पायथन के साथ एसएसएल प्रमाणपत्र सत्यापित करें

मुझे एक स्क्रिप्ट लिखने की ज़रूरत है जो HTTPS पर हमारे कॉर्पोरेट इंट्रानेट पर साइटों के एक समूह से जुड़ती है और सत्यापित करती है कि उनके एसएसएल प्रमाणपत्र मान्य हैं; वे समाप्त नहीं हुए हैं, कि वे सही पते के लिए जारी किए गए हैं, आदि। हम इन साइटों के लिए अपने स्वयं के आंतरिक कॉर्पोरेट प्रमाणपत्र प्राधिकरण का उपयोग करते हैं, इसलिए हमारे पास प्रमाण पत्र सत्यापित करने के लिए सीए की सार्वजनिक कुंजी है।

HTTPS का उपयोग करते समय डिफ़ॉल्ट रूप से पायथन सिर्फ SSL प्रमाणपत्रों को स्वीकार करता है और उनका उपयोग करता है, इसलिए यदि कोई प्रमाणपत्र अमान्य है, तो भी पायथन लाइब्रेरी जैसे urllib2 और Twisted सिर्फ प्रमाण पत्र का खुशी से उपयोग करेगा।

क्या कहीं एक अच्छी लाइब्रेरी है जो मुझे HTTPS से अधिक साइट से कनेक्ट करने और इस तरह से इसके प्रमाण पत्र को सत्यापित करने देगी?

मैं पायथन में एक प्रमाण पत्र कैसे सत्यापित करूं?

रिलीज़ संस्करण 2.7.9 / 3.4.3 से, प्रमाण पत्र सत्यापन करने के लिए डिफ़ॉल्ट प्रयासों द्वारा पायथन ।

यह PEP 467 में प्रस्तावित किया गया है, जो पढ़ने लायक है: https://www.python.org/dev/peps/pep-0476/

परिवर्तन सभी प्रासंगिक stdlib मॉड्यूल (urllib / urllib2, http, रिशप्लिब) को प्रभावित करते हैं।

प्रासंगिक दस्तावेज:

https://docs.python.org/2/library/httplib.html#httplib.HTTPSConnection

यह वर्ग अब डिफ़ॉल्ट रूप से सभी आवश्यक प्रमाणपत्र और होस्टनाम चेक करता है। पिछले, असत्यापित, व्यवहार ssl._create_unverified_context () के संदर्भ में वापस करने के लिए संदर्भ पैरामीटर में पारित किया जा सकता है।

https://docs.python.org/3/library/http.client.html#http.client.HTTPSConnection

संस्करण 3.4.3 में परिवर्तित: यह वर्ग अब डिफ़ॉल्ट रूप से सभी आवश्यक प्रमाणपत्र और होस्टनाम चेक करता है। पिछले, असत्यापित, व्यवहार ssl._create_unverified_context () के संदर्भ में वापस करने के लिए संदर्भ पैरामीटर में पारित किया जा सकता है।

ध्यान दें कि नया बिल्ट-इन सत्यापन सिस्टम-प्रदत्त प्रमाणपत्र डेटाबेस पर आधारित है। उस के विरोध में, अनुरोध पैकेज अपने स्वयं के प्रमाणपत्र बंडल को जहाज करता है। पीईपी 476 के ट्रस्ट डेटाबेस अनुभाग में दोनों दृष्टिकोणों के पेशेवरों और विपक्षों पर चर्चा की गई है ।

मैंने पायथन पैकेज इंडेक्स में एक वितरण जोड़ा है जो match_hostname()पायथन के sslपिछले संस्करणों पर उपलब्ध पायथन 3.2 पैकेज से कार्य करता है ।

http://pypi.python.org/pypi/backports.ssl_match_hostname/

आप इसे स्थापित कर सकते हैं:

pip install backports.ssl_match_hostname

या आप इसे अपनी परियोजना में सूचीबद्ध एक निर्भरता बना सकते हैं setup.py। किसी भी तरह से, यह इस तरह से इस्तेमाल किया जा सकता है:

from backports.ssl_match_hostname import match_hostname, CertificateError
...
sslsock = ssl.wrap_socket(sock, ssl_version=ssl.PROTOCOL_SSLv3,
                      cert_reqs=ssl.CERT_REQUIRED, ca_certs=...)
try:
    match_hostname(sslsock.getpeercert(), hostname)
except CertificateError, ce:
    ...

