aiohttp 和客户端 SSL 证书
aiohttp and client-side SSL certificates
我最近从 flask + requests 转移到 aiohttp 及其异步 http 客户端。
在我的场景中,我需要通过 HTTPS 调用 API(使用自定义证书)并发送客户端证书。
对于第一部分(验证自定义证书),支持很明确 clearly documented int the docs 并且效果很好。
另一方面,对于第二部分,我似乎无法找到一种简单的方法来附加自定义 SSL 客户端证书来授权客户端。
你们知道怎么做吗?非常感谢!
编辑:我已经提交了一份 PR 更新了关于该主题的 aiohttp 文档,并且它已被合并。
对于将来可能遇到此问题的任何人..
TL:DR
import ssl
import aiohttp
ssl_ctx = ssl.create_default_context(cafile='/path_to_client_root_ca')
ssl_ctx.load_cert_chain('/path_to_client_public_key.pem', '/path_to_client_private_key.pem')
conn = aiohttp.TCPConnector(ssl_context=ssl_ctx)
session = aiohttp.ClientSession(connector=conn)
# session will now send client certificates..
长话短说 - 我查看了它是如何在请求中实现的(它巧妙地记录了 API here),显然它是在 urllib3[=40 中实现的=].
urllib3 将 cert 参数一直向下传递到其 HTTPSConnection 对象,最终调用此函数:
...
self.sock = ssl_wrap_socket(
sock=conn,
keyfile=self.key_file,
certfile=self.cert_file,
ssl_context=self.ssl_context,
)
...
其中:
...
if ca_certs or ca_cert_dir:
try:
context.load_verify_locations(ca_certs, ca_cert_dir)
except IOError as e: # Platform-specific: Python 2.6, 2.7, 3.2
raise SSLError(e)
# Py33 raises FileNotFoundError which subclasses OSError
# These are not equivalent unless we check the errno attribute
except OSError as e: # Platform-specific: Python 3.3 and beyond
if e.errno == errno.ENOENT:
raise SSLError(e)
raise
elif getattr(context, 'load_default_certs', None) is not None:
# try to load OS default certs; works well on Windows (require Python3.4+)
context.load_default_certs()
if certfile:
context.load_cert_chain(certfile, keyfile)
if HAS_SNI: # Platform-specific: OpenSSL with enabled SNI
return context.wrap_socket(sock, server_hostname=server_hostname)
...
这里有趣的调用是 load_cert_chain - 这意味着如果我们只创建一个 ssl.SSLContext (这是一个标准库接口)对象并使用我们的客户端证书调用 load_cert_chain像这样,aiohttp 的行为与 requests\urllib3.
相同
因此,虽然 aiohttp 的文档没有告诉您这一点,但它们确实指定您可以加载自己的 ssl.SSLContext。
我最近从 flask + requests 转移到 aiohttp 及其异步 http 客户端。
在我的场景中,我需要通过 HTTPS 调用 API(使用自定义证书)并发送客户端证书。
对于第一部分(验证自定义证书),支持很明确 clearly documented int the docs 并且效果很好。
另一方面,对于第二部分,我似乎无法找到一种简单的方法来附加自定义 SSL 客户端证书来授权客户端。
你们知道怎么做吗?非常感谢!
编辑:我已经提交了一份 PR 更新了关于该主题的 aiohttp 文档,并且它已被合并。
对于将来可能遇到此问题的任何人..
TL:DR
import ssl
import aiohttp
ssl_ctx = ssl.create_default_context(cafile='/path_to_client_root_ca')
ssl_ctx.load_cert_chain('/path_to_client_public_key.pem', '/path_to_client_private_key.pem')
conn = aiohttp.TCPConnector(ssl_context=ssl_ctx)
session = aiohttp.ClientSession(connector=conn)
# session will now send client certificates..
长话短说 - 我查看了它是如何在请求中实现的(它巧妙地记录了 API here),显然它是在 urllib3[=40 中实现的=].
urllib3 将 cert 参数一直向下传递到其 HTTPSConnection 对象,最终调用此函数:
...
self.sock = ssl_wrap_socket(
sock=conn,
keyfile=self.key_file,
certfile=self.cert_file,
ssl_context=self.ssl_context,
)
...
其中:
...
if ca_certs or ca_cert_dir:
try:
context.load_verify_locations(ca_certs, ca_cert_dir)
except IOError as e: # Platform-specific: Python 2.6, 2.7, 3.2
raise SSLError(e)
# Py33 raises FileNotFoundError which subclasses OSError
# These are not equivalent unless we check the errno attribute
except OSError as e: # Platform-specific: Python 3.3 and beyond
if e.errno == errno.ENOENT:
raise SSLError(e)
raise
elif getattr(context, 'load_default_certs', None) is not None:
# try to load OS default certs; works well on Windows (require Python3.4+)
context.load_default_certs()
if certfile:
context.load_cert_chain(certfile, keyfile)
if HAS_SNI: # Platform-specific: OpenSSL with enabled SNI
return context.wrap_socket(sock, server_hostname=server_hostname)
...
这里有趣的调用是 load_cert_chain - 这意味着如果我们只创建一个 ssl.SSLContext (这是一个标准库接口)对象并使用我们的客户端证书调用 load_cert_chain像这样,aiohttp 的行为与 requests\urllib3.
因此,虽然 aiohttp 的文档没有告诉您这一点,但它们确实指定您可以加载自己的 ssl.SSLContext。