ssl双向验证— ssl_verify_depth的作用

已于 2022-01-19 09:18:19 修改
阅读量4.1k 收藏 3
点赞数
分类专栏: nginx 文章标签: ssl https nginx
于 2022-01-18 21:01:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44843710/article/details/122567767
版权

前言

关键词:根证书、中间证书、验证深度、ssl_verify_depth

根证书与中间证书

​在进行ssl验证前,服务器一般会向CA申请公钥证书,即将自己的公开密钥交给CA,CA用自己的私钥向服务器的公钥数字签名并返回公钥证书,在数字签名的过程中,CA一般会用根目录颁发证书,这种证书叫做根证书。

​问题是,万一根目录颁发错了证书,或者需要撤销根,这时所有根目录颁发的证书都将失效,这样代价是巨大的,因此出现了中间根,顾名思义,CA用私钥对中间根进行签名,使它可信,因此由中间根颁发的证书也是可信的,即中间证书。当发生撤销时,只需要撤销中间根颁发的证书就可以。

​这里需要解释一下根证书,个人理解为客户端在验证服务器的公钥证书时,需要拿CA的公钥来解密服务器公钥证书的签名,CA的根公钥需要提前拿到手,一般内置到浏览器中,存放的地方视为根目录,存放中间证书即为中间目录。有中间证书的情况下,应该是先从中间目录取到对应中间公钥解密,然后循环此过程,直到从根目录拿到公钥验证成功,这时可以算是验证通过。

验证深度

​在CA的证书体系中,证书从根目录出发,像一条链一样,有很多的中间根,也叫做证书链,我觉得更像一棵二叉树。

​在ssl验证的过程中,直接尝试中间证书进行客户端认证是无法通过的,需要一层一层回溯验证,直到找到根。

​这个验证深度就相当于当前中间证书在整棵树中的深度。

ssl_verify_depth

​上面已经提到了,验证需要层层回溯,向上可以回溯多少次由ssl_verify_depth决定,当ssl_verify_depth = 1时,回溯层数为0,即任何中间证书都不会通过验证,除非是根证书。简而言之,中间证书的深度要小于ssl_verify_depth的值,才会验证通过。

