Python https认证

最新推荐文章于 2025-07-16 21:42:32 发布
原创 最新推荐文章于 2025-07-16 21:42:32 发布 · 5.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #ssl

本文讲述了在Python 2.7.13环境下遇到的SSL双向认证问题,包括协议匹配、证书类型与格式,以及如何处理Java keystore格式的证书。通过实例展示了如何解决证书校验失败和握手失败的问题,提供了将Android .bks转换为Python可用格式的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先说一下我的环境,Python是2.7.13版本的,Python我用的话一直都用2.7版本的,没想到子版本里面也还有不同的地方。
接下来就说一说我这几天遇见的问题,Python ssl双向认证的问题;

建立ssl的安全socket链接,ssl这个介绍的网上一抓一大把,Python来写的也是一抓一大把(客户端的、服务端的),我就不多说了。
我只说几个需要注意的点:
(1)协议是一个坑,客户端和服务端的协议要对应,要不然会报错;
(2)证书一个坑,作为ssl来讲证书在里面扮演着一个很重要的角色,主要有这么几个证书:
CA证书(自签名的证书,也是根证书,是证书信任链的起点,用来颁发证书),它的作用就是负责校验对端传过来证书合法性的;
Server公钥证书,用来发给客户端表明身份的;
Server私钥证书,给自己用的,用来协商秘钥之类的。
Client公钥证书(非必要);
Client私钥证书(非必要)。
另外不同的开发环境证书的存储方式和编码格式也是不一样的,比如说java里面有一个用keytool生成的jks格式的证书库,Android里面有一个也是用keytool生成的叫做bks格式的证书库,这个网上也有很多资料我就不啰嗦了。

那么在Python里面它是要求要用PEM格式进行编码的后缀名无所谓(.crt/.cer/.pem/.gousheng都可以),但它的格式是这样的:
证书格式

Bag Attributes
friendlyName: CN=,OU=,O=,L=,ST=**,C=cn -storepass xxxx -keypass xxxx
localKeyID: … …
subject=/C=cn -storepass xxxx -keypass xxxx/ST=xxxx/L=xxxx/O=xxxx/OU=xxxx/CN=localhost
issuer=/C=cn -storepass xxxx -keypass xxxx/ST=xxxx/L=xxxx/O=xxxx/OU=xxxx/CN=localhost
—–BEGIN CERTIFICATE—–
… ….
—–END CERTIFICATE—–

key格式

Bag Attributes
friendlyName: *
localKeyID: … ….
Key Attributes:
—–BEGIN ENCRYPTED PRIVATE KEY—–
… …
—–END ENCRYPTED PRIVATE KEY—–

这两个是我从Android bks里面扒出来的,它主要的是在BEGIN和END之间的部分。

接下来我就说是怎么被坑的:
我的对端,也就是服务端是用java写的,它用的是keystore模式。
最开始我的代码是这样的:

mContext = ssl.SSLContext(ssl.PROTOCOL_TLSv1) #指定ssl版本,为tls1
mContext.verify_mode = ssl.CERT_REQUIRED #指定证书校验模式,需要交验
mContext.check_hostname = true #检查主机名
mContext.load_verify_locations("https.crt") #加载校验的根证书
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)#建立普通socket
mContext.wrap_socket(s, server_hostname='10.8.40.116') #封装一层,建立ssl socket
ssl_sock.connect(('10.8.40.116', 9999)) #链接

这个SSLContext 有的小伙伴们可能没有,不过别慌是可以手动添加的。也很简洁,然后我就运行啊,然后就报错 : 证书校验失败。
后来我发现这个https.crt就他么的不是根证书,那怎么办? 别慌,我们可以不进行证书校验,虽然不安全啊:

mContext.verify_mode = ssl.CERT_NONE #指定证书校验模式,不需要校验

我以为这就成了呢,别慌后面还有坑呢。
改了这一条之后我再运行就报错:ssl握手失败,ssl握手的过程大家自行脑补啊,我这个火大啊,果断用wireshark抓包看看,之后我发现服务器那边已经把公钥证书传过来,我也没校验它怎么会失败呢?结果我返回来仔细的研究了一下之前java Client端我发现,他么的还是个双向认证!

SSLContext clientContext = SSLContext.getInstance("TLS");
//第一个参数 身份验证密钥源,第二参数 信任决策源, 第三个参数 随机数源
clientContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(),null);

以后我们看java的ssl链接不用多看,就看它SSLContext初始化的时候传入的参数,如果前两个都有说明是双向的,只有第一个,说明是服务端,只有第二个说明是客户端。

