如何将pyOpenSSL verify_cb的ssl证书中的cn与生成的套接字相关联
在Python的OpenSSL库中,verify_cb方法用于验证服务器证书的有效性。如果使用了VERIFY_CB回调函数,服务器证书将包含一个verify_callback函数参数。你可以使用此回调函数在验证过程中返回一些额外的标识信息,以便在客户端和连接的套接字之间建立关联。
以下是一个例子,展示如何在pyOpenSSL库中使用verify_cb方法,将ssl证书中的CN(Common Name,即证书颁发给的一个或多个域名)与生成的套接字对应起来。首先,导入必要的库:
import OpenSSL
from OpenSSL.SSL import Context
from OpenSSL.SSL import Connection, SSLv23_METHOD
from OpenSSL.SSL import VERIFY_CLIENT_ONCE
from OpenSSL.crypto import X509Chain接下来创建一个ssl_context对象,它包含我们想要的连接相关的设置:
# CA证书路径(路径中请包含完整文件名)
ca_certificate_path = '/path/to/ca/certificate/full_chain.pem'
# 创建SSL上下文
ssl_context = Context(SSLv23_METHOD)
ssl_context.set_tls_ver_server(OpenSSL.SSL.TLSv1_2_METHOD)
ssl_context.set_cafile(ca_certificate_path)我们想要使用verify_cb方法将服务器证书与相应的套接字关联起来。所以,实现一个callback函数:
def ssl_verify_callback(conn, x509, depth, errnum, callback_arg):
"""此回调函数将在证书有效时调用。在此函数中,您可以解析证书并查找所需的字段。
对于您的问题,您想将客户端的CN与连接的套接字关联起来。
Args:
:param conn: 将要使用的连接对象
:param x509: 待处理的证书
:param depth: 证书链中的深度(即证书的层次结构)
:param errnum: 当前验证错误的数字编号
:param callback_arg: 与回调调用的实例相关的参数
:return: None (您可以通过返回适当的值来执行其他操作)
"""
# 存储服务器证书CN
cn = x509.get_subject().commonName
# 连接的套接字
sock = callback_arg
# 将客户端证书的CN和生成的套接字关联起来
associated_socket = sock.get_context()
associated_socket.set_verify(context.VERIFY_PEER, verify_cb)
associated_socket.set_allow_unsigned_peer_cert(True)
associated_socket.set_issuer(x509.get_issuer())
associated_socket.set_subject(x509.get_subject())
associated_socket.set_subject_name(x509.get_subject_name())
associated_socket.set_issuer_name(x509.get_issuer_name())
associated_socket.set_psk_identity(cn)
associated_socket.set_psk(cn, "password")
# 如果所有操作都能正常执行,则此回调函数正常工作。返回None以不中断客户端连接
return None
# 使用给定的CA路径设置证书验证回调
verify_cb = ssl_verify_callback然后使用生成的客户端身份与服务器连接:
# 连接到服务器
sock = Connection((hostname, port), ssl_context, verify_callback)这个代码示例将创建一个CallbackVerify对象和AssociatedSocket对象来进行套接字的验证和关联。请注意,您需要替换代码中的ca_certificate_path值,以指向适合您的实际情况的CA证书路径。
相关·内容
我对pyOpenSSL还是个新手。我正在尝试弄清楚如何将生成的套接字与ssl证书相关联。verify_cb被调用,这使我可以访问证书和conn,但是当发生这种情况时,我该如何关联这些东西:
cli,addr = self.server.accept()
浏览 2提问于2008-09-18得票数 6
5回答
\n\r\n":print repr(s)</body></html>sock = ssl.wrap_sock
浏览 0提问于2010-12-09得票数 13
我需要改变什么,我的代码适用于网络连接和本地主机测试?
当我在浏览器上输入本地主机入口时,我将收到预期的结果。
浏览 1提问于2019-01-19得票数 1
回答已采纳
我正在制作一个具有密钥交换算法的套接字程序。该算法与web浏览器与web服务器之间的SSL密钥交换非常相似。以下是该算法中的步骤。
服务器从服务器
浏览 0提问于2018-12-01得票数 1
回答已采纳
我正试图在Python中建立一个安全的套接字连接,但我一直在尝试与failure.This握手:import ssl
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
wrappedSock = ssl.wrap_socket(s, ssl_version=ssl.PROTOCOL_SSLv23appl
浏览 0提问于2017-11-13得票数 0
3回答
我必须通过套接字将一个短字符串从ANSI应用程序发送到Java应用程序--这已经完成了。因为它的重要数据,我必须加密它使用密码,如"abc123“。我应该如何用最简单的方式来做呢?
