Python中使用ssl()验证服务端证书的方法

在Python中验证服务端证书可以使用ssl模块的SSLContext类。SSLContext类提供了一种类似于上下文管理器的方式来配置和使用SSL。下面是一个使用ssl验证服务端证书的示例：

import ssl
import socket

# 创建SSL上下文
context = ssl.create_default_context()

# 使用SSL证书验证
context.verify_mode = ssl.CERT_REQUIRED

# 指定验证证书的路径
context.load_verify_locations("/path/to/ca_certificate.pem")

# 创建TCP Socket
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

# 将Socket包装为SSL Socket
ssl_sock = context.wrap_socket(sock, server_hostname='www.example.com')

try:
    # 连接远程服务器
    ssl_sock.connect(('www.example.com', 443))

    # 发送HTTP请求
    ssl_sock.sendall(b'GET / HTTP/1.1\r
Host: www.example.com\r
\r
')

    # 接收并打印响应
    response = ssl_sock.recv(4096)
    print(response.decode())

finally:
    # 关闭SSL Socket
    ssl_sock.shutdown(socket.SHUT_RDWR)
    ssl_sock.close()

在上面的示例中，我们首先创建了一个SSL上下文。默认情况下，create_default_context()创建一个基于系统配置的上下文，包括默认的信任的CAs和安全协议。然后，我们将verify_mode属性设置为CERT_REQUIRED，以强制要求验证服务端证书。接下来，我们使用load_verify_locations()方法指定了一个CA证书的路径，用于验证服务端证书。

然后，我们创建了一个TCP Socket，并使用wrap_socket()方法将其包装为SSL Socket。wrap_socket()方法接受两个参数：一个已创建的TCP Socket对象和一个可选的server_hostname参数。server_hostname参数用于指定远程服务器的主机名，以支持基于SNI的服务器名称指示。

接下来，我们使用connect()方法连接到远程服务器，并发送一个使用SSL保护的HTTP请求。最后，我们使用recv()方法接收并打印响应。

在最后，我们关闭了SSL Socket。

请注意，上述示例中的/path/to/ca_certificate.pem应该被替换为您实际使用的CA证书的路径。您可以使用任何可信的CA证书来验证服务端证书。