प्रमाणपत्रों को सत्यापित करने के लिए आप ट्विस्टेड का उपयोग कर सकते हैं। मुख्य एपीआई सर्टिफिकेट है , जो contextFactoryविभिन्न कार्यों जैसे कि एचएसएसएल और स्टार्टटएलएस के तर्क के रूप में प्रदान किया जा सकता है ।

दुर्भाग्य से, न तो पायथन और न ही ट्विस्टेड सीए प्रमाणपत्रों के ढेर के साथ आता है जो वास्तव में एचटीटीपीएस सत्यापन करने के लिए आवश्यक हैं, न ही एचटीटीपीएस सत्यापन तर्क। PyOpenSSL में एक सीमा के कारण , आप इसे अभी तक पूरी तरह से सही ढंग से नहीं कर सकते हैं, लेकिन इस तथ्य के लिए धन्यवाद कि लगभग सभी प्रमाणपत्रों में एक विषय सामान्य नाम शामिल है, आप पर्याप्त पास प्राप्त कर सकते हैं।

यहां एक सत्यापित ट्विस्ट HTTPS क्लाइंट का एक भोले नमूने का कार्यान्वयन है जो वाइल्डकार्ड और विषय-वस्तु एक्सटेंशन की उपेक्षा करता है, और अधिकांश उबंटू वितरण में 'ca- सर्टिफिकेट' पैकेज में मौजूद प्रमाणपत्र-प्राधिकरण प्रमाणपत्र का उपयोग करता है। अपने पसंदीदा मान्य और अमान्य प्रमाणपत्र साइटों के साथ इसे आज़माएँ :)।

import os
import glob
from OpenSSL.SSL import Context, TLSv1_METHOD, VERIFY_PEER, VERIFY_FAIL_IF_NO_PEER_CERT, OP_NO_SSLv2
from OpenSSL.crypto import load_certificate, FILETYPE_PEM
from twisted.python.urlpath import URLPath
from twisted.internet.ssl import ContextFactory
from twisted.internet import reactor
from twisted.web.client import getPage
certificateAuthorityMap = {}
for certFileName in glob.glob("/etc/ssl/certs/*.pem"):
    # There might be some dead symlinks in there, so let's make sure it's real.
    if os.path.exists(certFileName):
        data = open(certFileName).read()
        x509 = load_certificate(FILETYPE_PEM, data)
        digest = x509.digest('sha1')
        # Now, de-duplicate in case the same cert has multiple names.
        certificateAuthorityMap[digest] = x509
class HTTPSVerifyingContextFactory(ContextFactory):
    def __init__(self, hostname):
        self.hostname = hostname
    isClient = True
    def getContext(self):
        ctx = Context(TLSv1_METHOD)
        store = ctx.get_cert_store()
        for value in certificateAuthorityMap.values():
            store.add_cert(value)
        ctx.set_verify(VERIFY_PEER | VERIFY_FAIL_IF_NO_PEER_CERT, self.verifyHostname)
        ctx.set_options(OP_NO_SSLv2)
        return ctx
    def verifyHostname(self, connection, x509, errno, depth, preverifyOK):
        if preverifyOK:
            if self.hostname != x509.get_subject().commonName:
                return False
        return preverifyOK
def secureGet(url):
    return getPage(url, HTTPSVerifyingContextFactory(URLPath.fromString(url).netloc))
def done(result):
    print 'Done!', len(result)
secureGet("https://google.com/").addCallback(done)
reactor.run()

PycURL यह खूबसूरती से करता है।

नीचे एक छोटा उदाहरण है। pycurl.errorअगर कुछ गड़बड़ है, तो आप इसे फेंक देंगे , जहां आपको त्रुटि कोड और एक मानव पठनीय संदेश के साथ एक ट्यूपल मिलता है।

import pycurl

curl = pycurl.Curl()
curl.setopt(pycurl.CAINFO, "myFineCA.crt")
curl.setopt(pycurl.SSL_VERIFYPEER, 1)
curl.setopt(pycurl.SSL_VERIFYHOST, 2)
curl.setopt(pycurl.URL, "https://internal.stuff/")

curl.perform()

