我正在尝试确定在 Python 中检索和验证 x509 证书链的最佳方法。
如果链中的任何证书无效,我需要能够具体识别哪个证书以及出于什么原因(例如命令行中的 openssl verify)。较新版本的 Python ssl 模块似乎提供了此功能,但是我不确定在运行代码的地方可以使用哪个版本。
我已经尽我所能在这里研究类似的问题,特别是
如何在 python 中验证 SSL 证书?
使用 Python 验证 SSL 证书
如何使用 m2crypto 在非 SSL 设置中验证 X509 证书链
但是我仍然不清楚最好的方法。
是否可以使用内置的 ssl 模块实现此功能(隔离任何单个无效证书),还是我需要使用 M2Crypto 之类的东西?
如果这些都不合适,那么调用 openssl 的子流程模块会是一个很好的替代解决方案吗?