如何配置Python以忽略主机名验证?

时间:2019-03-14 15:02:02

标签: python python-2.7 ssl

我们在Python中相对较新,因此可能是问题太简单了。 我们正在使用Python版本2.7.15。

我们试图在TLS上使用Python失败。

这是我们的代码:

import ssl,socket
import urllib2

context = ssl.SSLContext(ssl.PROTOCOL_TLS)
context.verify_mode = ssl.CERT_REQUIRED
context.check_hostname = False
context.load_verify_locations("/py-test/python/bin/certificate.pem")
url = "https://10.0.0.12"
request = urllib2.Request(url)
websocket = urllib2.urlopen(request,None,None,None,None,None,context)
pages=websocket.readlines()
print pages

如您所见,我们已经配置了context.check_hostname = False

不幸的是,它失败并出现以下异常

Traceback (most recent call last):
 File "./test.py", line 11, in <module>
   websocket = urllib2.urlopen(request,None,None,None,None,None,context)
 File "/py-test/python/lib/python2.7/urllib2.py", line 154, in urlopen
   return opener.open(url, data, timeout)
 File "/py-test/python/lib/python2.7/urllib2.py", line 429, in open
   response = self._open(req, data)
 File "/py-test/python/lib/python2.7/urllib2.py", line 447, in _open
   '_open', req)
 File "/py-test/python/lib/python2.7/urllib2.py", line 407, in _call_chain
   result = func(*args)
 File "/py-test/python/lib/python2.7/urllib2.py", line 1241, in https_open
   context=self._context)
 File "/py-test/python/lib/python2.7/urllib2.py", line 1198, in do_open
   raise URLError(err)
urllib2.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:726)>

这绝对是主机名验证。 如果我们使用正确的证书和正确的主机名,则请求成功。

如果我们使用错误的证书,它将失败,并带有以下异常。

File "./test.py", line 8, in <module>
   context.load_verify_locations("/py-test/python/bin/certificate_bad.pem")
ssl.SSLError: [X509] PEM lib (_ssl.c:3027)

因此,我们需要帮助来了解如何配置Python以忽略主机名验证。

还有一个问题(可以在单独的线程中提问)。

我们在Python中是否有一个包含所有已知CA的trustore文件?就像Java中的cacerts.jks一样。 在哪里可以找到托管人?

已添加

我们“想验证证书是否由有效的CA签署”,但是“我们不在乎它是否标识您实际连接的站点”。

我们需要帮助来配置Python以忽略主机名验证吗? 我们的代码有什么错误? 我们已尝试根据文档https://docs.python.org/2/library/ssl.html

创建代码

添加了2

我们花了很多时间,但是很遗憾,我们没有取得进展。

有人在Python 2.7中有可用的示例吗? 我的意思是,如果您使用其他URL访问,然后出现在证书中,则该代码有效。 可能是无法将Python 2.7配置为忽略主机名验证吗?

我们的问题是什么? 我们在CentOS 6上使用它。 可能与OpenSSL有关吗?我们使用最新版本的openssl-1.0.1e-57.el6.x86_64。 也许我们应该升级到Python 3.x?

2 个答案:

答案 0 :(得分:3)

import ssl
ssl._create_default_https_context = ssl._create_unverified_context

强制python默认情况下跳过证书的验证。希望对您有所帮助。

答案 1 :(得分:3)

您发现,可以通过自定义用于验证连接的SSLContext对象来实现此目的。

但是,要将其挂接到urllib2.urlopen中,您需要构建一个自定义打开器并进行安装。

这是一个例子:

import httplib
import socket
import ssl
import urllib2

import certifi


class InterceptedHttpsConnection(httplib.HTTPSConnection):
    def connect(self):
        # Open an unencrypted TCP socket first
        sock = socket.create_connection((self.host, self.port), self.timeout)

        # Build up a custom SSLContext. (Might be better to do this once rather
        # than on every request.)
        context = ssl.SSLContext(ssl.PROTOCOL_TLS)

        # We require the SSL context to verify the certificate.
        context.verify_mode = ssl.CERT_REQUIRED

        # But we instruct the SSL context to *not* validate the hostname.
        context.check_hostname = False

        # Load CA certificates from the certifi bundle.
        context.load_verify_locations(cafile=certifi.where())

        # Use our SSLContext object to wrap the bare socket into an SSL socket.
        self.sock = context.wrap_socket(sock, server_hostname=self.host)


class InterceptedHttpsHandler(urllib2.HTTPSHandler):
    def https_open(self, req):
        return self.do_open(InterceptedHttpsConnection, req)


def main():
    opener = urllib2.build_opener(InterceptedHttpsHandler)
    urllib2.install_opener(opener)

    contents = urllib2.urlopen('https://example.com/').read()
    print contents