为什么这个Python代码不能通过SSL连接？

Question

已更新：问题底部的固定/工作代码。重新实施以使用wrap_socket()而不是SSL.Context()。协商的密码似乎被ssl.PROTOCOL_

不受影响我有它侦听端口8388.服务有它自己的CA内置的，将发出有关其配置的任何客户端P12文件的XML服务的管理界面（我需要包括在我的连接中有一个CA证书）。

我配置了一个客户端并下载了P12文件;还从P12导出PEM文件（以便于调试）并为服务器CA（这是一个Java密钥库）导出PEM文件。

如果我使用openssl s_client并将其提供给客户端的证书/密钥和CA文件，事情似乎正常工作;即：验证返回：1在下面的截断输出中。 openssl进程不会在服务器上生成任何证书错误（就像我的Python脚本一样）。从我读过的内容来看，这应该意味着证书都可以正确有效。

# openssl s_client -connect srv.domain.net:8388 -CAfile server_ca.pem -cert client_cert.pem -key client_key.pem 
CONNECTED(00000003) 
depth=1 ... emailAddress = ca@SERVERsystems.com 
verify return:1 
depth=0 ...CN = srv.domain.net 
verify return:1 
--- 
Certificate chain 
0 s:/emailAddress=help@mydomain.net...CN=srv.domain.net 
    i:/C=US/...emailAddress=ca@SERVERsystems.com 
--- 
Server certificate 
-----BEGIN CERTIFICATE----- 
MIIJRDCCByygAwIBAgIGAVGIopaoMA0GCSqGSIb3DQEBDQUAMIG...rV 
-----END CERTIFICATE----- 
subject=/emailAddress=help@mydomain.net...CN=srv.domain.net 
issuer=/C=US/...emailAddress=ca@SERVERsystems.com 
--- 
Acceptable client certificate CA names 
/C=US/...emailAddress=ca@SERVERsystems.com 
/.../CN=srv.domain.net 
--- 
SSL handshake has read 3369 bytes and written 5705 bytes 
--- 
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 
Server public key is 2048 bit 
Secure Renegotiation IS supported 
Compression: NONE 
Expansion: NONE 
SSL-Session: 
    Protocol : TLSv1.2 
    Cipher : ECDHE-RSA-AES256-GCM-SHA384 
    Session-ID: ...DF6572FA00D62D83CF0B1A82F 
    Session-ID-ctx: 
    Master-Key: ...7F685C0B163A7739C271E9722FC0554108175C4 
    Key-Arg : None 
    PSK identity: None 
    PSK identity hint: None 
    SRP username: None 
    Start Time: 1461337153 
    Timeout : 300 (sec) 
    Verify return code: 0 (ok) 
--- 

我现在试图钩住一个Python（2.7.9）脚本使用相同的证书，密钥和CA文件的XML服务，但我不能让它工作。 Python抱怨SSLv3错误，服务器说它无法验证客户端。所以，连接工作，但握手，证书或密码或不正确的东西。

我已经搜索了很多例子和实现，这一个似乎是最简单的，所以我开始使用它的模板。 SSL3并不是我会坚持使用的协议（POODLE），但它应该来自一个工作示例，所以我想尽可能地做少许更改，以便能够正常工作，然后从中调整。任何人都知道我在这里有什么问题吗？输出/错误/日志发布在最底部。

#!/usr/bin/python 
# -*- coding: utf-8 -*- 

import socket 
import OpenSSL 
from OpenSSL import * 
import sys 

serverName = sys.argv[1] 
print "Using server : " + serverName 

ctx = SSL.Context(SSL.SSLv3_METHOD) 

ctx.use_privatekey_file('client_key.pem') 
ctx.use_certificate_file('client_cert.pem') 
ctx.load_verify_locations(cafile='server_ca.pem') 

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.connect((serverName, 8388)) 
sslSocket = socket.ssl(s) 

print repr(sslSocket.server()) 
print repr(sslSocket.issuer()) 

print ("writing socket..") 
sslSocket.write('<transaction><data>14</data></transaction>\n') 
s.close() 

Python的输出：上述连接后

Using server : localhost 
Traceback (most recent call last): 
    File "./test3.py", line 29, in <module> 
    sslSocket = socket.ssl(s) 
    File "/usr/lib/python2.7/socket.py", line 64, in ssl 
    return _realssl.sslwrap_simple(sock, keyfile, certfile) 
    File "/usr/lib/python2.7/ssl.py", line 993, in sslwrap_simple 
    ssl_sock.do_handshake() 
ssl.SSLError: [SSL: SSLV3_ALERT_BAD_CERTIFICATE] sslv3 alert bad certificate (_ssl.c:581) 

服务器日志：

Apr 22 10:39:56 srv.domain.net ERROR server.auth [Thread-183,run:233] Couldn't validate the client certificate. Verify the validity and dates of the client cert. 
Apr 22 10:39:56 srv.domain.net javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated 
Apr 22 10:39:56 srv.domain.net at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:431) 
Apr 22 10:39:56 srv.domain.net at com.xml.server.auth.run(auth.java:226) 
Apr 22 10:39:56 srv.domain.net at java.lang.Thread.run(Thread.java:745) 

工作代码：

#!/usr/bin/python 
# -*- coding: utf-8 -*- 
import socket 
import ssl 
import sys 
import os 

serverName = sys.argv[1] 
print "Using server : " + serverName 

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 

# ssl.PROTOCOL_xxx does not seem to affect negotiated cipher?? 
wrapper = ssl.wrap_socket(s, 
          ca_certs = "server_ca.pem", 
          certfile = "client_cert.pem", 
          keyfile = "client_key.pem", 
          cert_reqs=ssl.CERT_REQUIRED, 
          ssl_version=ssl.PROTOCOL_TLSv1) 

wrapper.connect((serverName, 8388)) 

# some info on the connnection/cipher in use 
print repr(wrapper.getpeername()) 
print repr(wrapper.cipher()) 
print repr(wrapper.getpeercert()) 

# send server command 
print ("writing socket..") 
wrapper.send ("<transaction><data>14</data></transaction>\n") 

# read server reply 
print "server reply: " + wrapper.recv(4096) 
wrapper.close() 
s.close() 

Answer 1

ctx.use_privatekey_file('client_key.pem') 
ctx.use_certificate_file('client_cert.pem') 
... 
sslSocket = socket.ssl(s) 

在您使用客户端证书创建SSL上下文时，您不会在SSL连接中使用此上下文。这意味着没有客户端证书会被发送，服务器会相应地投诉。

使用客户端证书的简单方法是使用certfile和keyfile参数ssl.wrap_socket，请参阅the documentation。