扭曲的python中的SSL证书和密钥 - 缺少私钥客户端?

时间:2014-09-25 15:13:53

标签: python authentication ssl certificate twisted

我有以下python代码作为服务器TLS服务器:

from twisted.internet import ssl, protocol, defer, task, endpoints
from twisted.protocols.basic import LineReceiver
from twisted.python.modules import getModule

class TLSServer(LineReceiver):
    def lineReceived(self, line):
        print("received: " + line)
        if line == "STARTTLS":
            print("-- Switching to TLS")
            self.sendLine('READY')
            self.sendLine('STARTTLS')
            self.transport.startTLS(self.factory.options)
            self.sendLine('Go ahead, secure now')
        else:
            self.sendLine("ack: " + line)

def main(reactor):
    certData = getModule(__name__).filePath.sibling('servercert.pem').getContent()
    cert = ssl.PrivateCertificate.loadPEM(certData)
    factory = protocol.Factory.forProtocol(TLSServer)
    factory.options = cert.options()
    endpoint = endpoints.TCP4ServerEndpoint(reactor, 8000)
    endpoint.listen(factory)
    return defer.Deferred()

if __name__ == '__main__':
    import starttls_server
    task.react(starttls_server.main)

servercert.pem看起来像:

        -----BEGIN CERTIFICATE-----
(PEM BITS SNIPPED FOR BREVITY AND PRIVACY/SECURITY!)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
(PEM BITS SNIPPED FOR BREVITY AND PRIVACY/SECURITY!)
    -----END RSA PRIVATE KEY-----

对于客户端(在同一台机器上运行),我创建了clientcert.pem - 它基本上只是上面servercert.pem的证书部分。但这失败了:

# openssl s_client -connect localhost:8000 -starttls smtp -cert clientcert.pem
unable to load client certificate private key file
140310331250504:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

我尝试从证书中生成公钥并将其插入clientcert.pem的顶部 - 没有区别。我很担心为什么它会期待一个私人关键客户端。我对TLS的理解是私钥仍然非常多 - 对服务器来说是私有的吗?

有人可以告诉我哪里出错吗?它是服务器端的东西 - pem文件还是我的服务器代码?或者我的clientcert.pem的内容?

谢谢:)

1 个答案:

答案 0 :(得分:3)

所以我认为你在这里尝试做的是告诉客户端信任你的自签名服务器证书,明确告诉它服务器的证书是一个证书颁发机构。

A"客户证书"不是你怎么做的。客户端证书是客户端私钥,由服务器验证。此代码示例中的服务器未配置为验证客户端证书。

告诉openssl s_client命令行工具使用clientcert.pem(命名为serverauthority.pem会更准确),您会说openssl s_client -CAfile clientcert.pem)。