如何获取证书的 SHA1 指纹
How to get SHA1 fingerprint of a certificate
我的目标是实现第三方网站证书的SHA1指纹。我能够使用 openssl 命令行成功获得它,但是,当我尝试使用 python 代码实现它时它并不相同。使用python代码获取的SHA1指纹与通过openssl获取的完全不同。
openssl 步骤 -->
openssl s_client -servername token.actions.githubusercontent.com -showcerts -connect token.actions.githubusercontent.com:443
以上命令输出包含链和根证书;
Certificate chain
0 s:/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=*.actions.githubusercontent.com
i:/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1
-----BEGIN CERTIFICATE-----
MIIG9jCCBd6gAwIBAgIQCFCR4fqbkQJJbzQZsc87qzANBgkqhkiG9w0BAQsFADBP
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSkwJwYDVQQDEyBE
aWdpQ2VydCBUTFMgUlNBIFNIQTI1NiAyMDIwIENBMTAeFw0yMjAxMTEwMDAwMDBa
将带有 .crt 扩展名的链证书保存为 MaingithubOIDC.crt 和 运行 下面的命令给出 SHA1 指纹;
❯ openssl x509 -in MaingithubOIDC.crt -fingerprint -noout
SHA1 Fingerprint=15:E2:91:08:71:81:11:E5:9B:3D:AD:31:95:46:47:E3:C3:44:A2:31
Python代码(版本3.8/3.9)-->
import ssl
import socket
import hashlib
addr = 'token.actions.githubusercontent.com'
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.settimeout(1)
wrappedSocket = ssl.wrap_socket(sock)
try:
wrappedSocket.connect((addr, 443))
print (wrappedSocket)
except:
response = False
else:
der_cert = wrappedSocket.getpeercert(True)
pem_cert = ssl.DER_cert_to_PEM_cert(wrappedSocket.getpeercert(True))
print(pem_cert)
#Print SHA1 Thumbprint
thumb_sha1 = hashlib.sha1(der_cert).hexdigest()
print("SHA1: " + thumb_sha1)
Python代码输出;
SHA1: 55a7ef500a3a99f64c99c665daaf3f07403cff3d
因此,SHA1 指纹与使用 openssl 获得的指纹不匹配。我在 python 代码中遗漏了什么吗?
问题不是证书的指纹计算错误,而是您获得了错误的证书。有问题的服务器是一个多域设置,它将 return 基于 TLS 握手中给出的 server_name 的不同证书 - 参见 Server Name Indication.
以下代码不会提供 server_name,这会导致 returned 用于 *.azureedge.net 的证书,而不是 *.actions.githubusercontent.com 作为 openssl s_client 代码得到:
wrappedSocket = ssl.wrap_socket(sock)
try:
wrappedSocket.connect((addr, 443))
要解决此问题,需要提供 server_name:
ctx = ssl.create_default_context()
wrappedSocket = ctx.wrap_socket(sock,
server_hostname='token.actions.githubusercontent.com')
try:
wrappedSocket.connect((addr, 443))
进行此更改后,服务器会发送预期的证书并正确计算指纹。
我的目标是实现第三方网站证书的SHA1指纹。我能够使用 openssl 命令行成功获得它,但是,当我尝试使用 python 代码实现它时它并不相同。使用python代码获取的SHA1指纹与通过openssl获取的完全不同。
openssl 步骤 -->
openssl s_client -servername token.actions.githubusercontent.com -showcerts -connect token.actions.githubusercontent.com:443
以上命令输出包含链和根证书;
Certificate chain
0 s:/C=US/ST=California/L=San Francisco/O=GitHub, Inc./CN=*.actions.githubusercontent.com
i:/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1
-----BEGIN CERTIFICATE-----
MIIG9jCCBd6gAwIBAgIQCFCR4fqbkQJJbzQZsc87qzANBgkqhkiG9w0BAQsFADBP
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSkwJwYDVQQDEyBE
aWdpQ2VydCBUTFMgUlNBIFNIQTI1NiAyMDIwIENBMTAeFw0yMjAxMTEwMDAwMDBa
将带有 .crt 扩展名的链证书保存为 MaingithubOIDC.crt 和 运行 下面的命令给出 SHA1 指纹;
❯ openssl x509 -in MaingithubOIDC.crt -fingerprint -noout
SHA1 Fingerprint=15:E2:91:08:71:81:11:E5:9B:3D:AD:31:95:46:47:E3:C3:44:A2:31
Python代码(版本3.8/3.9)-->
import ssl
import socket
import hashlib
addr = 'token.actions.githubusercontent.com'
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.settimeout(1)
wrappedSocket = ssl.wrap_socket(sock)
try:
wrappedSocket.connect((addr, 443))
print (wrappedSocket)
except:
response = False
else:
der_cert = wrappedSocket.getpeercert(True)
pem_cert = ssl.DER_cert_to_PEM_cert(wrappedSocket.getpeercert(True))
print(pem_cert)
#Print SHA1 Thumbprint
thumb_sha1 = hashlib.sha1(der_cert).hexdigest()
print("SHA1: " + thumb_sha1)
Python代码输出;
SHA1: 55a7ef500a3a99f64c99c665daaf3f07403cff3d
因此,SHA1 指纹与使用 openssl 获得的指纹不匹配。我在 python 代码中遗漏了什么吗?
问题不是证书的指纹计算错误,而是您获得了错误的证书。有问题的服务器是一个多域设置,它将 return 基于 TLS 握手中给出的 server_name 的不同证书 - 参见 Server Name Indication.
以下代码不会提供 server_name,这会导致 returned 用于 *.azureedge.net 的证书,而不是 *.actions.githubusercontent.com 作为 openssl s_client 代码得到:
wrappedSocket = ssl.wrap_socket(sock)
try:
wrappedSocket.connect((addr, 443))
要解决此问题,需要提供 server_name:
ctx = ssl.create_default_context()
wrappedSocket = ctx.wrap_socket(sock,
server_hostname='token.actions.githubusercontent.com')
try:
wrappedSocket.connect((addr, 443))
进行此更改后,服务器会发送预期的证书并正确计算指纹。