码迷,mamicode.com
首页 > 编程语言 > 详细

在python使用SSL(HTTPS)

时间:2018-06-01 21:33:40      阅读:260      评论:0      收藏:0      [点我收藏+]

标签:浏览器   erro   服务器   pycurl   nss   两种   elf   环境变量   回调函数   

在python上使用SSL有许多场景,我主要关注的是使用python访问HTTPS资源,以及使用python提供HTTPS服务。(HTTPS是SSL在WEB上的应用之一)

一、使用python访问HTTPS网站

这应该算是最简单也是最常见的场景了。我们使用python做为客户端去访问公网上的网站,而这个网站为了传输安全(避免被劫持或者窃听)使用了HTTPS服务,传输过程内容都经过了SSL加密。下面来看下具体的python代码,这里使用的是python2.7.11,用的是python自带的urllib2。当然你也可以使用requests或者pycurl等第三方库,都可以,原理都是一样的,只是实现的手段有些差异而已。

import urllib2

import ssl

if __name__ == ‘__main__‘:

    myurl="https://www.baidu.com"

    req = urllib2.Request(myurl)

    try:

        response = urllib2.urlopen(req)

        print "HTTP return code:%d" % response.getcode()

        strResult= response.read()

        print strResult

    except Exception ,ex:

        print "Found Error :%s" % str(ex)

 

运行它,我们就可以得到这个网站上的内容了。并且传输过程都经过了加密。是不是很简单。整个的传输过程大概是这样的,客户端请求SSL连接握手(其中会跟服务器有些SSL协议之间的交互,这个我们不用详细去研究)服务器把自己的证书传给客户端,客户端对这个证书进行认证(每台客户端电脑上都会默认安装一些权威CA(证书签发机构)的证书,这个认证就是使用这些证书进行的,python的ssl模块会自动加载这些权威CA证书,当然你也可以自己指定,这个后面会谈到),确保这个证书是由可信的CA颁布的(客户端对服务端证书进行认证这个操作,是从python2.7.9开始才有的,以前版本的是不进行认证的),之后就是利用证书交换密钥后,使用密钥对传输内容进行加密传输。

互联网上大部分的正规网站都是会有自己的证书的,这些证书都是经过权威CA认证的,可以被认为是可信的(其实这个也不一定,前段时间就有过谷歌封杀赛门铁克CA签发的证书的事件,有兴趣的可以去网上搜索看看)。但是同样也有不少网站,由于各种各样的原因没有这些经过权威CA认证的证书,毕竟申请这些证书流程比较麻烦,并且要支付一定的费用。这些网站也可以提供安全的HTTPS服务,但由于他们的证书是自签名的或者是由非权威的CA颁发的(这两种证书后面会谈到),所以会被认为是不可信的。当使用浏览器打开这些网站时,浏览器会提醒你这是不安全的连接,当然这个不安全是指网站未经权威认证,所以网站本身可能不安全,但在网络传输层面上来看,传输是安全的。那我们访问这些网站时,使用上面的代码会有错误提示,下面代码就是访问一个这是我自己建立的一个HTTPS网站https://127.0.0.1:8443,该网站使用的是自签名的证书。如果你使用谷歌浏览器访问会提示你:您的连接不是私密连接,如果你强制连接则会提示不安全

import urllib2

import ssl

if __name__ == ‘__main__‘:

    myurl="https://127.0.0.1:8443"

    req = urllib2.Request(myurl)

    try:

        response = urllib2.urlopen(req)

        print "HTTP return code:%d" % response.getcode()

        strResult= response.read()

        print strResult

    except Exception ,ex:

        print "Found Error :%s" % str(ex)

 

运行这个就会出现错误:

提示证书校验错误。这时如果我们想要访问这样的网站就要把客户端的证书校验关闭。在前面加上一句:ssl._create_default_https_context = ssl._create_unverified_context即可

 

import urllib2

import ssl

ssl._create_default_https_context = ssl._create_unverified_context

if __name__ == ‘__main__‘:

    myurl="https://127.0.0.1:8443"

    req = urllib2.Request(myurl)

    try:

        response = urllib2.urlopen(req)

        print "HTTP return code:%d" % response.getcode()

        strResult= response.read()

        print strResult

    except Exception ,ex:

        print "Found Error :%s" % str(ex)

 

当然也可以自己创建一个不校验的SSL上下文,然后引用这个上下文来打开url

ctx = ssl._create_unverified_context()

然后

response = urllib2.urlopen(req,context=ctx)

