Wie, um eine Reaktion zu erhalten SSL-Zertifikat von Anfragen in python?

Versuchen, um das SSL-Zertifikat aus einer Antwort in Anfragen.

Was ist ein guter Weg, dies zu tun?

InformationsquelleAutor Juan Carlos Coto | 2013-06-03
  1. 14

    requests bewusst wraps low-level-Sachen wie diese. Normalerweise ist die einzige Sache, die Sie tun möchten, ist zu stellen Sie sicher, dass die Zertifikate gültig sind. Das zu tun, nur pass verify=True. Wenn Sie möchten, verwenden Sie eine nicht-standard-cacert-bundle können Sie passieren, auch. Zum Beispiel:

    resp = requests.get('https://example.com', verify=True, cert=['/path/to/my/ca.crt'])

    Auch requests ist in Erster Linie ein Satz von Wrapper um andere libraries, meist urllib3 und die stdlib ist http.client (oder, für die 2.x, httplib) und ssl.

    Manchmal, die Antwort ist einfach, um auf der unteren Ebene Objekte (z.B. resp.raw ist die urllib3.response.HTTPResponse), aber in vielen Fällen unmöglich.

    - Und dies ist einer dieser Fälle. Die einzigen Objekte, die jemals in die APZ sind ein http.client.HTTPSConnection (oder ein urllib3.connectionpool.VerifiedHTTPSConnection, aber das ist nur eine Unterklasse der ehemaligen) und eine ssl.SSLSocket, und keiner von denen mehr existieren durch die Zeit, die die Anfrage zurückgibt. (Wie der name connectionpool andeutet, ist der HTTPSConnection Objekt gespeichert ist, in einem Schwimmbad, und wieder verwendet werden kann, sobald es fertig ist; die SSLSocket ist ein Mitglied der HTTPSConnection.)

    So, müssen Sie zu patch Dinge, so dass Sie können kopieren Sie die Daten der Kette. Es kann so einfach wie diese:

    HTTPResponse = requests.packages.urllib3.response.HTTPResponse
orig_HTTPResponse__init__ = HTTPResponse.__init__
def new_HTTPResponse__init__(self, *args, **kwargs):
    orig_HTTPResponse__init__(self, *args, **kwargs)
    try:
        self.peercert = self._connection.sock.getpeercert()
    except AttributeError:
        pass
HTTPResponse.__init__ = new_HTTPResponse__init__

HTTPAdapter = requests.adapters.HTTPAdapter
orig_HTTPAdapter_build_response = HTTPAdapter.build_response
def new_HTTPAdapter_build_response(self, request, resp):
    response = orig_HTTPAdapter_build_response(self, request, resp)
    try:
        response.peercert = resp.peercert
    except AttributeError:
        pass
    return response
HTTPAdapter.build_response = new_HTTPAdapter_build_response

    Das ist ungetestet, also keine Garantie, die Sie benötigen, um den patch mehr als das.

    Auch, vererben und überschreiben, wäre wahrscheinlich sauberer als monkeypatching (vor allem, da HTTPAdapter entwickelt wurde, um die Unterklassen).

    Oder, noch besser, forking urllib3 und requests ändern, Ihre Gabel, und (wenn Sie denken, das ist legitim nützlich) die pull-Anforderungen upstream.

    Sowieso, jetzt, von Ihrem code, können Sie dies tun:

    resp.peercert

    Dadurch erhalten Sie ein dict mit 'subject' und 'subjectAltName' Schlüssel zurückgegeben pyopenssl.WrappedSocket.getpeercert. Wenn Sie stattdessen möchten Sie weitere Informationen über das cert, versuchen Christophe Vandeplas Variante dieser Antwort, die Sie können, get ein OpenSSL.crypto.X509 Objekt. Wenn Sie möchten, um die gesamte peer-Zertifikat-Kette, siehe GoldenStake Antwort.

    Natürlich können Sie auch weitergeben möchten alle notwendigen Informationen, um zu überprüfen, das cert, aber das ist sogar noch einfacher, da es bereits Pässe durch die Obere Ebene.

    • Wow, das ist sehr komplett. Vielen Dank! Ich werde daran arbeiten und sehen, wie es geht. Nochmals vielen Dank!
    • Danke, das hat wirklich geholfen. Leider, wenn der server verwendet Connection: close und schließt die Verbindung sofort, nachdem die Daten übertragen, ich würde noch nicht die "peercert". Ich hatte den patch requests.packages.urllib3.connection.HTTPSConnection.connect auch zuerst die ursprüngliche Funktion aufrufen und dann sofort den self.sock.getpeercert() und dann geben Sie sich die Kette.
    InformationsquelleAutor abarnert
  2. 8

    Starten, abarnert Antwort ist sehr komplett. Während der Jagd die vorgeschlagene connection-close Thema Kalkran ich tatsächlich entdeckt, dass der peercert nicht enthalten ausführliche Informationen über das SSL-Zertifikat.

