我正在使用Python 2.7.13。我正在尝试连接https://www.python.org/并使用urllib2.urlopen
验证其证书。我在此过程中收到“SSL:CERTIFICATE_VERIFY_FAILED”错误,当我尝试谷歌问题时,我似乎得到了如何绕过此安全检查的答案。但我不希望我的代码绕过它,我希望它使用证书。这是我的代码失败:
import urllib2
from contextlib import closing
import ssl
ctx = ssl.create_default_context(purpose = ssl.Purpose.SERVER_AUTH, cafile = 'www.python.org.crt')
request = urllib2.Request('https://www.python.org/')
# Produces URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)>
with closing(urllib2.urlopen(request, context = ctx)) as response:
print response.read()
cafile = 'www.python.org.crt'
是一个PEM格式的文件,正确地以-----BEGIN CERTIFICATE-----
开头。我使用https://www.python.org/从this instruction导出它并将其放入脚本的工作文件夹中。
答案 0 :(得分:0)
来自文档:https://docs.python.org/2/library/ssl.html#ssl._https_verify_certificates
从Python 2.7.9开始,httplib和使用它的模块(例如urllib2和xmlrpclib)默认验证在建立客户端HTTPS连接时收到的远程服务器证书。此默认验证检查证书是否由系统信任库中的证书颁发机构签名,并且所提供证书上的公用名(或主题备用名)与请求的主机匹配。
因此,您不需要任何特殊的东西来验证证书。您可以看到,因为您的验证失败,这表明您正在进行验证。
那你为什么没有成功验证呢?答案就在于您使用咖啡馆。 cafile参数采用一个文件覆盖系统默认的可信证书库。但要理解可信证书的重要一点,验证过程不是要检查主机是否在受信任的商店中,而是在受信任的商店中签名但是是证书。因此,您不需要传递实际的服务器证书,您可以从python.org的证书供应商(撰写本文时的digicert)传递证书。
但实际上您甚至不需要这样做,因为系统应该附带来自许多供应商的大量可信证书。这些供应商在某种程度上受到审核(意见因程度而异 - 现在正在逐渐脱离主题),如果将cafile参数留空,python的库将根据此设置进行验证。
所以你找到了
>>> ctx = ssl.create_default_context(purpose = ssl.Purpose.SERVER_AUTH, cafile = '/tmp/python.org.cert')
>>> urllib2.urlopen("https://www.python.org/", context = ctx)
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "/usr/lib/python2.7/urllib2.py", line 154, in urlopen
return opener.open(url, data, timeout)
File "/usr/lib/python2.7/urllib2.py", line 429, in open
response = self._open(req, data)
File "/usr/lib/python2.7/urllib2.py", line 447, in _open
'_open', req)
File "/usr/lib/python2.7/urllib2.py", line 407, in _call_chain
result = func(*args)
File "/usr/lib/python2.7/urllib2.py", line 1241, in https_open
context=self._context)
File "/usr/lib/python2.7/urllib2.py", line 1198, in do_open
raise URLError(err)
urllib2.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:661)>
失败了,但是这个:
>>> ctx = ssl.create_default_context(purpose = ssl.Purpose.SERVER_AUTH,)
>>> urllib2.urlopen("https://www.python.org/", context = ctx)
<addinfourl at 140556044048504 whose fp = <socket._fileobject object at 0x7fd5c1127b50>>
作品。
最后,我想指出httplib和http.client(在python 3中),这对于这类事情来说是更清晰的接口。