浏览 0提问于2011-05-05得票数 0
回答已采纳
2回答
在erlang中编写了一个简单的聊天服务器,使用gen_tcp (简单套接字)和一个用于测试的安卓客户端应用程序。我可以通过以下方式生成自签名证书:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days我需要<em
浏览 3提问于2019-09-22得票数 1
回答已采纳
显然,我在之前的帖子中问错了问题。我有一个用X.509证书保护的web服务,作为一个安全的网站(.)运行。我想使用公司根CA颁发的客户机证书(也是X.509)向服务器验证客户机是否有权使用该服务。为此,我需要检查证书,查找一些识别特征,并将其与数据库中存储的值(可能是指纹?)进行匹配。下面是我用来从本地证书存储库获取证书的代码(直接从获取):{
private static X5
浏览 0提问于2009-05-21得票数 11
回答已采纳
我试图在Java中实现一个SSL代理服务器,它不会在浏览器中引发证书错误。我理解我将需要处理"CONNECT“请求,进行SSL握手,从而要求我创建一个服务器证书并将其存储在密钥存储库中,我将为SSL套接字初始化该密钥存储库。但是浏览器必须始终验证返回的服务器证书,如果:1. CA证书不受信任,则抛出警告错误,但可以通过在浏览器中安装用于对服务器证书签名的CA证书来克服这一问题。2.证书的CN与所请求
浏览 3提问于2014-06-18得票数 0
回答已采纳
2回答
我有一个HTTPS服务器,我的应用程序在用户访问之前对他们进行身份验证。
是否可以通过密钥链中的POST请求安装/保存证书,或者是否可以将该证书(文件)复制到资源包中以将其标记为受信任?
浏览 0提问于2011-03-16得票数 19
5回答
我正在为我的大学项目做一个客户-服务器项目,我们必须分配登录到客户端。 availSysList.insert('end',data) pass
但我的问题是,服务器线程的执行时间不超过2次,因此它不能接受客户端的多次请求。我们不
浏览 6提问于2013-11-22得票数 2
回答已采纳
2回答
我正在设置服务器,该服务器将在各种负载平衡的EC2实例中承载多个SSL域,并且作为一个对网络/基础设施非常了解的程序员,我遇到了一些问题:将网站指向elb的最佳方法是什么?CNAME记录到amazon实
浏览 0提问于2014-03-27得票数 1
回答已采纳
1回答
零字节接收:目的澄清
、、、
如果服务器期望处理大量并发客户端,则服务器可以在每个连接上发送单个零字节接收。因为没有与接收操作相关联的缓冲区,所以不需要锁定内存。使用这种方法,每个套接字接收缓冲区应该保持原样,因为一旦零字节接收操作完成,服务器就可以执行非阻塞接收来检索套接字接收缓冲区中的所有数据缓冲区。但是,如果我在每个连接上发布一个零字节接收,则只有当有可读取的数据时,才会在该连接上生成一
浏览 0提问于2018-04-22得票数 0
回答已采纳
8回答
我正在测试一个使用curl_exec php函数和CA证书的API,但是有些地方出错了,我有点不知所措。我已经在我的apache VirtualHost上配置了SSL,看起来还可以(打开https:://[myVHost].工作)。然而,API curl调用给我返回以下消息:
这是我在我的cURL请求中使
浏览 0提问于2013-01-07得票数 35
回答已采纳
2回答
我正在加密服务器和客户端之间的tcp连接。在研究和测试过程中,我倾向于使用秘密密钥加密。我的问题是我找不到关于如何实现这个特性的任何教程。我发现的教程围绕着一次发出的https请求,我所需要的只是一个SSL套接字。serverSo
浏览 2提问于2014-03-29得票数 8
回答已采纳
/2.7/lib/python2.7/urllib2.py", line 1197, in do_openURLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:581)>if input.startswithXXXXXXXXXXXXXXXXXXXX' })
info
浏览 139提问于2015-01-08得票数 354
回答已采纳
正在创建服务器套接字: KeyStore keyStore = KeyStore.getInstance("JKS"); getCertificateKeyStoresslServerSocketFactory = sslContext.getServerSocketFactory();
return sslServerSocketFactory.createServerSocket(port); 正在生成证书在Chrome中: ERR_SSL_PROTOCOL_E
浏览 22提问于2019-04-25得票数 0
我试图使用Powershell中的FtpWebRequest访问Filezilla服务器,如下所示:$ftprequest.EnableSsl = $true服务器还配置了“启用FTPS”和“允许TLS上的
浏览 2提问于2018-01-29得票数 0
1回答
首先,我很抱歉,鉴于有这么多相关的帖子,我又提出了一个关于这个问题的问题。在阅读了他们和相关网站之后,我仍然不清楚其中的几点。浏览器通过安全套接字连接到服务器
服务器使用它的证书来响应它的公钥。这是我最麻烦的一步。在这条从服务器到客户端的消息中,证书能否很容易地与服务器的公钥分离?客户端用于验证证书的任何在线机制都不能被劫持吗?此外,如果客户端的计算机被破坏,
浏览 2提问于2013-11-12得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
