ndg.httpsclient.ssl_peer_verification模块中SUBJ_ALT_NAME_SUPPORT的功能和实现原理

SUBJ_ALT_NAME_SUPPORT是ndg.httpsclient.ssl_peer_verification模块中的一个常量，用于判断是否支持主体替代名称（Subject Alternative Name）。在证书验证过程中，通常会使用证书中的主体字段（Subject）来验证证书的合法性。而主体替代名称是一种扩展字段，它允许在证书中定义其他可接受的主体名称。

实现原理：

在证书验证过程中，当目标服务器返回的证书包含主体替代名称扩展时，SUBJ_ALT_NAME_SUPPORT常量将被设置为True，表示支持主体替代名称。这意味着在验证证书时，不仅会使用证书中的主体字段，还会检查主体替代名称字段中的值是否匹配目标服务器的主体信息。

使用例子：

import socket
import ssl
from ndg.httpsclient.subj_alt_name import SubjectAltName


# 创建TCP连接
def create_tcp_connection(address):
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect(address)
    return sock


# 创建SSL连接
def create_ssl_connection(address):
    sock = create_tcp_connection(address)

    # 创建SSL上下文
    context = ssl.SSLContext(ssl.PROTOCOL_SSLv23)
    context.verify_mode = ssl.CERT_REQUIRED
    context.check_hostname = True

    # 如果SUBJ_ALT_NAME_SUPPORT为True，则使用SubjectAltName进行验证
    if SubjectAltName.SUBJ_ALT_NAME_SUPPORT:
        context.verify_flags |= ssl.VERIFY_USE_CERTIFICATE_EXTENSIONS

    # 创建SSL套接字
    sock = context.wrap_socket(sock, server_hostname=address[0])

    return sock


if __name__ == '__main__':
    # 设置目标服务器的地址和端口号
    address = ('www.example.com', 443)

    # 创建SSL连接
    sock = create_ssl_connection(address)

    # 向服务器发送请求
    request = b'GET / HTTP/1.1\r
Host: www.example.com\r
\r
'
    sock.sendall(request)

    # 接收服务器的响应
    response = sock.recv(4096)
    print(response)

    # 关闭连接
    sock.close()

在上述例子中，我们使用ndg.httpsclient.ssl_peer_verification模块中的SUBJ_ALT_NAME_SUPPORT常量来判断是否支持主体替代名称。如果支持，则使用SubjectAltName进行证书验证。这样，即使证书中的主体字段与目标服务器的主体信息不完全匹配，只要主体替代名称与目标服务器的主体信息匹配，仍然会认为证书是合法的。这有助于解决证书中主体字段与实际主体信息不一致的问题。