python - 提供中间 CA 证书的 Python SSL 服务器

Question

我正在使用 Python (2.7) SSL 模块编写一些服务器代码，如下所示：

ssock = ssl.wrap_socket(sock, ca_certs="all-ca.crt", keyfile="server.key", certfile="server.crt", server_side=True, ssl_version=ssl.PROTOCOL_TLSv1)

'all-ca.crt' 包含签名 CA 证书和根 CA 证书：

-----BEGIN CERTIFICATE-----
... (signing CA)...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
... (root CA)...
-----END CERTIFICATE-----

Python SSL 模块的文档指出：

一般来说，如果你使用 SSL3 或 TLS1，你不需要将完整的链放在你的“CA certs”文件中；您只需要根证书，远程对等方应该提供从其证书链接到根证书所需的其他证书。

这是我用 C 语言编写 SSL 服务器的经验。但它似乎在这里不起作用。如果我编写一个仅在其 wrap_socket() 调用中使用根证书的客户端：

csock = ssl.wrap_socket(sock, ca_certs="root-ca.crt", cert_reqs=ssl.CERT_REQUIRED, ssl_version=ssl.PROTOCOL_TLSv1)

然后引发异常：

ssl.SSLError: [Errno 1] _ssl.c:499: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca

相反，如果我将 all-ca.crt 传递给客户端 ca_certs 参数，那么一切都按预期工作，但这在客户端不方便，不应该是必需的。

有什么办法可以告诉服务器端它需要在协商时向客户端提供中间 CA 证书？

score 3 · Accepted Answer

在服务器端，该ca_certs选项用于验证客户端的证书。（如果CERT_REQUIRED设置为True，服务器将要求客户端提供其证书）。

事实上，CA 的证书ca_certs并没有发送给客户端。服务器只会将自己的证书发送给客户端。但是您可以将所有中间证书和您服务器的证书放入您server.crt.的例如，使用

cat server.crt intermediate-ca.crt root-ca.crt > server-chain.crt

生产链条。

1 回答 1