आप शायद अधिक विकल्पों को कॉन्फ़िगर करना चाहते हैं, जैसे कि परिणाम कहां संग्रहीत करें, आदि। लेकिन गैर-आवश्यक के साथ उदाहरण को अव्यवस्थित करने की आवश्यकता नहीं है।

क्या अपवाद उठाए जा सकते हैं इसका उदाहरण:

(60, 'Peer certificate cannot be authenticated with known CA certificates')
(51, "common name 'CN=something.else.stuff,O=Example Corp,C=SE' does not match 'internal.stuff'")

कुछ लिंक जो मुझे उपयोगी लगे, वे सेटटॉप और गेटइनफो के लिए लिबासर्ल-डॉक्स हैं।

• http://curl.haxx.se/libcurl/c/curl_easy_setopt.html
• http://curl.haxx.se/libcurl/c/curl_easy_getinfo.html

या बस अनुरोध पुस्तकालय का उपयोग करके अपने जीवन को आसान बनाएं :

import requests
requests.get('https://somesite.com', cert='/path/server.crt', verify=True)

इसके उपयोग के बारे में कुछ और शब्द।

यहां एक उदाहरण स्क्रिप्ट दी गई है जो प्रमाणपत्र सत्यापन प्रदर्शित करती है:

import httplib
import re
import socket
import sys
import urllib2
import ssl

class InvalidCertificateException(httplib.HTTPException, urllib2.URLError):
    def __init__(self, host, cert, reason):
        httplib.HTTPException.__init__(self)
        self.host = host
        self.cert = cert
        self.reason = reason

    def __str__(self):
        return ('Host %s returned an invalid certificate (%s) %s\n' %
                (self.host, self.reason, self.cert))

class CertValidatingHTTPSConnection(httplib.HTTPConnection):
    default_port = httplib.HTTPS_PORT

    def __init__(self, host, port=None, key_file=None, cert_file=None,
                             ca_certs=None, strict=None, **kwargs):
        httplib.HTTPConnection.__init__(self, host, port, strict, **kwargs)
        self.key_file = key_file
        self.cert_file = cert_file
        self.ca_certs = ca_certs
        if self.ca_certs:
            self.cert_reqs = ssl.CERT_REQUIRED
        else:
            self.cert_reqs = ssl.CERT_NONE

    def _GetValidHostsForCert(self, cert):
        if 'subjectAltName' in cert:
            return [x[1] for x in cert['subjectAltName']
                         if x[0].lower() == 'dns']
        else:
            return [x[0][1] for x in cert['subject']
                            if x[0][0].lower() == 'commonname']

    def _ValidateCertificateHostname(self, cert, hostname):
        hosts = self._GetValidHostsForCert(cert)
        for host in hosts:
            host_re = host.replace('.', '\.').replace('*', '[^.]*')
            if re.search('^%s$' % (host_re,), hostname, re.I):
                return True
        return False

    def connect(self):
        sock = socket.create_connection((self.host, self.port))
        self.sock = ssl.wrap_socket(sock, keyfile=self.key_file,
                                          certfile=self.cert_file,
                                          cert_reqs=self.cert_reqs,
                                          ca_certs=self.ca_certs)
        if self.cert_reqs & ssl.CERT_REQUIRED:
            cert = self.sock.getpeercert()
            hostname = self.host.split(':', 0)[0]
            if not self._ValidateCertificateHostname(cert, hostname):
                raise InvalidCertificateException(hostname, cert,
                                                  'hostname mismatch')


class VerifiedHTTPSHandler(urllib2.HTTPSHandler):
    def __init__(self, **kwargs):
        urllib2.AbstractHTTPHandler.__init__(self)
        self._connection_args = kwargs

    def https_open(self, req):
        def http_class_wrapper(host, **kwargs):
            full_kwargs = dict(self._connection_args)
            full_kwargs.update(kwargs)
            return CertValidatingHTTPSConnection(host, **full_kwargs)

        try:
            return self.do_open(http_class_wrapper, req)
        except urllib2.URLError, e:
            if type(e.reason) == ssl.SSLError and e.reason.args[0] == 1:
                raise InvalidCertificateException(req.host, '',
                                                  e.reason.args[1])
            raise

    https_request = urllib2.HTTPSHandler.do_request_

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print "usage: python %s CA_CERT URL" % sys.argv[0]
        exit(2)

    handler = VerifiedHTTPSHandler(ca_certs = sys.argv[1])
    opener = urllib2.build_opener(handler)
    print opener.open(sys.argv[2]).read()