    Ich grub tiefer in die Verbindung und socket-Informationen und extrahiert die self.sock.connection.get_peer_certificate() Funktion enthält Funktionen wie:

    • get_subject() für CN
    • get_notAfter() und get_notBefore() für Ablaufdaten
    • get_serial_number() und get_signature_algorithm() für crypto Verwandte technische details
    • ...

    Beachten Sie, dass diese nur zur Verfügung, wenn Sie pyopenssl auf Ihrem system installiert. Unter der Haube urllib3 verwendet pyopenssl wenn es verfügbar ist und der standard-Bibliothek ssl Modul anders. Die self.sock.connection - Attribut angezeigt, unten gibt es nur, wenn self.sock ist ein urllib3.contrib.pyopenssl.WrappedSocket, wenn es nicht eine ssl.SSLSocket. Sie können installieren pyopenssl mit pip install pyopenssl.

    Sobald dies erfolgt ist, der code wird:

    import requests

HTTPResponse = requests.packages.urllib3.response.HTTPResponse
orig_HTTPResponse__init__ = HTTPResponse.__init__
def new_HTTPResponse__init__(self, *args, **kwargs):
    orig_HTTPResponse__init__(self, *args, **kwargs)
    try:
        self.peer_certificate = self._connection.peer_certificate
    except AttributeError:
        pass
HTTPResponse.__init__ = new_HTTPResponse__init__

HTTPAdapter = requests.adapters.HTTPAdapter
orig_HTTPAdapter_build_response = HTTPAdapter.build_response
def new_HTTPAdapter_build_response(self, request, resp):
    response = orig_HTTPAdapter_build_response(self, request, resp)
    try:
        response.peer_certificate = resp.peer_certificate
    except AttributeError:
        pass
    return response
HTTPAdapter.build_response = new_HTTPAdapter_build_response

HTTPSConnection = requests.packages.urllib3.connection.HTTPSConnection
orig_HTTPSConnection_connect = HTTPSConnection.connect
def new_HTTPSConnection_connect(self):
    orig_HTTPSConnection_connect(self)
    try:
        self.peer_certificate = self.sock.connection.get_peer_certificate()
    except AttributeError:
        pass
HTTPSConnection.connect = new_HTTPSConnection_connect

    Werden Sie in der Lage, den Zugriff auf das Ergebnis leicht:

    r = requests.get('https://yourdomain.tld', timeout=0.1)
print('Expires on: {}'.format(r.peer_certificate.get_notAfter()))
print(dir(r.peer_certificate))

    Wenn, wie mir, die Sie ignorieren möchten SSL-Zertifikat-Warnungen fügen Sie einfach die folgenden in den Anfang der Datei und nicht von SSL überprüfen:

    from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

r = requests.get('https://yourdomain.tld', timeout=0.1, verify=False)
print(dir(r.peer_certificate))
    • Vielen Dank für die große Bereicherung für die Antwort! +1.
    InformationsquelleAutor Christophe Vandeplas
  3. 3

    Diese, obwohl nicht ziemlich an allem arbeitet:

    import requests

req = requests.get('https://httpbin.org')
pool = req.connection.poolmanager.connection_from_url('https://httpbin.org')
conn = pool.pool.get()
# get() removes it from the pool, so put it back in
pool.pool.put(conn)
print(conn.sock.getpeercert())
    • Dies funktioniert nur, wenn die Verbindung noch aktiv ist, ist nicht garantiert. Zum Beispiel, wenn die andere Seite sendet eine Connection: close. Oder wenn Sie geschickt haben andere Anforderungen (vor allem, wenn Sie mit diesem in einen async-oder Thread-Kontext). Oder wenn urllib3 fühlt sich einfach wie es ohne ersichtlichen Grund.
    InformationsquelleAutor t-8ch
  4. 3

    Vielen Dank für alle genial Antworten.

    Es hat mir geholfen, über Ingenieur eine Antwort auf diese Frage:

    Wie hinzufügen eines benutzerdefinierten CA-Root-Zertifikat der CA Store verwendet Python in Windows?

    UPDATE 2019-02-12

    Bitte werfen Sie einen Blick auf Cert Menschen: SSL-Zertifikate für den Menschen für eine beeindruckende umschreiben meiner https://github.com/neozenith/get-ca-py Projekt lifehackjim.

    Habe ich archiviert das original-repository.

