有没有办法使用存储在 Google Cloud Key Management Service 中的私钥通过 mTLS 发出 HTTP 请求?
在这篇博文中,我们需要在 Go 中完成。是否有可能在 Python 中实现相同的目标?我希望 Tink 库提供一些现成的解决方案,但找不到。
问问题
331 次
1 回答
0
在深入研究该主题后,我做出了以下“发现”:
- 所有 Python HTTP 客户端似乎都依赖于 OpenSSL
- OpenSSL 具有引擎接口,允许将加密功能卸载到第 3 方(HSM 或类似 Google Cloud KMS 的东西)
- 使用pyOpenSSL创建 SSL 上下文相当容易
urlopen,这将使用自定义 OpenSSL 引擎。这是一个例子:https ://github.com/pyca/pyopenssl/issues/203#issuecomment-454900850 - 我找不到支持 Google Cloud KMS 的现成 OpenSSL 引擎
所以这似乎可以解决,但需要一些努力。
同时我发现亚马逊为他们的 AWS CloudHSM 提供了现成的 OpenSSL 引擎,所以它应该很容易在 Python 中用于 mTLS。但是 CloudHSM 价格相当高(由于定制硬件,这是可以理解的)。我还发现了这个用于 AWS KMS 的 OpenSSL 引擎的 Rust 实现,看起来很棒。也许也可以为 Google Cloud KMS 重新设计它……但我们最终可能会切换到 AWS KMS 或 CloudHSM。
虽然这不是一个非常完整的答案,但我希望它能帮助其他面临这个问题的人。
于 2020-06-16T22:00:02.267 回答