python关于SSL/TLS认证的实现

最新推荐文章于 2024-04-12 16:27:28 发布
最新推荐文章于 2024-04-12 16:27:28 发布
阅读量6.3w 收藏 147
点赞数 27
分类专栏: python 文章标签: python ssl https ca证书 双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vip97yigang/article/details/84721027
版权

最近有个客户端的需求是和服务端建立安全的链路,需要用ssl双向认证的方式实现。刚开始的时候被各种证书认证搞得晕乎乎-_-,花了好长时间才理清思路实现需求,所以写下这篇文章记录分享。先介绍下啥是SSL,后面给出demo源码。

参考

https://blog.csdn.net/wuliganggang/article/details/78428866
https://blog.csdn.net/duanbokan/article/details/50847612
https://blog.csdn.net/zhangtaoym/article/details/55259889

SSL/TSL

简要介绍

SSL是安全套接层(secure sockets layer),而TLS是SSL的继任者,叫传输层安全(transport layer security)。是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

比如如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它的发展依次经历了下面几个时期
SSL1.0: 已废除
SSL2.0: RFC6176,已废除
SSL3.0: RFC6101,基本废除
TLS1.0: RFC2246,目前大都采用此种方式
TLS1.1: RFC4346
TLS1.2: RFC5246,没有广泛使用
TLS1.3: RFC 8446,于2018年8月发表

流程

SSL/TLS 工作流

证书

CA: 证书授权中心( certificate authority)。 它呢,类似于国家出入境管理处一样,给别人颁发护照;也类似于国家工商管理局一样,给公司企业颁发营业执照。
它有两大主要性质:

  1. CA本身是受信任的 // 国际认可的
  2. 给他受信任的申请对象颁发证书 // 和办理护照一样,要确定你的合法身份,你不能是犯罪分子或造反派。当然,你需要被收保护费,同时,CA可以随时吊销你的证书。
    证书长啥样?其实你的电脑中有一堆CA证书。你可以看一看嘛:
    360浏览器: 选项/设置-> 高级设置 -> 隐私于安全 -> 管理 HTTPS/SSL 证书 -> 证书颁发机构
    火狐浏览器: 首选项 -> 高级 -> 证书 -> 查看证书 -> 证书机构
    chrome浏览器: 设置 -> 高级 -> 管理证书 -> 授权中心
    ubuntu: /etc/ssl/certs
    这些都是 CA 的证书!
    CA 的证书 ca.crt 和 SSL Server的证书 server.crt 是什么关系呢?
  3. SSL Server 自己生成一个 私钥/公钥对。server.key/server.pub // 私钥加密,公钥解密!
  4. server.pub 生成一个请求文件 server.req. 请求文件中包含有 server 的一些信息,如域名/申请者/公钥等。
  5. server 将请求文件 server.req 递交给 CA,CA验明正身后,将用 ca.key和请求文件加密生成 server.crt
  6. 由于 ca.key 和 ca.crt 是一对, 于是 ca.crt 可以解密 server.crt.
    在实际应用中:如果 SSL Client 想要校验 SSL server.那么 SSL server 必须要将他的证书 server.crt 传给 client.然后 client 用 ca.crt 去校验 server.crt 的合法性。如果是一个钓鱼网站,那么CA是不会给他颁发合法server.crt证书的,这样client 用ca.crt去校验,就会失败。比如浏览器作为一个 client,你想访问合法的淘宝网站https://www.taobao.com, 结果不慎访问到 https://wwww.jiataobao.com ,那么浏览器将会检验到这个假淘宝钓鱼网站的非法性,提醒用户不要继续访问!这样就可以保证了client的所有https访问都是安全的。
SSL握手

SSL/TLS协商的过程可以参考这篇文章SSL/TLS协商过程详解

证书生成

makefile.sh

# * Redistributions in binary form must reproduce the above copyright
#   notice, this list of conditions and the following disclaimer in the
#   documentation and/or other materials provided with the distribution.
# * Neither the name of the axTLS project nor the names of its
#   contributors may be used to endorse or promote products derived
#   from this software without specific prior written permission.
#
# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
# "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
# LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR 
# A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR
# CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
# TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
# DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY 
# OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
# NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
# THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
#