 

二、使用OPENSSL生成证书

1、生成自签名的证书

在使用python提供HTTPS服务之前,我们需要先生成证书,这里请参考https://www.cnblogs.com/wucao/archive/2017/02/27/6474711.html 这篇文章讲解了如何使用openssl生成证书。在WINDOWS平台记得要设置环境变量,参考我的一篇博文http://blog.sina.com.cn/s/blog_5d18f85f0102xdm7.html。

使用命令:openssl req -x509 -newkey rsa:2048 -nodes -days 365 -keyout private.pem -out cert.crt

之后会要求我们输入一些组织信息,你可以根据你的实际情况填写。之后就生成了自签名的证书cert.crt,私钥是private.pem

 

2、自己建立一个CA(证书签发机构),然后用自己的CA来颁发证书。这个我们后面讨论双向认证的时候会用到。详细内容请参考http://blog.csdn.net/gx_1983/article/details/47866537

 

这里我只是简单的写一下我自己的步骤

1)      保证openssl的bin目录在path环境变量里面。创建一个工作目录,这里我使用ca这个目录。然后在ca下面再创建目录demoCA。之后在demoCA下创建空白文本文件index.txt和serial,并且打开serial写入字符01

2)      先造成CA的KEY和证书

openssl req -new -x509 -days 36500 -key ca.key -out ca.crt

执行后会出现提示,主要是要求输入一些组织方面的信息,请按要求填写即可

执行成功后会造成ca.key和ca.crt 两个文件,ca.key为私钥需要妥善保管,不要轻易给别人。ca.crt为证书可以随意传播。

3)      生成服务器的私钥和证书,其中证书使用了CA的私钥进行签名:

l  生成server私钥

openssl genrsa -out server.key 2048

l  使用server私钥生成server端证书请求文件

openssl req -new -key server.key -out server.csr

一样需要回答一些组织方面的问题

l  使用server证书请求文件通过CA生成由CA签名的证书

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

l  验证server证书

openssl verify -CAfile ca.crt server.crt

这样就得到两个文件:一个是私钥server.key;一个是证书server.crt

4)      用跟3)同样的方法生成客户端的client.key和client.crt这两个文件在后面的双向认证里面会用到

 

 

 

 

三、使用python提供HTTPS服务

我们有了证书和私钥了,下面就可以正式使用python建立一个HTTPS网站了。这里我使用框架实现,用的是twisted。使用的证书是之前用OPENSSL生成的自签名证书。

#-* -coding: utf-8 -* -

from twisted.web import server, resource

from twisted.internet import reactor,ssl

 

class MainResource(resource.Resource):

 

    isLeaf = True

 

    # 用于处理GET类型请求

    def render_GET(self, request):

 

        # name参数

        name = ‘World‘

        if request.args.has_key(‘name‘):

            name = request.args[‘name‘][0]

 

        # 设置响应编码

        request.responseHeaders.addRawHeader("Content-Type", "text/html; charset=utf-8")

 

        # 响应的内容直接返回

        return "

Hello, " + name + ""

 

if __name__ == ‘__main__‘:

    sslContext = ssl.DefaultOpenSSLContextFactory(

        ‘C:/ca/private.pem, # 私钥

        ‘C:/ca/cert.crt‘ # 证书

    )

 

    site = server.Site(MainResource())

    reactor.listenSSL(8080, site, sslContext)

    print "监听端口:8080"

reactor.run()

 

使用之前的客户端访问,记得关闭证书校验。这时可以看到可以顺利访问。如果使用浏览器访问,也可以正常访问,但此时会出现安全提示,忽略这个安全提示后也可以正常访问。

 

 

 

四、SSL双向校验

上面的示例都是客户端对服务器端证书的校验。这也是最常见的单向校验。这里面由客户端来校验服务器端的证书(当然也可以选择不校验)。通常的互联网服务都是这种方式。在这种方式下,客户端不需要有证书。服务器端也不会校验客户端的证书。此外还有一种双向校验模式。在这种模式下,客户端也要有证书,并且在协商过程中提供给服务器端。服务器也会对客户端的证书进行校验。这种模式一般应用于对安全要求比较高的环境,服务器和用户端都需要证书,并且双方都要能被权威CA验证通过。看看下面的服务器端代码:

#-* -coding: utf-8 -* -

from twisted.web import server, resource

from twisted.internet import reactor,ssl

from OpenSSL import SSL

def verifyCallback(connection, x509, errnum, errdepth, ok):

    if not ok:

        print ‘invalid cert from subject:‘, x509.get_subject()

        return False

    else:

        print "Certs are fine", x509.get_subject()

    return True

 

class MainResource(resource.Resource):