M2Crypto सत्यापन कर सकते हैं । आप चाहें तो ट्विस्टेड के साथ M2Crypto का भी इस्तेमाल कर सकते हैं। चांडलर डेस्कटॉप क्लाइंट नेटवर्किंग के लिए ट्विस्टेड और SSL के लिए M2Crypto का उपयोग करता है , जिसमें प्रमाणपत्र सत्यापन शामिल है।

ग्लिफ़्स टिप्पणी के आधार पर ऐसा लगता है कि M2Crypto वर्तमान में pyOpenSSL के साथ जो कुछ भी कर सकता है, उसकी तुलना में डिफ़ॉल्ट रूप से बेहतर प्रमाणपत्र सत्यापन करता है, क्योंकि M2Crypto subjectAltName फ़ील्ड की भी जाँच करता है।

मैंने यह भी ब्लॉग किया है कि पायथन में मोज़िला फ़ायरफ़ॉक्स जहाजों के प्रमाण पत्र कैसे प्राप्त करें और पायथन एसएसएल समाधानों के साथ प्रयोग करने योग्य हैं।

Jython DOES डिफ़ॉल्ट रूप से प्रमाणपत्र सत्यापन करता है, इसलिए मानक पुस्तकालय मॉड्यूल का उपयोग करता है, उदाहरण के लिए CANplib.HTTPSConnection, आदि, के साथ jython प्रमाणपत्रों को सत्यापित करेगा और विफलताओं के लिए अपवाद देगा, अर्थात बेमेल पहचान, समाप्त हो चुके सिरे आदि।

वास्तव में, आपको अजगर को बर्ताव करने के लिए कुछ अतिरिक्त काम करना होगा, जैसे कि खट्टेपन की तरह व्यवहार करना, यानी कि जेरॉन को सत्यापित नहीं करना।

मैंने jython पर प्रमाणपत्र जाँच को अक्षम करने के तरीके पर एक ब्लॉग पोस्ट लिखी है, क्योंकि यह चरणों के परीक्षण में उपयोगी हो सकता है, आदि।

Java और jython पर एक सर्व-विश्वसनीय सुरक्षा प्रदाता स्थापित करना।
http://jython.xhaus.com/installing-an-all-trusting-security-provider-on-java-and-jython/

निम्न कोड आपको सभी SSL सत्यापन जांचों (जैसे दिनांक वैधता, CA प्रमाणपत्र श्रृंखला ...) से लाभान्वित करने की अनुमति देता है, जैसे कि होस्टनाम को सत्यापित करने या अन्य अतिरिक्त प्रमाणपत्र सत्यापन चरणों को करने के लिए प्लग-इन सत्यापन चरण की जाँच करें।

from httplib import HTTPSConnection
import ssl


def create_custom_HTTPSConnection(host):

    def verify_cert(cert, host):
        # Write your code here
        # You can certainly base yourself on ssl.match_hostname
        # Raise ssl.CertificateError if verification fails
        print 'Host:', host
        print 'Peer cert:', cert

    class CustomHTTPSConnection(HTTPSConnection, object):
        def connect(self):
            super(CustomHTTPSConnection, self).connect()
            cert = self.sock.getpeercert()
            verify_cert(cert, host)

    context = ssl.create_default_context()
    context.check_hostname = False
    return CustomHTTPSConnection(host=host, context=context)


if __name__ == '__main__':
    # try expired.badssl.com or self-signed.badssl.com !
    conn = create_custom_HTTPSConnection('badssl.com')
    conn.request('GET', '/')
    conn.getresponse().read()

pyOpenSSL OpenSSL लाइब्रेरी का एक इंटरफ़ेस है। इसमें आपको वह सब कुछ प्रदान करना चाहिए जो आपको चाहिए।

मुझे वही समस्या हो रही थी लेकिन मैं 3 पार्टी निर्भरता को कम करना चाहता था (क्योंकि इस एक-बंद स्क्रिप्ट को कई उपयोगकर्ताओं द्वारा निष्पादित किया जाना था)। मेरा समाधान curlकॉल को लपेटना और यह सुनिश्चित करना था कि निकास कोड था 0। एक जादू की तरह काम किया।