Python中的ndg.httpsclient.ssl_peer_verification模块简介

ndg.httpsclient.ssl_peer_verification是一个Python库，用于验证服务器的SSL证书。它基于Python的标准库ssl和ndg.httpsclient模块，为开发者提供了验证服务器证书的功能。

该模块的主要特点是支持自定义证书验证函数，并且可以通过验证函数的返回值来决定是否信任服务器的证书。这使得开发者可以根据自己的需求对证书进行灵活的验证。

以下是一个使用例子，展示了如何使用ndg.httpsclient.ssl_peer_verification模块来验证服务器的证书：

from ndg.httpsclient.subj_alt_name import SubjectAltName
from dns import reversename
import socket
import ssl
import OpenSSL.crypto as crypto

def verify_callback(connection, x509, errno, errdepth, ok):
    if not ok:
        cert_name = x509.get_subject().get_components()
        print(f"Certificate validation failed for {cert_name}")
        return False

    # Retrieve the server's hostname
    hostname = connection.get_server_hostname()

    # Retrieve the server's IP address
    ip_address = socket.gethostbyname(hostname)

    # Reverse lookup to get hostname from IP
    try:
        reverse_hostname = reversename.from_address(ip_address)
        real_hostname = str(reverse_hostname)
    except socket.herror:
        real_hostname = ""

    # Compare the server's hostname with the one from the certificate
    alt_names = SubjectAltName().get(x509)
    alt_names.append(x509.get_subject().commonName)

    if hostname not in alt_names and real_hostname not in alt_names:
        print(f"Mismatch between server hostname {hostname} and certificate hostname {alt_names}")
        return False

    return True

hostname = "example.com"
port = 443

# Create a secure connection with the server
context = ssl.create_default_context()
context.check_hostname = False
context.verify_mode = ssl.CERT_NONE
context.load_cert_chain(certfile="client.crt", keyfile="client.key")

# Set the custom verify_callback function for certificate validation
context.set_default_verify_paths() # Use system default CA certificates
context.verify_mode = ssl.CERT_REQUIRED
context.set_verify(ssl.CERT_REQUIRED, verify_callback)

with socket.create_connection((hostname, port)) as sock:
    with context.wrap_socket(sock, server_hostname=hostname) as ssl_sock:
        # Perform SSL handshake
        ssl_sock.do_handshake()

        # Retrieve and verify the server's certificate
        server_cert = ssl_sock.getpeercert(binary_form=True)
        x509 = crypto.load_certificate(crypto.FILETYPE_ASN1, server_cert)
        context.verify_mode = ssl.CERT_NONE
        context.set_verify(ssl.CERT_NONE, None)
        result = ssl.match_hostname(x509, hostname)
        if result is not None:
            raise ssl.CertificateError(f"Certificate hostname mismatch: {result}")

在代码示例中，首先定义了一个名为verify_callback的自定义证书验证函数。这个函数接受5个参数，分别是连接对象、证书对象、错误号、错误深度和验证结果。函数的返回值用于决定是否信任服务器的证书。

在verify_callback函数中，首先判断了验证结果，如果结果为False，则打印出证书的主题名称，并返回False以拒绝验证。然后获取服务器的主机名和IP地址，通过反向查找将IP地址转换为主机名。接下来，将从证书中提取的主题备用名称与服务器的主机名进行比对，如果有任何一个匹配成功，则返回True。否则，打印出服务器主机名与证书主题备用名称不匹配的错误，并返回False。

然后，指定要连接的服务器的主机名和端口。然后，创建一个安全连接的上下文对象，并加载客户端证书和私钥文件。然后，设置自定义的verify_callback函数，并指定使用系统默认的CA证书进行验证。最后，使用socket.create_connection函数创建一个socket连接，并使用ssl.wrap_socket函数将其包装成一个SSL连接对象。

在SSL连接对象上调用do_handshake方法进行SSL握手，并使用getpeercert方法获取服务器的证书。然后，使用Crypto模块中的load_certificate方法将服务器的证书加载为X509对象，并验证证书的主题备用名称和服务器的主机名是否匹配。如果不匹配，则引发CertificateError异常。

总结来说，ndg.httpsclient.ssl_peer_verification模块提供了一种方式来自定义服务器证书的验证过程，并且可以在验证函数中根据自己的需求对证书进行灵活的验证。这使得开发者可以更好地保护他们的应用程序免受恶意服务器证书的攻击。