请求模块抛出OpenSSL.SSL.Error

时间:2018-04-16 15:59:48

标签: python rest ssl curl python-requests

我正在使用euronext.com中的REST API,我需要进一步验证服务器证书并通过模块请求发送我自己的客户端证书。

我已经用curl进行了一些测试,两个.crt / .pem文件都被接受了。

但请求仍在抛出:

DEBUG:urllib3.connectionpool:Starting new HTTPS connection (1): saturn-api-h.euronext.com
Traceback (most recent call last):
  File "C:\python36\lib\site-packages\urllib3\contrib\pyopenssl.py", line 441, in wrap_socket
cnx.do_handshake()
  File "C:\python36\lib\site-packages\OpenSSL\SSL.py", line 1806, in do_handshake
self._raise_ssl_error(self._ssl, result)
  File "C:\python36\lib\site-packages\OpenSSL\SSL.py", line 1546, in _raise_ssl_error
_raise_current_error()
  File "C:\python36\lib\site-packages\OpenSSL\_util.py", line 54, in exception_from_error_queue
raise exception_type(errors)
OpenSSL.SSL.Error: [('SSL routines', 'tls_process_server_certificate', 'certificate verify failed')]

我尝试解决这个问题:

  • 关注requests documentation
  • 将请求模块更新为2.18.4
  • 安装pyOpenSSL 17.5.0
  • 检查.crt / .pem格式化
  • 卷曲测试

工作卷曲:

curl -i -vvv -X POST https://saturn-api-h.euronext.com/SaturnWebServices/rest/Authentication/AuthenticateUser -H "Content-Type: application/json" --cert ./client.crt --cacert ./digicert-full-chain.crt

使用有效的授权标头,它会返回200状态代码,而不是401"访问被拒绝!"。如果证书验证失败,它将重定向到euronext.com,状态码为302。

有问题的python:

endpoint = 'https://saturn-api-h.euronext.com/SaturnWebServices/rest/Authentication/AuthenticateUser'       
headers = { 'Content-Type': 'application/json', } #'Authorization': 'Basic <auth_string>',

r = requests.post(endpoint, headers = headers, verify = './digicert-full-chain.crt', cert = './client.crt')

证书:

  • digicert-full-chain.crt 包含DigiCert的完整链:

    • DigiCertAssuredIDRootCA.pem
    • DigiCertSHA2AssuredIDCA.pem
    • DigiCertSHA2SecureServerCA.pem
  • client.crt 正在包含我们的证书及其密钥。

为什么curl命令工作而python的请求模块是否正常运行?

有没有办法从请求模块中显示完整的握手过程?

1 个答案:

答案 0 :(得分:1)

我自己解决了这个问题,整个链条都缺少证书。

执行/usr/local/lib/python3.4/dist-packages/certifi/cacert.pem > certifi-digicert.pem; digicert-full-chain.pem >> certifi-digicert.pem并将生成的证书传递给验证参数。

作为旁注,我使用strace命令比较python和curl的证书位置:

  • strace <python_command> |& grep open | grep -E 'crt|pem'
  • strace <curl_command> |& grep open | grep -E 'crt|pem'

我还检查了Wireshark以获得完整的握手过程,pyOpenSSL模块在服务器的证书请求后收到错误。 Alert (Level: Fatal, Description: Unknown CA)