 

    isLeaf = True

 

    # 用于处理GET类型请求

    def render_GET(self, request):

 

        # name参数

        name = ‘World‘

        if request.args.has_key(‘name‘):

            name = request.args[‘name‘][0]

 

        # 设置响应编码

        request.responseHeaders.addRawHeader("Content-Type", "text/html; charset=utf-8")

 

        # 响应的内容直接返回

        return "

Hello, " + name + ""

 

if __name__ == ‘__main__‘:

    sslContext = ssl.DefaultOpenSSLContextFactory(

        ‘C:/ca/private.pem, # 私钥

        ‘C:/ca/cert.crt‘ # 证书

    )

    ctx = sslContext.getContext()

   

#这里改为了双向校验模式

    ctx.set_verify(

        SSL.VERIFY_PEER | SSL.VERIFY_FAIL_IF_NO_PEER_CERT,

        verifyCallback

        )

    site = server.Site(MainResource())

    reactor.listenSSL(8080, site, sslContext)

    print "监听端口:8080"

reactor.run()

 

然后再用客户端来访问一下。这时会发现有错误出现,错误提示为:

提示sslv3协议握手失败。原因就是服务器端要求双向校验,但客户端没有提供自己的证书给服务器,所以握手协商失败。

好的,我们再改一下客户端代码,适配这种双向校验模式。这里客户端使用使用的证书是,是之前使用OPENSSL生成的客户端证书,并且使用了我们自己建立的CA进行签名。

import urllib2

import ssl

 

KEY_FILE="C:/ca/client.key"

CERT_FILE="C:/ca/client.crt"

 

context = ssl.SSLContext(ssl.PROTOCOL_SSLv23) 

context.check_hostname = False 

context.load_cert_chain(certfile=CERT_FILE,keyfile=KEY_FILE)

context.verify_mode=ssl.CERT_REQUIRED

       

if __name__ == ‘__main__‘:

    myurl="https://127.0.0.1:8080/?name=qh"

    req = urllib2.Request(myurl)

    try:

        response = urllib2.urlopen(req,context=context)

        #response = urllib2.urlopen(req)

        print "HTTP return code:%d" % response.getcode()

        strResult= response.read()

        print strResult

    except Exception ,ex:

        print "Found Error in auth phase:%s" % str(ex)

 

这里出现错误提示

证书校验失败。这是因为服务器提供的证书没有通过客户端的校验。

这是因为服务器端的证书是使用自签名的证书,当然通不过客户端校验了。这里我们要把服务器端的证书改成我们使用CA签名的证书。修改一下服务器端代码:

    sslContext = ssl.DefaultOpenSSLContextFactory(

        ‘C:/ca/server.key‘, # 私钥

        ‘C:/ca/server.crt‘ # 证书

    )

改过之后再试,可以还出现同样的错误,这是怎么回事呢?原来服务器端的证书是使用我们自建的CA进行签名的,不是权威CA,所以校验失败了。这怎么办呢,我们可以指定CA的证书,把我们的CA证书设置为可信。修改一下客户端,加上一句:

CA_FILE="c:/ca/ca.crt"

context.load_verify_locations(CA_FILE)

注意ca.crt是之前我们使用OPENSSL建立的CA证书(请参考前面第二部分的内容)。修改之后重新运行,发现还是出现错误:

 

这个错误提示变了,提示CA不知名。同时在服务器端的回调函数也有错误输出:invalid cert from subject:

这说明服务器端校验客户端证书失败,原因当然是服务器端我们没有把我们自己的CA设置为可信。所以同样的在服务器端也要修改一下,加上以下两句:

cafile="c:/ca/ca.crt"

ctx.load_verify_locations( cafile)

 

重新运行,这下成功了

下面把完整的代码发一下:

服务器端:

#-* -coding: utf-8 -* -

‘‘‘

Created on 2018-1-16

 

@author: qh

‘‘‘

from twisted.internet import iocpreactor as iocpreactor

 

try:

    iocpreactor.install()

except Exception, e:

    print "iocp install failed:%s" % str(e)

   

from twisted.web import server, resource

from twisted.internet import reactor,ssl

from OpenSSL import SSL

cafile="c:/ca/ca.crt"

 

 

class MainResource(resource.Resource):

 

    isLeaf = True

 

