如何使用带有python的智能卡发出TLS请求？

Question

我试过使用python库＆＃34;请求＆＃34;与受智能卡保护的网站进行通信。这意味着SSL中的强大身份验证：您必须提供客户端证书（证书和私钥）。

当我使用智能卡时，我无法读取作为正常保护的私钥（仅模数）。我可以使用python库PyKCS11读取智能卡：一旦给出密码，所有证书，公钥和私钥模数。

如何混合请求和PyKCS11？
如何在智能卡中使用客户端证书发出SSL请求？

编辑2017/08/04

在我的Mac上：

• brew install openssl
• brew install opensc
• brew install engine_pkcs11
• OpenSSL的
  • engine dynamic -pre SO_PATH：/usr/local/Cellar/engine_pkcs11/0.1.8/lib/engines/engine_pkcs11.so -pre ID：pkcs11 -pre LIST_ADD：1 -pre LOAD -pre MODULE_PATH：/ usr / local / lib /（我的特定Pkcs11 lib）.dylib
    • 已加载：（pkcs11）pkcs11 engine
  • s_client -engine pkcs11 -key＆＃39;（slot）:( id）＆＃39; -keyform engine -cert＆＃39; pem.cer＆＃39; -connect（主持人）：443 -state -debug
    • SSL握手确定

我现在的问题是pyOpenSSl在API中没有选择引擎的功能（如pkcs11）。所以我停了下来。我不能使用python。

Answer 1

我有一个类似的问题，除了我在Windows上，并且需要使用“ capi”引擎来处理智能卡客户端证书。我有一个使用cffi的工作代码，并使用pyopenssl请求，我希望对其进行更改以支持pkcs11不会太困难。

import os
import ssl
import sys

import cffi
import requests

pyopenssl = requests.packages.urllib3.contrib.pyopenssl
pyopenssl.inject_into_urllib3()

# I use anaconda and these paths are valid for me, change as required
libcryptopath = os.path.join(sys.prefix, "Library", "bin", "libcrypto-1_1-x64.dll")
libsslpath = os.path.join(sys.prefix, "Library", "bin", "libssl-1_1-x64.dll")
capipath = os.path.join(sys.prefix, "Library", "lib", "engines-1_1", "capi.dll")

ffi = cffi.FFI()
ffi.cdef(
    "void *ENGINE_by_id(const char *id);"
    "int ENGINE_ctrl_cmd_string(void *e, const char *cmd_name, const char *arg, int cmd_optional);"
    "int ENGINE_init(void *e);"
    "int SSL_CTX_set_client_cert_engine(void *ctx, void *e);"
)

try:
    libcrypto, libssl, engine
except NameError:
    libcrypto = ffi.dlopen(libcryptopath)
    libssl = ffi.dlopen(libsslpath)
    engine = libcrypto.ENGINE_by_id(b"dynamic")
    libcrypto.ENGINE_ctrl_cmd_string(engine, b"SO_PATH", capipath.encode(), 0)
    libcrypto.ENGINE_ctrl_cmd_string(engine, b"LOAD", ffi.NULL, 0)
    libcrypto.ENGINE_init(engine)


class PyOpenSSLContextCAPI(pyopenssl.PyOpenSSLContext):
    def __init__(self, *args, **kwargs):
        super().__init__(*args, **kwargs)
        libssl.SSL_CTX_set_client_cert_engine(self._ctx._context, engine)


# https://lukasa.co.uk/2017/02/Configuring_TLS_With_Requests/
class HTTPAdapterCAPI(requests.adapters.HTTPAdapter):
    def init_poolmanager(self, *args, **kwargs):
        context = PyOpenSSLContextCAPI(ssl.PROTOCOL_TLS)
        kwargs['ssl_context'] = context
        return super().init_poolmanager(*args, **kwargs)


class SessionCAPI(requests.Session):
    def __init__(self, *args, **kwargs):
        super().__init__(*args, **kwargs)
        self.mount("https://", HTTPAdapterCAPI())


if __name__ == '__main__':
    s = SessionCAPI()
    r = s.get("https://example.com")
    print(r.text)

Answer 2

我会尝试使用：

• OpenSSL与PKCS＃11（可能使用pkcs11引擎https://github.com/OpenSC/libp11）
• pyOpenSSL

Answer 3

它与M2Crypto兼容：

-webkit-overflow-scrolling: touch

之后，您可以添加您特定的pkcs11库并添加图钉。