Jak sprawić, by żądania Pythona ufały certyfikatowi SSL z podpisem własnym?

Question 1

import requests
data = {'foo':'bar'}
url = 'https://foo.com/bar'
r = requests.post(url, data=data)

Jeśli adres URL używa certyfikatu z podpisem własnym, kończy się to niepowodzeniem

requests.exceptions.SSLError: [Errno 1] _ssl.c:507: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Wiem, że mogę przejść Falsedo verifyparametru tak:

r = requests.post(url, data=data, verify=False)

Chciałbym jednak skierować żądania do kopii klucza publicznego na dysku i powiedzieć mu, aby ufał temu certyfikatowi.

Question 2

próbować:

r = requests.post(url, data=data, verify='/path/to/public_key.pem')

Question 3

Za pomocą tego verifyparametru można podać niestandardowy pakiet urzędu certyfikacji

requests.get(url, verify=path_to_bundle_file)

Z dokumentów :

Możesz przekazać verifyścieżkę do pliku CA_BUNDLE z certyfikatami zaufanych urzędów certyfikacji. Tę listę zaufanych urzędów certyfikacji można również określić za pomocą zmiennej środowiskowej REQUESTS_CA_BUNDLE.

Question 4

Najłatwiej jest wyeksportować zmienną REQUESTS_CA_BUNDLEwskazującą na Twój prywatny urząd certyfikacji lub konkretny pakiet certyfikatów. W linii poleceń możesz to zrobić w następujący sposób:

export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem
python script.py

Jeśli masz swój urząd certyfikacji i nie chcesz wpisywać za exportkażdym razem, możesz dodać REQUESTS_CA_BUNDLEdo swojego ~/.bash_profilew następujący sposób:

echo "export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem" >> ~/.bash_profile ; source ~/.bash_profile

Question 5

Przypadek, w którym potrzeba wielu certyfikatów, został rozwiązany w następujący sposób: Połącz wiele głównych plików PEM, myCert-A-Root.pem i myCert-B-Root.pem, do pliku. Następnie ustaw żądania REQUESTS_CA_BUNDLE var na ten plik w moim ./.bash_profile.

$ cp myCert-A-Root.pem ca_roots.pem
$ cat myCert-B-Root.pem >> ca_roots.pem
$ echo "export REQUESTS_CA_BUNDLE=~/PATH_TO/CA_CHAIN/ca_roots.pem" >> ~/.bash_profile ; source ~/.bash_profile

Question 6

Ustawienie export SSL_CERT_FILE=/path/file.crtpowinno wystarczyć.

Question 7

Jeśli ktoś przypadkiem wyląduje tutaj (tak jak ja), chcąc dodać CA (w moim przypadku Charles Proxy) dla httplib2, wygląda na to, że możesz dołączyć go do cacerts.txtpliku dołączonego do pakietu pythona.

Na przykład:

cat ~/Desktop/charles-ssl-proxying-certificate.pem >> /usr/local/google-cloud-sdk/lib/third_party/httplib2/cacerts.txt

Zmienne środowiskowe, do których odwołują się inne rozwiązania, wydają się być specyficzne dla żądań i nie zostały odebrane przez httplib2 podczas moich testów.

Question 8

Możesz spróbować:

settings = s.merge_environment_settings(prepped.url, None, None, None, None)

Możesz przeczytać więcej tutaj: http://docs.python-requests.org/en/master/user/advanced/

Answer 1

import requests
data = {'foo':'bar'}
url = 'https://foo.com/bar'
r = requests.post(url, data=data)

Jeśli adres URL używa certyfikatu z podpisem własnym, kończy się to niepowodzeniem

requests.exceptions.SSLError: [Errno 1] _ssl.c:507: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Wiem, że mogę przejść Falsedo verifyparametru tak:

r = requests.post(url, data=data, verify=False)

Chciałbym jednak skierować żądania do kopii klucza publicznego na dysku i powiedzieć mu, aby ufał temu certyfikatowi.

Answer 2

stackoverflow.com/questions/10667960/…

Ajay

Answer 3

61

próbować:

r = requests.post(url, data=data, verify='/path/to/public_key.pem')

krock
źródło

1

Czy możesz zrobić to samo i używać certyfikatów klienta w tym samym czasie? Mam z tym problemy.

user1156544

10

Należy pamiętać, że przekazywany plik .pem musi zawierać certyfikat serwera i wszelkie certyfikaty pośrednie . Straciłem kilka godzin, próbując dowiedzieć się, dlaczego nie zadziałało po dodaniu certyfikatu serwera.

ChrisBob

Dodałem certyfikat.pem z podpisem własnym i zadziałało.