    # 用于处理GET类型请求

    def render_GET(self, request):

 

        # name参数

        name = ‘World‘

        if request.args.has_key(‘name‘):

            name = request.args[‘name‘][0]

 

        # 设置响应编码

        request.responseHeaders.addRawHeader("Content-Type", "text/html; charset=utf-8")

 

        # 响应的内容直接返回

        return "

Hello, " + name + ""

 

 

 

if __name__ == ‘__main__‘:

    sslContext = ssl.DefaultOpenSSLContextFactory(

        ‘C:/ca/server.key‘, # 私钥

        ‘C:/ca/server.crt‘ # 证书

    )

    ctx = sslContext.getContext()

   

    ctx.set_verify(

        SSL.VERIFY_PEER | SSL.VERIFY_FAIL_IF_NO_PEER_CERT,

        verifyCallback

        )

    ctx.load_verify_locations( cafile)

    site = server.Site(MainResource())

    reactor.listenSSL(8080, site, sslContext)

    print "监听端口:8080"

    reactor.run()

 

客户端:

‘‘‘

Created on 2018-3-2

 

@author: qh

‘‘‘

import urllib2

import ssl

 

 

 

KEY_FILE="C:/ca/client.key"

CERT_FILE="C:/ca/client.crt"

CA_FILE="c:/ca/ca.crt"

 

context = ssl.SSLContext(ssl.PROTOCOL_SSLv23) 

context.check_hostname = False 

context.load_cert_chain(certfile=CERT_FILE,keyfile=KEY_FILE)

context.load_verify_locations(CA_FILE)

context.verify_mode=ssl.CERT_REQUIRED

if __name__ == ‘__main__‘:

    req = urllib2.Request(myurl)

    try:

        response = urllib2.urlopen(req,context=context)

        #response = urllib2.urlopen(req)

        print "HTTP return code:%d" % response.getcode()

        strResult= response.read()

        print strResult

    except Exception ,ex:

        print "Found Error in auth phase:%s" % str(ex)

 

 

五、其它

1、context.load_cert_chain(certfile=CERT_FILE,keyfile=KEY_FILE)

这个函数可以只提供一个certfile这一个文件,这时要求CERT_FILE里面包括私钥。其实证书文件和私钥文件都是简单的文本文件,你可以把私钥文件的内容复制到证书文件后面,这样你就可以在这个函数里面只提供一个文件了。

 

2、如何在request对象里面读出客户端信息呢?

所有的客户端信息都可以request对象里面读出,包括客户端的证书信息,看看下面,你所需要的基本都有了

def render_GET(self, request):

        print request.content.read()

        print request.getAllHeaders()

        print request.getClientIP()

        print request.getHost()

        print request.transport.getPeer()

        cl=request.transport.getPeerCertificate()

        certificate = ssl.Certificate(cl)

        print certificate.getIssuer()

        print certificate.getSubject()

 

3、使用POST方法发送JSON数据

def urllib2_open(myurl):

    headers = {‘Content-Type‘: ‘application/json‘}

    data={‘test‘:‘hello‘}

    req = urllib2.Request(myurl,headers=headers, data=json.dumps(data))

    try:

       

        response = urllib2.urlopen(req,context=context)

        print "HTTP return code:%d" % response.getcode()

        strResult= response.read()

        print strResult

    except Exception ,ex:

        print "Found Error in auth phase:%s" % str(ex)

4、有一个地方我研究的不是特别清楚:默认情况下python是到哪里找权威CA证书的,是在某个文件夹还在通过注册表,还是直接通过操作系统提供的API。

 

 

写这么多总算把该写的写完了。之前我只是想用python访问一个HTTPS站点的。但当时很不顺利,不管怎么搞都出现SSLV3_ALERT_HANDSHAKE_FAILURE,当时在网上找了很多类似的解决办法,什么启用SSLV3啊、把加密方式改为ALL啊,另外也用了requests和pycurl等等第三方组件。但所有尝试无一成功。花了我好几天时间。最后终于发现原来这个站点需要双向认证。从这里面感觉自己对SSL了解太少了,走了太多弯路。于是就对SSL好好研究了一下,这才有了上面的内容。这些内容还是比较肤浅,都只限于应用方面,但对我来说足够了。分享给大家,让大家少走我走过的弯路。

在python使用SSL(HTTPS)

标签:浏览器   erro   服务器   pycurl   nss   两种   elf   环境变量   回调函数   

原文地址:https://www.cnblogs.com/jiangzhaowei/p/9123467.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!