    Stand-alone-snippet

    #! /usr/bin/env python
# -*- coding: utf-8 -*-
"""
Get Certificates from a request and dump them.
"""

import argparse
import sys

import requests
from requests.packages.urllib3.exceptions import InsecureRequestWarning

requests.packages.urllib3.disable_warnings(InsecureRequestWarning)

"""
Inspired by the answers from this Stackoverflow question:
https://stackoverflow.com/questions/16903528/how-to-get-response-ssl-certificate-from-requests-in-python

What follows is a series of patching the low level libraries in requests.
"""

"""
https://stackoverflow.com/a/47931103/622276
"""

sock_requests = requests.packages.urllib3.contrib.pyopenssl.WrappedSocket


def new_getpeercertchain(self, *args, **kwargs):
    x509 = self.connection.get_peer_cert_chain()
    return x509


sock_requests.getpeercertchain = new_getpeercertchain

"""
https://stackoverflow.com/a/16904808/622276
"""

HTTPResponse = requests.packages.urllib3.response.HTTPResponse
orig_HTTPResponse__init__ = HTTPResponse.__init__


def new_HTTPResponse__init__(self, *args, **kwargs):
    orig_HTTPResponse__init__(self, *args, **kwargs)
    try:
        self.peercertchain = self._connection.sock.getpeercertchain()
    except AttributeError:
        pass


HTTPResponse.__init__ = new_HTTPResponse__init__

HTTPAdapter = requests.adapters.HTTPAdapter
orig_HTTPAdapter_build_response = HTTPAdapter.build_response


def new_HTTPAdapter_build_response(self, request, resp):
    response = orig_HTTPAdapter_build_response(self, request, resp)
    try:
        response.peercertchain = resp.peercertchain
    except AttributeError:
        pass
    return response


HTTPAdapter.build_response = new_HTTPAdapter_build_response

"""
Attempt to wrap in a somewhat usable CLI
"""


def cli(args):
    parser = argparse.ArgumentParser(description="Request any URL and dump the certificate chain")
    parser.add_argument("url", metavar="URL", type=str, nargs=1, help="Valid https URL to be handled by requests")

    verify_parser = parser.add_mutually_exclusive_group(required=False)
    verify_parser.add_argument("--verify", dest="verify", action="store_true", help="Explicitly set SSL verification")
    verify_parser.add_argument(
        "--no-verify", dest="verify", action="store_false", help="Explicitly disable SSL verification"
    )
    parser.set_defaults(verify=True)

    return vars(parser.parse_args(args))


def dump_pem(cert, outfile="ca-chain.crt"):
    """Use the CN to dump certificate to PEM format"""
    PyOpenSSL = requests.packages.urllib3.contrib.pyopenssl
    pem_data = PyOpenSSL.OpenSSL.crypto.dump_certificate(PyOpenSSL.OpenSSL.crypto.FILETYPE_PEM, cert)
    issuer = cert.get_issuer().get_components()

    print(pem_data.decode("utf-8"))

    with open(outfile, "a") as output:
        for part in issuer:
            output.write(part[0].decode("utf-8"))
            output.write("=")
            output.write(part[1].decode("utf-8"))
            output.write(",\t")
        output.write("\n")
        output.write(pem_data.decode("utf-8"))


if __name__ == "__main__":
    cli_args = cli(sys.argv[1:])

    url = cli_args["url"][0]
    req = requests.get(url, verify=cli_args["verify"])
    for cert in req.peercertchain:
        dump_pem(cert)
    InformationsquelleAutor Josh Peak
  5. 2

    Starten, abarnert Antwort ist sehr komplett

    Aber ich möchte hinzufügen, dass in dem Fall Sie suchen für die peer-cert-Kette, würden Sie brauchen, um den patch wieder ein Stück code

    import requests
sock_requests = requests.packages.urllib3.contrib.pyopenssl.WrappedSocket
def new_getpeercertchain(self,*args, **kwargs):
    x509 = self.connection.get_peer_cert_chain()
    return x509
sock_requests.getpeercertchain = new_getpeercertchain

    nach, die Sie anrufen können es in einer sehr ähnlichen Art und Weise wie die akzeptierte Antwort

    HTTPResponse = requests.packages.urllib3.response.HTTPResponse
orig_HTTPResponse__init__ = HTTPResponse.__init__
def new_HTTPResponse__init__(self, *args, **kwargs):
    orig_HTTPResponse__init__(self, *args, **kwargs)
    try:
        self.peercertchain = self._connection.sock.getpeercertchain()
    except AttributeError:
        pass
HTTPResponse.__init__ = new_HTTPResponse__init__

HTTPAdapter = requests.adapters.HTTPAdapter
orig_HTTPAdapter_build_response = HTTPAdapter.build_response
def new_HTTPAdapter_build_response(self, request, resp):
    response = orig_HTTPAdapter_build_response(self, request, resp)
    try:
        response.peercertchain = resp.peercertchain
    except AttributeError:
        pass
    return response
HTTPAdapter.build_response = new_HTTPAdapter_build_response

    erhalten Sie resp.peercertchain enthält eine tuple von OpenSSL.crypto.X509 Objekte

    InformationsquelleAutor GoldenStake
Schreibe einen Kommentar