#
# Generate the certificates and keys for testing.
#


PROJECT_NAME="TLS Project"

# Generate the openssl configuration files.
cat > ca_cert.conf << EOF  
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Dodgy Certificate Authority
EOF

cat > server_cert.conf << EOF  
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME
 CN                     = 192.168.111.100
EOF

cat > client_cert.conf << EOF  
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Device Certificate
 CN                     = 192.168.111.101
EOF

mkdir ca
mkdir server
mkdir client
mkdir certDER

# private key generation
openssl genrsa -out ca.key 1024
openssl genrsa -out server.key 1024
openssl genrsa -out client.key 1024

# cert requests
openssl req -out ca.req -key ca.key -new \
            -config ./ca_cert.conf
openssl req -out server.req -key server.key -new \
            -config ./server_cert.conf 
openssl req -out client.req -key client.key -new \
            -config ./client_cert.conf 

# generate the actual certs.
openssl x509 -req -in ca.req -out ca.crt \
            -sha1 -days 5000 -signkey ca.key
openssl x509 -req -in server.req -out server.crt \
            -sha1 -CAcreateserial -days 5000 \
            -CA ca.crt -CAkey ca.key
openssl x509 -req -in client.req -out client.crt \
            -sha1 -CAcreateserial -days 5000 \
            -CA ca.crt -CAkey ca.key

openssl x509 -in ca.crt -outform DER -out ca.der
openssl x509 -in server.crt -outform DER -out server.der
openssl x509 -in client.crt -outform DER -out client.der

mv ca.crt ca.key ca/
mv server.crt server.key server/
mv client.crt client.key client/

mv ca.der server.der client.der certDER/

rm *.conf
rm *.req
rm *.srl

做如下修改,终端执行。

  • 修改 CN 域中 IP 地址为你主机/设备的 IP 地址
  • [可选]加密位数 1024 修改为你需要的加密位数
    生成证书
    ca目录:保存ca的私钥ca.key和证书ca.crt
    certDER目录:将证书保存为二进制文件 ca.der client.der server.der
    client目录: client.crt client.key
    server目录:server.crt server.key

实现

单向认证

单向认证

源码

server

from flask import Flask

app = Flask(__name__)


@app.route('/')
def hello_world():
    return 'Hello World!'


if __name__ == '__main__':
    app.run(debug=True, ssl_context=('server.crt', 'server.key'))

client

import urllib.request

import ssl

if __name__ == '__main__':
    CA_FILE = "ca.crt"

    context = ssl.SSLContext(ssl.PROTOCOL_TLS)
    context.check_hostname = False
    context.load_verify_locations(CA_FILE)
    context.verify_mode = ssl.CERT_REQUIRED
    try:
        request = urllib.request.Request('https://127.0.0.1:5000/')
        res = urllib.request.urlopen(request, context=context)
        print(res.code)
        print(res.read().decode("utf-8"))
    except Exception as ex:
        print("Found Error in auth phase:%s" % str(ex))

https的测试本来使用使用浏览器,只要将ca证书安装到本地就可能使用浏览器访问,但是因为认证过程需要检测验证hostname,测试使用的自签名证书信息是随意填写的,所以即使安装了证书浏览器也会提示链接不安全。所以客户端使用ssl模块的load_verify_locations()方法加载根证书,并且将check_hostname设置为False。

双向认证

双向认证

源码

https版本
server

from flask import Flask
import ssl

app = Flask(__name__)


@app.route('/')
def hello_world():
    return 'Hello World!'