好吧,那我也双向 认证吧,但是问题来了,以前java客户端的证书和key的存储格式是Android.bks 秘钥和证书存一起了,我要是用Python的话先要把它们导出来,怎么办呢?我最后在网上找了一招:

import java.io.FileOutputStream;
import java.security.Key;
import java.security.KeyStore;
import java.security.Security;
import java.util.Enumeration;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;


public class offset 
{
    /**
      * 从BKS格式转换为PKCS12格式
      * 
      * @param jksFilePath  String JKS格式证书库路径
      * @param jksPasswd  String JKS格式证书库密码
      * @param pfxFilePath  String PKCS12格式证书库保存文件夹
      * @param pfxPasswd String PKCS12格式证书库密码
      */
     public static void covertBKSToPFX(String jksFilePath, String jksPasswd,
       String pfxFolderPath, String pfxPasswd) throws Throwable
     {
         FileInputStream fis = null;
         try
         {
             KeyStore inputKeyStore = KeyStore.getInstance("BKS",new org.bouncycastle.jce.provider.BouncyCastleProvider());
             Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
             fis = new FileInputStream(jksFilePath);
             char[] srcPwd = jksPasswd == null ? null : jksPasswd.toCharArray();
             char[] destPwd = pfxPasswd == null ? null : pfxPasswd.toCharArray();
             inputKeyStore.load(fis, srcPwd);

             KeyStore outputKeyStore = KeyStore.getInstance("PKCS12");
             Enumeration<String> enums = inputKeyStore.aliases();
             while (enums.hasMoreElements())
             {             
                 String keyAlias = (String) enums.nextElement();
                 System.out.println("alias=[" + keyAlias + "]");
                 outputKeyStore.load(null, destPwd);
                 if (inputKeyStore.isKeyEntry(keyAlias))
                 {
                     Key key = inputKeyStore.getKey(keyAlias, srcPwd);
                     java.security.cert.Certificate[] certChain = inputKeyStore.getCertificateChain(keyAlias);
                     outputKeyStore.setKeyEntry(keyAlias, key, destPwd, certChain);
                 }

                 String fName = pfxFolderPath + "_" + keyAlias + ".pfx";

                 FileOutputStream out = new FileOutputStream(fName);

                 outputKeyStore.store(out, destPwd);

                 out.close();

                 outputKeyStore.deleteEntry(keyAlias);

             }

         } 
         finally 
         {
             try
             {
                 if (fis != null)
                 {
                     fis.close();
                 }
             } 
             catch (Exception e)
             {
                 e.printStackTrace();
             }
         }
     }

     public static void main(String[] args)throws Exception
     {
         try {
            covertBKSToPFX("G:\\ftp-share\\wangzhipeng\\android.bks", "123456", "G:\\ftp-share\\wangzhipeng\\", "123456");
        } catch (Throwable e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

     }
}

这个可以把.bks转化成.pkf(#pkcs 12格式),org.bouncycastle.jar包这个自己在网上可以下载到,自己手动导入进去。
然后,用openssl 把.pkf拆成证书和key:

openssl pkcs12 -in test.pfx -clcerts -nokeys -out cert.pem  可能需要密码:这里的密码就是.pkf的密码。
openssl pkcs12 -in test.pfx -nocerts -out key.pem  生成key.pem

最后代码就变成了

import ssl,socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
ssl_sock = ssl.wrap_socket(s, certfile = 'cert.pem',keyfile = 'key.pem',ssl_version=ssl.PROTOCOL_TLSv1_2 ) #默认不对服务端证书进行校验,携带上自己的证书和key
ssl_sock.connect(('10.8.40.116', 9999))

