我们在Python中相对较新,因此可能是问题太简单了。 我们正在使用Python版本2.7.15。
我们试图在TLS上使用Python失败。
这是我们的代码:
import ssl,socket
import urllib2
context = ssl.SSLContext(ssl.PROTOCOL_TLS)
context.verify_mode = ssl.CERT_REQUIRED
context.check_hostname = False
context.load_verify_locations("/py-test/python/bin/certificate.pem")
url = "https://10.0.0.12"
request = urllib2.Request(url)
websocket = urllib2.urlopen(request,None,None,None,None,None,context)
pages=websocket.readlines()
print pages
如您所见,我们已经配置了context.check_hostname = False
不幸的是,它失败并出现以下异常
Traceback (most recent call last):
File "./test.py", line 11, in <module>
websocket = urllib2.urlopen(request,None,None,None,None,None,context)
File "/py-test/python/lib/python2.7/urllib2.py", line 154, in urlopen
return opener.open(url, data, timeout)
File "/py-test/python/lib/python2.7/urllib2.py", line 429, in open
response = self._open(req, data)
File "/py-test/python/lib/python2.7/urllib2.py", line 447, in _open
'_open', req)
File "/py-test/python/lib/python2.7/urllib2.py", line 407, in _call_chain
result = func(*args)
File "/py-test/python/lib/python2.7/urllib2.py", line 1241, in https_open
context=self._context)
File "/py-test/python/lib/python2.7/urllib2.py", line 1198, in do_open
raise URLError(err)
urllib2.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:726)>
这绝对是主机名验证。 如果我们使用正确的证书和正确的主机名,则请求成功。
如果我们使用错误的证书,它将失败,并带有以下异常。
File "./test.py", line 8, in <module>
context.load_verify_locations("/py-test/python/bin/certificate_bad.pem")
ssl.SSLError: [X509] PEM lib (_ssl.c:3027)
因此,我们需要帮助来了解如何配置Python以忽略主机名验证。
还有一个问题(可以在单独的线程中提问)。
我们在Python中是否有一个包含所有已知CA的trustore文件?就像Java中的cacerts.jks一样。
在哪里可以找到托管人?
已添加
我们“想验证证书是否由有效的CA签署”,但是“我们不在乎它是否标识您实际连接的站点”。
我们需要帮助来配置Python以忽略主机名验证吗? 我们的代码有什么错误? 我们已尝试根据文档https://docs.python.org/2/library/ssl.html
创建代码添加了2
我们花了很多时间,但是很遗憾,我们没有取得进展。
有人在Python 2.7中有可用的示例吗? 我的意思是,如果您使用其他URL访问,然后出现在证书中,则该代码有效。 可能是无法将Python 2.7配置为忽略主机名验证吗?
我们的问题是什么? 我们在CentOS 6上使用它。 可能与OpenSSL有关吗?我们使用最新版本的openssl-1.0.1e-57.el6.x86_64。 也许我们应该升级到Python 3.x?
答案 0 :(得分:3)
import ssl
ssl._create_default_https_context = ssl._create_unverified_context
强制python默认情况下跳过证书的验证。希望对您有所帮助。
答案 1 :(得分:3)
您发现,可以通过自定义用于验证连接的SSLContext对象来实现此目的。
但是,要将其挂接到urllib2.urlopen中,您需要构建一个自定义打开器并进行安装。
这是一个例子:
import httplib
import socket
import ssl
import urllib2
import certifi
class InterceptedHttpsConnection(httplib.HTTPSConnection):
def connect(self):
# Open an unencrypted TCP socket first
sock = socket.create_connection((self.host, self.port), self.timeout)
# Build up a custom SSLContext. (Might be better to do this once rather
# than on every request.)
context = ssl.SSLContext(ssl.PROTOCOL_TLS)
# We require the SSL context to verify the certificate.
context.verify_mode = ssl.CERT_REQUIRED
# But we instruct the SSL context to *not* validate the hostname.
context.check_hostname = False
# Load CA certificates from the certifi bundle.
context.load_verify_locations(cafile=certifi.where())
# Use our SSLContext object to wrap the bare socket into an SSL socket.
self.sock = context.wrap_socket(sock, server_hostname=self.host)
class InterceptedHttpsHandler(urllib2.HTTPSHandler):
def https_open(self, req):
return self.do_open(InterceptedHttpsConnection, req)
def main():
opener = urllib2.build_opener(InterceptedHttpsHandler)
urllib2.install_opener(opener)
contents = urllib2.urlopen('https://example.com/').read()
print contents