if __name__ == '__main__':
    CA_FILE = "ca.crt"
    KEY_FILE = "server.key"
    CERT_FILE = "server.crt"
    context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
    context.load_cert_chain(certfile=CERT_FILE, keyfile=KEY_FILE)
    context.load_verify_locations(CA_FILE)
    context.verify_mode = ssl.CERT_REQUIRED
    app.run(debug=True, ssl_context=context)

client

import urllib.request

import ssl

if __name__ == '__main__':
    CA_FILE = "ca.crt"
    KEY_FILE = "client.key"
    CERT_FILE = "client.crt"

    context = ssl.SSLContext(ssl.PROTOCOL_TLS)
    context.check_hostname = False
    context.load_cert_chain(certfile=CERT_FILE, keyfile=KEY_FILE)
    context.load_verify_locations(CA_FILE)
    context.verify_mode = ssl.CERT_REQUIRED
    try:
        # 通过request()方法创建一个请求:
        request = urllib.request.Request('https://127.0.0.1:5000/')
        res = urllib.request.urlopen(request, context=context)
        print(res.code)
        print(res.read().decode("utf-8"))
    except Exception as ex:
        print("Found Error in auth phase:%s" % str(ex))

socket版本
server

import socket
import ssl

class server_ssl:
    def build_listen(self):
        CA_FILE = "ca.crt"
        KEY_FILE = "server.key"
        CERT_FILE = "server.crt"
        context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
        context.load_cert_chain(certfile=CERT_FILE, keyfile=KEY_FILE)
        context.load_verify_locations(CA_FILE)
        context.verify_mode = ssl.CERT_REQUIRED

        # 监听端口
        with socket.socket(socket.AF_INET, socket.SOCK_STREAM, 0) as sock:
            # 将socket打包成SSL socket
            with context.wrap_socket(sock, server_side=True) as ssock:
                ssock.bind(('127.0.0.1', 5678))
                ssock.listen(5)
                while True:
                    # 接收客户端连接
                    client_socket, addr = ssock.accept()
                    # 接收客户端信息
                    msg = client_socket.recv(1024).decode("utf-8")
                    print(f"receive msg from client {addr}:{msg}")
                    # 向客户端发送信息
                    msg = f"yes , you have client_socketect with server.\r\n".encode("utf-8")
                    client_socket.send(msg)
                    client_socket.close()


if __name__ == "__main__":
    server = server_ssl()
    server.build_listen()

client

import socket
import ssl

class client_ssl:
    def send_hello(self,):
        CA_FILE = "ca.crt"
        KEY_FILE = "client.key"
        CERT_FILE = "client.crt"

        context = ssl.SSLContext(ssl.PROTOCOL_TLS)
        context.check_hostname = False
        context.load_cert_chain(certfile=CERT_FILE, keyfile=KEY_FILE)
        context.load_verify_locations(CA_FILE)
        context.verify_mode = ssl.CERT_REQUIRED
        
        # 与服务端建立socket连接
        with socket.socket() as sock:
            # 将socket打包成SSL socket
            with context.wrap_socket(sock, server_side=False) as ssock:
                ssock.connect(('127.0.0.1', 5678))
                # 向服务端发送信息
                msg = "do i connect with server ?".encode("utf-8")
                ssock.send(msg)
                # 接收服务端返回的信息
                msg = ssock.recv(1024).decode("utf-8")
                print(f"receive msg from server : {msg}")
                ssock.close()

if __name__ == "__main__":
    client = client_ssl()
    client.send_hello()