就这么三行代码花了我三天的时间去解决它,这不是日乐购了。

飞碟说
关注
python下载https资源出现certificate verify failed
githubcurry
05-25 1956
报错问题就是证书验证失败,这种情况出现在网站使用的是自签名证书或系统根证书存在问题的时候。
python打开https出现certificate verify failed解决方案
热门推荐
追梦者的部落格
04-08 1万+
今天遇到一个奇怪的问题,在用urllib打开一个https链接的时候,出现了一下报错信息:IOError: [Errno socket error] [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:727),报错问题就是证书验证失败,这种情况出现在网站使用的是自签名证书或系统根证书存在问题的时候。 原因: Pyt...
获取在线http/https代理并验证可用性python脚本
06-21
自动从在线平台获取免费代理ip,可自定义获取条数,并自动对获取ip进行可用性验证检查
python证书认证_https双向认证(python)
weixin_39628160的博客
12-05 586
SSL Client Authentication over HTTPS (Python recipe)A 16-line python application that demonstrates SSL client authentication over HTTPS.We also explain the basics of how to set up Apache to require SS...
HTTPS与HTTP区别、HTTPS加密细节、HTTPS服务端与客户端Python代码实现(HTTPS:HTTP over TLS/SSL
最新发布
Dontla的博客
07-16 1049
HTTP是基础协议,速度快但安全性差。HTTPS是 HTTP 的安全升级版,通过加密和身份验证保障数据安全,已成为现代互联网的标准(97% 以上网站使用 HTTPS)。HTTPS 加密细节依赖 SSL/TLS 协议,结合非对称加密、对称加密和数字证书实现安全通信。Python 可通过和ssl模块快速实现 HTTPS 服务器和客户端,但生产环境需使用受信任 CA 的证书。如果涉及敏感信息传输(如登录、支付),HTTPS 是唯一可选方案。
Python进行HTTPS请求与SSL证书验证
weixin_73725158的博客
07-11 1079
对于Python开发者而言,在进行HTTPS请求时,正确处理SSL证书验证是至关重要的,这有助于防止中间人攻击和其他安全威胁。库默认启用了SSL证书验证,但在某些情况下(如使用自签名证书的开发环境),可能需要禁用或自定义验证过程。然而,禁用SSL证书验证会极大地降低安全性,因为它允许客户端与任何声称是服务器的实体进行通信,无论其是否真正拥有服务器的私钥。通过正确处理HTTPS请求中的SSL证书验证,Python开发者可以确保他们的Web应用程序与Web服务之间的通信是安全可靠的。"请求失败,状态码:"
Python3处理HTTPS请求 SSL证书验证
weixin_33744141的博客
05-15 4229
Python3处理HTTPS请求 SSL证书验证 金融类的公司网站一般都是https 开头的网站,urllib.request可以为 HTTPS 请求验证SSL证书,就像web浏览器一样,如果网站的SSL证书是经过CA认证的,则能够正常访问,如: 平安好伙伴出单系统:https://icore-pts.pingan.com.cn/ebusiness/login.jsp 浙商保险出单系统:...
Python中处理HTTPS请求和SSL证书验证
2401_86544677的博客
11-05 3944
else:通过将verify参数设置为自签名证书的路径,我们可以确保与内部服务的通信安全,同时避免因证书不受信任而导致的验证错误。requests库的设计理念体现了Python社区对易用性和强大功能的追求。它不仅简化了HTTPS请求的处理过程,还提供了丰富的高级功能,如会话管理、自定义证书验证等,使开发者能够在各种复杂场景下高效完成任务。无论是在小型项目还是大规模企业级应用中,requests库都能展现出其独特的优势。urllib库。
Python编码系列—Python中的HTTPS与加密技术:构建安全的网络通信
u013889591的专栏
08-26 1766
在当今的网络世界中,数据安全和隐私保护变得越来越重要。HTTPS作为HTTP的安全版本,通过SSL/TLS协议对数据进行加密,确保了数据传输的安全性。Python作为一门强大的编程语言,提供了丰富的库和工具来支持HTTPS和加密技术。本文将深入探讨PythonHTTPS和加密技术的原理、实际应用,并结合实际项目案例,为优快云社区的读者们展示如何在Python中实现安全的网络通信。
基于Java和Python实现简单的CA认证系统.zip
06-13
资源包含文件:设计报告word+源码及数据库sql文件 这是软件大型实验周的课设作品,用来实现一个简单的 CA 系统...详细介绍参考:https://biyezuopin.blog.youkuaiyun.com/article/details/122684531?spm=1001.2014.3001.5502
Python 访问http, https请求
07-30
"Python 访问http, https请求"这个主题聚焦于Python如何通过HTTP和HTTPS协议与Web服务器进行通信。HTTP(超文本传输协议)和HTTPS(安全超文本传输协议)是互联网上应用最广泛的数据通信方式,用于从Web服务器获取...
基于Python实现的SKey身份认证协议.zip
06-12
语言:Python 3.9 IDE:Pycharm 实现的功能 1.S/Key协议身份认证 2.用户登录日志记录 本项目中S/Key协议认证过程 1.客户端连接服务器,提示用户输入用户名,将输入的用户名发送到服务器 2.服务器在用户信息字典中...
微信小程序python用户认证的实现
09-18
在微信小程序中,用户认证可以通过与Python后端结合,采用安全可靠的方式来实现。Python作为一种广泛应用于服务器端的编程语言,能够配合Django这样的成熟框架,为微信小程序提供用户认证服务。 ### 微信小程序用户...
关于python requests 请求https 报错certificate verify failed
派派的生活
11-19 4950
Python中 requests请求httpsCERTIFICATE_VERIFY_FAILED 在使用requests请求https 站点时,会验证证书,可以给get方法加入 verify参数, 设置为False。 requests.get(outUrl,verify=False) 验证是取消了,但是又带来一个新问题,弹出警告信息。 InsecureRequestWarning: Unver...
HTTPS 请求中的证书验证详解(Python版)
qq_41586251的博客
12-12 3309
有时候,你可能需要使用自定义的证书路径。requests你也可以使用自定义的验证器来处理证书验证。# 自定义的证书验证逻辑# 如果验证通过,返回 True;否则返回 False。
Python爬虫---处理HTTPS请求 SSL证书验证
tao3741的博客
08-01 1万+
处理HTTPS请求 SSL证书验证
mutual certificate authentication(双向认证实例)ssl with Python
WHACKW的专栏
01-05 5448
网络服务器之HTTPS服务 import ssl, socket, time if __name__ == "__main__":     context = ssl.SSLContext(ssl.PROTOCOL_SSLv23)     #context.load_cert_chain(certfile=‘key_pub.pem’, keyfile=‘key_
openssl的介绍和使用
weixin_33912638的博客
05-21 449
openssl简介 OpenSSL 是一个开源项目,其组成主要包括一下三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls openssl可以实现:秘钥证书管理、对称加密和非对称加密更多简介和官网。 指令 平时我们使用openssl最多的莫过于使用指令...
Https知识专题
demon7552003的小本本
07-06 953
https一些专题知识
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值