如何从python SSL库中的PEM字符串中加载用于SSL验证的CRL?
要从Python SSL库中的PEM字符串加载用于SSL验证的CRL(证书吊销列表),你可以使用cryptography库。这个库提供了处理加密和解密操作的功能,包括加载和使用CRL。
以下是一个示例代码,展示了如何从PEM字符串加载CRL:
from cryptography import x509
from cryptography.hazmat.backends import default_backend
# 假设pem_crl是一个包含CRL的PEM格式字符串
pem_crl = b"""-----BEGIN X509 CRL-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
...(省略中间部分)...
...(省略中间部分)...
-----END X509 CRL-----"""
# 加载CRL
crl = x509.load_pem_x509_crl(pem_crl, default_backend())
# 现在你可以使用crl对象进行SSL验证
# 例如,将其添加到SSL上下文中
import ssl
context = ssl.create_default_context()
context.verify_mode = ssl.CERT_REQUIRED
context.check_hostname = True
context.load_verify_locations(cadata=pem_crl.decode('utf-8'))
# 使用context进行SSL连接
# 例如,使用socket库
import socket
with socket.create_connection(('example.com', 443)) as sock:
with context.wrap_socket(sock, server_hostname='example.com') as ssock:
# 现在ssock是一个已经验证了服务器证书的SSL套接字
pass相关优势
- 安全性:使用CRL可以确保你连接的服务器证书没有被吊销,从而提高安全性。
- 灵活性:你可以从PEM字符串加载CRL,这使得CRL的管理和分发更加灵活。
- 兼容性:
cryptography库是一个广泛使用的库,兼容多种Python版本和操作系统。
类型
CRL主要有两种类型:
- Base CRL:包含所有被吊销的证书。
- Delta CRL:只包含自上次Base CRL发布以来被吊销的证书,可以减少数据传输量。
应用场景
CRL主要用于以下场景:
- SSL/TLS连接:在建立SSL/TLS连接时,验证服务器证书是否被吊销。
- 代码签名验证:在验证代码签名时,确保签名证书没有被吊销。
常见问题及解决方法
- PEM字符串格式错误:确保PEM字符串格式正确,包含
-----BEGIN X509 CRL-----和-----END X509 CRL-----。 - CRL过期:定期更新CRL,确保其有效性。
- 加载失败:检查
cryptography库版本是否兼容,确保所有依赖项已正确安装。
参考链接
通过以上步骤和示例代码,你可以成功从PEM字符串加载CRL,并在SSL验证中使用它。
相关·内容
我正在接收来自PEM服务的PEM CRL文件。我想创建一个SSL上下文,它将使用此CRL信息进行验证。但是,如果我以字符串的形式传递这个数据: load_verify_locations(ca_data = crl_data),我会得到一个异常。有没有办法直接把CRL加载到SSL上下文中,或者我需要先把它写成文件?一些示例代码:(请忽略CRL是<
浏览 45提问于2021-11-19得票数 0
1回答
我想保护我正在编写的web的集合。对这些API的访问必须授予订阅者,直到订阅到期;这些API由远程web服务使用。所以我认为互用SSL是最好的方法。因此,我遵循了指南,在我看来,这比我读过的其他指南更完整,我在/etc/ssl/ca/cert中添加了一个自签名的ca.crt,用于签署从客户那里接收到的CSR,并将nginx设置为
server
浏览 3提问于2017-09-29得票数 0
回答已采纳
1回答
我一直试图在RabbitMQ中找到配置CRL检查的可用选项。反过来,RabbitMQ似乎依赖于Erlang的SSL库。不幸的是,我对Erlang知之甚少,所以我很难理解:如果基于本地文件的CRL方法可用,则为“开箱即用”。很难找到crl_cache配置选项<
浏览 0提问于2016-01-27得票数 1
回答已采纳
我想将一个客户端证书传递给带有ngx.location.capture的子请求。 share_all_vars = true, })来自nginx-配置的相关片段ssl_verify_client optional_no_ca;
proxy_pass https://22.0.0.2:8
浏览 7提问于2022-09-01得票数 1
我用ssl_crl指令在nginx中设置了CRL文件:但是,我注意到,只有在重新启动或重新加载nginx服务器时,才能从crl.pem中添加或删除已撤销的证书当crl.pem更改或其他什么时候重新加载nginx配置?
