HTTPS-Verbindung mit dem PEM-Zertifikat

Ich versuche zu POSTEN HTTPS-Anfragen über ein PEM-Zertifikat wie folgt: 

import httplib  
CERT_FILE = '/path/certif.pem'
conn = httplib.HTTPSConnection('10.10.10.10','443', cert_file =CERT_FILE)   
conn.request("POST", "/") 
response = conn.getresponse()       
print response.status, response.reason
conn.close()

Habe ich die folgende Fehlermeldung:

Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "/usr/lib/python2.6/httplib.py", line 914, in request
self._send_request(method, url, body, headers)
File "/usr/lib/python2.6/httplib.py", line 951, in _send_request
self.endheaders()
File "/usr/lib/python2.6/httplib.py", line 908, in endheaders
self._send_output()
File "/usr/lib/python2.6/httplib.py", line 780, in _send_output
self.send(msg)
File "/usr/lib/python2.6/httplib.py", line 739, in send
self.connect()
File "/usr/lib/python2.6/httplib.py", line 1116, in connect
self.sock = ssl.wrap_socket(sock, self.key_file, self.cert_file)
File "/usr/lib/python2.6/ssl.py", line 338, in wrap_socket
suppress_ragged_eofs=suppress_ragged_eofs)
File "/usr/lib/python2.6/ssl.py", line 118, in __init__
cert_reqs, ssl_version, ca_certs)
ssl.SSLError: [Errno 336265225] _ssl.c:339: error:140B0009:SSL       
routines:**SSL_CTX_use_PrivateKey_file**:PEM lib

Wenn ich entfernen Sie die cert_file von httplib, habe ich die folgende Antwort:

200 ok

Wenn ich den Authentication header (wie empfohlen von MattH) mit leere post-Nutzlast, funktioniert es auch.

Jedoch, wenn ich das gute Anfrage mit dem Pfad, den Körper und den Kopf, wie folgt (ich vereinfacht Ihnen...)

body = '<S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/">blablabla</S:Envelope>'
URLprov = "/syncaxis2/services/XXXsyncService"
auth_header = 'Basic %s' %  (":".join(["xxx","xxxxx"]).encode('Base64').strip('\r\n'))
conn.request("POST",URLprov,body,{'Authenticate':auth_header})

Ich habe 401 Unauthorized Antwort !

Wie Sie sehen können, zunächst werde ich aufgefordert, den PrivateKey ! warum brauche ich den PrivateKey, wenn ich einen client ? dann, wenn ich entfernen Sie den PrivateKey und das Zertifikat, und setzen Sie den Pfad/Body/Header habe ich 401 Unauthorized Fehler mit der Meldung " WWW-Authenticate: Basic realm="SYNCNB Realm Server".

Kann man das erklären dieses Problem? Gibt es eine andere Möglichkeit zum senden von HTTPS-request mit einem Zertifikat in Python?

InformationsquelleAutor psikais | 2011-05-05
  1. 2

    Sehen http://docs.python.org/library/httplib.html

    httplib.HTTPSConnection keine Verifizierung das server-Zertifikat.

    Die option, um Ihr eigenes Zertifikat, wenn der server macht die zertifikatbasierte Authentifizierung von clients. I. e. der server ist die überprüfung der client besitzt ein Zertifikat von einer ZERTIFIZIERUNGSSTELLE signiert wurden, der es vertraut und berechtigt ist, Zugriff auf it-Ressourcen.

    Wenn Sie nicht geben Sie die cert optionales argument ist, sollten Sie in der Lage sein, um die Verbindung zum HTTPS-server, aber keine überprüfung des server-Zertifikats.

    Update

    Folgenden Ihr Kommentar, dass Sie versucht haben, basic-auth, wie es aussieht ist der server immer noch will, dass Sie zur Authentifizierung mit basic auth. Entweder Ihre Anmeldeinformationen sind ungültig (haben Sie unabhängig überprüft Sie?) oder Ihr Authenticate - header ist nicht richtig formatiert. Ändern Sie Ihre Beispiel-code, um eine basic-auth-header und eine leere post-Nutzlast:

    import httplib  
conn = httplib.HTTPSConnection('10.10.10.10','443')   
auth_header = 'Basic %s' % (":".join(["myusername","mypassword"]).encode('Base64').strip('\r\n'))
conn.request("POST", "/","",{'Authorization':auth_header}) 
response = conn.getresponse()       
print response.status, response.reason
conn.close()
    • Hi MattH, In der Tat, wenn ich nicht geben Sie die cert optionales argument, ich habe die Antwort 401 Unauthorized... Könnten Sie mir bitte sagen, wie meine zu tun, um das Zertifikat zu überprüfen, die ich haben, um angenommen zu werden von dem entfernten server ? Vielen Dank für Eure Hilfe
    • Der Dienst erfordert eine form der Authentifizierung. Überprüfen Sie die "WWW-Authenticate" - header der server-401-Antwort für weitere Informationen über das, was Authentifizierungsschemas unterstützt werden.
    • MattH, ich habe die Fehlermeldung "WWW-Authenticate: Basic realm="SYNCNB Realm Server". Auch, wie ich Ihnen sagte, ich habe nicht mit meinem Zertifikat überall...
    • Der server erfordert, dass Sie die Authentifizierung mit Basic-Authentifizierung. Dies ist ein Benutzernamen und Passwort verschlüsselt und enthalten einen header in der http-Anforderung.
    • Lege ich den Benutzer und das Passwort im Kopf, aber ich habe immer noch den gleichen Fehler: >>> drucken Reaktion.status, Antwort.Grund, Antwort.msg 401 Unauthorized Date: Thu, 05 May 2011 13:43:30 GMT Server: Apache-Coyote/1.1 WWW-Authenticate: Basic realm="SYNCNB Realm Server" Content-Type: text/html;charset=utf-8 Content-Length: 954
    • In der Tat, ich habe meinen Beitrag oben aktualisiert. könnten Sie bitte wieder zu sehen und Ratschläge ? die unbefugte Fehler tritt auf, nur wenn ich den Pfad (URLprov) in dem Antrag...auch wenn ich die Authentifizierung Informationen
    • Es scheint, dass die Anmeldeinformationen, die Sie verwenden nicht berechtigt ist, den Zugriff auf diese SOAP-Ressource. Ich schlage vor, dass Sie sich jede Dokumentation, die Sie mit diesem System, auf die Sie zugreifen möchten. Es sollte buchstabieren die Authentifizierung und Autorisierung Anforderungen. Vielleicht ist der Benutzername, den Sie verwenden, braucht spezielle Berechtigungen konfiguriert.
    • Hi MattH, in der Tat habe ich nur ersetzt, 'Authentifizierung':auth_header durch die 'Berechtigung':auth_header....und es hat funktioniert. Als Sie mir erzählte, das Zertifikat ist gar nicht in meinem Fall. Vielen Dank für Ihre große Hilfe!
    • Oops sorry, klar ich frisiert, die header-Namen, während er das kleine snippet. Ich habe aktualisiert es.

    InformationsquelleAutor MattH
  2. 8

    Es klingt wie Sie brauchen etwas ähnliches wie eine Antwort, die ich zur Verfügung gestellt haben, bevor Sie zu führen einfache client-Zertifikat-Authentifizierung. Hier ist der code für die Bequemlichkeit leicht modifiziert für Ihre Frage:

    import httplib
import urllib2

PEM_FILE = '/path/certif.pem' # Renamed from PEM_FILE to avoid confusion
CLIENT_CERT_FILE = '/path/clientcert.p12' # This is your client cert!

# HTTPS Client Auth solution for urllib2, inspired by
# http://bugs.python.org/issue3466
# and improved by David Norton of Three Pillar Software. In this
# implementation, we use properties passed in rather than static module
# fields.
class HTTPSClientAuthHandler(urllib2.HTTPSHandler):
    def __init__(self, key, cert):
        urllib2.HTTPSHandler.__init__(self)
        self.key = key
        self.cert = cert
    def https_open(self, req):
        #Rather than pass in a reference to a connection class, we pass in
        # a reference to a function which, for all intents and purposes,
        # will behave as a constructor
        return self.do_open(self.getConnection, req)
    def getConnection(self, host):
        return httplib.HTTPSConnection(host, key_file=self.key, cert_file=self.cert)


cert_handler = HTTPSClientAuthHandler(PEM_FILE, CLIENT_CERT_FILE)
opener = urllib2.build_opener(cert_handler)
urllib2.install_opener(opener)

f = urllib2.urlopen("https://10.10.10.10")
print f.code
    • Hi jathanism, in der Tat, ich habe nur die client_cert_file.pem - (base64-Datei), weil ich bin der client die Verbindung zum server, und ich möchte es verwenden, um HTTPS-Anfrage an einen server. Vielleicht bin ich nicht die gute Art zu Fragen-Servern mit SSL-PEM-Zertifikat ?
    • dein code wirft einen Fehler. TypeError: getConnection() got an unexpected keyword argument 'timeout'
    • Sie können das beheben, indem Sie die Zeile zu getConnection(self, host, timeout=300):
    InformationsquelleAutor jathanism
  3. 1

    Was Sie tun, ist zu versuchen, eine Verbindung zu einem Web service erfordert eine Authentifizierung basierend auf dem client-Zertifikat.

