我有一个可通过多个网址访问的网站,其中2个网站有SSL证书,使用SSL SNI提供服务(整个服务使用nginx提供)。
只要两个证书都有效,此设置适用于浏览器以及监控网站的Python 2.7.11代码。
最近,其中一个证书已过期 - 未用于任何内容的证书(不适用于入站流量,不适用于监控)。这对访问该网站的浏览器没有影响,但它开始导致监视Python脚本失败,如下所示:
2016-12-24 02:09:49,351 - foo.__main__(140582120666944) - app_monitoring.py:90 - ERROR - Call to <lambda> Failed 1 times
Traceback (most recent call last):
File "devops/monitoring/app_monitoring.py", line 88, in call_with_retry
func(*args, **kwargs)
File "devops/monitoring/app_monitoring.py", line 116, in <lambda>
test_func=lambda: yapi_calls.test_api_on_all_datasets(Flags.yapi_url)),
File "/usr/src/app/system_tests/yapi_calls.py", line 158, in test_api_on_all_datasets
datasets = send(yapi_url, 'list_datasets', {})
File "/usr/src/app/system_tests/yapi_calls.py", line 48, in send
return gcloud.get_yapi(yapi_url).execute(api_call, req)
File "/usr/src/app/cloudapi/yapi.py", line 23, in execute
return self._execute(api_call, req, True)
File "/usr/src/app/cloudapi/yapi.py", line 36, in _execute
headers=headers)
File "/usr/local/lib/python2.7/dist-packages/oauth2client/client.py", line 631, in new_request
redirections, connection_type)
File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1609, in request
(response, content) = self._request(conn, authority, uri, request_uri, method, body, headers, redirections, cachekey)
File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1351, in _request
(response, content) = self._conn_request(conn, request_uri, method, body, headers)
File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1272, in _conn_request
conn.connect()
File "/usr/local/lib/python2.7/dist-packages/httplib2/__init__.py", line 1059, in connect
raise SSLHandshakeError(e)
SSLHandshakeError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)
注意:我有一个有效的证书和一个过期的证书,问题是由于过期的证书而引发了异常,即使我通过带有效证书的URL。
我使用requests
进行了检查,并且访问&#34;好&#34;没有问题URL,虽然我访问过期的URL时收到预期的SSL错误 - 所以我怀疑这是特定于httplib2处理SNI证书的问题。
不幸的是,我无法在此流程中切换到requests
,因为这是一个外部库(在堆栈跟踪中可见 - oauth2client
)。
除了安装新的有效SNI证书(或转换为非SNI证书)之外 - 我还能做些什么吗?
更新:我找到了适用于此案例的解决方法。
使用nginx提供SSL SNI时,仍然需要设置默认证书。 事实证明,在这种情况下,默认证书是过期的证书。 通过将默认证书更改为有效证书,错误就消失了。
这种解决方法让我觉得httplib2 SSL SNI实施中存在一个错误 - 它似乎需要验证默认证书,即使它不是证书请求域名。