浏览 0提问于2012-11-14得票数 4
回答已采纳
2回答
现在我想用别的机器当我的傀儡主人。我创建了另一个名为master-2的木偶主,并在代理中运行:导致错误的原因:
我将/var/lib/lib/ssl文件夹从master -2复制到master-2,现在上面的命令成功
浏览 0提问于2018-02-20得票数 1
回答已采纳
我正在尝试连接到一个需要SSL的MySQL DB (只进行服务器身份验证,而不是相互认证)。我将服务器的CA保存为.pem,位于运行脚本的同一个目录中。我的连接字符串如下所示:conn = MySQLdb.connect(host=HOST, user=USER, passwd=PASS,但是,如
浏览 6提问于2011-09-02得票数 5
我正在开发一个Python3.4应用程序组件,该组件检查URL的证书是否存在于其CA提供的CRL中。我使用一个加密包来加载证书和CRL。ExtensionOIDimport urllib.request
cert_str = ssl.get_server_certificatea crlFile to <e
浏览 4提问于2018-08-04得票数 0
1回答
辅助puppetserver (版本7.4.0)配置为使用主puppetserver的CA权限:[main]runinterval=1800
在辅助服务器上,我禁用了CA服务,因为/etc/puppetlabs/puppetserver/services.d/ca.cfg中可能只有一个证书颁发机构certificate-
浏览 0提问于2021-09-30得票数 0
回答已采纳
3回答
我有一个web应用程序,将不会连接到一个网站后,他们改变了他们的SSL证书。下面将提到URL和参考帖子。想法?参考代码POST:https://stackoverflow.com/questions/26391756/does-changing-ssl-cert-on-a-server-break-code
浏览 0提问于2014-10-17得票数 0
回答已采纳
我正在使用OpenSSL来验证自定义公钥基础设施中的签名代码。如何验证证书层次结构中每个节点的CRL。~/$ cat RootCA.crl.pem RootCA.pem &g
浏览 9提问于2018-08-22得票数 1
我目前使用客户端SSL身份验证来保护敏感内容。用户需要将证书导入我们使用OpenSSL生成的浏览器中。当用户访问该网站时,如果他们在浏览器或操作系统的密钥链中没有证书,我们会将他们重定向到自定义403页。这是使用以下Apache配置实现的。- [F]我想更进一步,并引入一些条件来加载特定的DocumentRoot (如果它们有证书),或者如果它们没有客户端证书
浏览 0提问于2020-09-11得票数 2
回答已采纳
我有一个自定义easyrsa设置与一个根和三个CA签署的根。(三个不同的子cas取决于用户类型),如下所示: +----- AdminUserCA +----- ClientCA ssl_verify_depth 2;
ssl_crl /data/src/easy-rsa/bundles/crls/all.pem
浏览 0提问于2014-01-06得票数 6
在Haproxy ingress控制器中,我希望终止ssl连接,并使用撤销文件对tcp模式进行客户端身份验证。在前面的情况下,我们使用的是Haproxy服务器,而不是入口控制器,这种配置在简单的 case服务器中运行良好。但由于多业务和单负载均衡器的原因,我想使用haproxy入口控制器。Haproxy配置如下所示,我使用了tcp模式, bind *:8884 ssl crt /etc/ssl</
浏览 1提问于2020-05-15得票数 0
今天,我更改了3,000+ Outlook客户端使用的SSL证书。在进行此操作时,我将证书更改为具有相同主题名称、过期和其他所有内容的“旧”证书。只有拇指指纹和一个SAN的名字变了。(1小时)我只能假设SSL缓
浏览 0提问于2013-08-06得票数 19
我正在尝试根据.CRL (证书撤销列表)文件中的数据实现对证书的脱机检查。我检查了和,但没有找到任何使用
有什么想法吗?这个检查应该如何实现?
浏览 1提问于2018-07-23得票数 2
我尝试使用这个脚本生成我在我的Python代码中使用的3个.pem文件。
#!pem转换过程中,但它会产生相同的错误。对于某些上下文,Kafka端点所有者建议在Java中配置ssl证书,不幸的是,我是第一个与Python连接的人,因此他们无法帮助我。我认为我需要在代码中以某种方式利用这两个.jks文件,但我能想到的唯一方法失败了。我尝试过的其他事
浏览 25提问于2022-07-07得票数 2
回答已采纳
我使用带私钥的httplib.HTTPSConnection:然后,系统要求我输入该私钥的密码。有没有选项可以不从用户输入(控制台)而从其他来源(代码,环境)输入这样的密码?也许在Java中是这样的:
浏览 0提问于2010-06-24得票数 2
回答已采纳
我正在使用Nginx创建安全连接;当我撤销客户端证书时,我也可以通过https连接到Nginx,我知道我应该配置ssl_crl指令,但是我想使用OCSP来验证客户端证书,我应该怎么做?我发现Nginx使用OpenSSL库来建立ssl连接,我应该如何处理openssl.cnf文件?
浏览 3提问于2015-12-05得票数 7
我正在尝试连接到使用SSL的ActiveMQ消息代理。我得到了一个错误:取自stompest文档的示例代码:我只更改了server、user和pass:from stompest.config import StompConfig
浏览 1提问于2016-01-12得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