    Sind Sie sicher Sie eine PEM-Datei und nicht eine PKCS#12-Datei? Eine PEM-Datei sieht wie folgt aus (ja, ich weiß, ich enthalten einen privaten Schlüssel...das ist nur eine Puppe, die ich erzeugt für das Beispiel):

    -----BEGIN RSA PRIVATE KEY-----                                                                     
MIICXQIBAAKBgQDDOKpQZexZtGMqb7F1OMwdcFpcQ/pqtCoOVCGIAUxT3uP0hOw8                                    
CZNjLT2LoG4Tdl7Cl6t66SNzMVyUeFUrk5rkfnCJ+W9RIPkht3mv5A8yespeH27x                                    
FjGVbyQ/3DvDOp9Hc2AOPbYDUMRmVa1amawxwqAFPBp9UZ3/vfU8nxwExwIDAQAB                                    
AoGBAMCvt3svfr9zysViBTf8XYtZD/ctqYeUWEZYR9hj36CQyVLZuAnyMaWcS7j7                                    
GmrfVNygs0LXxoO2Xvi0ZOxj/mZ6EcZd8n37LxTo0GcWvAE4JjPr7I4MR2OvGYa/                                    
1696e82xwEnUdpyBv9z3ebleowQ1UWP88iq40oZYukUeignRAkEA9c7MABi5OJUq                                    
hf9gwm/IBie63wHQbB2wVgB3UuCYEa4Zd5zcvJIKz7NfhsZKKcZJ6CBVxwUd84aQ                                    
Aue2DRwYQwJBAMtQ5yBA8howP2FDqcl9sovYR0jw7Etb9mwsRNzJwQRYYnqCC5yS                                    
nOaNn8uHKzBcjvkNiSOEZFGKhKtSrlc9qy0CQQDfNMzMHac7uUAm85JynTyeUj9/                                    
t88CDieMwNmZuXZ9P4HCuv86gMcueex5nt/DdVqxXYNmuL/M3lkxOiV3XBavAkAA                                    
xow7KURDKU/0lQd+x0X5FpgfBRxBpVYpT3nrxbFAzP2DLh/RNxX2IzAq3JcjlhbN                                    
iGmvgv/G99pNtQEJQCj5AkAJcOvGM8+Qhg2xM0yXK0M79gxgPh2KEjppwhUmKEv9                                    
o9agBLWNU3EH9a6oOfsZZcapvUbWIw+OCx5MlxSFDamg                                                        
-----END RSA PRIVATE KEY-----                                                                    
-----BEGIN CERTIFICATE-----                                                                         
MIIDfjCCAuegAwIBAgIJAOYJ/e6lsjrUMA0GCSqGSIb3DQEBBQUAMIGHMQswCQYD                                    
VQQGEwJVUzELMAkGA1UECBMCRkwxDjAMBgNVBAcTBVRhbXBhMRQwEgYDVQQKEwtG                                    
b29iYXIgSW5jLjEQMA4GA1UECxMHTnV0IEh1dDEXMBUGA1UEAxMOd3d3LmZvb2Jh                                    
ci5jb20xGjAYBgkqhkiG9w0BCQEWC2Zvb0BiYXIuY29tMB4XDTExMDUwNTE0MDk0                                    
N1oXDTEyMDUwNDE0MDk0N1owgYcxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJGTDEO                                    
MAwGA1UEBxMFVGFtcGExFDASBgNVBAoTC0Zvb2JhciBJbmMuMRAwDgYDVQQLEwdO                                    
dXQgSHV0MRcwFQYDVQQDEw53d3cuZm9vYmFyLmNvbTEaMBgGCSqGSIb3DQEJARYL                                    
Zm9vQGJhci5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMM4qlBl7Fm0                                    
YypvsXU4zB1wWlxD+mq0Kg5UIYgBTFPe4/SE7DwJk2MtPYugbhN2XsKXq3rpI3Mx                                    
XJR4VSuTmuR+cIn5b1Eg+SG3ea/kDzJ6yl4fbvEWMZVvJD/cO8M6n0dzYA49tgNQ                                    
xGZVrVqZrDHCoAU8Gn1Rnf+99TyfHATHAgMBAAGjge8wgewwHQYDVR0OBBYEFHZ+                                    
CPLqn8jlT9Fmq7wy/kDSN8STMIG8BgNVHSMEgbQwgbGAFHZ+CPLqn8jlT9Fmq7wy                                    
/kDSN8SToYGNpIGKMIGHMQswCQYDVQQGEwJVUzELMAkGA1UECBMCRkwxDjAMBgNV                                    
BAcTBVRhbXBhMRQwEgYDVQQKEwtGb29iYXIgSW5jLjEQMA4GA1UECxMHTnV0IEh1                                    
dDEXMBUGA1UEAxMOd3d3LmZvb2Jhci5jb20xGjAYBgkqhkiG9w0BCQEWC2Zvb0Bi                                    
YXIuY29tggkA5gn97qWyOtQwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOB                                    
gQAv13ewjgrIsm3Yo8tyqTUHCr/lLekWcucClaDgcHlCAH+WU8+fGY8cyLrFFRdk                                    
4U5sD+P313Adg4VDyoocTO6enA9Vf1Ar5XMZ3l6k5yARjZNIbGO50IZfC/iblIZD                                    
UpR2T7J/ggfq830ACfpOQF/+7K+LgFLekJ5dIRuD1KKyFg==                                                    
-----END CERTIFICATE-----

    Lesen diese Frage.

    • Hi A,J-ja, ich bin sicher, meine certifacte ist so etwas wie : -----BEGIN CERTIFICATE----- blablaba -----END CERTIFICATE-----
    InformationsquelleAutor AJ.
Schreibe einen Kommentar