ssl认证主要用到python的ssl模块,如果有不清楚的也可以自己阅读下官方文档

vip97yigang
关注
  • 27
    点赞
  • 147
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
python socket中实现SSL/TLS认证
weixin_68789096的博客
09-13 1724
官话说SSL是安全套接层(secure sockets layer),TLSSSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
python ssl认证_执行SSL客户端身份验证是python
weixin_33603405的博客
03-01 411
好的,我正在尝试使用客户端证书来验证Nginx服务器的python客户端.这是我到目前为止尝试的内容:创建了本地CA.openssl genrsa -des3 -out ca.key 4096openssl req -new -x509 -days 365 -key ca.key -out ca.crt创建服务器密钥和证书openssl genrsa -des3 -out server.key 1...
SSL/TLS详解
最新发布
无线网络系统研究
04-12 2124
TLSSSL,安全,key_share
Python对称和非对称加密算法及网传输层安全(TLS)
跨学科知识视角展现
01-16 452
了解 AES 等分组密码的算法和模式,使用消息完整性和/或数字签名来保护消息,利用现代对称密码,例如 AES-GCM 和 CHACHA,发现如果使用不安全的填充,RSA 加密是如何被破解的,使用 TLS 连接进行安全通信。示例:AES填充。
python ssl
feixiaohuijava的博客
03-19 2422
在oracle Linux上安装Python2.7.11 ,安装完后发现(网上各种解释的依赖都具备了)Python 2.7.11 (default, Mar 19 2018, 15:19:40) [GCC 4.4.7 20120313 (Red Hat 4.4.7-18)] on linux2 Type "help", "copyright", "credits" or "license" fo...
python 代理服务器 身份验证_使用TLSPython进行身份验证
weixin_39838328的博客
12-09 275
总而言之:是的,这很有可能,所有必要的东西都是移植到python 3 – 我在Mac上的Python 3.4下测试了以下所有内容工作得很好.简短的回答是“use twisted.internet.ssl.Certificate.peerFromTransport”但鉴于需要进行大量设置才能达到这一点可能,我已经构建了一个你应该能够完全运用的例子尝试并继续发展.对于后代,您首先需要生成一些客户端证书...
安装python3环境碰到的TLS/SSL问题的解决
IT老炮-大钊的博客
01-01 531
这两天在centos7上安装python3,总是遇TLS/SSL问题,看了很多文档,都没有解决。后来发现是python3的版本问题,不同的版本对openssl路径的指定方法是不同的。官方指导的安装openssl的方式指定了openssl库的地址是--libdir=lib,如果不指定,生成库地址是lib64,因此在安装的python3的时候,就找不到库地址。自定义的openssl地址一定要放在/urs/local下,放在其他路径,也是无法找到,这应该是python3的bug。
python smtplib模块发送SSL/TLS安全邮件实例
09-22
Python中使用`smtplib`发送SSL/TLS安全邮件,我们需要进行以下操作: 1. 导入`smtplib`模块。 2. 创建`smtplib.SMTP`对象,指定邮件服务器地址,并使用`SMTP_SSL`(SSL)或`starttls()`(TLS)方法建立连接。 3. ...
scapy-ssl_tls-1.2.3.4.zip
04-11
使用python来解析加密数据包,可通过pycharm安装Scapy-ssl_tls库文件,但库文件经常会安装失败,因此需要考虑直接安装python对应版本的Scapy-ssl_tls库文件
sslkeylog:记录SSLTLS密钥以解密Python中建立的SSLTLS连接
05-21
这是SSLKEYLOGFILE工具的实现,可在Firefox和Chromium / Google Chrome中使用,Wireshark支持此工具,即使您没有私钥,或使用会交换私钥的方法来解密SSL / TLS连接,即使您这样做也要防止解密(例如Diffie-Hellman...
sslyze, 快速强大的SSL/TLS 服务器扫描库.zip
10-10
sslyze, 快速强大的SSL/TLS 服务器扫描库 SSLyze 用于 python 2.7和 3.4 +的快速和功能强大的SSL/TLS 服务器扫描库。描述SSLyze是一个 python 库和一个可以通过连接它来分析服务器的SSL配置的CLI工具。 它的设计是...
Python 实现简单的客户端认证
09-16