HS Rathore

6

Ta technika nie działa dla mnie. Kiedyś ssl.get_server_certificatepobierałem certyfikat dla (self-signed.badssl.com, 443), zapisałem go cert.pem, a następnie uruchomiłem requests.get('https://self-signed.badssl.com/', verify='cert.pem')i nadal nie powiodło się z błędem SSL (ten certyfikat jest samopodpisany).

Jason R. Coombs

Answer 4

1

Czy możesz zrobić to samo i używać certyfikatów klienta w tym samym czasie? Mam z tym problemy.

user1156544

Answer 5

10

Należy pamiętać, że przekazywany plik .pem musi zawierać certyfikat serwera i wszelkie certyfikaty pośrednie . Straciłem kilka godzin, próbując dowiedzieć się, dlaczego nie zadziałało po dodaniu certyfikatu serwera.

ChrisBob

Answer 6

Dodałem certyfikat.pem z podpisem własnym i zadziałało.

HS Rathore

Answer 7

6

Ta technika nie działa dla mnie. Kiedyś ssl.get_server_certificatepobierałem certyfikat dla (self-signed.badssl.com, 443), zapisałem go cert.pem, a następnie uruchomiłem requests.get('https://self-signed.badssl.com/', verify='cert.pem')i nadal nie powiodło się z błędem SSL (ten certyfikat jest samopodpisany).

Jason R. Coombs

Answer 8

Za pomocą tego verifyparametru można podać niestandardowy pakiet urzędu certyfikacji

requests.get(url, verify=path_to_bundle_file)

Z dokumentów :

Możesz przekazać verifyścieżkę do pliku CA_BUNDLE z certyfikatami zaufanych urzędów certyfikacji. Tę listę zaufanych urzędów certyfikacji można również określić za pomocą zmiennej środowiskowej REQUESTS_CA_BUNDLE.

Answer 9

26

Najłatwiej jest wyeksportować zmienną REQUESTS_CA_BUNDLEwskazującą na Twój prywatny urząd certyfikacji lub konkretny pakiet certyfikatów. W linii poleceń możesz to zrobić w następujący sposób:

export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem
python script.py

Jeśli masz swój urząd certyfikacji i nie chcesz wpisywać za exportkażdym razem, możesz dodać REQUESTS_CA_BUNDLEdo swojego ~/.bash_profilew następujący sposób:

echo "export REQUESTS_CA_BUNDLE=/path/to/your/certificate.pem" >> ~/.bash_profile ; source ~/.bash_profile

Mike N
źródło

Zmienna środowiskowa była tym, czego potrzebowałem, aby PyCharm działał z certyfikatami przechowywanymi w pliku certyfikatów OpenSSL.

Brady

Mam w łańcuchu certyfikat z podpisem własnym. To rozwiązanie rozwiązało mój problem z biblioteką boto3.

Ilkin,

Answer 10

Zmienna środowiskowa była tym, czego potrzebowałem, aby PyCharm działał z certyfikatami przechowywanymi w pliku certyfikatów OpenSSL.

Brady

Answer 11

Mam w łańcuchu certyfikat z podpisem własnym. To rozwiązanie rozwiązało mój problem z biblioteką boto3.

Ilkin,

Answer 12

7

Przypadek, w którym potrzeba wielu certyfikatów, został rozwiązany w następujący sposób: Połącz wiele głównych plików PEM, myCert-A-Root.pem i myCert-B-Root.pem, do pliku. Następnie ustaw żądania REQUESTS_CA_BUNDLE var na ten plik w moim ./.bash_profile.

$ cp myCert-A-Root.pem ca_roots.pem
$ cat myCert-B-Root.pem >> ca_roots.pem
$ echo "export REQUESTS_CA_BUNDLE=~/PATH_TO/CA_CHAIN/ca_roots.pem" >> ~/.bash_profile ; source ~/.bash_profile

Halbert Stone
źródło

To był mój "ahhh" moment dnia ... Wielkie dzięki ... Dzięki tej podpowiedzi dostałem mój podpisany przez siebie certyfikat jira do pracy ... ;-) Wiem, że może być setki stron i odpowiedzi, które to opisują , ale znalazłem twoje, więc otrzymujesz moje uznanie za pomoc w rozwiązaniu mojego problemu ... d

alexrjs

Answer 13

To był mój "ahhh" moment dnia ... Wielkie dzięki ... Dzięki tej podpowiedzi dostałem mój podpisany przez siebie certyfikat jira do pracy ... ;-) Wiem, że może być setki stron i odpowiedzi, które to opisują , ale znalazłem twoje, więc otrzymujesz moje uznanie za pomoc w rozwiązaniu mojego problemu ... d

alexrjs

Answer 14

4

Ustawienie export SSL_CERT_FILE=/path/file.crtpowinno wystarczyć.

gizzmole
źródło

Dzięki. U mnie działa (podczas gdy REQUESTS_CA_BUNDLEzmienna nie działa w moim przypadku).

Pascal H.

Answer 15