OpenSSL s_client 和 Python SSL 模块对主机名的证书存在分歧

于 2024-07-16 16:16:00 发布
阅读量171 收藏 3
点赞数 1
文章标签: python ssl 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/D0126_/article/details/140469539
版权

OpenSSL 的 “s_client” 工具不喜欢他的 AppEngine 应用程序的 SSL 证书,甚至不承认它 (“no peer certificate is available”),但 Python 的 SSL 模块报告了颁发者、日期范围、序列号、主题等,好像根本不存在问题。
在这里插入图片描述

提问者认为他的 SSL 证书存在一些微妙的错误配置,但由于 AppEngine 提供了一个非常简单的上传证书向导,因此说存在错误配置就等于说 Google 的功能失效了,这显然不太可能。

提问者希望有人曾经遇到过这种情况,并能提供一些见解。

s_client:

openssl s_client -connect www.abc.com:443

s_client 输出:

CONNECTED(00000003)
3073997000:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 225 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Python 3.3 测试脚本:

import socket

from ssl import wrap_socket, CERT_NONE, PROTOCOL_SSLv23
from ssl import SSLContext  # Modern SSL?
from ssl import HAS_SNI  # Has SNI?

from pprint import pprint

# Stole this from "requests" package.
def ssl_wrap_socket(sock, keyfile=None, certfile=None, cert_reqs=None,
                    ca_certs=None, server_hostname=None,
                    ssl_version=None):

    context = SSLContext(ssl_version)
    context.verify_mode = cert_reqs

    if ca_certs:
        try:
            context.load_verify_locations(ca_certs)
        # Py32 raises IOError
        # Py33 raises FileNotFoundError
        except Exception as e:  # Reraise as SSLError
            raise SSLError(e)

    if certfile:
        # FIXME: This block needs a test.
        context.load_cert_chain(certfile, keyfile)

    if HAS_SNI:  # Platform-specific: OpenSSL with enabled SNI
        return context.wrap_socket(sock, server_hostname=server_hostname)

    return context.wrap_socket(sock)

hostname = 'www.abc.com'
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((hostname, 443))

sslSocket = ssl_wrap_socket(s,
                            ssl_version=2, 
                            cert_reqs=2, 
                            ca_certs='/usr/local/lib/python3.3/dist-packages/requests/cacert.pem', 
                            server_hostname=hostname)

pprint(sslSocket.getpeercert())
s.close()

测试脚本输出:

{'issuer': ((('countryName', 'US'),),
            (('organizationName', 'GeoTrust, Inc.'),),
            (('commonName', 'RapidSSL CA'),)),
 'notAfter': 'Oct  2 20:01:20 2014 GMT',
 'notBefore': 'Sep 29 02:17:38 2013 GMT',
 'serialNumber': '0E45AF',
 'subject': ((('serialNumber', 'd3tVuFeMunyn/gFFucMFHgZ2iBihdthR'),),
             (('organizationalUnitName', 'GT22884059'),),
             (('organizationalUnitName',
               'See www.rapidssl.com/resources/cps (c)13'),),
             (('organizationalUnitName',
               'Domain Control Validated - RapidSSL(R)'),),
             (('commonName', 'www.abc.com'),)),
 'subjectAltName': (('DNS', 'www.abc.com'),
                    ('DNS', 'abc.com')),
 'version': 3}

2、解决方案

根据第一个答案,问题在于没有在 “s_client” 调用中包含 “servername” 参数。可以通过在 “s_client” 调用中添加 “servername” 参数来解决此问题。

openssl s_client -connect www.abc.com:443 -servername www.abc.com
qq^^614136809
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssl.rar_client ssl_linux s_ssl 程序_ssl server_证书
09-23
在这个“ssl.rar_client ssl_linux s_ssl 程序_ssl server_证书”压缩包中,我们主要讨论的是Linux环境下SSL的客户端和服务器端的实现,以及涉及到的证书和私钥管理。 首先,SSL协议主要由两部分组成:握手协议和...
ssl.tar.gz_python openssl_证书_证书验证
09-24
本教程将围绕“ssl.tar.gz”压缩包,讲解如何使用PythonOpenSSL工具来创建、管理和验证SSL/TLS证书。 首先,我们了解下SSL/TLS证书的基本概念。证书是一个包含公钥、身份信息以及签发者信息的数据文件,用于证明...
cli.rar_Openssl socket_openssl ssl_socket ssl_ssl
09-20
1. **初始化OpenSSL**:在使用OpenSSL之前,必须先进行初始化,调用`SSL_library_init()`和`SSL_load_error_strings()`函数。 2. **创建SSL上下文**:使用`SSL_CTX_new()`创建一个SSL上下文对象,它是SSL会话的基础...
ssl-server.zip_JSON_openssl server_openssl web_openssl windows_s
09-24
结合“openssl_server”、“openssl_web”和“openssl_windows”,我们可以推测这个项目是为Windows平台设计的一个使用OpenSSL库处理JSON数据的Web服务器。 压缩包中的文件“ssl-server”可能是源代码文件或者...
ssl_test.zip_openssl test_openssl tcp_ssl-tcp_sslservertest_基于o
09-24
在这个"ssl_test"程序中,开发者可能使用了OpenSSL库提供的API来创建SSL上下文,设置加密套件,加载服务器证书和私钥,以及处理握手和数据读写。客户端可能通过socket API连接到服务器,然后创建SSL对象并进行连接。...
demo_openssl_api.tar.gz_DEMO_OPENSSL DEMO_SSL实现_linux openssl_li
09-23
通过DEMO_OPENSSL_API的学习,我们可以深入理解SSL连接的建立、证书的管理和数据加密的细节。这对于开发安全的网络应用,尤其是在Linux环境下实现服务器端和客户端的加密通信,具有重要的实践意义。 在这个过程中,...
精选_基于PythonOpenSSL实现的SSL网络通信_源码打包
03-12
此外,OpenSSL库是SSL/TLS协议的底层实现,了解其工作原理和命令行工具的使用也能更好地理解和调试PythonSSL通信问题。 总之,通过Python的`ssl`模块结合OpenSSL,我们可以轻松构建安全的网络通信服务。学习和...
c_examples.rar_SSL_connect_The Client_ssl_ssl server
09-22
10. **清理和释放**:完成通信后,使用`SSL_free()`释放SSL对象,`SSL_CTX_free()`释放SSL_CTX对象,并调用`OpenSSL_add_all_algorithms_cleanup()`和`ERR_free_strings()`进行资源清理。 压缩包中的...
ssl.rar_SSL 证书_ssl_ssl证书_证书生成
09-19
SSL证书是验证网站身份的重要工具,它通过公钥和私钥技术来实现数据的加密,防止数据在传输过程中被窃取或篡改。 在SSL通信中,客户端(通常是浏览器)与服务器之间会进行一系列握手过程。首先,服务器会向客户端...
sse.rar_linux Client_ssl client
09-21
"ssl_client"标签则指明这个客户端是专门处理SSL协议的,可能包括证书验证、密钥交换、数据加密解密等关键步骤。 【文件内容】 1. **sslclient.cpp**:这是主要的源代码文件,包含了实现SSL客户端功能的C++代码。...
ssl.rar_openssl ssl通信_ssl
09-20
首先,OpenSSL是一个开源的库,它提供了实现SSL/TLS协议所需的加密算法、证书管理和网络通信功能。在SSL通信中,OpenSSL扮演了核心角色,为应用程序提供了底层的加密支持。使用OpenSSL开发者可以构建安全的客户端...
openssl-include.rar_C常用头文件_openssl_ssl_visual c
09-20
首先,`openssl_ssl`是指OpenSSL中的SSL(Secure Socket Layer)部分,这是用于网络通信中实现安全传输的协议。SSL已经被TLS(Transport Layer Security)所取代,但两者在很多情况下仍被一起提及。在OpenSSL库中,...
OpenSSL_Client.zip
12-12
在本例"OpenSSL_Client.zip"中,我们关注的是如何使用OpenSSL来构建一个TCP客户端,该客户端能够与服务器建立安全的TLS(Transport Layer Security)连接。 首先,我们需要了解TLS是SSL的后续版本,它用于在互联网...
解决Python找不到ssl模块问题 No module named _ssl的方法
01-20
这个错误通常表示Python无法找到SSL模块,该模块Python标准库的一部分,用于处理安全套接层(SSL)和传输层安全(TLS)协议,常用于网络通信中的加密传输。SSL模块依赖于系统级别的openssl库,因此当系统缺少对应...
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
安装vagrant报错OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 54
01-08
OpenSSL SSL_read: SSL_ERROR_SYSCALL, errno 54 这个错误是因为网络太慢,下载virtualbox.box失败,可以换个网络再试一下。 如果网络实在太慢的话,可以试试下面的方法,我们可以手动下载virtualb
CA.zip_certificates_openssl 证书_数字证书
09-24
本主题将深入探讨如何使用Keytool和OpenSSL这两个工具来生成和签发数字证书。 首先,让我们了解什么是数字证书。数字证书是一种电子文档,由受信任的证书颁发机构(CA)签发,它包含公钥的所有者信息以及公钥本身。...
python openssl模块安装及用法
01-19
这个模块就是我们今天要说的 openssl模块,给大家来一个高瞻远瞩,先让大家掌握住怎么去安装 openssl模块,方便大家日后碰到类似问题,可以得到有效解决。 第一步、下载openssl模块 wget tar -zxvf openssl-1.1.1a....
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
在标签中,"openssl_cisoca"可能是对"openssl CISOCA"的另一种表示,强调了OpenSSL库在CA操作中的使用。"证书"则明确了讨论的主题是关于数字证书的。 在压缩包内的文件名列表中,"www.pudn.com.txt"可能是一个文本...
openssl s_client -connect用法
最新发布
07-28
`openssl s_client -connect` 是一个 OpenSSL 命令行工具,用于与远程服务器建立安全连接并显示证书和其他连接细节。它的用法如下: ``` openssl s_client -connect <host>:<port> ``` 其中 `<host>` 是远程服务器的主机名或 IP 地址,`<port>` 是服务器的端口号。 举个例子,如果你想连接到 `example.com` 的 HTTPS 服务(默认端口为 443),你可以使用以下命令: ``` openssl s_client -connect example.com:443 ``` 这将建立与 `example.com` 的安全连接,并显示服务器证书和其他连接信息。你可以使用 Ctrl+C 来终止连接。 请注意,`openssl s_client` 命令是 OpenSSL 库的一部分,因此你需要在你的系统上安装 OpenSSL 才能使用该命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值