总结来说,Python 中使用 `hmac` 模块实现的客户端认证提供了一种安全且相对简单的机制,可以在不引入过于复杂的加密协议(如 SSL)的情况下,验证分布式系统或网络通信中的客户端身份。然而,它不包含数据加密,...
WAF_buster:通过滥用SSLTLS密码来破坏WAF
03-20
关于WAF_buster 创建此工具是为了分析Web服务器端使用的Web应用程序防火墙支持的密码。(参考: : 工作方式是:首先触发SslScan在与Web服务器进行SSL / TLS协商期间查找所有受支持的密码。获取所有受支持密码的文本...
python简单实现基于SSL的IRC bot实例
09-21
标题中的“python简单实现基于SSL的IRC bot实例”是指使用Python编程语言来创建一个能够连接到使用SSL(Secure Socket Layer)加密的IRC(Internet Relay Chat)服务器的机器人。IRC是一种实时通信协议,常用于在线...
ssl-checker:从主机收集SSLTLS信息的Python脚本
02-03
SSL检查器从主机收集SSL / TLS信息的Python脚本关于这是一个运行在python中的简单脚本,用于收集SSL / TLS信息,然后以JSON返回信息组。 它还可以通过您指定的SOCKS服务器进行连接。 此脚本的优点之一是,它将完全...
Ubuntu/Deepin下Python3.8出现SSL错误的解决方案
01-08
WARNING: pip is configured with locations that require TLS/SSL, however the ssl module in Python is not available. 网上的方法都是在CentOS下进行的,而我用的是Deepin系统,也就是基于Ubuntu/Debian的发行版...
基于Python实现的SKey身份认证协议
毕业作品网站
04-20 3354
SKey 身份认证协议的代码实现 本项目为课程实验内容,简单模拟了通过S/Key协议进行身份认证的过程。 运行环境 系统:Arch Linux 语言:Python 3.9 IDE:Pycharm 实现的功能 S/Key协议身份认证 用户登录日志记录 本项目中S/Key协议认证过程 客户端连接服务器,提示用户输入用户名,将输入的用户名发送到服务器 服务器在用户信息字典中查询,根据用户名是否存在向客户端发送不同的反馈信息 客户端收到反馈信息,根据内容判断: 用户名不存在,接受服务器发送的 Seed,与用户
关于SSL通信以及python实现
sinat_41901875的博客
12-18 1134
原理网上都有,我这里写点干货。用SSL通信的本质是啥?本质就是客户端拿着认真机关的证书 ca.crt 去认证对方网站到底是不是你要访问的。 为啥会这样?因为有人会写一个假的网站啊。人家可以写一个假的页面然后把你的流量骗过去(及流量劫持)。然后你在这个假的网站上输入了用户名密码之后就等着信息被滥用吧。 为了避免这样的情况,所以才有SSL这个工具。客户端以后每次访问一个重要的网站时就要拿着发证机...
Python】深入理解TLS协议(附Python实现
qq_20623849的博客
02-21 2517
深入理解TLS协议
if test "x" != "x" ; then \ rm -f /usr/local/Python3/bin/python3-32; \ (cd /usr/local/Python3/bin; ln -s python3.5-32 python3-32) \ fi rm -f /usr/local/Python3/share/man/man1/python3.1 (cd /usr/local/Python3/share/man/man1; ln -s python3.5.1 python3.1) if test "xupgrade" != "xno" ; then \ case upgrade in \ upgrade) ensurepip="--upgrade" ;; \ install|*) ensurepip="" ;; \ esac; \ ./python -E -m ensurepip \ $ensurepip --root=/ ; \ fi Ignoring ensurepip failure: pip 7.1.2 requires SSL/TLS
06-02
这段代码是一段 Shell 脚本,主要作用是在升级 Python3 的过程中进行一些设置。其中包括: 1. 如果 python3-32 符号链接不存在,则删除 /usr/local/Python3/bin/python3-32,并创建一个指向 python3.5-32 的符号链接 python3-32; 2. 删除 /usr/local/Python3/share/man/man1/python3.1,并创建一个指向 python3.5.1 的符号链接 python3.1; 3. 如果升级选项不为 "no",则执行 Python 的 ensurepip 模块,用于安装或更新 pip 工具。如果 ensurepip 失败,则忽略该错误消息。 最后一行的错误提示是因为 pip 7.1.2 需要 SSL/TLS 支持,但是当前环境可能没有安装相应的库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值