我必须在基于Linux的固件上为嵌入式系统组件实现基于Python的Web服务器:
class WebServer(http.server.HTTPServer)
...
...
要启用 ssl连接,请在服务器内创建ssl上下文
self.ssl_context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
self.ssl_context.load_cert_chain(certfile=cert, keyfile=key)
self.ssl_context.verify_mode = ssl.CERT_REQUIRED
self.ssl_context.load_verify_locations(verifyCert)
注意:cert是证书的文件路径,keyfile是私钥的路径。
在请求时,调用方法get_request:
def get_request(self):
request = self.socket.accept()
if self.ssl_context:
req_socket, addr = request
connstream = self.ssl_context.wrap_socket(req_socket, server_side=True)
return connstream, addr
else:
return request
wrap_socket方法用于将原始套接字包装到ssl套接字中,而后者则返回该套接字。这就是提供ssl连接的全部内容。
现在的问题是:
解决方案是第一个实现,并不安全。我们不习惯使用给定的硬件安全模块(HSM)来创建和存储证书和私钥。任何私钥都是完全隐藏的,永远不会离开模块。所有加密原语必须直接在模块内执行。 HSM的接口是PKCS#11,供应商提供动态中间件库。
如何使用模块而不是原始的ssl来设置python下的ssl上下文?我已经知道,ssl基于openSSL,其中存在PKCS#11引擎(libarary opensc-pkcs11.so)。供应商提供的中间件提供了PKCS#11 API。
不幸的是,我没有计划如何将PKCS#11引擎集成到python的ssl / openSSL以及如何将所有内容组合在一起。甚至可以透明地使用PKCS#11而不是本机实现,如果是,我如何从python中激活它?此外,我将如何传递参数" certfile"和"密钥文件",因为它们不再作为普通文件可用?实际上我无法直接访问私钥;只有基于URL的引用才能在HSM中对其进行操作。
PyKCS11可以是一个解决方案而不是ssl吗?
我只需要知道解决这个问题的基本途径。我可以自己找到所有细节。
答案 0 :(得分:1)
不建议使用Python在网络服务器中执行TLS任务。 最好使用nginx或apache来做。 它们同时支持pkcs#11 SSL上下文,并且由于使用C语言编写,因此可以快速协商SSL。
因此恢复: