如何在python中验证SSL证书?

2024-05-13 12:53:16 发布

您现在位置:Python中文网/ 问答频道 /正文
374 3

我需要验证证书是否由我的自定义CA签名。使用OpenSSL命令行实用程序很容易做到:

# Custom CA file: ca-cert.pem
# Cert signed by above CA: bob.cert
$ openssl verify -CAfile test-ca-cert.pem bob.cert
bob.cert: OK

但是我需要在Python中做同样的事情,我真的不想调用命令行实用程序。据我所知,m2cypto是OpenSSL的“最完整”python包装器,但我不知道如何完成命令行实用程序的功能!

参考this question了解如何在C代码中完成相同的任务,我已经能够得到大约一半的结果。我选择的变量名与openssl verify命令行实用程序的源代码中使用的变量名相同,请参见openssl-xxx/apps/verify.c

import M2Crypto as m2
# Load the certificates
cacert = m2.X509.load_cert('test-ca-cert.pem')   # Create cert object from CA cert file
bobcert = m2.X509.load_cert('bob.cert')     # Create cert object from Bob's cert file
cert_ctx = m2.X509.X509_Store()             # Step 1 from referenced C code steps
csc = m2.X509.X509_Store_Context(cert_ctx)  # Step 2 & 5
cert_ctx.add_cert(cacert)                   # Step 3
cert_ctx.add_cert(bobcert)                  # ditto
# Skip step 4 (no CRLs to add)
# Step 5 is combined with step 2...I think. (X509_STORE_CTX_init: Python creates and 
#   initialises an object in the same step)
# Skip step 6? (can't find anything corresponding to 
#   X509_STORE_CTX_set_purpose, not sure if we need to anyway???)
# 
# It all falls apart at this point, as steps 7 and 8 don't have any corresponding
# functions in M2Crypto -- I even grepped the entire source code of M2Crypto, and
# neither of the following functions are present in it:
# Step 7: X509_STORE_CTX_set_cert - Tell the context which certificate to validate.
# Step 8: X509_verify_cert - Finally, validate it

所以我已经走到一半了,但我似乎无法真正完成验证!我遗漏了什么吗?M2Crypto中是否还有其他函数需要我使用?我应该寻找一个完全不同的OpenSSL的python包装器吗?我怎样才能用python!?!?

请注意,我使用证书来加密/解密文件,所以我不想使用基于SSL连接的对等证书验证(它有already been answered),因为我没有任何SSL连接。


Tags: theto命令行实用程序certstepca证书
3条回答
网友
1楼 · 编辑于 2024-05-13 12:53:16

不能用普通的M2Crypto来实现这一点,因为它没有包装一些必需的函数。好消息是,如果你安装了SWIG,你可以自己包装,并与M2Crypto代码一起使用。前一段时间我为自己制作了一个带有一些额外功能的模块,现在决定发布它,因为它会进行这种验证。你可以在这里查一下:https://github.com/abbot/m2ext。下面是一个如何使用此模块验证证书的示例:

import sys
from m2ext import SSL
from M2Crypto import X509

print "Validating certificate %s using CApath %s" % (sys.argv[1], sys.argv[2])
cert = X509.load_cert(sys.argv[1])
ctx = SSL.Context()
ctx.load_verify_locations(capath=sys.argv[2])
if ctx.validate_certificate(cert):
    print "valid"
else:
    print "invalid"

不幸的是,M2Crypto的开发似乎停滞不前(在过去的两年里,bug tracker中没有关闭的问题),而维护人员忽略了我的bug和带有这些和一些其他补丁的电子邮件。。。

网友
2楼 · 编辑于 2024-05-13 12:53:16

您可以使用不幸未记录的^{}方法检查证书是否使用CA的私钥签名。在后台调用OpenSSL的x509_verify时,我确信这也会正确地检查所有参数(比如expiration):

from M2Crypto X509

cert = X509.load_cert("certificate-filename")

caCertificate = X509.load_cert("trusted-ca-filename")
caPublic = caCertificate.get_pubkey()

if cert.verify(caPublic) == 1:
     # Certificate is okay!
else:
     # not okay
网友
3楼 · 编辑于 2024-05-13 12:53:16

就像你说的, OpenSSL需要连接

M2Crypto没有很好的验证

这个巧妙的想法怎么样:

import os 
os.system('openssl verify -CAfile ../ca-cert.pem bob.cert')

很难看,但很管用!

相关问题 更多 >

    编程相关推荐