python中SSL客户端的正确证书用途是什么?
[英]What is the correct certificate purpose for SSL client in python?
问题描述
我正在我的 python 应用程序中设置 SSL 客户端验证。 目前,我的概念验证代码刚刚建立安全连接就失败了。
看起来我生成的证书要么使用没有必要权限的证书(更可能是 IMO ),要么它们具有服务器无法理解或接受的权限(不太可能 IMO )。
这应该比较简单,但我找不到正确的文档。
我已经通过 OpenSSL 生成了服务器和客户端证书。 我过去为其他应用程序做过这件事,没有任何问题。 但我对创建客户端证书不太熟悉。 OpenSSL 报告我使用的客户端证书具有扩展名:
X509v3 extensions:
X509v3 Subject Key Identifier:
AF:AB:9D:AA:88:96:F4:0C:F5:56:9A:2C:DB:B6:BA:D9:DD:11:69:45
X509v3 Subject Alternative Name:
email:a@example.com
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client
X509v3 Authority Key Identifier:
keyid:E1:35:7C:39:7F:39:A4:43:D2:F8:00:59:38:91:71:AF:B9:38:AD:3F
X509v3 Key Usage:
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Client Authentication
简单的服务器测试代码是:
import ssl
import socket
import logging
_log = logging.getLogger(__name__)
def main():
context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
context.load_cert_chain("1B.pem", "key2.pem")
context.verify_mode = ssl.CERT_REQUIRED
context.load_verify_locations("my_ca.crt")
raw_server_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM, 0)
try:
# domain replaced for SO question
raw_server_socket.bind(('neptune.example.com', 8812))
raw_server_socket.listen(5)
server_socket = context.wrap_socket(raw_server_socket, server_side=True)
except Exception:
raw_server_socket.close()
raise
with server_socket:
while True:
try:
connection_to_client, address = server_socket.accept()
with connection_to_client:
connection_to_client.write(b'Hello')
except Exception as ex:
print(ex)
if __name__ == "__main__":
main()
这给出了错误:
[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unsupported certificate purpose (_ssl.c:1076)
...当客户端与此连接时:
import socket
import ssl
context = ssl.create_default_context(ssl.Purpose.SERVER_AUTH)
context.load_cert_chain("1C.pem", "key.pem")
raw_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# Domain changed for SO question
conn = context.wrap_socket(raw_socket, server_side=False, server_hostname="neptune.example.com")
conn.connect(("neptune.example.com", 8812))
conn.close()
1 个解决方案
解决方案1
0 已采纳 2020-03-17 16:21:16
正如 Steffen Ullrich 所暗示的那样,问题似乎不在于证书本身,而在于我用来签署它的 CA 证书。
CA 证书在其可以授权的权利方面受到限制。 它们以与它们签署的证书相同的扩展名表示。 所以对于一个CA签署的证书作为客户端SSL证书对客户端证书和CA证书必须具有:
- “数字签名”的密钥用法。
-
1.3.6.1.5.5.7.3.2扩展又名TLS Web Client Authentication
也就是说,应将OpenSSL报告CA证书和签名的客户端cetificate以下两个:
X509v3 Key Usage:
Digital Signature
X509v3 Extended Key Usage:
TLS Web Client Authentication
就我而言,CA 没有扩展使用1.3.6.1.5.5.7.3.2 。 服务器证书很好,但无法签署客户端证书。
Python Selenium - 如何指定在客户端SSL身份验证中使用的客户端证书
[英]Python Selenium - How to specify a client certificate to use in client SSL authentication
OpenSSL s_client和Python SSL模块对于主机名的证书不一致
[英]OpenSSL s_client and Python SSL module disagree on the certificate for a hostname
如何在没有客户端 SSL 证书的情况下在 python gRPC 客户端中打开安全通道
[英]How to open a secure channel in python gRPC client without a client SSL certificate
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.