在nginx中ssl_verify_depth的值默认是为1的。

句法:    ssl_verify_depth number;
默认:    ssl_verify_depth 1;
语境:    http, server
张三疯啊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Openssl实现双向认证教程(附服务端客户端代码)
09-14
主要介绍了Openssl实现双向认证教程(附服务端客户端代码),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过的,openssl 会自动的去找中级 CA 的签发者一层层验证上去,直到找到根。 因此,在实际使用的时候,需要注意一下两点: CA 文件中必须同时存在 中级 CA 和 根 CA,必须构成完整证书链,不能少任何一个; 默认的验证深度 SslVerifyDepth ssl_verify_depth 是 1,也就是说只要是中级
SSL证书不安全问题处理方案
最新发布
麦 -_- 的博客
06-27 340
请注意,禁用 SSL 证书验证会使你的应用程序容易受到中间人攻击,因此请确保你了解这样做的风险,并且只在测试或开发环境中这样做。在生产环境中,强烈建议使用有效的 SSL 证书验证verify=False:代表不使用SSL证书校验、以上方式在coze中使用失败。替换方案:使用httpx。
Python [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed 解决方法
weixin_34313182的博客
06-02 611
  问题的原因是“SSL: CERTIFICATE_VERIFY_FAILED”。 Python 升级到 2.7.9 之后引入了一个新特性,当使用urllib.urlopen打开一个 https 链接时,会验证一次 SSL 证书。 而当目标网站使用的是自签名的证书时就会抛出一个 urllib2.URLError: <urlopen error [SSL: CERTIFICATE...
爬虫学习——SSL证书验证
ziupan的博客
03-16 586
requests提供了证书验证的功能。当发送HTTP请求时,它会检查SSL证书,我们可以使用verify参数控制是否检查此证书。其实如果不加verify参数的话,默认是True,会自动验证。 如果访问未被认证的网页,我们在访问时,都可以看到一个证书问题的页面,用requests测试,print(xxx.status_code)的结果会提示一个SSLError错误,表示证书验证错误。 如何避免这样的错误:把verify参数设置成False即可 举个栗子: import requests response=re
解决“DeprecationWarning: verify_ssl is deprecated“问题
sanqima的专栏
02-08 3705
    今天,在aiohttp依赖包时,报"DeprecationWarning: verify_ssl is deprecated, use ssl=False instead async with aiohttp.ClientSession(connector=TCPConnector(verify_ssl=False)) as session"警告,出现这种问题的原因是:verify_ssl已经太老了,新的版本改成了ssl。     解决方法如下:     将 connector=TCPConne
nginx配置ssl双向验证的方法
09-30
Nginx SSL双向验证详解】 SSL(Secure Socket Layer)是一种用于网络通信中加密和身份验证的安全协议。在Nginx服务器中配置SSL双向验证,也称为Mutual TLS(Transport Layer Security),意味着不仅服务器需要...
ssl.rar_openssl ssl通信_ssl
09-20
客户端则需要信任服务器的证书,可以通过`SSL_CTX_load_verify_locations`加载信任的CA证书。 4. **创建SSL对象**:对于每个网络连接,都需要创建一个`SSL`对象。使用`SSL_new`函数,将它与`SSL_CTX`关联,代表一个...
ssl.tar.gz_python openssl_证书_证书验证
09-24
此外,你还可以设置证书验证级别,如`context.verify_mode = ssl.CERT_REQUIRED`,要求必须有证书;`ssl.CERT_OPTIONAL`则允许没有证书,但如果有,会进行验证。 总结,通过Python和OpenSSL,我们可以创建、管理SSL...
python kubernetes verify_ssl 认证失败 解决办法
阿良
02-09 572
【代码】python kubernetes verify_ssl 认证失败 解决办法。
python SSL: CERTIFICATE_VERIFY_FAILED certificate has expired 证书错误的几种情况和解决方法
热门推荐
永远行进
11-22 3万+
哪些情况可能会遇到这个错误? 使用urllib.request.urlopen请求https资源时(不限系统) 使用requests的get或post方法请求https资源时(不限系统) MAC OS中使用上面任意库请求https资源时 使用pip install安装软件包时 使用setup.py upload 上传软件包到仓库时 使用其他python脚本或命令,内部使用了情况1或情况2的相关接口,访问https资源时。 请求一些https网站正常,请求另外一些https网站遇到这个错误(如从Let’s
aiohttp 异步http请求-7.https请求报SSL问题
qq_27371025的博客
04-25 2136
前言 默认情况下, aiohttp对 HTTPS 协议使用严格检查。有些同学电脑上请求https请求可能会报ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] SLL 证书校验 当我们访问一个https请求 import aiohttp import asyncio async def main(): async with aiohttp.ClientSession() as session: async
nginx配置ssl单-双向验证 nginx https ssl证书配置
梦想起飞的地方.........
04-26 2251
1、安装nginx 参考《nginx安装》:http://www.ttlsa.com/nginx/nginx-install-on-linux/ 如果你想在单IP/服务器上配置多个https,请看《nginx 同一个IP上配置多个HTTPS主机》 2、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同 1 2 3 4 5 Country Name
变更git url/添加https.sslverify参数解决同步超时、重置连接错误
weixin_43019961的博客
01-09 784
为解决https远程库url高概率发生的10054连接重置错误,做了几种设置尝试,最终通过更换ssl版源仓库url解决,也可通过添加http(s).sslVerify="false"解决
记一次Python3.7的SSL_verify failed报错解决过程
黑倪丐
06-12 1004
问题描述 报错信息: ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1056) python版本:3.7.3 处理过程 排查 virtual env环境依赖的python版本不对-- 然而并不是 排查 openssl版本不正确或者未安装 brew install openssl
如何解决SSL: CERTIFICATE_VERIFY_FAILED
linux_tcpdump的博客
07-21 7430
"SSL: CERTIFICATE_VERIFY_FAILED"错误通常在使用Python的requests或urllib等库进行HTTPS请求时出现,它表明SSL证书验证失败。请注意,忽略证书验证或使用自定义CA证书都是暂时解决方案,不推荐在生产环境中长期使用。在生产环境中,请确保服务器证书的合法性和正确性,并正确配置SSL证书验证。如果系统时间不正确,可能导致证书验证失败。有时,缺少中间证书或根证书可能导致验证失败。如果你的网络使用代理,确保代理配置正确,并不会干扰SSL证书验证
Kubernetes证书类型和适用场景
琦彦
06-02 3329
我们在前面已经学习了「对称密码算法」与「非对称密码算法」两个密码学体系,这里做个简单的总结。但是非对称密码算法仍然存在一些问题:数字证书与公钥基础架构就是为了解决上述问题而设计的。首先简单介绍下公钥基础架构(Public Key Infrastructure),它是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证书。 PKI 是一个总称,而并非指单独的某一个规范或标准,因此显然数字证书的规范(X.509)、存储格式(PKCS系列标准、DER、PEM
libcurl 设置CURLOPT_SSL_CTX_FUNCTION
06-04
`CURLOPT_SSL_CTX_FUNCTION` 是一个 libcurl 的选项,它可以用来设置一个回调函数,该回调函数在 SSL/TLS 握手时被调用。该回调函数应该返回一个 SSL_CTX 指针,该指针将被用于 SSL/TLS 连接。 以下是一个示例代码,展示了如何使用 `CURLOPT_SSL_CTX_FUNCTION`: ``` #include <curl/curl.h> #include <openssl/ssl.h> // 自定义回调函数 static CURLcode sslctx_callback(CURL * curl, void * ssl_ctx, void * userptr) { SSL_CTX * ctx = (SSL_CTX *)ssl_ctx; // 在 SSL_CTX 中设置一些选项 SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL); SSL_CTX_set_verify_depth(ctx, 2); return CURLE_OK; } int main() { CURL * curl = curl_easy_init(); if(curl) { CURLcode res; curl_easy_setopt(curl, CURLOPT_URL, "https://example.com"); curl_easy_setopt(curl, CURLOPT_SSL_VERIFYPEER, 1); curl_easy_setopt(curl, CURLOPT_CAINFO, "/path/to/cacert.pem"); curl_easy_setopt(curl, CURLOPT_SSL_CTX_FUNCTION, sslctx_callback); res = curl_easy_perform(curl); if(res != CURLE_OK) fprintf(stderr, "curl_easy_perform() failed: %s\n", curl_easy_strerror(res)); curl_easy_cleanup(curl); } return 0; } ``` 在上面的代码中,我们使用 `curl_easy_setopt` 函数来设置 `CURLOPT_SSL_CTX_FUNCTION` 选项,将自定义回调函数 `sslctx_callback` 传递给 libcurl。在该回调函数中,我们可以通过传入的 SSL_CTX 指针对 SSL/TLS 连接进行一些自定义设置,例如设置验证选项等。最后,我们需要调用 `curl_easy_perform` 函数来执行 HTTPS 请求。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值