经用ssl检查器测试了服务器，除了接受旧的加密算法之外，没有任何问题。

# from issuer https://panel.nazwa.pl/uploads/ssl/nazwaSSL_SHA-2.zip
$ cat monitowlcom.crt nazwasslsha2.pem certumca-ctncasha2.pem gscasha2.pem > ./ca_bundle.crt
# exported from firefox
$ cat monitowl.com nazwaSSL CertumTrustedNetworkCA CertumGlobalServicesCASHA2 > ca_bundle_ff.crt
$  openssl verify -untrusted ./ca.crt  monitowlcom.crt 
monitowlcom.crt: OK
$ c_rehash ./
$ openssl s_client -CApath ./  -connect activeo.monitowl.com:443 -servername activeo.monitowl.com
CONNECTED(00000003)
depth=4 C = PL, O = Unizeto Sp. z o.o., CN = Certum CA
verify return:1
depth=3 C = PL, O = Unizeto Technologies S.A., OU = Certum Certification Authority, CN = Certum Trusted Network CA
verify return:1
depth=2 C = PL, O = Unizeto Technologies S.A., OU = Certum Certification Authority, CN = Certum Global Services CA SHA2
verify return:1
depth=1 C = PL, O = nazwa.pl S.A., OU = http://nazwa.pl, CN = nazwaSSL
verify return:1
depth=0 C = PL, CN = *.monitowl.com, emailAddress = ***@whitehats.pl
verify return:1
[...]
*    Verify return code: 0 (ok)*

$ curl -I --cacert ca_bundle.crt https://activeo.monitowl.com 
HTTP/1.1 200 OK
$ curl -I --cacert ca_bundle_ff.crt https://activeo.monitowl.com 
HTTP/1.1 200 OK

如您所见， openssl s_client验证连接，curl正常工作。

在服务器端（龙卷风）： SSLError: [SSL: TLSV1_ALERT_UNKNOWN_CA] tlsv1 alert unknown ca (_ssl.c:581)

我请一些朋友使用从网络浏览器导出的捆绑软件进行测试，并：

Python==2.7.9 + OpenSSL==1.0.1k => FAILS
Python==2.7.10 + OpenSSL==1.0.1k => FAILS
Python==2.7.9 + OpenSSL==1.0.1l => FAILS
Python==2.7.10 + OpenSSL==1.0.1p => WORKS
Python==2.7.10 + OpenSSL==1.0.2d => WORKS
Python==2.7.9 + OpenSSL 1.0.2d  => WORKS

我知道python与网络浏览器对证书的验证方式不同 ，但是看起来不是这里的事情。

题

您有任何线索说明捆绑包有什么问题吗？ 我还能检查什么？

是个错误吗？ 在请求中，openssl，python或urllib3？

Answer 1

不要使用您的ca bundle文件。 尝试使用verify=True然后将证书文件的内容粘贴到/usr/local/lib/python2.7/dist-packages/requests/cacert.pem的底部，该位置取决于您的Linux版本或dist（CentOS， Debian等。）。 请使用find / -name requests查找请求在系统中的安装位置，然后找出cacert.pem。

这是因为默认情况下，请求使用此cacert.pem作为自己的ca捆绑包。

如果这不起作用，那么您应该获得高级发行者证书作为证书文件。

Answer 2

正如Lukasa （请求协作者之一）所指出的那样，问题是由于对python中交叉签名链的支持不佳所致 ：

SHA256捆绑包的问题在于，在这种情况下，“根”证书与SHA-1证书交叉签名，但是较旧的OpenSSL根本不会那样。 较旧的OpenSSL构建证书链的方式是，它会在远程服务器提供的证书之外构建最长的证书链，然后寻找对该链进行签名的受信任证书。 如果找不到该证书，它将进行纾困，而不检查它是否可以使用其信任根来构建较短的链。

SHA1根证书的弃用是一个持续存在的问题：请参阅certifi / python-certifi＃26 。 不幸的是，唯一的解决办法是在信任存储区中临时使用SHA1根目录或升级到较新的OpenSSL版本。

https://github.com/kennethreitz/requests/issues/2783

因此，作为临时解决方案，我也将SHA1路径包括在我的包中：

 cat ca_sha1.crt ca_sha256.crt > cabundle.crt